Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
18
Января
2011
» Самая защищённая флешка =)
Коллега по работе поделился забавной картинкой:Отличная идея для корпоративного подарка =)
18
Января
2011
» На чём ездил Касперский?
Продолжим исследование Рейтинга CNews Security 2010 «Крупнейшие ИТ-компании России в сфере защиты информации». Мы уже полюбовались на новогодние логотипы компаний-лидеров рынка. Теперь ради любопытства посмотрим, на чём ездили их генеральные директора. Поможет нам в этом сайт База ГИБДД, ссылку на который в своём блоге размещал Игорь Хайров.Итак, генеральным директором лидера рынка ИБ по версии CNews (Лаборатория Касперского) работает .... Евгений Валентинович Касперский, 04 октября 1965 года рождения. Вот его краткая история автомобилевладения с картинками.25 февраля 1998 годаПокупаем новенькую ВАЗ 21093 (текущая стоимость 70 560 руб.) 20 января 2000 года По какой-то причине номера были утрачены, получаем новые. Что случилось? Неужели разбил? 21 августа 2001 года Покупаем ВАЗ 21099 опять-таки новую (текущая стоимость 91 160 руб.) Ну, если и разбил, то несильно: полтора года без машины вряд ли можно протянуть. Но новую, всё же, спустя эти полтора года на замену(?) покупаем... 30 июня 2004 года Покупаем несильно подержанный БМВ 2002 года (текущая стоимость 492 670 руб.) 10 сентября 2004 года Решили продавать "ласточку" ВАЗ 21093, для чего снимаем её с регистрации. Номера меняли 4 с лишним года назад: значит, всё же не разбил вхлам =) 15 ноября 2005 года Знаменательный день. Куплены сразу две машины. БМВ Х3 свеженькая (текущая стоимость 492 670 руб.) БМВ 330I тоже свежак (текущая стоимость 723 390 руб.) В заключение, собственно, картинка статистики с сайта nomer.org: Изучение автомобилей остальных генеральных директоров можно проделать самостоятельно. К сожалению (?) последние записи в базе датируются 2005 годом и что происходит с автопарком генеральных директоров лидеров рынка ИБ сейчас - не столь очевидно. Важно: Изображения автомобилей взяты с сайтов http://wikipedia.org, http://cars.88000.org и http://www.stv-auto.ru. Вся информация об автомобилях, операциях над ними и их владельцах взята с сайта http://www.nomer.org. В случае наличия обоснованных претензий со стороны упомянутых в посте личностей, информация будет удалена незамедлительно.
14
Января
2011
» Взлом из-за плеча
Экраны современных гаджетов по размерам, углам обзора и чёткости изображений не идут ни в какое сравнение с девайсами прошлых лет.
28
Декабря
2010
» Музеи как средство защиты информации
Среди специалистов в области информационной безопасности не так часто встретишь гуманитария, да и сама эта область знаний ассоциируется как-то больше с техническими средствами, а в наши дни - практически исключительно с компьютерами и сетями. В одной из своих статей я уже поднимал этот вопрос, но так как сотрудничество с CIO оказалось не таким продолжительным, тема тогда развития не получила. Попробуем ещё раз. Известное выражение: «Народ, который не помнит своего прошлого, не достоин будущего», - выражает ту простую мысль, что историческая память нации является основой для её существования, а утрата такой памяти может иметь самые негативные последствия, вплоть до полного исчезновения самой нации. С этой точки зрения, для нации крайне важной является задача сохранения исторического наследия, а другими словами - информации о своём прошлом. Говоря более привычным техническим языком, необходимо обеспечить целостность и доступность этой информации. В общем-то, заголовок поста, полагаю, уже понятен. Музеи - это инструмент накопления и сохранения, а также предоставления возможности для ознакомления с информацией об истории наций и отдельных людей. Музеи защищают важную информацию и её носители (экспонаты) ровно так же, как антивирус защищает компьютер. Ну, по крайней мере, аналогии точно проводимы. Задуматься над всем этим меня заставило недавнее посещения музея, где была представлена экспозиция «Кабинет советского начальника». Я бывал в таких кабинетах, правда уже почти на излёте их существования, а девушка-экскурсовод (совсем молодая) нигде кроме своего музея все эти предметы и видеть не могла. Если бы не сотрудники музея (а так же фотографии, кинофильмы, книги и прочее), то с уходом моего поколения в лету канула бы целая эпоха… < Например, я знал о телевизорах КВН, но никогда не видел их вживую, а вот он каков красавец: Ходите в музеи, друзья, защищайте важную информацию!
