Pull to refresh

Comments 64

У вас в релизных версиях вашего классного и защищенного софта находили проблемы с безопасностью? Где можно посмотреть уведомления о таких находках?
Оставим этот вопрос до возвращения axelus инженера на рабочее место.
Частая смена паролей — эпикфейл. Если вы будете менять пароли с частотой трусов, то у вас будут либо пароли вида MyNextPa$$_345, либо они будут записаны.

Боитесь за утечку? 2FA. А пароли должны быть correct horse battery staple.
Горячо поддерживаю, людей невозможно заставить работать в таком режиме, им гораздо легче спрятать бумажку с паролем в надежном месте. Меня самого хватило на полгода, потом понял что не то что запомнить, уже придумать новый пароль не могу, хотя на память никогда не жаловался. Стал тупо ходить к админу и сбрасывать пароль каждый раз когда забывал. Его ожидаемо хватило ненадолго и он! неожиданность! выдал мне корпоративную тайну — группу символов, которые можно просто инкрементировать при обновлении, естественно все админы сами ей пользовались. Честно говоря, даже после этого текущее значение предпочитал записывать.
regionsoft — чтобы два раза не писать, а сайт у вас на голом http://, это стеб такой или так у всех специалистов по безопасности принято?
А тут как с паролями — всё не так однозначно. Безопасность, она не в зелёном значке и не в Https, а в инфраструктуре — можете вот почитать небезынтересный материал. Ну и к тому же наша CRM не является web-сервисом, а информационные сайты ещё далеко не все перешли на https. Всему своё время ;-)
UPDATED April 2, 2015: This was an April Fools Joke. Read. Laugh. Learn. If you’re building web services, you should most definitely be using HTTPS.
Гм… Вы намекаете что сегодня тоже 2е апреля? Как-то весь пост заиграл для меня новыми красками :)
correct horse battery staple

Спасибо за хороший пароль!
Думаете, Вы один собираетесь его использовать? :-)
Интересно, насколько он популярен нынче стал?
Кстати, требование к «регулярной смене паролей» было «рекомендовано» NIST (National Institure of Standards and Technology, то есть «правительственной организацией, отвечающей за технологии) эдак лет двадцать назад. Причем сейчас никто не может вспомнить, кто и почему это пропихнул. Последние изменения в корне это меняют — рекомендуется иметь длинный пароль, со специальными символами, разным реестром и т.д. В общем, чтобы „подбор“ занял… вечность. И да, частая смена паролей приводит к тому, что люди просто „увеличивают“ последнюю цифру в предыдущем пароле.

PS. А вообще нужно пользоваться менеджерами паролей, и устанавливать уникальный пароль для каждого устройства, сайта или системы. Тогда единственный пароль, который нужно будет помнить — пароль для менеджера паролей, который, действительно, „как нижнее белье, не нужно никому светить“.
И как вы будете из менеджера пароль на вход в винду вводить?
А вообще нужно пользоваться менеджерами паролей

И иметь не нулевую вероятность потерять сразу все пароли сразу со списком ресурсов, на которых используются?
Нужно пользоваться ПРАВИЛЬНЫМИ менеджерами паролей. Например тот же LastPass (не реклама) хранит базу данных у себя. Да, они сделали все правильно (алгоритмически), и база данных без мастер-пароля расшифровке не подлежит. И они проходили несколько независимых аудитов.

Или если пользоваться другими менеджерами паролей, то нужно разбираться и копировать базу данных куда-то вне компьютера (на разные флэшки, может в облако). Естественно, нужно читать, разбираться, и в определенной мере «доверять» алгоритмам шифрования конкретного софта.

