Omert - Руководство по компьютерной безопасности и защите информации для больших боссов
         

КЛАДЁМ ЕЁ НА СОХРАНЕНИЕ


Теперь обсудим крайне важный вопрос — сохранение (архивирование) информации. Собственно, это и краеугольный камень в деле информационной безопасности, и основа основ защиты данных, и ещё всё что угодно самое важное, главное и первейшее.

Почему вдруг такой пафос пошел, спросишь ты. Да потому что, отвечу я, твёрдо и строго глядя тебе прямо в глаза, что без бэкапа (от английского backup — дублировать, резервировать) сегодня вообще никуда. Это в старые времена, когда информация записывалась с помощью долота и молотка на куске мраморной плиты, ещё можно было не парить себе мозги созданием второй такой плиты — для надёжности. Потому что плита, как ты понимаешь, никуда пропасть не могла, да и случайно повредить её могло только стадо слонов, которые водятся далеко не везде. Нынче же, в эпоху сплошной «цифры», применяемой для записи данных, информация стала в известной степени эфемерной. В том смысле, что устройства её хранения — достаточно ненадёжны.

Почему ненадёжны? По технологии! Внутри жёсткого диска — стальные или керамические пластины, на которых информация записывается путем намагничивания/перемагничивания определённых участков. Над пластинами парят считывающие головки. Если ты компьютер случайно тряхнёшь в процессе работы, головка «чиркнет» по поверхности пластины и может повредить информацию. В особо суровых случаях жёсткий диск может помереть целиком — по самым разнообразным причинам, к которым относятся всё те же скачки электричества, уборщицы со швабрами, крутобёдрые секретарши (своими глазами видел, как одна такая цыпочка бедром сверзила компьютер начальника со стола... ух, он ей потом ночью задал... как я предполагаю...), неаккуратные работники, падающие люстры и так далее и тому подобное.

Это, так сказать, потеря информации, произошедшая по чисто физическим причинам. Что интересно, информация может теряться чисто логически, то есть без физических воздействий. Например, всё пожрал подлый вирус. Или ты шаловливыми ручонками поковырялся на компьютере и случайно там всё грохнул (такое тоже бывает, причем нередко).
Или ещё кто- то поковырялся. Жёсткий диск при этом не поврежден, он чувствует себя великолепно, а информация на нём накрылась очень своеобразным местом...

Что делать, как спастись? Без архивирования — никак не спастись. Нужно чётко понимать, что информация на компьютере может грохнуться в любой, причем самый неподходящий момент! (Честно говоря, всю жизнь пытаюсь стать свидетелем ситуации, когда информация грохнется в подходящий момент... Увы, пока ничего не получается, хотя подобные попытки я предпринимаю уже лет двадцать.) Поэтому у тебя (твоих работников) всегда должна быть копия всей информации, причем копии по возможности свежая, то есть не позже, чем суточной давности.

Как этого добиться? На самом деле — это совершенно не сложно! Нужно всего-навсего каждый день производить архивирование данных — то есть сохранение их на какой-то другой носитель!

Ежедневное архивирование значительно облегчают следующие факторы:

1. В процессе занесения данных в архив они сжимаются, поэтому архивная копия почти всегда значительно меньше оригинала.

2. Существуют способы занесения в архив только изменённой информации, а не всего комплекта файлов. То есть если в архиве есть точно такой же файл, повторно в архив Off не заносится.

3. Процесс архивирования почти всегда можно полностью автоматизировать, и он не требует присутствия человека.

Чисто физически это выглядит следующим образом... На компьютере админа (или прямо на сервере) ночью по заранее заданному расписанию запускается некая программа, которая и производит все нужные действия: сначала проверяет все файлы аттивирусом, затем отслеживает, какие именно файлы добавились или изменились со времени прошлого архивирования, после чего добавляет или обновляет их в архиве, попутно сжимая и при необходимости зашифровывая. Сам архив при этом располагается с а другом жёстком диске (для надёжности), а кроме того, дублируется на так называемый внешний носитель: стример, ZIP­drive, компакт-диск, DVD, flash-drive (маленький накопитель-брелок, подключаемый через USB-пopт) или ещё что-нибудь.


Какое именно устройство предпочесть — зависит от объёмов информации. Если объём архивов небольшой, то будет вполне достаточно компакт-дисков, DVD-дисков или flash-drive. Если же объёмы архивов получаются весьма солидные, то для их сохранения используют стримеры (современные устройства могут записывать до 130 гигабайт, что по объёму эквивалентно 28 DVD-дискам или 186 компакт-дискам).

Во многих продвинутых фирмах (точнее, там, где работают достаточно грамотные админы) архивы каждый день записываются на компакт диск (или DVD, если архивы очень ёмкие). Как только диск заполняется, он отправляется на хранение (желательно держать эти диски не в помещении офиса), и архивы пишут на следующую болванку Если учесть современный уровень цен на CD- и DVD-болванки (полдоллара и дна доллара соответственно), то даже для вполне скромной фирмы расход в 50-60 долларов в месяц не составит серьёзной проблемы, а гарантии сохранности информации при этом повышаются во много раз, потому что у админа таким образом скапливается множество копий архивов.

Кроме того, совершенно необязательно каждый день писать на болванку весь архив. Достаточно полный архив. записывать на болванку раз н неделю, а каждый день скидывать на компакт только появившиеся обновления, которые, как правило, много места не занимают.

Ну и последний момент, на который обязательно нужно обратить внимание. Ни в коем случае и ни под каким видом не следует сбрасывать информацию в архив в открытом виде. Наоборот, в архиве всё должно храниться в максимально защищенной форме! Как минимум — архивирование со сложным паролем, но по-хорошему перед записью в архив информацию нужно шифровать, а не просто архивировать с паролем. (Шифрованию посвящена отдельная глава этой книги.)



Что толку если информация на сервере надежно защищена, а архив при этом полностью открыт? Это не защита получается, а полное безобразие!


КОЛПАК СТАРИНЫ МЮЛЛЕРА


Раз уж мы затронули тему личной жизни сотрудников в твоем офисе, вполне имеет смысл поговорить о том, как именно лёгкое нарушение их личной жизни может вполне благотворно влиять на безопасность всей фирмы.

Тебе нужно контролировать каждого сотрудника — это аксиома. Не грубо и даже не зримо. Простая дружеская проверка, как говаривал старина Мюллер, а этот человек понимал толк в подобных вещах.

He нужно устанавливать камеры наблюдения во всех комнатах — это очень сильно деморализует сотрудников. В конце концов, это уже действительно privacy — может, женщинам нyжно поправить модные трусики, впившиеся в попку, а мужикам хочется после обеда положить щеку на монитор и поспать пять минут, иначе он не человек. Они не хотят, чтобы ты это видел, — имеют право. Тебе и не нужно это видеть. А вот что творится на их компьютерах — видеть не просто нужно, но и необходимо!

Как это сделать? Административными методами. Точнее, методами компьютерного администрирования. Твой админ должен на каждый персональный компьютер поставить маленькую программку-шпиона, которая просто-напросто будет записывать все действия сотрудника: когда он включил компьютер, когда выключил, какие программы запускал, какие действия с файлами производил. Всё это аккуратненько пишется в обычный отчёт на сервере, который в любой момент могyт проанализировать админ, ты или специальный человек, занимающийся безопасностью. Уверяю тебя, что пытливому глазу в отчёте будет видно абсолютно всё, чем сотрудник занимается на работе. И если пяти-десятикратный запуск Lines или Solitaire вполне можно проигнорировать — в конце концов, все мы люди и, раз сотрудник нормально работает, почему бы не простить ему эти маленькие слабости, — то если вдруг в отчёте обнаружится запуск посторонней копии PGP или будет видно, что сотрудник создает некие документы в локальных папках, а также работает с локальным почтовым ящиком — это уже повод аккуратно покопаться в его компьютере и посмотреть, не завелась ли в офисе крыса.

Ну и конечно, админ, налаживая компьютер каждого пользователя, должен предусмотреть возможность входа в этот компьютер с полными правами доступа. А пользователь не должен иметь админских прав на своём собственном компьютере.

Вроде бы это звучит как само собой разумеющееся, но я неоднократно встречался с ситуацией, когда нужно было покопаться в компьютере крысы и выяснялось, что у этого сотрудника был админский вход, благодаря которому он сменил все пароли и достаточно надежно закрыл свой жёсткий диск от посторонних. Я-то с такими вещами справляться умею, но местные админы были в некоторой растерянности. На вопрос, какого чёрта они оставили пользователю админские привилегии, эти деятели лепетали, что, дескать, у них­то самих оставался админский вход. Как будто было сложно предположить заранее подобную ситуацию: пользователь с админским входом возьмет да и поменяет пароли других админских входов. Детский сад, трусы на лямках, но тем не менее это было неоднократно.



КОМПЬЮТЕРНАЯ ЗАРАЗА


О вирусах журналистами понаписано столько всякого бреда, что обычным пользователям, вроде тебя (да я знаю, знаю, что ты крупный бизнесмен! Но я же говорю сейчас не о бизнесе, а об уровне владения компьютером. у тебя он как раз самый обычный, в отличие от твоего социального и финансового статуса), довольно трудно отличить выдумку от реальности.

Я, читая статьи во всяких популярных и бульварных журналах, иногда просто плачу весь, до того это классно написано и до того это всё не имеет ни малейшего отношения к реальности.

Дошло уже до того, что пользователи скоро будут бояться включать монитор, чтобы подлый вирус не скакнул им прямо в зрачок, и начнут натягивать презервативы на жёсткие диски — чтобы «защититься от вирусов». Чтобы искоренить, разруху в головах, давай всё-таки разберёмся с этим вопросом раз и навсегда... Итак, изначально вирус — это некая специализированная программа. Программа, написанная человеком. (Хотя правильнее его было бы назвать паршивым ублюдком, недостойным называться гордым именем «человек», однако учитывая тот факт, что «человек» уже давно не звучит гордо и даже просто впечатляюще, я постараюсь воздержаться от сильных эмоций и буду оперировать только фактами.) Подчёркиваю, именно программа и более ничего! Другое дело, что обычные программы наделены своими создателями созидательными функциями: они помогают набирать текст, производить вычисления, рисовать картинки, развлекаться и так далее. Программы же вирусы наделены различными деструктивными функциями.

Самая первая задача, решаемая программой-вирусом (в отличие от обычной программы) — как можно более быстрое воспроизводство (создание копий) самой себя! Текстовому редактору электронной таблице или почтовому клиенту и в голову не придет размножаться, правильно! И зачем им? Наоборот, пользователи за каждую копию этих программ платит деньги.

С вирусами — всё не так Эти программы размножаются в диких количествах, причем денег с пользователя при этом никто не требует. (вздыхая) Уж лучше бы требовали...


Размножение вируса (я буду писать сокращенно «вирус» вместо «программа-вирус», но теперь ты уже не запутаешься, правильно?) происходит следующим образом... Он ищет какую-нибудь часто используемую программу, после чего внедряется в неё: прицепляется к ней, грубо говоря, хвостом, после чего при запуске программы управление сначала переходит к вирус, а потом уже он передает его программе (чтобы пользователь ни о чём не догадался).

