Цифровая гигиена. Том I

Сказки о безопасности: И королям нужна почта

Жил да был король. И пришло ему время идти в поход. Соседнее королевство войну ему объявило. И решил король, что будет он ежедневно гнать гонца с новостями для советников. Создал он для этого сеть почтовых станций, чтобы гонцы могли лошадей менять.

Долго длился поход, и решили советники брать власть в свои руки. Как это сделать проще всего? Для начала нужно читать королевскую почту до того, как она официально будет зачитана.

Не правда ли, стандартный сценарий переворота? Кто владеет информацией – владеет миром! Пора бы вам усвоить, что самое ценное в мире – это информация. Читателю.

Как решили, так и сделали. На последней станции перед столицей гонца накормили-напоили, подсыпали ему снотворное, а пока гонец спал, пакет вскрыли и прочли.

Нельзя посылать важные данные в незашифрованном виде, иначе вы рискуете тем, что они станут известны злоумышленникам! Читателю.

Мало того, решил советник подменять письма. Как решил, так и сделал.

Для важных писем необходимо использовать подпись. Если вы пересылаете письмо в электронном виде, используйте электронную подпись. Иначе вам сложно будет доказать, что вы не писали это письмо или писали совершенно иное. Читателю.

Показалось странным королю, что делается совсем не то, о чем он говорит. И решил король, что почту его читает враг. Решил он использовать шифрование. Но тут возникает главная проблема – как передать ключ?

Так как король все же учился в школе так себе, король же, то решил он доверить ключ шифрования гонцу.

Кончилось все это так же печально. Гонца напоили, подкупили и он передал ключ шифрования советнику.

Я надеюсь, что вы все же образованнее сказочного короля и понимаете, что ключи шифрования нужно пересылать по другому каналу связи. Запомните! Никогда не передавайте ключи тем же каналом. То есть, отправляя письмо электронной почтой, ключи отправляйте, например, с помощью SMS. Никогда не доверяйте передачу пароля (ключа) человеку. Человек слаб, и это нужно помнить. Читателю.

В сказке все закончилось хорошо. Король вернулся из похода и наказал советника. Но учтите, жизнь, увы, далеко не сказка и закончиться тут может все гораздо страшнее!

Сказки о безопасности: Король и охрана, или о корпоративной службе безопасности

Жил да был король в королевстве. Хоть оно и маленькое, да все ж свое. Старался он не воевать особо, да враги все же были.

Каким бы хорошим вы ни были, да ведь все равно всем не угодишь. Рано или поздно находится желающий ваше королевство отобрать, а вас отправить куда подальше. И хорошо если живым. Читателю.

Так и случилось. Поднялся в королевстве мятеж. Мятежников удалось разгромить, но задумался король, что непорядок это. Нужна в королевстве служба безопасности. Создали такую службу. Да вот где взять руководителя? Думал король, думал, да и решил назначить графа. Неважно, как его звали, назовем просто Граф.

В чем была ошибка короля? А ошибка, в общем-то была типичной. Поиск руководителя СБ король доверил известной компании хедхантеров. А им-то что? Нашли и ладно. А ведь очень немногие из руководителей понимают, что безопасность мало создать. Ею надо управлять. Управлять эффективно и безопасно. Для этого надо отчетливо понимать, какие приказы и когда можно давать безопаснику (приказ должен быть своевременным, полным и выполнимым), всегда знать, чем занят безопасник, как он это делает и самое главное – зачем. Читателю.

Трудно пришлось Графу налаживать работу. Ведь до его появления команда управленцев короля уже сложилась.

С одной стороны, введение СБ помогло королю понять, что и как творится в государстве, понять почему, например, наместник Южного Округа все время жалуется на недостаток средств, а сам живет, пожалуй, богаче короля, а с другой, роптать стали управленцы, мол, СБ лезет во все дыры и работать мешает.

Как правило, внедрение сотрудниками Службы различных контрольных и проверочных процедур нарушает устоявшиеся производственные взаимосвязи. В такой ситуации СБ встречает неприязненное отношение со стороны персонала, и нередко в таких случаях можно слышать недовольный ропот: «И без них нормально работали, явились нахлебники и т. д.» Читателю.