В любом случае, смысл в том, что если не пользоваться базой данных паролей (любой), то вероятнее всего будет всего два-три пароля, которые будут использоваться ВЕЗДЕ. В том числе на форумах (где никто с достоверностью не может сказать, как они шифруются), в соцсетях (откуда они с завидной регулярностью сливаются), и в банках (где деньги лежат). А если все системы, где вы зарегистрированы с этими тремя паролями («небезопасный», «безопасный» и «супер-пароль-только-для-банков») имеют разные политики для частоты смены паролей (где-то 60 дней, где-то 90 дней, где-то раз в год), то вы будете добавлять циферки в пароли, которые потом будут «рас-синхронизированы»…

В общем, «менеджеры паролей» это наше все… :-)
откого вы защищаетесь?
от сотрудников дебилов — не нанимайте их
от ушлых сотрудников — приставьте к каждому по маёру и пусть он вводит пароли в систему под запись в журнал

либо просто раздайте пользователям физические ключи и не мешайте им работать
Мы же пишем не о себе (хотя через что-то проходит каждая компания). Мы — вендоры, часто работаем с ИТ-инфраструктурой неайтишных компаний и видим, что у них есть проблемы, лежащие на поверхности. Для таких и пишем.
от сотрудников дебилов — не нанимайте их
Если сотрудник не соблюдает безопасность, это не значит, что он дебил. Например, в одной компании взяли на работу 40-летнюю переводчицу, у которой английский и испанский в совершенстве, уверенный японский и прекрасное знание американского делового оборота. Она бесценна, но до этого работала преподавателем в вузах разного уровня и корпоративная безопасность для неё — пустой звук. Конечно, она косячила, и руководитель её отдела была вынуждена засесть в переговорную и строго разжевать все правила, включая хранение паролей и работу с почтой, обращениями и онлайн платежами…
от ушлых сотрудников — приставьте к каждому по маёру и пусть он вводит пароли в систему под запись в журнал
Майоров не хватит :-) Да и ушлых с умными путать не стоит.
все правила, включая хранение паролей и работу с почтой, обращениями и онлайн платежами…

Может, просто умерять паранойю, а не сочинять правила? Если она переводчица, то ей достаточно одного простого, интуитивно понятного правила: никому не пересказывать то, что переводит. Всё. Остальное, как справедливо отмечали выше, только мешает работе.
То есть вы реально полагаете, что переводчику нужно только не болтать о том, что переводит?
Чисто переводчику — да. Но ниже выяснилось, что функции были несколько шире; тогда претензия снимается.
Она имела доступ к:

  • рекламным системам и баннерокрутилкам
  • паролям к оплате услуг иностранных блогеров и блогов (неснижаемый баланс карты ок. 20 000$)
  • системе генерации и выдачи лицензионных ключей (сфера в2с)
  • переписке в CRM и данным пользователей.

И без доступа к этим системам её ценность как работника была бы сильно снижена из-за потери оперативности.
от сотрудников дебилов — не нанимайте их
В бюджетных организациях ЗП на других нет.
я бы остеригался пользователей которые могут запомнить каждый день по паролю вида

t9~1MatT86S;omlJ)6DaA-+Tr#)65P2#
9E@Dm7V!r%7A!+Vg6b2o_Oux8LH*5!7a
+e;2%;2F^V^jo2Bdo_xX#2Z00YjY10Sh

вы же понимаете что ему не составит труда вынести ваши наработки в бинарном виде в голове
ему не составит труда вынести ваши наработки в бинарном виде в голове
В коллекцию цитат просто :-) На самом деле, перегибать тоже не стоит, и выше amarao совершенно справедливо и грамотно написал о паролях. Но, увы и ах, в компаниях не-ИТ профиля к этому могут и не прийти.
Проблема с паролями, вполне решаема с помощью «паролехранилок», остаётся только решить уровень паранойи на счёт онлайн сервисов или отдать предпочтение keepass и т.д.
Остаётся вопрос «узнал один пароль — узнал все», но всё равно лучше кучи бумажек натыканных под каждой поверхностью.

