Информационная и кадровая безопасность на работе и в жизни.

[Adm]

Информационная и кадровая безопасность на работе и в жизни.

Полезная информация в шапке и теме постоянно обновляется, читайте новые статьи и рекомендации в сообщениях ниже!

У нас есть отдельный раздел форума для самых интересных новостей, полезных статей и их обсуждения по данной тематике, который находится ЗДЕСЬ.

[Adm]

«Доброносное» ПО: вирусы, заставляющие улыбаться.

В истории вирусописательства и охоты на вредоносное ПО есть ряд забавных случаев, когда программа, на первый взгляд имеющая все признаки типичного зловреда, на деле не наносила никакого вреда компьютеру, а лишь заставляла пользователя улыбнуться.

Бывали и совсем фантастические случаи, когда вирус помогал избавиться от опасного вредоносного ПО, заразившего систему, или оптимизировал использование ресурсов компьютера. К 1 апреля – дню шуток и розыгрышей – «Лаборатория Касперского» составила подборку подобных «доброносных» и курьезных программ, в разное время получивших распространение в глобальной сети.

Примечательно, что самый первый в истории компьютерный вирус был как раз одним из таких безобидных экземпляров. Программа Creeper, появившаяся на свет в 1971 году, была написана сотрудником компании, созданной Агентством по перспективным исследованиям при Министерстве обороны США. Этот червь занимался исключительно тем, что искал в небольшой и совсем не глобальной тогда еще сети компьютеры, «поселялся» в них и выводил на терминале сообщение приблизительно следующего содержания: «Я побежал, поймай меня, если сможешь». В случае если Creeper обнаруживал на компьютере уже имеющуюся копию самого себя, он просто «перепрыгивал» на другую машину. Самой компьютерной системе при этом не наносилось никакого вреда.

Еще одним примером забавного вируса, основное дело которого – донести до пользователя некое сообщение, является программа, получившая название Marijuana, а среди русскоязычной аудитории Интернета известная как вирус «Под кайфом» или «Марихуана». Впервые эта программа была обнаружена в 1988 году в Новой Зеландии. Оригинальная версия вируса попадала в систему через дискетный привод, однако, как и Creeper, вреда компьютеру не причиняла – на экране просто появлялось сообщение «Ваш компьютер под кайфом. Легализуйте марихуану».

Обладателем титула «вирус-розыгрыш» по праву является программа HPS, созданная специально под операционную систему Windows 98, но получившая распространение за несколько месяцев до выхода этого семейства Windows. Любопытно, что этот вирус, находясь в компьютере, активизировался только по субботам – в этот день он переворачивал отображения графических объектов. Проще говоря, HPS создавал зеркальное отображение экрана монитора.

Самым что ни на есть «доброносным» оказался вирус Cruncher. Являясь, на первый взгляд, обычным резидентным файловым вирусом, эта программа использовала алгоритм сжатия данных и упаковки зараженного файла, в результате чего инфицированный файл оказывался короче исходного. А это освобождало место на жестком диске пользователя. Но и это еще не все! Как выяснилось, для сжатия файлов Cruncher использовал алгоритм упаковки из популярной в свое время утилиты DIET 1.10, и эта абсолютно легальная программа помогала распаковать все зараженные вирусом файлы и получить доступ к данным. Свободное место на диске при этом оставалось.

Добрыми делами прославился и вирус Welchia, ставший одним из самых необычных червей в истории киберугроз. Несмотря на то, что разработчики этой программы сделали ее абсолютно вредоносной по своей архитектуре, никакого вреда Welchia не наносил. Как раз наоборот: этот вирус помогал удалять из системы опасного червя Lovesan, известного также как Blaster. Имитируя поведения этой вредоносной программы, Welchia проникал в компьютер через уязвимости в легальном ПО. После этого он проверял наличие червя Blaster в памяти процессора и, в случае обнаружения, принудительно прекращал его работу, а также удалял с диска вредоносный файл. Однако на этом миссия Welchia не заканчивалась: после уничтожения зловреда «доброносный» вирус проверял, имеется ли в системе обновление, закрывающее уязвимость, через которую в компьютер проникал червь. Если патч не был установлен, то вирус инициировал его загрузку с сайта разработчика. И только после завершения всех этих операций Welchia самоуничтожался.

