НОВОЕ В БЛОГАХ
rmm
Все относительно
rmm - 5 Ноября
rmm
О пребывании в психиатрической больнице N1
rmm - 5 Ноября
Sana
Back up!
Sana - 9 Августа
rmm
"Я стар и беден, и я груб
rmm - 26 Июня
rmm
У Вятки, или же Перми
rmm - 26 Июня
мирт
ДЕНЬ РОССИИ
мирт - 12 Июня
мирт
Рита Ельцова
мирт - 8 Июня
Pa-ha
Нейросети
Pa-ha - 7 Июня
мирт
Встречи
мирт - 5 Июня
мирт
день победы
мирт - 10 Мая

Хакеры работают

vant
*
Рейтинг:
1400
Сообщений:
1,267
Пользователь:
12,358
На сайте с:
Июн 2012
11 Июля 2013, 10:37 | Оценка: нет оценки
Компьютерный сбой ограничил полеты над южными районами Великобритании
9 июля 2013 г.



Не удалось загрузить изображение
Global Look Press

Диспетчерские службы Великобритании ограничили количество полетов в южной части страны, сделано это было из-за компьютерных проблем в системах управления воздушным движением. Предпринятая мера носит предупредительный характер, угрозы безопасности полетов нет, передает BBC.
"Диспетчеры уменьшили количество рейсов, которым разрешено взлетать и садиться в южной части страны, включая Лондон. Причиной ограничений стали компьютерные проблемы", - поведал телеканалу источник из Национального управления по воздушному движению, подчеркнув, что причиной сбоя могла стать "высокая интенсивность рейсов", которая повлекла за собой перезагрузку системы центра управления полетами в Саутгемптоне.
Ведомство отметило, что задержки рейсов из Великобритании не превышали, в среднем, 20 минут. "В настоящее время ситуация нормализуется. Мы ведем работу с аэропортами, авиакомпаниями и Евроконтролем (европейская организация безопасности аэронавигации), чтобы свести негативные последствия сбоя к минимуму. Мы сожалеем о причиненных неудобствах, однако нашим главным приоритетом всегда будет безопасность авиапассажиров", передает официальный сайт Управления.
Одной из первых о неполадках сообщила пресс-служба аэропорта Джерси на своей официальной странице в Facebook. "Сбой в компьютерной системе Национального управления по воздушному перемещению привел к временной приостановке всех рейсов над Великобританией. Инцидент не коснулся воздушного пространства Франции". Чуть позже службы аэропорта успокоили пассажиров, заверив, что несмотря на неполадки, они могут в обычном порядке регистрироваться на рейсы.


newsru.com
*
Андрей Шувалов
Авторитет
Рейтинг:
909
Сообщений:
1,194
Пользователь:
12,205
На сайте с:
Мая 2012
11 Июля 2013, 17:15 | Оценка: нет оценки
Если нет мифов [в информационной безопасности], их надо придумать
Емельянников Михаил
11.07.2013 09:07:00

Тема мифотворчества в информационной безопасности – одна из самых популярных. Их, эти мифы, любят рассматривать и опровергать, аргументируя свою позицию ссылками на мировой и личный опыт. Их собирают и систематизируют, рассматривают под лупой и в целом.

Прочтение последнего, по времени появления, материала, очередного борца с иллюзиями, на этот раз – из глубоко уважаемой компании Gartner, натолкнуло меня на мысль, что эти мифы порой создаются не коллективным творчеством масс специалистов, заблудших в поисках ответов на бесконечные «вызовы времени», и ищущих пути защиты и спасения, а рождаются в тихих кабинетах аналитиков с целью опровергнуть их затем публично и успешно.
Судите сами. Примерно месяц назад в зарубежных ИТ- и ИБ-изданиях (например, здесь ) активно цитировалась публикация Jay Heiser из упомянутой компании. Похоже, это изначально была даже не статья, а презентация, но найти ее на сайте Gartnerмне не удалось. Перевели ее и российские «Открытые системы» .

