Category: компьютеры

seoded, Алексей Востров

Маленькая проповедь про информационную безопасность — Seoded.ru

Внезапно и без особого повода маленькая проповедь про информационную безопасность.

1. Безопасности БЫВАЕТ много. Основные заблуждения и ошибки чаще всего как раз связаны с применением избыточных мер предосторожности, которые создают ложное чувство защищенности. Ниже приведу несколько ярких примеров на эту тему.

2. Зато НЕ БЫВАЕТ «просто безопасности», «безопасности в вакууме». Нет такого понятия — «защищенная система». Всегда вопрос: защищенная относительно чего? Ключевое понятие информационной безопасности — это «модель угроз». Модель защиты должна быть адекватна модели угроз. Если ваша информация стоит 1000 рублей, разумно ожидать, что хакер потратить не больше 999 рублей на ее взлом и неразумно тратить 1001 рубль на ее защиту. Не покупают сейф за $10000, чтобы хранить в нем $1000. Непонимание этого принципа приводит к самым тяжелым последствиям — в погоне за повышением уровнем безопасности «вообще» люди усложняют себе жизнь, что, в итоге влечет за собой снижение уровня защищенности. Грубо говоря, сначала навыдумывают неадекватно сложных и жутко длинных паролей — потом начинают их записывать на бумажки и забывать эти бумажки где попало. Или, наоборот, неадекватно оценивают модель угроз — так, например, главным потенциальным врагом (хакером, нарушителем) для политического активиста в России является государство, и государство, безусловно, знает девичью фамилию вашей мамы; в итоге контрольный вопрос для восстановления пароля, который надежно защитит вас от хакера из Индии, никак не повышает вашего уровня безопасности во взаимоотношениях с государством.

3. У любых мер безопасности есть издержки. Чем сложнее доступ к системе, тем больше своего ценного времени вы тратите на каждый логин, и тем сложнее будет восстановить доступ, если что-то пойдет не так (скажем, потеряете телефон, на котором у вас OnePassword и Google Authentificator — это прекрасные инструменты, которые, действительно, позволяют очень надежно защитить вашу почту и соцсети, но есть ли у вас план на случай, если вы разом лишитесь доступа к обоим?). Поэтому в каждом конкретном случае надо хорошо понимать, чем вы готовы и не готовы платить за безопасность данных, на какие жертвы готовы пойти, как будете восстанавливать к ним доступ сами — и насколько сложно восстановить к ним доступ злоумышленнику.

4. Уровень защищенности сколь угодно большой и сложной информационной системы целиком и полностью определяется уровнем защищенности самого слабого места в ней. Пример: у вашей организации накоплена серьезная база данных с чувствительной информацией, там все ваши финансы, или все ваши клиенты или что-нибудь еще такое. Внешний периметр офигенно защищен, в сервера вбухано кучу денег, двухфакторная аутентификация везде включена, вход в базу только с аппаратным токеном каким-нибудь. И еще есть сисадмин с зарплатой в 40 тысяч рублей, недовольный и нелояльный, да еще и в микрокредитах весь. Стоимость доступа к вашим данным в этом случае определяется не миллионными затратами на суперхакеров, которые какими-то чудо-инструментами взломают внешний периметр, а парой десятков тысяч рублей, которые мотивируют этого сисадмина (секрет Полишинеля заключается в том, что, на самом деле, таких суперхакеров и не существует; 99% всех взломов и утечек — это инсайдеры, глупость сотрудников организации, нелепые ошибки; Джон Подеста, кликающий на фишинговое письмо или обиженный юрист Mossac Fonseca).

5. Первое место абсурдных и вредных мер безопасности в моем личном рейтинге занимают заклеенные камеры ноутбуков. Не видел и не знаю ни одного человека с заклеенной камерой, который при этом выдрал бы с корнями микрофон. И выломал бы клавиатуру. Но ведь модель угроз, при которой вы предполагаете, что злоумышленник может получить доступ к аппаратному обеспечению вашего гаджета, никак не может подразумевать, что доступ у него есть только к камере (но не к микрофону и к устройству ввода), не так ли? Между тем, я уверен, что танцуете голышом и совершаете иные компрометирующие вас действия перед камерой ноутбука вы куда реже, чем обсуждаете невдалеке от него какие-то чувствительные вещи, а это, в свою очередь, вы делаете много реже, чем вводите с клавиатуры CVC-код вашей карты... Кейлоггер нанесет вам самый большой ущерб, микрофон поменьше, камера — минимальный. Но, заклеив камеру, вы интуитивно начинаете себя вести перед своим ноутбуком будто вы в безопасности и больше себе позволяете — тем самым снижая общий уровень защищенности, очевидно. Будьте последовательны — если вы не считаете, что в вашем устройстве есть программные и аппаратные жучки, то заклеивать камеру не зачем, а если вы считаете, что они есть — то, в первую очередь, подумайте не о камере, а о том, что и кому вы пишете в мессенджерах...