«Подобные примеры забавных, безобидных и даже помогающих в чем-то пользователю вирусов – это, конечно же, исключение из правил и, в принципе, дела давно минувших дней. Современные вирусописатели уже далеко не киберхулиганы или хакеры-любители, осваивающие новую для себя область. Сегодня почти 100% вирусов пишутся с единственной целью – помочь злоумышленникам незаконно обогатиться или украсть конфиденциальные данные. В связи с этим вопрос надежной защиты от киберугроз актуален как никогда», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

По материалам пресс-релиза компании «Лаборатория Касперского».

«Доброносное» ПО: вирусы, заставляющие улыбаться. Это интересно? Поделитесь с друзьями! —→

[Adm]

В Госдуму внесен законопроект о техзащите мобильных телефонов чиновников.

МОСКВА, 8 апреля. В Госдуму внесен законопроект об обеспечении технической защиты мобильных телефонов госслужащих, передает корреспондент «Росбалта».

Автор проекта, сенатор Владимир Гутенев обеспокоен тем, что персональные данные и служебные сведения госслужащих могут оказаться доступными для техразведки посредством использования недекларированных возможностей технических средств систем мобильной связи, в том числе мобильных телефонов.

По его словам, основные угрозы информационной безопасности при использовании мобильных телефонов, не прошедших сертификацию связаны, в том числе с нарушением конфиденциальности, контролем местоположения абонента, нарушением или блокировкой связи и т.д.

В связи с этим предлагается ввести запрет для федеральных госслужащих на применение при исполнении должностных (служебных) обязанностей технических средств систем мобильной связи с установленным программным обеспечением, не прошедших в установленном порядке сертификацию и не получивших подтверждение о соответствии требованиям безопасности информации.

Аналогичный запрет в случае принятия закона будет действовать и для работников госкорпораций и госкомпаний, а также парламентариев.

В Госдуму внесен законопроект о техзащите мобильных телефонов чиновников. Это интересно? Поделитесь с друзьями! —→

[Adm]

Обнаружена «дыра», угрожающая безопасности всего Интернета.

Большинство уязвимостей в системе безопасности Интернета, даже весьма значительных, сулят неприятности лишь достаточно ограниченному числу пользователей, работающих с соответствующим программным обеспечением или посещающих мошеннические сайты. Однако «дыра» под названием Heartbleed Bug, о которой стало известно не столь давно, способна принести гораздо больше неприятностей. В данном случае ошибка закралась в некоторые версии OpenSSL, повсеместно используемого криптографического пакета.

Используя данную уязвимость, хакеры могут получать несанкционированный доступ не только к зашифрованному трафику в Интернете, но и собственно к ключам шифрования, что дает возможность без особого труда ознакомиться с закодированной информацией (подчас носящей сугубо конфиденциальный характер). Таким образом, злоумышленник вполне может украсть приватные данные с какого-либо сайта, причем, пострадавшие об этом даже не узнают, поскольку следов взлома в привычном понимании тут не остается.

Самое неприятное заключается в том, что упомянутая выше уязвимость присутствует во всем Интернете уже два года со времен выхода криптографической библиотеки OpenSSL 1.0.1. Другими словами, киберпреступники, осведомленные об этой «дыре», получали доступ к огромному объему конфиденциальной информации, перемещавшейся в виде трафика по Всемирной Паутине. Не случайно эта новость вызвала обеспокоенность у многих, несмотря на то, что уже доступно обновленное ПО с защитой от Heartbleed Bug.

Счет идет именно на часы, тогда как многие сисадмины еще даже не узнали о проблеме. В госучреждениях и банках, учитывая традиционную российскую бюрократию, обновление OpenSSL может занять несколько дней, и в этом случае последствия могут быть самыми печальными.

Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security. Именно последний примерно неделю назад сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код. Ребята из компании Codenomicon подготовили подробное описание бага и даже открыли для него отдельный сайт Heartbleed.com с изображением кровоточащего сердца. Информацию о баге удалось сохранить в секрете до 7 апреля, когда вышла исправленная версия OpenSSL 1.0.1g.

