среда, 27 декабря 2017 г.

Обзор стандарта ЦБ по аутсорсингу

12 декабря на очередном совещании ТК122 в ЦБ РФ было принято решение рекомендовать к введению в действие новый стандарт - СТО БР ИББС 1.4 "Управление риском нарушения ИБ при аутсорсинге". Это значит, что в начале следующего года он будет утвержден, и на него уже стоит ориентироваться при передаче отдельных процессов (и ИБ в том числе) на аутсорсинг.
"Положения настоящего стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ."

О чем этот документ? 

Документ разрабатывался несколько лет и много раз существенно изменялся. Так, первая редакция предполагала, что он будет только про аутсорсинг ИБ (как правильно использовать), но итоговая версия стала про необходимость оценивать новые риски ИБ, которые могут возникнуть при передаче процессов (не только ИБ) на аутсорсинг. Причем именно новые (или другие), само по себе использование аутсорсинга не говорит о том, что рисков будет больше или меньше (надо оценивать в каждом конкретном случае)...

Было: 
"Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие деятельность по построению и/или совершенствованию СОИБ в соответствии с требованиями СТО БР ИББС-1.0 и принявшие решение использовать услуги аутсорсинга ИБ."
Стало:
"Настоящий стандарт распространяется на организации БС РФ, передающие на постоянной (непрерывной) основе выполнение на длительный срок следующих бизнес-функций (процессов) сторонним (внешним) организациям – поставщикам услуг, в рамках которого возникает новый рискнарушения ИБ:
  • при выполнении которых осуществляется обработка информации, защищаемой в соответствии с требованиями законодательства РФ, несанкционированный доступ к которой, раскрытие (распространение), несанкционированное (неавторизованное) изменение, уничтожение (потеря) и (или) хищение, создают условия для возникновения убытков организации БС РФ, ее клиентов или контрагентов, в том числе условия для совершения финансовых операций от имени клиентов;
  • ненадлежащие выполнение которых поставщиком услуг создают условия для реализации или реализуют инциденты ИБ."
В итоге стандарт ориентируется именно на контроль рисков ИБ при аутсорсинге и заявляет следующую цель:
"Целью стандарта является установление требований к управлению и контролю риска нарушения ИБ при аутсорсинге, выполнение которых создает основу для обеспечения соответствия уровня риска нарушения ИБ, при передаче бизнес-функций на аутсорсинг, уровню риска нарушения ИБ, принятому самостоятельно организацией БС РФ, а также основу для уменьшения такого риска."

Одними из основных видов бизнес-функций, которые рассматриваются организациями БС РФ в качестве приоритетных для возможной передачи на аутсорсинг, определены:
  • функции, связанные с применением информационных технологий, обслуживание и администрирование средств вычислительной техники (далее – СВТ), серверного и телекоммуникационного оборудования, устройств самообслуживания, разработкой программного обеспечения; 
  • операционные и административные функции, включая функции, связанные с финансовой деятельностью, функционалом back-офиса, call-центра, организационным и административным обеспечением;
  • функции, связанные с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах);
  • функции обеспечения информационной безопасности (ИБ) организации БС РФ;
  • административно-хозяйственные функции.

Да, ИБ - лишь один из вариантов, но при этом именно особенностям аутсорсинга ИБ отведена целая часть стандарта (п.12). С ней рекомендую ознакомиться в первую очередь.

Как относится ЦБ РФ к аутсорсингу?

"Основными причинами и целями передачи выполнения бизнес-функций организаций БС РФ поставщикам услуг (целями аутсорсинга), как правило, являются:
  • содействие оптимизации и повышению эффективности деятельности организации БС РФ;
  • оптимизация затрат и повышение эффективности деятельности организаций БС РФ, в том числе связанных с выполнением не профильных (вспомогательных) бизнес-функций;
  • повышение «прозрачности» бизнеса с целью уточнения его стоимости при совершении сделок с его акциями (долями);
  • привлечение внешних специалистов, обладающих необходимой квалификацией, компетенцией, знаниями и опытом работ в областях, которые являются вспомогательными или не профильными для организаций БС РФ;
  • снижение зависимости от ресурсных ограничений, в первую очередь финансовых и кадровых, для выполнения вспомогательных или не профильных бизнес-функций."
Но необходимо учитывать возможные риски:
"Несмотря на то что привлечение поставщиков услуг для аутсорсинга призвано способствовать повышению эффективности реализации бизнес-функций при сокращении затрат на их реализацию, в большинстве случаев передача выполнения бизнес-функций приводит к появлению новых рисков в деятельности организаций БС РФ, включая риски нарушения  ИБ."

Какие требования устанавливает стандарт?

Для достижения цели управления и контроля риска нарушения ИБ при аутсорсинге, настоящий стандарт устанавливает базовые требования к управлению риском нарушения ИБ, включая требования:
  • к содержанию задач и зоне ответственности руководства организаций БС РФ при реализации управления и контроля риска нарушения ИБ при аутсорсинге;
  • к оценке риска нарушения ИБ при аутсорсинге существенных функций, в том числе при принятии решения о передаче бизнес-функций на аутсорсинг;
  • к оценке возможности поставщика услуг обеспечить должный уровень ИБ при выполнении бизнес-функций, и наличию внутренней компетенции организации БС РФ для проведения такого рода оценки;
  • к содержанию соглашений о передаче выполнения бизнес-функций на аутсорсинг;
  • к содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиком услуг при реализации бизнес-функций организаций БС РФ, в части обеспечения ИБ;
  • к содержанию мероприятий по постоянному мониторингу и контролю рисков нарушения ИБ при аутсорсинге;
  • к составу и содержанию мероприятий по проведению периодического внешнего аудита обеспечения ИБ при аутсорсинге существенных функций;
  • к организации аутсорсинга процессов обеспечения ИБ.
Это, пожалуй, основная вводная информация про новый стандарт. А чуть подробнее можно посмотреть в короткой презентации-обзоре, которую я подготовил (если у вас нет доступа к SlideShare, то можете ее посмотреть и скачать в группе ВК - https://vk.com/isms8020).