Как это вообразить с чисто практической точки зрения? Да в общем, можно провести аналогию с обычным биологическим вирусом (собственно, поэтому компьютерные программы подобного типа и получили подобное название). Предположим, вы отправились на работу. Там поцеловались с секретаршей, а она, как потом выяснилось, была заражена! (Да гриппом, гриппом, не нужно так волноваться.) Вечером ты приходишь домой, целуешься с женой, передавая таким образом грипп дальше по цепочке. Как поступит этот грипп? А чёрт его знает. Может, так и сгинет в дебрях ваших организмов. А может, и проявится в полном блеске в виде кашлечикания, соплезаливания, головаболения и высокотемпературия.

С компьютером — всё то же самое. Вирус, прицепившийся к какой-то выполняемой программе (с этого момента он уже существует не как самостоятельная программа, а как «хвост» ), при каждом запyске этой программы пользователем сначала старательно размножается, то есть цепляет свои копии к другим программам, и эти копии занимаются таким же паскудным целом — размножаются. Какое-то время копии вируса только размножаются, но никак себя не проявляют — аналог латентного периода обычного биологического вируса. При этом, в зависимости от механизма распространения, вирус может размножаться не только на локальном компьютере, но и по локальной, а также Всемирной сети (Интернету). Полный аналог — поездки людей, заражённых гриппом, в общественном транспорте. Стоит гриппознику чихнуть в вагоне метро в часы пик — десятки людей окажутся заражёнными.

По окончании латентного периода вирус, как правило, переходит к боевым действиям.Каким? А это у всех вирусов по-разному И если действие биологического вируса зависит от извращённой фантазии матушки-природы, то действие компьютерного вируса целиком и полностью зависит от не менее извращённой фантазии его разработчика.

Ну и так как эта фантазия может принимать самые причудливые формы, то действия вируса также могут быть весьма и весьма различны. Классифицировать их можно примерно следующим образом:


КОРПОРАТИВНЫЙ СПОСОБ


Собственно, тут всё очень просто. Мы предполагаем, что в твоей корпорации (фирме, концерне, конторе) есть собственный почтовый сервер, потому что его не может не быть в современных условиях. После этого от твоего админа требуется установить на этот почтовый сервер какую-нибудь фильтрующую систему поэффективнее. Ну да, она стоит денег, но вовсе не смертельных, уверяю тебя.

Работает такой фильтр следующим образом... Он проверяет всю входящую корпоративную почту и помечает ее специальными скрытыми значками: спам, вероятный спам и не спам. При этом фильтр примерно раз в час через Интернет опрашивает сайт разработчиков, чтобы пополнить свою распознавательную базу — получает новые образцы, оповещения о видах сегодняшних массовых рассылок и так далее. то есть следит за актуальностью своих механизмов отслеживания (практически так же, как и антивирус).

Что делать с письмами, помеченными как спам, — зависит от политики конторы. Если у фильтра почти не бывает ложных срабатываний, тогда убивать эти письма к чёртовой матери. Но обычно рекомендуется не убивать письма, помеченные как спам, а всё-таки складывать их в специальную папочку — чтобы, как я уже говорил, при необходимости иметь возможность поискать там долгожданное письмо.



Крайне желательно, чтобы у фирмы был свой собственный почтовый сервер, находящийся в её стенах


Что это такое? Нечто вроде полностью подконтрольного собственного почтового отделения.

В большинстве фирм руководство (точнее, админы) предпочитает не морочить себе голову созданием и сопровождением почтового сервера, поэтому сотрудники используют в лучшем случае ящики, полученные на каких-то платных почтовых серверах, а в худшем (правильнее сказать — в обычном) случае — ящики на бесплатных серверах вроде Mail.ru, Hotmail.com и так далее.

Мне нередко приходилось встречать адреса вида @mail.ru даже у по-настоящему Больших Боссов и сотрудников их контор. Выглядит это настолько дико, что даже трудно передать. Ну, примерно как если бы крутой начальник ездил на в дупель раздолбанном «3апорожце». (Что, в отличие от публичного сервиса, можно списать на эксцентричность.)

Мы уже говорили о том, что ящики на бесплатных почтовых серверах не имеют никакого отношения ни к надежности, ни к безопасности. Заводить их для корпоративной почты — верх беспечности, читай — идиотизма.

Чуть менее беспечный вариант — почтовые ящики на платном сервисе. Тут хоть перед пользователями отвечают за сохранность писем, однако когда почта фирмы обрабатывается на серверах посторонних людей... В общем, нехорошо это. Однозначно, нехорошо.

Третий вариант — сделать собственный почтовый сервер на компьютере хостинг-провайдера. В этом случае почта хранится не в стенах офиса, что плохо, потому что ты при этом не можешь контролировать, что именно происходит с сервером провайдера, однако управление ею находится полностью в руках твоего админа, что уже хорошо (по сравнению с вышеперечисленными вариантами).

Ну и самый правильный вариант, вынесенный в постулат, — это собственный почтовый сервер, находящийся в помещении твоей фирмы. При этом вся корпоративная почта обрабатывается (фильтруется, проверяется, раскла­дывается по ящикам) именно на твоём сервере и ты (твой админ) полностью контролируешь весь процесс. Я бы даже сказал, что это не наиболее правильный, а единственно правильный вариант, если говорить хоть о какой-то безопасности корпоративной почты.



КРАЖА СО ВЗЛОМОМ


Следующий вид уязвимости через Интернет — прямые попытки проникновения на твой компьютер. Каким образом это делается? Бородатый злоумышпенник в бандане и базукой за плечами лезет через окно, а потом вскрывает компьютер таким мa-а-а-а-а-аленьким ножичком, причем двадцать семь раз? Ну, бывает и такое, но есть чисто компьютерные методы проникновения — так сказать, изнутри, через Сеть. Как в компьютер можно проникнуть из Сети? Через так называемые порты. Представить это себе достаточно несложно, потому что компьютерные порты мало чем отличаются от, например, морских или воздушных. В обычной жизни злоумышленники проникают в страну через морские или авиационные порты, используя различные средства маскировки, а также подкуп должностных лиц. С компьютером — всё то же самое. Через порты, предназначенные для общения с сетью (внешне эти порты не видны, для простоты будем считать, что они запрятаны внутри компьютера), злоумышленники могут осуществлять незаконное проникновение — с помощью программ. Схема их действий при этом мало чем отличается от схемы действий троянов: злоумышленник через порт засовывает троян, тот каким-то образом получает управление (самостоятельно или с помощью самого пользователя), после чего начинает делать своё чёрное дело — распространяется, вредоносит, злоумышленнит, шпионит и так далее.

Проблема в том, что если проникновение осуществлено и троян внедрён, то дальнейшее развитие событий предсказать довольно сложно, потому что всё зависит от того, какого вида троян хулиганит на твоем компьютере и с какой целью он запущен. Цели могут быть достаточно разнообразные:



КТО АВТОР ЭТОЙ КНИГИ


Меня зовут Карл Абрахам Шкафиц. Я — эксперт-консультант по информа­ционной безопасности. Тебя не должно волновать, где я родился и где в настоящий момент проживаю, потому что где я родился — там меня уже нет, а живу я в совершенно различных уголках этой планеты, так как мои услуги требуются в очень многих странах.

Зачем и для кого я написал эту книгу? Для таких парней, как ты — менеджеров среднего и высшего звена, а также для Больших Боссов (ты именно такой, не так ли?). Ведь для так называемых специалистов по безопасности есть масса всевозможных книг, учебников и пособий. Тебе эти пособия читать совершенно бессмысленно, потому что понятным там будет один термин из десяти, если не из ста. Но это не страшно. Ведь они написаны вовсе не для тебя, и ты их понимать не должен.

Страшно другое. Страшно то, что подавляющее большинство этих «специалистов», читая пособия по безопасности, сами понимают дай бог три слова из двадцати. Но они приходят к тебе на работу и ты доверяешь им самое ценное, что у тебя есть — защиту информации. И этот shit тeбe обеспечивает «зashitу». Ненадолго. До первого поворота в твоей судьбе, когда твоим компьютером, электронной почтой, наладонником и SMS заинтересуются вовсе не из праздного интереса.

Уверяю тебя, мне по роду деятельности приходилось и приходится довольно много сталкиваться с различными фирмами, конторами, концернами и предприятиями. А точнее, с тем, как там все организовано. Я теперь редко занимаюсь непосредственно организацией информационной безопасности — уже вышел из этого возраста. Меня приглашают в качестве эксперта — оценить ситуацию и обрисовать её боссам.

И знаешь, что самое интересное? В девяти случаях из десяти складывалось впечатление, что эти ребята платили мне сумасшедшие деньги только для того, чтобы услышать нечто вроде: «Да ты что, старичок, у тебя на фирме всё в порядке! Всё классно, старичок, спи спокойно!» И когда я им начинал по пунктам перечислять, какой ужас с безопасностью творится у них в конторе, они делали кислую мину и говорили: «Карл, старина, ты, конечно, эксперт и все такое, но нам кажется, что ты преувеличиваешь»...
Я преувеличиваю! А за что, мать вашу, я получаю такие деньги? За то чтобы говорить комплименты о том, как у них всё классно?

Ты и к пластическому хирургу придёшь на дорогостоящую консультацию только для того, чтобы услышать: «Да ты что, старичок, ты и так прекрасно выглядишь...»? И пойдёшь от него в туманную даль, надуваясь от счастья, сохранив при себе всё своё, родное: огромное пузо, набрякшие мешки под глазами, отвисшую задницу и бёдра, размером с подушку-думку...

Конечно, безопасность информации — так же, как и внешний вид — это твоё личное дело. Но тогда какого чёрта ты платишь деньги экспертам? Какого чёрта ты платишь эти деньги мне? Собаки-ищейки едят свой сахар вовсе не для того, чтобы восторженно прогавкать хозяину: «Шеф, гав-гав, всё в порядке, гав-гав, искать нечего, гав-гав, злоумышленника в природе не существует, хвала собачьему богу!» Нет, они просто идут по следу, опустив нос до самой земли, не обращая внимания на то, что там валяется, чтобы в конце концов найти ублюдка, схватить его острыми клыками за задницу и доставить хозяину.

Я — та же ищейка. Я не говорю комплименты, не обращаю внимания на то, в какое дерьмо мне приходится влезать во время работы, но свой солидный кусок сахара я ем не зря. Однако мои выводы и мои рекомендации направлены именно ТЕБЕ, менеджеру, боссу или чёрт знает какой крутотени. Потому что если я нашел это всё — значит, ты совершенно напрасно платишь деньги своим «спецам пo безопасности». Значит, они и термин «безопасность» - совершенно несовместимы друг с другом.


Любой доступ к корпоративной почте извне должен быть или запрещён, или сделан безопасным


Нередко бывают случаи, когда работникам (да и тебе самому) нужно иметь доступ к корпоративной почте извне — через веб-интерфейс или, например, через GPRS сотового телефона (наладонного компьютера). Если такой достуn действительно необходим, его нужно предоставлять с соблюдением всех мер предосторожности.