Но рано или поздно, а штат нужно расширять. И решил король, – пусть сам начальник СБ собирает себе команду, да только если что-то пойдет не так, он сам отвечает головой за своих сотрудников.

Наиболее оптимальным представляется такой вариант: руководителя службы следует принимать на работу только по рекомендации хорошо знакомых вам лиц. Комплектование службы следует поручить руководителю СБ, поставив ему основное условие – он отвечает за каждого приглашенного им сотрудника, как за себя самого. При таком варианте комплектования СБ можно не волноваться за вопросы сплоченности коллектива, отпадает период взаимной притирки сотрудников, низка вероятность внутренних конфликтов, высока степень взаимного доверия сотрудников. Читателю.

И с тех пор в королевстве забыли и думать о мятежах. Все стало тихо и спокойно. Да вот только все равно беспокойно спит король. А что если предаст начальник СБ? Но это уже тема другой сказки.

Сказки о безопасности: Король и фишинг

В дальнем государстве жил да был король и решил он для блага подданных ввести в государстве почту. Сказано-сделано! И вот уже по дорогам королевства покатили почтовые кареты. От станции к станции катят кареты. На станциях сделаны комнаты для отдыха гонцов. Все вроде бы хорошо.

Но как-то раз пришла почта королю. В полученном письме говорилось что отец короля задолжал соседу 5000 золотых. И была приложена копия расписки.

Задумался король. Вроде и деньги не сильно велики, да не говорил ему отец ни о каких долгах. Решил позвать король министра финансов.

– Министр, что ты знаешь о долге моего отца?

– О каком долге, ваше величество? У вашего отца не было долгов!

Король протянул письмо министру. То стал изучать и конверт и письмо, а потом расхохотался: «Ваше величество! Вас пытались провести как мальчишку на рынке! Смотрите, здесь шнурок не того качества, не шелковый, печать не та, да и подпись странная.»

Присмотрелся король. Все верно. Прав министр! Но нужно убедиться все же. И отправил король гонца по указанному адресу. Своего, особого, королевского. Убедился гонец, что нет там такого отправителя.

Читателю. Запомните, если вы и хотите убедиться, что ваш адресат не слал вам никакого письма, попробуйте запросить подтверждение другим каналом связи, т.е. если вам пришло письмо – отошлите SMS или перезвоните, ведь основной канал может быть скомпрометирован.

Так была отражена первая фишинговая атака в истории королевства.

Запомните, прежде чем платить или пересылать запрашиваемую конфиденциальную информацию, убедитесь, что отправитель действительно ваш знакомый. Причем убедитесь по стороннему каналу связи. И еще. Для банковских приложений. Банк никогда не будет присылать вам запросы о ваших действиях. Никогда банк не может запросить у вас ваш номер кредитной карты, CVV и т. д. Будьте внимательнее! Читателю.

Сказки о безопасности: Как в королевстве справились с эпидемией, или об общедоступном бета-тестировании

В дальнем-дальнем королевстве был богатый портовый город О. Из этого города морские суда частенько хаживали за море и привозили разные заморские диковинки: овощи, фрукты, заморские вина. Все это стоило сравнительно недорого, поэтому рынки и ярмарки ломились от заморского товара, а в самом городе его можно было попробовать даже в недорогих приморских ресторанчиках.

Но так продолжалось недолго. Вдруг в городе разразилась эпидемия неизвестной болезни. Люди начали болеть и даже умирать. Никто не мог понять, откуда в город пришла зараза.

Увы, но беда всегда приходит вдруг. Тем и отличаются мудрые руководители, что заранее готовы к наступлению неприятностей. А вы готовы? У вас существует план непрерывности бизнеса? Есть документы, которые регламентируют работу в случае чрезвычайной ситуации? Нет? Значит самое время обратить на это внимание! Читателю.