По материалам Ferra.ru и Хakep.ru.

Обнаружена «дыра», угрожающая безопасности всего Интернета. Это интересно? Поделитесь с друзьями! —→

[Adm]

Какие браузеры все еще безопасно использовать в Windows XP?

Вчера корпорация Microsoft официально отправила Windows XP на пенсию, прекратив поддерживать одну из самых популярных операционных систем в мире. Тем пользователям, которые на свой страх и риск не собираются отказываться от XP, наверняка будет интересно узнать, какие web-браузеры могут обеспечить безопасный выход в Интернет с этой устаревшей платформы.

Подробней можно прочитать ЗДЕСЬ.

[Adm]

Сноуден объяснил, почему спросил Путина о слежке спецслужб.

Бывшему сотруднику Агентства национальной безопасности США Эдварду Сноудену после «прямой линии» с президентом России Владимиром Путиным пришлось защищаться от нападок критиков, поспешивших назвать его «кремлевской марионеткой».

Напомним, что накануне получивший временное убежище в РФ беглый шпион задал Путину видеовопрос о том, занимается ли его страна перехватом, хранением и анализом информации о переговорах миллионов людей и считает ли президент массовый контроль справедливым и оправданным.

В интервью британской газете The Guardian Сноуден отстоял право на этот вопрос. По его мнению, все те, кто критикуют его, неправильно интерпретировали его мотивы.

Американец настаивает, что задал Путину вопрос о массовой слежке, чтобы призвать его к ответу, а не как предположили критически настроенные граждане, заняться пропагандой.

По словам Сноудена, он внимательно подошел к подготовке вопроса для Путина. «На первую часть вопроса он ответил отрицательно, а от ответа на вторую часть уклонился», — заметил бывший американский спецагент.

Он также отметил, что его вопрос предназначался для того, чтобы продолжить обсуждение, начатое сенатором Роном Уайденом и директором Национальной разведки США Джеймсом Клэппером по поводу сбора спецслужбами США метаданных миллионов американцев. По словам Сноудена, ложь Клэппера сенату и общественности подтолкнула его к разглашению секретной информации о слежке американских спецслужб.

Сноуден объяснил, почему спросил Путина о слежке спецслужб. Это интересно? Поделитесь с друзьями! —→

[Adm]

Как один сотрудник может разрушить всю компанию.

Хорошо, что у нас есть мобильные телефоны и планшеты, правда ведь? Они стали неотъемлемой частью нашей жизни и граница между рабочими и личными устройствами уже почти стерлась. И это понятно, ведь со смартфоном мы можем успеть все: пообщаться с друзьями в соцсети, отправить деловые письма, оплатить счета и договориться о встрече с клиентами по работе. А приобретать два разных устройства «для офиса и для дома» – крайне неудобно. Однако это становится причиной тяжелой мигрени у сисадминов, если во вверенной им корпоративной сети действует концепция Bring Your Own Device (BYOD).

Потеря пользовательских устройств с корпоративным данными, хранившимися в незащищенном виде, является «типичным кошмаром» для IT-отдела. И, к сожалению, явление это слишком частое и очень непредсказуемое.

Маша-растеряша, или от потерь никто не застрахован

Коэффициент «теряемости», если можно его так назвать, у мобильных устройств достаточно высок. Ноутбуки забываются в транспорте, на вокзалах или аэропортах; планшет элементарно скрывается под меню в ресторане – и поминай, как звали; смартфоны теряются или просто крадутся из кармана или сумки.

Когда и где это случится – никому неизвестно. Но даже самые внимательные и бережливые люди не могут похвастаться тем, что никогда и ничего не теряли в своей жизни. Вопрос в том, можно ли смягчить последствия этого «растеряшества»?

Цифры из недавнего исследования основных пользовательских рисков, проведенного B2B International совместно с «Лабораторией Касперского», рисуют не очень радужную картину.

