вторник, 27 марта 2012 г.

К чему могут приводить ошибки в ПО

Нет программных продуктов без ошибок. Ошибки в программе, заложенные на этапе разработки архитектуры или программирования могут вылиться в серьезные проблемы во время эксплуатации систем. Особенно если эти системы выполняют критические функции и от работы таких систем зависят многомиллионные проекты.
18 августа 2011 года искусственный спутник земли «Экспресс-АМ44» был выведен в космос, однако в результате ошибки программного обеспечения в системе управления разгонного блока «Бриз-М» он был выведен на орбиту, с которой не смог работать. В марте 2012 года было принято решение об утилизации спутника. 25 марта 2012 года спутник был выведен по контролируемому спуску и несгоревшие его остатки упали в акваторию тихого океана. 25 и 26 марта предполагаемый район падения был закрыт для судоходства и полета воздушных судов. Стоимость спутника составляла около 300 млн. долларов. Такова цена ошибки в ПО.
Это не первый случай, когда ошибки вызвали довольно серьезные последствия. В 1997 году американский военный корабль «Йорктаун» выполнял маневры возле побережья Атлантического океана. Из-за ошибки в системном программной обеспечении судно на 2,5 часа потеряло управление. В 2010 году была авария самолета авиакомпании «Qantas», причиной которой также была признана ошибка в алгоритме обработки информации с бортовых измерительных систем.
В последнее время становится популярной тенденция автоматизации всех процессов жизнедеятельности людей. В обиход входят концепции «интеллектуального дома» или, например, концепция «smart grids» для управления процессом генерации и потребления электрической энергии. Такие системы выдвигают повышенные требования к безопасности ПО, поскольку от их работы зависит физическая безопасность людей. Поэтому безопасности промышленных систем необходимо уделять большее внимание, чем безопасности прикладных систем автоматизации бизнес-процессов.

четверг, 22 марта 2012 г.

Проблемы защиты от спама

Проблема спама (англ. SPAM, массовой рассылки рекламы или другой информации лицам, не желающим их получать) является одной из важных проблем сети Интернет. Основной поток спама распространяется через электронную почту. Поэтому основные методы борьбы со спамом крутятся вокруг электронной почты и протоколов ее передачи.
Изначально протоколы электронной почты (ровно, как и остальные протоколы стека TCP/IP) разрабатывались без принятия во внимание вопросов безопасности. Это было оправдано, поскольку электронная почта распространялась по закрытым каналам, в закрытых системах, и доступ к этим системам сторонних пользователей был запрещен. В наше время электронная почта является основным средством общения в бизнес среде и по своей сути является открытой. Изменение способа и масштабов использования электронной почты повлекло за собой ряд проблем, одна из них – проблема спама.
Основные последствия, связанные со спамом включают неоптимальное использование ресурсов (каналы передачи данных, дисковое пространство, вычислительная мощность, время сотрудников), распространение вредоносного программного обеспечения, фишинговые атаки. Относительно ресурсов, наиболее ценным ресурсом является рабочее время сотрудников, которое они вынуждены тратить на прочтение писем, пусть это даже беглое прочтение для принятия решение, что делать дальше с этим письмом. Не маловажным является также и пропускная способность каналов. По оценкам «Лаборатории Касперского» доля спама в почтовом трафике колеблется в районе 78-85%.
Для борьбы со спамом предлагались различные методы. Часть методов требует определенных действий со стороны пользователей, а часть требует мер со стороны провайдеров. Меры со стороны провайдеров можно условно разделить на два класса: методы авторизации почтовых серверов и отравителей и методы фильтрации потока сообщений. Методы фильтрации основаны на самообучающихся алгоритмах. Недостатками методов фильтрации является возможные ложные срабатывания. Если правила фильтрации заданы слишком мягко, то польза от фильтра небольшая, поскольку все спам сообщения будут пропущены. Если правила жесткие, то возможно помещение в папку спама или даже удаление важного письма. Сколько раз вы ждали важное письмо от клиента или поставщика, а потом, не дождавшись, случайно находили его в папке со спамом?
Алгоритм фильтрации электронной почты от спама у каждого производителя фильтра свой. Чаще всего это закрытые алгоритмы. Производители фильтров не спешат делиться этими алгоритмами, поскольку с одной стороны это представляет собой ноу-хау, дающее конкурентное преимущество, а с другой стороны злоумышленники, рассылающие спам могут использовать знания алгоритма для того, чтобы найти способы как обойти фильтры. Однако, последнее время появилась тенденция раскрытия алгоритмов. Например, Google в своей почтовой системе Gmail предложил пользователям просматривать критерии переноса того или иного сообщения в папку спам. Польза пока от такого нововведения сомнительная, но время покажет.

