Цифровая гигиена. Том I

Сказки о безопасности: Самое слабое звено королевства

В королевстве Жадины I экономили буквально на всем. Расходы на армию поддерживались на минимальном уровне. Денег едва хватало на еду и жалование. О ремонте крепостей никто даже не заикался. Но проблемой были расплодившиеся разбойничьи шайки. Сколько ни ловили их да не вешали разбойников, голодные крестьяне все чаще и чаще от безутешной доли шли разбойничать.

В крепости Грим, стоявшей у дальней границы, вдалеке от столицы, командовал барон Арн. И все было бы хорошо, да барон подворовывал и те небольшие средства, которые выделялись на крепость. В результате в крепости была грозная стена, башни с толстыми воротами и… огромная дыра в стене с тыльной стороны. Барон считал, что с той стороны подобраться нельзя, так как стояла крепость на скале и, на его взгляд, забраться в нее со стороны дыры было невозможно.

В ту ненастную ночь, казалось, само небо разгневалось на гарнизон крепости. Лил сильный холодный дождь. Небо прорезали огромные молнии. Да к тому же выл сильный ветер. Казалось, что в такую погоду нужно просто сидеть по домам да пить подогретое пиво или горячий грог.

Однако так казалось не всем. В эту ночь большая шайка разбойников решила штурмом взять крепость, куда как раз приехал сборщик налогов этой провинции с небольшим отрядом стражи.

Разбойники поднялись по скале и атаковали крепость как раз со стороны дыры. Крепость пала, а королевский обоз был разграблен.

Помните, что вся ваша безопасность равна безопасности самого слабого звена. В данном случае самое слабое звено в обороне – дыра в стене. И, как видите, сколько не вешай замков на ворота, а дыра в заборе и… крепость пала! Сегодня самое слабое звено – люди. Учите их! Иначе будет поздно!

Сказки о безопасности: Королевские пентестеры

После того как разбойники ограбили крепость и забрали налоги целой области в королевстве Жадины I, король Эрик Справедливый учредил в военном министерстве инспекционный департамент. Данный департамент должен был заниматься инспектированием крепостей и гарнизонов, проверкой боеготовности гарнизонов и уровня знаний командиров.

В состав департамента входило особо секретное подразделение, которое занималось проверкой боеготовности, в том числе путем несанкционированного проникновения на территорию военных городков, лагерей и крепостей. Так появилось первое подразделение пентестеров.

Тестирование на проникновение (жарг. Пентест) – метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать рекомендации по их устранению. Цель испытаний на проникновение – оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является частью аудита безопасности.

Королевские пентестеры занялись проверка готовности к возможному проникновению врага. Но после проведения нескольких подобных проверок оказалось, что тестирование проникновением это хорошо, однако это не дает реальной картины безопасности. Как быть? Тогда с целью углубленной проверки в инспекционном департаменте было создано подразделение аудита, которое, в свою очередь, проверяло соответствие выполнения приказов министерства и устранение ранее найденных недостатков. По итогам аудита составлялся отчет. Если обнаруживались ошибки, то выделялось время для их устранения. Если же в срок недостатки не устранялись снова, то соответствующий руководитель уходил с понижением, а в случае особо выраженных недостатков – просто увольнялся без выходного пособия и пенсии.

Да, строго, да страшно, но что важнее? Быть добреньким или отвечать за безопасность и жизнь своих подчиненных? По-моему, ответ очевиден. Не можешь – не работай! То же самое касается и вас, господа безопасники. Не забудьте, что вы должны регулярно проверять безопасность вашей сети. Ведь отвечаете за нее вы, не так ли?

Сказки о безопасности: Свобода как оборотная сторона безопасности и порядка

После катастрофы со строительством крепости иностранными фортификаторами Жадина I задумался. На возведение новой крепости денег нет. Своих специалистов нет. Как быть?