Около 14% опрошенных признались, что их устройства либо терялись, либо их крали, либо они оказывались поврежденными настолько, что ремонту уже не подлежали. Чаще всего, кстати, «растеряшами» оказываются мужчины в возрасте до 35 лет (в этой группе устройства теряли 24% опрошенных), на втором месте – женщины младше 35 лет (17%), далее – мужчины и женщины старше 35 лет (10% и 8%, соответственно).

Помимо личных данных, зачастую на мобильных устройствах хранятся и корпоративные данные, а также пароли и PIN-коды.

И лишь единицы, как выясняется в ходе опроса, принимают меры на случай непредвиденного расставания с гаджетом. К ним относится: удаленная блокировка устройства, блокировка тарифного плана на утраченном устройстве, смена паролей для аккаунтов, запуск функции обнаружения, если таковая имеется, или удаленный сброс настроек на заводские (вследствие чего с устройства стираются все пользовательские данные). И крайне редкими оказываются случаи, когда пользователи удаленно активируют камеры мобильных устройств и снимают злоумышленников, хотя и такое случается.

Удивляет, что у большинства пользователей отношение к подобным потерям довольно философское: что упало, то пропало.

На работе – как дома, дома – как на работе

Но что если на мобильном устройстве находились не просто «селфи» для «инстаграма» или смс-переписка с друзьями, а, например, рабочие данные или реквизиты для доступа к корпоративной сети?

В этом случае утрата становится уже весьма серьезной проблемой. Поэтому, если в компании принята концепция BYOD (от англ. «возьми свое собственное устройство»), просто необходимо застраховать данные от попадания не в те руки – шифровать, изолировать рабочие файлы от личных, обеспечивать возможность удаленного стирания всего и вся.

К сожалению, исследования показывают, что только каждая восьмая компания в полной мере реализовала у себя политики безопасности для мобильных устройств.

А базовой защитой персональных устройств при этом большинство пользователей пренебрегают:



Примерно треть обладателей мобильных устройств используют их для рабочих нужд, а это серьезный повод задуматься компаниям, которые дорожат своей безопасностью и репутацией.

За и против

Возникает довольно логичный вопрос, насколько оправдано использование BYOD в компаниях, если эта концепция изначально таит в себе множество опасностей?

Эксперты утверждают, что при правильной организации BYOD может серьезно повысить эффективность бизнеса: резко меняется уровень доступности и взаимодействия сотрудников, появляется возможность управлять командой, не находясь в одном помещении. Работники могут трудиться за пределами офиса и выполнять свои служебные обязанности, не будучи привязанным к конкретному рабочему месту, эффективнее управлять своим временем. Кроме удобства и доступности плюсом концепции является экономичность, т.к. затраты на оснащение рабочего места уменьшаются, и зачастую пользователи берут на себя поддержку своих личных устройств (ремонт, оплата счетов).

Однако не стоит забывать и про обратную сторону медали. Ведь BYOD несет дополнительные риски информационной безопасности: резко возрастает угроза утечки корпоративных данных, устройство легко потерять, его можно украсть, и физический доступ к мобильному устройству сложно контролировать.

Теперь давайте на минуту представим, что будет, если руководитель крупной технологической компании теряет ноутбук, где собраны стратегические планы, описания новинок и тактики вывода их на рынок?

Означает ли это, что BYOD в данном случае вредна или не применима? Вовсе нет! Скорее это означает, что по мере увеличения рисков нужно принимать соответствующие контрмеры. В любом случае, прежде чем принимать концепцию BYOD, необходимо понять, как это будет работать в условиях конкретной организации, где могут быть утечки/риски и заранее спланировать реакцию на их реализацию.

Таким образом, можно сделать выводы, что в одних организациях BYOD неприемлема, например, для спецслужб государства. При этом в других, сотрудники которых постоянно должны быть на связи (например, консультанты, продавцы или старшие управляющие), – существенно повышает эффективность бизнеса.

Что делать?

