Цифровая гигиена. Том I

Настоятель улыбнулся и сказал, что бывшему атаману предлагают возглавить новую кафедру в Академии службы безопасности. Это будет кафедра тестирования взломом. Кафедра пентеста. Атаман согласился. Но потребовал, чтобы и он сам, и преподаватели, и слушатели, и все выпускники кафедры пожизненно находились под строгим наблюдением службы безопасности, чтобы всех их дважды в год проверяли и тестировали маги-психологи, чтобы убедиться, что никто из преподавателей и слушателей не сможет применить свои знания во вред королевству, не перейдет на темную сторону. И пусть это означает некоторое лишение свободы и неудобства, но это лучше, чем своими руками воспитывать новых злоумышленников.

Как ни странно, но в вузах, которые учат будущих специалистов по безопасности, отсутствует психологический отбор кандидатов на обучение. Правильно ли это? Наверное, нет, потому что будущий специалист в области информационной безопасности должен быть кристально чист. Мало того, такие же тесты стоит проходить регулярно не только кандидатам, но и сотрудникам. Кто-то из вас может возразить, мол, это не армия. Может вы и правы, да только нет страшнее ничего, чем вор – сотрудник безопасности или правоохранительных органов.

Вот так и появилась в Академии кафедра пентестинга. А вместе с ней – кафедра магов-психологов. Но это уже другая сказка.

Сказки о безопасности: Королевские инновации и обучение

В королевстве Жадины I специалисты учились только тому, что им нужно сегодня, в данный момент. Увы, но учились они исключительно «методом тыка». Это приводило к тому, что соответствующие приборы и методики работ осваивались кусками, не полностью. Соответственно, мастера никогда не могли в полной мере использовать те или иные технологии.

Вам это ничего не напоминает? А зря. Как правило, системные администраторы учатся также и только некоторые из них (совсем немногие) читают документацию. Это приводит к непропорциональному расходу как усилий, так и рабочего времени.

В королевстве Эрика Справедливого обратили внимание на то что творится у Жадины I, впрочем, они всегда внимательно смотрели на то, что и как творится у соседей.

И сделали правильный вывод. Покупаете новые технологии (новые средства производства) – будьте добры учиться. Ни одна новая технология не может быть внедрена без проведения соответствующего обучения сотрудников. В результате и брака стало куда как меньше, и деньги, потраченные на обучение, быстро возвращались, ведь чем лучше научены сотрудники, тем меньше брака допускается в работе, да и работа делается быстрее и с лучшим качеством.

А вам так не кажется? Ведь если перед внедрением нового программного продукта ваши сотрудники будут обучаться, то ошибок будет гораздо меньше, а значит продукт будет внедрен с меньшими затратами и усилиями. Не так ли?

Сказки о безопасности: Королевский приют безумных, или пропаганда ИБ для пользователей

В королевстве Эрика Справедливого все чаще и чаще внедрялись технологии и устройства, разрабатываемые в королевстве гномов. С одной стороны, это было очень здорово, а с другой – пользователи не успевали понять, какие отрицательные стороны имеют эти технологии и как следует защищать себя от этих отрицательных сторон.

Вам это не напоминает современный мир с его бесконечным числом гаджетов, Интернетом вещей и т. д. Гаджетов и технологий все больше. Они все разнообразнее, а пользователи, увы, все те же.

Все чаще и чаще в компаниях, внедряющих те или иные технологии гномов, были вынуждены организовывать специальные «Приюты безумных», в которых специально обученные люди, называемые няньками, разъясняли сотрудникам, как правильно работать с теми или иными технологиями, чтобы не нанести вред как компании, так и себе самому.

Все чаще и чаще сотрудникам подразделений информационной безопасности необходимо выполнять просветительскую роль, разъясняя пользователям, как необходимо работать и чего бояться в нашем изменчивом мире.

