?

Log in

[sticky post] ГЛАВНАЯ






«Никакой приватности в этом сумасшедшем мире...»


main_loggo_mini

\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\
Немного о себе

Основные статьи:
Почему важно контролировать работы интеграторов и аутсорсеров при внедрении IT решений
Пентест Black box vs White box
Уровни уязвимостей информационной безопасности
Взгляд на информационную безопасность глазами современного предпринимателя
Как эффективно повышать квалификацию в сфере высоких технологий
Особенности учета СКЗИ
В пример как я ломал админа на спор
Электронная подпись, ее виды, принцип действия и юридическая значимость
Кто такой мотивированный хакер и о разных типах нарушителей ИБ
Работа с Верба-OW при взаимодействии с ЦУКС МГТУ Банка России
Один из дней безопасника
Уровни доверия в информационной безопасности и что должен понимать каждый сотрудник службы безопасности

Пентест Black box vs White box

В данной статье я затрону очень важный момент по организации работ по тестированию на проникновение(пентест). Статья будет полезна всем тем кто оказывает такие услуги и тем кто хочет эту услугу заказать.

Начну с самого основного. Многие компании по информационной безопасности предлагают сейчас тест на проникновение на рынке ИБ. В основном предлагают сделать пентест по трем вариантам black box, grey box и white box. Это стандартные сценарии которыми пользуются и в других странах.

Вот в чем различия между этими методами:
Black box — проводится тестирование при котором не известно ничего о компании, только её название.
Grey box — проводится когда есть частичная информации о компании, когда кроме названия есть например пул IP адресов, которые можно просканировать или список E-mail адресов.
White box — проводится когда есть полная информация о компании, это полная схема сети, доступ в офис или даже к коммуникационному оборудованию.

Посмотрев законодательство и услуги на западе и у нас, и опираясь на собственный опыт, могу точно сказать, что в коммерческой среде, по информационной безопасности возможно использовать только два метода — grey box и white box.

Почему нельзя использовать Black box в коммерции? Все очень просто, исполнитель коим является аудитор или пентестер(компания или частный консультант) просто напросто рискует понести уголовную и другую ответственность если будет проводить тестирование на проникновение по методу Black box, потому что юридически он никак не защищен, так как в договоре и в других договорных документах, имеющих юридическую силу не прописаны границы тестирования до конца. К примеру там не прописывается точный пул IP адресов или точный адрес компании, эту информацию во время разведки берут из баз данных WHOIS, но эти базы данных не имеют какой либо юридической силы и ни кто не застрахован от сбоев или не актуализации в тех же WHOIS.

Что бы более лучше понять все риски приведу два примера:

Первый из моей практики. Как то раз я предложил провести тестирование безопасности в компании в которой я работал. ИТ департамент согласился и админ написал мне на листке IP адреса в DMZ зоне. На следующий день были выходные и я занялся работой. Выявил один сервер начал проводить атаку на ДНС. Точно не помню что именно делал, но на следующий день, порт вдруг стал не доступен. Выяснил что он скорее всего фильтруется, но никто его фильтровать не мог, так как админы все отдыхали и никаких IPS не было. Я почувствовал не ладное и прекратил тестирование, переключился на WI-FI, через который кстати и проник в сеть в конце.
Когда пришел на работу выяснилось, что админ ошибся циферкой в IP адресе, чей был сервер не знаю, но это вполне реальный пример из жизни, за который можно было получить по голове, даже не имея злого умысла.


Приведу второй реальный вариант. Очень часто работы по тестированию на проникновение заказывают крупные банки и холдинги. Как правило это крупная компания, которая входит в группу компаний с распределенными уставными капиталами(например Газпром, ВТБ и прочие). Так как компания крупная она может не только арендовать недвижимость, но и иметь собственную. Так же в этих компаниях часто многие работы делают аутсорсеры - например ЧОП, всякие уборщицы ,столовые и даже некоторый IT персонал.  Крупная компания может сдавать им в аренду свой офис, а так же сдавать в аренду недвижимость примыкающую к основному офису другим частным не связанным с ней юридическим лицам. Два разных не связанных между собой юридических лица, находящихся в одном и том же здания часто используют одни и те же телекоммуникации и даже сетевое оборудование. Возможно сети не связаны между собой, но они реально договорившись между собой, могут использовать внешний IP адрес зарегистрированный на компанию Заказчика услуг по тестирования на проникновения. В результате можно просканировать пул IP адресов найденный в базе WHOIS или даже прописанный в ТЗ незнающим специалистом и атаковать маршрутизатор или сервер, который по факту и юридически, компании заказчику не принадлежит, так же как и не принадлежит информация хранящаяся на серверах или проходящая через маршрутизатор на периметре сети. Не смотря на соблюдение этических норм результат может быть плачевен — незаконный доступ к информации, блокировка информации и прочие статьи УК РФ.

Из приведенных примеров ясно, что использовать Black box в коммерции нельзя. Единственные кто могли бы использовать Black box, это те, кого несмотря на случайный взлом не той компании освободят от ответственности, но если учесть что по закону даже правохранительные органы должны запрашивать разрешение на прослушку и доступ к частной жизни, то даже они не могут в принципе по закону без риска для себя, использовать данный метод.

На мой взгляд наилучшим сценарием является метод Grey box, когда дается некоторая информация о компании, к примеру периметр сети, доменные имена и она прописывается в договоре, границах тестирования и других документах являющихся юридически значимыми. В такой ситуации ответственность с исполнителя услуг по тестированию на проникновение в случае чего, можно будет снять.

Хочу сказать что наше законодательство пока что плохо заточено под подобного рода услуги и даже на западе где такие услуги появились еще в 90-е годы, не все так гладко.

Сдал CEH

ceh_logo

Недавно сдал экзамен на сертифкацию Сертифицированного этического хакера или как его там называют Certified Ethical Hacker.