25
Декабря
2010
» Праздник к нам приходит!
Новый год, самый широкоотмечаемый в нашей стране праздник, наступит уже совсем скоро. Все массово покупают подарки, предновогодние большие города изнывают от пробок, а от коллег начали поступать письма с новогодними корпоративными электронными открытками, являющимися непременной традицией. Другая традиция - украшать главную страницу сайта новогодней тематикой - и станет темой этого поста.Согласно заявленной тематике блога, скрестим новый год и информационную безопасность. Возьмём Рейтинг CNews Security 2010 «Крупнейшие ИТ-компании России в сфере защиты информации», найдём Яндексом (в Рунете, всё же, он пока ищет лучше Google) страницы упомянутых компаний и посмотрим, как украшены их сайты.1 место. Лаборатория Касперского.Кролик в халате и очках с сросшимися зубами приобрёл неожиданный зелёный окрас. Так в советских журналах типа "Крокодил" на карикатурах обычно обозначали вполне конкретную категорию граждан. Посмотрите внимательно - кролик на 1/6 глаза уже залил!2 место. R-Style.Считают, что нет такой традиции, как украшение сайта. Всё буднично и по деловому.3 место. LetaGroup.В процессе зарабатывания бронзового места времени на новогодний дизайн не нашли.4 место. Информзащита.Опять зелёный, но для ёлки это всё же более естественный цвет.5 место. Softline.Ёлка явно покрупнее и солиднее, даже подарки какие-то предусмотрены.6 место. Аквариус.Забыли о празднике и вкалываем! Никакой мишуры!7 место. Астерос.Серое Е всё объясняет. Здесь нЕт мЕста отмЕчанию праздника.8 место. РНТ.После короткой борьбы с PuntoSwitcher, упорно превращающим РНТ в HYN, ничего новогоднего опять не обнаружилось.9 место. Орбита.Яндекс по запросу Орбита выдал сайт искомой компании только на 35 месте. Не самый лучший пример уникальности названия. Логотип же компании, видимо, текуще(прошло)годний и как его собираются обыгрывать в 2011 году - пока не совсем понятно.Дальше почти всё скучно, но с некоторыми приятными исключениями: и так далее...
22
Декабря
2010
» 12/1001. Что не так со Skype?
В двух первых ночах проекта Тысяча и одна ночь безопасности уже рассматривался (1/1001, 2/1001) сервис обмена мгновенных сообщений ICQ. Его слабость с точки зрения вопросов информационной безопасности может служить хорошим поводом для перехода на альтернативные варианты, например, на Skype, который давно уже не воспринимается как средство только для голосовой и видео связи. Однако, не всё так радужно и с этим вариантом общения по сети. Что мы чаще всего слышим про Skype и его безопасность? Весь трафик Skype надёжно зашифрован Skype сложно/невозможно заблокировать администраторам сети Skype не любят спецслужбы, т.к. не могут его перехватывать/Skype создали спецслужбы, чтобы следить за всеми Что-то из этого правда, что-то - не совсем, но есть некоторые важные и неоспоримые факты, которые нужно учитывать, даже если их трактовка может быть различная. Skype использует закрытые алгоритмы Спор о том, что лучше с точки зрения безопасности - открытые исходные коды или наоборот - можно вести долго, но суть дела это не меняет. Надёжность закрытых систем можно определить только с помощью реинжиниринга (процесс "обратного" анализа работы алгоритма) или экспериментально. Верить рекламным заявлениям производителя о высокой безопасности никто ведь, надеюсь, не собирается? Skype в вопросе закрытости пошёл настолько дальше, насколько это только возможно. И следующий важный факт: Skype использует закрытые протоколы Что это означает на практике? Никто не может написать стороннего клиента для Skype без дополнительных усилий. Клиентов для ICQ много и, хотя пользователи альтернативных клиентов периодически испытывают проблемы с подключениями, в целом, процесс выпуска альтернатив отлажен. Для Skype альтернатив практически нет. Зачем нужны альтернативы, спросите Вы? Ну хотя бы для того, чтобы не зависеть от разработчика при выборе платформы (Mac, PC, Android, iOS и т.п.) или иметь возможность использовать аггрегированные сервисы обмена сообщений. Единственный сервис, поддерживающй среди прочих популярных протоколов и Skype, который мне удалось найти - это imo.im, принцип работы которого, к своему стыду я пока не понял. При вводе логина и пароля от Skype Вы получаете полный доступ к своему Skype-чату с единственной обнаруженной мной неработающей "фишкой" - групповые чаты. Почему же для Skype нет альтернативных клиентов? Разработчики не только не опубликовали стандарта протокола, но и постарались максимально усложнить жизнь реинженерам, которые несмотря на все препятствия, сумели обойти защиту и понять принципы работы Skype. Очень хорошая статья на эту тему есть здесь. Skype строит Империю Выше уже говорилось о сервисах аггрегации служб обмена сообщений, несомненным перимуществом которых является возможность общения в рамках одного приложения со всеми контактами изо всех контакт-листов разных сервисов обмена мгновенных сообщений (ICQ, Skype, Jabber и т.