Степан Дешевых, старший менеджер по продуктам «Лаборатории Касперского», дает несколько практических советов, как работодателям избежать проблем при использовании BYOD: ««Лаборатория Касперского» разработала эффективную защитную систему для наиболее уязвимой мобильной платформы Android, с большим числом дополнительных возможностей помимо защиты от вредоносных программ, таких как Анти-Вор, фильтр звонков и SMS, защита приватности, шифрование данных и т.д. Решение Kaspersky Security для мобильных устройств имеет удобный для компании модуль управления: наш продукт отслеживает любое подключившееся к сети устройство, и позволяет отправить на него программы для обеспечения безопасности и настроить ограничения доступа к данным. Для защиты корпоративной информации на ноутбуках во время путешествий, командировок сотрудников мы рекомендуем применять шифрование данных».

Эксперт советует компаниям уделять внимание не только технической стороне защиты, но и работе с персоналом: следует разъяснять всем сотрудникам основные правила безопасной работы в Интернете (не важно, с каких устройств они туда выходят).

«Сотрудники, унося данные на своем устройстве, должны понимать, что несут ровно ту же ответственность, как если бы они уносили бумажные копии документов с собой. Персонал компании также должен хорошо знать, что любое современное технически сложное устройство, содержит дефекты, которыми может воспользоваться злоумышленник. Но чтобы этими дефектами воспользоваться, злоумышленник должен получить доступ к устройству. Поэтому при скачивании почты, приложений, музыки и даже картинок, необходимо проверять репутацию источника. Важно с осторожностью относиться к провокационным сообщениям («положи 300 рублей на этот счет, а то телефон сотрем» или «срочно перешли финансовый отчет на этот адрес») и проверять надежность источника, прежде чем предпринять какое-то рискованное действие», – считает Степан Дешевых.

Таким образом, даже один сотрудник может разрушить всю компанию, если не будет соблюдать безопасность хранения корпоративных данных на своем мобильном устройстве. От потерь, к сожалению, никто не застрахован. Поэтому уважающим себя компаниям важно вовремя подготовить «парашют» для форс-мажорных ситуаций.

По материалам business.kaspersky.ru.

Как один сотрудник может разрушить всю компанию. Это интересно? Поделитесь с друзьями! —→

[Adm]

Сбербанк заплатит миллион рублей уволенной сотруднице.

Глава отделения в Зеленограде Ольга Ломова, уволенная после того, как уборщица выбросила на улицу документы с данными клиентов, восстановлена на работе и получит крупную компенсацию.

Подробней можно прочитать ЗДЕСЬ.

[Adm]

Путин: интернет — это проект ЦРУ.

На заседании Медиафорума в Санкт-Петербурге президент России Владимир Путин заявил, что интернет возник «как спецпроект ЦРУ США». Более того, он сейчас «так и развивается».

Владимир Путин также сообщил, что считает нужным и важным размещать на территории России серверы крупнейших российских интернет-ресурсов, чтобы защитить хранящуюся на них информацию. «Это можно, нужно делать, но это требует времени и капитальных вложений», — отметил он, добавив, что сейчас основной поток данных идет через серверы, расположенные в США, где все контролируют местные спецслужбы.

Президент России сообщил, что ранее «у наших компаний не было свободных ресурсов для таких капиталовложений, но сейчас они появляются». Владимир Путин надеется, что российский интернет «будет развиваться достаточно интенсивно, быстро и будет обеспечивать наши интересы».

Глава государства также напомнил, что вопросом защиты информации озабочен ряд специальных служб, которые внедряют соответствующие системы: «Прежде всего это касается информации закрытого характера Минобороны, оборонной промышленности, органов власти и управления». При этом он заявил, что где-то им это удается, а где-то нет. Владимир Путин отметил, что перенос серверов российских компаний на территорию России как раз и будет направлен на защиту хранящейся информации. «Это сложная сфера, родоначальниками которой являются американцы, вот они и стараются удержать свою монополию. Нам нужно целенаправленно бороться за свои интересы», — заявил президент России.

Ранее, напомним, стало известно, что Путин не пользуется телефоном и социальными сетями.

Путин: интернет — это проект ЦРУ. Это интересно? Поделитесь с друзьями! —→

[Adm]

Общая проблема сплотила IТ-гигантов.