Что могу сказать о самой программе. Материал по обучению довольно обширный всего более 4000 листов, которые представляют из себя скрины слайдов и текста на английском. В общем из обучения вынес для себя некоторые новые вещи, много вещей знал до этого. Само обучение мне не очень понравилось, так как уложить 4000 страниц в пять дней просто не реально и тренер больше пролистывал, на каждой теме мало останавливались. Но не страшно я потом все это дело прочитал

А вот экзамен я считаю полный отстой. ОН сложный, но сложен он не тем, что заумные задачи, а тем что есть плохо сформулированные вопросы и ответы, а уж человеку у которого английский не родной язык в двойне сложно. Создалось впечатление, что либо там писали пьяные, либо далекие, либо специально завалить хотят. В частности были такие вопросы, когда из четырех вариантов ответа, два правильных, а выбрать нужно один, собственно какой выбирать не понятно. У меня были дополнительные тесты, которые решал в инете и качнул себе на мобилу, тесты эти почти точ в точ с экзаменов и там были ляпы те же. Тем кто хочет сдать данный экзамен, могу сказать одно без подготовки по этим вопросам, не здадут, так как там был вопрос даже про законодательство в США и некоторые организационные вещи например N-tier model или многоуровневая модель ИТ. Некоторые вопросы не освещались в учебном материале. Кстати такие же отзывы я встречал на английских форумах.

Но несмотря на это, экзамен я сдал на 92% из 70% меньше чем за полтора часа из данных 4 часов, это 125 вопросов. Парень в центре удивился, сказал, что то вы быстро))
 Качнул в сетях файлы тыренных паролей о которых, так везде писали в начале сентября. Посмотрел и делаю вывод, что возможно эти утечки были давно, однако в паблик попали недавно.

Лично мне это пригодится, так как теперь можно занести эти пароли в свои вордлисты и использовать так скажем, для аудита. Так как порой пароли попадаются уникальные, которых нет ни в одном вордлисте, но так как теперь он в паблике, это значит, что такой пароль следует считать не безопасным.

Вообще делаю вывод, что скоро аутентификация перейдет на токены и сертификаты, с развитием GPU и появлением таких утилит, как oclhashcat, pyrit и т.п. перебирать пароли стало намного легче. Вот например сегодня добрутфорсил пароль к сети одного банка, в котором провожу тестирование на проникновение, перебрал более полторы миллиарда паролей, но пароль так и не подошел, а жаль, я уж надеялся, что удастся пролезть, причем хэндшэйки я перехватывал, как деаутентификацией клиентов, так и подставной точкой доступа. На все ушло времени порядка 3 дней.
patchplugs_microchips_cables15

На сегодняшний день, очень многие крупные компании и государственные организации прибегают к возложению ряда работ по внедрению и поддержке IT решений, в том числе и по внедрению решений в области информационной безопасности на интеграторов и подрядчиков.

Как правило компании прибегают к аутсорсу и работам аутсайдеров в связи с выгодой, так как у заказчика есть определенный срок, внедрить какое-то решение своими силами и в данные временные рамки не представляется возможным. Так же не представляется возможным внедрение своими силами в связи с нехваткой специалистов, не достаточной квалификации и не выгодностью найма новых специалистов по проекту. Время поджимает, а конкурентное преимущество на рынке нужно наращивать.
Выгодно это бывает и директорам и руководителям, так как бывает за договора с интеграторами они получают своего рода откат в кругленькую сумму денег и соответственно поддерживают бизнес отношения с другими своими коллегами из других компаний.

В компании которая хочет, что бы информация была на хорошем уровне защищенности и которая пользуется услугами интеграторов для внедрения новых ИТ решений, обязательно должна быть группа специалистов, которые достаточно компетентны в той технологии которую внедряют интеграторы. Эта группа специалистов должна пройти должное обучение по технической части и соответственно должна контролировать работу интегратора и подстраивать оборудование и программное обеспечение под себя.
Почему это жизненно важно с точки зрения информационной безопасности объясню ниже:
1. Интеграторы работают по принципу воткнул и забыл, то есть они вам ставят к примеру роутер или устанавливают сервер, но не настраивают его безопасным образом, а просто ставят конфигурацию по умолчанию, что бы все работало. Как правило это ведет к лишним не нужным сервисам, которые несут в себе угрозу несанкционированного доступа.
2. Интеграторы очень часто используют и оставляют пароли по умолчанию, к различным сервисам, и так же понятно что эти пароли нужно менять, после того как работы выполнены, так как интегратор не должен иметь доступа туда как по договору, так и на деле. Часто бывает так что пароли ставят 12345678, к информационным ресурсам хранящим, серьезную информацию. Так же на момент внедрения, данные ресурсы становятся наиболее уязвимы, в этот промежуток времени возрастает шанс взлома и установки программ типа Trojan и Backdoor, для последующего несанкционированного снятия информации.
По верхним двум пунктам, интеграторы так поступают по двум причинам — лень и не компетентность в сфере ИБ.

А теперь приведу показательный пример из собственной жизни.

Работал я некоторое время инженером в одной организации, контора не большая, но с хорошим блатным названием, скажу лишь что она звучит серьезно. Информация там не секретная, но могли проскочить данные, которые не следует знать каждому на улице. И была там точка одна, которая имела связь с головным офисом, построена была так что канал шел к провайдеру через шлюз с сетевым экраном, а потом через не мощный роутер с Wi-Fi функцией.
На тот момент должность у меня была инженер, но так как я увлекался ИБ, и много изучал в этой сфере, всегда хотел улучшить информационную безопасность в компании в которой я работаю.
Пришел я значит в эту серверную комнату, администратор мне начал показывать шлюз и как что работает, потыкавшись 10 минут, увидел, что правила на сетевом экране шлюза стоят в политике - разрешить все внутрь и изнутри. То есть по сути шлюз с сетевым экраном стоит, но ничего не контролирует и не блокирует, спросив у администратора почему так, тот мне сказал, что сам в этом не разбирается, а вот интегратор, чего-то пришел 2 месяца назад, копался там целый час, у него ничего не получалось и решил оставить так, лишь бы работало. Но это еще только цветочки.
Потом выяснилось, что между шлюзами ГО и офиса отсутствует VPN, хотя его можно было легко поднять, технология позволяла и все ПО лицензионное стояло. На роутере включен Wi-Fi доступ, который не нужен вообще, но он еще и открытый и без пароля и вещает на полную мощность. То есть можно было не только перехватывать все данные между ГО и дочерним офисом, сидя с ноутбуком около здания, но и влезть в сеть и атаковать сетевой экран на прямую, тем более что ОС шлюза не часто обновлялась. В принципе туда бы залез даже студент, не имея приватного хакерского софта.