д.) К нашему (пользователей) сожалению, Skype посследовательно рассорился с Fring, Nimbuzz и, наверняка, другими крупными игроками. На сегодняшний день, если Вы хотите в "едином окне" общаться с Вашими друзьями из Skype-чата и любого другого контакт-листа, приготовьтесь к сложностям, ограничениям (в том числе и по платформам) и прочим неприятностям. Всё вышеописанное может означать только одно - Skype в наш век "объединения всех со всеми во имя Пользователя" пытается построить свою собственную вселенную, в которой не место остальным. Не являясь провидцем, всё же сочту такую позицию неверной. Вселенная Apple в виде iPhone, вселенная Microsoft в виде приложения от Apple, работающего на рабочем (это, вроде, не тафтология или да?) Windows 7, и вселенная Google, в виде возможности синхронизации в вышеупомянутом приложении контактов Gmail и Mobile Me, умеют найти общий язык между собой. Skype же предпочитает использовать свой собственный язык, досконально известный только ему самому. Заключение Непростой получился пост, как для читателей, так и для автора. Готовых и всеми одобренных ответов на большинство поднятых вопросов пока нет. Skype, вне всякого сомнения, удобен, но (c) меня терзают смутные сомнения... И первые лучи солнца озарили подборку статей про Skype... Skype: скрытая угроза Раскрыт самый большой секрет Skype (Habrahabr) Информационная безопасность в Skype (Skype) Skype - Критика (Википедия) Секреты Skype (Lurkmore) =)
17
Декабря
2010
» Штатные средства не всегда хороши
Сегодня на дороге увидел один из вариантов борьбы с проблемой пробок. Сплошная разделительная полоса была усилена проставленными на ней оранжево-белыми полосатыми конусами. Дело было на съезде с эстакады: согласно дорожной разметке съезд здесь разрешён только с крайней правой полосы, но на деле жаждущие попасть домой водители каждый вечер выстраиваются в два, а то и в три ряда, перегораживая саму эстакаду и создавая пробку на подъезде к ней. Выстроенная искуственная преграда дисциплинировала водителей, вынуждая занимать положенное место в потоке машин. Данный пример служит хорошей иллюстрацией того, что штатные средства не всегда справляются с поставленной задачей на приемлемом уровне. По правилам дорожного движения сплошную разделительную полосу и так пересекать нельзя, но нарушителей в рассматриваемом случае это не останавливало, что потребовало введения дополнительных мер. Разделительная полоса на крупных трассах вообще часто выполняется в виде металлических или бетонных конструкций, "пересечь" которые если и можно, то на каждой отдельно взятой машине, пожалуй, только один раз. Подобный подход применяется и для обеспечения информационной безопасности: штатные средства операционной системы по разграничению доступа усиливаются дополнительными средствами защиты информации (СЗИ), для виртуальных инфраструктур предлагаются соответствующие надстройки, реализующие дополнительные механизмы защиты, загрузка компьютера контролируется электронными замками и т.п. Всё это, как и в случае с конусами, делается с целью создания дополнительных барьеров для нарушителей. Кстати, за конусами приглядывал сотрудник ДПС, этакий аналог системного администратора или выделенного офицера безопасности. Приглядывал, чтобы "пластмассовое СЗИ" не сбили (не бе
14
Декабря
2010
» LastPass купил Xmarks
Лучший, на мой взгляд, онлайн сервис хранения паролей LastPass сообщил о приобретении Xmarks. Xmarks (ранее назывался Foxmarks) - это плагин для синхронизации закладок между разными браузерами и рабочими местами.Xmarks, по своей сути, удобный плагин, который позволяет создать закладку, например, находясь на работе в офисе, и увидеть её же в браузере у себя дома. После переустановки операционной системы, покупки нового ноутбука и во многих других случаях можно в считанные секунды получить привычное окружение. По крайней мере в том, что касается работы в сети Интернет, точно.Объединение LastPass и Xmarks, в общем-то, вполне логично. В каком-то смысле LastPass и раньше можно было использовать как централизованное хранилище закладок, но возможности Xmarks позволяют всё делать более удобно: закладки отображаются непосредственно в браузере так, как это привычно пользователю, не надо входить в какой-то личный кабинет или что-то подобное, т.к. меняются закладки самого браузера.Сам сервисом Xmarks я уже какое-то время не пользуюсь по причине того, что под Mac OS есть плагин только для Safari, а мне милее Google Chrome, у которого, кстати, есть собственный сервис по синхронизации закладок между разными компьютерами с установленным Chrome, коим я и пользуюсь.Кстати, у Xmarks для Firefox и Chrome реал
