Category: it

Маленькая проповедь про информационную безопасность — Seoded.ru

Внезапно и без особого повода маленькая проповедь про информационную безопасность.

1. Безопасности БЫВАЕТ много. Основные заблуждения и ошибки чаще всего как раз связаны с применением избыточных мер предосторожности, которые создают ложное чувство защищенности. Ниже приведу несколько ярких примеров на эту тему.

2. Зато НЕ БЫВАЕТ «просто безопасности», «безопасности в вакууме». Нет такого понятия — «защищенная система». Всегда вопрос: защищенная относительно чего? Ключевое понятие информационной безопасности — это «модель угроз». Модель защиты должна быть адекватна модели угроз. Если ваша информация стоит 1000 рублей, разумно ожидать, что хакер потратить не больше 999 рублей на ее взлом и неразумно тратить 1001 рубль на ее защиту. Не покупают сейф за $10000, чтобы хранить в нем $1000. Непонимание этого принципа приводит к самым тяжелым последствиям — в погоне за повышением уровнем безопасности «вообще» люди усложняют себе жизнь, что, в итоге влечет за собой снижение уровня защищенности. Грубо говоря, сначала навыдумывают неадекватно сложных и жутко длинных паролей — потом начинают их записывать на бумажки и забывать эти бумажки где попало. Или, наоборот, неадекватно оценивают модель угроз — так, например, главным потенциальным врагом (хакером, нарушителем) для политического активиста в России является государство, и государство, безусловно, знает девичью фамилию вашей мамы; в итоге контрольный вопрос для восстановления пароля, который надежно защитит вас от хакера из Индии, никак не повышает вашего уровня безопасности во взаимоотношениях с государством.

3. У любых мер безопасности есть издержки. Чем сложнее доступ к системе, тем больше своего ценного времени вы тратите на каждый логин, и тем сложнее будет восстановить доступ, если что-то пойдет не так (скажем, потеряете телефон, на котором у вас OnePassword и Google Authentificator — это прекрасные инструменты, которые, действительно, позволяют очень надежно защитить вашу почту и соцсети, но есть ли у вас план на случай, если вы разом лишитесь доступа к обоим?). Поэтому в каждом конкретном случае надо хорошо понимать, чем вы готовы и не готовы платить за безопасность данных, на какие жертвы готовы пойти, как будете восстанавливать к ним доступ сами — и насколько сложно восстановить к ним доступ злоумышленнику.

4. Уровень защищенности сколь угодно большой и сложной информационной системы целиком и полностью определяется уровнем защищенности самого слабого места в ней. Пример: у вашей организации накоплена серьезная база данных с чувствительной информацией, там все ваши финансы, или все ваши клиенты или что-нибудь еще такое. Внешний периметр офигенно защищен, в сервера вбухано кучу денег, двухфакторная аутентификация везде включена, вход в базу только с аппаратным токеном каким-нибудь. И еще есть сисадмин с зарплатой в 40 тысяч рублей, недовольный и нелояльный, да еще и в микрокредитах весь. Стоимость доступа к вашим данным в этом случае определяется не миллионными затратами на суперхакеров, которые какими-то чудо-инструментами взломают внешний периметр, а парой десятков тысяч рублей, которые мотивируют этого сисадмина (секрет Полишинеля заключается в том, что, на самом деле, таких суперхакеров и не существует; 99% всех взломов и утечек — это инсайдеры, глупость сотрудников организации, нелепые ошибки; Джон Подеста, кликающий на фишинговое письмо или обиженный юрист Mossac Fonseca).

5. Первое место абсурдных и вредных мер безопасности в моем личном рейтинге занимают заклеенные камеры ноутбуков. Не видел и не знаю ни одного человека с заклеенной камерой, который при этом выдрал бы с корнями микрофон. И выломал бы клавиатуру. Но ведь модель угроз, при которой вы предполагаете, что злоумышленник может получить доступ к аппаратному обеспечению вашего гаджета, никак не может подразумевать, что доступ у него есть только к камере (но не к микрофону и к устройству ввода), не так ли? Между тем, я уверен, что танцуете голышом и совершаете иные компрометирующие вас действия перед камерой ноутбука вы куда реже, чем обсуждаете невдалеке от него какие-то чувствительные вещи, а это, в свою очередь, вы делаете много реже, чем вводите с клавиатуры CVC-код вашей карты... Кейлоггер нанесет вам самый большой ущерб, микрофон поменьше, камера — минимальный. Но, заклеив камеру, вы интуитивно начинаете себя вести перед своим ноутбуком будто вы в безопасности и больше себе позволяете — тем самым снижая общий уровень защищенности, очевидно. Будьте последовательны — если вы не считаете, что в вашем устройстве есть программные и аппаратные жучки, то заклеивать камеру не зачем, а если вы считаете, что они есть — то, в первую очередь, подумайте не о камере, а о том, что и кому вы пишете в мессенджерах...

