Сказки о безопасности Том 2

03/02/2017

С сегодняшнего дня доступно на Amazon https://ridero.ru/books/skazki_o_bezopasnosti-2/


Не можешь? Научим! Не хочешь? Заставим!

10/01/2017

Уже давно не вызывает особого интереса появление нового образца ransomware. Ну что может быть принципиально нового? Пути заражения? Так их не так много! Применяемые алгоритмы шифрования? Тоже весьма ограниченное количество!

Ведь на самом деле алгоритм ransomware уже достаточно хорошо изучен и может быть сведен к ряду операций ЗАРАЖЕНИЕ – ШИФРОВАНИЕ – ТРЕБОВАНИЕ ВЫКУПА – ВОЗМОЖНОЕ РАСШИФРОВЫВАНИЕ. Поиск чего-то нового сводится, как правило, к поиску путей заражения и ключей шифрования. Однако создателям ransomware под названием Koolova удалось меня удивить.

koolova

Рисунок 1  Koolova

Данный вредонос-вымогатель является разновидностью печально известного Locky и использует для шифрования комбинацию алгоритмов RSA-2048 и AES-256, то есть алгоритмов ассимметричного и симметричного шифрования. Единственные файлы на вашем компьютере, которые не будут затронуты вредоносом, важные системные файлы и файл ransom, из которого жертва может узнать о шифровании данных алгоритмов, о том, как купить bitcoin, как установить Tor браузер и так далее.

Вместе с тем, будь Koolova стандартным вымогателем, не стоило бы столько времени уделять ему. Основное отличие данного вымогателя от других состоит в том, что он не требует денег в качестве выкупа!

Основной целью Koolova как ни странно, является информирование пользователей об опасностях ransomware. То есть, создатели вредоноса не требуют от жертвы денег, они хотят, чтобы жертва прочла две статьи о вымогателях. Эти статьи — Google Security Blog Stay safe while browsing и BleepingComputer Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

После того, как пользователь сделает это, он получит ключ и сможет расшифровать свои файлы. А затем сможет просто удалить Koolova.

Если же жертва слишком ленива чтобы прочесть обе статьи, Koolova запускает обратный отсчет и в случае если пользователь все же отказывается читать, удаляет зашифрованные файлы, как ransomware Jigsaw.

Однако если же жертва прочтет обе статьи, кнопка расшифровки Decrypt My Files (Decripta i Miei File) становится доступной. При нажатии этой кнопки Koolova подключится к управляющему серверу (C&C) и получит ключ расшифровки.

decryption-key-retrieved

Не правда ли, весьма своеобразный подход к повышению компьютерной грамотности?


Сказки о безопасности Том 1 Печатная версия

14/11/2016

Тем кто спрашивал печатную версию моей книги
На Ozon можно заказать печатную версию моей книги «Сказки о безопасности» Том 1

Сказки о безопасности: Чем выше высунулся, тем проще снайперу

12/09/2016

http://www.pcweek.ru/security/article/detail.php?ID=188330

На очередном заседании глав департаментов император попросил принца провести обучение основам информационной безопасности руководства всех департаментов и их замов. Принц искренне удивился, мол, обучение проходит ведь регулярно, даже росписи есть. На что ему резонно ответили, что росписи есть, а знаний нет.

— Что произошло? — недоуменно заявил принц, — Во что мы влезли, да еще и так, что я этого не знаю?

Слово попросил глава имперской канцелярии г-н Штейн.

— Господа, мне неловко признавать это, но большинство здесь сидящих пали жертвой злого розыгрыша журналиста из газеты «Вечерние вести». Этот журналист открыл в социальной сети учетную запись от моего имени, выставил туда мои фотографии и пригласил туда многих моих реальных друзей. И, несмотря на то, что все они прекрасно знают меня, они просто попались на удочку и попросились ко мне в друзья. Мало того, некоторые из них хотели обсуждать со «мной» рабочие вопросы, мол, им так легче! Это продолжалось несколько месяцев, пока один из моих знакомых не перезвонил мне и не спросил меня, мол, почему я никак не решаю вопрос, который он мне задал. Стыдно мне, моим именем воспользовались. Но втройне должно быть неудобно тем, кто поддался на эту уловку! Слава Богу дело не дошло до действительно серьезных дел, а газетный скандал удалось замять в зародыше. Именно поэтому, принц, я и прошу провести для нас занятия.

— Да-а-а, задали вы мне задачу! Вообще-то я давно предлагал запретить государственным служащим, начиная с определенного ранга, использовать социальные сети. Совсем! Но проблема состоит в том, что запретом этого не решить, ведь у каждого из вас есть жены, дети, родственники, любовницы в конце концов… Нужно просто быть очень внимательными и аккуратными. И всегда понимать, что вы высокопоставленные служащие, вы находитесь на самом верху служебной лестницы. А чем выше высовываешься из окопа, тем удобнее снайперу. Помните об этом!

А ваше руководство, да и вы сами, понимаете, что каждый из вас — это потенциальная мишень? Помните об этом!