Обсуждения высказанной точки зрения практически не было, все просто перепечатывали текст. Свое мнение хотелось высказать сразу, но времени не было совсем. Коль скоро тема не обсуждалась, а актуальности не потеряла, думаю, это возможно сделать и сейчас.
В публикации приводятся и опровергаются 10 мифов. Почему 10? Число красивое! Но как-то сразу вызывает подозрения. Если бы их было 8 или 11, у меня лично это доверия вызвало бы больше. Но Gartnerчисло 10 очень любит. Погуглите, кто не верит.

По прочтении материала появилось устойчивое впечатление, что так, как опровергаемые автором специалисты, я не думаю, и, самое главное, не думал никогда. Более того, из разговоров с моими коллегами, партнерами, клиентами, из того, что я слышу на конференциях и читаю в интернете, складывается мнение, что так никто вокруг меня тоже не думает.
Но если заблуждение не является массовым, то откуда могут появиться мифы? Только из пробирки.

Итак, по порядку. Перевод немного не совпадает с «Открытыми системами», да не обидятся на меня коллеги.

Миф № 1.Этого не случится со мной. Среди специалистов по информационной
безопасности этот миф родиться просто не мог, иначе место работы автоматически закрывается. Среди мифотворцев автор упоминает еще загадочных «бизнес-менеджеров». Если речь идет о топах, влияющих на процесс, то там мифы совсем другие: «Жили без этого, и еще поживем», «Столько лет ничего не случалось, с чего вдруг это случится?» и т.д. Но «Со мной не случится» - это уже какой-никакой, а риск-менеджмент: выявление угрозы, оценка риска и принятие решения по управлению им. А реальные мифы основаны на самом отрицании наличия угрозы и необходимости противодействия рискам.

Миф № 2. Бюджет на ИБ – это 10% общих затрат на ИТ. Это не миф. Это известный каждому просителю бюджета аргумент, основанный на «лучших практиках». Все знают, что никто никогда этой величины не считал, статистики нет, но как-то обосновывать свою долю в ИТ-проекте надо. Если это проект чисто айтишный, все знают, что 10% не видать, как своих ушей без зеркала. Но если удастся убедить руководство в открытии ИБ-проекта, бюджет будет не 10, а все 100%.

Миф № 3. Риски безопасности могут быть оценены количественно. Можно было бы ограничиться коротким «ха-ха». Наличие мифа как такового, во всяком случае, в России, опровергается наличием в методике актуализации угроз ФСТЭКа слов «Вербальные градации вероятности реализации угрозы», «Вербальная интерпретация возможности реализации угрозы» и «Вербальный показатель опасности угрозы». Количественно, говорите?

Миф № 4. Мы обеспечили физическую безопасность (или SSL), и теперь вы знаете, что ваши данные в безопасности. Само наличие в английской версии местоимений «мы» и «вы» готовит о том, что миф распространяется кем-то, не пользователем. Заказчиков, которые поверили бы в достаточность только физических мер защиты или использования криптографии, (см. Миф № 10) я не встречал никогда. Даже когда сам начинал быть заказчиком. И совершенно не понимаю, из каких реальных условий такой миф мог бы родиться.

Миф № 5. Уменьшение срока действия пароля и его усложнение снижают риски. А вот тут стоп. Это вовсе не миф, пока, во всяком случае. Отнесение этого утверждения к мифу основывается на высокомерном утверждении, что сама идея использования паролей глубоко ошибочна, потому что они не ломаются, а перехватываются. Многофакторная аутентификация, токены и биометрия, одноразовые пароли генераторов случайных чисел и систем синхронизации времени – это все здорово, но зачем они там, где стоимость информации меньше, чем системы аутентификации. Поживем еще с паролями. А тогда и время действия пароля, и его длина, и сложность имеют значение. И снижают риски.