Итого: Если вы работает в финансовой организации и тема аутсорсинга вам близка (уже используете или собираетесь), то стоит, не дожидаясь утверждения документа, начинать разрабатывать Политику и Программу аутсорсинга, определять Критерии выбора провайдера услуг, Оценивать риски и пересматривать SLA. Задачи, на мой взгляд, не сложные, но потребуют больших трудозатрат хотя бы на внутреннее согласование и утверждение документов. Поэтому начинать желательно как можно раньше... Успехов!

пятница, 15 декабря 2017 г.

За нарушения при использовании электронной подписи будут наказывать штрафом в полмиллиона

Законодательство РФ в области защиты информации движется в основном в сторону ужесточения наказаний. Вот очередная новость из ГосДумы - "За нарушения при использовании электронной подписи будут наказывать штрафом в полмиллиона".

"В России появятся полумилионные штрафы административные штрафы за нарушения при создании и использовании электронной подписи.

Соответствующий законопроект в первом чтении в среду приняла на пленарном заседании Госдума. По данным Минкомсвязи, увеличивается число нарушений, связанных с созданием и использованием ключа простой электронной подписи. За этим может последовать беспорядочное распространение персональных данных граждан.

Для того, чтобы избежать этого, в Административный кодекс вводятся штрафы за нарушения правил по созданию, замене, использованию и выдаче ключа простой электронной подписи. Ответственность будут нести органы и организации, имеющие право на такие действия.

Юрлица заплатят от пяти до 500 тысяч рублей, исходя из степени причинённого вреда, а руководителям аккредитованных удостоверяющих центров будут грозить штрафы от 30 до 50 тысяч рублей. За повторное нарушение штраф будет удвоен.

Полномочиями по составлению протоколов об административных правонарушениях наделят Минкомсвязи."

четверг, 7 сентября 2017 г.

О грядущих изменениях в Положение Банка России №382-П (мнение эксперта)

Евгений Царёв высказался по поводу планируемых изменений в Положение Банка России №382-П

Опубликован проект поправок в Положение Банка России №382-П. Вступает в силу с 1 июля 2018 года, часть положений с 1 июля 2019 года.
Основные моменты:
  • Расширено понятие инцидента, если раньше к инцидентам в платежных системах относили только незначительную часть от общего количества инцидентов, то после принятия поправок к ним будет относиться почти все.
  • В платежном процессе необходимо применить ряд сертифицированных средств защиты (раньше была расплывчатая формулировка, в духе «могут применяться»).
  • Имеется прямая ссылка на ГОСТ Р ИСО/МЭК 15408-3-2013.
  • Необходимо проводить ежегодное тестирование на проникновение и анализ уязвимостей лицензиатом ФСТЭК.
  • При модернизации систем необходимо проводить внеплановый анализ уязвимостей.
  • Детализированы условия, когда по заявлению клиента банк обязан вводить ограничения по параметрам операций. Фактически по заявлению клиента банк обязан ввести требуемые клиенту ограничения.
  • Прямое требование по разделению контуров подготовки и подтверждения клиентом электронных сообщений.
  • Новые требования по информированию Банка России. Нужно будет информировать ЦБ даже о планах по размещению информации на официальных сайтах, выпуску пресс-релизов и проведению пресс-конференций.
  • Оценка соответствия по 382-П должна проводиться только сторонней организацией – лицензиатом ФСТЭК.
Теперь о деньгах. Казалось бы, ну и что, новые требования, просто информационная безопасность для банков немного вырастает в цене. А вот и нет. В случае принятия поправок радикально повышаются шансы клиентов получить возмещение от банков в случае хищения через каналы ДБО.
Практика рассмотрения судебных споров между банками и клиентами меняется. Клиенты год от года все чаще получают с банков возмещение ущерба от действий злых хакеров. Текущие поправки усиливают и ускоряют этот процесс. Каким образом? При хорошей экспертной поддержке можно однозначно доказать какие-либо нарушения требований ЦБ и в первую очередь это касается нового ГОСТа и 382-П382-П. Опять же, при правильном подходе будет доказана причинно-следственная связь между нарушениями банком требований и хищением денег клиента. А это означает удовлетворение иска на всю сумму плюс расходы.