Конечно же я все исправил и настроил VPN, и даже политику написал, но после этого случая, сделал вывод, что интеграторов и аутсорсеров, следует контролировать в любом случае.
Недавно в новостях пронеслась буря статей по поводу того, что правительство хочет прикрыть анонимный доступ к Wi-Fi. Конечно тут есть смысл, государство хочет четко контролировать кто куда лезет и кто кому пишет.
Вычислить человека через общедоступный WLAN представляет трудность, это могут в принципе сделать спецслужбы, но при условии, что там будут работать грамотные опера или специалисты имеющие технические знания в области сетей и криминалистики, в принципе я знаю как это можно сделать, так как сам являюсь специалистом по беспроводным технологиям и знаю как их защищают и взламывют, так же знаком с методами расследования. Но это требует аналитики и времени это работа в поле и каждого троля искать довольно накладно и не выгодно.

По факту постановление говорит о компаниях которые предоставляют услуги связи, любая кафешка на деле может эти услуги не предоставлять, хотя иметь открытую точку доступа. Или арендовать её у провайдера, вобщем все равно эти постановления можно обойти.

Что касается идентификации вопрос очень спорный. Система фильтрации да и вообще защита беспроводных сетей стандарта 802.11 abgn, ломается элементарно. Правительство хочет осуществлять фильтрацию по мак адресу, а он элементарно подделывается и виден в эфире, так это по сути 2 уровень OSI модели. Аутентифиакция на портале скорее всего будет привязываться к мак адресу. На практике же внедрить общий доступ в кафе по паспорту очень не удобно.

Ничего из этого постановления не получится. Получится только обязать провайдеров брать паспотрные данные за предоставление услуг связи, что они и так давно уже делают.
В данной статье речь пойдет о доверии между людьми. Доверие между людьми это уверенность, в поступке другого человека определенным образом. С точки зрения психологии, доверие это открытые, положительные взаимоотношения между людьми, содержащие уверенность в порядочности и доброжелательности другого человека, с которым доверяющий находится в тех или иных отношениях. В данной статье я решил описать более философский, нежели практический взгляд, надеюсь он заставит многих людей, читающих данную статью задуматься.

С точки зрения информационной безопасности лучше вообще никому не доверять, но тогда невозможно будет наладить работу в компании и корпоративное общение, поэтому приходится идти на компромисс. Если скажем в одном отделе и подразделении работают 6 человек, это не значит, что следует всем им давать доступ к одному информационному ресурсу. Доступ следует давать тем кому он необходим в рамках работы и кому можно информацию эту доверить.

Доверять или нет, каждый человек решает сам, на основе предполагаемых угроз и рисков в своей голове. Но к сожалению очень часто многие угрозы остаются не учтены. Приведу пример с ключами от квартиры. Соседка говорит вам, что вы можете оставить копию своих ключей от квартиры ей и в случае чего, она всегда сможет открыть вам дверь. Некоторые кто живет один кстати так делают. У меня был такой случай, и я ключи не оставил, не только потому что не доверяю человеку, но и потому что человек не бдителен и сам иногда забывает закрыть свою дверь или вообще оставляет ключи в замке с другой стороны своей двери (старость не радость).

Отсюда вырисовывается что доверие строится не только на том злодей человек или нет, но и на других факторах:

  • лояльность и этичность (то насколько человек честный, неподкупный, и без злых умыслов)

  • компетентность и некомпетентность в плане безопасности (определяется уровнем знаний и бдительности в сфере безопасности)

  • ответственность и безответственность (пофигист или нет)

Отдельно расскажу про лояльность. Люди склонны так рассуждать в тех условиях в которых живут и эти условия формируют у них мышление. Сейчас пошла мода предлагать так называемые услуги в обучении этическому хакингу, тесты на проникновение и многие сидят и спрашивают, что такое тесты на проникновение, кто такой этический хакер и что такое этичность вообще. Помню в России один преподаватель курсов CEH: Certified Ethical Hacking сказал, что это тот человек, который не нарушает закон. По закону он прав.

Но что такое закон? Закон по сути это набор норм и правил в стране, который люди обязаны соблюдать, но мир огромен и если я буду дизсамблировать коммерческую программу в России, мне ничего не сделают, а вот в США за это уже посадят в тюрьму, а в каких нибудь тропических момбасах, можно не нарушая закона, вообще несанкционированный доступ получать, если канал в интернет есть.
В Китае военные хакеры занимаются взломом и кибер-шпионажем, и при этом для Китая они этичны, так как защищают интересы своего государства, они патриоты и служат своей стране и народу, но для другого государства они представляют угрозу.

Поэтому полностью этичных людей не бывает, так же как и законопослушных, люди всегда враждебно настроены против какой-то социальной группы лиц. Мошенник против государства и простых граждан. Полицейский против мошенников. Простые граждане против друг друга. Все они нарушают те или иные законы или этику. К примеру простой гражданин просматривает фильм в интернете, за который должен по идее платить, а так это нарушение авторских прав и должно повлечь за собой ответственность, так как это тоже самое, что и воровство.

Так же отдельно по поводу закона хочу привести еще одну догму, если человек хороший, этичный и не нарушает закон, это не значит, что он закон никогда не нарушит. Практически все свои привычные действия человек осуществляет находясь в привычной для него среде, как только среда обитания меняется и появляются новые факторы оказывающие влияние на мозг человека, человек начинает менять свои суждения, стереотипы и порой даже меняется сам по себе. Это значит, что любой человек может нарушить закон и кому-то навредить. Приведу пример: хороший, доброжелательный сотрудник работает в компании никому пароль свой не сообщает, у него захватывают в заложники семью и говорят, ты нам доступ к серверу с данными или деньгами, мы тебе семью живой. В результате человека могут запугать и он доступ возможно даст причем от страха не сообщит в правоохранительные органы. Это вполне адекватная реакция инстинкта самосохранения и выживания заложенная, еще с рождения и можно сказать приобретенная на генетическом уровне. Из данного примера вырисовывается ситуация, что завербовать и сделать инсайдером можно практически любого человека, зная его слабые психологические стороны. Если не смогут подкупить, то смогут запугать или по печени дать.

На мой взгляд гибкое понимание того как устроен человек позволяет избегать сложных ситуаций, не совершать необдуманных поступков и очень хорошо выставлять уровни доверия внутри любой организации.
Computer (3)

Бывает так, что работать специалистом в сфере информационной безопасности, это не только сидение за своим компьютером и выполнение стандартных или рутинных задач. Иногда приходится анализировать информацию, в том числе решать аналитические головоломки, так сказать продумывать действия врага на шаг вперед.

В крупных компаниях работают некоторые сотрудники которые не только, нарушают политики безопасности, случайным образом, но и порой нарушают закон, сотрудничают с мошенниками и подделывают документы.

