22 марта 2013 г.

Grand-2013

А? Как звучит? Героическими усилиями Дмитрия Мацкевича и его команды 28 марта в Holiday Inn Сокольники пройдет Международный Гранд Форум «Вокруг ЦОД, Вокруг Облака, Вокруг IP. Бизнес и информационные технологии». Похоже, несколько сот человек найдут любую интересную для себя тему, связанную с дата-центрами, облаками и всем остальным – от пожаротушения до продажи сервисов, от «зеленых» ЦОДов до стартапов, живущих где-то за облаками, от социальных сетей до оценки облачного рынка в целом.
Что интересно лично мне: про влияние ИТ на успех бизнеса от организатора; про ИТ-инфраструктуру в облаке для распределенной виртуальной компании (звучит-то как!) от Рустэма Хайретдинова, как раз такой компанией и владеющего; про игровые механики для мотивации сотрудников с использованием ИТ-технологий от Алексея Любко из «Пряников»; про BYOD от Дениса Дубровина из Aastra Technologies Limited (как безопаснику, интересно сверить позиции); управление ДИТ как бизнесом при помощи частных облаков от Михаила Козлова из DevBusiness.ru, ну, и кое-что еще.
Все это показалось увлекательным, и мы тоже втянулись. Решили рассказать про грабли, спрятанные в ЦОДе (естественно, про обработку персональных данных в ЦОДе и облаке и про то, как на них не наступить). Так уж сложилось, что законотворчество и технический прогресс идут каждый своими путями, которые почему-то редко пересекаются. Это произошло и у нас с персональными данными. Государственное регулирование их обработки и обеспечения безопасности практически не учитывает особенности работы в Интернете, возможности переноса обработки на технологические площадки коммерческих центров обработки данных и совсем не отражает все большую популярность размещения данных в облачных инфраструктурах. 

В выступлении мы попытаемся найти ответ на вопрос, как в этих условиях добиться соответствия законодательству и, в то же время, не нарушить законные права граждан, чьи данные обрабатываются оператором, кто, как должен и может нарисовать модель угроз, сколько их должно быть и что с ними делать. О мерах на стороне ЦОДа и на стороне его клиента. О криптошлюзах для доступа в ЦОД и причинах ограничения их производительности. Если ребята из латвийского DEAC к этому времени останутся, можно будет поговорить и о трансграничке, ЦОДе за рубежом как площадке для обработки персданных, рисках, регуляторах и возможных проблемах.
Тема более чем актуальная, по оценке нашего агентства. ЦОДов и облаков, предлагающих XaaS для персональных данных, все больше. Хостинг, колокация, дидикейтед – повседневная практика для многих компаний (почему-то чаще зарубежных, работающих на российском рынке, но и об этом пару слов скажем). А вот насколько это вписывается в 152-ФЗ «О персональных данных»– большой вопрос. Поищем ответы вместе. Для этого большие конференции и нужны. 

20 марта 2013 г.

Сегодня, 20 марта, в 19:15 беседа Виттеля и Емельянникова о кибератаках в Интернете

Сегодня, 20.03.2013, в 19:15 на РБК-ТВ в программе «Виттель. Обозреватель» беседа Игоря Виттеля и Михаила Емельянникова о кибератаках в Интернете.
Ссылка на телеканал: http://rbctv.rbc.ru/live

19 марта 2013 г.

На пути к безопасному Интернету

Среди того, что я переношу крайне плохо, особое место занимают хамство и воровство. К сожалению, Интернет, предоставляя фантастические возможности в поиске и распространении информации, от этих двух явлений никакой защиты не предусматривает. Более того, анонимность и доступность Интернета часто не просто создают для них условия, но и провоцируют их.
Я не являюсь сторонником идеи о создании какой-то новой, «белой и пушистой» глобальной сети, где строго поименованные паиньки будут мило общаться по самым высоким стандартам английской вежливости, не будут выкладывать чужие объекты интеллектуальной деятельности и ворованные тексты, а запрет на анонимность уничтожит фальсификацию и дезинформацию. Просто не верю в это.
Поэтому решать проблемы придется самим пользователям. Об одном из таких решений – авторской социальной сети «Цифровой автограф» я написал статью в рамках партнерства с ее создателем - компанией «Сигнал-КОМ». И разместил ее в этой самой авторской сети. 
Планирую там же выкладывать и другой накопившийся и создаваемый контент – блоги, фото, видео. С факсимильным автографам и электронной подписью. И раздавать его друзьям и знакомым с дарственными надписями и пожеланиями. Идея показалась мне весьма интересной. А пока приглашаю почитать статью в мультимедийном формате

18 марта 2013 г.

