Как и обещался, 3 и 4 апреля был в Питере на конференции IT-Summit, регулярно проводящейся ассоциацией АПКИТ. Надо сказать, что это впечатляющее мероприятие, так как на него приезжают непременно первые лица ИТ компаний России. Были и в этот раз Борис Нуралиев, Михаил Краснов, Сергей Мацоцкий, Кирилл Кондратьев, Биргер Стен, Борис Бобровников, Евгений Бутман, Дмитрий Москалев, и многие другие. Понятно, что это мероприятие не является открытым, так как на нем обсуждаются действительно насущные вопросы развития ИТ индустрии страны.
Среди прочих секций была секция и по информационной безопасности (ИБ). Свой доклад на ней приаттачил. Есть интересная информация по уязвимостям за 2007 и 1-й квартал 2008 (понятно, что взято с http://secunia.com). Интересно, что наши компании тратят на ИБ около 0,5% от всего бюджета на ИТ нужды (эта цифра прозвучала от госчиновника на Инфофоруме в январе 2008). Что в 10 раз меньше (5%от ИТ бюджета) по сравнению с зарубежными компаниями. Мой вывод - они умеют считать ROSI (Return on Security Investment) - около 85% зарубежных компаний используют методы расчета возврата инвестиций в security. Поэтому они умеют находить общий язык с финансовыми директорами своих компаний. У нас почти никто не пользуется такими расчетами. Я как-то на одном из мероприятий, где присутствовали около 200 руководителей служб ИБ бизнес компаний, задавал вопрос о том, кто использует методы расчета возврата инвестиций в безопасность. Поднялось ДВЕ руки. Поэтому нашим службам ИБ финдиректора денег выделяют в 10 раз меньше, чем нашим зарубежным коллегам.
Хотите иметь большой бюджет на обеспечение информационной безопасности своей организации - учитесь разговаривать с финансовыми директорами НА ИХ языке. Это не сложно.
P.S. Кстати, я знаю только одно место, где этому обучают - факультет Бизнес-информатики Высшей школы экономики.
1 апреля прошел очередной московский этап мирового турне IDC Security Roadshow (http://www.idc-cema.com/?showproduct=31104&content_lang=RU). Одной из главных "завлекалок" конференции было выступление Себастьяна Шрайбера из германской SySS, демострировавшего быстрые атаки на глазах у изумленной публики. Шоу было поставлено отменно. Расскажу о двух наиболее запомнившихся публике атаках. Хотя реально причина атаки одна.
На мобильный телефон Nokia под управление Symbian каким-либо способом устанавливается троян. Например, с файлом в письме, который надо "кликнуть". Старый, но проверенный способ социальной инженерии. Почти все захотят открыть файл с названием "Обнаженная Шарапова" - а там, батенька, троянчик, а не Шарапова. Троян, кстати, "рутовый" - существующими средствами, по словам Шрайбера, не ловится.
Далее все просто. Первая атака (то есть первая из возможностей трояна): - все SMS-ки, приходящие на зараженный телефон, автоматически, без сообщений владельцу телефона, пересылаются на интересующий вас номер. Было продемонстрировано, как SMS-ки из зала автоматически появлялись на телефоне Шрайбера, хотя шли на зараженный телефон.
Вторая атака: атакующий шлет специальную SMS-ку на зараженный телефон. Тот, не подавая никаких признаков жизни своему владельцу, включает телефонный микрофон. И все разговоры, ведущиеся рядом с зараженным телефоном становятся слышны атакующему. Выглядело забавно - владелец зараженного телефона с партнером шептались в углу сцены, а Шрайбер в другом конце сцены, приложив свой телефон к микрофону на сцене, озвучивал залу их разговор.
Были и другие атаки - так как модель Nokia была продвинутая, с GPS, то атакующий мог в любой момент отслеживать местонахождение зараженного телефона путем удаленного включения GPS на зараженном телефоне и передаче данных на свой телефон.
Это еще раз показывает, что мобильники еще доставят нам много проблем. Хотя на вопрос, может ли он провести такую атаку не на Symbian, а на WinMobile Шрайбер ответил, что не может. Чем еще раз подтвердил проблемы безопасности Symbian.