13
Декабря
2010
» Все пишут про перенос сроков 152-ФЗ
Алексей ВолковИмитация бурной деятельности<blockquote>Наверное, все уже в курсе, что разумная законодательная инициатива депутата Государственной думы А.Г.Аксакова, связанная с продлением срока приведения ИСПДн, созданных до 26.01.2007 г. в соответствие с требованиями Федерального закона “О персональных данных” еще на один год - до 01.01.2012 г., и выраженная в соответствующем законопроекте, обрела массовую поддержку: сегодня законопроект прошел первое чтение. Алексей ЛукацкийАксаковский законопроект - 445 голосов “за”<blockquote>Итак, вчера на заседании ГосДумы аксаковский законопроект о переносе сроков ст.25.3 ФЗ-152 получил 445 голосов “за”. Евгений ЦарёвЗаконопроект Аксакова прошел<blockquote>Проект федерального закона № 444277-5 “О внесении изменений в статью 25 Федерального закона “О персональных данных” (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона “О персональных данных”) Принят в первом чтении. Что изменится после переноса срока приведения информационных систем персональных данных в соответствие?<blockquote>Звонят журналисты, задают вопросы по поводу принятия в первом чтении законопроекта о переносе срока приведения информационных систем персональных данных в соответствие 152-ФЗ. Решил написать свое мнение по этому. Все по плану или двигаем срок не на 1 год, а на 6 месяцев<blockquote>Как и предполагалось, ко второму чтению пойдет законопроект со следующей формулировкой:Пункт 3 статьи 25 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 52, ст. 6439) изложить в следующей редакции:«3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.». CNewsОператорам персональных данных «подарят» еще один год<blockquote>Спустя год после переноса срока приведения информационных систем в соответствие с законом «О персональных данных» до 1 января 2011 г., менее чем за месяц до наступления этой даты, Госдума почти единогласно приняла в первом чтении очередную отсрочку. В новом законопроекте говорится, что операторы должны выполнить эти работы до наступления 2012 г. Персональные данные: новую отсрочку на год могут пересмотреть<blockquote>7 декабря Госдума в первом чтении приняла законопроект «О внесении изменений в статью 25 Федерального закона «О персональных данных» (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона «О персональных данных»), в котором говорит
11
Декабря
2010
» ВТО и криптография
Новости о том, что Россия стоит буквально на пороге вступления в ВТО, появляются в СМИ с завидной регулярностью. Вот как пример: “США и Россия договорились на 95% по вопросу вступления России в ВТО”. Что же заложено в оставшиеся 5%? Что (пока ещё) мешает? В общем-то, сущая безделица: права на интеллектуальную собственность в России поставки американского продовольствия поставки из США продукции с применением криптографических технологий “Ножки Буша” и “налог на болванки” оставим в стороне, а вот ввоз криптографических средств - это вопрос интересный. Многие знают, что просто так ввести в Россию сильную (с ключом больше 56 бит) криптографию, реализованную аппаратно (VPN-сервера, криптоакселлераторы и прочее) крайне затруднительно, особенно с 01 января 2010 года. На самом же деле экспорт из США high-encryption (HENC) тоже ограничен. Бюро промышленности и безопасности Министерства торговли (Bureau of Industry and Security of U.S. Department of Commerce) регламентирует вопросы экспорта и, в частности, полностью запрещает вывоз HENC в некоторые страны (Куба, Иран, Судан и т.п.) или ограничивает экспорт в зависимости от конечного пользователя. Так, например, требуется получение специального разрешения для продажи в правительственные организации большинства стран, не входящих в Евросоюз, и даже некоторых стран Евросоюза. Для поставки же в организации, разрабатывающие или производящие ядерное, химическое или биологическое оружие, а так же связанные с оборонной деятельностью или атомной энергетикой, получить разрешение на экспорт HENC практически нереально. Более того, ведутся специальные перечни организаций и частных лиц, продажа которым вообще чего бы то ни было сильно ограничена или запрещена. При этом в лучших традициях капитализма за отдельную плату можно подписаться на специальный сервис уведомлений об изменениях в этих перечнях =) В связи со всем вышеизложенным, как это ни странно, невольно возникает вопрос: в процессе согласования по вступлению России в ВТО - Россия упростит ввоз сильной криптографии или США облегчит правила продаж своих HENC-решений российским государственным и иным компаниям?
