Взлом при помощи Google
Похоже моя статья "Взлом при помощи Google", написанная еще в 2004 году стала актуальной. Ее надо перечитать тем кто занимается безопасностью своих сайтов.
28 июл. 2011 г.
26 июл. 2011 г.
Поисковикам (и яндексу тоже) наплевать на robots.txt
Я мало сталкивался с сайтами, но тей сайты что я делал сам и пытался посмотреть как работает robots.txt - никогда не видел, чтобы поисковики реально слушались его.
То что Яндекс сваливает на разработчиков - это правда. Разработчики сайтов часто безалаберно относятся к аутентификации. Но и то что Яндекс индексирует все что ему доступно, в том числе и с тегом "не индексировать" - тоже эмпирически подтвержденный факт. Единственный способ блокировать часть сайта от индексации поисковиками - поставить на нее пароль.
Так что мы еще услышим много новостей про новые сайты и про новые персональные данные на них.
Я мало сталкивался с сайтами, но тей сайты что я делал сам и пытался посмотреть как работает robots.txt - никогда не видел, чтобы поисковики реально слушались его.
То что Яндекс сваливает на разработчиков - это правда. Разработчики сайтов часто безалаберно относятся к аутентификации. Но и то что Яндекс индексирует все что ему доступно, в том числе и с тегом "не индексировать" - тоже эмпирически подтвержденный факт. Единственный способ блокировать часть сайта от индексации поисковиками - поставить на нее пароль.
Так что мы еще услышим много новостей про новые сайты и про новые персональные данные на них.
25 июл. 2011 г.
Рамблер отжигает еще покруче Яндекса.
Благодаря Александру Антипову мое имя стало буквально гвоздем превоапрельских шуток на securitylab.ru. Одна из этих "шуток" c названием "Денис Батранков сегодня был арестован по подозрению в создании нового мощного вируса" была просто нереально смешной, о чем я в лучших матерных выражениях поведал автору, и он, о чудо, согласился ее удалить в конце дня. Обидно, что эта глупость была уже скопирована кучей других "новостных" сайтов, среди которых оказался и Rambler News. Причем на мою просьбу удалить эту новость - они отказались. Я потрясен. Все (!) другие сайты сразу же удаляли, к которым я обратился. А я как раз жду разрешения на визу в США, могу представить как я буду в посольстве объяснять, что это была "шутка" и ничего такого не было. Даты новостей ведь при копировании, как правило, уже не первоапрельские...
Так что, если раньше мне казалось что Rambler - бренд, то теперь я понимаю что он обыкновенный затухающий проект, судя по тому, что он ворует новости у других сайтов и вдобавок игнорирует мнение людей.
Раз Рамблер пишет про меня гадости, то и я и другие пользователи смело можем написать "Рамблер - гавно"
Благодаря Александру Антипову мое имя стало буквально гвоздем превоапрельских шуток на securitylab.ru. Одна из этих "шуток" c названием "Денис Батранков сегодня был арестован по подозрению в создании нового мощного вируса" была просто нереально смешной, о чем я в лучших матерных выражениях поведал автору, и он, о чудо, согласился ее удалить в конце дня. Обидно, что эта глупость была уже скопирована кучей других "новостных" сайтов, среди которых оказался и Rambler News. Причем на мою просьбу удалить эту новость - они отказались. Я потрясен. Все (!) другие сайты сразу же удаляли, к которым я обратился. А я как раз жду разрешения на визу в США, могу представить как я буду в посольстве объяснять, что это была "шутка" и ничего такого не было. Даты новостей ведь при копировании, как правило, уже не первоапрельские...
Так что, если раньше мне казалось что Rambler - бренд, то теперь я понимаю что он обыкновенный затухающий проект, судя по тому, что он ворует новости у других сайтов и вдобавок игнорирует мнение людей.
Раз Рамблер пишет про меня гадости, то и я и другие пользователи смело можем написать "Рамблер - гавно"
HP TippingPoint Secure Virtualization Framework
Выкладываю ролик с описанием защиты виртуализации на базе продукта vController. Сделано в HP TippingPoint.
