вторник, 31 декабря 2013 г.

СМИ 2013

Год назад я писал пост о том, что наши СМИ заточены исключительно на подачу негативных новостей, заставляющих народ впадать в депрессию. Конечно, есть шутка, приведенная на картинке ниже, но, тем не менее...
Сегодня рано утром взглянул на ТОП-20 «Самых ярких моментов уходящего года» от Rbcdaily, как понял, что всё еще хуже, чем я предполагал год назад. В левой колонке перечислен негатив, в правой позитив, посередине так себе.
Черное
Серое
Белое


Про паспорт Жерара Депардье


Отсчет до начала Олимпиады

Метеорит в озере Чебаркуль

Умер Уго Чавес



Избрание нового папы римского

Взрывы на бостонском марафоне


Путин выгнал Суркова



Эдвард Сноуден про США

Эффектно взорвался Протон-М


Наводнение на Дальнем Востоке



Миссия о разоружении в Сирии

Гринпис и Приразломная


Взрыв автобуса в Волгограде


Задержание Полонского


Боинг разбился в Казани


Закрытие Мастербанка


Умер Нельсон Мандела


Евромайдан на Украине



Освобождение Михаила Ходорковского

Двойной теракт в Волгограде



А, между прочим, это очень тревожный сигнал, относящийся напрямую к безопасности нашего общества. С Новым Годом!

четверг, 26 декабря 2013 г.

Белый список банков

Долго нам всем говорили, что в ЦБ нет никакого черного списка банков, как неожиданно оказалось, что есть… белый список. Список неплохо корелирует с ТОП-50 банков. Таким образом, с благим видом под прикрытием госзакупок обществу мягко подсказывают, где хранить свои деньги. Помимо этого официального списка существует и неофициальный список системообразующих банков. Скорее всего, подобный список будет составлен на основе белого списка и будет утвержден ЦБ.
Понятно, что в перспективе количество банков в России будет уменьшено, и вот самые очевидные пути для этого:
- присоединение их к «старшим» путем покупки
- отъем лицензии за любые грехи
- собственное разорение по самым разным причинам.
Банки разные нужны, банки разные важны. Вот публикую самый простой из общеизвестных в узких кругах алгоритмов, кому недостаточно сбербанковских шести процентов годовых.
Берем один банк А, берем другой банк Б и сто тысяч деревом. Внимание, банк Б. по последним веяниям уже не является доверенным. Банк А используется для вкладов, банк Б используется только для переводов.
1 января 2014
Открыть вклад 1 в банке А на 3 мес. и перечислить на него 70 000 из банка Б
Открыть вклад 2 в А на 12 мес. и перечислить на него 30 000 из Б

1 апреля 2014
Закрыть вклад 1 и вывести деньги в Б
Открыть вклад 3 в А на 3 мес. и перечислить на него 41 763 из Б
Открыть вклад 4 в А на 6 мес. и перечислить на него 30 000 из Б

1 июля 2014
Закрыть вклад 3 в А и вывести все деньги в Б
Добавить на вклад 4 в А сумму 42 815 из Б

1 октября 2014
Закрыть вклад 4 в А и вывести деньги в Б
Добавить на вклад 2 в А сумму 75 620 из Б


1 января 2015
Закрыть вклад 2 в А и вывести 112 064 в Б

Банк Б на всех переводах «съест» только 60 руб. (6*10), т.е. ваша чистая прибыть составит 12 004 руб. или 12.0%. Попробуйте ничего не делая заработать в год лошади больше. С новым годом!!!

вторник, 24 декабря 2013 г.