Коллега по работе поделился забавной картинкой:Отличная идея для корпоративного подарка =)
Продолжим исследование Рейтинга CNews Security 2010 «Крупнейшие ИТ-компании России в сфере защиты информации». Мы уже полюбовались на новогодние логотипы компаний-лидеров рынка. Теперь ради любопытства посмотрим, на чём ездили их генеральные директора. Поможет нам в этом сайт База ГИБДД, ссылку на который в своём блоге размещал Игорь Хайров.Итак, генеральным директором лидера рынка ИБ по версии CNews (Лаборатория Касперского) работает .... Евгений Валентинович Касперский, 04 октября 1965 года рождения. Вот его краткая история автомобилевладения с картинками.25 февраля 1998 годаПокупаем новенькую ВАЗ 21093 (текущая стоимость 70 560 руб.) 20 января 2000 года По какой-то причине номера были утрачены, получаем новые. Что случилось? Неужели разбил? 21 августа 2001 года Покупаем ВАЗ 21099 опять-таки новую (текущая стоимость 91 160 руб.) Ну, если и разбил, то несильно: полтора года без машины вряд ли можно протянуть. Но новую, всё же, спустя эти полтора года на замену(?) покупаем... 30 июня 2004 года Покупаем несильно подержанный БМВ 2002 года (текущая стоимость 492 670 руб.) 10 сентября 2004 года Решили продавать "ласточку" ВАЗ 21093, для чего снимаем её с регистрации. Номера меняли 4 с лишним года назад: значит, всё же не разбил вхлам =) 15 ноября 2005 года Знаменательный день. Куплены сразу две машины. БМВ Х3 свеженькая (текущая стоимость 492 670 руб.) БМВ 330I тоже свежак (текущая стоимость 723 390 руб.) В заключение, собственно, картинка статистики с сайта nomer.org: Изучение автомобилей остальных генеральных директоров можно проделать самостоятельно. К сожалению (?) последние записи в базе датируются 2005 годом и что происходит с автопарком генеральных директоров лидеров рынка ИБ сейчас - не столь очевидно. Важно: Изображения автомобилей взяты с сайтов http://wikipedia.org, http://cars.88000.org и http://www.stv-auto.ru. Вся информация об автомобилях, операциях над ними и их владельцах взята с сайта http://www.nomer.org. В случае наличия обоснованных претензий со стороны упомянутых в посте личностей, информация будет удалена незамедлительно.
Экраны современных гаджетов по размерам, углам обзора и чёткости изображений не идут ни в какое сравнение с девайсами прошлых лет.
Среди специалистов в области информационной безопасности не так часто встретишь гуманитария, да и сама эта область знаний ассоциируется как-то больше с техническими средствами, а в наши дни - практически исключительно с компьютерами и сетями. В одной из своих статей я уже поднимал этот вопрос, но так как сотрудничество с CIO оказалось не таким продолжительным, тема тогда развития не получила. Попробуем ещё раз. Известное выражение: «Народ, который не помнит своего прошлого, не достоин будущего», - выражает ту простую мысль, что историческая память нации является основой для её существования, а утрата такой памяти может иметь самые негативные последствия, вплоть до полного исчезновения самой нации. С этой точки зрения, для нации крайне важной является задача сохранения исторического наследия, а другими словами - информации о своём прошлом. Говоря более привычным техническим языком, необходимо обеспечить целостность и доступность этой информации. В общем-то, заголовок поста, полагаю, уже понятен. Музеи - это инструмент накопления и сохранения, а также предоставления возможности для ознакомления с информацией об истории наций и отдельных людей. Музеи защищают важную информацию и её носители (экспонаты) ровно так же, как антивирус защищает компьютер. Ну, по крайней мере, аналогии точно проводимы. Задуматься над всем этим меня заставило недавнее посещения музея, где была представлена экспозиция «Кабинет советского начальника». Я бывал в таких кабинетах, правда уже почти на излёте их существования, а девушка-экскурсовод (совсем молодая) нигде кроме своего музея все эти предметы и видеть не могла. Если бы не сотрудники музея (а так же фотографии, кинофильмы, книги и прочее), то с уходом моего поколения в лету канула бы целая эпоха… < Например, я знал о телевизорах КВН, но никогда не видел их вживую, а вот он каков красавец: Ходите в музеи, друзья, защищайте важную информацию!