СМС-оповещения о движении средств по счету: всегда ли это безопасно

Купил как-то в Штатах местную SIM-карту. И стали с тех пор на мой номер приходить СМС-ки о состоянии текущего банковского счета прежнего владельца телефонного номера и движении средств по нему в Bank of America. Примерно такие.
Посмеялись мы над забывчивостью владельца, не сообщившего в банк о смене номера мобильного телефона, и, как казалось, история на этом и закончилась.
Но, оказывается, есть банки, с которыми в такие игры лучше не играть.
Примерно такая же история, что и со мной, приключилась с одной юной особой, и не в Америке, а на родных просторах. И банк был несколько другой. И стал он девушке не только об операциях по счету кредитной карты сообщать, но и настойчиво предлагать воспользоваться  услугами «Мобильного банка». Если так предлагают, то почему бы не воспользоваться? Оказалось, чтобы денежки со счета забывчивого предыдущего владельца перевести на свой счет не просто, а очень просто. Надо на заветный короткий номер отправить распоряжение в виде СМС о переводе средств ну, например, на лицевой счет этой самой SIM-карты. И все! Банк, в глаза не видевший ни девушку, ни кредитную карту в ее руках, карточный счет благополучно обнулил, пополнив телефонный счет на ту же сумму. Ну, а дальше еще проще – девушка бежит в «Юнистрим» и полученную сумму благополучно обналичивает.
А банк сообщает о переводе средств не только авантюристке, но и владельцу кредитной карты. Наличие двух номеров, привязанных к счету, и, соответственно, двух подключений «Мобильного банка» к двум разным симкам банк все это время (2,5 года с моменты смены владельцем телефонного номера) нисколько не смущали. На два номера рассылать – так на два. С двух номеров получать распоряжения по средствам – ничего особенного, можем и с двух.
Интерес появился только после опустошения счета и жалобы клиента. Предприимчивая новая владелица SIM-карты свои данные указала честно, ее вычислили, нашли и осудили за кражу по пункту «в» части 2 ст.158 УК (в) (причинение значительного ущерба гражданину). Дело было в богоугодном Дивееве, и, видимо, близость святого места к районному суду сделала самый гуманный суд в мире гуманным до крайности. При максимальном штрафе по этой части статьи в 200 тысяч рублей суд ограничился наказанием в 5 тысяч, то ли посчитав, что сам по себе процесс поспособствовал полному  исправлению, то ли войдя в тяжелое материальное положение воришки, покусившейся аж на 18 с небольшим тысяч. Даже КоАП за мелкое хищение (до 1 тысячи рублей) предусматривает штраф не менее этой самой тысячи до пятикратной стоимости похищенного имущества.
О частном определении  в отношении банка, предоставившего такие невиданно простые возможности для хищения чужого имущества, ничего не сообщается. Видимо, его и не было. О том, что банк после этого перестроил систему мобильного управления счетами, тоже сведений не поступало. В результате возникает вопрос, способствует ли подобный приговор предотвращению краж и не возникает вопрос о том, почему банки так настойчиво добивались (и добились) переноса срока вступления в силу статьи 9 нового 161-ФЗ «О национальной платежной системе», обязывающей возместить клиенту сумму операции, совершенной без согласия клиента после получения уведомления об этом в установленный срок.
В общем, будьте бдительны. Тем более что мошенники ищут все новые и новые способы изъятия денежных средств со счетов и на каждую новую защитную меру в системах дистанционного банковского обслуживания (ДБО) и электронных платежей находят свои контрмеры. Вот и Брайан Кребс, эксперт по компьютерной безопасности, сообщает, что для коммуникаторов на Android’е создана вредоносная программа Perkele, перехватывающая СМС-сообщения, передаваемые системами ДБО. Программа заточена под интернет-банкинг 69 конкретных банков 10 стран (России в этом списке пока нет, а вот относительно зарубежных банков, работающих в России и использующих родные системы ДБО, этого уверенно сказать нельзя). Perkele работает с другой вредоносной программой, которая меняет инструкции в банковском клиенте на смартфоне и от его имени требует установки для двухуровневой аутентификации дополнительную программу (естественно, Perkele). Кребс сообщает, что версия программы для атаки на клиентов одного банка стоит всего тысячу долларов, а полная версия (для 69 банков) – пятнадцать тысяч.
Будьте бдительны!