Утро понедельника началось как обычно начинается рабочая неделя, делаю отчеты по вирусным атакам и заношу в общую статистику.
Сутра начальник поставил важную задачу, сегодня после 20:00, нужно будет созвониться с другим сотрудником из СБ, и снять данные с компьютера вероятного злодея.

Потом еще ответил на пару писем в почте. К полдню запустил сканирование сканерами уязвимостей Xspider и Nessus на несколько ресурсов, а сам пошел обедать. Надо сказать кормят у нас не дорого, и при этом неплохо.
Хорошенько поев, и придя на свое место, дали мне задание отследить некоторых сотрудников кто куда ходил в интернет. Сижу и думаю, а чего за ними следить, запустил свой баш скрипт, скачал логи и разложив по папочкам отправил по почте начальнику, пускай там их руководители сами решают, куда можно, куда нельзя ходить, а тратить рабочее время и ресурсы это не по мне. Вообще бывает, так люди просят, но при этом не могут объяснить что им действительно надо.
Потом разбирался с новым программным обеспечением и средствами криптографической защиты информации, установил на сервер парочку программ и дописал технический регламент по СКЗИ.

К вечеру выяснилось, что данные злодея нужно будет снимать ночью, когда все уйдут,  негласно и при этом не оставив следов. Собрав с собой диски с программным обеспечением по снятию образов, и другие инструменты, стал ждать часа икс, параллельно, сходив в кафе. Где-то в полночь поступила команда от нашего наблюдающего, что все сотрудники покинули офис и мы выдвинулись к объекту. Зашли через вход, охрана нас впустила, потом тихо поднялись на этаж. И зашли в помещение, где находился комп предполагаемого злодея. После этого провели фото и видео фиксацию всех вещей, что бы зафиксировать что, где и как лежит, а то бывает так возьмешь что-то подвинешь, а потом не помнишь как лежало.

Паролей у меня не было, но это не мешало, пришлось перезагрузить компьютер и потом загрузиться с живого диска, слил все файлы, за 20 минут. После этого я придумал сделать небольшой саботаж, что бы выглядело, так как будто неполадки в сети питания, и компьютер перегрузился в связи с этим. Это свело бы все подозрения предполагаемого злодея на нет. Потом отнесли все данные к себе и поехали домой.
Каждая кредитная организация (банк), отправляет отчетность в центральный банк. Так же отправляются различные данные по счетам клиентов, подозрительным платежам и прочей информацией. Так данные передаются в федеральные службы, например Федеральную налоговою службу, службу валютного контроля. Данный обмен часто происходит по каналам центрального банке.

Что бы защитить передаваемые данные от перехвата и искажения между кредитной организацией и центральным банком, используются средства криптографической защиты информации. В данной статье я опишу как происходит генерация ключей шифрования и взаимодействие с центром управления ключевыми системами Центрального банка Российской Федерации. Данная статья будет полезна всем кто работает и занимается криптографией в коммерческих банках.

Сразу хочу заметить, что обмен данными кредитной организации и центрального банка в разных городах нашей страны, может отличаться, так как в каждом регионе есть свой территориальный орган центрального банка, порой даже использующий отличающееся программное обеспечение. Данная статья описывает процесс получения и генерации ключей, только в Москве и работе с ЦУКС МГТУ БР.

Данная статья НЕ содержит какой либо секретной информации, так как вся информация по сути весит на сайте центрального банка и FTP сервере центрального банка. Так же много всего есть на форумах. Вся информация в данной статье носит только публичный характер.

Что бы защитить обмен данными между кредитной организацией и ЦБ используется средства криптографической защиты информации Верба-OW. При обмене данными используют код аутентификации (КА) (это аналог электронной подписи) и ключ шифрования (КШ) (приватный ключ). У обеих сторон имеются справочники с кодами аутентификации и открытыми ключами, и стороны используют эти справочники что бы зашифровать друг на друга сообщения.

Ниже я опишу алгоритм взаимодействия с ЦУКС ЦБ:

При получении и оформлении ключей взаимодействуют два подразделения — от кредитной организации это информационная безопасность - администратор СКЗИ, а от Банка России это Центр управления ключевыми системами Центрального банка Российской Федерации.
Ежегодно происходит плановая смена ключей два раза. Каждый раз Банк России присылает в кредитную организацию письмо уведомление.

Первый раз смена происходит весной, меняются КШ и КА, для обмена с федеральными службами (ФС), при этом кредитная организация ничего не генерирует, а только получает дискеты с ключами в Банке России. Как правило это дискеты с ключами шифрования в двух экземплярах, а так же дискета со справочником открытых ключей — КА.
Ответственный администратор средств криптографической защиты информации кредитной организации, получив дискеты вырабатывает иммитовставки на справочниках КА, устанавливает все это хозяйство пользователям, согласно инструкции полученной в ЦУКС ЦБ и ведет учет СКЗИ в журналах СКЗИ.

Второй раз смена ключей происходит осенью для обмена с Банком России, при которой каждая кредитная организация генерирует свой собственный КА и КШ. Так же осенью кредитная организация генерирует КА для федеральных служб. Всего по сути осенью генерируются ключи на двух носителях, один для федеральных служб -КА, другой для Банка России — КШ и КА. При генерации обязательно делаются копии ключевых носителей, на всякий случай.

Генерация ключей происходит с использованием СКЗИ Верба-OW и с использованием лицензионной дискеты и номером и серией ключа, о которых сообщает ЦУКС ЦБ. Ежегодно данная серия меняется.
Как правило номера имеют примерно такое значение:
2025-941044 — открытый КШ для Банка России(на первом носителе)
2025-941044-01 — КА для Банка России (на первом носителе)
2025-941044-02 — КА для федеральных служб (на втором носителе)

Ниже снимки экрана при генерации ключей в Вербе:
verba1
Генерация КШ и КА для ЦБ
verba2
Генерация КА для ФС

Затем делается транспортная дискета в двух экземплярах, на которую помещаются открытый КШ, и два КА для ЦБ и ФС. Как правило это файлы с расширениями .lfx и .pub и названия у них соответствует номеру ключа. Данные файлы лежат в директории HD1, дискеты на которую СКЗИ Верба записывала ключ. Так же печатаются карточки КШ и КА, это такие одно страничные листки с байтами ключа и полями для подписи и печати.