И еще момент, раньше у банков в суде работала стратегия:
— «А мы ничего не знаем, к нам пришли платежки, ЭЦП мы проверили, они правильные. Какие к нам еще вопросы? Судебная экспертиза? А что нужно? Дать информацию по нашим внутренним ИТ-системам? Раскрыть информацию по фрод-мониторингу и средствам защиты, которые мы используем? Исходники ДБО дать? ДА ВЫ ЧТО! Это же банковская тайна! МЫ НИЧЕГО НЕ ДАДИМ НА ЭКСПЕРТИЗУ! Вот, есть компьютер клиента, с которого украли деньги, вот по нему и проводите экспертизу».
Сегодня эта стратегия уже не работает. Дело №А40-216859/15-170-1768 ООО «Электросервисмонтаж» против ОАО (ныне ПАО) «Московский Кредитный Банк». Читаем основной довод суда:
Банком не представлено достоверных сведений о примененных им аппаратных и программных средствах защиты. Повышение уровня безопасности программного обеспечения могло бы воспрепятствовать несанкционированному вторжению со стороны третьих лиц.
Согласно выводам эксперта уровень безопасности программного средства защиты соответствует низкому уровню.
Экспертом были даны пояснения по проведенной им экспертизе, в частности, эксперт пояснил, что выводы экспертизы сделаны на основании того объема документов и информации, которая предоставлена сторонами в добровольном порядке.
Поскольку запрошенная экспертом информация была предоставлена ответчиком не в полном объеме, сведения в отношении примененных им средств защиты от несанкционированного доступа были не подтверждены, суд считает возражения ответчика необоснованными и приходит к выводу о том, что по характеру обязательства ответчиком не была обеспечена надлежащая защищенность системы.
Вот и все, клиент банка получил полную сумму возмещения, плюс расходы.
Поэтому коллеги, банковские безопасники, доложите своему руководству, что ситуация не просто меняется, а меняется очень быстро. Необходимо проводить нормативное исследование/экспертизу ваших систем ДБО и корректно оформлять их работу. Также необходимо обеспечить качественную досудебную и судебную поддержку своих юридических департаментов. Фактически такого не бывает, чтобы практикующие юристы могли похвастаться компетенцией в вопросах информационной безопасности на экспертном уровне (если таковы есть, я очень хочу с вами сотрудничать – пишите, обсудим).
Еще момент, мы с коллегами в RTM Group разрабатываем методику проведения комплексной экспертизы (нормативная, финансово-экономическая и компьютерно-техническая), которая будет использоваться в судебных экспертизах в рамках споров между банками и клиентами по вопросам хищения денежных средств через каналы ДБО. Обратите внимание, в приведенном выше кейсе, эксперт оценил уровень безопасности как «низкий». Мы, помимо всего прочего, разрабатываем критерии определения уровня безопасности систем ДБО. Будут сделаны соответствующие публикации, методика будет открыта и никаких волюнтаристических оценок экспертов уже не будет, выводы экспертиз будут основаны на методике, которую суды точно примут. По своему опыту могу сказать, что суду очень хочется получить от эксперта качественную оценку уровня безопасности ДБО, с новой методикой он ее получит.
Проводить работу самостоятельно или пригласить сторонних экспертов – ваш выбор. Главное успеть адаптироваться к новой реальности. Не останьтесь крайним лично. Я на некоторых коллег уже насмотрелся. Годами ходить по судам и следователям – это не то «удовольствие», к которому нужно стремиться. Как всегда повторяю свой тезис: «Думайте о себе».
С целью повышения защиты средств компаний и граждан от хищения, Центробанк вводит дополнительные требования к банкам и любым иным структурам, проводящим платежи, в том числе настаивая на ограничении операций определенными параметрами. С новациями, предназначенными для защиты средств клиентов банков и платежных систем от хищений содержатся в поправках к Положениям ЦБ «О требованиях к обеспечению защиты информации при денежных переводах» (с текстом можно ознакомиться на regulation.gov.ru).
Новые требования будут касаться не только банков или платежных систем, но фактически для всех сайтов, принимающих оплату. «Сейчас при оплате покупки в Интернете сайт нередко запрашивает данные на своем сайте, а далее переадресует на сайт банка или платежной системы, чем пользуются злоумышленники и что в итоге приводит к хищениям», — отмечает замглавы лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин.
Для повышения безопасности трансакций будут введены дополнительные меры безопасности. Во-первых, платеж и его подтверждение должны быть в разных программных средах (например, платеж — на компьютере и подтверждение — на телефон). Кроме того, клиент в обязательном порядке должен видеть реквизиты платежа, который он подтверждает. Центробанк также настаивает на том, чтобы банки усилили контроль за сомнительными трансакциями уже на этапе авторизации клиента и даже приостанавливали операции при наличии определенных признаков.
Поправки должны вступить в силу с 1 июля 2018 года.

воскресенье, 27 августа 2017 г.

Новый стандарт о рисках документных процессов

В информационной безопасности достаточно большую часть занимают вопросы обеспечения безопасности при работе с документированной информацией. Проще говоря с документами.
Документационное обеспечение имеет достаточно большую нормативную базу, в том числе различные стандарты по работе с документами, архивами и т.д. При переводе документов в электронный вид и при работе с автоматизированными системами документооборота возникают свои риски. Зачастую они косвенно связаны с вопросами информационной безопасности, но их нужно учитывать и при разработке политики информационной безопасности организации.
Наташ Храмцова в своём блоге недавно опубликовала ссылку на интересный документ - новый стандарт ГОСТ Р 57551-2017 / ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем».


Прямая ссылка на ГОСТ - ГОСТ Р 57551-2017 ИНФОРМАЦИЯ И ДОКУМЕНТАЦИЯ. ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ

четверг, 24 августа 2017 г.

"Подводные камни" простой электронной подписи

В связи с появлением в российском законодательстве об электронной подписи (Федеральный закон 63-ФЗ) понятия простой электронной подписи (ПЭП) часто возникает множество вопросов о том, какие именно коды, пароли и иные средства могут использоваться для формирования ПЭП, какие дополнительные условия нужно выполнить, чтобы ПЭП признавалась всеми сторонами электронного обмена документами и могла служить доказательством авторства документа.
На Хабре попалась неплохая статья на эту тему. Рекомендую её для прочтения.

Статья "Подводные камни" простой электронной подписи

Копия статьи в формате .PDF

Ссылки по теме:

Статья - "Где можно использовать простую электронную подпись без проблем?"

Разъяснения Минсвязи - Можно ли считать простую электронную подпись аналогом собственноручной подписи?

воскресенье, 2 июля 2017 г.

Можно ли достичь анонимности в Интернете (CIF4)

Вчера довелось посетить проводимую Пиратской партией ежегодную конференцию CIF (CryptoInstallFest). Конференция проводится уже в четвёртый раз. Поэтому она называлась CIF4. CIF — это практическая конференция, во время которой IT-специалисты, юристы и общественные деятели рассказывают о текущем положении дел со свободой слова и цензурой в сети, о государственном регулировании интернета, о том как сохранить анонимность и защитить свои данные от посторонних глаз.
Несмотря на то, что в слогане конференции присутствовало слово безопасность, о безопасности как таковой говорилось в основном в контексте того, что борьба государства за безопасность в Интернете мешает идеалам свободы и анонимности.
Пиратская партия вела прямую трансляцию на YouTube (ссылка на трансляцию - https://www.youtube.com/watch?v=OCL5072vBM0).

среда, 17 мая 2017 г.

Мнение неэксперта о WannaCry

Не смог пройти мимо шумихи вокруг массового распространения вируса WannaCry.
По телевизору и интернету многочисленные эксперты дают комментарии разной степени глубины о причинах столь массового заражения этим вирусом, о том как предотвратить заражение и т.п. В основном сходятся к банальным советам "соблюдать гигиену", не открывать подозрительные вложения, не нажимать на ссылки и т.д. Несмотря на простоту этих советов маловероятно, что они помогут избежать дальнейшего распространения новых модификаций червей, работа которых основана на уязвимостях Windows.

Во-первых, по мнению специалистов, исследовавших этот вирус он распространяется без участия человека. От заражения страдали все подключенные устройства Windows, которые были расположены в одной сети с изначально зараженным компьютером и на которых не было установлено соответствующего патча. Заражение одного компьютера могло закончиться компрометацией всей корпоративной сети.

Во-вторых: если в организациях установлены (надеюсь) легальные версии Windows и они могут установить официальные патчи от Microsoft, то у многих "домашних" пользователей установлены всякого рода нелегальные копии Windows с активаторами. При попытке обновить такие "серые" операционки велика вероятность синего экрана и бутлупа (безконечная перезагрузка), хотя кому-то всё-таки удаётся установить патчи. Для удобства установки патчей некоторыми специалистами даже написаны наборы скриптов для проведения обновлений.
В тоже время, в то, что все потенциальные жертвы сейчас обновят свои компьютеры верится с трудом. Это не первая уязвимость Windows, но исследования показывают, что на многих компьютерах не установлены обновления, закрывающие узвимости прошлых лет.

В-третьих: несмотря на то, что многие организации в соответствии с своей политикой безопасности "полностью отделяют" корпоративную сеть от сети Internet и считают себя защищёнными, находятся сотрудники, подключающие свой корпоративный компьютер к Интернету через всякого рода мобильные устройства и роутеры и позволяющие заразе проникнуть в корпоративную сеть. Таким образом WannaCry попал в сети МВД.

Не хочется быть фаталистом, но картина пока не очень радостная. Успех первой волны распространения WannaCry воодушевил вирусописателей. Появилось уже несколько его модификаций. Пока будем создавать почаще резервные копии критичных для нас данных (документов, фотографий, ..) и наблюдать за развитием ситуации на антивирусном фронте.

пятница, 5 мая 2017 г.

Байка про безопасность пластиковых карт

Речь сегодня не пойдёт о "Рекомендациях по безопасному использованию карт". Речь о "народных методах" обеспечения банковских карт. История наверняка выдуманная, но в каждой байке есть доля правды. Нужно повышать грамотность населения в части безопасности :)

"Никто на застрахован от идиотизма или старческого маразма... 
Рассказывал сотрудник банка. 
Пришла к ним мадам глубоко пенсионного возраста и заявила, что подаст на них в суд. 
Оказывается, наслушавшись в СМИ о похищениях с пластиковых карточек, она не придумала ничего лучшего, как сделать в уголке карточки дырочку и продеть в нее крепкую ниточку. Ну, носишь на груди свою "медаль" и носи. Все бы ничего, но она и денежку решила получить, не снимая ее с шеи. Втянул банкомат ее карточку, и бабуля уперлась носом в экран. Клавиатуры не видно, стала вводить пин-код на ощупь. Первая попытка... - код неверный, вторая попытка... - аналогично. очередь у банкомата предлагает помочь и просит назвать пин-код вслух. Но нет! "Никому не говорите его... даже сотруднику банка! Я сама!" И что же - третья попытка опять неудачная! А когда это происходит, в банкомате такая карточка втягивается еще глубже в отдельный отсек. Нить стала передавливать шею. Нить крепкая. У окружающих нет ни ножниц, ни ножа... Благо, один мужчина не растерялся и пережег нить зажигалкой.
После этого в банке обвинение в покушении на убийство.
Занавес."

четверг, 4 мая 2017 г.

Тренды повышения интереса к парольной защите

У Гугла много интересных сервисов. Один из них "Гугл.Тренды". Он позволяет просмотреть тренды в поисковых запросах и публикациях по ключевым словам. Разбираясь в очередной раз с парольной защитой посмотрел тренд по слову "пароли". Выявился странный всплеск интереса к парольной защите в сентябре 2014 года

Добавляем тренд по слову "хакеры"

Пики интереса явно совпали. Пришлось погуглить, что же за события происходили в сентябре 2014 года. Оказывается именно тогда хакеры взломали аккаунты знаменитостей и выложили в сеть откровенные фото звёзд фотомодели Ким Кардашьян, актрисы Эммы Стоун, Ванессы Хадженс, Мэри-Кейт Олсен и Хейден Панеттьер, вратаря женской сборной США по футболу Хоуп Соло и канадской певицы Аврил Лавин.

Вести с полей: о продвижении нового Госта в области информационной безопасности и изменениях в 382-П

Алексей Лукацкий как всегда высказывает своё непредвзятое мнение о финальной версии ГОСТА ЦБ РФ по защите информации в своём блоге "Финальная редакция ГОСТА ЦБ по защите информации" и о планируемых изменениях в Положении 382-П

вторник, 2 мая 2017 г.

Непростая тема: безопасность организации в период всеобщего онлайна

В Журнале "Форбс" Игорь Ляпунов опубликовал интересную статью на тему того, что в период всеобщего онлайна, когда у каждого сотрудника организации в наличии целый набор гаджетов, акцент в обеспечении безопасности должен смещаться в область мониторинга действий человека, а не движения информации.


среда, 29 марта 2017 г.

Требования к паролям — полная чушь

Продолжаем обсуждать устаревшие требования к паролям
Намедни на Хабре опубликовали перевод статьи с громким названием "Требования к паролям — полная чушь". Во многом согласен с автором.

Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.


«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».

среда, 22 февраля 2017 г.

Книга "про практические примеры для организации защиты персональных данных"

Недавно в одном приличном паблике по Информационной безопасности попалась ссылка на книги по информационной безопасности издательства ДМК Пресс.
Почитал я аннотации к книгам и заказал на сайте книгу автора Бирюкова А.А. "Информационная безопасность: Защита и нападение". Издательство второе, переработанное и дополненное.


Судя по аннотации в книге приводится как техническая информация, описывающая атаки и защиту от них, так и рекомендации по организации процесса обеспечения информационной безопасности. Рассмотрены практические примеры для организации защиты персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими нормативными актами.
 Во втором издании проведена актуализация технической информации, а также описано более глубокое погружение в практические аспекты, связанные с проведением аудитов по безопасности и тестов на проникновение для различных систем. Подробно рассматриваются современные решения по маршрутизации, беспроводной связи и другим направлениям развития информационных технологий.

