Выложил в аттаче уязвимости по основным продуктам с сайта secunia.com 30 июня 2009.
Несколько причин, почему стране любого размера и любой экономической мощи не имеет смысла разрабатывать свою собственную национальную ОС.
- Не существует ни одного успешного проекта в мире по созданию собственной национальной ОС. Нет ни одной страны в мире, которая имела бы собственную ОС. Ни США, ни Китай, ни Франция, ни Бразилия, никто не имеет собственную ОС. И никто не ведет таких разработок. Некоторые страны начинали такие работы, например Китай, но свернули их. Совсем недавно и Вена, бывшая «образцовым примером» по внедрению своей собственной Linux для городских нужд, начала обратный переход на более распространенные ОС (http://www.infobez.com/news.asp?ob_no=6054&p=0). Все это говорит о том. что существуют некоторые преграды для того, чтобы страна стала разрабатывать свою собственную ОС. Некоторые из этих преград рассмотрены ниже.
- Основная причина, по которой не имеет смысла разрабатывать свою собственную ОС, кроется именно в технологической особенности любых операционных систем. ОС осуществляет связанную работу различных аппаратных устройств (процессора, видео карты, принтера, USB устройств, сетевого оборудования, и т.д.) для того, чтобы другие программы могли с ними работать. Именно по этой причине ОС должны уметь работать со всем спектром существующих аппаратных устройств. А для этого компании-производители этих аппаратных устройств должны написать драйверы для этой ОС, которые бы осуществляли корректную работу этих аппаратных устройств с этой ОС. При этом драйверы могут написать только сами производители аппаратных устройств, так как только они знают, как их устройства работают.
Поэтому главной задачей производителя ОС является работа по уговариванию производителей аппаратных устройств написать драйвера именно для их операционной системы. В силу того, что число производителей аппаратных устройств составляет многие тысячи, то эта задача по силам только производителям самых массовых ОС.
В качестве примера сложности такой работы можно привести пример компании Apple, выпускающую вторую по популярности операционную систему Мас ОС. Достаточно пойти в любой крупный магазин компьютерной техники и убедиться, что число принтеров или число видео карт, работающих с Мас ОС, совсем невелико. Часто в магазине их нет вообще.
Другим примером является Microsoft Vista, когда на первом этапе продаж было не всегда легко найти оборудование, работающее с Vista. И только после того, как продажи этой ОС превысили 100 млн. штук по всему миру производители оборудования стали активно писать драйвера под нее. То есть, даже Microsoft с её ведущим положением на рынке ОС испытывает трудности по убеждению независимых производителей оборудования в написании драйверов под ее новые ОС.
Эти примеры показывают, что производитель новой национальной ОС будет просто не в состоянии убедить мировых производителей оборудования в написании драйверов для этой национальной ОС. Как показывает опыт, эти драйвера не пишутся за деньги, которые могли бы предложить производители национальной ОС. Производителей оборудования интересует объем сбыта их оборудования, и они не тратят ресурсы для написания драйверов под мало распространенные ОС.
Это подтверждается и практикой многочисленных клонов ОС Linux, когда не только различные дистрибутивы, работающие даже на одном ядре, не одинаково умеют работать с одним и тем же оборудованием (так как работа с драйверами устройств не является только функцией ядра ОС), но и когда существуют различные ядра даже для дистрибутива одного производителя (например, Ubuntu), которые работают с различным спектром оборудования.
В подтверждение того, что эта проблема очень хорошо осознается самими производителями Linux, которые хотели бы стать производителями национальной ОС России, является выступление сторонника этой ОС Алксниса, который в бытность свою депутатом захотел провести через Думу законопроект, запрещающий производителям оборудования ввозить в Россию оборудование без драйверов к Linux. Очевидно, что такой законопроект привел бы просто к прекращению соответствующих поставок аппаратных устройств в Россию. Поэтому законопроект с очевидностью не прошел
- Стоимость разработки собственной ОС составляет десятки миллиардов долларов США, как показывает опыт Майкрософт. И это при том, что на эту работу уходит несколько лет, и этой работой занимаются квалифицированнее кадры, много лет только и занимающиеся разработкой ОС. Ни в одной стране нет команд разработчиков, достаточных для разработки соответствующих ОС общего пользования. Такие команды сосредоточены только в коммерческих американских компаниях (в алфавитном порядке): Apple, IBM, Microsoft, Novell, Red Hat. Стоит отметить, что разработкой ядра для различных клонов Linux занимаются профессиональные разработчики из IBM, Red Hat и Novell, широко рекламируемый вклад независимых разработчиком в разработку ядра ничтожен. Кроме того, широко известно, что в разработке ядра Linux принимали участие сотрудники Агентства национальной безопасности США. Поэтому называть ОС на базе Linux «национальной» было бы не совсем справедливо, если только не иметь ввиду национальность, отличную от российской.
- Существует обманчивая видимость простоты написания ПО. Написание ПО, особенно таких масштабных проектов, как ОС, требует знания многих технологических know how. Написание хорошего ПО даже одним человеком не менее сложный процесс, чем написание хорошего музыкального произведения, состоящего всего из 7 нот. Для сложных же проектов требуется умение управлять большими коллективами разработчиков. Такого опыта в России нет.
- Если в основе создания собственной национальной ОС лежит желание укрепить национальную безопасность и не зависеть от зарубежных поставщиков ОС, то тогда эта национальная ОС не может опираться на использование Linux, так как в соответствии с п.3 ядро этой ОС контролируется американцами. Более того, уже в течение нескольких лет как ядро Linux, так и дистрибутивы Linux различных производителей являются самыми «дырявыми» продуктами, имеющими самое большое число обнаруженных уязвимостей (см. приложенный слайд с уязвимостями с самого авторитетного в мире сайта по обнаруженным уязвимостям).
- В различных странах (в том числе и в России) существуют способы проверки не только зарубежных ОС, но и любых других программных и аппаратных средств, на безопасность их использования в государственных и коммерческих организациях. Это, например, сертификация с предоставлением инспектирующим организациям исходных кодов ПО. А сэкономленные ресурсы лучше направить на стимулирование разработки российскими компаниями ПО, которое могло бы составить действительную конкуренцию на мировом рынке (например, систем документооборота, систем обеспечения безопасности), принеся России не только налоговые поступления от продаж такого ПО за рубеж, но и дополнительные уважение и авторитет инновационной державы.
Давненько не брал я в руки клавиатуру, что есть неправильно. Ну а перед Новым годом надо бы и осмотреться, поразмышлять.
Во-первых – всех вас с Новым годом! Удачи и здоровья вам и вашим родным и близким!
Новый год нам предрекают сложный, мировой кризис... Но так ли это страшно, и что делать в этой ситуации? Позволю себе дать несколько оценок.
1. Кризис – это не страшно. Мы в России переживаем их постоянно, подчас даже не замечая. Конечно, этот кризис будет позаметнее, но не более того. Вспомните, как мы пережили кризис 1998 года. Ничего, все обошлось. Стали сильнее, умнее. Могу привести интересный пример. Я в 1998 году в сентябре сразу после начала кризиса пришел в компанию Медиалингва, которая в течение нескольких лет была убыточной компанией. И в течение кризиса, во время, когда казалось, что все продажи софта «встали», мы сделали компанию самоокупаемой. За несколько месяцев увеличили продажи более, чем в 10 раз. И это во время кризиса. И это для софта, который тогда предпочитали красть, а не покупать. Это говорит о том, что важно как вы работаете, и что вы делаете. Кризис заставляет вас переосмысливать обычные вещи. Переосмыслите их так, чтобы выиграть от кризиса. Это реально можно сделать.
2. Что делать, если у вас возникает проблема с работой. Это тоже не страшно. Пример: в 1998 году я ушел из компании Союз за месяц до кризиса, я не знал что он случится. И искал работу в самый сложный период – когда кризис только разразился. И нашел ее в течение месяца, причем с повышением базового оклада (в Медиалингве). Для того, чтобы не пропасть на рынке труда во все времена, а не только во время кризиса, надо учиться и овладевать новыми навыками. Учиться постоянно. В кризис это особенно важно. В это время избавляются от тех, кто плохо работает. И стараются подешевле нанять тех, кто работает хорошо. Покажите всем, что вы отлично умеете работать – и у вас никогда не будет проблем с работой.
3. Стройте планы на будущее. Кризис, как говорят хорошие финансисты, это время, когда надо покупать подешевевшие активы. Для нас, не-финансистов, это означает, что кризис - это время выбора стратегии развития на будущее. Собственного развития. Если у вас возникли финансовые проблемы, то, возможно, вы просто не принимали во внимание те риски, которые должны были бы принимать. Например, возможность вот такого вот кризиса. Посмотрите на свою ситуацию – может еще что-то надо скорректировать, чтобы почувствовать себя поустойчивее? Например, повысить квалификацию на каких-то курсах, или даже получить степень МВА.
4. Будте оптимистами. Помните, что этот кризис зародился просто в головах людей, тех, кому показалось, что тех прибылей, на которые они рассчитывали, им недостаточно. Кризисы – они вообще всегда идут из головы. Кризисы всегда – это кризисы доверия. Поэтому не дайте себя обмануть – ничего ужасного не произошло и не произойдет. Всем будет нужна нефть, металлы, программы, ваши знания, и знания ваших детей и близких. Ведите себя так, чтобы не сеять лишнюю напряженность – и тогда люди рядом с вами будут паниковать меньше, и эти круги спокойствия и уверенности в завтрашнем дне будут расходить все шире и шире. И этим самым вы поможете всем нам выйти из этого кризиса. Начнем с себя!
Еще раз всем вам – С Новым годом! И чтобы всем нам пройти следующий год без больших потерь, и стать сильнее, умнее, и мудрее!
Ура! Дз-з-з-з-з-зинь бокалами – ведь уже 21:30 31-го декабря! Ур-р-р-ра!
Возобновляю свои регулярные публикации уязвимостей в основных информационных продуктах. За 50 дней перерыва на сайте secunia.com, с которого я беру информацию, произошли интересные изменения. В лучшую сторону. Ранее вся статистика на сайте велась в так называемых advisories - некоторых пакетах уязвимостей, найденных исследователями. Смысл этих advisories состоял в том, что при обнаружении какой-либо уязвимости исследователь обнаруживает не всегда только одну уязвимость, но иногда больше. Например, в одной из advisores для Mac OS X было несколько десятков уязвимостей. Именно advisories, как правило, являются объектами патчей. То есть патчи закрывают некоторый набор уязвимостей, найденных исследователями. Подробное описание всех уязвимостей в каждом из advisories на сайте было всегда. Но общей статистики по ним не велось. Но в силу того, что в среднем во всех advisories было одинаковое количество уязвимостей, то сравнивая число advisories для продуктов можно было в какой-то степени осознать из взаимное качественное положение в отношении безопасности. При этом это "качественное" сравнение, естественно, базировалось на "количественном сравнении". Вообще говоря, это все было написано, правда несколько другими словами, на сайте secunia.com. Конечно, я мог сам методично брать и из advisories "выковыривать" уязвимости и проводить сравнение числа именно уязвимостей. Но доказывать, что я эту работу провожу корректно у меня не было ни малейшего желания. Потому что всегда существовал большой шанс того, что любой человек скажет - "Этим цифрам верить нельзя. Методология их появления неясна. Это должен быть независимый анализ".
И вот теперь на сайте произошли приятные изменения - добавилась новая цифра - общее число именно уязвимостей (vulnrerabilities) для каждого продукта. И эти цифры от независимого исследователя - от secunia.com.
Никаких масштабных перестановок в рейтинге безопасности продуктов не произошло. В списке продуктов появились несколько новых позиций. Я решил показать уязвимости Linux Ubuntu, которую многие апологеты Open Source часто приводят как чуть ли не самую безопасную операционную систему. Посмотрите на цифры - они говорят сами. Обратите внимание, я привел цифры по двум дистрибутивам Ubuntu - по 7.10 и по 8.04. Эти цифры означают, что первая из этих ОС вышла в октябре 2007 (7.10), а вторая в апреле 2008 (8.04). За эти короткие периоды жизни этих систем в них находят по 30 уязвимостей в месяц! И это при том, что Windows XP и Vista находят только по 3 уязвимости в месяц. Общее число уязвимостей в Ubuntu тоже бОльше Windows. Да и зачем выпускать новую ОС каждые пол-года, если число уязвимостей не уменьшается? Процесс разработки им надо улучшать, процесс разработки... Я об этом уже ранее говорил.
Привел статистику по ядру Linux - в нем сегодня более 280 уязвимостей. Это означает, что любой наш российский дистрибутив Linux (ALT Linux, МСВС от Минобороны, и другие) имеют не меньше этого числа уязвимостей. А значит проигрывают по числу уязвимостей Windows. А если принять во внимание то, что вряд ли разработчики этих систем пишут совсем без программистских ошибок, и то, что ошибки программистов Red Hat добавили в свой дистрибутив не менее 200 новых уязвимостей, то выигрыш Windows в безопасности еще выше.
Файл в приложении - пользуйтесь.
Тема возврата инвестиций в информационную безопасность (ИБ) приобретает особую актуальность в связи с текущими финансовыми проблемами рынков. Денег хотят все. В том числе и сотрудники отделов ИБ. До кризиса расходы российских компаний на ИБ были на уровне 0,5% ИТ бюджета, а наших зарубежных коллег - 5% от ИТ бюджета. Первая цифра - это данные российских чиновников, озвученные ими на Инфофоруме в январе 2008. Вторая цифра - из отчета CSI за 2008 год. Как вы думаете - этот 10-кратный разрыв сократится во время кризиса? Он увеличится еще больше. К этому надо быть готовым нашим специалистам по ИБ. Почему это происходит? Даже на фоне не уменьшающихся абсолюнтых цифр на затраты на ИБ.
Краткий экскурс. По результата отчета CSI 2008 более 90% зарубежных компаний используют инструменты расчета возврата инвестиций в ИБ. По моим оценкам у нас в России более 99% компаний наоборот, не пользуются расчетом инвестиций в ИБ. Более того, некоторые компании, даже специализирующиеся на оказании услуг в области ИБ, с трибуны утверждают, что такой возврат инвестиций невозможно рассчитать. А за рубежом все эти расчеты делают. Удивительно! Надо, по-видимому, дождаться, когда заказчики потребуют таких расчетов, и тогда сервисным компаниям придется выучить урок, как это делается.
Так вот, именно потому, что наши зарубежные коллеги умеют объяснить своим финансовым директорам, зачем с финансовой точки зрения вкладывать средства в ИБ, они пользуются бюджетами, в 10 раз пропорционально превышающими наши ИБ бюджеты. И до тех пор, пока наши CISO не начнут разговаривать со своими финансистами на их языке финансов, бюджеты на ИБ в российских компаниях будут непропорционально маленькими по сравнению с нашими зарубежными коллегами. А в период кризиса объяснять финансисам зачем вам деньги становится не в пример сложнее. Делайте выводы.
На эту тему CNEWS опубликовало интервью со мной в 11 ноябрьском номере бумажного журнала CNEWS. На их сайте текста статей нет. Просьба не рассматривать это сообщение, как побудительный мотив для покупки журнала :-))
Как обычно в начале месяца привожу уязвимости продуктов по материалам сайта secunia.com. Добавил в базы данных Oracle Database 11.x и IBM DB2 9.x.
Пользуйтесь.
В приложении очередной слайд с уязвимостями продуктов по состоянию на 1 сентября 2008. Источник - сайт secunia.com, как обычно. Добавил столбец по изменениям за последний месяц. Пользуйтесь на здоровье...
Вот и настал последний месяц лета. Хочу поделиться очередной выборкой по уязвимостям продуктов различных производителей. Выборка сделана мной по состоянию на сегодня, 1 августа 2008. Каждый из вас может сделать это сам, просто зайдя на сайт secunia.com, и покопавшись там в море информации по уязвимостям различных продуктов, включая подробное описание каждой уязвимости.
Я довольно давно уже привожу такую статистику по основным игрокам в группах продуктов серверных операционных систем, клиентских ОС, баз данных, межсетевых экранов. В этот раз я добавил еще группу портальных решений. Конечно, список в каждой группе можно значительно расширить, но я считаю, что для удобства вся информация просто должна поместиться на одном слайде.
Как видно из приведенной статистики, продукты Open Source продолжают удерживать сомнительное лидерство по количеству обнаруженных в них уязвимостей. Кстати, хочу обратить ваше внимание на то, что для получения полного числа уязвимостей какого-либо продукта Open Source к числу уязвимостей этого продукта надо прибавить уязвимости ядра. Это просто связано с методологией подсчета уязвимостей. Так как ядро производителем дистрибутива может быть выбрано разное, то уязвимости ядер и уязвимости самих продуктов считаются отдельно. Конечно, это надо делать только для операционных систем, ведь только в операционых системах используется ядро (Kernel).