Новый год, самый широкоотмечаемый в нашей стране праздник, наступит уже совсем скоро. Все массово покупают подарки, предновогодние большие города изнывают от пробок, а от коллег начали поступать письма с новогодними корпоративными электронными открытками, являющимися непременной традицией. Другая традиция - украшать главную страницу сайта новогодней тематикой - и станет темой этого поста.Согласно заявленной тематике блога, скрестим новый год и информационную безопасность. Возьмём Рейтинг CNews Security 2010 «Крупнейшие ИТ-компании России в сфере защиты информации», найдём Яндексом (в Рунете, всё же, он пока ищет лучше Google) страницы упомянутых компаний и посмотрим, как украшены их сайты.1 место. Лаборатория Касперского.Кролик в халате и очках с сросшимися зубами приобрёл неожиданный зелёный окрас. Так в советских журналах типа "Крокодил" на карикатурах обычно обозначали вполне конкретную категорию граждан. Посмотрите внимательно - кролик на 1/6 глаза уже залил!2 место. R-Style.Считают, что нет такой традиции, как украшение сайта. Всё буднично и по деловому.3 место. LetaGroup.В процессе зарабатывания бронзового места времени на новогодний дизайн не нашли.4 место. Информзащита.Опять зелёный, но для ёлки это всё же более естественный цвет.5 место. Softline.Ёлка явно покрупнее и солиднее, даже подарки какие-то предусмотрены.6 место. Аквариус.Забыли о празднике и вкалываем! Никакой мишуры!7 место. Астерос.Серое Е всё объясняет. Здесь нЕт мЕста отмЕчанию праздника.8 место. РНТ.После короткой борьбы с PuntoSwitcher, упорно превращающим РНТ в HYN, ничего новогоднего опять не обнаружилось.9 место. Орбита.Яндекс по запросу Орбита выдал сайт искомой компании только на 35 месте. Не самый лучший пример уникальности названия. Логотип же компании, видимо, текуще(прошло)годний и как его собираются обыгрывать в 2011 году - пока не совсем понятно.Дальше почти всё скучно, но с некоторыми приятными исключениями: и так далее...
В двух первых ночах проекта Тысяча и одна ночь безопасности уже рассматривался (1/1001, 2/1001) сервис обмена мгновенных сообщений ICQ. Его слабость с точки зрения вопросов информационной безопасности может служить хорошим поводом для перехода на альтернативные варианты, например, на Skype, который давно уже не воспринимается как средство только для голосовой и видео связи. Однако, не всё так радужно и с этим вариантом общения по сети. Что мы чаще всего слышим про Skype и его безопасность? Весь трафик Skype надёжно зашифрован Skype сложно/невозможно заблокировать администраторам сети Skype не любят спецслужбы, т.к. не могут его перехватывать/Skype создали спецслужбы, чтобы следить за всеми Что-то из этого правда, что-то - не совсем, но есть некоторые важные и неоспоримые факты, которые нужно учитывать, даже если их трактовка может быть различная. Skype использует закрытые алгоритмы Спор о том, что лучше с точки зрения безопасности - открытые исходные коды или наоборот - можно вести долго, но суть дела это не меняет. Надёжность закрытых систем можно определить только с помощью реинжиниринга (процесс "обратного" анализа работы алгоритма) или экспериментально. Верить рекламным заявлениям производителя о высокой безопасности никто ведь, надеюсь, не собирается? Skype в вопросе закрытости пошёл настолько дальше, насколько это только возможно. И следующий важный факт: Skype использует закрытые протоколы Что это означает на практике? Никто не может написать стороннего клиента для Skype без дополнительных усилий. Клиентов для ICQ много и, хотя пользователи альтернативных клиентов периодически испытывают проблемы с подключениями, в целом, процесс выпуска альтернатив отлажен. Для Skype альтернатив практически нет. Зачем нужны альтернативы, спросите Вы? Ну хотя бы для того, чтобы не зависеть от разработчика при выборе платформы (Mac, PC, Android, iOS и т.п.) или иметь возможность использовать аггрегированные сервисы обмена сообщений. Единственный сервис, поддерживающй среди прочих популярных протоколов и Skype, который мне удалось найти - это imo.im, принцип работы которого, к своему стыду я пока не понял. При вводе логина и пароля от Skype Вы получаете полный доступ к своему Skype-чату с единственной обнаруженной мной неработающей "фишкой" - групповые чаты. Почему же для Skype нет альтернативных клиентов? Разработчики не только не опубликовали стандарта протокола, но и постарались максимально усложнить жизнь реинженерам, которые несмотря на все препятствия, сумели обойти защиту и понять принципы работы Skype. Очень хорошая статья на эту тему есть здесь. Skype строит Империю Выше уже говорилось о сервисах аггрегации служб обмена сообщений, несомненным перимуществом которых является возможность общения в рамках одного приложения со всеми контактами изо всех контакт-листов разных сервисов обмена мгновенных сообщений (ICQ, Skype, Jabber и т.