вторник, 20 марта 2012 г.

Неправильное восприятие сертификации на рынке

Сертификация в области информационной безопасности является важным элементом подтверждения знаний и опыта профессионалов или компаний, работающих на рынке. Часто сертификаты являются одним из критериев выбора поставщика тех или иных услуг. Все бы хорошо, но, как говорится, ложка дегтя может испортить бочку меда.
Огорчает тот факт, что на рынке часто наблюдаются спекуляции на тему сертификатов и сертификаты часто преподносятся сертифицированными индивидуумами неправильно. Наиболее часто распространенное нарушение связанное с объявлением индивидуума сертифицированным в то время, как срок действия сертификата уже истек. Второе по популярности нарушение правил сертификации - неправильное толкование области действия сертификата. Например, сертификат присваивается компании, а сотрудник объявляет себя сертифицированным и наоборот, сертифицирован сотрудник, а компания объявляет себя сертифицированным. Например, в новостях фигурирует информация, что "Компания A получила сертификат CISM", однако в правилах сертификации от ISACA ясно написано, что "The CISM designation is awarded to individuals with an interest in security management who meet the following requirements....". Подача информации, что сертифицирована компания, а не индивидуум вводит потенциальных клиентов в заблуждение.
Такие нарушения приводят в конечном итоге к "размытию" ценности, инфляции сертификата.
В случае обнаружения таких нарушений органом сертификации могут быть предприняты соответствующие дисциплинарные меры, но восстановить репутацию и доверие к сертификатам при этом довольно трудно.

среда, 14 марта 2012 г.

Сдача сертификации CISSP в режиме онлайн

Организация (ISC)2 с 6 июня 2012 года переводит все свои экзамены для сертификаций CISSP, CISSP concentrations и SSCP в разряд CBT-экзаменов. Такие экзамены можно cдавать в режиме онлайн в тестовых центрах Pearson VUE.
Что это, дань моде или хорошо продуманный стратегический шаг? Конкурирующая организация ISACA на такой шаг идти пока не спешит и продолжает принимать свои экзамены CISA, CISM, CRISC, CGEIT в бумажном виде.
Для кандидата такое изменение в сдаче экзамена (ISC)2 означает следующее:

  1. Возможность сдавать экзамен в удобное для кандидата время (сдача экзамена возможна уже на следующий день)
  2. Получение результата по экзамену в режиме онлайн (сразу же после сдачи теста)
  3. Удобство сдачи экзамена в одном из тестовых центров сети Pearson VUE

В общем, для попытки сдачи не нужно будет привязываться ко времени и оплачивать транспортные расходы для поездки в центр тестирования (к примеру, экзамен CISSP можно будет сдавать в Киеве в одном из 4-5 зарегистрированных центров Pearson VUE).
Однако такое нововведение резко увеличит количество попыток сдачи и увеличит риски утечки информации по вопросам (для электронных экзаменов такие риски существенно выше, для других экзаменов то и дело появляются сообщения об "утечке базы" вопросов). Означает ли это, что ценность сертификата CISSP будет падать? Сейчас этот сертификат является одним из наиболее признанных сертификатов в области информационной безопасности. Я думаю, время покажет, как такое нововведение повлияет на восприятие сертификации в мире.