Но есть проблема — большая часть «не айтишников» даже не знает что такое есть и это можно использовать.
«вы же понимаете что ему не составит труда вынести ваши наработки в бинарном виде в голове».
Johnny Mnemonic?
Что мне нравится в подобных статьях: напрочь забывают о таком фундаментальном аспекте ИБ как доступность. И законность

Зачем нужна «абсолютная» ИБ если она реально мешает работать и тормозит бизнес-процессы? Тем более у самой «абсолютной» ИБ всегда появляется одна-две точки «абсолютного отказа» (Например, в «абсолютном» шифре с шифроблокнотами — это, как несложно догадаться, сам шифроблокнот. Если его скопируют, то и не обнаружишь, и всё прочитают).

Безопасность должна быть достаточной, разумной и законной. А не минировать дачу, как некоторые делают.

Общие проблемы с паролем у, без преувеличения, миллиардов людей ненавязчиво подсказывают, что проблема не в людях, а в подходе. Как говорят: критикуя — предлагай! Из альтернатив, самое лучшее что я видел на практике — это авторизация по магнитному пропуску. Чрезвычайно удобно (пока пропуск не потерял) и достаточно безопасно (пропуск всегда должен быть на себе — иначе разборки). Может есть и другие альтернативы. Было бы интересно узнать и про них.
Подход аля (банковская карточка/флешка с подписью) мне нравится куда больше.

Что бы получить доступ, прикладываешь карточку и вводишь пинкод (либо пароль).

Во первых, не получится удалённо что либо сделать, во вторых защитит от её потери.
При этом требовать менять пароль, делать его через чур сложный, и так далее, не нужно.

Кстати, ещё одна жестокая история: в одной компании за каждое письмо спама сисадмину снижали KPI

Интересно, насколько еще снижался его KPI, когда пропадали важные письма от важных клиентов c адресами вида marina[at]ebonyandco.com Или когда с легитимного адреса клиента параллельно с рабочими письмами сыпется спам из-за вирусов на компе.
Или когда опять-таки с адреса легитимного клиента приходит письмо с вложением 7zip, а внутри файл «Пакет документов для оплаты март.exe» и этот файл не детектит никто из топ-5 антивирусов (про ClamAV молчу вообще) до 3 часов дня. И при этом на этот файл срабатывают всякие маргинальные антивирусы на VirusTotal
Там была несколько другая структура, специфичная, и важные письма от клиентов поступали в колл-центр и саппорт с другими правилами безопасности. Карали за спам, пришедший сотрудникам корп.центра и управлений филиалов.
Все равно непонятно. И в моих реальных примерах, это были не совсем клиенты, это корпоративные адреса партнеров или поставщиков. И переписка была не с рядовыми менеджерами по продажам, и почтовые адреса получателей были личные.
Сейчас таргетированный спам от обычного письма не особо отличишь. Нужен или доступ к крупному почтовому серверу, чтобы считать кол-во писем от одного отправителя/домена и как-то определять пороговые значения, если пользователь отправляет больше 10 требований на оплату счетов в разные компании, он робот или кто. Или нанимать секретаря для почты, чтобы глазками читать письма, и все равно не поможет, ибо глаз замыливается.
Я не удивлюсь что при этом была заявочка на тему «ну вот в гугле же могут, значит возможно и сможешь» :)
Мне больше нравится, что когда на gmail нельзя отправить exe-файлы в архивах, это все считают нормально.
А когда корпоративная почта не принимает вложения с exe, сразу начинаются крики, где наше письмо с презентацией от проектировщиков.
А презентация сделана в виде exe-файла с рендером помещений.
Причем их домен нельзя добавить в белые списки. Творческие личности, они то с адресов компании отправляют, то с личных ящиков.
а потому что в офисе может быть обиженный Саша, который собирается уволиться и нагадить или забрать информацию напоследок. Почему бы это не сделать в очередной обед?

Обиженный машинист может пустить поезд под откос, обиженный врач — навредить пациенту, обиженный повар — отравить гостей, обиженный полицейский — застрелить прохожего, обиженный оператор атомной станции — спровоцировать катастрофу. И ведь как-то это все работает без всяких паролей...

Да, только иногда обиженные пилоты пассажирских самолётов приземляются в склон горы… Все это называется человеческим фактором, который можно минимизировать, но застраховаться от него полностью не может никто.