Задал он этот вопрос своим министрам. Думали они целую неделю, как вдруг один из министров сказал, что слышал мол – есть команда, которая позиционирует себя как «Свободная команда специалистов». Причем вся прелесть состоит в том, что чертежи они дают бесплатно, а строить вы будете сами. То есть вы сэкономите на архитекторах и патентных отчислениях. Так дешевле! На естественный вопрос, а зачем это самой команде, министр ответил, что эта команда проповедует свободу творчества и состоит из бунтарей, которые считают, что военные фортификаторы обдирают клиентов.

Вам это ничего не напоминает? Например, попытку внедрения свободного ПО? У нас все дешево, налетай, бери! Только помните, что если вы не платите – вы товар!

Решил Жадина I заключить договор с такой командой. Принесли ему чертежи, посмотрели, вроде как все хорошо. Решили строить. Долго ли, коротко ли продолжалось строительство. Построили. Пришел военный министр и просто онемел. Да только совсем не от восторга.

Батареи на бастионах смотрят не в ту сторону. Ворота в крепости направлены в сторону обрыва… Стены из легкого пористого кирпича… И на всех стенах реклама ближайших стриптиз-баров!

Рявкнул министр, мол, что за ерунду вы натворили?

В ответ – все как на чертеже. Его наши лучшие фортификаторы проверяли, ну а то что ворота не в ту сторону, или бастион не такой – так мы тут ни причем. Сообщество проверяло. А кто конкретно? Все! Кто отвечает? А никто! А реклама? Так жрать нам нужно? Да и дома нас ждут. Бесплатно работать-то нельзя!

Плюнул министр и решил, что уволится к чертовой бабушке, лишь бы на такое художество не смотреть. Ответ, мол, зато бесплатно, его явно не устроил.

Нельзя путать свободное и бесплатное ПО с безопасным. Хотите безопасное – покупайте! Хотите бесплатно, привыкайте что вы товар и не вы, а на вас будут зарабатывать. Привыкайте!

Сказки о безопасности: Невосстановимое стирание

В королевствах Жадины I и Эрика Справедливого для особо важных королевских архивов использовался пергамент. Несмотря на то что бумага давно была в ходу, это была, во-первых, дань традиции, а во-вторых, тексты на пергаменте куда как дольше хранились. Одна беда – пергамент в производстве был дорог. Потому в королевстве Жадины I много раз использованный пергамент, удалив кое-как тексты, просто продавали, чтобы сэкономить деньги.

Аналогично они поступали с бумажными архивами, не уничтожая их, а просто сдавая на макулатуру.

Читателю. Не правда ли, напоминает ситуацию с носителями информации, например, с жесткими дисками. Использованные жесткие диски продают, просто отформатировав их. Или использованные смартфоны просто сбрасывают в заводские настройки. Не так ли?

Шпионы Эрика Справедливого скупали такие пергаменты на рынке пачками, а затем с помощью нехитрых химических реактивов и небольшой магии восстанавливали все что удавалось с них восстановить и получали массу интереснейшей информации. Еще проще это получалось делать с бумажными архивами. Таким образом, разведка Эрика получала более половины всей необходимой информации.

Читателю. Кто-то из вас, несомненно, скажет, мол, фи, копаться в мусоре. Некрасиво. Да. Некрасиво, но эффективно! И это важно! Потому важно использовать правильное уничтожение мусора.

В королевстве Эрика Справедливого был принят другой порядок уничтожения. Особо важные документы, а бумажные – все измельчались на специальных машинах, изобретенных гномами. После них все листы превращались в маленькие квадратики 3х3 мм, а потом бумажные квадратики в запечатанных бумажных же мешках отвозились на бумажные фабрики, где под наблюдением королевских гвардейцев опускались в специальные чаны для изготовления бумаги, а пергаментные остатки – на фабрики, где изготавливались изделия из прессованной кожи. Таким образом, казна получала еще и прибыль от уничтожения мусора.

Читателю. Вам это ничего не напоминает? Пора бы и вам создать свою политику уничтожения информации. Как на бумажных, так и оптических и тем более магнитных носителях!