Разбивка по минутам:
00:00 - Вступление
00:30 - Общее описание задач защиты виртуальных систем
02:00 - Анонс совместной работы HP и VMware по защите виртуальных систем
02:33 - Рассказ о самом известном проекте DVlabs: Zero Day Initiative
03:06 - Описание компонентов, входящих в HP Secure Virtualization Framework
04:20 - Описание технологии VLAN трансляции, которая нужна для понимания работы нашей защиты
05:25 - Описание (пошаговое) установки защиты виртуализации
07:20 - Первый скриншот, где показана автоматически нарисовання схема виртуальных машин в VMC
08:36 - Второй скриншот, где показана разбивка виртуальных машин на зоны
09:46 - Глубокое погружение в то как фреймы ходят через vController и IPS
11:22 - Рассказ по SSL расшифрование для защиты корпоративных WEB серверов
11:47 - Описание репутационной базы данных RepDV
12:14 - Рассказ как получить техническую поддержку HP
13:10 - Обо всем вкратце - подведение итогов
Понимаю, что в такого рода видеороликах нужно чаще менять слайды. Долго смотреть на одно и то же скучно. Нужно движение. Указанная выше разбивка по времени поможет отмотать на интересный фрагмент.
Выкладываю ролик с описанием защиты виртуализации на базе продукта vController. Сделано в HP TippingPoint.
Разбивка по минутам:
00:00 - Вступление
00:30 - Общее описание задач защиты виртуальных систем
02:00 - Анонс совместной работы HP и VMware по защите виртуальных систем
02:33 - Рассказ о самом известном проекте DVlabs: Zero Day Initiative
03:06 - Описание компонентов, входящих в HP Secure Virtualization Framework
04:20 - Описание технологии VLAN трансляции, которая нужна для понимания работы нашей защиты
05:25 - Описание (пошаговое) установки защиты виртуализации
07:20 - Первый скриншот, где показана автоматически нарисовання схема виртуальных машин в VMC
08:36 - Второй скриншот, где показана разбивка виртуальных машин на зоны
09:46 - Глубокое погружение в то как фреймы ходят через vController и IPS
11:22 - Рассказ по SSL расшифрование для защиты корпоративных WEB серверов
11:47 - Описание репутационной базы данных RepDV
12:14 - Рассказ как получить техническую поддержку HP
13:10 - Обо всем вкратце - подведение итогов
Понимаю, что в такого рода видеороликах нужно чаще менять слайды. Долго смотреть на одно и то же скучно. Нужно движение. Указанная выше разбивка по времени поможет отмотать на интересный фрагмент.
24 июл. 2011 г.
У вас под рукой все телефоны экстренных служб?
Если просто начать записывать все телефоны, которые вам могут понадобиться при утере банковской карты, вызове врача, утере сотового, угоне или повреждении автомобиля, ЖЭКа при заливе соседями и т.д., то получается нехилый список.
Думаю, что каждому надо такой распечатать и повесить дома или носить с собой, что увеличит скорость реакции при экстренном случае.
Если просто начать записывать все телефоны, которые вам могут понадобиться при утере банковской карты, вызове врача, утере сотового, угоне или повреждении автомобиля, ЖЭКа при заливе соседями и т.д., то получается нехилый список.
Думаю, что каждому надо такой распечатать и повесить дома или носить с собой, что увеличит скорость реакции при экстренном случае.
13 июл. 2011 г.
Сложность противостояния угрозам
Согласно закону о персональных данных каждой компании нужно написать модель угроз и затем принять меры для противодействия этим угрозам. Во многих источниках идет полемика насколько сложно и дорого это все сделать.
Во-первых, набрав в google "МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ" легко обнаружить кучу таких моделей угроз в формате WORD, так что с моделью все понятно. Вот, например, первая ссылка на эту тему admin.smolensk.ru/www.fstec.ru/pers/model.doc Очевидно это заполнено на базе документа ФСТЭК www.fstec.ru/_spravs/metodika.doc
Во-вторых, посмотрев на любую модель можно написать список мер, вдобавок можно даже найти в форумах структуру документа, который может быть составлен:
1. АНАЛИЗ ИСПДН
1.1. Анализ ЛВС
1.2. Сведения о содержании обрабатываемых персональных данных
1.3. Границы контролируемых зон
1.4. Категории пользователей среды функционирования ИСПДн и передачи данных
2. ХАРАКТЕРИСТИКИ ИСПДН
3. ЗАЩИЩАЕМЫЕ РЕСУРСЫ ИСПДН
4. ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН
4.1. Классификация нарушителей
4.2. Предположения об имеющейся у нарушителя информации об объектах атак
4.3. Предположения об имеющихся у нарушителя средствах атак
4.4. Описание каналов угроз
4.5. Носитель вредоносной программы
5. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИСПДН
5.1. Определение уровня исходной защищенности
5.2. Угрозы безопасности
5.3. Определение вероятности и возможности реализации угроз
5.4. Оценка опасности и актуальности угроз
6. ВЫВОДЫ
Но в итоге понимаешь что все заточено на то, чтобы люди подписывались покупать услуги безопасников для создания всех этих документов.
