ИНФОтека

Информационная безопасность

безопасность

Информационная безопасность

Покой нам только снится

Верно сказано, что во многих знаниях многие печали. Информационная безопасность относится к тем областям, в которых чем больше узнаёшь, тем отчётливее ощущение, что знаний недостаточно для безмятежной жизни.

Признаюсь откровенно: когда я приступал к изучение основ безопасности, казалось: стоит освоить, научиться, и мир станет приятным и спокойным. Как бы не так!

Помимо прочего, я узнал, насколько неаккуратны программисты, насколько много «дыр» в их творениях. Хотите недавний пример? Небрежность программистов, создавших известную панель управления виртуальными серверами, SolusVM, привела к тому, что десятки тысяч виртуальных серверов по всему миру были уничтожены, а регистрационные данные сотен тысяч владельцев серверов стали общественным достоянием.

Дальше — больше. Чем больше узнаёшь о том, как выглядит, например, изнутри тот же Интернет, волосы встают дыбом. Огромное количество протоколов, при разработке которых о безопасности вообще не думали. Многие из этих протоколов работают по сей день и никто не собирается их менять. Упомяну ARP, чтобы не быть голословным.

Вам ещё не стало страшно?

Если да, то вам куда-то сюда. Не беспокойтесь, в ссылке нет ничего непристойного.

Если вам не страшно узнать много такого, от чего представление о безопасности может пошатнуться, то далее я привожу список курсов (оформленных в виде книг), которые начну публиковать в июле. Разминка, которой был посвящён первый месяц лета, окончена, пора серьёзно браться за дело. Интересно? Читайте дальше.

Информационная безопасность

Последняя линия обороны

Люди, плотно общающиеся с компьютерами, делятся на две больших группы: одни ещё не теряли невосстановимые данные, другие регулярно делают резервные копии.

Безопасность данных — не только и не столько заботы о том, чтобы важные сведения не попали в чужие (обычно недобрые) руки. Ведь всё на свете не абсолютно (см. основное правило номер 2). Всё, что может сломаться, рано или поздно сломается.

Это самая частая, но не единственная причина потери важных данных. Согласно многочисленным исследованиям, человеческий фактор (обычно ошибка самого владельца данных) — вторая по значимости причина потери данных. Первая — аппаратный сбой (выход из строя того, что может сломаться).

Что же делать?

Ответ прост: вести резервные копии. Чтобы не быть голословным, вкратце опишу свой собственный подход.

1. Свои книги, исходный код программ, и прочие подлежащие сохранению данные я храню при помощи т.н. системы контроля версий (в моём случае это Subversion, когда я в основном и являюсь автором и редактором данных, и Git во всех остальных случаях).

2. После каждого обновления хранилища (репозитория) оно автоматически копируется (реплицируется) на другие сервисы ведения контроля версий (скажу только, что таких минимум больше пяти).

3. Ежесуточно каждое хранилище полностью выгружается (создаётся один большой его архив, из которого хранилище можно полностью восстановить), шифруется и в таком виде отправляется на хранение на несколько служб резервного копирования (упомяну только два сервиса: BQBackup и Amazon Glacier).

4. Минимум раз в полгода я создаю физическую копию архивов (на физическом носителе — таком, как DVD диск) и размещаю несколько копий этого диска в достаточно безопасных местах, максимально удалённых от мест, где я обычно работаю.

Не бог весть как надёжно, но даёт некоторую гарантию того, что в случае фатального сбоя я не останусь целиком без итогов своей работы.

А как вы подошли к решению этой задачи? Читайте дальше, чтобы ознакомиться с моим предположением на этот счёт.

Информационная безопасность

Скажи «пароль»!

Несомненно, вы знаете старинный детский анекдот про не очень умного часового: «— Скажи пароль! — Пароль! — Проходи!»

Вряд ли я буду оригинален, если скажу, что пароли должны быть криптостойкими. Выражаясь более понятным языком, ваш пароль не должно быть легко угадать, подобрать перебором, или иным не слишком сложным действием.

Тем не менее большинство людей используют весьма нестойкие пароли. Сочетания вида «12345», «abc123», «qwerty», «пароль» всё ещё занимают лидирующее место среди самых популярных паролей всех времён и народов.

К сожалению, лекарством от такой беспечности является внезапная потеря доступа к ресурсам Сети — электронной почте, учётной записи в блог-сервисе, и так далее. Сразу скажу, что лучше не доводить до этого, не испытывать всю неприятность ситуации на собственном опыте.

