суббота, 4 апреля 2020 г.

Вопросы к Zoom!

Популярная платформа для видеоконференций Zoom привлекает пользователей своей актуальностью и раскрученностью, а специалистов по защите информации ─ отсутствием безопасности.







четверг, 2 апреля 2020 г.

Новаторство Windows. Особое мнение

Презентации Microsoft, где они представляют "Прорывные технологии (с)" вызывают все больше и больше недоумения. Подобно Apple, рассказывающей в 1984 о графическом окружении и координатном устройстве "мышь". Напомню, что они были применены еще в 1973 году в компьютере Xerox Alto. Редмондские "новаторы" показывают решения, которые годами существуют на рынке. Так было с несколькими рабочими столами, установкой системы с серверов, выпуском Insider-preview сборок. Этот подход, когда достижения внутри своей экосистемы выдаются за достижения в мировой отрасли, вводит пользователей в заблуждение, заставляя их думать, что ничего подобного больше нигде нет.
"А что прорывного может предложить остальной рынок?" - спросите вы. Oracle представляет proof of concept операционной системы, которая не требует от пользователя рутинных задач по обновлению ПО, просмотра логов, настроек железа, ОС сама будет думать о проблемах безопасности и самообучаться.


Windows, на мой взгляд, растеряла дружелюбность к обычным пользователям в пост-седьмых версиях. И я говорю не об изменениях в интерфейсе, а о том, как много приходится думать о работоспособности системы. Меня лично не устраивает львиная доля настроек из коробки - везде приходится лезть руками. Настраивать показ расширений файлов, отказываться от установки приложений из магазина без моего ведома, корректировать расписание установки обновлений (для которых требуется перезагрузка). Если все оставить как есть, системой через год невозможно будет пользоваться ─ производительность упадет до нуля.


Чего только стоит фрагментация, ntfs только усугубила проблему с появлением файлов от 4 ГБ. Да, SSD решает эту проблему, но много компьютеров вы видели с SSD на 1 террабайт? Обдумайте эту мысль. Вспомните компьютеры под управлением XP, которые работают по 15 лет без переустановки ОС. Государственные учреждения очень богаты такими машинами.
Windows до сих пор представляет из себя нагромождение Legacy технологий: ядро NT морально устаревает именно из-за невозможности глобальных изменений. Поддержка новых технологий внедряется поверх старых, а не заменяет их. Я напомню, что Windows перестала запускать 16-битный код только с x64 XP, а DOS до сих пор существует в виде CMD.EXE, хоть и кастрирован.


На фоне всего этого Microsoft распускает штат тестировщиков, перекладывая усилия по обкатке свежего кода на плечи инсайдеров. Последние уже давно перестали ставить тестовые сборки на боевые системы. В итоге это кончается обновлениями, которые ломают производительность, безопасность, программное обеспечение.


Политика распространения только бинарных файлов тоже носит ряд неудобств. А ведь Red Hat доказала, что бизнесу очень важно иметь полный контроль над системой. Компании готовы платить за техническую поддержку и внедрение программ с открытым исходным кодом. Что делает Micrsoft? Открывает код двадцатипятилетней давности. Браво!


Windows не масштабируется ─ даже на телефонах не прижилась (хотя по большей части это заслуга маркетологов, а не технологий). Windows 10 IoT (Embedded) умерла не рождаясь, не видел ни одного серьезного упоминания о ней. Энтузиасты не спешат с нею разбираться.
GNU/Linux в этом плане можно собрать-пересобрать десятком способов. Вплоть до того, что ядро будет заточено под конкретный ПК. Или система без вопросов будет «заводиться» на системах 2000-2099 годов.


Windows должна стоять дома только для игр. И то до поры до времени. Ubuntu прекращают выпуск 32-битных сборок, но под давлением Valve не откажутся от запуска x32 приложений. Сервис цифровой дистрибуции Steam будет продолжать работать на одной из самых дружелюбных для новых пользователей Linux-based системе. Тот же Valve совместно с Wine не снижает темпов разработки проекта Proton, давая возможность запускать Windows-игры без эмуляции. А NVidia передает все больше документации по своим видеокартам в свободное ПО.
Меня огорчает мысль, что большинство Unix-like систем заточены под сервера, а Windows линейка ориентирована на предприятия. Да-да, многое из написанного выше не касается LTSC или серверных редакций ─ в корпоративной среде Windows чувствует себя прекрасно. Как администратор сети на два десятка устройств, я пользуюсь Active Directory и другими надстройками на Windows Server c великим удовольствием.
ChromeOS должна была выстрелить для домашних пользователей, но как и у Windows Mobile существует проблема нехватки софта. Устройства на MacOS неприлично дороги, там отсутствует само понятие "бюджетный сегмент".