Возможные причины этой печальной для Open Source статистики раскрываются в недавно опубликованном отчете компании Fortify. В нем, в частности, говорится о слабом процессе управления разработкой продуктов Open Source, что, по их мнению, является угрозой для применения этих продуктов для бизнеса. Каждый из вас может бесплатно получить этот отчет "Open Source Security Study" (на английском языке) по ссылке http://www.fortify.com/l/oss/oss_report.html.
Успехов!
На днях в Швеции был принят закон, который в значительной мере нарушает права российских граждан и компаний. И не только российских. Мой комментарий к этому закону опубликован в "Независимой газете" от 11 июля 2008
http://www.ng.ru/world/2008-07-11/1_shvetsia.html. Оригинал статьи из газеты Svenska Dagbladet находится по адресу
http://www.thelocal.se/12922/. Интересен также и комментарий главы шведской спецслужбы на
http://www.thelocal.se/12950/20080710/.
Вена всегда использовалась сторонниками СПО как образцовый пример использования СПО государственными структурами Европы. И теперь Вена отказывается от его использования - www.infobez.com или http://www.infobez.com/news.asp?ob_no=6054&p=0. По-видимому, начинают сказыватьсяте проблемы СПО, о которых писал Михаил Рамендик, и которые я обсуждал в своем блоге.
Вопрос о том, как обезопасить своих детей от угроз из Интернета (порно, насилие, распространение наркотиков, и т.д.) настолько актуален, что уже давно в мире идут дискуссии о том, как это сделать наилучшим образом. Майкрософт тоже внесла свой вклад в это дело, профинансировав исследования ведущих психологов в этой области, и опубликовав результаты этих работ в виде доступного для восприятия любого неискушенного в особенностях Интернета человека (как взрослого - родителя, так и собственно подростка). Так, например, Майкрософт финансировала международные тренинги Интерпола по обучению сотрудников правоохранительных органов по борьбе с распространением детской порнографии в Интернете. Такие тренинги прошли и в России. Была разработа и успешно действует трансграничная система работы в реальном времени сотрудников правоохранительных органов по защите детей, подвергшихся насилию (Child Explotation Tracking System). Разработаны и опубликованы методические рекомендации о том, что надо делать взрослым, чтобы обезопасить своего ребенка в Интернете.
Все это настолько близко касается каждого взрослого, имеющего детей (хотя я надеюсь, что и тех взрослых, кто еще не имеет детей), что мне захотелось поделиться этими материалами со всеми, а не только с теми, кто был на проводившихся мероприятиях, посвященных этой теме - в апреле проходила проводившаяся совместно с РОЦИТ неделя безопасности в Интернете, 4-5 июня прошел Инфофорум с основной тематикой по безопасности молодежи в Интернете.
Я прикрепил файл с презентацией по этой теме, сделанной мною на конференции Инфофорум. Если же вас просто интересует, где можно найти материалы по этой этой теме в Интернете, но лучший, на мой взгляд, ресурс - это http://www.microsoft.com/rus/athome/security/children/default.mspx. Жаль для страны, что лучший ресурс по безопасности детей в Интернете на русском языке принадлежит не нашему государству, не российской компании и не российской организации. На Инфофоруме я уже сделал предложение в Думу и государственные структуры по делам молодежи о том, чтобы они рассмотрели вопрос о создании национального ресурса по этой тематике.
Если же вы хотите найти и другие ресурсы по этой теме - просто наберите в поисковой строке "Безопасность детей в Интернете". И не забудте рассказать друзьям и знакомым, как можно обезопасить их детей.
Возможно вы не поверите, но Майкрософт уже в течение нескольких лет публикует отчеты о безопасности ПО в мире. Отчеты публикуются дважды в год. Последний из них относится к периоду второй половины 2007 года (июль-декабрь). Чтение прелюбопытнейшее. И тому есть несколько причин. Одна из важнейших - наличие огромной мировой статистики по очистке пользователями своих компьютеров при помощи программы Майкрософт Malicious Software Removal Tool (MSRT). Например, в конце 2007 более 450 миллионов уникальных пользователей чистили свои компьютеры этим бесплатным средством. В отчете есть много интересной статистики об уязвимостях, уровнях угроз в разных странах, и другой, которую интересно сравнить со статистикой таких исследовательских компаний мирового рынка безопасности, как IDC или CSI.