д.) К нашему (пользователей) сожалению, Skype посследовательно рассорился с Fring, Nimbuzz и, наверняка, другими крупными игроками. На сегодняшний день, если Вы хотите в "едином окне" общаться с Вашими друзьями из Skype-чата и любого другого контакт-листа, приготовьтесь к сложностям, ограничениям (в том числе и по платформам) и прочим неприятностям. Всё вышеописанное может означать только одно - Skype в наш век "объединения всех со всеми во имя Пользователя" пытается построить свою собственную вселенную, в которой не место остальным. Не являясь провидцем, всё же сочту такую позицию неверной. Вселенная Apple в виде iPhone, вселенная Microsoft в виде приложения от Apple, работающего на рабочем (это, вроде, не тафтология или да?) Windows 7, и вселенная Google, в виде возможности синхронизации в вышеупомянутом приложении контактов Gmail и Mobile Me, умеют найти общий язык между собой. Skype же предпочитает использовать свой собственный язык, досконально известный только ему самому. Заключение Непростой получился пост, как для читателей, так и для автора. Готовых и всеми одобренных ответов на большинство поднятых вопросов пока нет. Skype, вне всякого сомнения, удобен, но (c) меня терзают смутные сомнения... И первые лучи солнца озарили подборку статей про Skype... Skype: скрытая угроза Раскрыт самый большой секрет Skype (Habrahabr) Информационная безопасность в Skype (Skype) Skype - Критика (Википедия) Секреты Skype (Lurkmore) =)
Сегодня на дороге увидел один из вариантов борьбы с проблемой пробок. Сплошная разделительная полоса была усилена проставленными на ней оранжево-белыми полосатыми конусами. Дело было на съезде с эстакады: согласно дорожной разметке съезд здесь разрешён только с крайней правой полосы, но на деле жаждущие попасть домой водители каждый вечер выстраиваются в два, а то и в три ряда, перегораживая саму эстакаду и создавая пробку на подъезде к ней. Выстроенная искуственная преграда дисциплинировала водителей, вынуждая занимать положенное место в потоке машин. Данный пример служит хорошей иллюстрацией того, что штатные средства не всегда справляются с поставленной задачей на приемлемом уровне. По правилам дорожного движения сплошную разделительную полосу и так пересекать нельзя, но нарушителей в рассматриваемом случае это не останавливало, что потребовало введения дополнительных мер. Разделительная полоса на крупных трассах вообще часто выполняется в виде металлических или бетонных конструкций, "пересечь" которые если и можно, то на каждой отдельно взятой машине, пожалуй, только один раз. Подобный подход применяется и для обеспечения информационной безопасности: штатные средства операционной системы по разграничению доступа усиливаются дополнительными средствами защиты информации (СЗИ), для виртуальных инфраструктур предлагаются соответствующие надстройки, реализующие дополнительные механизмы защиты, загрузка компьютера контролируется электронными замками и т.п. Всё это, как и в случае с конусами, делается с целью создания дополнительных барьеров для нарушителей. Кстати, за конусами приглядывал сотрудник ДПС, этакий аналог системного администратора или выделенного офицера безопасности. Приглядывал, чтобы "пластмассовое СЗИ" не сбили (не бе
Лучший, на мой взгляд, онлайн сервис хранения паролей LastPass сообщил о приобретении Xmarks. Xmarks (ранее назывался Foxmarks) - это плагин для синхронизации закладок между разными браузерами и рабочими местами.Xmarks, по своей сути, удобный плагин, который позволяет создать закладку, например, находясь на работе в офисе, и увидеть её же в браузере у себя дома. После переустановки операционной системы, покупки нового ноутбука и во многих других случаях можно в считанные секунды получить привычное окружение. По крайней мере в том, что касается работы в сети Интернет, точно.Объединение LastPass и Xmarks, в общем-то, вполне логично. В каком-то смысле LastPass и раньше можно было использовать как централизованное хранилище закладок, но возможности Xmarks позволяют всё делать более удобно: закладки отображаются непосредственно в браузере так, как это привычно пользователю, не надо входить в какой-то личный кабинет или что-то подобное, т.к. меняются закладки самого браузера.Сам сервисом Xmarks я уже какое-то время не пользуюсь по причине того, что под Mac OS есть плагин только для Safari, а мне милее Google Chrome, у которого, кстати, есть собственный сервис по синхронизации закладок между разными компьютерами с установленным Chrome, коим я и пользуюсь.Кстати, у Xmarks для Firefox и Chrome реал