Существуют специальные методы (программы) безопасного доступа к почте и к компьютеру через веб-интерфейс. Кроме того, разработано весьма эффективное решение по безопасному доступу через мобильную связь с GPRS. (Я имею в виду технологию Blackberry.)



Логин и пароль плюс карточка уникальных ключей


Для получения информации о счете достаточно ввести просто логин и пароль. Однако для проведения любой операции необходимо также ввести уникальный код, который добывается путем стирания защитного слоя со специальной пластиковой карточки, которая выдается банком. Таких кодов на ней — штук сто, так что карточки хватает надолго. Идея защиты в том, что даже если злоумышленник каким-то образом похитит твои логин с паролем, то без этой (именно данной конкретной) карточки он ничего сделать не сможет.

Это уже значительно более серьёзный вид защиты, чем просто логин с паролем.



Логин, пароль и проверка электронного ключа


Данный способ позволяет привязать выполнение каких-то операций со счётом к конкретному электронному ключу, дополнительно защищённому паролем. Пpи этом используется технология асимметричных ключей, о которых мы уже говорили в разделе, посвященному шифрованную.

Работает это следующим образом... В банке тебе выдают специальное программное обеспечение. Ты его устанавливаешь на свой компьютер и при первом запуске создаешь пару ключей — публичный и секретный. Публичный ключ отправляется программой через Интернет в банк и отныне будет служить для твоей чёткой идентификации, а секретный ключ хранится на твоём компьютере (или любом внешнем накопителе, вроде дискеты, смарт-карты или flash-drive) и служит для подтверждения любых действий.

Таким образом, получается уже многоуровневая система защиты. Потому что для манипуляций со счётом тебе нужно будет произвести следующие виды действий:

а) Запустить программу, полученную в банке;

б) Программа должна найти пару ключей (публичный и секретный);

в) Пы должен ввести свой пароль для работы с ключами;

г) После этого ты заходишь на сайт, где банковский сервер сверяет твой публичный ключ, хранящийся на сервере, с публичным ключом, предъявляемым программой с твоего компьютера;

д) Далее ты вводишь обычные логин и пароль

е) Перед совершением любого действия программа снова делает сверку ключей и требует ввода пароля для секретного ключа.

В общем, граница на замке. Ведь чтобы вскрыть эту защиту злоумышленнику нужно: знать твои логин с паролем на доступ к счёту, иметь программу, которую выдают в банке, получить оба твои ключа, знать пароль т» секретному ключу. Это уже практически нереально.



МАЛО УНИЧТОЖИТЬ! НУЖНО ЕЩЁ И ЛИКВИДИРОВАТЬ ТРУП!


He нужно пугаться, речь идет всего-навсего об уничтожении документов. Далеко не все знают, что когда ты удаляешь на диске некий документ, отмечая его и нажимая клавишу Delete, физически он не уничтожается. Файл перемещается в так называемую Корзину, откуда его можно восстановить в мгновение ока. Так это это вообще не уничтожение, а всё равно что документ аккуратно положить в корзину, стоящую рядом со столом, — бери кто хочет!

Можно, конечно, уничтожать документ с нажатым Shift — тогда он удаляется, не попадая в Корзину, и обычными средствами до него уже не добраться. Однако следует иметь в виду; что даже в этом слyчае документ физически вовсе не уничтожается. Операционная система работает таким образом, что когда ей поступает обычная команда на удаление, она, грубо говоря, меняет первый символ имени на специальный значок и считает, что место на диске, на котором размещён данный файл (документ), можно занимать. Это как в случае, когда жильцам отказали от съёмной квартиры: они там ещё находятся, собирая вещи, но как только появятся новые жильцы — старых из квартиры выставят.

То же самое происходит с «удалённым» файлом. И основная проблема заключается в том, что пока на его место не вселились новые жильцы (то есть файлы), «удалённый» файл можно восстановить, воспользовавшись для этого весьма несложной программкой. Причём, что характерно, находиться в состоянии, при котором его ещё можно восстановить, файл может очень и очень долго — дни, недели и даже месяцы.

Известны случаи, когда к злоумышленникам попадали пустые дискеты из офиса, и на этих дискетах при глубинном просмотре обнаруживались крайне интересные».удалённые» файлы.

Таким образом, следует разделять просто удаление (фактически — скрытие) и безопасное удаление файлов. При безопасном удалении файл не просто скрывается, а сначала намеренно портится (например, забивается нулями от начала и до конца), после чего удаляется обычным образом. Теперь при восстановлении злоумышленник дырку от бублика получит, а не информацию. Чем делается безопасное удаление? Специальными, но вполне несложными программами, называемыми «вайперами» (от английского слова wipe — уничтожение) или шредерами (по характеру действия это, собственно, и есть шредер для электронных документов). Например, одна из таких программ под названием WipeInfo входит в весьма популярный комплект Поrton Utilities (Поrton SystemWorks).



Минимальный уровень


Дорожная сумка, кодовый замок на ящике с порнушкой, доступ к телефонным счетам, обычные трепологические интернет-форумы — в общем, всё то, доступ к чему посторонних не вызовет больших проблем.



Может вступать в конфликты с различными программами


Что за конфликты? на почве расовой неприязни? Ну да, что-то в этом роде. Иногда антивирусный монитор считает вирусом совершенно безвредную, а нередко и весьма полезную программу (например, другой антивирус). Кроме того, мониторы иногда вступают в различные противоречия с системными программами, программами шифрования данных или разграничения доступа.



НА СТРАЖЕ ПОЧТОВОГО ЯЩИКА


Давай теперь поговорим о том, что такое действительно защищённый почтовый ящик, а что такое письмо от Пети к Васе, доступное Маше. Электронной почтой пользуются двумя способами: через так называемый веб-интерфейс и с помощью так называемого почтового клиента. Веб-интерфейс — это когда для работы с почтой ты заходишь на сайт почтового сервиса (Mail.ru, Mail.Yandex.ru, GMail.com и Hotmail.com, например), вводишь имя ящика и пароль, после чего работаешь с почтой прямо там, на сайте. Почта при этом также хранится на сайте.

С одной стороны, твой почтовый ящик типа как защищён паролем. Но я не зря употребил выражение «типа как». Потому что это именно «типа как защищён». Обычная парольная защита почты напоминает турецкий дверной замок: хвалёные «двести тысяч степеней защиты» вскрываются с помощью пластинки жвачки и обычной отвёртки, а кроме того, ключи от одних таких замков нередко подходят к другим.

Является ли этот способ действительно безопасным? Нет, нет, ещё раз нет и сто тысяч раз нет! Это чистые письма от Пети к Васе, доступные Маше и ещё десятку миллионов всех желающих! Секьюрностью там не пахнет даже на гомеопатическом уровне! И вовсе не потому, что владельцы сервиса при необходимости могут получить доступ к твоей почте (хотя и это тоже). И не только потому, что соответствующие ребята ОТКУДА НАДО также мгновенно могут получить доступ к твоей почте. (Доподлинно это, скажем так, неизвестно, но ходили небезосновательные слухи о том, что всех провайдеров обязали выдать соответствующим специальным службам так называемый универсальный логин­пароль, открывающий доступ к любому ящику. Разумеется, это всё должно производиться с санкции прокурора и всё такое, но вряд ли тебя утешит тот факт, что у них была санкция прокурора. И не обрадует тот факт, что никакой санкции не было.)

Основная прореха в безопасности в данном случае заключается в том, что вся твоя почта хранится на чужом сервере. Причем в данном случае неважно, используешь ли ты сервис бесплатных почтовых ящиков или оплаченную услугу какого-нибудь провайдера.
Чужая душа — потёмки! Чужой сервер — чужой праздник жизни. Почта на чужом сервере может быть перлюстрирована, испорчена, изменена, уничтожена и подвергнута вивисекции. Короче говоря, чёрт знает что с ней может произойти. Ты при этом ситуацию никак не контролируешь. Когда тебе сообщат о том, что «простите, сэр, вся ваша почта, сэр, потеряна, сэр, наши, сэр, извинения, сэр» - уже поздно будет и пить «Сан Пелегрино», и подвешивать кого-нибудь из админов за интимные места над стадом голодных крокодилов. Бобик сдох, дорогой мой, почты нет! (Американцам в таких случаях нравится говорить: «Zed's dead, baby. Zed's dead».)

Поэтому первая заповедь действительно секьюрной электронной почты — никаких веб-интерфейсов и никакого хранения почты на чужих серверах! Веб­интерфейс — только для невинного флирта через Интернет. Заведи себе псевдоним Игривый Шалун, создай ящик igrulkin_shalunishka@mail.ru, зацепи какую-нибудь нимфетку в чате — и развлекайся с ней сколько хочешь. Даже если письма из этого ящика каким-то образом будут обнародованы, ты всегда сможешь сказать, что занимался этим исключительно в целях исследования глубин человеческой психики, ну и кроме того, тебя вряд ли посадят, потому что нимфетка окажется лысоватым мужчиной средних лет, ЖЕЛАЮЩИМ СТРАННОГО. Но твой бизнес при этом не пострадает, а ведь это главное, правильно?

Нормальная почта — это почтовый клиент, то есть программа на твоём компьютере, которая утягивает почту с интернетовского сервера и держит её у тебя. Интернетовский сервер при этом используется только как перевалочный пункт, то есть почта на нём не хранится. (В случае, если ты по каким-то причинам не используешь корпоративный почтовый сервер, о котором мы подробно поговорим чуть позже.)

Таким образом, вопрос защиты почты сводится уже к защите информации на компьютере, а это решается намного проще. Сохранность архивов почты — то самое резервирование (архивирование) с паролем, о котором мы говорили. Раз в день почтовые базы архивируются, защищаются и сливаются на какой-нибудь внешний носитель (компакт-диск, DVD), и ты всегда можешь восстановить свою базу в случае внезапной смерти жёсткого диска или пожирания всей информации проклятым хомяком — вирусом.



Кстати, почтовые базы в обычных почтовых клиентах (Outlook Express, The Bat!, Eudora) толком не защищаются. ( Разве что за исключением почтового клиента The Bat!, в котором можно защищать почтовые ящики по паролю, но там защита настолько примитивная, что сработает она разве что против любопытной секретарши, да и то если она — блондинка.) И в этом есть определённый смысл, потому что если на компьютере установлена защищённая операционная система (Windows 2000 или Windows XP) и нормальное разделение доступа, то твои данные как отдельного пользователя со своим логином и паролем защищаются системой. Тебе только нужно следить за тем, чтобы компьютер не стоял открытый всем ветрам, когда ты вошел в систему (залогинился), но отошёл пообедать, за кофе или перекурить.

Впрочем, оно понятно, что защита почты вместе с остальными файлами пользователя — это всего лишь костыль в длинном железнодорожном полотне информационной безопасности. Полного спокойствия подобная защита не даст просто по определению.

Что использовать? Действительно секьюрные почтовые клиенты с серьёзной защитой почтовых баз. Существует, например, специальная версия программы The Bat!, в которой почтовые базы шифруются и защищаются с помощью е-token — электронного ключа, подключаемого к компьютеру Этот ключ ты носишь с собой в качестве брелока. Для доступа в свою почтовую базу нужно вставить в компьютер ключ, а кроме того — ввести пароль. Это уже хороший уровень защиты, потому что если у тебя украдут е-token — без пароля злоумышленники им не смогут воспользоваться. Если случайно подсмотрят/украдут пароль — без е-token он не имеет никакого смысла. Ну а если украдут е-token, свистнут пароль, да ещё и полyчат доступ к твоему компьютеру в твоё отсутствие — ничего интересного в этой почте они не найдут, потому что если у человека вот такой уровень безалаберности, он вряд ли работает кем-нибудь старше мелкого клерка на должности «подай-унеси».

Ещё неплохой способ — использовать обычный почтовый клиент, но сами базы с письмами располагать на секретных дисках (папках), защищаемых по тому же паролю вместе с е-token или каким-либо другим программно-аппаратным средством защиты.


Наблюдением за выполняемыми (запускаемыми) программами


При первом запуске программы брандмауэр запоминает её данные. И если, в момент очередного запуска, выяснится, что программа вдруг изменилась, брандмауэр тебя об этом обязательно предупредит (если он настроен соответствующим образом). Ведь если программу изменил не ты (например, поставив новую версию), это может означать, что программа заражена вирусом.

Вот более или менее простое изложение того, чем именно брандмауэр занимается на твоём компьютере.

Разумеется, брандмауэры, как и телохранители, все разные. Если вернyться к нашему примеру, то телохранители могут быть напрягающие и не напрягающие. Есть, например, телохранители, которые создают совершенно ненужную суету. Например, завидев пролетающего голубя, они будут пихать вас в ближайшую подворотню, старательно закрывая вас своим объёмным, но туповатым телом, бешено крича: «Босс, быстро скрываемся, босс. Летит птица, босс, он может какнуть вам на шляпу!»

Бывают также телохранители, которые, завидев у вас в руках зажжённую зажигалку, немедленно потушат её с формулировкой: «Вы же себе так все волосы на голове сожжёте, босс!»

Впрочем, может быть, тебе такие телохранители и нужны — предупреждающие о любой, даже самой незначительной опасности. А может, наоборот — тебе нужны люди, чье присутствие совершенно незаметно, однако онM тем не менее вполне эффективно будут защищать тебя от различных реальных опасностей.

Всё то же самое — с брандмауэрами. Есть брандмауэры «болтливые», которые поднимают шум по любому, даже самому незначительному поводу и постоянно дёргают пользователя, требуя разрешить или запретить не только запуск программ и приложений, но и всевозможных действий этих программ и приложений.

Другие же брандмауэры наоборот — тихонько сидят себе на сторожевой вышке, аккуратно и без лишнего шума пристреливая на взлёте всех вражеских птиц.

Собственно, и те, и другие брандмауэры имеют право на существование. Они специально делаются такими разными, потому что требования и предпочтения пользователей также весьма разнятся. Более того, один и тот же брандмауэр нередко можно настроить на различные режимы вашей личной паранойи: кричать и орать по любому поводу, либо же сидеть и не высовываться, самостоятельно блокируя то, что они считают нyжным. то есть ненужным для вашего компьютера.



Название программы: Outpost Firewall Pro


Название программы: Outpost Firewall Pro

Описание: Обнаруживает и блокирует все атаки хакеров. Предотвращает несанкционированный доступ к данным. Скрывает присутствие системы в сети, делая ее невидимой для взломщиков. Анализирует входящие почтовые сообщения и блокирует потенциально опасные. Отражает посягательства на конфиденциальность в сети Интернет. Сохраняет в тайне перемещения и навигацию по Интернету. Автоматически настраивается для оптимальной защиты данных во время инсталляции.

Автор: Agnitum

Где взять: www.agnitum.com

Название программы: ZoneAlarm Pro

Описание: Мощный персональный firewall: защита компьютера от непрошеных гостей извне. Контролирует программы, имеющие доступ в Интернет. Можно выбрать несколько уровней и зон безопасности. Специальная утилита MailSafe проверяет почтовые вложения и защищает от троянов и вирусов.

Aвтop: ZoneLabs.

Где взять: www.zonelabs.com

Название программы: Nоrton Internet Security

Описание: Продукт обеспечивает необходимую степень защиты от вирусов, хакеров и угроз конфиденциальности информации. В этот пакет включены полные версии Поrton AntiVirus и Поrton Personal Firewall, которые надежно защитят компьютер от наиболее часто встречающихся в Интернете опасностей. Дополнительно вы сможете воспользоваться средством Поrton Spam Alert для блокирования нежелательной почты.

Автор: Symantec Corporation

Где взять: www.symantec.com



Не отлавливает свежие вирусы


Ещё одна проблема, которая может сводить на нет все усилия по поддержанию порядка постоянно запущенного монитора: он ничего не знает о только что появившихся вирусах. Таким образом, если вирус только что выпущен в свет и каким-то образом попал на ваш компьютер, монитор его никак не распознает, потому что ничего о нём не знает — «ориентировка» ещё не поступила. Впрочем, если ты постоянно подключён к Интернету, то можно буквально каждый час запрашивать с сайта разработчика антивируса новые «ориентировки», но тем не менее факт остается фактом: мониторы нередко упускают новые вирусы.

Антивирусный сканер, в общем-то, делает всё то же самое, что и монитор, но запускается эта программа по команде пользователя и просто «шерстит» все программы на компьютере, проверяя их на наличие вирусов. Если что-то обнаруживает, то поступает так, как ей подсказывает революционная сознательность: «лечит» заражённые программы или удаляет их, если лечение невозможно.

Далее возникает вопрос — использовать антивирусные программы или нет? Разумеется, использовать, причем обязательно и непременно! Насчет же монитора — тут вопрос достаточно спорный. Лично для меня реальная эффективность монитора находится под большим сомнением — по причинам, которые уже изложены выше. Поэтому я сам постоянно загруженные антивирусные мониторы на компьютере не использую (да и предположить, что ко мне проберется вирус, довольно сложно), однако сканером весь компьютер продираю обязательно — не реже раза в сутки. И тебе желаю как минимум того же!

Ты же помнишь о том, что у каждого вируса есть свой латентный период, правильно? Вот сканер и может помочь обнаружить пока ещё дремлющую заразу и пришибить её до того момента, как она проснется и начнет безобразничать на твоём компьютере!

Теперь о локальной сети. Антивирус на сервере — обязателен! Проверять все документы на сервере не реже раза н сутки — обязательно! Да и на компьютерах пользователей что сканеры,что мониторы — также желательно устанавливать. Я бы сформулировал так: чем менее продвинут пользователь, тем более ему необходим постоянно запущенный антивирусный монитор. (Да, ещё монитор необходим тем, кто сознательно роется на сомнительных сайтах — сто граммов бесплатных программ или сто мегабайт халявного садомазо или детской порнухи, infamita, совершенно однозначно гарантируют тебе как минимум трояна, а как максимум компьютерную трисичуху — эдакий гибрид компьютерного триппера, сифилиса с чумой и холерой.) А вот в антивирусном сканере, однозначно, нуждаются все пользователи, независимо от уровня продвинутости...



Негодяйские списки


Многие провайдеры ведут так называемые «черные списки» адресов, откуда может валиться спам. Разумеется, это не адреса ящиков (они спамерами почти всегда подделываются а специальные интернетовские (IP) адреса, которые заслужили плохую репутацию в современном электронном обществе.



Неиспользуемые поля в специальных форматах файлов


Способ на самом деле довольно простой. Есть много различных видов данных, в формате которых зарезервированы поля под дальнейшее расширения возможностей этих форматов. Переводя это на русский язык — есть файлы, внутри которых зарезервированы определённые последовательности символов, которые не используются. Как, например, потайной кармашек в сумке, скрытый за тканью подкладки. В эти неиспользованные последовательности можно записать секретную информацию. Посторонний человек в подобном файле увидит всего лишь обычный документ (видео, звук и так далее), а вот посвящённый человек (например, твой партнер по бизнесу), воспользуется специальной программой, которая из файла вытащит скрытые данные. Способ, кстати, неплохой — пусть злоумышленники попробуют догадаться, что и где скрывается в треке песни Лены Зосимовой «Падрушки маи, ни ривнуйте», которую вы переслали знакомому, особенно если каждый день вы ему шлёте по песенке, в которой ничего не скрывается. Но в данном способе также есть и недостатки, потому что свободных полей не так уж и много, то есть таким образом можно передавать лишь небольшой объём информации, а кроме того, уровень скрытности весьма и весьма на троечку...



Неповторяемость паролей


Хитрый пользователь может придумать два пароля — «Серёжа» и «Наташа», — после чего и будет менять один на другой. Конечно, такая комбинация будет довольно легка для запоминания, однако с точки зрения безопасности — это полное безобразие. Но если в политике паролей задать неповторяемость — второй «Серёжа» и вторая «Наташа» не пройдут, однозначно, так что пользователю придется всё-таки напрячь фантазию.



Несанкционированное изменение данных


Кто-то получил доступ к информации и изменил её. Искажение информации может привести к самым разнообразным последствиям. От потери каких-то данных, до неправильной интерпретации. Например, в контракте записано сто тысяч рублей, а их изменили на сто тысяч долларов. Пустячок вроде, а неприятно.



Несанкционированный доступ


то есть доступ к этим данным получит некто, кому эта информация не предназначена. При этом некто может быть: случайный доброжелатель, случайный недоброжелатель, неслучайный недоброжелатель. Все три случая вроде разные, однако привести могут к одному и тому же, потому что случайный доброжелатель может распространить информацию, и она попадет к неслучайному недоброжелателю... Нет, я ничего не пил. Просто пытаюсь систематизировать накопленные знания. Не волнуйся, чуть позже я это всё объясню на живописных примерах — станет понятнее.



Нестандартная запись на определенные носители


Можно взять обычную дискету и записать информацию на такие дорожки, которые обычным способом читаться не будут. Не сильно продвинутый метод, но иногда используется. От жен и любовниц сработает, а Bur по-настоящему ценную информацию пытаться скрывать таким образом — это детский сад, штаны на лямках.



О «КОМПЬЮТЕРНЫХ СПЕЦИАЛИСТАХ»


Да, в этой книге мне придется много рассказать о достаточно специфических компьютерных вещах — потому что в большинстве своём безопасность информации напрямую связана с компьютерами. Однако без этого не обойтись. Пока у тебя вопросами информационной безопасности занимается вон тот парень с нечёсаными волосами, который даже ухом не повернул, когда я зашел к нему в кабинет, до того он был увпечён игрой в «Doom 3», — ты должен сам хотя бы в общих чертах понимать, что там к чему, — только так ты сможешь требовать что-то от этих «специалистов».

Ты можешь, находясь в неизбывной тоске, спросить: почему так происходит с этими грёбаными компьютерщиками? Почему ты, платя этим козлам большие деньги (я просто цитирую твои слова), вынужден сам вникать в подобные тонкости?

Ну, во-первых, ты им платишь вовсе не такие большие деньги. Хотя я понимаю, что это как раз не оправдание.

Во-вторыx, ты нанимаешь одного-единственного «системного программиста» (кто вам в офисе сказал, что этого туповатого парня нужно называть данным термином?) — читай, ИТ-специалиста, — и считаешь, что он должен заниматься в офисе всеми вопросами, связанными с компьютерной техникой.

Так вот, это более чем странно. И это, кстати, специфика именно России, потому что в Штатах и Европе уже давно произошло серьёзное разделение компьютерных и околокомпьютерных специализаций. Там сетевой администратор не будет показывать секретарше, где anykey на компьютере. Программист не станет менять картриджи в принтере. Постановщик задач откажется прокладывать витую пару из комнаты в комнату. Спец по безопасности очень удивится, если его попросят починить компьютер. «Железячник» покрутит у виска, если его попросят составить в Excel таблицу для бухгалтерии.

Потому что каждый из них — специалист в своей собственной области. И работать в другой области он не только не хочет, но и не имеет права. Потому что в другой области он не профессионал.

В России, насколько я мог судить, всё не так. Человек называет себя странным термином «компьютерщик», ну а далее считается, что он умеет делать всё, что связано с этим словом.
Причём лет такому «компьютерщику» — совсем немного. Как правило, он вообще ещё учится. Впрочем, оно и понятно, что только в молодости человек считает, что он умеет всё во всех областях. С возрастом эта идиотская мысль проходит. А если не проходит, то такому человеку всего и остается, что играть в «Бинго», постоянно проигрывая...

И ты, дорогой друг, этому парню доверяешь самое дорогое — компьютеры с информацией. А также её защиту. Вероятно, мой друг, ты сошёл с ума. Мне больно тебе говорить такие слова, но это мой святой долг.

Поэтому давай лучше поговорим о том, что такое безопасность информации, а потом ты сам решишь, как поступить дальше. Однако я прошу тебя — не нужно членовредительства! В том, что у тебя работает этот парень, — виноват только ты, более никто! Он в этом не виноват. У него дома старушка ­мать и некормленный кактус, «спасающий от мониторной радиации». Отпусти его с миром. В конце концов, раз ты пока живой и даже не разорён, всё ещё можно исправить...


ОФИС


Вряд ли имеет смысл подробно рассказывать, каким образом я хожу из комнаты в комнату и что за диалоги там звучат. Я думаю, что намного проще и нагляднее результат моих исследований свести в несколько постулатов, которые с небольшими вариациями верны для большинства тех офисов, что я посетил.

1. Охранник считает, что раз человек пришел в офис без базуки, значит, он не может быть злоумышленником. ц злоумышленника, знает охранник, чёрная борода, бандана цвета хаки и безумный блеск в глазах. Все, кто не подпадают под этот образ, злоумышленниками быть не могут.

2. Практически во всех комнатах считают, что раз человек прошёл охранника — значит, ему можно доверять на все сто.

3. В любой комнате достаточно произнести имя-отчество генерального, после чего вам предоставят все документы и раскроют все секреты. Имя-отчество reнерального можно узнать у охранника — он его мгновенно сообщает, из почтительности вставая и принимая позу «смирно».

4. Ни в одной из комнат, когда я именем генерального требовал пустить меня к компьютеру, никуда не позвонили и не спросили, кто я такой и почему произношу имя генерального всуе.

5. Девяносто процентов пользователей не помнят свои пароли, поэтому хранят их следующим образом:

а) записанными на стикере и прилепленными к монитору

б) записанными на листочке, который лежит под стеклом на рабочем столе

в) записанными на стикере, который прилеплен к дну выдвига­ющегося ящика. Для удобства доступа ящик всегда выдвинут

г) записанными в специальной записной книжке. Для удобства пользования книжка всегда раскрыта на листочке с паролями и лежит под монитором

д) сверххитроумные пользователи пароль на стикере пишут задом ­наперёд — чтобы враг не догадался. (Одна девушка буквально потрясла меня тем, что на её стикере было написано дословно следующее: «ANEL (вводить наоборот)» )

б. Во многих фирмах из-за постоянной чехарды с забытыми паролями блаrоразумные сетевые администраторы вводят один-единственный пароль для всех пользователей. Так как пользователи забывают и его, пароль крупными буквами написан на листе А4 и прикноплен к доске объявлений.


7. Секретные дискеты с ключами, требуемые для запуска особо конфиденциальных программ, практически всегда торчат в дисководе и не покидают своё пристанище годами совершенно независимо от того, присутствует ли за компьютером тот единственный человек, который должен иметь доступ к этим секретным данным, или нет. то же проиcxодит с ключами, которые остаются в com-портах.

8. Пароль на доступ к сетевым папкам называют сразу, стоит только задать коронный вопрос: «А какой у вас тут пароль к сетевым папкам» ? При этом в 70% до задавания коронного вопроса я даже не называл имя генерального, а в остальных случаях даже и не говорил, кто я такой.

9. На просьбу: «Вы не позволите посмотреть ваш компьютер? Меня прислал генеральный» — реагируют очень душевно. то есть позволяют. Впрочем, реакция зависит от моего внешнего вида. Если я — толстый и лысый пузан с бородавкой на носу, то сначала всё-таки позвонят в секретариат и спросят, что за хрен тут просится за компьютер. Но если я, как и есть в реальности, хорошо одетый мужчина средних лет с симпатичным и располагающим к себе лицом — никаких вопросов не будет. Все сотрудники фирмы так же, как и охрана считают, что злоумышленника сразу видно по бородавке на носу, засаленной футболке или по базуке за спиной.

10. Когда симпатичные сотрудницы бухгалтерии уходят обедать, оставляя комнату совершенно пустой, на всех их мониторах светятся данные «чёрной» бухгалтерии. Всё это элементарно можно вывести на принтер, стоящий там же в комнате. Но если вам лень возиться — просто возьмите эти бумаги со столов. Они там лежат распечатанные... Впрочем, врать не буду, примерно в 10% фирм бухгалтеры, покидая комнату, её запирают. Вместе со мной. Любезно объясняя, что у них так заведено. Поэтому они пойдут обедать, а я пока могу поработать. Запертый.

11. На вопрос: «Какой процент зарплаты вы платите «по-белому» ?» — отвечает любой бухгалтер. Но только в том случае, если ты подтверждаешь, что не служишь в налоговой полиции. Ответ: «Нет, я по компьютерной части», сдобренный парой заковыристых терминов, — их вполне успокаивает.



12. Отдельная комната с самым святым, что есть на фирме, — сервером — заперта наглухо! Специальным кодовым замком! Открыть его почти невозможно! Для этого нужна или тонкая железная расческа, или простая наблюдательность: цифры, которые нужно вводить, изрядно загрязнены пальцами сетевого администратора. А так как больше трёх пальцев он использовать не умеет, перебор комбинаций редко занимает более тридцати секунд, особенно если учесть тот факт, что цифры почти всегда вводятся по возрастанию. Один-единственный раз я встретил комбинацию «987» — и был этим несказанно удивлён.

13. Наиболее секретные бумаги в офисе из соображений безопасности рвутся не меньше чем на две части (они рвали бы и меньше чем на две части, потому что лениво, но не получается) и выкидываются в корзину так, что их легко прочитать, просто бросив на них взгляд. В каждой комнате, как правило, есть шредеры, но сотрудники их не любят, потому что, цитирую одну из милых девушек «C ума можно сойти, пока накормишь это чудовище. Нужно долго стоять, пока он бумаги медленно пережёвывает. Мы бумаги в корзину выбрасываем. Ну да, рвём не всегда. А зачем? Здесь же все свои!»

14. Этот прыщавый парень, которого тут почему-то кличут «системным программистом» (я не знаю, что именно они в данном случае подразумевают под этой фразой), не зря ест свой хлеб, заодно занимаясь компьютерной безопасностью. Он сделал гениальную вещь — убрал из всех компьютеров дисководы. «Для безопасности», как мне объяснили в отделах. Поэтому на дискету в полтора мегабайта ничего скачать нельзя -даже и не пытайтесь! Зато можно всё что угодно скачать через USB-порт. Учитывая тот факт, что современные flash-drive способны записывать порядка гигабайта, потеря возможности списывать данные на дискету не заставила меня с рыданиями биться головой о стену.

15. Если USB-порт, через который ты хочешь скачать информацию, занят, например, мышкой, — милые девушки из бухгалтерии сами вытащат её из порта, чтобы ты мог подключить свой flash-drive, потому что это, цитирую себя же, «специальное устройство, которое произведет вакцинацию ваших компьютеров от вирусов».



16. Секретарши начальников, несмотря на всю свою миловидность, жёстко стоят на страже корпоративных интересов. Нечего и пытаться подкупить их конфетами, сладким алкоголем или, прости господи, деньгами! Они с негодованием отклонят ваше предложение и устроят скандал! Поэтому не нужно пытаться их подкупать. Они всё расскажут просто так В обычном человеческом разговоре. Единственное — нужно узнать, когда reнерального не будет в офисе весь день до вечера, после чего с утра пораньше прийти к нему на встречу и дожидаться в приёмной. Секретарша — она тоже человек Ей скучно, у неё глючит Word, а периодически компьютер и вовсе зависает. Поэтому тёплая, участливая беседа симпатичного мужчины в хорошем костюме — вот nj, что нужно этой очаровательной девушке. Главное — почаще упоминать волшебную фразу: «А вот у нас...». Именно эта фраза открывает фонтан её красноречия. Потому что в ответ на «a вот у нас» последует ее «а у нас» с вариациями «точно так же» или «совсем не так». При этом обычно я узнаю всё о явных и тайных пороках reнерального, всего совета директоров и о тонкостях организации бизнеса, а также о способах прятать документы or налоговой полиции. Жаль, что я не работаю в налоговой полиции. Впрочем, мне бы там столько не заплатили...

17. Подобная тактика также хорошо срабатывает в общении с уборщицей. Между прочим, уборщицы очень много знают. Иногда значительно больше секретарш...

Ну и так далее. Можно до бесконечности рассказывать, как я путешествовал по комнатам, что я там обнаруживал на компьютерах, какие интереснейшие сведения мне сообщали окружающие, какие данные я собирал о самой фирме, членах совета директоров, Большом Парне, его деловых и личных секретах. Дело не в этом. Тут главное — понять, насколько просто злоумышленнику (если он не с базукой и без бородавки на носу) проникнуть в офис и получить всю эту информацию. А вот как себя от этого по возможности обезопасить — и написано в данной книге...


ОФИСНАЯ ЭЛЕКТРОННАЯ ПОЧТА


В предыдущих разделах мы рассмотрели различные технологии работы с частной электронной почтой, а теперь давай посмотрим, как это всё должно быть организовано в масштабах офиса.

Основные постулаты тут следующие...



ОГРАНИЧЕНИЕ ДОСТУПА К ИНФОРМАЦИИ


Ограничение (разделение) доступа — одно из важнейших средств защиты информации. Отличается ли чем-то разделение от ограничения и что это, вообще говоря такое... Скажем так, полное закрытие доступа к информации — это частный (крайний) случай ограничения. Другой частный (крайний) случай — открытие полного доступа. Между ними — полностью закрытый доступ и полностью открытый — как раз и простираются владения ограниченного доступа. Разделение доступа — это когда есть идентификация пользователей, и система знает, кого куда пускать, а куда не пускать.

Пример. У тебя есть личная записная книжка, куда ты заносишь всевозможные дела и задачи. Записи, касающиеся посещения любовницы и туда­сюда культурных мероприятий с ней — никак не должны попасть на глаза жене, потому что... впрочем, ты и сам прекрасно понимаешь, чем это чревато. Записи о том, какие подарки ты намерен в ближайшее время сделать жене, — не должны попасть на глаза любовнице, потому что она тут же начнет требовать такие же, пупсик, но намного лучше, пупсик, ведь ты любишь свою лапуську (козочку, кошечку, девочку, ангелочка, лапатуську, масика, кастрюльку милашку дурындочку). Таким образом, or тебя и требуется произвести то самое разделение доступа к информации в зависимости от типа пользователя.

В случае с обычной записной книжкой — это нереально. Однако в том случае, если ты свою информацию доверяешь высоконадёжным (в умелых руках) электронным устройствам, — вот они как раз и сумеют обеспечить то самое разделение доступа. Лоrин «жена», пароль «***» — пожалуйста, расписание семейных мероприятий, редких эпизодов посещения тети Клавы с дядей Борей и планирование похода в зоопарк с детьми-двоечниками. Логин «любовница», пароль «***» — просим вас изучить schedule (даже и не хочется переводить на русский это божественное, но совершенно непроизносимое слово) визитов в рестораны, ночные клубы и увеселительные мероприятия для очень взрослых.

Что? Ты считаешь, что твоя записная книжка — это нечто настолько интимное, что её нельзя показывать даже собственному главному бухгалтеру?

О'кей, не спорю, всё правильно, я просто пытался на доступных примерах растолковать тебе, что же такое разделение доступа. Потому что книжку-то мы вообще закроем от посторонних глаз, как скажешь! Но твой рабочий планировщик, который должен быть открыт секретарю-референту? Офисные документы, к которым по роду службы должен быть доступ десятков, если не сотен людей? Вот тут вопрос грамотного разделения доступа встает во всей красе.

Но давай танцевать от печки, то есть от паролей...


К этому относится: парольная защита на различных уровнях (доступ в помещение, доступ к компьютеру, разделам диска, папкам, файлам), разделение прав доступа в локальной сети, физическая защита помещения. 2. Сохранение информации

Мало создать — нужно сохранить. Далеко не всегда врагами твоей информации выступают конкретные люди (конкуренты, партнеры по бизнесу, жена, брошенная любовница). Это может быть самое обычное электричество, которое иногда имеет обыкновение заканчиваться в проводах так же, как и вода в кране. Кто виноват и что с ним делать? Это далеко не первый вопрос, который нужно решать. Сначала нужно сделать так, чтобы эти скачки электричества тебя не волновали. Или хотя бы не волновали твою информацию. Способы есть, не волнуйся, расскажу... Сюда же относятся многочисленные виды создания архивных копий (бэкапирование).



Ограничение максимального срока действия пароля


Очень интересная возможность. Если задать, например, 30 дней, то ровно через тридцать дней сервер от каждого попьзователя (или определенной группы пользователей) потребует поменять пароль. Причём пользователь об этом будет предупреждён заранее, чтобы; так сказать, иметь возможность морально подготовиться к подобному непростому действу.



Ограничение минимальной длины пароля


Как мы уже говорили, если задать пароль в 2-3 символа -- так лучше его вообще не задавать, чтобы, не позориться. Пароль должен быть не менее 5-6 символов, и от пользователей нужно этого требовать неукоснительно. Ну так и нет проблем! Сервер (а точнее, политика паролей) может отказаться принимать у пользователей пароли менее заранее заданного числа символов (пускай будет 5 — это по-божески).



ОХРАНА


Конечно, охрана при входе — это не совсем моё дело, ведь я специализируюсь на безопасности информации, а охрана — это поле деятельности совсем других людей. Тем не менее хотелось бы отметить некоторые специфические черты этих Серьёзных Мужчин, Сидящих При Входе, которые бросились в глаза именно в России...

К сожалению, насколько я мог судить, этим ребятам неведомо понятие «профессионализм». Такое ощущение, что их выращивают в одном и том же инкубаторе, а потом оптом распихивают по российским фирмам. Чем отличается этот парень от фигурки деревянного индейца, стоящего возле американской табачной лавки — я так и не понял.

Почти все они представляют собой или побитого жизнью мужчину, находящегося в самом конце периода «средних лет», или молодого человека с потрясающе тупым взглядом, который воспользовался известной аксиомой: «Ничего не умеешь делать — иди в охрану». Никто из них не знает, что охрана — это довольно серьёзная профессия, требующая и знаний, и умений.

He знают этого и их начальники-инструкторы. Потому что я как-то лично присутствовал при «инструктаже» неофита-охранника, и это звучало примерно следующим образом: «Короче, вот здесь сидишь, вот тебе тетрадка. Ручка есть? Вот е...на вошь, я же говорил, что нужно ручку с собой брать! Короче, вот монитор, он показывает, что там за дверью. Если вдруг не показывает — х...чь ему по крышке, заработает. Там контакт отходит. Через месяцок-дрvгой, если он окончательно не нае...тся, заменим. Нае...тся — тем более заменим. Короче, звонят. Смотришь в монитор. Если там чеченский террорист с гранатомётом — не открываешь. Если кто другой — открываешь. Спрашиваешь документ. ШТОП ДОКУМЕНТ БЫЛ ОБЯЗАТЕЛЬНО, ПОНЯЛ?!! Берешь документ, записываешь в тетрадку. Ручка есть? Блин, я забыл... Дам тебе ручку, дам. Но завтра свою принесёшь. Короче, записываешь в тетрадку. Дальше спрашиваешь, к кому. Звонишь туда и читаешь по документу фамилию. Если говорят пропускать — пропускаешь. Только сам ведёшь его в нужную комнату, понял?!! Если говорят не пропускать — вызываешь их к двери, чтобы они сами разобрались.
Усё понял? Ну давай, работай. Если что — вот мой телефон. Только позвонишь не по делу — убью. Что говоришь? Что значит «по делу»? По делу — это если за стеной чеченский террорист с гранатомётом стоит. Тогда звони мне, и я объясню, что уже ничего делать не надо, потому что ты уже ничего и не сделаешь. Да шучу я, шучу, кому вы тут нах...й нужны...»

Да-да, именно так это и звучало, если я правильно законспектировал все эти прелестные русские артикли.

Дальше что? Далее этот побитый жизнью человек садится за стол и занимается «охраной вверенной ему территории». Так по крайней мере записано в контракте, который составляет фирма Большого Парня с охранной конторой.

на деле выглядит это следующим образом... Звоню в дверь. Открывают, не спросив, кто и что. Кстати, меня сегодня не ждут. Я сразу сказал Большому Парню, что после заключения нашего контракта приду не сразу, а в какой-то день в течение месяца. И чтобы он не говорил ни одной живой душе о том, кто я такой, и что я появлюсь в офисе.

Охранник спрашивает мою фамилию, получает на руки документ и старательно вписывает в тетрадочку мои данные: «Пётр Васильевич Мокин». Документ — удостоверение красного цвета, которое я купил в ближайшем магазине канцтоваров и заполнил на коленке. Там стоит совершенно идиотский штамп, текст которого представляет собой бессмысленный набор символов. Но охранника документ устраивает. Тем более, что «красная книжечка», как мне рассказали, в России в почёте. В таком авторитете, что её может купить любой желающий за сумму в полтора доллара 14 заполнить любым бредом.

Далее идёт волнующий диалог.

— Вы к кому? — строго спрашивает охранник, старательно насупливая брови. Вероятно, это должно означать, что если я совру — меня тут же покарают кары небесные.

— В компьютерный отдел, — отвечаю. — На предмет отладки ТСР-IP протокола в интранетовской сети и тестирования асинхронных портов. Охранник в замешательстве. По идее, ему нужно позвонить и спросить, но повторить все эти термины он не в состоянии.Кроме того, звонить ему тоже неохота. Поэтому он, ещё раз насупив брови, спрашивает:

— А вас вызывали?

— Ясный пень, — отвечаю, — я сам приехал, по собственной инициативе. Мне больше делать нечего, как просто так ездить по всяким вшивым конторам без вызова.

Окранник успокоен. Клиент злится, значит, всё в порядке. Два сантиметра его мозга быстро прикинули, что если бы я был чеченский террорист с гранатомётом, то у меня за спиной, во-первых, был гранатомёт, а кроме того, я бы cm горячо доказывать, что меня вызывали, поэтому я тут. «Сердится — значит, правда по делу», — решает охранник и гордится своей проницательностью.

— Да я просто спросил, — улыбается охранник и брови его предательски расползаются. После этого он подробно рассказывает мне, как пройти в компьютерный отдел и желает всяческих успехов.

После этого начинается не лишённое приятности путешествие по офису...


ОПЛАТА ПЛАСТИКОМ ЧЕРЕЗ ИНТЕРНЕТ


Вот это как раз самый опасный ниц платежей. Впрочем, всё же не настолько опасный, как это представляется некоторым...

Почему опасный? Да потому что для оплаты через Интернет достаточно номера карточки и даты окончания её действия. Но раз ты через Интернет вводишь номер и дату окончания, значит, парень на том конце, получив эти данные, может их ввести на каком-то другом сайте? Ну да, так и есть!

Конечно, тут всё не так кошмарно, потому что есть такое понятие как «возврат платежа» (charge back), и в случае онлайновых платежей, где нет возможности четко идентифицировать картодержателя, он используется довольно часто, и если у тебя даже и уведут номер пластика, то обчистить всю карточку вряд ли смогут.

Кстати, кардеры — так называют злоумышленников, ворующих номера кредиток, — помногу-то и не утаскивают. У них как раз другой подход. Различными способами кардеры добывают номера кредиток и опять-таки различными способами снимают оттуда очень мелкие суммы — по 5-8 долларов ежемесячно. Ведь ты, увидев какой-то странный перевод в 5-8 баксов, вряд ли будешь поднимать скандал и делать возврат платежа, правильно? Особенно если в графе «услуга» стоит имя какого-нибудь зоофилического портала. Вот на это и рассчитано. Эти ребятишки окучивают сотни и тысячи карточек в месяц, а сотни и тысячи, умноженные даже на 5 или 8, выглядят вполне завлекательно, не правда ли?

Так вот, на самом деле уберечься от серьёзных проблем, если уж тебе действительно необходимо, оплачивать что-то пластиковой карточкой через Интернет, тоже не так уж и сложно. 3аповеди простые.

а) Никогда не оплачивать пластиковой карточкой через Интернет товары и услуги на всяких неизвестных тебе сайтах. Известные и хорошо себя зарекомендовавшие ресурсы для приёма платежей с пластиковых карт используют различные серьёзные и хорошо защищённые онлайновые системы. А вот всякая порнуха как раз зачастую и создаётся именно для воровства номеров карточек.

б) Для оплаты через Интернет используй специальную карточку, которая заведена только для этих целей.
Причем старайся делать так, чтобы на ней лежал минимум средств. Если понадобится оплатить что-то крупное — просто перебросишь на нее через тот же Интернет средства со счета или с другой карточки. Удобнее всего завести такую карточку в том же банке, где есть обычный счет — в этом случае средства на нее будут поступать в течение нескольких секунд.

в) Всегда проверяй выписки и разбирайся с каждым платежом. Если ты вдруг заметишь появление мелких платежей, которые ты явно не делал — тогда аннулируй эту карточку потому что её данные скорее всего попали в руки к кардерам. Не стесняйся объяснить банкиру, что ничего не заказывал с сайтов zverolubie.

г) Пpи оплате услуг или товаров, заказанных по факсу или электронной почте — не посылай дату окончания и номер карточки в одном E-mail сообщении. При наличии альтернативы E-mail/факс, выбирай факс.

Вот и всё. Соблюдение этих довольно нехитрых способов безопасности позволит платить пластиковой карточкой через Интернет без особых опасений.


Оплата пластиковой карточкой через Интернет


Многие товары и услуги можно оплатить прямо в онлайне — введя номер твой пластиковой карточки и expiration date (окончание её срока действия). С одной стороны, делать это очень страшно. С другой, многие пользователи не зря боятся вводить номер своей карточки в онлайне.



Отслеживанием всех подозрительных контактов


Какие-то программы с твоего компьютера могут пытаться отправлять некие данные в Интернет, а также получать оттуда информацию. В ряде случаев — почтовая программа, мессенджер (ICQ, MSN) — это вполне нормально, но если совершенно неизвестная тебе программа вдруг пытается самостоятельно установить контакт с Интернетом — с высокой долей вероятности это троян.



ПАРОЛИ


«Пароль, как много в этом слове! «- говорил кто-то из поэтов, и он совершенно прав, потому что если отбросить в сторону поэтическую составляющую, главным здесь становится термин «много» ! Много чего? Много символов. Как можно более трудно вычисляемых.

Пароль — одно из самых простейших, но наиболее часто используемых средств ограничения (закрытия) доступа. В умелых руках он превращается в почти непреодолимое препятствие, однако при неправильном использовании (точнее, неправильном задании) пароль можно сравнить с бумажной дверкой, долженствующей преградить путь доступа в Федеральный резервный банк

Как много тех ребят хохотало над вашим шпионом Штирлицем, который шёл по Берлину забыв отстегнугь парашют! А потом эти смешливые парни задавали пароли, состоящие из слова «пароль» или 423o, чтобы закрыть сверхсекретные разделы жёстких дисков, и не понимали, что они-то как раз выглядят ещё большими кретинами!

Поэтому к паролю нужно отнестись со всей серьёзностью. Не нужно рассчитывать, что твой документ или раздел диска будет пытаться открывать полный идиот. От идиотов будет достаточно надписи: «Кто сопрёт — зарежется». Вскрывать же твои секретные данные, я тебя уверяю, будет вовсе не придурок! И он сразу догадается перебрать слова: «пароль», «123456», имя твоей жены, любовницы, твою дату рождения, дату рождения жены и любовницы. Ты не представляешь, в каком фантастически высоком проценте случаев эти данные подходят с первого раза! Обгоняют его только «пустые» пароли — когда Серьёзный Парень в ответ на требование задать пароль просто нажимает клавишу Enter. В русском языке есть такое интересное, хотя и устаревшее выражение — ничтоже сумняшеся. Я точно не знаю, что оно обозначает, но надеюсь, что нечто мерзкое, так что эти парни, простo нажимая Enter при задании пароля, сумняшатся совершенно ничтоже. Ничтожества они после этого, вот что они такое!

Так что давай всё-таки немного напряжёмся и попробуем узнать, каким образом следует задавать и хранить пароль, чтобы и враг не догадался, и пехота не прошла, и бронепоезд не промчался. Чтобы граница, так сказать, была хотя бы на амбарном замке, а не скреплённая бумажной ленточкой, которая может обмануть только в дупель пьяного Kapaцyпy, завязавшего эту желтую ленту на старом дубе. Итак, настойчивые рекомендации по созданию и хранению пароля...



ПЕРЕД ОТПРАВКОЙ УНИЧТОЖИТЬ


При работе с текстовым редактором Word есть один момент, который многие не учитывают, в результате чего попадают в совершенно дурацкие, а иногда даже жуткие ситуации. Этот момент носит название «Исправления» (в английском варианте — tracking changes).

Что это такое? Word умеет при включении этой опции отслеживать изменения в документе — то есть хранить всю историю работы над текстом. С одной стороны, возможность крайне удобная, но с другой — чрезвычайно опасная с точки зрения безопасности. Потому что если ты, внося свои поправки н некий документ (например, контракт, соглашение, протокол о намерениях) предназначаешь их вовсе не партнёру, а, например, твоему референту, который по твоим поправкам должен сделать чистовой вариант, то данные поправки никак не должны попасть партнёру, потому что ты наверняка не стесняешься в выражениях.

Я могу рассказать несколько совершенно реальных историй о том, как партнёры Больших Боссов, случайно включив просмотр всей истории изменений важного соглашения, вдруг с удивлением обнаруживали фразы из серии: «Постарайся расписать этот пункт так, чтобы мы в дальнейшем могли в любой момент кинуть этих козлов» или «Поставь этот пункт, раз они требуют. Я уже придумал, как сделать так, чтобы его можно было не выполнять», не говоря уже о более экспрессивных вариантах.

В результате у Большого Босса в лучшем случае становилось на несколько партнёров меньше, а в худшем — на несколько злейших врагов больше. Потому это многие люди очень плохо воспринимают то, что о них говорят знакомые в частных разговорах. Они могут обидеться, а это чревато неприятностями.

Более того, совсем недавно был крупный международный скандал, связанный с обнаружением подобных скрытых замечаний в одном из дипломатических документов. Целое государство очень сильно обиделось на то, что в заметках к документу видного государственного деятеля противоположной стороны фраза «B жопу» была написана вместе. Смех-смехом, а из-за подобной небрежности могут начинаться целые войны...

Как от этого спасаться? Самый простой способ — выключить отслеживание изменений, принять все изменения в документе, после чего сохранить документ заново под другим именем. Но это наименее предпочтительный вариант, потому что нет гарантий полного уничтожения всех сохраненных изменений. Лучше всего использовать специальные программы, разработанные специально для этого, которые гарантированно очистят документ от всей лишней и опасной информации.



ПЕРЕД ПРОЧТЕНИЕМ СЖЕЧЬ


Важный момент — грамотное уничтожение документов! Разорвать на две части и выбросить в корзину — на этом погорело много довольно крутых ребят, и я тебя уверяю, что они никак не ожидали такого нот конца... Подкупить уборщицу чтобы она обрывки документов относила не на помойку, а в тёплые руки участливого молодого человека, который её ожидает с сумочкой и десятью долларами, — проще простого, ты ведь ей не так много платишь, чтобы она грудью встала на сохранение хозяйских секретов.

Но не нужно больше платить уборщице — в конце концов, эта идиотка никогда не умела нормально убираться. Нужно заставить всех сотрудников правильно уничтожать документы. то есть с помощью шредера. Причем не простого шредера...

В дешевой забегаловке можно купить кусочек тухлого салмана за пять баксов и отравиться. Но ты же этого не делаешь, правильно? Ты покупаешь кусочек свежайшего салмана в ресторане за пятьдесят. Тогда почему ты покупаешь дешёвый шредер, лапшу из которого может соединить заново даже баба Дуся, вместо того чтобы заплатить на четыре куска салмана дороже и приобрести устройство, которое уничтожает бумаги в пыль?

Уже давно существуют специальные устройства для воспроизведения обратного процесса: подбора шредерной лапши и восстановления из неё исходных документов. Это уж не говоря о том, что крупнополосную лапшу из-под дешёвых китайских шредеров можно обратно превратить в документ даже без использования подобных мудрёных и дорогих устройств.

Поэтому шредер должен быть качественный. то есть не такой, который делает лапшу, а который измельчает бумагу в пыль! Ещё лучше — вариант, в котором полученная пыль ещё и сжигается! (Не волнуйся, там всё сделано грамотно, никакой дымовухи в офисе не будет.)

Если душит жаба тратиться на дорогие шредеры для всех комнат офиса — приобрети несколько разных моделей по степени секретности. Самые дешёвые шредеры — для наименее опасных бумаг. Шредеры подороже — для более

пикантных документов. А для тех бумаг, которые восстановить не должен никто ни под каким видом, — измельчители-сжигатели!

И заставь всех сотрудников пользоваться шредерами! Убери все корзины для бумаг из-под столов! Поставь один-единственный мусорный ящик — для всего того, что не влезает в шредер. Но если в этом мусорном ящике обнаружится хоть один документ — тут же нужно поднять скандал, найти сотрудника, совершившего подобное святотатство, и поступить с ним по всей строгости революционного времени.

Экзекуция должна быть публичной — то есть чтобы все знали, на какую сумму сотрудник наказан. Пocлe этого все как миленькие будут бегать к шредеру, чтобы покормить несчастное голодное животное...



ПОДМЁТНЫЕ ПИСЬМА


Чтобы достичь своей задачи — заставить пользователя запустить выполняемый файл, пришедший с письмом, активизировав таким образом вирус — негодяйские вирусописаки идут на самые различные ухищрения. Не очень понятно, зачем им это нужно, потому что существует безумное количество пользователей, спокойно запускающих выполняемый файл, пришедший с совершенно пустым письмом, однако этими ребятами, вероятно, движет чисто спортивный интерес. Поэтому письма с вирусами делятся на несколько различных категорий.



Полное отсутствие каких-либо действий, кроме непосредственно размножения


Такое бывает нередко. Иногда из-за того, что создатель вируса так и не придумал, каким раздолбайством поразить этот мир, а иногда из-за того, что программа деструктивныx действий содержит ошибки, в результате которых эти действия так и не будут произведены. Впрочем, просто размножающиеся вирусы также достаточно вредны, потому что занимают место на диске, замедляют работу компьютера, создают различные глюки при работе — пусть даже и не специально.



Посадить шпиона, который будет воровать различные интересные данные


Этот троян внимательно следит за тем, что происходит на компьютере, и если встречает различные пикантные действия, вроде ввода номеров кредиток, аккуратно их записывает и отсылает хозяину — тот разберётся. на сегодняшний день это довольно распространённый вид воровства конфиденциальной информации.

Вот такой кошмар. И это только самые поверхностные сведения о том, какая дрянь может поступить на твой компьютер из Интернета. Впрочем, расстраиваться и плакать, разумеется, не нужно, потому что есть весьма неплохие способы защиты от этой напасти. Способы как ментальные (предупреждён — значит, вооружён), так и программно-аппаратные. Сейчас мы их рассмотрим...