6. На втором месте в этом рейтинге — конечно, антивирусы. Ау, 2019 год на дворе, вы когда в последний раз дискету в компьютер вставляли? Да даже и флэшку. Файлы поступают к вам через интернет. И если вы нажали на фишинговую ссылку или открыли сомнительное вложение, то, скорее всего, помощь антивируса запоздает. Когда вы сами добровольно ввели свои логин и пароль на фейковом сайте — антивирус бессилен. Рулит базовая информационная гигиена (думать о том, что и зачем ты вводишь, скачиваешь и открываешь), а не ложная защищенность. (Поставил антивирус, думаешь, что ты защищен, и расслабился, начинаешь небрежнее относиться к данным — и привет).

Двухфакторная аутентификация, защищенные мессенджеры, удобное приложение для хранения (неповторяющихся) паролей — и, главное, голова на плечах; осознанность в действиях и понимание того, в чем заключается модель угроз ваша и вашей организации. И все будет хорошо.

http://www.seoded.ru/articles/malenkaya-propoved-pro-informatsionnuyu-bezopasnost.html
seoded, Алексей Востров

Huawei ведет переговоры о покупке российских технологий

Китайская компания Huawei в последние несколько месяцев обращалась к российским разработчикам с предложением о сотрудничестве, сообщает РБК со ссылкой на несколько источников. Huawei не комментирует данную информацию. Одной из российских компаний, заинтересовавших Huawei, был разработчик отечественных процессоров «Эльбрус», создатель линейки операционных систем «Альт» и оборудования в сфере информационной безопасности — МЦСТ.

По информации источников издания, Huawei и МЦСТ уже несколько месяцев ведут переговоры о создании совместного предприятия. Источники РБК утверждают, что китайская корпорация заинтересована в использовании процессора «Эльбрус» в своём оборудовании. Переговоры находятся на ранней стадии, добавили источники. По словам одного из них, так как разработка процессоров «Эльбрус» финансировалась Минпромторгом, то решение о сотрудничестве, скорее всего, будет приниматься совместно с министерством.

Помимо МЦСТ деловое предложение от Huawei также получила компания «Норси-транс» Сергея Овчинникова. «Норси-транс» занимается производством систем оперативно-розыскных мероприятий (СОРМ) и другого оборудования для обеспечения информационной безопасности. С середины прошлого года компания выпускает отечественные серверы на базе процессоров «Эльбрус» под брендом «Яхонт». «Приезжала делегация Huawei из Гонконга, предлагали $100 млн за «Норси-транс» полностью. На мой взгляд, они просто хотят, чтобы мы не делали русские серверы, а использовали серверы Huawei. Нам это неинтересно», — заявил РБК Овчинников.

По данным РБК, китайская компания также ведёт переговоры о сотрудничестве и с российской компанией «Базальт СПО». «Huawei хочет лицензировать операционные системы «Альт» для использования их на своих компьютерах и серверах. Переговоры идут пару месяцев», — рассказал один из источников РБК.

В мае США обвинили Huawei в шпионаже в пользу Пекина и краже интеллектуальной собственности у американских компаний. Американский президент Дональд Трамп подписал указ о введении в США режима ЧС для обеспечения безопасности инфраструктуры, фактически закрыв для Huawei американский рынок.

https://seoded.blogspot.com/2019/07/huawei.html
seoded, Алексей Востров

Как Mail.ru дурит пользователей

Это цитата сообщения с Роем.ру

Редакция Roem.ru не всегда разделяет мнения своих колумнистов, но готова предоставить трибуну для изложения фактов. Автора данного исследования Roem.ru благодарит за невероятную дотошность.


В последнее время много говорят об успехах Мейл.ру. Надо заметить, что компания действительно движется вперед и планомерно улучшает свои сервисы. Но параллельно она занимается строительством ботнета и массовой раздачей весьма подозрительного софта. Софт этот выглядит, как троян, ведет себя, как троян, даже воспринимается, как троян, но таковым почему-то не признается. Данная статья попробует пролить свет на методы распространения продуктов Мейл.ру. Некоторые из этих методов не только делают жизнь российских пользователей значительно хуже, но и портят рыночные условия, поощряя другие компании участвовать в таких играх.