Миф № 6. Выделение ИБ из ИТ автоматически обеспечивает хорошую (в подлиннике – good) безопасность.Что, правда, кто-то когда-то так думал? Автоматически? Да, во многих случаях (не всегда!) переподчинение ИБ руководителю службы безопасности или даже первому лицу (зависит от бизнеса) способствует снижению рисков, почему – написано многобукв. Но никогда это не рассматривается как панацея. Никакая оргмера не может ею стать. И кому, как не Gartner, это знать. Да и многие компании, делающие бизнес исключительно на ИТ (дата-центры, например), не имеют служб ИБ. Не читают они мифов древней Грециинового Gartner.

Миф № 7. Следование безопасным практикам – проблема руководителя ИБ. Миф какой-то путаный, непоследовательный. Тут и переложение на CISO(по-русски – руководитель службы информационной безопасности) всех проблем, и его неспособность дать ответы на все вопросы. Но на самом деле – это тоже не миф, а суровая реальность. Если произойдет инцидент ИБ, и ответственный за ИБ будет доказывать, что он сделал, все, что мог, а его не слушали, ответом будет «Плохо убеждали». Проверено. Переложить ответственность на чужие плечи не удастся. ИБ – проблема CISO. И хороший CISOотличается от плохого не наличием международных сертификатов, а умением строить отношения в компании. CИТ-подразделением. С финдиректором. С директором по рискам, если он есть. С гендиректором, если сможет выйти на этот уровень. Но отвечает за все он. И это не миф.

Миф № 8. Покупка универсального средства решает все проблемы. Ага. Серебряная пуля. Волшебная кнопка. Философский камень. Нет такого. Даже самые наглые продавцы в ИБ не пытаются его продавать. А это говорит о многом.

Миф № 9. Примем политику, и все проблемы будут решены. Даже самые замшелые консервативные адепты бумажной безопасности (ну вроде меня) никогда не говорили, что сама по себе политика решает проблемы безопасности. Проблемы решают выстроенные, в соответствии с политикой, процедуры и применяемые в соответствии с ней же средства. Миф высосан из пальца.

Миф № 10. Шифрование является лучшим способом сохранить ваши важные данные в безопасности. Никто из практиков так не думает и не думал. Никогда. А уж у нас, учитывая специфику использования средств шифрования, к ней прибегают только тогда, когда обойтись без нее решительно невозможно. С автором не поспоришь в том, что для применения криптографии надо иметь соответствующий опыт и знания. Но вот в то, что это «чаша Грааля» или «волшебная пуля» может поверить только дилетант, начитавшийся кривых учебников по криптографии. Если наивные до такой степени дилетанты в сфере ИБ вообще существуют.

Так зачем творить несуществующие мифы, спросите вы меня. Читайте сигнатуры аналитика к снадобьям от мифов (Cureв тексте): выявление первопричин проблем системы безопасности, создание программы информационной безопасности внутри корпоративной культуры, методический анализ рисков и приоритетов, многолетние планы обеспечения безопасности и т.д.

У вас еще есть вопросы?

securitylab.ru
Андрей Шувалов
Авторитет
Рейтинг:
909
Сообщений:
1,194
Пользователь:
12,205
На сайте с:
Мая 2012
11 Июля 2013, 17:16 | Оценка: нет оценки
Государство потратит 2,5 млн рублей на технику от Apple
10 июля, 2013

Не удалось загрузить изображение

Минкомсвязь намерена приобрести 39 ноутбуков и 24 планшета производства купертиновцев.
Министерство связи и массовых коммуникаций РФ планирует выделить порядка 2,5 млн рублей на закупку ноутбуков MacBook и планшетов iPad четвертого поколения или их эквивалентов производства Apple. Об этом свидетельствует заявка, опубликованная на портале госзакупок.
В частности, ведомство намерено приобрести четыре ноутбука MacBook Pro, 35 единиц MacBook Air и 24 планшета. Известно, что технику необходимо поставить в течение 20 рабочих дней с момента заключения госконтракта. Заявки на участие в тендере принимаются до 16 июля, а электронный аукцион назначен на 26 июля 2013 года.
Согласно данным на официальном сайте Apple в России, стоимость 13-дюймового MacBook Pro начинается от 59,99 тыс. рублей, а цена 13-дюймового MacBook Air – от 45,99 тыс. рублей. Средняя стоимость планшета Apple iPad 4 WiFi Cellular составляет 27,9 тыс. руб.