На данной карточке проставляют свои подписи руководители кредитной организации, а так же проставляется печать кредитной организации. Руководители кредитной организации которые проставляют свою подпись, а также сама печать, должны обязательно присутствовать в списке первых и вторых лиц кредитной организации, которые указаны на карте подписей и оттиска печати этой кредитной организации. Данную карточку можно запросить обычно в бухгалтерии, так же копия этой карты хранится в ЦУКС ЦБ, и её при смене руководителей следует актуализировать и направлять в ЦУКС ЦБ.

После этого доверенное лицо приходит в ЦУКС ЦБ, передает туда транспортную дискету с открытыми ключами, карточки регистрации ключей и получает от ЦУКС ЦБ, их справочники открытых ключей и один экземпляр карточки регистрации ключей с их печатью и подписью. Затем Администратор СКЗИ кредитной организации выдает ключи пользователям и ведет учет.
verba_card
Карта регистрации ключей

Дельные советы для администраторов СКЗИ кредитных организаций:

Что бы соблюсти все законы и требования по средствам криптографической защиты информации необходимо все ключевые носители ставить на поэкземплярный учет в том числе и дискеты. Открытые ключи следует хранить не менее пяти лет.

Все журналы выдачи, ключи и пароли следует хранить в сейфе.
Так же сейф нужен тем сотрудникам которые используют СКЗИ, для хранения своих ключевых носителей.

Если у вас выдается ключ каждому сотруднику, который шлет информацию, а так и должно по идее быть, то рекомендую использовать не дискеты в качестве ключевых носителей, а токены, они безопаснее и долговечнее, а так же их легче учитывать, единственное нужно будет копировать ключи с дискеты на токены, но это сделать можно с помощью  Вербы-OW.

Генерацию и работу с ключами следует делать на отдельной автономной станции, не подключенной к сети. Данная станция должна находится в защищенном помещении, иметь систему аппаратной защиты от несанкционированного доступа (НСД). В качестве защиты от НСД, могу порекомендовать СЗИ НСД Аккорд-АМДЗ – это аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа - http://www.accord.ru/amdz.html.

Советую создать регламент и инструкцию, с пошаговыми действиями и снимками экрана, так как ключи меняются редко, через год процедуру забываешь, а потом можно накосячить, а косячить тут нельзя, так как Банк России в случае нарушений, может оштрафовать кредитную организацию, причем на кругленькую сумму, плюс к тому инициировать проверку.
Потенциальные нарушители бывают разные и у них могут быть разные мотивы. Для сотрудника в чьи обязанности входит обеспечение информационной безопасности, очень полезно знать с кем имеешь дело. В данной статье я познакомлю с основными типами из них. Следует понимать мотивацию злоумышленника, так как это позволяет создавать модели угроз и предвидеть потенциальные шаги нарушителя.

Вообще слово хакер изначально имеет положительное определение, так как на самом деле хакер это тот кто любит программировать. Но с приходом голливудских фильмов и мифов, хакерами стали называть всех кто взламывает информационные системы. В данной статье хакером я буду называть любого злоумышленника, пытающегося навредить жертве, просто мне так проще.

Всех хакеров  можно разделить по источнику:

  • Это недовольный клиент, сотрудник, активист

  • Это случайный проходящий мимо, просто увидевший уязвимость и решивший ей воспользоваться ради потехи или любопытства

  • Это может быть недобросовестный конкурент, решивший напакостить и угробить ваш бизнес и нанявший хакера


Так же хакеров можно подразделить по их целям:

  • Это мошенник или вор, тот кто хочет украсть деньги

  • Это хакер который хочет украсть информацию

  • Это хакер который хочет разрушить работоспособность информационной сети и по сути приостановить бизнес процесс

Всех хакеров, которые представлены выше можно разделить по мотивации

  • Мотивированный — тот кто атакует определенную цель и делает это не случайно.

  • Немотивированный — тот кто атакует цель случайно и смотрит получится или нет, если нет то успокаивается и ищет другую цель.

Мотивированный тип нарушителя самый опасный, так как он не остановится не перед чем и будет продолжать атаки до тех пор пока вся его мотивация не иссякнет, либо он не добьется поставленной задачи. Атаки таких хакеров носят нацеленный характер, с предварительным сбором информации о цели и более продуманной тактикой и более большим арсеналом методов и программ.
На сегодняшний день основной мотивацией для хакера может быть либо денежная выгода, либо активизм. Активизм это политическая неприязнь к другой стране или политическому режиму, примером может служить группировка Анонимаус на западе.

Что бы более наглядно было видно кем может быть и что может натворить мотивированный хакер приведу пример выходящий за рамки вон ниже:

badir
ZivKoren/Polaris
Слева направо: Muzher, Shadde, and Ramy Badir in the village of Kafr Kassem outside Tel Aviv.
h_ttp://www.4law.co.il/badir1204.htm

На фото 3 брата Бадир, которые слепы и ничего не могут видеть с рождения, но при этом они сумели взломать в Израиле, телекоммуникационные и телефонные компании, военную коммуникацию, слили 20 000 номеров кредитных карт и думаю много чего еще.
Один из них по имени Ramy сам изучал языки программирования C, C++, Basic, Java, HTML, PHP, CGI.
Кстати говоря Израильские системы безопасности считаются самыми защищенными и надежными в Мире.
Задачи электронной подписи
Смыслом использования электронной подписи является подтверждение авторства документа или переданной информации, то есть когда стоит задача определить, что отправителем информации является именно тот, кем за себя выдает. В коммерции данная задача должна решаться и на юридическом уровне. Юридическую составляющую я опишу в конце статьи. Так же замечу, что до недавнего времени существовала фраза электронная цифровая подпись или ЭЦП, ее до сих пор часто употребляют, но согласно новому закону и утрате сил старого закона, правильней произносить просто электронная  подпись или ЭП.

Виды электронной подписи
Согласно Статье 5, 63 федерального закона об электронной подписи различают два основных вида электронной подписи.
1. Простая электронная подпись.
2. Усиленная электронная подпись.
В свою очередь усиленная электронная подпись делится на две категории:
2.1. Неквалифицированная электронная подпись.
2.2. Квалифицированная электронная подпись.
Усиленная электронная подпись, как правило, использует сертификаты, которые выдаются удостоверяющими центрами.

Далее выдержка из закона:
Статья 5. Виды электронных подписей
1. Видами электронных подписей, отношения в области, использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись).
2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
5. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.


