понедельник, 18 апреля 2011 г.

Пересылка цифровых ключей по почте

Недавно один из крупнейших банком мира HSBC объявил о том, что для обеспечния более безопасного доступа клиентов к своим счетам при помощи интернет-банкинга, он будет предоставлять инструмент многофакторной аутентификации. Это устройство, которое получило название HSBC Secure Key — «безопасный ключ» представляет собой цифровую карточку, которая генерирует одноразовый ключ аутентификации на основе пин-кода вводимого пользователем.
Эта технология не является новинкой и мотивы банка вполне понятны. Тем более, что недавно клиенты банка стали жертвой фишинговой атаки . Удивляет другое - банк начал рассылать это устроуство 23 марта по почте. Необычный способ передачи таких критичных устройств пользователям. Меня бы насторожило то, что устройства передаются не лично в отделениях банка, а через третьих лиц.

четверг, 14 апреля 2011 г.

Стандарты тестов на проникновение

Проекты на проведение тестов на проникновения выделяются из других проектов в области информационной безопасности тем, что единой методологии выполнения такого рода проектов нет (я не принимаю во внимания различные рекомендации международных организаций, поскольку в таких рекомендациях нет перечня обязательных процедур). Такие проекты находятся на грани технологии и искусства (если можно так выразиться). Пути и подходы выполнения этих проектов у каждой компании различны. Это создает некоторые сложности заказчикам проектов, поскольку они изначально не знаю, за что платят деньги. Бизнес любит стандарты, стабильность, предсказуемость. Например, если мы внедряем СУИБ, то желательно, чтобы она соответствовала определенному стандарту, например ISO 27001.
Со стандартами в области тестов на проникновение дела обстоят сложнее. Их нет. Вернее не было, поскольку в мировом сообществе появилась инициатива внедрения стандартов и в этой области. Со временем увидим, насколько эта инициатива действенная.

понедельник, 11 апреля 2011 г.

Впечатления от мероприятия CSI Filter3

7 апреля прошла 4-часовая виртальная конференция Computer Secruity Insitute, которая называлась Filter3. В режиме онлайн видео мероприятие могли смотреть зарегистрированные участники.
Докладчиков было довольно много, были представители от крупных до маленьких организаций, работающих в сфере информационной безопасности.
Впечатления от мероприятия двойственные. С одной стороны затрагивались довольно глубокие и актуальные темы, с другой стороны формат презентаций уменьшил эффективность процесса восприятия.
Формат презентаций был довольно необычный. Никаких слайдов или наглядных материалов не было. Доклад воспринимался как интервью в неформальной обстановке. Докладчики в подавляющем большинстве сидели в креслах и рассуждали на тему как космические корабли бороздят просторы вселенной актуальных вопросов обеспечения безопасности в инженерных сетях, защите персональных данных, безопасности веб-приложений и т.д.
Отсутствие наглядных материалов и американский вариант английского языка лично мне, как визуалу, не позволил эффективно воспринимать информацию.
Интерактивность сессий была также не на высоте. Инструмент презентаций позволял задавать вопросы, но мои два заданных вопроса остались без ответа. Я даже не получил реакции, дошли ли мои вопросы до докладчика или нет.
Возможно эти сессии были не в прямом эфире, а в записи, но тогда возникает вопрос, зачем привязываться к определенному времени трансляции (которое, кстати, для европейских слушателей было не очень удобное)?
В целом могу порекомендовать это мероприятие как прослушивание новостей в фоновом режиме. На мой взгляд, при этом достигается наибольшая польза.

четверг, 7 апреля 2011 г.

С днем рождения, Интернет

Сегодня российский сегмент интернета отмечает свой день рождения. В 1994 году в этот день состоялся запуск доменной зоны .RU, которая была внесена в международную базу данных национальных доменов верхнего уровня. С праздником, русскоязычные пользователи!

среда, 6 апреля 2011 г.

О целостности данных в CRM системах

Целостность данных является одним из требований информационной безопасности. Различные организации по разному подходят к требованиям целостности данных и реализации механизмов обеспечения целостности. Одни считают, что целосность данных более критична, чем конфиденциальность; другие придерживаются противоположного мнения. Все критерии информационной безопасности, которые применяются к информации (целостность, доступность, конфиденциальность, наблюдаемость, эффективность, и т.д.) одновременно обеспечить очень сложно. Нужно определять приоритеты. На мой взгляд есть класс систем, где целостность наиболее важна - это CRM системы. Многие компании используют эти системы для маркетинговых целей, поддержки контакта с клиентами, привлечении и удержании клиентов. Информация, которая содержится в этих системах используется для общения с клиентом и целостность этой информации очень важна. Это “лицо компании”, ее имидж. Некачественная информация в CRM системах может препятствовать достижению целей этой ИТ системы, или даже давать обратный эффект.
Я подписан на бесплатный информационный журнал одного из вендоров. Получив текущий номер, я вместе с ним получил уведомление, что моя подписка на этот журнал истекла и этот (текущий) номер я не получу. Некрасиво получилось... Вместо того, чтобы проникнуться уважением к компании, которая персонально общается со мной, которой важны мои интересы у меня возникло ощущение, что я участвую в какой-то спам рассылке.
Похожая история. Недавно покупал в одном из интернет-магазинов бытовую технику. Позже они прислали мне письмо, где предлагали вступить в их группу в социальных сетях. В принципе разумное предложение. Все бы ничего, но в письме они назвали меня “Ольгой”. Хотя при регистрации я указывал свое имя правильно.
Вот так вот получается. А потом маркетологи сидят и ломают голову, почему бы это их эффективная CRM система не приносит плоды?

пятница, 1 апреля 2011 г.

Региональный broadcast используя атмосферные слои.

Региональный broadcast используя атмосферные слои.

Традиционно на первое апреля Internet Engineering Task Force выпустил шуточный стандарт RFC #6217. . Этот стандарт, как и другие шуточные ничем не отмечен в базе и находится наряду с обычными RFC документами. Так что, если у человека не обладает чувством юмора и не обратил внимания на дату, то вполне может приять документ за чистую монету. Документ содержит все необходимые атрибуты и разделы. Стиль изложения документа довольно строгий. Несерьезность документу придают лишь абсурдные идеи, например отражение на небосводе содержимого датаграммы. Хотя, возможно, кому-то эта идея и не кажется абсурдной. Например, компания Moon Publicity запатентовала схожую технологию отображения информации на луне . Так что, возможно, когда-то первоапрельские RFC и получат статус будут восприниматься как официальные.