securitylab.ru
Андрей Шувалов
Авторитет
Рейтинг:
909
Сообщений:
1,194
Пользователь:
12,205
На сайте с:
Мая 2012
11 Июля 2013, 17:16 | Оценка: нет оценки
Во Франции законодатели закрепили приоритет свободного ПО
10 июля, 2013



Французский парламент принял решение о том, что в государственных высших учебных заведениях будет приоритетно использоваться свободное ПО.
Во Франции теперь на законодательном уровне будет действовать приоритет свободного программного обеспечения. Подобные поправки были приняты в Кодекс об образовании.
«Государственные учреждения высшего образования предоставляет пользователям цифровые услуги и образовательные ресурсы. Свободное программное обеспечение используется в первую очередь», - говорится в законопроекте.
Закон вступит в силу после того, как он будет подписан президентом Франции.
«Приоритет свободного ПО в государственных учреждениях высшего образования — это первый шаг. — говорит Лайонел Аллорж (Lionel Allorge), президент некоммерческой организации April по продвижению СПО во Франции. — Надеюсь, что за ним последует создание реальной государственной политики в пользу свободного ПО».
Парламентарии намеревались ввести подобные нормы и в среднем образовании, однако это предложение было отвергнуто министром образования, который сказал о невозможности отдать приоритет свободному ПО из-за «юридических сложностей».

securitylab.ru
Андрей Шувалов
Авторитет
Рейтинг:
909
Сообщений:
1,194
Пользователь:
12,205
На сайте с:
Мая 2012
11 Июля 2013, 17:16 | Оценка: нет оценки
Федералов не ждут на Defcon в этом году
//11.07.2013

На официальном сайте конференции по компьютерной безопасности Defcon опубликовано сообщение от основателя конференции Джеффа Мосса (The Dark Tangent).
Федералы, нужно некоторое время побыть врозь
На протяжении более двух десятилетий Defcon был открытой площадкой хакерской культуры, местом, где опытные профессионалы, хакеры, ученые и федералы могли встретиться, обменяться идеями и потусоваться на нейтральной территории. Наше сообщество приветствует дух открытости, доказанного доверия и взаимного уважения.
Относительно обмена информацией и общения с федералами, недавно вскрывшиеся факты сделали такое общение некомфортным для многих представителей нашего сообщества. Поэтому, я думаю, для всех сторон будет лучше, если федералы возьмут таймаут и воздержатся от посещения Defcon в этом году.
Это даст всем время думать о том, как мы дошли до такой ситуации, и что делать дальше.
The Dark Tangent
Defcon — крупнейшая в мире хакерская конференция, каждый год проводящаяся в Лас-Вегасе, штат Невада. Первый Defcon прошел в июне 1993 года. В последние годы на конференцию приезжает около 10 тыс. посетителей.

xakep.ru
Андрей Шувалов
Авторитет
Рейтинг:
909
Сообщений:
1,194
Пользователь:
12,205
На сайте с:
Мая 2012
11 Июля 2013, 17:17 | Оценка: нет оценки
92% электронных книг в России распространяется бесплатно
//10.07.2013

Не удалось загрузить изображение

Готовы ли люди платить за цифровой контент, который можно достать бесплатно? В России ответ на этот вопрос однозначно отрицательный. Как показывают исследования, около 92% электронных книг россияне не покупают в магазинах, а скачивают бесплатно (для примера, в США этот процент не превышает 12%). Более того, представители крупнейшего в России издательства «Эксмо» считают, что процент пиратской продукции еще выше: около 95%.
В то же время аналитики отмечают настоящий бум на рынке электронных книг: в России на «цифру» уже перешли 70% читающей аудитории.
Самым популярным устройством для чтения остается персональный компьютер (42%), второе место делят ноутбук (38%) и специализированное устройство для чтения электронных книг (38%), потом смартфон (28%) и планшет (21%). Одних только электронных «читалок» на руках у россиян находится примерно 20-22 млн, хотя основная часть устройств сконцентрирована в Москве и Санкт-Петербурге.