Алексей ВолковИмитация бурной деятельности<blockquote>Наверное, все уже в курсе, что разумная законодательная инициатива депутата Государственной думы А.Г.Аксакова, связанная с продлением срока приведения ИСПДн, созданных до 26.01.2007 г. в соответствие с требованиями Федерального закона “О персональных данных” еще на один год - до 01.01.2012 г., и выраженная в соответствующем законопроекте, обрела массовую поддержку: сегодня законопроект прошел первое чтение. Алексей ЛукацкийАксаковский законопроект - 445 голосов “за”<blockquote>Итак, вчера на заседании ГосДумы аксаковский законопроект о переносе сроков ст.25.3 ФЗ-152 получил 445 голосов “за”. Евгений ЦарёвЗаконопроект Аксакова прошел<blockquote>Проект федерального закона № 444277-5 “О внесении изменений в статью 25 Федерального закона “О персональных данных” (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона “О персональных данных”) Принят в первом чтении. Что изменится после переноса срока приведения информационных систем персональных данных в соответствие?<blockquote>Звонят журналисты, задают вопросы по поводу принятия в первом чтении законопроекта о переносе срока приведения информационных систем персональных данных в соответствие 152-ФЗ. Решил написать свое мнение по этому. Все по плану или двигаем срок не на 1 год, а на 6 месяцев<blockquote>Как и предполагалось, ко второму чтению пойдет законопроект со следующей формулировкой:Пункт 3 статьи 25 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 52, ст. 6439) изложить в следующей редакции:«3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.». CNewsОператорам персональных данных «подарят» еще один год<blockquote>Спустя год после переноса срока приведения информационных систем в соответствие с законом «О персональных данных» до 1 января 2011 г., менее чем за месяц до наступления этой даты, Госдума почти единогласно приняла в первом чтении очередную отсрочку. В новом законопроекте говорится, что операторы должны выполнить эти работы до наступления 2012 г. Персональные данные: новую отсрочку на год могут пересмотреть<blockquote>7 декабря Госдума в первом чтении приняла законопроект «О внесении изменений в статью 25 Федерального закона «О персональных данных» (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона «О персональных данных»), в котором говорит
Новости о том, что Россия стоит буквально на пороге вступления в ВТО, появляются в СМИ с завидной регулярностью. Вот как пример: “США и Россия договорились на 95% по вопросу вступления России в ВТО”. Что же заложено в оставшиеся 5%? Что (пока ещё) мешает? В общем-то, сущая безделица: права на интеллектуальную собственность в России поставки американского продовольствия поставки из США продукции с применением криптографических технологий “Ножки Буша” и “налог на болванки” оставим в стороне, а вот ввоз криптографических средств - это вопрос интересный. Многие знают, что просто так ввести в Россию сильную (с ключом больше 56 бит) криптографию, реализованную аппаратно (VPN-сервера, криптоакселлераторы и прочее) крайне затруднительно, особенно с 01 января 2010 года. На самом же деле экспорт из США high-encryption (HENC) тоже ограничен. Бюро промышленности и безопасности Министерства торговли (Bureau of Industry and Security of U.S. Department of Commerce) регламентирует вопросы экспорта и, в частности, полностью запрещает вывоз HENC в некоторые страны (Куба, Иран, Судан и т.п.) или ограничивает экспорт в зависимости от конечного пользователя. Так, например, требуется получение специального разрешения для продажи в правительственные организации большинства стран, не входящих в Евросоюз, и даже некоторых стран Евросоюза. Для поставки же в организации, разрабатывающие или производящие ядерное, химическое или биологическое оружие, а так же связанные с оборонной деятельностью или атомной энергетикой, получить разрешение на экспорт HENC практически нереально. Более того, ведутся специальные перечни организаций и частных лиц, продажа которым вообще чего бы то ни было сильно ограничена или запрещена. При этом в лучших традициях капитализма за отдельную плату можно подписаться на специальный сервис уведомлений об изменениях в этих перечнях =) В связи со всем вышеизложенным, как это ни странно, невольно возникает вопрос: в процессе согласования по вступлению России в ВТО - Россия упростит ввоз сильной криптографии или США облегчит правила продаж своих HENC-решений российским государственным и иным компаниям?