Все-равно необходимы доверительные отношения, иначе ваша модель безопасности быстро парализует всю работу. Хорошая политика безопасности — та, которая не заметна. А против направленного вредительства пароли не сильно спасают.

Именно, чтобы застраховаться от такого и есть правило: в кабине пилота никогда не должен оставаться только один пилот. Почитайте тут.
Обиженный машинист может пустить поезд под откос, обиженный врач — навредить пациенту, обиженный повар — отравить гостей, обиженный полицейский — застрелить прохожего, обиженный оператор атомной станции — спровоцировать катастрофу.
Это не значит, что не надо пытаться предотвратить такие ситуации.
Кстати, про пароли из словаря. Я сварщик программист ненастоящий, так что спрошу у сведущих.
Насколько сложно сделать такую фишку: вместо сообщения «Ваш пароль слишком простой, придумайте новый», выводить что-то типа «Ваш пароль в словаре на N-ном месте, для взлома вашего аккаунта понадобится X (милли)секунд. Вы согласны?» И если мне, как пользователю, глубоко чихать, что мой аккаунт на сайте super_cms.ru взломают – я соглашаюсь, если нет – думаю дальше.
Тут и волки сыты (безопасник почесал ЧСВ), и овцы целы (пользователь может раздолбайничать). Да и ответственность при этом полностью перекладывается на пользователя – и в случае корпоративной безопасности это можно вполне официально прописать в каком-нибудь солидном документе.
И без возможности всё-таки установить «плохой» пароль, а в этом как раз вся идея.
Ну так берём часть с проверкой на словарность и выпиливаем часть с запретом на «поставить».
Но это может работать в личной жизни а в корп. среде есть понятие «политика безопасности паролей» и всем глубоко наплевать чего вы хотите :)
Да хоть бы в личной… В корпоративной среде, бывает, и ключи (физические) сургучом кадры вечер опечатывают=)
Просто уж слишком раздражает, когда из-за требований системы нельзя поставить свой обычный «разменный» пароль (который в случае чего не жалко), и потом через год вспоминать, как именно ты его менял.
Интересно, кто вообще захочет работать в конторе, которая занимается такой «ИБ»? Особенно если рынок труда принадлежит работникам, как, например, в случае программистов…
Во-первых, у работников есть патологическая тяга узнать друг о друге самое тайное: семейное положение, размер заработной платы, медицинские диагнозы, образование и т.д.

Вообще-то это болезнь. Никогда не было такого желания. Главный принцип всегда был такой, если надо расскажут, не рассказывают и не надо. Вообще-то это страшные люди и в целях корпоративной безопасности от них надо избавляться в первую очередь!

А как вы их идентифицируете до первого инцидента? Правильно — никак.

Так используйте первый инцидент для предотвращения второго или, как говорят, чтобы неповадно было. Да, у нас же есть закон о защите персональных данных: при приеме на работу каждый подписывает бумагу о неразглашении, а также о том, что любая попытка незаконного доступа к чужим персданным будет караться по всей строгости закона!

А вы теоретик или практик, позвольте спросить?
при приеме на работу каждый подписывает бумагу о неразглашении
Ха-ха-ха. Вы считаете, что этот документ является НПА?
что любая попытка незаконного доступа к чужим персданным будет караться по всей строгости закона
Ха-ха-ха!!! Вы посмотрите правоприменительную практику-то. По этим подписанным бумажкам вы никого не засудите. Цена этим бумажкам — взять на испуг, а при первом же нарушении — подтереться.

Если кому-то надо — сделают любым путём. И, поверьте уж, это не болезнь и не одинокий прецедент — это сплошь и рядом.

Хотите я вам приведу пример когда никто ничего не смог узнать, а если и узнал, то не разглашал? Пожалуйста, Сергей Павлович Королев. Хотелось бы знать какая была цена этим бумажкам.


Вы посмотрите правоприменительную практику-то. По этим подписанным бумажкам вы никого не засудите. А вы минусуете. Это что ваша правоприменительная практика?