Сказки о безопасности: Социальные сети — находка для шпиона

06/09/2016

http://www.pcweek.ru/themes/detail.php?ID=188176

Ежемесячное совещание руководителей силовых ведомств империи подходило к концу. Народ уже потихонечку начинал шевелиться и готовиться уйти. Но тут слово взял принц.

— Ваше величество, господа советники! У нас проблемы!

— Хм, принц, когда вы скажете, что у нас нет проблем, я, наверное, решу, что к нам прилетели инопланетяне. Что в этот раз?

— Я думаю, что главу ведомства контрразведки можно просто уволить за ненадобностью, а весь состав ведомства перевести в полицейскую службу.

— ???

— Вчера мы закончили анализ данных, которые размещают представители наших силовых ведомств и члены их семей в социальных сетях, и пришли к выводу, что потенциальному противнику не нужны шпионы. Наши сотрудники сами все рассказывают. В частности, мы обнаружили номера частей, места их дислокации, фамилии командиров и даже их домашние адреса, учебные заведения, в которых обучаются их дети, места проведения отпусков и даты их проведения, фотографии наших сотрудников и членов их семей… Короче — полный набор. Что будем делать?

— А что мы можем? Еще раз расскажем, заставим сдать зачеты, кого-то уволим…

— Да, это мы можем. Но что еще? Приказом запретить посещение социальных сетей? А поможет? Думаю, нет! Народ нужно обучать. Но обучать мало, с них нужно требовать!

А вы как думаете?


Новые правила NIST для паролей

19/08/2016

http://www.pcweek.ru/themes/detail.php?ID=187575

Не секрет, что выбираемые пользователями пароли зачастую неустойчивы. Но в ближайшей перспективе отказаться от них не удастся. А при столь огромном количестве веб-сайтов и онлайн-приложений, требующих заводить все новые и новые учетные записи, не удивительно, что пользователи придумывают пароли второпях, игнорируя советы специалистов по безопасности. Вместе с тем растущие вычислительные мощности позволяют взламывать пароли все быстрее.

В связи с этим Национальный Институт Стандартов и Технологии (NIST) США сформулировал новые рекомендации для политик в отношении паролей (Special Publication 800-63-3: Digital Authentication Guidelines). И эти рекомендации предполагается внедрить в государственном секторе США.

В данном случае важно прежде всего то, что предпринята попытка сформулировать разумный шаблон для парольных политик организаций и программ разработки приложений.

Что нового

Задача заключается в том, чтобы сделать политики паролей удобными для пользователей. Пользователи не должны делать то, что фактически не усиливает безопасность.

Требования к паролю. В новых инструкциях NIST рекомендуется устанавливать длину пароля не менее восьми символов (без ограничений на максимальную длину). При этом должна быть обеспечена возможность использовать все печатные символы ASCII, пробелы и символы UNICODE. Кроме того, пароли должны проверяться с помощью частотных словарей, чтобы исключить такие широко употребляемые варианты, как Qwerty, ThisIsPassword и т. д.

Чего не нужно делать. Не нужно придумывать излишних правил для паролей, позволив пользователям выбирать не просто слова или наборы символов, а целые фразы вместе со знаками препинания. Не рекомендуется также предусматривать подсказки для вспоминания паролей (они упрощают взлом паролей) и вспомогательные вопросы для их восстановления (типа «В какой школе вы учились?», «Какой у ваших родителей почтовый индекс?»). А для того, чтобы пользователи выбирали сложный пароль, не нужно торопить их его менять.

Не рекомендуется также использовать SMS для подтверждения пароля. Увы, сегодня не так сложно подделать SIM-карту.

Что дальше

Пока это только рекомендации. Политики паролей должны развиваться, ведь люди используют их все чаще и чаще. Цель NIST в данном случае — дать нам возможность защититься без ненужной сложности, потому как излишняя сложность в вопросах безопасности очень часто приводит к ее ослаблению.


Задумался

17/08/2016

Пришлось в нескольких компаниях на протяжении нескольких лет перечитать массу документов в области безопасности. Писали везде интеграторы. Платили за это немаленькие деньги. Но хочется отметить общее. Видно, что эти документы НИКТО и НИКОГДА не читал, хотя все утверждены первым лицом.

Начнем с того что на каждой странице 3-4 орфографические ошибки. Все подразделения, названные в каждом документе названы по-своему, причем не так как на предприятии.

Мало того, документы написаны настолько нечитабельным бюрократическим языком что через некоторые фразы приходится буквально продираться, чтобы понять, а что же все-таки имелось ввиду. Пропущены точки, запятые. Несколько предложений, разных по смыслу вообще объединены в одно.

Ну и не пересматривает документы никто по многу лет.

Мне непонятно. Каждый документ проходит согласование минимум у 3-4 лиц

Не читают!!!

А интеграторы или кто там пишет подобные документы – не умеют писать, да и содрать толком не умеют.

Вывод? А вывод прост. Документы написаны для галочки. По ним просто никто не работает, прежде всего потому что работать по ним просто невозможно. Итог? Документы лежат сами по себе, работаем сами по себе. Кого обманываем? Себя!