Увы, но очень скоро выяснилось, что одних нянек в «Приютах безумных» катастрофически мало. Технологии и устройства гномов распространялись все быстрее и быстрее. Люди покупали их все охотнее, но работать с этими устройствами и технологиями совершенно не умели. Тогда король издал указ и в королевстве начали печатать брошюры из серии «Технологии для чайников».

Однако со временем выяснилось, что хотя эти брошюры раздавались практически бесплатно, люди, увы, их не читали, а даже те, кто и читали, чаще всего не понимали прочитанное.

На рынках все чаще можно было увидеть подобные сцены.

– Как можно доверять гномам? – вопрошал Баграм Базарный, широко известный в кругах покупателей мочалы. – Их богопротивные устройства расскажут гномам о вас всё-всё-всё, хотите вы того или нет!

– Пора нам создавать своё! – вопил его сосед по лотку Альбрехт, в жизни ни дерева ни вырастивший, ни печи не сложивший, но гномовские гаджеты пользовавший.

Вам это не напоминает ситуацию с компьютерной литературой из серии «Для чайников», впрочем, как и со статьями на популярных ресурсах для пользователей? Вспомните такой ресурс, как http://answers.microsoft.com (http://answers.microsoft.com/), где одни и те же вопросы повторяются изо дня в день.

Король задумался. Технологий все больше и больше, как и гаджетов, а думающих все меньше. Да и няньки в «Приютах» все чаще начинают уставать и становиться все более агрессивными. Все чаще и чаще слышны разговоры о том, что кто-то из них не выдержал и наорал, а то и ударил пользователя.

Как быть? Я не знаю. Не знает и король. А вы знаете?

Сказки о безопасности: Рождение социальной сети, или звездный час для спецслужб

В дальней Галактике в планетной системе у звезды Альфа-8 была обитаема Изумрудная планета. Ее когда-то назвали так ввиду мягкого климата и огромного океана с ярко-изумрудной водой.

На планете давным-давно не было государств и войн, а правил император. Планета жила в основном продажей высокотехнологичного оборудования и программного обеспечения. Поскольку она находилась вдали от известных межзвездных путей, то туристы там появлялись весьма редко. Местное население весьма активно использовало для общения планетарную сеть, однако, как неоднократно замечал в своих докладах императору его начальник контрразведки, было глубоко несчастным. Проводимые периодически социологами из контрразведки опросы показывали, что основной причиной несчастья было отсутствие общения. Попытки развивать сеть увеселительных заведений ни к чему не привели. Население просто отказывалось туда ходить, им вполне хватало виртуальной реальности у себя дома. Вместе с тем на планете падала рождаемость. Надо было что-то делать, а что?

И тут разведке пришла идея. Раз уж люди разучились фактически общаться между собой и ушли в виртуальность, нужно сделать так, чтобы они общались в виртуальности. Пришла идея создания социальной сети.

Вам не кажется, что мы тоже постепенно уходим от реального общения? Особенно в больших городах. А зря не кажется!

Идею создания социальной сети первыми, как ни странно, поддержали студенты и… разведка. Вернее, контрразведка. Ведь в таком случае люди, общаясь с компьютерами, становились гораздо более открытыми, особенно если использовали не реальные имена, а ники. Ну а связать ник с реальным человеком не так уж сложно, если знать где и как ковырять.

Прошло несколько лет. Социальная сеть получила широкое распространение, особенно среди молодых людей. А разведка получила огромное количество материалов, позволяющих составлять психологические портреты. Люди стали активнее общаться.

Вместе с тем при приеме на работу стали активнее использовать составленные на базе сообщений социальной сети психологические портреты. А службы безопасности соответствующих компаний стали отслеживать поведение своих пользователей в сети как на работе, так и вне ее.

Будьте умнее. Постарайтесь оставлять минимум данных о себе и своих близких. Помните, что любая фраза может быть и будет использована против вас.