Вообще, читать документ ФСТЭК под названием "БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" нельзя. Он больше напоминает диссертацию, а не документ в помощь людям. Если уж мне смотреть на него страшно, то могу представить какую-нибудь заведующую детским садом. И потом угрозы утечки перс. данных по электромагнитным каналам (в простонародье ПЭМИН) вызывают у меня сомнения, как и вообще приведенная классификация и методы, например применение nmap для сбора информации об ИСПДН - круто! Прикидываю - прохожу внутрь контролируемой зоны школы, предварительно сдав свои электронные устройства в камеру хранения, вхожу в школьный Security Operation Center и вижу как добавляются новые хосты по WiFi и сразу работает NAC, как логинятся учителя и ученики в базу данных, как происходит установка патчей и как происходит анализ поведения подключившихся по VPN и контролируются утечки ПД по электронной почте и скайпу. Сказка. Почему-то хочется написать свою классификацию.
Согласно закону о персональных данных каждой компании нужно написать модель угроз и затем принять меры для противодействия этим угрозам. Во многих источниках идет полемика насколько сложно и дорого это все сделать.
Во-первых, набрав в google "МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ" легко обнаружить кучу таких моделей угроз в формате WORD, так что с моделью все понятно. Вот, например, первая ссылка на эту тему admin.smolensk.ru/www.fstec.ru/pers/model.doc Очевидно это заполнено на базе документа ФСТЭК www.fstec.ru/_spravs/metodika.doc
Во-вторых, посмотрев на любую модель можно написать список мер, вдобавок можно даже найти в форумах структуру документа, который может быть составлен:
1. АНАЛИЗ ИСПДН
1.1. Анализ ЛВС
1.2. Сведения о содержании обрабатываемых персональных данных
1.3. Границы контролируемых зон
1.4. Категории пользователей среды функционирования ИСПДн и передачи данных
2. ХАРАКТЕРИСТИКИ ИСПДН
3. ЗАЩИЩАЕМЫЕ РЕСУРСЫ ИСПДН
4. ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН
4.1. Классификация нарушителей
4.2. Предположения об имеющейся у нарушителя информации об объектах атак
4.3. Предположения об имеющихся у нарушителя средствах атак
4.4. Описание каналов угроз
4.5. Носитель вредоносной программы
5. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИСПДН
5.1. Определение уровня исходной защищенности
5.2. Угрозы безопасности
5.3. Определение вероятности и возможности реализации угроз
5.4. Оценка опасности и актуальности угроз
6. ВЫВОДЫ
Но в итоге понимаешь что все заточено на то, чтобы люди подписывались покупать услуги безопасников для создания всех этих документов.
Вообще, читать документ ФСТЭК под названием "БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" нельзя. Он больше напоминает диссертацию, а не документ в помощь людям. Если уж мне смотреть на него страшно, то могу представить какую-нибудь заведующую детским садом. И потом угрозы утечки перс. данных по электромагнитным каналам (в простонародье ПЭМИН) вызывают у меня сомнения, как и вообще приведенная классификация и методы, например применение nmap для сбора информации об ИСПДН - круто! Прикидываю - прохожу внутрь контролируемой зоны школы, предварительно сдав свои электронные устройства в камеру хранения, вхожу в школьный Security Operation Center и вижу как добавляются новые хосты по WiFi и сразу работает NAC, как логинятся учителя и ученики в базу данных, как происходит установка патчей и как происходит анализ поведения подключившихся по VPN и контролируются утечки ПД по электронной почте и скайпу. Сказка. Почему-то хочется написать свою классификацию.
10 июл. 2011 г.
6 июл. 2011 г.
Открытое письмо Президенту по поводу внесений изменений в ФЗ-152
Уважаемый Дмитрий Анатольевич!
Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:
5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.
Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.
Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.
Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.
Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.
Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.
Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.
Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.
06.07.2011
Письмо подписали:
Бондаренко Александр
Волков Алексей
Лукацкий Алексей
Токаренко Александр
Царев Евгений
Батранков Денис
ЗЫ. Данное письмо также будет опубликовано на ресурсах авторов, а также на иных Интернет-ресурсах. Если вы поддерживаете данное письмо, то в комментариях укажите свои ФИО (только ФИО).
Уважаемый Дмитрий Анатольевич!
Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:
5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.
Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.
Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.
Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.
Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.
Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.
Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.
Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.
06.07.2011
Письмо подписали:
Бондаренко Александр
Волков Алексей
Лукацкий Алексей
Токаренко Александр
Царев Евгений
Батранков Денис
ЗЫ. Данное письмо также будет опубликовано на ресурсах авторов, а также на иных Интернет-ресурсах. Если вы поддерживаете данное письмо, то в комментариях укажите свои ФИО (только ФИО).
Подписаться на:
Сообщения (Atom)