Разница между квалифицированной и неквалифицированной электронными подписями
При использовании квалифицированной электронной подписи, используется ключ проверки электронной подписи, который содержится в квалифицированном сертификате.
Этот квалифицированный сертификат выдается только тем удостоверяющим центром, который прошел аккредитацию и проверку контролирующими органами.
Так же при подписании и проверке электронной подписи, используются сертифицированные средства криптографической защиты информации, имеющие сертификат соответствия требованиям защиты передаваемых данных. К примеру, для защиты персональных данных, при передаче по открытым канал связи, требуется использовать сертифицированные СКЗИ.

При использовании неквалифицированной электронной подписи, удостоверяющий центр не обязательно должен быть аккредитован.

Принцип действия электронной подписи
Простая электронная подпись может быть создана паролем, не обязательно криптографическим путем. Вообще данный вид подписи не серьезен и абсолютно не безопасен, потому рассматривать его нет смысла!

Защита авторства документооборота с использованием усиленной электронной подписи осуществляется за счет средств криптографической защиты информации (СКЗИ) и асимметричных алгоритмов шифрования по принципу публичный-приватный (открытый-закрытый) ключ. У отправителя имеется закрытый ключ. С помощью СКЗИ и приватного ключа отправитель подписывает документ, а получатели, имея у себя СКЗИ и сертификат (открытый ключ или ключ проверки электронной подписи) отправителя проверяют авторство.

Юридическая значимость электронной подписи
Важной составляющей в коммерции является юридическая значимость. В случае конфликта как доказать, что документ был отослан именно тем лицом и той организацией?
В такой ситуации наиболее целесообразно использовать следующий подход:

Если требуется осуществлять обмен данными с государственными органами (например какие-то гос. услуги) или данными, которые согласно законодательству должны быть защищены квалифицированной электронной подписью, то следует присоединяться к аккредитованному удостоверяющему центру, получить у них сертификаты и производить обмен с применением сертифицированных СКЗИ.

Если требуется осуществлять обмен информацией, которая не требует защиты квалифицированной электронной подписью, то можно получить сертификаты в не аккредитованном удостоверяющем центре, либо сгенерировать их на своем месте, как это часто происходить при работе с системами дистанционного банковского обслуживания(по сути само подписанный сертификат). Так же следует применять сертифицированные СКЗИ. При этом обязательно в договоре между сторонами документооборота следует внести условия, что обе стороны документооборота согласны с тем, что бы признать данную электронную подпись равнозначной ручной подписи.
Ниже приведена статья 6, 63 федерального закона об электронной подписи:
Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью

1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.
3. Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.
4. Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов.
eToken_PRO_Java_USB_Smart_Card
В данной статье я опишу что такое токен, для чего он нужен, и разница между eToken ГОСТ и eToken Java компании Алладин.
На Российском рынке, так же есть Рутокен, это тоже средство хранения ключевой информации, с аналогичными решениями.

Токены представляют собой компактные устройства, содержат процессор и модули памяти, функционируют под управлением своей операционной системы. Токены фактически являются миниатюрным компьютером, обеспечивающим безопасное хранение ключевой информации, цифровых сертификатов. Так же может использоваться как средство формирования электронной подписи (ЭП). Etoken может быть выполнен как USB устройство, так и как смарт карта.

Лично я раньше по началу думал, что все токены являются СКЗИ, но потом понял, что ошибался, если вы тоже так думаете, то советую прочесть статью дальше.

Если сравнивать два продукта то получаем следующее:
eToken ГОСТ — является средством криптографической защиты информации. На момент написания статьи может работать только с отечественными ГОСТовыми СКЗИ.
eToken ГОСТ соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001 и требованиям ФСБ России к средствам криптографической защиты информации класса КС2 и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
При работе с eToken ГОСТ секретный ключ, находящийся в токене не покидает его пределы, и его невозможно перехватить имея доступ к станции.

eToken Java - средство аутентификации и защищенного хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭП). eToken Java не является средством криптографической защиты информации.
Может использоваться не только с ГОСТовыми отечественными СКЗИ, но и с другими зарубежными криптографическими средствами.
eToken Java является программно-техническим средством защиты информации от несанкционированного доступа и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и ИСПДн до 1 класса включительно.

Ссылка на сайт производителя на сертификаты для токенов, где четко прописано, на что какой сертификат, в каждом сертификате прописано, что из себя представляет определенная модель токена:
http://www.aladdin-rd.ru/catalog/etoken/certificates/
В данной статье снимки экранов чисто симулируют операции, для конфиденциальности

Помню случай с работы, давно это было, тогда я еще работал в ИТ департаменте одной компании.
Поспорил я с админами, что, мол, система наша уязвима, и пароли хранятся в LM хешах, а это не безопасно. На самом деле это действительно плохая конфигурация хеширования паролей учетных записей, которая по умолчанию включена на WinXP и Win2003 сервере. С точки зрения хакера это лакомый кусок и почти 100% вероятность повышения привилегии в системе, как только добудится хеш.
На что один сказал ну взломай мой. Чем я собственно и занялся, что бы доказать свою правоту. В общем случае потратилось на всё примерно 6-7 часов разных попыток и размышлений, включая время брута.

А получившийся сценарий был таков:
Я просканировал порты своим любимым сканером nmap.

nmap -sS -p- -T3 -d -vv -sV -O --packet-trace -oA target 192.168.248.16

В результате получил открытые порты 135,3389. Затем решил схитрить и заспуфить IP и MAC адрес контроллера домена, а так же исходящий порт 139 с которого посылать скан.

В книге Nmap написанной самим Феодором почему то написано, что опция –S спуффинга ИП не даст полезной инфы, так, как все пакеты уйдут на заспуффленный адрес, однако у меня вышло наоборот, причем очень даже продуктивно. Данная опция действительно рулит.

nmap -sS -PN -p 0-1024 -vv -d -T3 -e eth0 --spoof-mac 01:1F:56:28:63:25 –g 139 -S 192.168.sss.ss -oA spoofsyn2 192.168.248.16

В результате было выявлено еще два порта 139 и 445.