Сказки о безопасности: Криптография и образование

После того как в королевстве Эрика Справедливого началось широкое использование гномьей и эльфийской криптографии, король заметил, что лица его министра обороны и министра финансов периодически становятся задумчивыми и даже угрюмыми. Поскольку король был очень умным, он решил с ними побеседовать. Вызвал он их обоих как-то и предложил откровенно побеседовать за бокалом хорошего вина.

– Генерал, что вас беспокоит?

– Ваше величество, мы все чаще и чаще используем гномью и эльфийскую криптографию. А что если когда-то они перестанут быть нашими союзниками? Нужно готовить своих криптографов и криптоаналитиков.

– Вот и я о том же думаю, – сказал министр финансов.

Задумался король. Сказал, что они правы, но как быть? Нужно готовить своих специалистов, но как? Откуда их брать? Готовить в университете? Но для этого нужно вначале подготовить преподавателей. Где и как?

Преподаватели информационной безопасности должны быть безусловно свои. Но проблема в том, что готовить преподавателей нужно долго и тщательно. И путь это не близкий.

Решил король отобрать наиболее подготовленных математиков и сделать из них преподавателей. Школьных преподавателей.

Король был умным и понимал, что просто так нельзя принять студентов ниоткуда и если хочешь получить умных специалистов, то нужно начинать со школы.

Нравится вам или нет, но подготовка хорошего преподавателя (инструктора) – процесс длительный, а хороший преподаватель вообще товар штучный. Мало того, что он должен быть умным и подготовленным, он должен уметь и любить преподавать и передавать свои знания. Увы, это часто не получается даже у самых лучших профессионалов.

Прошли годы. Из умных студентов выросли толковые профессионалы. За каждым из них наблюдала специальная служба короля. И через много лет части из них было предложено перейти во вновь организуемую Академию военной службы и безопасности королевства. А для того чтобы они не беспокоились о материальной стороне, король положил каждому из них для начала оклад не менее чем втрое выше получаемого в настоящее время и потребовал, чтобы не менее 20% своего рабочего времени они уделяли своему профессиональному росту.

Преподаватель должен учить и учиться сам. И только тогда он сможет повториться в учениках.

Вы можете спросить – и что было дальше? А дальше уже в этой Академии стали готовить кадры для союзников. Не забывая, впрочем, о том, что копии ключей шифрования нужно держать у себя, ведь сегодня они союзники. А завтра?

Сказки о безопасности: Обучение королевских пентестеров

Однажды на дороге, ведущей в столицу королевства Эрика Справедливого, двое монахов встретили изможденного больного человека, медленно бредущего по дороге. Он был так слаб, что даже не мог говорить. Монахи взяли его с собой, чтобы вылечить в больнице при монастыре. Лечение больного длилось долго и шло очень тяжело. Прошло немало времени прежде чем он выздоровел. Но все же ему удалось выздороветь. Ничего не рассказывал о себе этот человек.

В один из дней он попросился поговорить с настоятелем монастыря. В разговоре он сообщил, что долгое время был атаманом разбойников, грабил крепости и сейфы богатых купцов, пока однажды не заболел и его не бросили умирать на дороге. Он спросил настоятеля, как же ему жить дальше, так как разбойничать и грабить он уже не хочет, а больше ничего делать не умеет. Как жить дальше?

Задумался настоятель и сказал, что ему нужно немного времени, он должен подумать и посоветоваться со своими друзьями. Настоятель не рассказал о том, что до тех пор, пока не стал монахом, он был инструктором в Академии службы безопасности королевства и связи в ней у него остались, ведь бывших безопасников не бывает.

Запомните, что не бывает бывших сотрудников службы безопасности. Они могут быть в отставке, в запасе, но в случае необходимости сразу же перестают быть бывшими!

Прошло немного времени. Как-то вечером настоятель пригласил к себе на беседу бывшего атамана. Вместе с ними в кабинете находился еще один человек, сидевший в темном углу кабинета и молчавший. Настоятель сказал, что это его друг и он хотел бы выслушать бывшего атамана. Долго длился разговор, пока сидевший в темном углу человек не произнес: «Подходит!».