ИНФОтека

Информационная безопасность

Умелые руки

Методики, пояснения, рекомендации

Информационная безопасность

Покой нам только снится

Верно сказано, что во многих знаниях многие печали. Информационная безопасность относится к тем областям, в которых чем больше узнаёшь, тем отчётливее ощущение, что знаний недостаточно для безмятежной жизни.

Признаюсь откровенно: когда я приступал к изучение основ безопасности, казалось: стоит освоить, научиться, и мир станет приятным и спокойным. Как бы не так!

Помимо прочего, я узнал, насколько неаккуратны программисты, насколько много «дыр» в их творениях. Хотите недавний пример? Небрежность программистов, создавших известную панель управления виртуальными серверами, SolusVM, привела к тому, что десятки тысяч виртуальных серверов по всему миру были уничтожены, а регистрационные данные сотен тысяч владельцев серверов стали общественным достоянием.

Дальше — больше. Чем больше узнаёшь о том, как выглядит, например, изнутри тот же Интернет, волосы встают дыбом. Огромное количество протоколов, при разработке которых о безопасности вообще не думали. Многие из этих протоколов работают по сей день и никто не собирается их менять. Упомяну ARP, чтобы не быть голословным.

Вам ещё не стало страшно?

Если да, то вам куда-то сюда. Не беспокойтесь, в ссылке нет ничего непристойного.

Если вам не страшно узнать много такого, от чего представление о безопасности может пошатнуться, то далее я привожу список курсов (оформленных в виде книг), которые начну публиковать в июле. Разминка, которой был посвящён первый месяц лета, окончена, пора серьёзно браться за дело. Интересно? Читайте дальше.

Информационная безопасность

Последняя линия обороны

Люди, плотно общающиеся с компьютерами, делятся на две больших группы: одни ещё не теряли невосстановимые данные, другие регулярно делают резервные копии.

Безопасность данных — не только и не столько заботы о том, чтобы важные сведения не попали в чужие (обычно недобрые) руки. Ведь всё на свете не абсолютно (см. основное правило номер 2). Всё, что может сломаться, рано или поздно сломается.

Это самая частая, но не единственная причина потери важных данных. Согласно многочисленным исследованиям, человеческий фактор (обычно ошибка самого владельца данных) — вторая по значимости причина потери данных. Первая — аппаратный сбой (выход из строя того, что может сломаться).

Что же делать?

Ответ прост: вести резервные копии. Чтобы не быть голословным, вкратце опишу свой собственный подход.

1. Свои книги, исходный код программ, и прочие подлежащие сохранению данные я храню при помощи т.н. системы контроля версий (в моём случае это Subversion, когда я в основном и являюсь автором и редактором данных, и Git во всех остальных случаях).

2. После каждого обновления хранилища (репозитория) оно автоматически копируется (реплицируется) на другие сервисы ведения контроля версий (скажу только, что таких минимум больше пяти).

3. Ежесуточно каждое хранилище полностью выгружается (создаётся один большой его архив, из которого хранилище можно полностью восстановить), шифруется и в таком виде отправляется на хранение на несколько служб резервного копирования (упомяну только два сервиса: BQBackup и Amazon Glacier).

4. Минимум раз в полгода я создаю физическую копию архивов (на физическом носителе — таком, как DVD диск) и размещаю несколько копий этого диска в достаточно безопасных местах, максимально удалённых от мест, где я обычно работаю.

Не бог весть как надёжно, но даёт некоторую гарантию того, что в случае фатального сбоя я не останусь целиком без итогов своей работы.

А как вы подошли к решению этой задачи? Читайте дальше, чтобы ознакомиться с моим предположением на этот счёт.

Информационная безопасность

Скажи «пароль»!

Несомненно, вы знаете старинный детский анекдот про не очень умного часового: «— Скажи пароль! — Пароль! — Проходи!»

Вряд ли я буду оригинален, если скажу, что пароли должны быть криптостойкими. Выражаясь более понятным языком, ваш пароль не должно быть легко угадать, подобрать перебором, или иным не слишком сложным действием.

Тем не менее большинство людей используют весьма нестойкие пароли. Сочетания вида «12345», «abc123», «qwerty», «пароль» всё ещё занимают лидирующее место среди самых популярных паролей всех времён и народов.

К сожалению, лекарством от такой беспечности является внезапная потеря доступа к ресурсам Сети — электронной почте, учётной записи в блог-сервисе, и так далее. Сразу скажу, что лучше не доводить до этого, не испытывать всю неприятность ситуации на собственном опыте.

А потому ниже приведу несколько простых советов о том, как создавать, хранить и помнить стойкие пароли.

Кадр из фильма 'Адвокат дьявола'

Любимейший из пороков

— это, конечно, тщеславие. Когда вы начинаете вести блог, что самое важное? Привлечь посетителей. Каким образом? Продемонстрировать свои экспертные качества, например. Ведь легко и просто можно сделать это, опубликовав полезные советы.