Отчет бесплатно можно скачать с www.microsoft.com/sir - основные выводы (9 страниц) на русском, а весь отчет (более 100 страниц) пока только на английском.
Приятного чтения!
Недавно на одном из интересных круглых столов, посвященных информационным технологиям в здравоохранении, зашел разговор о том, как сложно медицинским учреждениям заказывать действительно нужное им оборудование, и при этом не нарушать законодательство. Все дело в том, что в соответствии с российским законодательством при проведении тендеров надо указывать в тендерной документации требования так, чтобы было несколько претендентов на выигрыш в конкурсе. Одного претендента быть не может. В случае одного претендента тендер признается несостоявшимся, и его решение отменяется. И медицинские учреждения, по их словам, испытывают полную неуверенность в том, что подойдет ли оборудование, выигравшее конкурс, для их нужд. Ведь право непросто указать общие черты в таком сложном оборудовании, как, например, рентгеновское оборудование. А вдруг вам в нем надо что-то конкретное, от конкретного производителя. На том круглом столе присутствовала и одна дама, принимавшая участие в разработке концепции того самого закона, по которому проводятся тендеры.
Если приглядеться к этому закону, то он вроде бы полезен для развития конкуренции. Но я тогда в своем выступлении привел пример, показывающий вредность такого законодательства для прогресса страны. Спустя некоторое время я решил сформулировать это утверждение в виде теоремы - всегда полезно некоторым утверждениям придать универсальный характер, а теорема является одной из лучших форм для этого. Тем более, что я математик. Итак - теорема.
Теорема о Конкуренции, Законодательстве и Прогрессе. Законодательство, под предлогом развития Конкуренции не дающее возможности проводить тендеры с потенциальным числом победителей менее двух, в некоторых случаях тормозит научно-технический Прогресс.
Доказательство. Идея доказательства такого рода теорем очень проста - надо лишь привести соответствующий пример. В нашем случае для доказательства теоремы нам надо просто привести пример, когда соответствующее законодательство о тендерах приводит к торможению научно-технического прогресса.
Вот вам пример. Вернемся в то время, когда ремни безопасности для автомобилей были еще не избретены. И пусть только одна компания производит их. Ремни для автомобилей идут нарасхват - все хотят обезопасить свою жизнь. И тут государство проводит тендер на поставку в государственные автомобильные парки новых автомашин. Претендентов много, но только один из них производит авто с ремнями безопасности. Но государство не может даже сформулировать тендерное требование о наличии таких ремней безопасности в автомобилях (в автобусах, такси, не играет роли где)! Ведь при формулировке требований о наличии ремней безопасности в тендере сможет участвовать только одна компания - только та, что УЖЕ изобрела эти ремни. Если же в тендере не указывать о необходимости таких ремней безопасности, то государство уж точно не получит авто с такими ремнями - на изобретение ремней были потрачены инвестиции, и поэтому авто с ремнями безопасности стоят дороже своих конкурентов. Такая ситуация системно приводит к тому, что компаниям не интересно ничего изобретать нового - это новое не может быть включено в государственные тендеры, и не будет являться для компаний конкурентным преимуществом. Таких примеров можно придумать массу их различных сфер - медицинского оборудования, производства лекарств, продуктов питания, новых способов образования, и т.п. Теорема доказана.
Вот такая история. Хотели развития Конкуренции, а получили торможение Прогресса. "Хотели, как лучше, а получилось, как всегда". Особенно обидно в этой ситуации то, что к вышеприведенной вывод делается на основе простых логических рассуждений, без знания каких-то особенностей рынка типа объемов сделок, темпов роста, инфляционных ожиданий, и т.п. Надо было просто сесть и обдумать ситуацию, просто - ПОДУМАТЬ.