Могу сказать, что к издательству и Почте России никаких претензий нет, книга пришла по почте в целостности и сохранности.

Вот уже который день пытаюсь найти в книге эти самые практические примеры для организации защиты персональных данных.

Пока имею одно упоминание про Федеральный закон о персональных данных № 152-ФЗ вот в таком контексте:

Пока не могу дать оценку остальным заявленным достоинствам этой книги, но пока я озадачен. Это уже вторая книга по информационной безопасности, стиль изложения материала которой напоминает реферат, а заявленное содержание не соответствует действительности.
Сейчас вообще издаётся что-нибудь приличное по тематике информационной безопасности?

И, как покупать книги через Интернет и "не купиться" :)

понедельник, 6 февраля 2017 г.

Из архивов:Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера.

Как говорил в своей рекламе "Банк Империал" - "есть вечные ценности!". В уже далёком 2011 году Дмитрий Орлов сделал перевод документа CERT "Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера". Несмотря на прошедшие годы, рекомендации этого документа вполне могут использоваться при обработке инцидентов, связанных с заражением вредоносным годом.

Автор документа - Cédric Pernet. В документе кратко приведены основные моменты, которыми следует руководствоваться при поиске и удалении вредоносных программ на компьютерах с операционной системой MS Windows.

В документе определены 6 этапов обработки инцидентов, связанных с заражением вредоносной программой Windows-компьютера:

  • Подготовка: обеспечение готовности к обработке инцидента
  • Обнаружение вредоносного ПО: выявление инцидента
  • Локализация и снижение воздействия: минимизация воздействия инцидента
  • Исправление: очистка компьютера от вредоносной программы
  • Восстановление: восстановление нормального состояния
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.

ИБ-лекторий — Алексей Лукацкий (CISCO): Окно Джохари в ИБ

пятница, 3 февраля 2017 г.

Повышает ли сложный пароль безопасность

В продолжение темы необходимости сложного пароля IB-BANK.RU опубликовал статью, которая по названию должна была дать совет, как запомнить сложный пароль "О пределах человеческой памяти или как запомнить все эти пароли?" . Собственно ответа в статье на этот вопрос нет. Нет и информации про пределы человеческой памяти.
Предлагается три совета:

  • использовать на всех компьютерах один пароль или два-три.
  • записывать пароли на бумажке.
  • купить программу для хранения паролей.

Все советы замечательные. Никаких реальных советов нет. А доверять свои пароли какой-то программе не менее сомнительно, чем записывать пароль на бумажке.

Утечка персональных данных в ЖЭКах, ДЭЗах и т.п.

Намедни в Интернете появилась информация, что в одной из управляющих компаний Магнитогорска хакеры украли персональные данные 13 тысяч жителей.
УК насчитала нанесённый себе ущерб в 4 млн. руб и гордо отказалась от предложенной злоумышленниками услуги по восстановлению данных за 20 тыс.руб.

Возникает несколько риторических вопросов:

  • во сколько оценили бы свой ущерб жители, чьи данные украдены?
  • кто и как защищает персональные данные во всяких там ЖКХшных организациях и конторах?
А ведь про большинство утечек ПДн у нас просто нет никакой информации...

понедельник, 23 января 2017 г.

Про отзыв персональных данных у банка

Многие банки встают в тупик, когда к ним приходит клиент и, ссылаясь на ФЗ "О персональных данных" пишет заявление о отзыве своих персональных данных. Как продолжать договорные отношения с таким клиентом? Что делать с персональными данными клиента? Эти вопросы рассматривались в статье на сайте "Банки.Ру" ещё в 2015 году.

С разной периодичностью в Народном рейтинге появляются "заявления" на отзыв персональных данных и запрет их дальнейшей обработки у банка. Если кроме "заявления" в отзыве появляется еще что-то, что хоть немного похоже на отзыв и повествует о взаимоотношениях Автора с Банком, то обычно это гневное повествование Автора о том, как он платить не может, а Банк его заставляет, звонит и шлет письма. И вот только из-за такого "хамского" отношения Банка к Автору, этот самый Автор и отзывает свои ПД у банка. 

Можно так же пройтись по форуму и почитать длинные ветки обсуждений на эту тему например тут. Можно найти множество других сайтов и форумов с подобного рода заявлениями и обсуждением их. Высказываний непонятного рода "юристов" активно советующих писать подобные заявления. Можно даже зайти на сайт АнтиРусскийСтандарт и поучаствовать в веселье там. 

Но что же с отзывом на самом деле? 

Начнем с того, что установим какие именно документы и законы нас в данном случае интересуют. Первое и основное - Федеральный Закон РФ N 152-ФЗ "О персональных данных". Пока я не буду приводить тексты самого закона, скажу только что основанием для обработки персональных данных в случае Заемщика и Банка является договор, а как следствие мы должны включить в список интересующих нас документов и законов еще и Договор с банком. 

Но, начнем читать 152-ФЗ. Итак: 

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных 

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. 

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. 

Заинтересованный взгляд "юриста" или Заемщика выхватывает из этой статьи закона первое предложение второго пункта и вот уже радостный Заемщик заполняет формочку заявления на отзыв ПД. Правильно ли это? Не совсем, давайте рассмотрим закон полностью, сейчас нас интересует: 

Статья 6. Условия обработки персональных данных 

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 

Нас интересует именно п. 1 пп. 5 данной статьи. Где несколько сложно для понимания обывателя, но все таки достаточно явно сказано, что в случае если обработка персональных данных необходима для исполнения договора данная обработка допускается. 

Фактически это означает только одно - Банку как одной из сторон договора незачем получать от Заемщика, как в прочем и от любого клиента банка связанного с ним договором разрешение на обработку ПД этого клиента. Право на обработку ПД у Банка возникает автоматически, сразу после заключения договора. И отозвать это право в соответствии со ст. 6 ФЗ-152 у банка просто нельзя. Это право ему предоставил закон, а вовсе не клиент. 

Вот такая петрушка. 

Но мы ходим отозвать наши ПД! Да без проблем, скажу я вам, для этого достаточно лишить Банк права на обработку ваших персональных данных. То есть - закрыть договор. Если это договор кредитный, вам достаточно погасить кредит, расторгнуть после этого договор и уже после этого подать в банк ваше заявление. 

Все данные вы, в прочем, не отзовете. Есть еще несколько исключений в вышеупомянутом законе, связанные с исполнением других ФЗ, например "О банках". По которым банк, к примеру, обязан хранить данные о ваших платежах вполне себе определенное время. Но, номер телефона и адрес отозвать точно сможете. Хотя непонятно зачем вам их отзывать, кредит-то вы уже вернули.

Источник: Сайт Банки.Ру

Публикации на эту же тему:

http://arb.ru/bank/russkiy-standart/claims/9986589/

"Положение "Мосуралбанка" по обработке персональных данных (.PDF)

Комментарий прокуратуры и судебный прецедент

Социальные сети: 22 совета по информбезопасности в соцсетях от Safe.rublacklist.net

  В основе социальной сети – человек, его личность. Можно делиться фотографиями, текстами, файлами, данными "где я сейчас нахожусь и чем занимаюсь". Кроме того, соцсети – мощный инструмент распространения информации, общения с аудиторией, поиска помощи. Множество людей использует соцсети для работы. Там находят единомышленников, публикуют статьи, читают новости, делятся планами, обсуждают совместные проекты и анонсируют мероприятия.
Увы, с точки зрения специалиста по безопасности современная соцсеть – колоссальная дыра. Возможно, лучший совет, который способен дать специалист человеку, интересующемуся безопасностью – вообще не использовать соцсети.
Но поскольку мы видим категорическое несогласие в глазах читателя, мы составили "20 советов по безопасности в соцсетях".
Предисловие-напутствие одной фразой: "Не размещайте в сети ничего, чего не хотели бы увидеть в вечерних новостях". То, что попало в интернет, невозможно изъять, стереть, уничтожить.

Совет 1. Указывайте минимум данных

Все люди в сети делятся на три категории. Первые вас знают, любят, им все про вас известно, а если нет, это не очень и важно, ведь вы такой душка. Вторые вас не любят и были бы рады разузнать о вас побольше, чтобы соорудить куклу вуду и втыкать в нее виртуальные иголки. Третьим на вас плевать. Во всех трех случаях – нет смысла публиковать о себе лишнюю информацию. Когда человек увлекается рассказами о себе, причина одна: собственные амбиции.
Публикуя избыточные данные, вы помогаете составлять досье маркетинговым службам, социологам, политологам, криминалу или полицейскому, которому позарез нужна галка раскрываемости по делу об экстремизме. Была даже история, когда служба судебных приставов использовала фотографию местной красавицы для объявления на сайте знакомств, чтобы отлавливать злостных алиментщиков. Фотографию приставы взяли из сетевого аккаунта совершенно ни в чем не замешанной девушки.
Предоставляйте минимум информации, которая необходима для регистрации. Адрес e-mail — да. Адрес проживания — нет. Меньше личного. Ничего интимного.
"Но ведь эти данные доступны только мне," — возражает наивный новичок, который прочел первые строчки пользовательского соглашения. Сегодня – может быть, да. Завтра уже иначе. Не стоит играть с коммерческими компаниями, которые во многом живут за счет рекламы, в игры "они мне обещали хранить мои секреты".

среда, 18 января 2017 г.

О перспективах заменить тысячу и один пароль одним блокчейном

Современному человеку необходимо держать в голове десятки логинов и паролей для доступа к своим аккаунтам на разных платформах. Чем надежнее пароль, тем сложнее его запомнить. И чем больше уникальных паролей создает пользователь для своих аккаунтов, тем выше вероятность потери одного из них.
Можно ли изменить эту старую парадигму, где сам залог безопасности (пароль) зачастую становится причиной ее снижения? Нам сложно представить, что в скором будущем логин и пароль перестанут быть нужны для авторизации. Но как давно сканирование сетчатки или голосовая аутентификация казались нам фантастикой? Возможно, сегодня мы не так далеки от эры беспарольной безопасности, как может показаться.
Решения, пытающиеся облегчить жизнь пользователя с помощью технологии единого входа, появились не вчера. Вдохновителем этих инициатив можно назвать старый протокол Kerberos, с помощью которого пользователь мог свободно перемещаться внутри одного сайта или программной оболочки.
Децентрализованные системы аутентификации OpenID и Mozilla Persona попытались распространить принцип единого входа на целый ряд сайтов и сервисов, но не достигли значительного успеха. Несмотря на поддержку крупных брендов, их использование не стало повсеместным, а Persona был благополучно похоронен в конце ушедшего года.
Серьезной уязвимостью подобных сервисов считался фишинг.
Намного большую популярность набрал oAuth — открытый протокол авторизации, позволяющий пользователю временно предоставить третьей стороне ограниченный доступ к своим данным и с помощью одного хорошо защищенного аккаунта авторизоваться на любом другом онлайн-сервисе, поддерживающем протокол.
Но oAuth не мог похвастать идеальной защитой персональных данных и делал слишком большую ставку на один центральный аккаунт, взлом которого мог повлечь потерю остальных.
Довольно надежным методом беспарольной авторизации можно назвать клиентские SSL-сертификаты для браузеров, которые можно купить у централизованных компаний-сертификаторов. Но это удовольствие не из дешевых и требует определенного времени и усилий.
Существуют также другие варианты решения этой проблемы с использованием технологии блокчейн. Например, токены авторизации NXT используются для аутентификации пользовательского аккаунта, неся в себе уникальную подпись, сгенерированную с помощью приватного ключа. К сожалению, токены NXT не обеспечивают достаточную безопасность, так как передаются целиком и, следовательно, могут быть перехвачены.

Использование блокчейна EmerCoin

На фоне большого и печального опыта появилась потребность в новом сервисе, который обеспечил бы безопасную и надежную единую авторизацию. Здесь необходимо упомянуть протокол emcSSL, который позиционирует себя как первая децентрализованная система управления цифровыми ключами на основе блокчейна EmerCoin.
Как и положено в децентрализованной структуре, сертификацией в системе emcSSL занимаются сами пользователи, а блокчейн EmerCoin используется для хранения хэшей этих SSL-сертификатов и обеспечивает уникальность UserID.
Технология блокчейн позволяет как повысить безопасность, так и масштабировать систему до глобального уровня благодаря децентрализации. Приватные ключи никогда не покидают компьютеры пользователей, поэтому невозможна массовая утечка личных данных в результате взлома. Да и центрального сервера, который можно скомпрометировать, у системы не существует.
В системе emcSSL персональные данные хранятся на так называемых инфокартах — зашифрованных блоках данных в блокчейне EmerCoin. Когда пользователь авторизуется на том или ином сайте или сервисе, он сам решает к какой информации открывать доступ. Такая система защищает личные данные, когда пользователь не хочет ими делиться, и позволяет легко открыть доступ к ним, когда это необходимо — например, для совершения онлайн-покупки не нужно заполнять анкету на каждом сайте, протокол сам откроет магазину доступ к контактным данным с разрешения пользователя.
Тем не менее, emcSSL довольно сложен в настройке и работе и требует от пользователя определенных профессиональных навыков.

Authorizer

Серьезный шаг на пути к созданию «мультипаспорта» для массового пользователя неожиданно сделали в Hashcoins — компании, которую многие в криптовалютном сообществе знают по сервису облачного майнинга Hashflare.
После длительного знакомства с emcSSH, который сотрудники компании использовали для создания простой и эффективной иерархии доступов к многочисленным майнинговым серверам, Hashcoins заявили что работают над сервисом Authorizer, объединяющим протокол emcSSL с функционалом oAuth 2.0. Ожидается, что в результате этого союза упростится настройка сервиса и значительно увеличится дружелюбность к пользователю.
По словам разработчиков, интерфейс будет реализован как кнопка-гиперлинк, нажав на которую пользователь окажется на сайте Authorizer или увидит всплывающее окно и получит токен авторизации. Судя по всему, внешне это будет мало отличаться от авторизации через Facebook.
Релиз запланирован на конец января, но Hashcoins уже сегодня объясняют процесс работы с новым продуктом. Первым шагом в настройке Authorizer будет создание собственного сертификата и заполнение инфокарты. Это можно будет сделать как на сайте самого Authorizer, так и на сайте emcSSL или через кошелек EmerCoin. Самый надежный способ для продвинутых пользователей — самостоятельная генерация сертификата с помощью скриптов.
Вновь созданный сертификат интегрируется в любые браузеры. Это простой процесс, требующий только единожды ввести сгенерированный при создании сертификата пароль для привязки сертификата к каждому новому браузеру.
Однако при всех преимуществах такого единого инструмента авторизации, кража плохо защищенного девайса с активным сертификатом может привести к печальным последствиям. Пользоваться Authorizer с мобильных устройств, не имеющих надежной защиты от несанкционированного физического доступа, может быть небезопасно.

«Для защиты сертификата используется пароль. Его нужно ввести один единственный раз при добавлении в браузер. Если вы носите ноутбук или телефон с собой и на этих девайсах есть важные данные, то наверняка у вас уже стоит пароль или используется отпечаток пальца для защиты девайса от посторонних глаз», — прокомментировал технический директор компании Hashcoins Николай Павловский.
Дальнейшее использование сервиса не требует паролей и проверок. Для авторизации на любом ресурсе, поддерживающем Authorizer, необходимо будет просто нажать на кнопку авторизации и выбрать сертификат на устройстве. Объем личной информации, которую каждый ресурс получит при авторизации, будет зависеть только от решения самого пользователя.
Как электронное хранилище персональных данных, Authorizer намного безопаснее любого централизованного решения, но требует от пользователя более ответственного подхода к обеспечению офлайн-безопасности своих устройств.

понедельник, 16 января 2017 г.

Перечень самых распространенных паролей

Перечень самых распространенных паролей опубликован разработчиками приложения Keeper. Использование подобных комбинаций является небезопасным.

Специалисты провели анализ базы из более чем 1000000 аккаунтов и составили рейтинг популярности паролей. По словам экспертов, пароль «123456» все еще является лидером списка: пользователи продолжают применять эту простейшую комбинацию.
В перечне присутствуют и более сложные пароли, но для того, чтобы их взломать, также потребуются считанные секунды. Самые интересные пароли из перечня - это 18atcskd2w и 3rjs1la7qe. Они настолько популярны, потому что применяются ботами. Учетные записи с подобными паролями в большом количестве присутствуют в почтовых сервисах для рассылки спама.
Перечень из 25 самых популярных паролей выглядит таким образом:
123456, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, password, 123123, 987654321, qwertyuiop, mynoob, 123321, 666666, 18atcskd2w, 7777777, 1q2w3e4r, 654321, 555555, 3rjs1la7qe, google, 1q2w3e4r5t, 123qwe, zxcvbnm, 1q2w3e.

четверг, 12 января 2017 г.

Центробанк будет блокировать опасные сайты за один день

Регулятор закрыл более полутора тысяч вредоносных ресурсов и нацелился на большее Источник: http://izvestia.ru/news/656286#ixzz4VZYMha9r