Новички совершают на пути одни и те же ошибки. Вот на что я обращаю внимание, когда читаю тот или иной полезный совет, чтобы понять, с кем я имею дело.

1. Чрезмерное желание быть полезным. Новичок так и старается показать, как он(а) хочет, именно вам, показать способ решения ну очень серьёзной проблемы! И по тону, и по избытку эмоций так и видно: человек пишет строки, излучая свет искренней любви к ближнему своему.

На самом деле, человек написал малоинформативный пост. Обычно это что-то, всем известное. Как добавить свой сайт на индексирование в Гугл. Как установить плагин против спама в Wordpress. Как найти плагиат в сети. Как...

Господа новички! Не торопитесь публиковать ещё один пост, который до вас публиковали уже тысячи раз. Не поленитесь поискать в том же Гугле строку, суть вашего поста. Вы удивитесь, как много раз это уже делалось! Отчего именно ваш пост будет пользоваться успехом? Что такого нового в подаче, в деталях, в сути сказанного?

Ubuntu

Чёрная пятница

Предпоследняя пятница стала днём множества железных хлопот.

Для начала почил в бозе DSL-модем, а вместе с ним и доступ в Интернет. Пока выясняли, что к чему, с провайдером, обнаружилось, что и у них что-то там сломалось, так что не помог бы и живой модем..

Почти в тот же час ОС сообщила, что жёсткий диск вот-вот прикажет долго жить. Всегда ценил S.M.A.R.T. за способность предупредить о подобном, когда ещё не слишком поздно.

Опуская долгие подробности, финал: во-первых, установил ОС на SSD-диск, давно собирался это сделать. Кроме того, сменил тип ОС: вместо Fedora 16 теперь работает Ubuntu 12.04. Если кому-то интересно, модель SSD-диска — Corsair Series 3.

Завал на работе

Тернистый путь неудачника

«По улице Завтра приходят на площадь Никогда».

Этот афоризм полезно знать не только неудачникам со стажем, но и тем, кто только вступил на этот путь. Однако всего лишь откладыванием дел на завтра ограничиваться не стоит. Если вы намерены освоить способ гарантированно загубить любое начинание, вот вам несколько проверенных временем методик.

Основы ремесла

1. Чаще говорите о себе негативно, например: «мне опять не повезло», «я полный тупица», «у меня ничего не получится» и т.д. Важно закрепить эту установку не только внутри своей головы, но и в сознании окружающих.

2. Никогда не планируйте. Подлинным неудачникам чуждо стремление организовывать и планировать, их стихия — интуиция. Если окажется, что посреди процесса выбранный способ достижения цели никуда не годится, можно будет с чистой совестью умыть руки.

3. Витайте в облаках. Очень полезно, когда вы ещё ни к чему не приступили, всем рассказать, как классно всё это будет. Рассуждайте так, словно вы всё сделали. Ну а потом всегда найдутся объективные причины всё бросить.

4. Никогда не берите на себя ответственность. В ваших промахах и неудачах должны быть повинны объективные (таков этот мир) и субъективные (вам постоянно кто-то мешал) факторы. Никогда не принимайте на себя ответственность за достигнутые неудачи. Вы должны считать себя жертвой обстоятельств. Это очень приятное и самодостаточное чувство.

5. Делайте всё спустя рукава. Халтурность, неаккуратность, несобранность должны стать вашими визитными карточками. Как и в случае пункта 1, следует чаще говорить или намекать о себе на этот счёт, желательно в ироническом (но в меру) или шутливом контексте. Например: «ну вы же знаете, что я никогда не делаю это вовремя».

Это основные и, так сказать, стратегические советы, которые помогут вам сформировать мировоззрение закоренелого неудачника. Добавим несколько более практических, тактических советов.

Обезьяна с книгой

Видеокурсы и их вред для мозга

Вы умеете читать?

Прежде, чем посмеяться над риторическим вопросом, подумайте как следует. А заодно ответьте на вот какие вопросы:

  • что вы предпочтёте при прочих равных: не требующее вмешательства ума пояснение, в каком порядке что нажимать, или же пошаговое руководство, которое предполагает, что вы как минимум ориентируетесь в основной терминологии?
  • когда вы встречаетесь с затруднениями, что вы сделаете, вероятнее всего: попросите кого-нибудь пояснить, что там куда нажимать, или приложите все усилия, чтобы вначале вникнуть в задачу самостоятельно?

К чему всё это? К эпидемии видеокурсов, которые используются совершенно не к месту. Например, сегодня мне некий человек прислал партнёрское предложение. Но предложение было составлено не в виде пары-другой предложений, а в виде видеоролика. Иными словами, мне предлагалось выслушать двенадцать минут восторженной рекламы под мелькание стандартных лозунгов на экране, вместо того, чтобы в трёх фразах пояснить, чем же предлагаемый курс лучше 100500 аналогичных уже существующих.

Итак, утверждение первое: видеокурсы уместны только там, где вербальное общение малоэффективно.