Поставить фильтр непосредственно на твой почтовый клиент


Это лучше всего с точки зрения безопасности, однако наименее эффективно с точки зрения фильтрации. Потому что комплексные антиспамерские фильтры пока не выпускаются в качестве приложений для персонального использования. Конечным пользователям остается что-то одно — или фильтр, в основном использующий «чёрные списки» (весьма криво работающий, потому что «чёрные списки» — штука совершенно неэффективная и должна использоваться в качестве оценки уровня достоверности «спам — не спам», а не в качестве фильтра), или же что­нибудь вроде так называемого байесовского фильтра. Кстати, байесовский фильтр — это, пожалуй, наиболее эффективное средство для персонального использования. Этот фильтр сначала нужно «обучить» — то есть объяснить, что именно ты считаешь спамом, а что нет (для этого придется накопить определенную базу спамерских писем, ну или позаимствовать её у кого-­нибудь), после чего фильтр будет показывать весьма неплохие результаты в отслеживании спама. Впрочем, комплексным методам он всё равно уступает... Поэтому, конечно, наилучшим средством фильтровать спам является корпоративный подход.



ПОВЫШЕНИЕ НАДЁЖНОСТИ


Существует старая легенда о русском лётчике Уточкине, который несколько раз терпел авиационные аварии после того, как у него на аэроплане отказывало магнето — устройство, без которого не работал двигатель самолёта.

Так вот Уточкин в какой-то момент сообразил, что у человека недаром два глаза, два уха, двое легких, двое почек и двое яичек — тo есть налицо дублирование важных органов, — после чего поставил на самолёт второе магнето и проблема была решена.

Та же ботва, Джульетта, с жёстким диском сервера. Установка второго жёсткого диска резко увеличивает надёжность, потому что крайне редко бывает так, что оба диска умирают одновременно — ну разве что вследствие падения корпуса сервере из окна двенадцатого этажа.

Так вот, один из самых простых способов — установка второго жёсткого диска, на котором зеркалируется информация с основного жёсткого диска, то есть в процессе работы на втором диске с дублированной информацией сразу же отражаются все изменения, произошедшие с файлами на первом диске.

Однако простое зеркалирование — довольно дорогое удовольствие, потому что таким образом получается, что ты два раза платишь за один объём диска. Чтобы снизить горечь расходов (ну, и для решения ещё нескольких других задач) была придумана система организации хранения данных под названием RAID — Redundant Arrays of Inexpensive Disks, — что переводится как «избыточные массивы недорогих дисков». (Собственно, обычное зеркалирование диска на диск — это также технология RAID под названием RAID 1.)

В RAID, если не вдаваться в подробности, ставятся несколько дисков (например, от 3 до 5), и на них также производится зеркалирование информации, но зеркалирование, скажем так, более умное, чем просто полное копирование одного диска на другой. В этом случае ты платишь не в два раза больше за один объём, а примерно в 1,3 раз больше, но надёжность увеличивается во много раз. При использовании технологии RAID 5, например, один из дисков может умереть прямо во время работы, и на сохранность данных это не повлияет — вот такая умная технология.

Таким образом, для сервера использование RAID (в вариантах 1, 3, 5 или 10) — просто обязательно! Сервер без RAID — как дверь без замка. Надежности — никакой.



ПРОГРАММА ЗАЩИТЫ В РЕАБИЛИТАЦИИ СВИДЕТЕЛЕЙ


Теперь, когда у тебя все данные (надеюсь) лежат на сервере, возникает другой вопрос: как защитить сам сервер. Мы всю информацию доверили одному компьютеру (путь даже вполне продвинутому и надёжному), но если различные существа с лёгкостью получат к нему доступ — грош цена всей нашей тщательно разработанной системе, правильно? Оно, конечно, без знания администраторского пароля доступ к данным они просто так не получат, но и админ может какнуть в родное гнездо, продав пароль, и без этого пароля всё-таки можно влезть в компьютер, как это ни печально звучит.

Поэтому сервер также должен быть защищён. Чисто физически. Для этого его помещают в отдельную комнату со стальной дверью, доступ в которую разрешён только админу и тебе, Большому Боссу. Да и тебе, если честно, там делать совершенно нечего. Обычно рядом с сервером находится только админ — в основном для того, чтобы в случае наступления «Времени Ч» сделать с сервером что-нибудь нехорошее, дабы он не достался врагу.

Есть самые разнообразные способы физически защитить сервер. Принимая решение о том, какой из них использовать, задумайся вот на какую тему: если ставить на помещение с сервером хорошую стальную дверь стоимостью долларов в семьсот, вряд ли имеет смысл снабжать её кодовым замком долларов за двадцать, который открывается расческой доллара за полтора. Я понимаю, что эта фраза звучит предельно банально, но ты не поверишь, как часто в офисах я встречал именно такую ситуацию — совершенно дурацкий замок на дорогой двери, ведущей в серверную.



ПРОТИВОДЕЙСТВИЕ АТАКАМ


Как известно, нашу до боли родную информацию нередко подстерегают значительно более серьёзные опасности, чем банальное пропадание электричества или задевание шваброй уборщицы системного блока компьютера. Появляются почти все эти опасности из одного известного места, а именно — из Всемирной телекоммуникационной сети, в просгоречье называемой Интернетом.

С одной стороны, конечно, Интернет — это безусловное блаrо. Бездна полезнейшей информации, новости, сервисы, игры, развлечения, общение, почти мгновенный обмен корреспонденцией и многое, многое другое. По сути Интернет представляет собой огромный информационный мегаполис, растянутый сразу на весь земной шар, в котором любой найдет себе по душе всё что угодно: от работы до развлечений.

Но оборотная сторона любого мегаполиса — различные техногенные опасности и криминал. Человек, находящийся в мегаполисе, может попасть под машину, получить проблемы со здоровьем из-за плохой экологии, попасть в сети различных жуликов и даже подвергнуться нападению бандитов.

К сожалению, в нашем родном Интернете — всё то же самое! В нём существуют и техногенные катастрофы, и плохая экология, и жулики, и уличные гопники. От всего этого нужно уметь защищаться, иначе сожрут!

Конечно, проще всего сидеть себе где-нибудь в тихом уголочке и не высовываться — то есть завести себе персональный компьютер, который не только к Интернету, но и даже к локальной сети не подключен. Таким образом действительно можно избежать массы всяческих проблем. Но это же не жизнь, правильно? Что толку вариться в собственном соку — так можно перевариться к чёртовой матери!!! У вашего писателя Салтыкова-Щедрина есть отличный рассказ под названием «Премудрый пескарь» - о маленькой рыбке, которая всю жизнь пряталась в норке и не высовывалась, чтобы её не дай бог не сожрала крупная рыбка. Мораль рассказа заключалась в том, что маленькая рыбка впустую прожила свою жизнь, потому что ничего полезного ни себе, ни обществу она не принесла, так как всё время была озабочена только вопросом собственной безопасности — и более ничем другим.

С какой-то стороны можно сказать, что дон Вито Корлеоне был слегка похож на эту рыбку, потому что продолжительное время тоже никуда не высовывался. Правда, дон Вито был вовсе не пескарь, а совсем наоборот — крупная акула, но на каждую крупную акулу, как вы понимаете, найдется свой кашалот.

Впрочем, я слегка отвлекся, а речь на самом деле идет о том, что при серьёзном бизнесе невозможно полностью отгородиться от окружающего мира, читай Интернета. Без активного взаимодействия никакого бизнеса вообще не будет, а это значит, что ты по определению погружён во Всемирную сеть, поэтому первейшая задача в области защиты информации — приобрести умение находиться в Сети без особого риска для здоровья твоих файлов (да и тебя лично). то есть ты должен знать всё об опасностях, подстерегающих тебя на улицах мегаполиса Всемирной сети, а также необходимо иметь при себе индивидуальные средства защиты: от презерватива до пистолета.


Как и в бизнесе, если не будешь предпринимать активные меры защиты от конкурентов — тебя сожрут. Впрочем, в бизнесе бытует мнение о том, что лучшая защита — это нападение, но в сфере информационной безопасности, как правило, самому нападать не приходится. А вот защищаться — сколько угодно. И здесь все средства хороши: от выстраивания Большой китайской стены в виде файрвола (нет, речь здесь идет не о пожарозащитном кожухе, а об одной довольно специфической программе) до использования специальных программно-аппаратных средств.

Вот, пожалуй, и вся основная классификация. Конечно, она весьма условна, а кроме того, определённые защитные меры могут относиться как к одному, так и к другому разделу но нам в данном случае важно было задать общее направление, чтобы было куда двигаться, а с частностями разберемся в процессе. На привалах. Или, как говорят в вашем Парламенте, «решим в рабочем порядке». Так что вперёд, навстречу новой, информационно-защищённой жизни...



ПРОТИВОВИРУСНЫЕ ПРЕПАРАТЫ


Второй крайне важный вид защиты — антивирусные программы. Если перед брандмауэром стоит довольно широкий круг задач по предупреждению и недопущению, то у антивируса — более узкая специализация. Эта программа (точнее, программный комплекс) может работать в двух режимах:



Проверка на соответствие требованиям сложности


Часть из того, о чем я говорил в разделе, посвящённом паролям, можно заставить проверять сам сервер. Если включить дополнительную проверку на соответствие пароля требованиям сложности, сервер уже не разрешит вводить никаких «Серёж» или «Наташ», а заставит пользователя при вводе пароля выполнить мои рекомендации: использование различных регистров (прописные и строчные буквы), десятичных цифр и символов, не принадлежащих алфавитно-цифровому набору Пользователи при этом, конечно, скажут много-много горьких, а иногда даже нецензурных слов, но их пароли будут соответствовать хоть каким-то требованиям безопасности. Другой вопрос — как добиться от пользователей, чтобы они не писали пароль у себя на лбу или на стикере, прилепленном к монитору, но этому будет посвящена отдельная глава.



ПСИХОЛОГИЧЕСКИЙ ПРАКТИКУМ


«Карл, заканчивай мне голову морочить — ключи, размеры, подписи-­шмотписи, циммерманы-шмимерманы! — можешь заявить ты. — Лучше расскажи, как всей этой хренотой пользоваться».

О'кей, босс, не волнуйся, всё будет. Но мне нужно было, чтобы ты всё-таки уяснил основные понятия РGР-шифрования, потому что без этого мы не смогли бы перейти к водным процедурам. Но сейчас перейдем. Итак, рассказываю о том, как это всё используется в нашей реальной суровой жизни...

Прежде всего, нужна сама программа PGP или встроенный модуль PGP в почтовом клиенте. Программу можно взять где угодно: она распространяется бесплатно, поэтому доступна как на сотнях тысяч сайтов в Интернете, так и на дисках, продающихся в любой подворотне. Хотя я рекомендую купить лицензионную версию — нужно же как-то отблагодарить Фила за его самоотверженность.

Далее твои действия (именно твои, потому что установку личного PGP крайне нежелательно доверять даже админу)...



Распространи свой открытый ключ среди всех своих корреспондентов


Напоминаю, что открытый ключ на то и открытый, что его можно раздавать всем желающим.