Не удалось загрузить изображение

Тиражи печатных книг стремительно снижаются: они упали на 6% в 2011 году и на 12% в 2012 году. Общее снижение за 2000-2012 годы составляет 33%. При этом опросы населения показывают, что люди не стали меньше читать, совсем наоборот. Например, вопрос «Как много книг вы прочитали за последние три месяца?» в 2011 году давал средний результат 3,94 книги, а в 2013 году — уже 4,23 книги.
Специалисты объясняют, что хотя электронная версия книги стоит примерно вдвое дешевле бумажной (120 руб. против 250 руб., в среднем по магазину «Озон»), но проявляется общее нежелание публики платить за то, что можно найти в интернете бесплатно. В результате, электронные книги составляют меньше 1% на рынке, по объему продаж.

xakep.ru
Андрей Шувалов
Авторитет
Рейтинг:
909
Сообщений:
1,194
Пользователь:
12,205
На сайте с:
Мая 2012
11 Июля 2013, 17:19 | Оценка: нет оценки
Госконтора потратила $2,7 млн на очистку от вирусов двух ПК

Не удалось загрузить изображение

//10.07.2013


Администрация по экономическому развитию (Economic Development Administration, EDA) — агентство при Министерстве экономики США — серьезно взялось за борьбу с компьютерными вирусами. Для начала специалисты агентства «обезвредили» зараженные компьютеры на сумму $170 500. Все оборудование было физически уничтожено, включая мыши и клавиатуры, сообщается в недавно опубликованном правительственном отчете
www.oig.doc....13-027-A.pdf.
После этого агентство потратило $823 тыс. на оплату услуг подрядчика по тщательному расследованию инцидента. Более миллиона долларов пришлось отдать за аренду временного оборудования, а еще $688 тыс. — на оплату услуг другого подрядчика по аудиту и составлению долговременного плана восстановления нормальной работы агентства.
Забавнее всего, что вирус изначально поразил всего два компьютера в организации. Первое сообщение об этом US-CERT выслал 6 декабря 2011 года, но из-за неразберихи в отчетности организация решила, что поражены 146 систем. В результате, директор по информационным технологиям EDA принял решение отключить все зараженные компьютеры от сети, чтобы избежать дальнейшего распространения инфекции.
В течение следующих нескольких месяцев происходил поиск вирусов на отключенных компьютерах, в процессе участвовали специалисты нескольких государственных агентств, а также частный подрядчик. К апрелю 2012 года они пришли к выводу об отсутствии на компьютерах «постоянной угрозы». Тем не менее, директор по информационным технологиям EDA решил перестраховаться и распорядился уничтожить оборудование, в том числе системные блоки, мониторы, принтеры, камеры, компьютерные мыши и мониторы. Уничтожение оборудования остановилось только в августе 2012 года, потому что у организации кончились деньги на оплату сопутствующих услуг, сообщается в отчете.

www.xakep.ru.../post/60903/
MyVL
Авторитет
Рейтинг:
1436
Сообщений:
6,059
Пользователь:
96
На сайте с:
Дек 2004
31 Октября 2013, 19:46 | Оценка: нет оценки
facepalm.gif
Столичные полицейские пресекли деятельность хакера, занимавшегося хищением средств в одном из банков Москвы..

Читать полностью: top.rbc.ru/s...886026.shtml
11 чел. читают эту тему (11 Гостей и 0 Скрытых Пользователей)