А потому ниже приведу несколько простых советов о том, как создавать, хранить и помнить стойкие пароли.

Информационная безопасность

Книги и брошюры

Добро пожаловать во второй выпуск курса информационной безопасности! Напоминаю, что только подписчики (см. форму подписки в конце выпуска) смогут получить сборник выпусков в виде электронной книги, а также консультации по вопросам безопасности — преимущественно бесплатно.

Начиная со следующего выпуска, вы получите доступ к книге (точнее, серии брошюр), посвящённых вопросами безопасности, конкретно — в части создания и ведения блога. Чтобы дать представление о некоторых темах, вот взятые наугад названия некоторых из запланированных на лето брошюр.

«Безопасность блога: практическое руководство (создаём блог с нуля)», «Криптография для всех: как надёжно спрятать данные» (тем, кто в курсе, укажу ещё ключевые слова: Tomb, Truecrypt, GnuPG), «Скажи 'пароль': создание и безопасное хранение надёжных паролей», «Основы безопасности для Windows: первые действия, которые следует делать после установки операционной системы», и так далее.

Обращаю ваше внимание: только основные, «опорные» выпуски будут выходить в списке и блоге одновременно. Новостные выпуски — только в списке рассылки (если вы не подписались, настоятельно рекомендую сделать это, форма подписки внизу поста. Только в новостных списках и брошюрах я буду приводить ссылки на публикации, программное обеспечение и прочие полезности.

Итак, вот следующие два базовых правила безопасности, которыми следует руководствоваться, в дополнение к первому:

  • Абсолютной безопасности не существует
  • Дёшево, удобно, безопасно: выбирайте любые два

Рассмотрим оба чуть подробнее.

Информационная безопасность

Аксиомы безопасности

Добро пожаловать в выпуск первый курса информационной безопасности! Напоминаю, что только подписчики (см. форму подписки в конце выпуска) смогут получить сборник выпусков в виде электронной книги, а также консультации по вопросам безопасности — преимущественно бесплатно.

Что такое информационная безопасность? Пожалуйста, перед тем, как читать дальше, задайте себе этот вопрос и ответьте на него. В случае, конечно, если вам приходила в голову идея задуматься о вопросах безопасности.

Всякий раз, когда вы используете информационные технологии, есть угроза вашей безопасности. Привести примеры? Потеря (в т.ч. распространение без вашего ведома) ваших данных, нежелательная почта и иные сообщения, заражение операционной системы вредоносными программами... Открою небольшой секрет: вне зависимости от того, с чем вы работаете, можно добиться приемлемого уровня безопасности.

А начать следует с основ. С аксиом — или, если быть точным, с правил безопасности. Для себя я вывел три основных правила, из которых следует исходить, чтобы всегда быть готовым отразить любую угрозу киберпространства.

Информационная безопасность

Скажи «пароль»!

Доводилось ли вам сталкиваться с вопросами так называемой информационной безопасности? Вот типичные ситуации, о которых идёт речь:

  • вы утратили доступ к ящику электронной почты
  • ваш сайт был разрушен (т.н. deface)
  • вы получили подтверждение, что принадлежащая вам информация попала в руки тех, для кого не предназначалась

Знакомая ситуация? Если нет, мои поздравления: около 99.9% людей сталкиваются с нарушением безопасности (на своём опыте) в течение первого года пребывания в Сети. Иногда инциденты пустяковые, иногда — нет.

Например, если электронная почта используется как способ сброса пароля для тех или иных служб (электронные деньги, форумы и т.д.), потеря контроля может вам обойтись очень дорого.

В качестве подарка всем на мой произошедший вчера день рождения, я хотел бы предложить всем желающим участвовать в дополнении, тестировании и получении (бесплатно!) серии выпусков курса по информационной безопасности.

Заинтересованы? Подробности чуть ниже.

Adblock Plus

Реклама как хлеб насущный

Если вы не слышали, сколько шума вокруг фильтров рекламы в браузерах — вероятнее всего, вы не пользуетесь браузером. Ну или вас не раздражают множественные рекламные элементы, которыми иные сайты обвешаны, как новогодняя ёлка сияющими гирляндами.

Часто приходится слышать что-то подобное: «Фильтрация рекламы на сайтах — это недопустимо! Вы отнимаете у сайтов источник существования! Это ничем не лучше пиратства!»

