Лично/общественный дневник Эльдара Муртазина

То, что мы видим, зависит от того, куда мы смотрим.

Записи с тэгом security

История является правдой от начала до конца, никаких выдуманных элементов не содержит вовсе. Или что такое информационная безопасность, а точнее ее отсутствие в крупной компании. На днях был на мероприятии в крупной компании, где собрались журналисты из разных стран СНГ. Встреча состоялась в переговорке вне охраняемой зоны и проходных, но раздевались журналисты внутри и получили пропуска первоначально. Я позаимствовал пропуск у коллеги и никаких документов соотв. не показывал, коллега же уехал по делам. С этого момента внутри компании гулял Муртазин Э. которого можно было идентифицировать только внешне, по пропуску я был другим человеком.

Это первая брешь в "обороне" компании. Охрана слишком полагается на процедуру и не понимает, что человек может быть иным, а не таким как записано на его пропуске. И это сыграло определенную роль далее.

В большой переговорке рядом с кабинетами топ-менеджеров, мы собрались, чтобы пообщаться с ними. Я сидел тихо, так как   надо было дать возможность поговорить людям из стран СНГ, для них это нечастые визиты, это их время. После официальной части все разбрелись по углам, кто-то брал интервью, кто-то пил кофе я сидел около презентационного столика и листал сложенные там (забытые фактически) презентации. Несверстанный и неутвержденный бюджет компании (пара листов), презентация со всеми выкладками по одной уже известной услуге, уровень абонентской базы, планы и подключения и так далее. Аккуратная такая стопка. Можно было тут же сфотографировать все, но решил посмотреть, а не осталось ли файлов в умном пульте управления презентациями. (Не зря в свое время потратил около месяца на изучение этих пультов и их сервисных команд). В итоге выкачал все презентации в электронном виде, но решил похулиганить, чтобы посмотреть как работает служба безопасности.

Вернулся к столику, положил на стопку презентации два белых листика, написал что-то сверху и вот мои заметки готовы. Свернул их в трубочку и пошел. Это самая дурацкая часть всей затеи. Так как имея электронные версии выносить бумагу было не нужно, я хотел спровоцировать СБ, но не получилось. Можно было унести в туалет бумаги и там сфотографировать, после чего выбросить и про них никто бы не вспомнил. Но я решил публично ими махать, и делал это. Ноль реакции. Человек пришел без бумаг, уходит с ними.

Решил выбрать несколько сотрудников компании и показать им, что у меня в руках. По отдельности. В итоге перед выходом положил бумаги в журнал, чтобы они не выглядывали и отправился на выход. Один из сотрудников уведомил СБ, что Муртазин пытается что-то вынести. И я целиком одобряю такое поведение, это прописано в корпоративных правилах. Два других сотрудника поступили неправильно. Что случилось дальше? Вы думаете меня встречали на выходе и пытались что-то изъять? 

Не было ничего такого. Так как для СБ меня не существовало в тот момент. У них не был зарегистрирован Муртазин, я прошел по другому пропуску. А они блокировали выход Муртазина и не нашли его, не успели никак отреагировать. Но если бы даже успели. Вдруг.

То получилась бы неприятная история для них. Так как у меня ничего не нашли бы. Документы в журнале отправились в пакет одной из журналисток, которая сама предложила понести, так как мне неудобно. Вот и вся история. Служба безопасности показала себя во всей своей красе и беспомощности. Причем такой уровень, это просто детский сад, котторый показывает, что с более серьезными "утечками" СБ бороться просто неспособна. Фактически, у нее нет нужного объема знаний и умений. Это я ответственно заявляю, учитывая мое дело, которое за годы распухло до невозможности, но так и не привело даже к близкому пониманию каналов поступления информации.

К сожалению, примерно в таком же ключе безопасность работает в большинстве компаний.

X-post уж больно понравилось :) взято у

Понравилась в центральном офисе Билайна в переговорной табличка. Наверное, это директор по безопасности Владислав Терехин придумал.

Ну, полистал я эти материалы. Ничего интересного. Какие-то цифры — сколько предложить денег за это, сколько за это…Полная фигня, короче.

Существует вот такой ресурс http://wikileaks.org/
На нем собирают различные "утечки" информации по всему миру. Иногда они бывают интересны, в большей части вызывают улыбку, так как не являются чем-то сверхъестественным. Этот ресурс интересен тем, что впервые кто-то попытался пубично и централизованно предлагать такую информацию. С 60-х годов прошлого века существуют информационные брокеры, люди, которые предлагают продажу технических секретов разных компаний, государств. Тема настолько деликатная, что пока даже голливудские режиссеры до нее не добрались. Услугами информационных брокеров зачастую пользуются государства, так как их структуры менее эффективны, либо не всегда способны достать требуемое. Не секрет и то, что брокеры это выходцы из соответствующих служб разных государств, они работают в знакомой области, но только на себя.
А этот проект, ссылка на который дана, настоящий детский сад. На мой вкус.