6. На втором месте в этом рейтинге — конечно, антивирусы. Ау, 2019 год на дворе, вы когда в последний раз дискету в компьютер вставляли? Да даже и флэшку. Файлы поступают к вам через интернет. И если вы нажали на фишинговую ссылку или открыли сомнительное вложение, то, скорее всего, помощь антивируса запоздает. Когда вы сами добровольно ввели свои логин и пароль на фейковом сайте — антивирус бессилен. Рулит базовая информационная гигиена (думать о том, что и зачем ты вводишь, скачиваешь и открываешь), а не ложная защищенность. (Поставил антивирус, думаешь, что ты защищен, и расслабился, начинаешь небрежнее относиться к данным — и привет).

Двухфакторная аутентификация, защищенные мессенджеры, удобное приложение для хранения (неповторяющихся) паролей — и, главное, голова на плечах; осознанность в действиях и понимание того, в чем заключается модель угроз ваша и вашей организации. И все будет хорошо.

http://www.seoded.ru/articles/malenkaya-propoved-pro-informatsionnuyu-bezopasnost.html

Microsoft показала Surface Duo с двумя экранами — Seoded.ru

Вчера компания Microsoft представила в Нью-Йорке фаблет Surface Duo с двумя экранами. Пожалуй, это самый интересный анонс из всех, которые уже были сделаны этой осенью. Что же тут интересного?

Читать дальше: http://www.seoded.ru/articles/surface-duo.html

Почему магазин «Микрософта» на Манхэттене заблокировали протестующие? — Seoded.ru

Накануне 76 человек были арестованы во время протеста против ICE (иммиграционная полиция США). Протестующие заблокировали вход в магазин «Микрософта» на Манхеттене и перекрыли движение. Звучит абсурдно? На самом деле, нет...

Читать дальше: http://www.seoded.ru/articles/ice.html

«Гугл» отказал старикам на 35 тысяч долларов — Seoded.ru

В 2015 году двести человек, проходивших собеседование в Google, подали коллективный иск к IT-гиганту. Истцы утверждали, что им отказали из-за того, что они были недостаточно молоды. Судебный процесс продолжался четыре года и закончился тем, что Google обязали выплатить истцам 11 миллионов долларов. Интересно, что иск организовал Роберт Хис, возраст которого в момент прохождения собеседования в Google перевалил за 60 лет. По заявлению Роберта, он был «великолепным кандидатом». В 2013 году, когда иск ещё не был коллективным, средний возраст сотрудников Google был в районе 29 лет, тогда как средний возраст программистов в США составлял 40 лет.

В своём первом иске Роберт рассказал, что инженер Google утверждал, что слово «байт» означает ровно восемь битов, и это, по мнению Роберта, явная дискриминация по возрасту. Дело в том, что современные компьютерные системы действительно используют байты, содержащие 8 бит, однако старые системы могли использовать иные «байты», содержащие от шести до сорока «бит».

Другая история Роберта связана с процессом интервью. По его словам, у инженера Google был ужасный акцент, который усугублялся тем, что инженер требовал использовать громкую связь, а не гарнитуру или просто телефон во время разговора. На просьбу Роберта использовать для демонстрации куска кода Google Doc сотрудник, проводивший интервью, потребовал зачитать этот кусок кода вслух.

Интересно, что с Робертом Google достиг мирового соглашения ещё в декабре 2018 года, но коллективный иск возглавила Шерил Филлекес. Ей чуть за 50, она рассказала, что четыре раза проходила собеседование в Google, но так ни разу и не получила предложения занять должность. Во время одного из собеседований рекрутёр попросила уточнить, в каком году Шерил закончила колледж. На вопрос, почему это так важно, собеседовавшая её девушка честно ответила: «чтобы тот, кто будет вас интервьюировать, знал сколько вам лет».

Из 11 миллионов долларов, причитающихся победившей стороне, 2,75 миллиона достанутся адвокатам. Каждый из 227 участников коллективного иска получит около 35 тысяч долларов, а Шерил, как главный истец, получит дополнительно 10 тысяч долларов.

Читать дальше: http://www.seoded.ru/articles/google-35.html