Так ли это?

Я считаю, что нет. Я использую Adblock Plus или аналоги во всех браузерах, и не считаю это недостойным. И вот почему.

Давайте исследуем этот вопрос, начав с формулировки нескольких простых утверждений, относящихся к Интернету и его ресурсам. Итак, вот основные принципы, которые я для себя вывел.

1. Отношения посетителя сайта и владельца сайта симметричны. Никто из них по умолчанию ничем никому не обязан.

2. Если владелец сайта ожидает от меня выполнения каких-то условий использования сайта, а) об этих условиях меня нужно извещать до того, как я начинаю использовать сайт и б) сами эти условия должны быть легко доступны в виде ссылки с каждой значимой страницы сайта.

Считаете небесспорным? Прошу в комментарии, обсудим. А я пока поясню эти утверждения.

Skype hacked

Имя + почта = ?

О том, что в Skype обнаружена невероятно огромная брешь в безопасности, позволявшая отобрать учётную запись, если известно входное имя и адрес электронной почты владельца — не читал сегодня только ленивый.

Три часа назад восстановление пароля, основной рычаг применения уязвимости, было временно отключено. Сейчас, если верить источникам, брешь устранили.

Всё бы ничего, если бы владельцам Skype не сообщили об этой уязвимости как минимум три месяца (!) тому назад. И только когда алгоритм угона был опубликован сегодня на тысячах ресурсов, служба тех.поддержки Skype соблаговолила что-то, наконец, сделать.

Насколько вы уверены в безопасности бесплатного (или, что ещё хуже, платного) сервиса, которым пользуетесь? Не настало ли время пересмотреть свои представления относительно компьютерной безопасности?

StartSSL

Всё в этом мире держится на доверии. Все устои общества, все так называемые социальные законы — всё опирается на идею доверия. И это же находит своё отражение в киберпространстве.

Вопрос, который задают многие из тех, что проводят время, путешествуя с сайта на сайт — как выяснить, можно ли доверять тому или иному сайту?

Один из вариантов ответа прост: SSL-сертификат. Признак того, что данный сайт относится к числу доверенных, что его владельцам можно доверять. Однако не все сертификаты отражают уровень доверия, ведь ничего не стоит создать т.н. «самоподписанный» сертификат. Браузер при попытке открыть такой сайт, предупредит, что к сертификату нет доверия. И не нарисует ни зелёной, ни синей полоски рядом с адресом в адресной строке браузера.

Решение кажется простым: приобрести такой сертификат, чтобы посетители вашего сайта посещали его с большей уверенностью — особенно, если на сайте что-нибудь продаётся.

Одно «но»: такие сертификаты стоят недёшево. При некотором везении можно найти сертификат за 30-40 USD, но для сайта, на котором проистекает полноценная коммерция, придётся брать весьма и весьма недешёвый сертификат. И бесплатные варианты, наподобие CAcert, уже не подойдут. Хотя бы потому, что корневые сертификаты таких сервисов, как CAcert, не поставляются по умолчанию, когда вы ставите браузер. А значит, сайты, использующие такие сертификаты, всё равно вызовут предупреждение браузера.

Если ли выход из такой ситуации, возможно ли найти достаточно доверенный сертификат, за достаточно умеренную сумму или бесплатно? Есть. Знакомьтесь: StartSSL.

Mail.ru - логотип

Компанию Mail.ru представлять не нужно — она продвигает себя и свои службы достаточно агрессивно, у всех на слуху. Затруднительно найти хотя бы одного человека в Рунете, у которого нет или хотя бы не было бы хотя бы одного почтового ящика в этой службе.

Материал, процитированный ниже, для меня лично новостью не является. Ваш покорный слуга очень давно обнаружил признаки существования множества уязвимостей в службах Mail.ru — от относительно безобидных (чтобы собрать миллионы заведомо активных адресов сервиса, требуется простейший скрипт, который «выловит» сотни тысяч таких адресов простой рекурсивной загрузкой страниц портала) до весьма опасных, часть которых упомянута ниже.

Мой вердикт таков: если вы полагаетесь на адрес в сервисе Mail.ru, как на ключевой для получения важной информации, хранения и получения регистрационных данных и т.д. — вам всерьёз стоит задуматься о целесообразности такой политики.

Подробнее — в статье, опубликованной на CNews: Mail.ru заставляют закрыть «дыры»:

infoworld