В рамках происходящего с Женей Чичваркиным, решили отправить анонимку разным журналистам с выдержкой из разных газет о происходящем в управлении К. Понятное дело, что доверие к анонимкам примерно такое же, как к надписям на стене. Понятно, что никто публиковать нечто подобное не будет, пришедшее с ящика на Yandex.ru (раньше анонимки рассылали с mail.ru, теперь отчего-то брезгуют или что-то знают, затрудняюсь определить). Текст письма интереса не представляет никакого, так попытка освежить в памяти происходящее. Возможно, привлечь внимание журналистов к последующим событиям, если такие последуют, а подобной нехитрой запиской, подготовить к этому событию. Вариантов быть может много.

А теперь позвольте провести информационный ликбез по безопасности. Из лучших побуждений, так как засекретившиеся отправители, вовсе не такие секретные, как им кажется. В вашем материале находится куча зацепок, по которым вас найдут и четко укажут, кем вы являетесь.

Итак, начнем с банального. Адреса рассылки журналистов. Его даже не убрали в поле BCC, все висело в строке CC. Мне понадобилось ровно 5 минут поиска по базе рассылок, чтобы найти кто придерживается ровно такого же порядка адресов и у кого есть настолько специфичные адреса ряда людей. Промах и огромный. Но даже спрячь вы все это внутри, вас можно было бы найти по служебным заголовкам в MS Word (это не те поля, которые вы старательно удалили в режиме Свойства документа).

Неужели играя в такие игры, можно делать такие банальные ошибки. Вот оно тотальное отсутствие компьютерной грамотности (не обижайтесь ребята, но вы дали маху).

У меня давно собран материал для книги по информационной безопасности, все с конкретными примерами. Но руки не доходили никак засесть и начать писать. Это эссе (перед вами только начало, первые пять страничек из пятнадцати написанных), родилось после обсуждения вопросов безопасности с приятным собеседником. В отличие от фокусников, я никогда не использую одни и те же трюки два раза, поэтому не вижу проблемы в том, чтобы рассказать о многих подводных камнях в информационной безопасности для компаний. Там будет еще одно предисловие, но так получилось. И еще один вопрос к читателям никак не связанным с подобными вещами, обычным людям. Вам подобные тексты интересны, кухня такого рода?

Идея поднять тематику информационной безопасности созрела у меня давно, а толчком послужило обсуждение «утечки» информации, с одним из людей, отвечающих за ее сохранность в крупной мировой компании. Так сложились обстоятельства, что работа журналиста, аналитика, невозможна без глубокого понимания процессов происходящих внутри каждой компании, не только внешних событий, но и внутренней кухни. Журналист, это всегда человек, который находится по другую сторону баррикад, как правило, не несет никаких обязательств перед компаниями. И поэтому, вся информация, которую он находит, может стать доступной публично. Пока журналисты еще не в полной мере освоили существующий парк технических решений, для сбора и обработки доступной в свободных источниках информации, но это вопрос времени. Наверное, поэтому компаниям необходимо приготовиться к утечкам информации и тому, что они начнут приобретать массовый характер. В этом эссе, которое позднее мы переведем на английский для обсуждения с участниками этого рынка, как журналистами, так и «защищающейся» стороной, я затрону только некоторые темы. Можете считать его вводной частью, расставляющей акценты, в зависимости от того, будет ли обсуждение активным или нет, появятся другие очерки, а возможно их не будет вовсе. Пока для меня это тайна, также как и для вас. Но давайте отойдем от предисловия и перейдем к сути вопроса.

Стеклянный дом. Эссе об информационной безопасности компаний

Мой друг никогда не выходит на работу в воскресенье. Совсем. Но тем не менее, вчера он мне прислал ссылку, на вопросы что это такое не отвечал и замолк. Звонить ему не стал, но по ссылке прошелся. 

http://pelingator.ru/pages/1

Замечательный, фантастический сайт. Раздает возможность находить любого человека по телефону, определяет его координаты. Удаленно и бесплатно. Правда программу надо загрузить и поставить. Но главное, что она полна троянов, а координаты никакие не определяет и никогда этого не умела. ОЧередной развод. Не верьте в сказки и будьте осторожны — это вирусы. 

Любопытно, что сайт который существует несколько лет, сорри программа несколько лет, а вот сайт зарегистрирован только что. 
Как вы понимаете, номера указанные на сайте фальшивы. 

Марат проверь компьютер на вирусы. А всем остальным советую быть осторожными и не вестись на сказочные предложения.

Powered by WordPress Web Design by SRS Solutions © 2019 Лично/общественный дневник Эльдара Муртазина Design by SRS Solutions