Долго болели люди. Но наконец-то в город пришел Врач. Он долго бродил по городу, беседовал с больными и здоровыми и пришел к Правителю. О чем они беседовали, мне неведомо. Да только Правитель издал Указ, согласно которому в городе:

Запрещено торговать заморскими новинками, которые начали ввозить в город в последние пять лет.

Создаются таверны для бедных, в которых за счет города кормят неимущих и желающих заморскими товарами и заморским вином, которые начали ввозить в последние пять лет.

Таким образом в городе организовывается две зоны – чистая (белая), в которой еда и питье проверены и не содержат заразы. И серая, в которой еда и питье могу содержать заразу и подлежат проверке на нищих и добровольцах. То есть реализован принцип Default Deny (Whitelisting, белый список). Читателю.

Еда и питье, впервые ввозимые в город, тестировались на специально отобранных бесполезных рабах, которые сами уже не могли ничего производить или на добровольцах, которые хотели поскорее попробовать что-то новое. Таких рабов называли тестировщиками. Если из них кто-то заболевал, то его тщательно исследовали, ну а если и умирал, брали нового.

Таким образом был реализован первый в истории бета-тестинг. Он и сейчас успешно используется в некоторых бесплатных антивирусах (пользователи не догадываются, что они просто бесплатные лабораторные кролики). Этот же принцип успешно используется некоторыми производителями операционных систем. Там пользователи в погоне за новым и новейшим сами устанавливают себе бета версии и (!) даже гордятся этим. Читателю.

Вот так и появились две и сегодня применяемые технологии – общедоступный бета-тестинг, применяемый широко в нашей жизни и Whitelist, успешно применяемый некоторыми антивирусами.

Сказки о безопасности: Наводим порядок в хранилище заклинаний, или технологии iSwift и iChecker

В дальнем-дальнем королевстве существовала Академия магии с известной огромнейшей библиотекой заклинаний. Но каждый раз перед Хранителем библиотеки вставал страшный вопрос: как обеспечить целостность книг? Не дай Бог, какая-то книга будет изменена! И решил он обратиться за помощью к Ректору.

Думал-думал Ректор и решил на каждую книгу наложить заклинание и составить таким образом таблицу, в которой будет имя книги, полка и место ее хранения, а также количество содержащихся в ней гласных и согласных букв, рисунков и страниц.

Читателю. Так Ректор открыл технологию контрольных сумм. В будущем такую же технологию применит в своих антивирусах Лаборатория Касперского. Так появились технологии iSwift и iChecker.

Чуть позже Ректор решил, что подобные проверки книг нужно применять регулярно. В дальнейшем определение подобных контрольных сумм книг выполнялось регулярно, и, если контрольная сумма совпадала с записанной при предыдущей проверке, книга сразу откладывалась в сторону без проверки. Если же не совпадала, то книга подвергалась дополнительной проверке с последующим уточнением контрольной суммы.

Таким образом контроль за книгами была существенно упрощен, и Академия получила дополнительное время для новых исследований.

Читателю. Увы, время, затрачиваемое на проверку файлов, непрерывно растет, и технологии контрольных сумм позволяют существенно упростить и ускорить такую проверку.

Сказки о безопасности: Как рождался BYOD

В дальнем-дальнем королевстве правил король Жадина I. Королевство его, прямо скажем, было небогатое. В первую очередь, потому что разорил всех Жадина налогами. Не понимал он, как это дать людям возможность богатеть, а уж потом брать налоги. Хотел он быть богатым сегодня и сразу. Да не получалось.

Если уж хотите быть богатым и успешным, помните, что само по себе ничего не бывает. Сначала нужно потрудиться! Читателю.

И вот пришла ему в голову идея. Увидел он, как каменотесы на работу шли со своими инструментами. И решил Жадина I, что и воины могут идти на службу со своим оружием и своей амуницией. Да еще и выгода будет в том, что купить это все они смогут в его магазинах. Получается, вдвойне выгодно!

Сказано – сделано! Отныне каждый воин должен был являться в армию со своим оружием и амуницией. Долго ворчал главный военачальник, мол, это будет безобразие, зоопарк, а не армия. Но короля поддержал министр финансов, мол, в государстве денег нет, а так будет чем казну пополнить.