Я понимаю и соглашусь, что уместны видеокурсы того, как исполнять те или иные физические упражнения. Как танцевать. Как жестикулировать, одевать ту или иную одежду — не всегда всё это выражается словами однозначно и чётко.

Я пойму, когда используют видео, чтобы брать интервью, когда эмоции играют существенную часть и без них восприятие будет неполным. Но когда меня учат при помощи видео, как настраивать блог и использовать те или иные программы — это я не могу понять.

В области информационных технологий текст как форма представления информации имеет ряд преимуществ. С ходу:

  • требуется существенно меньше времени на ознакомление
  • возможен поиск
Покажите-ка мне способ найти по такой-то произнесённой фразе нужную часть сорокаминутного видеокурса. Слабо? Добавьте слайд-шоу, графическую иллюстрацию, если текста самого по себе мало, но зачем навязывать мне только и исключительно видео?

Следующее утверждение: видеокурсы настраивают людей на подражание, а не на понимание.

Вместо того, чтобы сказать: в меню таком-то нажмите то-то, затем выберите то-то и заполните такие-то поля, человеку сунут под нос видео, в котором ему покажут, как курсор бегает по экрану, что при этом открывается и так далее.

Посадите человека, обученного подобным видеокурсом просто на другую версию той же программы, за другой браузер и т.п. — измените всё так, чтобы отличалось по виду от видеокурса и посмотрите на результат.

Третье утверждение: видеокурсы отучают от критического восприятия реальности. Как только вы садитесь постигать всё не из книг, не из текста, а из видео — вы выключаете свой мозг.

И, наконец: видеокурсы — это потеря времени. И для первоначального ознакомления, и, что хуже, в ситуации, когда нужно найти конкретную часть, вновь услышать пояснения по конкретному вопросу.

Увлекательный спам - комментарии без мусора

Спам в комментариях как неизбежность

Гость в блог — радость в блог. Признайтесь, что вы с большим предвкушением и трепетом читали самые первые комментарии в вашем блоге. Ведь было такое? Это потом ощущения приедаются, а поначалу они очень яркие.

Какой же блог без спама, верно? Пожаловаться на его отсутствие может разве что человек, закрывший все комментарии напрочь. Стоило начать публиковать регулярно обновляемый список DoFollow блогов, в котором присутствует и сама Инфотека, как воспоследовал и спам.

Хвала тем, кто написал для Друпала модуль antispam. Невзирая на некоторые недостатки, модуль очень быстро продемонстрировал преимущество перед аналогами, а я начал замечать, что есть несколько типичных моделей поведения спамеров.

Если вы пришли сюда, чтобы оставить оплаченный комментарий, обязательно почитайте дальше. Если вам интересно, как я опознаю оных платных комментаторов, тоже советую почитать, в порядке обмена опытом.

Итак, вот несколько простых наблюдений и правил. Господам спамерам: не обольщайтесь, я перечислю далеко не все проверки и фильтры, большинство из которых полностью автоматические.

CMS - система управления сайтом

CMS — система управления сайтом

CMS (content management system) по-русски обычно переводят как система управления сайтом. Говоря простыми словами, это — информационная система, позволяющая создавать, изменять и управлять содержимым сайта (контентом). Форумы, блоги, новостные сайты, каталоги... всё это примеры использования систем управления сайтом.

В обиходе CMS часто называют двигателем («движком») сайта; название в каком-то смысле упрощённое, поскольку современные CMS позволяют манипулировать практически всеми особенностями функционирования сайта.

После того, как автор будущего сайта ответил на вопросы «о чём» и «для кого» создаётся сайт, далее обычно возникает вопрос «на чём он должен работать».

На вопрос «на чём создавать блог» 95% блогеров, особенно — начинающие, не задумываясь вспомнят волшебное слово «Wordpress».

Если вы используете этот продукт, ничем более не интересуетесь, он вас устраивает и о переходе на что-то другое мыслей нет, дальше можете не читать.

Mail.ru - логотип

Компанию Mail.ru представлять не нужно — она продвигает себя и свои службы достаточно агрессивно, у всех на слуху. Затруднительно найти хотя бы одного человека в Рунете, у которого нет или хотя бы не было бы хотя бы одного почтового ящика в этой службе.

Материал, процитированный ниже, для меня лично новостью не является. Ваш покорный слуга очень давно обнаружил признаки существования множества уязвимостей в службах Mail.ru — от относительно безобидных (чтобы собрать миллионы заведомо активных адресов сервиса, требуется простейший скрипт, который «выловит» сотни тысяч таких адресов простой рекурсивной загрузкой страниц портала) до весьма опасных, часть которых упомянута ниже.

Мой вердикт таков: если вы полагаетесь на адрес в сервисе Mail.ru, как на ключевой для получения важной информации, хранения и получения регистрационных данных и т.д. — вам всерьёз стоит задуматься о целесообразности такой политики.

Подробнее — в статье, опубликованной на CNews: Mail.ru заставляют закрыть «дыры»:

infoworld