Но, к сожалению, я так и не сообразил, что с ними делать дальше, так как я не мог ломать домен контроллер, а так, же тачки своих админов, и атаковал напрямую, а напрямую эти сервисы для меня были недоступны, время поджимало. И решил я проводить атаку на клиентской стороне, и тут случайно нашел в метасплойте прикольный модуль, который устанавливаешь локально и при попытке человека зайти на ИП адрес  по протоколу SMB (139,445) перехватывает хеши паролей. Прикол был в том, что в моем случае нашему администратору даже не обязательно было вводить пароль в форму аутентификации, винда автоматом отсылала хеши хранившиеся в памяти. Использовался модуль server/capture/smb.
1

Следующим делом я хакнул еще пару аккаунтов наших не шибко умных сотрудниц, позвонив им, и от их имени заслал пару писем с просьбой о помощи, мол, что-то там не открывается.
В результате целевой администратор кликнул по ссылке, и у него по идее высветилось такое окно аутентификации.

2

А у меня в логах такое =)

3

Тут видно, что по сети отсылается LM хеш.

После этого я закинул файл в Cain and Abel и там расшифровал, по словарям c опцией
LM+challenge.
4

Подобрать у меня получилось тока Цейном, остальные утилиты не принимали хеши с челленджем, даже лофткрэк не помог.
В реальности конечно пароль оказался посложней и подбирался он у меня часа 3 наверное. Но прикол в том, что в любом случае 99% LM хеш подобрался бы, если бы я использовал радужные таблицы.
Пароль был взломан. На утро я пришел и пока тот курил, залез к нему на комп по rdp, оставил смешное сообщение в блокноте, надо было видеть его недоумевающее лицо, когда тот пришел и зашел на свой комп.

Вывод один - отключайте LM хеширование!

Особенности учета СКЗИ

Computer (5)

Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.

Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.

Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)"
Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152


Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
    Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
    Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
    Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.


Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно  должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.

Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении

Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии  на право использования СКЗИ.

Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)
Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.

Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.

В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000

Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.

В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале  поэкземплярного учета аппаратных ключевых носителей  средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.

В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.

Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.
В данной статье речь пойдет, о курсах, сертификациях, тренингах и повышении квалификации в сфере информационных технологий и информационной безопасности.
Как правило курсы посещают 2 категории лиц:
1 — люди целеустремленные и жаждущие знаний, обладающие целью расти по карьере, как правило студенты или те кто хочет сменить профессию, должность и место работы.
2- работники престижной организации, которых послали на обучение за счет компании, с целью повысить уровень навыков, получить сертифицированного специалиста для выполнения бизнес задач, закрыть недочеты регулятора — те же требования по персональным данным, где написано, что в штате должны быть сотрудники информационной безопасности имеющие определенное образование. Во второй категории попадаются немотивированные обучающиеся.
В общей сложности есть два типа обучающихся, один мотивированный и желающий получить новые знания и навыки. Второй тип немотивированный, который пришел чисто послушать и получить «корочку».

Данная статья ориентированна на мотивированных обучающихся, которые хотят расширить свои знания в той или иной технологии.

Я был на разных курсах в разных организациях. Могу сказать одно, очень многое зависит не только от самого содержания курса, но и от преподавателя, который подает материал. Мне попадались четыре типа преподавателей курсов:
1. Это преподаватель очень увлеченный своим делом, действительно разбирающийся в том, что преподает, хорошо подающий материал, внимательный, если что спрашивает все ли поняли, и объясняет. Иногда так увлекается, что даже говорит про смежные темы, например если курс, просто по операционной системе линукс, может показать немного и рассказать, что-то по безопасности или что-то интересное выходящее за программу курса. Я обучался у одного такого и думаю посещу его курсы еще не раз, так как человек кстати даже не имеющий вышки в области ИТ отлично разбирается в этом предмете и умеет преподавать. Если он чего-то не знает, он скажет это и скажет, что обязательно посмотрит и потом даст ответ, так как ему тоже очень интересно. Если вы попали к такому преподавателю, вам крупно повезло, так как даже сложный материал, вы усвоите намного лучше!
2.  Это преподаватель просто зачитывает курс. Она знает материал, но когда ему задаешь какой-то более сложный и углубленный вопрос, он не может дать точного ответа. Например я спрашиваю на курсе по пентесту, слышали ли про протокол BGP и что такое AS в этом протоколе, так как тогда еще не знал, но немного слышал, что можно выявить IP адреса, не светящиеся в WHOIS определенной компании по AS номерам сети и он не знал, что такое BGP(border gateway protocol). Конечно у всех свой уровень знаний, но думаю тот кто называет себя специалистом по тестам на проникновение, должен хорошо знать сетевые технологи Ethernet, и хотя бы представлять как работает интернет. Конечно можно пройти курс, и вполне возможно узнать что-то новое, в принципе таких преподавателей много.
3. Это преподаватель, знающий свое дело, и возможно даже очень опытный, не просто зачитывающий курс, но к пребольшому сожалению, не умеющий преподавать! То есть если вы до этого не читали и не знали материал и попали на технический курс с большим количеством новой терминологии, то велика вероятность, что вы материал вообще не усвоите никак, у меня был такой опыт, жаль было потраченные деньги, потом усвоил весь этот материал сам по книгам.
4. Это вообще не адекваты, которые например уснут или уйдут на целый час куда-то, а все сидят думают, а где же наш учитель? Был такой опыт, хорошо, что деньги за меня платила компания где я работаю, и что я весь материал знал и так, единственное немного нового сам для себя открыл из раздаток.. Ну и красивое свидетельство получил.

Компании по обучению лучше всего выбирать по реальным отзывам, но к сожалению отзывов никто нормальных не может дать. Порой и бренд бывает обманчив, я могу сказать одно, что бывает так, что попадаются неадекватные преподаватели и в хороших центрах обучения и в плохих и наоборот. Вообще эталоном хорошего центра обучения является организованность курса, когда все компьютеры работают исправно, когда ничего не зависает и не тормозит, на всех хватает мест и учебных материалов, в общем организация учебного процесса, и квалифицированный персонал.