И обозвали они это начинание так – BYOD (Bring Your Own Device)!

Прошел год. Решил король устроить смотр своей армии. Пригласил зарубежных гостей, мол, посмотрите, как здорово я придумал. Учитесь.

Долго хохотали гости над армией – пришла какая-то банда нищих. Кто в дедовском кожаном колете, а кто в старой-престарой помнящей прадеда кольчуге. Кто с мечом, кто с вилами, кто с косой, кто с топором.

Но еще страшнее выглядела конница.

Вместо племенных жеребцов каждый приехал кто на осле, кто на козле, а кто на верблюде. И начали они расползаться по полю, пугаясь друг друга и вереща на все голоса звериные. Тут-то командующий конницей и был отправлен на плаху, как опозоривший короля перед гостями заморскими.

Хотели, как лучше, а вышло, как всегда. Только усложнили жизнь командирам – кто ж знает, как всем этим зоопарком управлять? Так и в нашем ИТ. Разработают стратегию BYOD, внедрять начнут. А на самом деле – зоопарк с больными и неуправляемыми животными. А где брать для них лекарей и дрессировщиков? Вроде и хороша идея, но результат… Читателю.

Сказки о безопасности: Создание архива эталонного ПО

В дальнем-дальнем лесном королевстве Хольмгард правил король Эрик. Королевство располагалось посреди лесов, и основными товарами в нем были дерево и мед. И дома там были тоже деревянные. Поэтому больше всего в королевстве боялись пожаров.

Читателю. Как ни странно, но и сегодня пожары, затопления и просто выход аппаратуры из строя являются одной из существенных угроз. Как видите, это понимали и в давние времена, а потому создание резервных копий – наше все.

Еще дед короля Эрика издал указ о создании королевского архива. Указ был секретным и разглашению не подлежал. Согласно этому указу все королевские грамоты, указы и основные документы подлежали хранению в королевском архиве, а для работы создавались их копии, заверенные специальной королевской печатью. Документы же из архива (подлинники) выдавались строго по указу короля.

Хранились документы в старой соляной шахте, благо и влажность, и температура в ней были постоянными, и гореть там было нечему.

Читателю. О микроклимате при хранении резервных копий позаботьтесь заранее. А то ни копий, ни подлинников.

В то лето было очень жарко. Пожары в лесах случались часто. И как-то раз загорелся и Хольмгард. Никто не знал, был ли то специальный поджог или просто так случилось. Но сгорело здание королевской библиотеки, в которой, как считали все вокруг и как говорил сам король, хранились все королевские бумаги. Не прошло и пары дней, как вдруг посол соседнего королевства напомнил, что согласно договору с отцом Эрика, соседям отходила часть земель королевства. Это не было правдой, но, как считал соседний король Жадина I, почему бы и нет, ведь договора нет!

Читателю. Еще раз напомню, если у вас все копии зашифрованы вредоносом-шифровальщиком, то кому вы что докажете?

Каково же было удивление посла, когда на приеме Эрик показал ему подлинник документа, в котором ни слова не было о землях.

Читателю. Напоминаю о таком подразделении как конкурентная разведка. Если у вас его нет, то сидите и не высовывайтесь! Репутация создается очень долго, а рушится моментально!

И ушел посол несолоно хлебавши, а репутация короля Жадины так и осталась низкой, что он ни делал.

Читателю. Еще в давние времена появилось такое понятие как архив эталонного программного обеспечения. И сегодня в каждой уважающей себя организации существует архив эталонного ПО, а работают с его копиями.

Сказки о безопасности: Как родилась технология DLP

Было это давным-давно. В дальнем-дальнем королевстве жил да был король. И решил король организовать свою службу доставки указов в дальние провинции. Создал службу курьеров, построил станции для их отдыха. Станционными смотрителями, как правило, назначались бывшие курьеры, что позволяло экономить на их проверке службой безопасности, либо сотрудники этой службы.