Отпиарил он свою компанию SySS по полной программе. Молодец. Клиентов много, у всех находит проблемы. Но на пресс-конференции он признался, что все эти проблемы основаны на ошибках эксплуатации и неправильных настройках. Тот же троянчик ведь надо было к себе как-то запустить...
"Читайте документацию и нанимайте профессионалов" - тезис известный, но не стареющий.
Почти 6 лет назад, когда я пришел на работу в Майкрософт, информационная безопасность была интересна лишь небольшому кругу людей. И конференций, и выставок на эту тему было мало. Если же оглянуться сегодня вокруг, то об информационной безопасности не говорит только ленивый или немой. Почему произошла такая метаморфоза, и почему так быстро? Разве раньше не было вирусов? Были вирусы, и могучие. Разве не было проблем с похищением паролей? Были такие проблемы. Разве не было инсайдеров? Да инсайдеры были еще до появления компьютеров! Так в чем же дело? Почему раньше никто особенно не задумывался об уязвимостях в ПО или регламентах обеспечения информационной безопасности (ИБ), а сейчас об этом говорят на каждом углу?
Все дело просто в том, что ДЕНЬГИ и информация, которая может быть продана за ДЕНЬГИ, стали существенно более активно циркулировать в Сети. Новая экономика оперирует виртуальными деньгами (счета в банках, деньги на кредитной карточке), и защита этих виртуальных денег нужна теперь всем.
А почему раньше была не нужна? Да потому, что именно после Интернет-бума начала ХХI века не только крупные компании, но уже весь народ, включая домашних пользователей и компании любого размера, ринулся в Сеть - кто покупать, а кто делать бизнес. Просто бизнес без использования Сети уже стал невыживаемым для большинства секторов экономики. А чтобы к тебе в Сеть пришел ПОКУПАТЕЛЬ ты должен гарантировать сохранность его денег в Сети. Отсюда и такое внимание к обеспечению инофрмационной безопасности.
Кстати, в отчете "Reaping the Benefits of ICT: Europe's Productivity Challenge", опубликованном аналитической службой "The Economist" www.eiu.com, говорится, что одной из трех главных задач для увеличения роста экономики любой страны является обечпечение информационной безопасности. Ибо для роста экономики требуется расширение электронных платежей, увеличение использования электронных идентификаторов и электронных документов.
Угадайте, какие две другие главные задачи? Это стандартизация и сохранение прав интеллектуальной собственности.
Кстати, тему связи экономики и ИБ я буду обыгрывать в своем докладе на IT-Summit в Санкт-Петербурге на следующей неделе. О результатах напишу.
Это название придумал не я. Поэтому оно в кавычках. Это название статьи Михаила Рамендика (см. например, http://www.infobez.com/article.asp?ob_no=5848). Мы с Михаилом знакомы давно, и я всегда с удовольствием читаю его материалы. Не потому, что он постоянно отстаивает интересы свободного ПО, а я "должен" читать такие статьи, так как нахожусь "по другую сторону баррикад". Нет, не поэтому. Кстати, я ничего такого и не "должен" :-). Просто Михаил пишет умно и достаточно объективно. Что, к сожалению, большая редкость для нашей прессы.
Так вот, Михаил описывает сегодняшнюю ситуацию со свободным ПО. Общемировую. Если вкратце, то он видит пять проблем следующим образом: 1) СПО надо выдержать настоящую конкуренцию, которая еще только начинается; 2) СПО не должно гнаться за копированием чужих идей; 3) решения на СПО должны перестать быть "экзотикой"; 4) необходимо завлечь производителей коммерческого ПО на платформу СПО; 5) необходимо разобраться с патентованием.