Курсы бывают двух видов — авторские и авторизованные. Авторские — это курсы от учебного центра, который придумал как правило сам преподаватель или кто-то из этого центра. Авторские курсы бывают очень интересными и в то же время дешевле авторизованных. Авторизованный курс, это как правило курс от какого-то вендора или просто организации, которая осуществляет сертификацию специалистов, в области навыков администрирования своего оборудования, либо уровня знаний подходящих под определенный признанный стандарт. Как правило по окончанию курса обучаемый проходит сертификацию, то есть экзамены. Если экзамен пройден, то обучаемый получает сертификат и статус. Сертификация как правило платная и оплачивается отдельно от курса. Сертификат ценится больше чем свидетельство, так как он подтверждает уровень знаний, тут списать не получится. В пример могу привести авторизованные курсы вендора Cisco, Microsoft, Juniper. Если смотреть не на вендоров и не на оборудование, то это могут быть беспроводные технологии — CWNA, CWSP или например этический хахинг — CEH.
Лучше всего перед курсом почитать то о чем там будут рассказывать, поизучать немного, может даже почитать книжку и попытаться вникнуть самому, а потом идти на курс, так как это позволит усвоить и понять материал еще лучше, плюс к тому появятся новые вопросы, которые можно будет задать преподавателю. Особенно это касается сертифицированных программ, например та-же Cisco. Если вы с ней не работаете и тем более студент, не надейтесь, что вы освоите и сдадите Cisco, просто сходив на курс, добудьте сразу учебники, и лучше на английском, если позволяют знания языка. К примеру я хочу скоро пойти на IP телефонию и безопасность по ней, прежде чем пойду почитаю про протоколы SIP, технологии Циско в этой теме, RFC и немного про PBX.

Еще хороший совет, если вы обучаетесь на разных курсах в том числе и широкого профиля, где рассказывают и практикуют, разные средства защиты информации или информационные технологии,то советую обзавестись домашней лабораторией. Так как на курсе нет времени много практиковаться, а что бы закрепить навыки и что бы эти навыки и знания отложились в мозгу, лучше попрактиковаться дома после курса в виртуальной среде. Особенно это полезно студентам и тем людям кто ищет и устраивается на желанную работу в начале своей карьеры не имея большого опыта. Все дело в том, что никому не нужны высшие образования, нужен на самом деле опыт, это волнует фирму и предпринимателя, а вышка — это так для галочки и требования. Если вы эксперт, вас и так возьмут, даже на перекос закону, но эксперт много знает и умеет, тут можно сыграть так, что пока не имея опыта работы, иметь опыт работы с ПО и аппаратной частью, практикуясь дома и на курсах.
Я лично сделал так, собрал отдельный компьютер с памятью побольше, жесткий диск и процессор с несколькими ядрами. Установил на него Vmware ESXi, для тех кто не знает это операционная система, для создания виртуальных машин внутри себя, причем бесплатная! Получился своего рода домашний сервер, а там внутри развернул порядка 20 виртуальных компьютеров, создал виртуальную сеть с разными операционными системами и серверами. Таким образом можно практиковать любые информационные технологии которые изучаешь, исключением является, только аппаратная часть.

И еще такой совет, во время курсов, желательно вовремя ложиться спать, питаться, и отдыхать, у меня бывали случаи, курс интересный, но я отключаюсь, так как хочу спать, из за этого можно упустить часть материала.
biznes
Я решил написать эту статью, для начинающих специалистов, студентов, тех кто хочет оказывать услуги в сфере информационной безопасности, что бы они более существенно понимали почему не во всех компаниях все так идеально с информационной безопасностью, и почему не все компании делают все, что бы обеспечить безопасность данных. Этому порой не учат в наших ВУЗах на факультетах по информационной безопасности. И как правило это понимание приходит с опытом и хорошо это понимают руководители и начальники служб безопасности в коммерции.

На самом деле я разделяю два подхода к защите информации.

Первый подход это когда закрывают весь доступ наружу и извне. Такой подход применим к закрытым организациям, где защита информации стоит на первом месте, а её компрометация и утечка создает угрозу национальной безопасности государства и жизни нации, это как правило спецслужбы.

Второй подход — более сложный я его называю коммерческим или компромиссным, это когда доступ наружу и внутрь присутствует, но фильтруется на уровне доверия и средств доступа. В этом подходе соизмеряются риски и затраты на обеспечение безопасности, и руководство принимает компромиссное решение, либо внедряем технологию защиты и выделяем на нее определенный денежный бюджет, либо идем на риск и несем возможные убытки, но при этом сохраняем значительную часть бюджета и это сохранение денег покрывает убытки. Причем убытки могут быть как материальные (денежные активы), так и нематериальные (рейтинг, бренд, потеря позиций на рынке). Возможные убытки нематериальных активов кстати говоря рассчитать очень сложно, они очень сильно могут повлиять на позиции компании на рынке, а могут не повлиять вообще.

Именно второй подход применяется в коммерции и именно он соответствует типичному подходу обеспечения информационной безопасности с точки зрения предпринимателя или бизнесмена. Важно понимать, что основной задачей бизнеса является максимальное увеличение прибыли и максимальное снижение затрат, вместе с тем охват, как можно большей части рынка. Основной проблемой над которой бьется любой предприниматель, это как меньше вложить, но при этом больше получить. Для него важна окупаемость и прибыльность активов.

Например есть компании которые имеют в своем составе структуру информационной безопасности, чисто для галочки, что бы закрыть требования регуляторов. К примеру малый коммерческий банк может иметь в составе всего двух безопасников, но по факту основную информационную безопасность будут обеспечивать силами ИТ. Такие организации у нас в России есть и их полно!

Примером коммерческого подхода может быть решение о внедрении стандарта безопасности платежных карт PCI DSS в акционерном банке.
Если данный стандарт не внедрить, то банк по идее не может выпускать и обслуживать кредитные карты такой системы как Visa и MasterCard, но он их обслуживает и раз в год платит штраф к примеру в 100 000 долларов США.
Если стандарт внедрить, то повысится безопасность и штраф платить не придется, но при внедрении стандарта PCI DSS и новых технологий информационной безопасности потребуется потратить значительную сумму денежных средств. Как правило эта сумма денег зависит от бизнес процесса связанного с платежными картами и архитектуры сети. Таким образом руководство будет принимать решение. Решение это будет зависеть от того, что будет выгоднее в денежном и рыночном плане, оплатить штраф или внедрять новые решения по информационной безопасности. Еще опытные менеджеры учитывают стратегический подход, то есть планирование на 5-10 лет вперед, а не только выручку на ближайший год.
В принципе это типичный подход Российского предпринимателя и как я слышал и западного, но на западе я считаю все более организованней, так как там государство более жестко обязывает соблюдать стандарты безопасности. Кстати на данный момент у нас в стране ужесточается законодательство в сфере ИБ, так что может быть мы догоним запад когда нибудь.

Profile

tsnm
Антихакер
tsnm.livejournal.com

Latest Month

October 2014
S M T W T F S
   1234
567891011
12131415161718
19202122232425
262728293031 

Page Summary

Syndicate

RSS Atom
Powered by LiveJournal.com