Согласие для АСВ

 
В продолжение темы про зачистку финансовой системы хочу обратить внимание на вопрос, должен или не должен каждый банк при заключении договоров с клиентами брать согласие на потенциальную передачу ПДн:
- Агентству по страхованию вкладов
- Банку России
- всем остальным банкам, включая тех, которых еще нет в природе.
При наступлении страхового случая, ПДн будут передаваться по данному списку, даже без существования согласия субъекта ПДн. Разумеется, потом при выплате денег согласие может быть легко получено, но что делать, если клиент давать такое согласие не намерен, а его данные уже давно растеклись по банкам-агентам.
Привожу последний пример с сайта АСВ по Инвестбанку: «Сбербанк России осуществляет прием заявлений и выплату страхового возмещения вкладчикам, чьи фамилии начинаются с букв А–К (A–Z), Промсвязьбанк — с букв Л–П, Номос-Банк — с букв Р–Ц, Россельхозбанк — с букв Ч–Я».
А вот форма для поиска банка-агента по этому же банку. Страница, конечно же, без шифрования канала. Куда проще написать предупреждение, что клиент принимает на себя ответственность за слив в интернет своих паспортных данных, чем купить сертификат, например, Thawte.

Даём согласие на обработку ПДн сразу всем банкам?!

пятница, 13 декабря 2013 г.

Все защищают свой web?


Как мы все видим, ситуации вокруг многих банков складываются печально – ЦБ стал активно отзывать лицензии. Открываем книгу памяти и считаем банки с отозванными лицензиями за текущий год – их уже ТРИДЦАТЬ. Хочется верить, что деятельность ЦБ полностью оправдана, а значит останутся только лучшие из лучших.

Тем не менее, я вижу довольно актуальный риск – deface web-сайта. Достаточно изменить index.html на уже стандартный текст про возмещение застрахованных 700 тыс, как снежинка ненависти конкретного Васи Пупкина превратится в снежный ком, сметающий очередной банк.

Я очень сомневаюсь, что защите web-сайтов банки уделяют достаточно внимания:
- физическая безопасность хостинга
- отказоустойчивость оборудования
- права доступа к ОС, к прикладу, к web-серверу
- уязвимости и обновления версий всего
- безопасность программного кода
- лояльность и уровень знаний персонала
- всё прочее

Давайте подумаем и на этот счет!

 

понедельник, 2 декабря 2013 г.

Круги конфиденциальности

Понятием «Круг конфиденциальности» можно оперировать при определении степени необходимой защиты для конкретной информации. Свою идею я постараюсь пояснить на основе защиты личной информации, находящейся в личных HDD личных ПК. Каким образом происходило хранение информации раньше? Вначале на обычных IDE- и компакт-дисках, позже на внешних USB-драйвах и флешках. Теперь настало облачное мировоззрение. Считается, что доверять облаку можно лишь хранение неконфиденциальных данных. Это не совсем так, более того «вываливать» в облака можно и конфиденциальные данные при соблюдении следующих принципов:
- принимаем, что спецслужбы легко могут получить доступ к зашифрованной криптостойкими алгоритмами AES-256 или ГОСТ 28147 информации (вспомните, как контролируется Skype в DLP, вам даже не нужно обращаться в Microsoft).
- определяем, для кого ваша конфиденциальная информация не является таковой (например, уровень моей зарплаты не является секретом для папуаса Новой Гвинеи, любого еврогражданина, президента США).
- помним, что потеря зашифрованной конфиденциальной информации не является утечкой.
- не забываем про сроки, в течение которых защищаемая информация остается конфиденциальной.
Исходя из этих принципов, строим план защиты (оставляем для параноиков вариант зашифрованной пару раз TrueCrypt’ом флешки):
1. Самые ценные данные отправляем в американское или еврооблако, предварительно зашифровав чем-нибудь ГОСТ’овым.
2.Менее ценные данные отправляем туда же, но без предварительного шифрования.
3. Данные не представляющие особой ценности, а таких всегда будет большинство, оставляем на хранении на территории РФ (типа Яндекс.Диск).

При такой схеме более важным, чем сами данные являются ключи шифрования таковых и доверенность среды, с которой осуществляется доступ. Разумеется, данный подход не является универсальным, а очень зависит от модели угроз. Представьте, что будет, если наши чиновники продолжат для служебной переписки использовать «безопасный» Gmail, или коммерческие фирмы продолжат использовать социальные сети в качестве базовой площадки для обсуждения Roadmap, Knowhow и прочего внутреннего документооборота.