Я перечислил только названия соответстующих разделов из его статьи. Почитайте - получите удовольствие. Что касается меня, то я бы добавил еще одну проблему - проблему безопасности. Как утверждали и продолжают утверждать сторонники СПО, одним из главных достижений СПО является безопасность. И это якобы должно следовать из концептуальной возможности проверять код всеми желающими. На деле, к сожалению поклонников СПО, все обстоит хорошо только на словах. Теоретически вроде бы правильный принцип проверки кода всеми желающими не приводит пока к положительным результатам. Например, на основе статистики самого компетентного международного сайта secunia.com в прошлом году даже новые разработки Red Hat - сервер Enterprise Linux Server v.5 и клиент Enterprisre Linux Client v.5 не порадовали своих создателей. В них было найдено рекордное число уязвимостей - 97 и 99 соответственно. При том, что в самом ядре Linux Kernel 2.6 за 2007 год было найдено 32 уязвимости. А ведь в соответствии с методологией подсчета уязвимостей эти уязвимости ядра надо прибавить к уязвимостям продуктов.И тогда получим совершенно невообразимые цифры - 129 и 131 уязвимостей соответственно. В то время как коммерческое ПО показало вполне приличную работу архитекторов безопасности и программистов: в сервере Sun Solaris 10 было найдено 88 уязвимостей (хотя это многовато, пожалуй), в Windows Server 2003 Enterprise - 31, в клиентской Apple Mac OS X - 26, в Windows Vista - 17.
С чем это связано? С различием в подходах к процессу разработки и программирования. Со стороны СПО - множество слабо контролируемых разработчиков, со стороны коммерческого ПО - жесткий контроль разработки и кодирования. И еще с тем, что идея о том, что все желающие бросятся проверять код просто не работает. Проверять код - тяжкий труд. Кроме того, это труд для профессионалов. Почитайте книгу Ховарда и Лебланка "Защищенный код" - там много интересных примеров, как действительно находятся ошибки в коде.
Кстати, неработоспособность идеи о том, что все захотят улучшать код, каждый может проверить на своем опыте. Все мы много раз видели и продолжаем видеть опечатки и неточности на чужих сайтах. Много ли раз каждый из нас бросался исправлять эти ошибки писав и звонив в редакции этих сайтов? Просто сознайтесь себе сами - никогда. Но за своими сайтами следим - мы за это получаем зарплату, хотя часто и опосредованным образом (за счет улучшения качества сайта и увеличения продаж с него, и т.д.).
В заключение хочу пожелать ребятам-разработчикам СПО постараться выполнить те задачи, которые описал Михаил, и которые добавил и я сам. Многим может показаться странным такой призыв со стороны сотрудника Майкрософт. Но мы же с вами умные люди - если конкурент становится достойнее, то и ты сам растешь над собой быстрее :-)
Так что желаю всем вам достойных конкурентов, чтобы самим становиться все лучше и лучше!
Вот я и решил-таки тоже заняться блоггерством. Долго думал - надо ли мне это? Надо найти дополнительное время - редкие блоги читателям не интересны. Да и если найдешь время - будешь ли интересен читателям? И интересны ли тебе они? И масса других вопросов. Причем все вопросы из разряда философских, на которые мы не любим давать ответы, особенно самим себе.
Но я решился. Окончательный баланс "за" и "против" сложился после того, как Ренат Минаждинов сообщил мне о том, что есть читатели наших блогов, которым были бы интересны и мои мысли вслух. Это все и решило. Спасибо читателям, спасибо Ренату.
Я буду писать не только об ИТ, и не только о технологиях. О чем - прочитаете. Но постараюсь, чтобы было интересно.
Ну а теперь - о празднике 8 марта. Женщины - несколько другие существа, чем мужчины (слава Богу!). И одно из важнейших их отличий - более высокие уровни EQ, так называемого эмоционального коэффициента. Мужчины любят хвалится своим IQ, но по исследованиям последних лет уровень EQ существенно более важен для достижения высоких постов в бизнесе. Если для средних постов хороших значений IQ достаточно, то для топ-менеджмента надо к высокому IQ добавить еще и высокий EQ. И примеры женщин-руководителей в российском ИТ-бизнесе прекрасно иллюстрируют результаты этих исследований (в алфавитном порядке) - Дергунова Ольга, Касперская Наталья, Ускова Ольга, Чернова Наталья, а также легион тех, кто рядом с вами и кого вы знаете лучше меня.
К чему это я? Да к тому, что как офицер российской армии (а офицеры бывшими не бывают, офицер в душе всегда офицер) в канун прекрасного весеннего праздника 8 марта я хочу взять в руки бокал, встать и произнести "Господа офицеры! Локоть выше эполет! За прекрасных дам!" (пьют все, не только офицеры!с эмоциями! с эмоциями! не забывайте об EQ!) - дзинь! Выпито!
С Праздником!