Читателю. Уважаемый читатель, вы же прекрасно понимаете, что ни одна служба безопасности не может себе позволить иметь бывших сотрудников. Поэтому в таких службах бывших просто не бывает.

Курьерские сумки опечатывались магическими печатями, вскрыть которые могли только те, кому предназначались соответствующие сообщения.

Но как избежать того, чтобы курьер не увез с собой копию сообщения? Начальник курьерской службы разработал для курьеров специальную форму – без карманов. Чтобы нельзя было что-то в них скрыть.

Король, в свою очередь, решил создать специальное подразделение, сотрудники которого проверяли содержимое курьерской сумки перед опечатыванием и вкладывали туда опись документов.

Так родилась первая цензура.

Читателю. Вам это не напоминает ситуацию с применением учтенного списка флешек? А зря. В принципе ситуация та же. Запрет персональных флешек на работе – существенная часть политики защиты информации.

Ни один курьер не знает куда он поедет, пока не получит сумку. Это позволяет скрыть его маршрут. Везти же что-то помимо сумки – категорически запрещено. За этим должны были смотреть на всех станциях.

Так родился первый учет почты.

Читателю. Ничто не ново под луной. Запомните – все, что пересылается в зашифрованном виде, должно оставаться в копии, а ключи шифрования должны храниться так, чтобы можно было открыть любое шифрованное сообщение в любое время. Любой закрытый документ должен иметь метку, которая позволит его отследить. Использование флешек в большинстве случаев должно быть запрещено, а там, где это разрешено, необходимо контролировать, что именно копировалось с флешки или на нее.

Вот так и появились первые DLP-системы.

Сказки о безопасности: Охрана периметра

На дальней дороге, ведущей в замок, встретились Дракон и Рыцарь, которому нужно было проехать в замок.

– Дракон, ты чего тут сидишь?

– Дорогу охраняю! В замок!

– От кого?

– От всех!

– А если они полем пойдут?

– Поле я не охраняю.

– То есть по полю я могу проехать свободно?

– Нет! Там забор!

– А как же мне попасть в замок?

– Никак! Нужно знать пароль.

Долго сидели спорили. Пока в конце концов Рыцарь не спросил, а подземный ход есть?

– Конечно, – ответил Дракон, – Сколько угодно.

– А по ним как? Можно?

– Свободно! Я ж только периметр охраняю.

Читателю. Вам это ничего не напоминает? Охраняем периметр сети, а с мобильных устройств войти в сеть можно? Да хоть пешком! Понятие периметра размыто и охрана периметра сегодня явно недостаточна.

– Погоди, а я проеду в подземный ход?

– Конечно, у нас подземные ходы (каналы) с хорошей пропускной способностью.

– Так, а зачем ты тут?

– Поставили и забыли, вот и сижу!

– И что, никто ни разу через подземный ход не ходил в замок?

– Да что ты! Это здесь никто не ходит, а там как на проспекте!

Читателю. Вот так и в жизни. Периметр охраняем, а с мобильных устройств заходит в сеть, кто хочет, лишь бы пароль знал.

Попрощался Рыцарь с Драконом и уже через несколько минут был в Замке.

Сказки о безопасности: Как появился DDoS

В дальнем государстве правил король. Народ дал ему прозвище Эрик Справедливый, потому что самые сложные случаи разбирал он в своем суде справедливо, и были перед тем судом равны все – и вельможи, и простолюдины. Так продолжалось много лет. Но однажды собрались наиболее влиятельные вельможи и решили, что так нельзя. Мол, как это простой крестьянин и герцог равны перед судом?

И решили они заблокировать работу королевского суда, чтобы король сам заявил, что не может справиться с нагрузкой.

Читателю. Самый простой способ заблокировать ваш сайт – сделать так, чтобы он не успевал обслуживать запросы пользователей. Если это достигается с помощью специально организованного одновременного обращения к сайту большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, поддерживаемый не очень производительным сервером. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Как решили заблокировать суд? Посылкой огромного числа запросов, в том числе правильных и неправильных.

Читателю. Не правда ли, стандартная DDoS-атака?