Есть у компании такая программа - Guard.mail.ru. Она не имеет собственного дистрибутива, его невозможно скачать на компьютер отдельно от других программ Мейл.ру. В каталоге софта на Мейле нет упоминания данного продукта. Он не имеет собственного Пользовательского Соглашения. Единственное место, где можно что-то о нем прочитать – это Помощь по Агенту@Mail.ru, но там перечислены не все функции. Не надейтесь найти этот раздел с помощью поиска по Помощи.


Collapse )

seoded, Алексей Востров

Надёжность пароля

Один из важнейших вопросов для пользователя ПК сегодня — это вопрос надёжности пароля. Что и неудивительно в свете наличия у современного пользователя большого числа аккаунтов на самых различных ресурсах. Отовсюду то и дело слышно: «Взломали ICQ, Вконтакте и т .д.!!!». Кроме того ключи и пароли активно используются для задач шифрования в самых различных системах документооборота (простой пример — «запароленный» Rar-архив).

Для внесения ясности в данный вопрос необходимо определиться с методами взломов. Можно выделить следующие методы взлома:


  1. социальная инженерия;


  2. перехват трафика;


  3. перехват нажатых клавиш;


  4. перебор популярных паролей (перебор по словарям)


  5. полный перебор (брутфорс).



Первые три метода к вопросу надёжности пароля непосредственного отношения не имеют.

Метод перебора паролей по словарям. Большое число пользователей в качестве паролей указывают одно слово. Например, название вулкана или кличку любимой собачки. Максимум могут ещё добавить к такому слову одну цифру или символ. Хакеры взламывают подобные «шифры», используя заранее подготовленные пароли, они загружаются из спец. словарей. Подбор пароля данным методом не займёт много времени. Естественно, что о надёжности таких паролей говорить не приходится.

ПО использующее метод полного перебора в отличии от предыдущего метода подбирает ключ, используя не какой-либо словарь, в соответствии с которым можно взломать простой пароль, а огромное количество всех возможных комбинаций. В данном случае всё зависит только от сложности пароля и числа символов в нём.

В связи с этим представляется возможным оценить надёжность пароля исходя из его длинны, используемых символов и вычислительных возможностей современных компьютеров.

Для ориентировки будем исходить из следующего:


  • на ПК с процессором AMD Athlon 64 X2 4200+ и Windows XP утилита cRARk продемонстрировала скорость в 80 паролей/сек., а ARCHPR обрабатывал только 60. Используя процессоры IntelCore 2Duo возможно достичь скорости в 150 паролей в секунду и выше.


  • при наличии современной видеокарты возможно использование программы igrargpu, которая за счёт вычислительных мощностей видеокарты повышает скорость подбора паролей Rar-архива до 2500 в секунду.


  • ничего не стоит на месте и ежегодно компьютеры становятся все быстрей, кроме того для ускорения перебора можно воспользоваться распределённой вычислительной сетью ПК или даже суперкомпьютеров.



Исходя из этого, в расчётах можно ориентироваться на скорости в 100, 1000 и 10000 паролей в секунду.

Для определения времени, требующегося на взлом ключа полным перебором, необходимо число знаков, используемых в пароле, возвести в степень равную числу символов пароля. Затем разделить полученный результат на скорость подбора ключей (будем ориентироваться на 100, 1000 и 10000 паролей/сек.).

Так если пароль состоит из 8-ми символов, включающих латинские буквы (с различием строчных и прописных) и цифры от 0 до 9, т.е. имеем 36 различных символов, тогда число возможных комбинаций ключа 36^8=2821109907456. Следовательно время на полный перебор (в худшем случае) составит около 900, 90 и 9 лет для скоростей 100, 1000 и 10000 паролей/сек. соответственно. Данный расчёт произведён для «худшего случая», т.е. если искомый пароль окажется последним в переборе. Поэтому среднее время подбора пароля можно принять равным половине полученных значений (450,45 и 4,5 года!). При увеличении числа символов пароля и добавлении его к алфавиту спец. символов время для его взлома возрастает в геометрической прогрессии.

Для взлома выше указанного восьмисимвольного пароля брутфорсом за месяц потребовалась бы скорость равная 1100000 паролей/сек.

Из приведенных выше рассуждений можно сформулировать требования к надёжному паролю:


  • не содержит имени пользователя, года рождения, названия компании и т.п.;


  • состоит как минимум из семи символов;


  • содержит строчные и заглавные символы алфавита, цифры и спец. символы.



Для «придумывания» паролей, удовлетворяющих данным требованиям, существуют спец. программы — генераторы паролей. Однако лучше будет составить пароль самостоятельно, так как генераторы паролей могут содержать свои программные уязвимости.