Сказки о безопасности: Социальная сеть пять лет спустя, или как закрыть ящик Пандоры

После создания социальной сети на Изумрудной планете (http://www.pcweek.ru/security/article/detail.php?ID=182340) прошло пять лет. Вслед за первой появились и другие соцсети. Но тут оказалось, что не все так просто.

После доклада начальника контрразведки император понял, что после создания социальных сетей они открыли ящик Пандоры. И собственно неприятности только начинаются. Ведь пользователи социальных сетей не думая размещали о себе материалы, которые при внимательном просмотре можно было отнести к категории «Секретно» и даже «Особой важности. Сжечь по прочтении».

Так военнослужащие зачастую сообщали номера и размещение своих воинских частей, фотографии с военных полигонов, на которых они были изображены на фоне совершенно секретной техники. Не лучше обстояли дела и у инженеров и ученых. Зачастую ума хватало обсуждать достоинства и недостатки тех или иных проектов. Более того, даже сотрудники службы государственной безопасности не отличались наличием ума и внимательности!

В ходе развития социальной сети появились банды, использующие материалы социальных сетей для проведения phishing и даже spear phishing атак. То есть уже не только обычное мошенничество пошло в ход, а даже направленные мошеннические атаки. И джина загнать назад в бутылку не представлялось возможным.

Что делать? Как быть?

Император принял решение обучать пользователей методам информационной безопасности прямо со школьной скамьи. Никто не знал, поможет это или нет, но делать что-то надо было.

Задумайтесь, о чем вы пишете в социальных сетях, какие фото выставляете. Ведь вся эта информация – путь к созданию целевой атаки на вас.

Что делать? Запретить социальные сети совсем? Но ведь во многих случаях это несомненная польза. Как быть?

Ответа на этот вопрос у меня нет. Думаю, что польза социальных сетей несомненна. Но и вред тоже налицо. Потому просто прошу вас думать. Почаще и побольше. Джин выпущен из бутылки и назад его загнать нельзя!

Сказки о безопасности. Пришла беда откуда не ждали

После широкого распространения социальной сети на Изумрудной планете казалось, что хуже уже некуда. Но, увы, оказалось, что есть куда. Люди стали сидеть в социальных сетях из дома и с работы. Менеджерам ИТ-компаний показалось что есть рынок для развития. И появились вездесущие гаджеты. Компьютеры стали миниатюрными, в ход пошли планшеты и смартфоны. Если изначально задумывалось что эти устройства будут предназначаться в первую очередь для телефонных переговоров и игр, то теперь, оценив прелесть добывания данных из социальных сетей, в них были встроены модули определения географических координат. Вначале это преподносилось как удобство. Можно было проложить нужный маршрут, увидеть состояние пробок на дорогах, увидеть где в тот или иной момент времени находится ваш ребенок, ваше транспортное средство.

Удобно, закричали пользователи.

Первыми удобство оценили спецслужбы. Теперь по сигналам устройства можно было четко определить где находится нужный объект. Потом это же взяли на вооружение суды и показания гаджета о географическом положении устройства стали доказательством в суде.

Но на этом история не закончилась. Сведения о местоположении пользователя оказались весьма привлекательной информацией для рекламодателей. Ведь насколько удобно, идешь по улице и заранее знаешь, что вот тут сидят твои друзья, а вот тут магазин, в котором продают то или иное, а недалеко ресторан и т. д. Реклама стала целевой. Понятие личной информации просто стало товаром.

Сегодня мы с вами наблюдаем это все и у нас. Личная информация давно уже покупается и продается. А мы с вами просто стали товаром.

Более того, даже появились биржи, которые торгуют этой информацией и чем дальше, тем становится все сложнее.

Люди постепенно привыкли к тому что они товар. А гаджеты получили огромное распространение. Но вопросы приватности уже были никому не интересны. Люди привыкли.

Разве у нас с вами не так? По-моему, так. А как вы считаете?