А зачем засуживать, лишите премии, тринадцатой, увольте!

UFO just landed and posted this here
Нормальная банковская безопасность.

Были бы еще системы контроля (самое простое DLP) — то после копирования информации в обход системы вы бы еще и взыскание получили, от административного до уголовного, в зависимости от того что скачали и настроения руководства.

Для фирмы «рога и копыта» — конечно лишнее.

Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
За копирование не получить ни административное, ни уголовное. Можно только за разглашение, которое еще нужно доказать.
А дисциплинарочку за копирование, разумеется, влепить не проблема.
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом – наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.


хотя я не юрист, да и не из РФ. Но это вот УК РФ. Так что получить. Как правоприменяемость данной статьи — другой вопрос.
Оу. Я упустил, что вы пишите в контексте банковской тайны и ответил про коммерческую тайну. Прошу прощения.
UFO just landed and posted this here
Работающий и тормозящий IO антивирус, как показывает практика, не убережет от всяких шифровальщиков, которые ничем не отличаются от правильного ПО, и доктор веб и касперский пропускали такое. А вот грамотная настройка прав доступа, когда пользователь ограничен почти полностью — есть софт который запускается и нужен для работы, есть папка в которой данные пользователя, а в систему лезть, что то настраивать и устанавливать не положено.
Вы совершенно правы. Самая лучшая защита — грамотные пользователи и правильная конфигурация. Но пресловутый человеческий фактор остается.
Если в конторе пять человек в одном кабинете, то все просто. Но если в конторе тысяча, а офисы по всей стране — за всеми не уследишь, над каждым не постоишь.
Поэтому применяются различные технические решения.
Все придумано до нас.
Принцип «разделяй и властвуй».
Хорошо работает для «бумажных документов», для «электронных» тоже можно адаптировать.
А так обычно загоняют всех в один «защищенный контур», а потом удивляются, что «очень секретная» информация гуляет по просторам интернета.
У меня помошник админа Денис не нашел ничего умнее чем на свой почтовый аккаунт den@… поставить пароль den — естественно этот ящик стал транзитом/релеем для спама и пошли попытки взлома почтового сервера от имени этого админа. Ящик был заблокирован, замечания высказаны, начальство IT-отдела жалобу на сотрудника проигнорировало — «у него же дети, он не спит ночами, надо быть добрее». Теперь на все системы Денис стааит пароль 12345678.
Начальству приспичило сменить окна в серверной (распил бюджетного бабла). Начальник IT-отдела ЛИЧНО обернул иаботающие серверные стойки упаковочеой пленкой и через 15минут произошло отключение серверов и телефонии из за перегрева.
Нач. службу безопасности прописал доступ в серверную всему управлению включая уборщиц, электриков, сантехников, столяров. На вопрос «зачем» ответ «я спал всего 2 часа, мне некогда было думать».

Вот так и живем.
Пароль, придуманный человеком, вряд ли может быть случайным. Скорей он подчиняется определённой логике, которую злоумышленники могут попытаться воспроизвести. В то же время многие генераторы паролей примитивны до ужаса, используют что-нибудь вроде rand(). Есть ещё так называемый secure password generator; не уверен, можно ли воспринимать его всерьёз (хотя там куча умных слов: «password strength is not a subjective idea, but a strict scientific term» и так далее).

А переписку надо шифровать. Пока жареный петух не клюнул.
Подсказки для напоминания пароля давно уже признаны небезопасной практикой
В прошлом году переехали в новый офис. Начальство настояло на том чтобы все двери были с электронными замками и у сотрудников были электронные карточки. Я долго доказывал что в нашем небольшом коллективе всем сотрудникам когда-нибудь приходится частично заменять других. И произойти это может неожиданно, в выходной, ночью и т.д. И доступ в помещения нужен всем. Короче поставили нам СКУД. Через год мы имеем работающие электронный замки на входе, кабинет директора и всё. Даже в серверную замок пришлось отключить.

Ну а ситуация с паролями на компах я думаю понятна.
Sign up to leave a comment.