Банк России получил принципиально новое оружие в борьбе с вредоносными сайтами и теперь сможет блокировать их за один день. Благодаря особому статусу компетентной организации отныне он имеет право выявлять сайты-нарушители, распространяющие вредоносные программы, ресурсы с противоправным контентом и фишинговые сайты. Если в закончившемся году ЦБ устранил около 1,5 тыс. таких страниц, то с новыми возможностями он сможет существенно увеличить это число и кардинально изменить ситуацию с безопасностью в Рунете.
Данные о виртуальных ворах Центробанк будет предоставлять координационному центру (КЦ) национального домена сети, что и позволит максимально оперативно блокировать подозрительные сайты. По сути, регулятор будет закрывать сомнительные ресурсы практически самостоятельно, пояснили «Известиям» в пресс-службе ЦБ, отметив при этом, что процедура будет укладываться в один день. Соответствующее соглашение было подписано в конце прошлого года. Соглашение заключается сроком на три года, уточняется в тексте документа (есть у «Известий»).
В прошлом году при содействии Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России было заблокировано 1588 фишинговых сайтов, угрожающих финансовой и информационной безопасности граждан и национальной платежной системе, сообщили «Известиям» в Банке России. При этом наибольшее число закрытий сайтов пришлось на IV квартал. Только в декабре было нейтрализовано около 600 вредоносных ресурсов, в ноябре — 400, уточнили в ЦБ.
Эти показатели можно считать весьма скромными по сравнению с общим числом потенциально опасных сайтов, через которые мошенники крадут данные о банковских счетах граждан. По данным КЦ, в России зарегистрировано более 6,4 млн доменных имен .ru и .рф. Из них опасность представляют страницы около 370 тыс. ресурсов в сети, и это число постоянно растет, сообщили «Известиям» в «Яндекс.Браузер».
— Каждый месяц мы выявляем в среднем 3–4 тыс. новых фишинг-страниц, пополняя их списки по несколько раз в день. Но даже за час своего существования одна мошенническая страница может навредить пользователям, — заявил «Известиям» представитель компании.
— В каждый момент времени активными могут быть сотни тысяч вредоносных сайтов. Это как фишинговые страницы, выманивающие пароли и номера карт под видом банковских сайтов и других популярных порталов, так и сайты, распространяющие вредоносное программное обеспечение, — пояснил руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies Эльмар Набигаев.
Обычно мошенники пользуются доверием людей, выдавая вредоносные сайты-двойники за реальный интернет-банк. Так киберворы могут получить доступ к паролям, защищающим личную информацию. Потенциальными жертвами недобросовестных лиц могут стать более 5 млн граждан, и это только пользователи отечественного браузера «Яндекс» (по данным самой компании).

Большой брат не спит. Ломает и блокирует.

Сегодня поступило сразу несколько новостей о наступлении спецслужб и надзирающих органов России на приватность и свободу в Интернете.

1. В России начались блокировки VPN-клиентов
Роскомнадзор внес в Реестр запрещенных сайтов VPN-сервис Hideme.ru. Согласно данным Роскомнадзора, решение о блокировке Hideme.ru принял Учалинский районный суд Уфы (республика Башкортостан). Это суд известен тем, что принял наибольшее число решений по блокировкам доступа к анонимайзерам.
С одной стороны через подобные сервисы могут совершать нехорошие дела нехорошие люди и скрывать свои реальные IP-адреса. С другой стороны, например в Крыму, часть интернет-сервисов Google доступна только если использовать VPN-сервисы. Пока ещё остаются доступные анонима, но тенденция не радует.
2. ФСБ, возможно, взломала Telegram
Многие давно не доверяют свои тайны мессенджерам и ищут приложения, которые шифруют данные. До недавнего времени Telegram считался самым приватным мессенджером. Но, вот, появилось сообщение о взломе ФСБшниками этого приложения. Лично я и Вайбером иногда пользуюсь. Мне вроде скрывать от ФСБ нечего. Но для кого-то это критично.
Есть мнение, что сообщение о взломе ложное.

Поживём - увидим.
3. Роскомнадзор заблокировал популярный музыкальный портал muzofon.com
В данном случае речь идёт не о приватности граждан. Портал признан нарушающим авторские права.
"На основании решения Мосгорсуда доступ к сайту muzofon.com подлежит ограничению на постоянной основе. Указанное решение принято на основании заявления правообладателя ООО "Первое музыкальное издательство", — сообщает Роскомнадзор. По данным сервиса similarweb.com, посещаемость ресурса составляла 17,8 миллиона человек в месяц, среди которых 11 миллионов россиян. Теперь все эти люди будут искать любимую музыку на других порталах. И скорее всего найдут. "Свято место пусто не бывает..."

воскресенье, 8 января 2017 г.

Может ли хакер подобрать Ваш пароль всего за 100 попыток?

Убедитесь, что Ваши сотрудники используют сложные и разнообразные пароли как внутри корпоративной сети, так и за ее пределами – это имеет жизненно важное значение. Хотя бы потому, что массивы конфиденциальных данных могут быть подвержены риску из-за простых регистрационных данных, которые просты для подбора и часто повторяются.
Чтобы продемонстрировать необходимость адекватной защиты, группа исследователей создала программное обеспечение, способное подбирать пароли за небольшое количество попыток. В частности, обладая небольшим объемом персональной информации жертвы, утилита способна разгадать правильный пароль менее, чем за 100 попыток.
Утилита под названием TarGuess была создана исследователями из Университетов Пекина и Фуцзянь из Китая, а также Университета Ланкастера из Великобритании. Согласно их исследованию, хакер, имея незначительный объем персональной информации о жертве (имя пользователя, кличка домашнего животного, члены семьи, дата рождения или место последнего отдыха), имеет примерно один из пяти шансов угадать его пароль менее чем за 100 попыток.
Все, что они сделали с помощью TarGuess, - это автоматизировали процесс с помощью инструмента, который ищет в социальных сетях персональную информацию, которая позже может использоваться в их попытках.
Используя данную утилиту, исследователи успешно подобрали 20% паролей у тех пользователей, которые приняли участие в исследовании, всего за 100 попыток. Что еще более поразительно, вероятность успеха повышается пропорционально количеству подборов. Например, при тысяче попытокTarGuess способен получать 25% паролей, а при миллионе попыток – вероятность может повыситься до 50%.
Не забывая про скандальные утечки данных на таких платформах как Yahoo или Dropbox, основной вывод исследования заключается в том, что пароли очень многих пользователей недостаточно надежны, чтобы выдерживать подобные атаки. Кроме того, эти утечки выявили еще один риск: по имеющимся сведениям, TarGuess обнаружил, что многие из этих регистрационных данных используются также и на других сервисах, или очень похожи на них (т.е. являются «родственными паролями»).
Данное исследование еще раз показывает необходимость контроля над тем, какой вид информации публикуется в социальных сетях. Сотрудник, который «выкладывает» каждый момент своей жизни, может стать невольным подельником, помогающим кибер-преступникам подбирать пароль, подвергая риску корпоративные данные.

Оригинал статьиCan a Hacker Guess Your Password in Only 100 Attempts?