Крупные IТ-корпорации при координации Linux Foundation вложат ресурсы в устранение уязвимости в программах с открытым исходным кодом. К инициативе присоединились Microsoft, IBM, Google, Facebook, Cisco Systems, Dell, Fujitsu, Intel, NetApp, VMWare, Amazon и Rackspace Hosting, сообщает Cnet.

Инициатива по проверке программного кода получила название Core Infrastructure Initiative (CII). Участники надеются, что она позволит исключить в будущем обнаружение хакерами дыр в безопасности, аналогичных Heartbleed. Последняя затронула большую часть сайтов и сервисов Интернета, так как теоретически позволяет злоумышленникам расшифровать данные, закодированные с помощью OpenSSL.

Джим Землин (Jim Zemlin), исполнительный директор Linux Foundation, сообщил, что первым на его инициативу откликнулся Google, затем Facebook и Intel. А к четвергу, 24 апреля, к инициативе присоединились остальные восемь организаций.

Каждая из компаний будет вкладывать в этот проект 100 000 долларов в течение как минимум трех лет. Деньги будут направлены в проекты, которые ставят своей целью улучшение открытых исходных кодов. Компании рассчитывают, что этих сумм будет достаточно для поощрения разработчиков, которые обычно занимаются такими проектами бесплатно или за небольшое вознаграждение.

Первым проектом, на проверку программного кода которого будут направлены деньги, будет как раз вышеупомянутый протокол OpenSSL. На данный момент в его команде только один постоянный сотрудник, а пожертвования составляли всего 2000 долларов в год.

Продукты на основе открытых исходных кодов используют многие компании, чтобы сэкономить. Однако не всегда они проводят достаточную проверку их безопасности, что ставит под угрозу хакерских атак сервисы, в которых они применяются.

Источник: Lenta.ru.

Общая проблема сплотила IТ-гигантов. Это интересно? Поделитесь с друзьями! —→

[Adm]

Член Совфеда предложил создать в России собственный интернет «Чебурашка».

МОСКВА, 28 апр — РИА Новости. Член Совета Федерации Максим Кавджарадзе предлагает создать внутрироссийскую коммуникационную сеть, закрытую от доступа из стран ЕС и США. Назвать такую систему, по его словам, можно «Чебурашка», а финансировать за счет регионов.

Различные проекты создания в России инфраструктуры, независимой от западных стран, стали активно появляться после того, как принятые США санкции продемонстрировали зависимость ряда сфер российской экономики. Так, в ответ на приостановку американскими компаниями Visa и MasterCard обслуживания двух российских банков было решено создать национальную систему платежных карт, в ответ на понижение суверенного рейтинга России международными рейтинговыми агентствами — появилась идея создать собственное такое агентство, высказывались также различные по своей радикальности предложения отказаться от доллара.

«Нам надо подумать над тем, чтобы создать свою собственную внутрироссийскую информационную систему, чтобы уйти из-под крыла США, иначе будут продолжаться утечки информации», — заявил он на заседании своего комитета по конституционному законодательству в ходе обсуждения закона о статусе блогеров в понедельник.

По мнению Кавджарадзе, Россия могла бы создать такую сеть со странами ОДКБ (Россия, Белоруссия, Армения, Казахстан, Киргизия, Таджикистан) или с государствами Азиатско-Тихоокеанского региона.

«У нас премьер-министр и в Фейсбуке, и в Твиттере, и все сейчас стали в социальных сетях сидеть и рассказывать, где они были и куда ходят. А ведь кто-то на серверах копит эту информацию», — сказал сенатор.

По словам Кавджарадзе, создание такой автономной сети — вопрос информационной безопасности «целой страны, которая подвергается информационным атакам, кибератакам, а также попыткам расколоть общество». Средства для создания такой системы, по мнению сенатора, можно изыскать в региональных бюджетах.

«Как мы назовем эту информационную систему — неважно, “Крокодил Гена” или “Чебурашка”, последнее даже предпочтительнее, поскольку “Чебурашки” ни у кого нет», — сказал он.

Член Совфеда предложил создать в России собственный интернет «Чебурашка». Это интересно? Поделитесь с друзьями! —→