Коллеги - ДУМАЙТЕ!, это полезно для каждого, и для всех нас вместе
Как и обещался, 3 и 4 апреля был в Питере на конференции IT-Summit, регулярно проводящейся ассоциацией АПКИТ. Надо сказать, что это впечатляющее мероприятие, так как на него приезжают непременно первые лица ИТ компаний России. Были и в этот раз Борис Нуралиев, Михаил Краснов, Сергей Мацоцкий, Кирилл Кондратьев, Биргер Стен, Борис Бобровников, Евгений Бутман, Дмитрий Москалев, и многие другие. Понятно, что это мероприятие не является открытым, так как на нем обсуждаются действительно насущные вопросы развития ИТ индустрии страны.
Среди прочих секций была секция и по информационной безопасности (ИБ). Свой доклад на ней приаттачил. Есть интересная информация по уязвимостям за 2007 и 1-й квартал 2008 (понятно, что взято с http://secunia.com). Интересно, что наши компании тратят на ИБ около 0,5% от всего бюджета на ИТ нужды (эта цифра прозвучала от госчиновника на Инфофоруме в январе 2008). Что в 10 раз меньше (5%от ИТ бюджета) по сравнению с зарубежными компаниями. Мой вывод - они умеют считать ROSI (Return on Security Investment) - около 85% зарубежных компаний используют методы расчета возврата инвестиций в security. Поэтому они умеют находить общий язык с финансовыми директорами своих компаний. У нас почти никто не пользуется такими расчетами. Я как-то на одном из мероприятий, где присутствовали около 200 руководителей служб ИБ бизнес компаний, задавал вопрос о том, кто использует методы расчета возврата инвестиций в безопасность. Поднялось ДВЕ руки. Поэтому нашим службам ИБ финдиректора денег выделяют в 10 раз меньше, чем нашим зарубежным коллегам.
Хотите иметь большой бюджет на обеспечение информационной безопасности своей организации - учитесь разговаривать с финансовыми директорами НА ИХ языке. Это не сложно.
P.S. Кстати, я знаю только одно место, где этому обучают - факультет Бизнес-информатики Высшей школы экономики.
1 апреля прошел очередной московский этап мирового турне IDC Security Roadshow (http://www.idc-cema.com/?showproduct=31104&content_lang=RU). Одной из главных "завлекалок" конференции было выступление Себастьяна Шрайбера из германской SySS, демострировавшего быстрые атаки на глазах у изумленной публики. Шоу было поставлено отменно. Расскажу о двух наиболее запомнившихся публике атаках. Хотя реально причина атаки одна.
На мобильный телефон Nokia под управление Symbian каким-либо способом устанавливается троян. Например, с файлом в письме, который надо "кликнуть". Старый, но проверенный способ социальной инженерии. Почти все захотят открыть файл с названием "Обнаженная Шарапова" - а там, батенька, троянчик, а не Шарапова. Троян, кстати, "рутовый" - существующими средствами, по словам Шрайбера, не ловится.
Далее все просто. Первая атака (то есть первая из возможностей трояна): - все SMS-ки, приходящие на зараженный телефон, автоматически, без сообщений владельцу телефона, пересылаются на интересующий вас номер. Было продемонстрировано, как SMS-ки из зала автоматически появлялись на телефоне Шрайбера, хотя шли на зараженный телефон.
Вторая атака: атакующий шлет специальную SMS-ку на зараженный телефон. Тот, не подавая никаких признаков жизни своему владельцу, включает телефонный микрофон. И все разговоры, ведущиеся рядом с зараженным телефоном становятся слышны атакующему. Выглядело забавно - владелец зараженного телефона с партнером шептались в углу сцены, а Шрайбер в другом конце сцены, приложив свой телефон к микрофону на сцене, озвучивал залу их разговор.
Были и другие атаки - так как модель Nokia была продвинутая, с GPS, то атакующий мог в любой момент отслеживать местонахождение зараженного телефона путем удаленного включения GPS на зараженном телефоне и передаче данных на свой телефон.
Это еще раз показывает, что мобильники еще доставят нам много проблем. Хотя на вопрос, может ли он провести такую атаку не на Symbian, а на WinMobile Шрайбер ответил, что не может. Чем еще раз подтвердил проблемы безопасности Symbian.
Отпиарил он свою компанию SySS по полной программе. Молодец. Клиентов много, у всех находит проблемы. Но на пресс-конференции он признался, что все эти проблемы основаны на ошибках эксплуатации и неправильных настройках. Тот же троянчик ведь надо было к себе как-то запустить...
"Читайте документацию и нанимайте профессионалов" - тезис известный, но не стареющий.