А что в итоге? Компьютер включается, браузер открывается, игры играются ─ пользователь доволен. Когда все начинает тупить ─ переустанавливается система, покупается новое устройство.


Но никто не задумывается: «Что там под капотом?». Никто не хочет лучшего.

Константин, специалист ЦЗИ Шартрез

















Стопкоронавирус ─ Архангельск

Где читать новости о коронавирусе, чтобы не сойти с ума?


Изображение Christian Slater с сайта Pixabay 

В разгар пандемии новой коронавирусной инфекции важно выбирать источники, из которых Вы будете получать информацию, чтобы не быть дезинформированным и не пугать близких. С этой целью публикуем перечень сайтов, где можно брать проверенную информацию о вирусе и числе заболевших.

Социальная инженерия

Легко взломать компьютер, но еще легче "взломать" человека

Как ни странно, самым слабым звеном в защите любой системы является пользователь, ведь всем людям порой присущи некоторые слабости, чувства, которые может испытывать каждый человек: любопытство, торопливость, алчность, альтруизм или страх перед официальным учреждением т.д. Так злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. 
Основной задачей является получение доверия со стороны жертвы любыми способами, будь то интернет-мошенничество или же воздействие непосредственно на человека, например, личная встреча или разговор.
Существует несколько основных методов социальной инженерии:
  • кардинг (мошеннические действия, связанные с реквизитами банковских карт )
  • фишинг (рассылка вредоносных писем на электронную почту, либо направление человека на мошеннические сайты с целью завладевания вашими логинами и паролями от важных сайтов, аккаунтов, счетов в банке и т.д. )
  • фарминг (скрытое перенаправление пользователя на ложный IP адрес)
  • смс-атаки
  • взлом социальных сетей
  • психологические приемы
На практике очень много примеров психологического воздействия мошенников на других людей:
  1. Пример мошенничества в соц.сетях
  2. Десять примеров социальной инженерии
  • Социальному инженеру может потребоваться доступ на территорию компании/предприятия, и для этого он изучит, как устроен ваш пропускной режим.  Различная информация, такая как: расположение камер видео-наблюдения, количество и вид зоны общего доступа, есть ли возможность  пройти без проверки документов, какие люди являются более лояльными и сговорчивыми. Для проникновения на территорию могут быть использованы самые безобидные, на первый взгляд, предлоги. Социальный инженер может сказать, что ему стало плохо, срочно требуется посетить дамскую комнату, позвонить ребенку и т. д. Это может быть группа лиц, один из которых будет отвлекать вахтера.
  • Еще одно слабое место – приемная руководителя, где имеется возможность пообщаться с секретарем или же с посетителями, узнав при этом необходимую информацию, посмотреть, какие документы лежат на столе,
  • Представившись кандидатом на определенную должность, злоумышленник может начать разговор с другими сотрудниками и узнавать о структуре и деятельности предприятия, будущих должностных обязанностях, может свободно ходить по территории, изучать названия кабинетов. Таким образом создается более доверительное отношение к человеку, который является потенциальным коллегой.
  • Социальные инженеры разведывают информацию не только при личной встрече, они могут позвонить по телефону, представляясь специалистом технической поддержки/ сотрудником банка/ социологом т.д. и попытаться получить важные данные или обманом заставить сотрудника перейти по нужной ссылке, ввести пароль, скачать и запустить посторонний файл.

Что делать?

1) Определить информацию, уязвимую к атаке

Все сотрудники должны уметь классифицировать информацию по степени защищенности и понимать, раскрытие каких данных может причинить вред компании.

2)  Повысить компетентность в вопросах информационной безопасности

Сотрудникам компании необходимо знать, каким атакам может быть подвержена та или иная информация, как поступать в подобных ситуациях.

3) Ограничить права доступа к информационным системам

Доступ на копирование, скачивание, изменение информации должны иметь только те сотрудники, которым это необходимо для выполнения должностных обязанностей. В некоторых компаниях целесообразно запретить использование съемных носителей.

4) Подготовить инструкции по обмену информацией

Все должны иметь четкие инструкции о том, в каких условиях они могут раскрыть важную для компании информацию. В инструкции можно указать, какие сведения можно передавать службам техподдержки, представителям контролирующих органов и т. п.

5) Обновить антивирусное ПО до актуальной версии

Благодаря этому можно снизить процент уязвимости к массовым фишинговым атакам.

Небольшое, но интересное видео о том, как защититься от социальной инженерии.

Источники: