Омерт@. Учебник по информационной безопасности для больших боссов
Шрифт:
Более того, совсем недавно был крупный международный скандал, связанный с обнаружением подобных скрытых замечаний в одном из дипломатических документов. Целое государство очень сильно обиделось на то, что в заметках к документу видного государственного деятеля противоположной стороны фраза «в жопу» была написана вместе. Смех-смехом, а из-за подобной небрежности могут начинаться целые войны…
Как от этого спасаться? Самый простой способ – выключить отслеживание изменений, принять все изменения в документе, после чего сохранить документ заново под другим именем. Но это наименее предпочтительный вариант, потому что нет гарантий полного уничтожения
Биометрия
И ещё немного о действительно современных методах идентификации… Смарт-карты, e-token и прочие средства – уже устарели. Потому что они не привязаны к конкретной личности и идентифицируются всего лишь паролем. Так что если данной конкретной личности дать по физиономии где-нибудь перед входом в офис и под страхом чего-нибудь нехорошего стребовать с него пароль – злоумышленник будет иметь вполне реальную возможность, как-нибудь потихоньку пробравшись ночью в помещение, получить доступ к данным сотрудника.
Требуются более совершенные методы защиты – и они уже давно разработаны. Это биометрия! Идентификация по уникальным для каждого человека данным. Что за данные? Ну, во-первых, классические отпечатки пальцев. Они уникальны, подделать их крайне сложно. (Не сказать что невозможно, но для этого нужна весьма дорогая аппаратура.) Во-вторых, радужка глаз. В-третьих, человеческий голос.
Защита компьютера по отпечатку пальца владельца и даже по радужке глаза – уже существует. Более того, клавиатуры со сканером отпечатка стоят уже вполне разумных денег. Поверь мне, они гораздо дешевле одного портрета мёртвого Франклина. Так, может, задуматься над тем, чтобы использовать подобные методы защиты в твоём офисе для компьютеров наиболее важных с точки зрения секретности сотрудников?
Разумеется, биометрия не отменяет остальные способы защиты, перечисленные в этой книге. Она является дополнительной и весьма эффективной преградой. Но суть любой защиты в том и состоит, чтобы создать несколько уровней противодействия. Злоумышленник, например, легко пройдет один уровень, а на другом будет остановлен.
Шпиономанская паранойя
Если у тебя нет паранойи – это не значит, что за тобой не следят! Фраза неновая, но очень верная. Потому что на современном уровне развития всяких шпионских программ и шпионской техники, за тобой могут так следить, что все секреты уплывут, как Ассоль со своим Грилем… пардон, Греем.
Существует целый ряд шпионских программ, которые могут быть внедрены в твой компьютер. Причем не только твоим сотрудником, а через Интернет: с использованием всё тех же уязвимостей операционной системы, атакой через незащищённые порты, с помощью трояна.
После этого у тебя на компьютере появляется маленькая и совершенно незаметная программка (она прячется так хитро, что даже грамотный админ может её далеко не сразу обнаружить), которая аккуратно записывает все твои нажатия на клавиши и время от времени отправляет эти отчеты через Интернет своему владельцу. Она же (или другая программка) может отслеживать названия запускаемых тобой программ и открываемые в браузере адреса интернетовских страниц – и также отсылать эту информацию владельцу.
Отслеживание нажатий на клавиши называется модным словом кейлоггинг. С точки зрения безопасности штука эта достаточно страшная, потому что перед злоумышленником
Кроме того, нажатия клавиш – это все тексты (уже действительно как на ладони), набираемые тобой на компьютере.
Поэтому шпионские программы могут проделать серьёзнейшую брешь в обороне твоей конфиденциальной информации, это уязвимость, которую не следует недооценивать.
Как этому противостоять? Собственно, все способы уже перечислены: защита файрволом локальной сети (если Интернет ты получаешь через локальную сеть офиса), защита файрволом твоего компьютера, вовремя установленные критические обновления операционной системы, обязательное сканирование компьютера на присутствие троянов и шпионских программ, ну и не брать в рот всякую гадость – то есть аккуратно обращаться с электронной почтой, полученной бог знает от кого, и уж ни под каким видом не отвечать «Да» на всякие подозрительные вопросы из Интернета и не запускать выполняемые файлы, приложенные к письмам.
Да, в случае, когда тебе нужно будет понабюлюдать за своими сотрудниками, кейлоггеры могут сыграть неоценимую службу. Именно они, и только они способны записывать почту, которую крысятничающий субъект хитроумно посылает через веб-браузер в обход корпоративного сервера. Программу можно настроить так, что она сама отправит твоим людям отчёт о бурной деятельности клавиатуры sorchetto, потенциального крысёныша.
В случае, когда всё нужно сделать красиво, можно купить клавиатуру с интегрированным в неё кейлоггером., тогда даже очешь шустрый и продуманный topo de fognia, быстро окажется в твоей мышеловке. Прогресс дошёл до такого уровня, что в магазинах Нью Йорка можно выбрать клавиатуру с логгером любого нужного тебе производителя, которой можно в момент заменить мишень на столе субъекта, – хочешь Dell, хочешь Compaq, хочешь IBM. При её стоимости около одного Франклина, оригинальные потёртости воспроизведут за 50 дополнительных Вашингтонов.
Электронный кошелёчек
Уже практически любой солидный человек пользуется различным интернет-банкингом, работает с так называемыми электронными деньгами (электронными платежными системами) и оплачивает в онлайне (то есть через Интернет) различные товары и услуги. И так как речь в данном случае идет о деньгах, вопрос защиты и безопасности встаёт во весь свой электронный рост.
Насколько я мог судить, у многих Больших Парней в этом вопросе наблюдается редкостная путаница. Одни из них вообще не пользуются электронными платежами, потому что опасаются хищения средств, другие наоборот – в восторге от открывающихся возможностей оплачивают кредиткой всё на свете, а потом удивляются, куда это вдруг деваются деньги со счёте…
Давай все-таки немного разберёмся с этим вопросом.
Итак, электронные платежи делятся на три основных вида:
1. Электронный банкинг
Это когда ты заводишь счёт в банке, поддерживающем онлайновую работу со счётом, и через Интернет производишь различные операции с этим счётом: смотришь статистику, получаешь выписки, делаешь различные стандартные и нестандартные операции.
2. Оплата пластиковой карточкой через Интернет