j_security

10:53 am: После долгого молчания
Проблемы ИТ, также как и проблемы в безопасности, в конечном итоге упираются в культуру управления организацией.
Вот например, знаете же про уровни зрелости организаций с точки зрения ИБ? ну там, анархия, феодализм и т.д.
Ну так вот: своими силами - то есть получив ресурсы и полномочия на обеспечение безопасности, повысить уровень организации можно только на 1. На один уровень только можно повысить.
Чтобы перейти на следующий уровень - должна пройти модернизация управления организацией, а если ее нет, то на том уровне все так и останется. И если по каким-то причинам, роста культуры управления не происходит, то останется надолго.
Можно, конечно, стимулировать изменение культуры управления техническими средствами: управлением и автоматизацией бизнес-процессами, ресурсами, документооборотом, но если управление не изменит свою точку зрения - то даже несмотря на приобретение комплексных продуктов и реальным попыткам их нормального внедрения - все останется на уровне кусочно-лоскутного периода.
Кусочно-лоскутный для организации - это как конфетно-букетный для парочек.
Так вот если он затягивается, то получается, что уже беременная баба вместо того, чтобы покупать ползунки и делать зарядку - продолжает пить шампанское, бегать за ручку под дождем и жрать конфеты.
Вот примерно так.

11:25 am: Объясните по netsh
netsh routing ip add persistentroute 192.168.1.0 255.255.255.0 "Virtual
Private Connection"

Вот такой вот примерчик показан даже в недрах netsh.

Только соединение у меня называется "VPN".

И вот такой на него получаем ответ:

The information for the following interface cannot be found: .
The return value for this event is 905.
The parameter is incorrect.

Кто виноват ? Что делать ?

PS WinXp Sp2

Tags: калбаса

04:17 pm: хелп нужен
есть пикс.
есть stand alone root CA (работает, сертификаты вроде генеряет)

на пиксе есть ключик.

пытаюся установить коннект между пиксом и ЦС. он с ним неконнектится (ca authorise тра ляля). сертификат ЦС не получает.

в чем может быть байда?
настройки у ЦС по умолчанию.

05:34 pm: Ой, давно уж я ничего не писала)))
А между тем, жизнь бьет ключом, а законодатели радуют нас новыми развлечениями. Россия похожа на одностороннюю игру в фанты между народом и государством. Государство придумывает каверзные задания, в виде невыполнимых законов, а народ пытается их объехать.
Это я про последние новости
- в машине здоровые детины 12ти лет должны ездить в корзинке, людям запрещается иметь троих детей (ни в одну машину не влезут три корзинки, да здравствует демографический кризис)
- с интернетом полная байда и предъявление паспорта в интернет кафе (новый закон о связи)
- та самая фигня про персональные данные все таки проканала. И скоро любой крендель сможет о нас купить любую инфу.
Я конечно, утрирую, но в целом так и есть.

В связи с этим готовится можно только к тому - что придется искать методы обхода.
Ничего другого никому не остается.
Видимо, это сделано специально.

Я как всегда весела))))))))

А не пишу, потому что у меня тут висят проекты по обмену данными, накупили мы тут сертифицированного ФСТЭК оборудования, короче, всяко развлекаюсь.
VipNet, опять же, успела настроить, ну и так далее)))

Еще недавно позабавила такая фигня.
Наши конкуренты наняли адвоката и написали нам письмо - что типа предоставьте нам информацию, согласно закону об адвокатуре, иначе мы на вас в суд подадим. Информацию хотят - на которой мы бабки делаем. Хитрые все))))))

Опять же проведу параллели с законодательством. Правильно говорит Задорнов. МОжет, люди у нас и не очень умные - но СООБРАЖАЛОВКА работает отменно. Воспитано веками гонений, так сказать)))

04:07 pm: разочаровалась в секлабе
пыталась воспользоваться мощью коллективного разума, но видно, не судьба...

11:31 am: пишу соглашения об обмене конфиденциальной информацией с помощью PGP, пытаясь заменить чем нибудь слова шифрование, ключи и ЭЦП))))))))))))))))))
это жопа)))))))
пока получается вот что:
"Контроль целостности (здесь было ЭЦП) – средство защиты информации, позволяющее установить факт неизменности с момента отправки файла, включая все его реквизиты, и подтвердить ее принадлежность передающей Стороне с помощью кода контроля целостности.
Односторонний код (секретный ключ то бишь)– уникальная последовательность данных, самостоятельно изготавливаемая Стороной с использованием специальных программных средств и предназначенная для формирования кода контроля целостности файлов и их обратного преобразования.
Двусторонний код (открытый ключ)– последовательность данных, самостоятельно изготавливаемая Стороной с использованием специальных программных средств и предназначенная для прямого преобразования и проверки корректности кодов целостности файлов, сформированных передающей Стороной с использованием одностороннего кода.
Код описания данных (хэш функция) – цифровое описание содержимого файла или блока данных произвольного размера в виде блока данных фиксированного размера."

есть другие идеи?))) PGP я обзываю средством защиты от НСД и контроля целостности)


пысы: это я все пытаюсь обезопасить себя от нашего законодательства

09:32 am: На следующий день после депрессии (спасибо xsaper), я поняла простую вещь.
Обеспечение собственно безопасности и обеспечение безопасности согласно законодательству - это две абсолютно отдельные ветки действий, не имеющие ничего между собой общего.
В силу полной сдвинутости наших законов, противоречащих друг другу со всех сторон - опираться на них невозможно.
В Политике безопасности отныне у меня будет совершенно отдельный раздел: "Удовлетворение требований законодательства" (в западной терминологии такая фигня называется Regulatory).
Туда расписываешь - все претензии, которые может иметь к вам закон в связи с обрабатываемой информацией и используемыми технологиями, а также методы и средства отъезжания от этих претензий (что нужно сделать, чтобы такие то претензии к вам не смогли предъявить).

А все остальное (то есть собственно обеспечение безопасности) пишешь совершенно отдельно. И не надо перемешивать эти вещи. Чтоб не запутаться.

Tags: капец

09:26 am: Средства борьбы со шпионским ПО. почитать

С намерением определить лучший продукт для противостояния шпионскому ПО в
корпоративной сети мы предложили 30 компаниям прислать их разработки для
тестирования. На призыв откликнулись 16 производителей, предоставивших нам 18
продуктов. Кроме того, мы протестировали бета-версию приложения Windows
AntiSpyware корпорации Microsoft.

Лучший результат: Secure Content Management Appliance и eSafe

Tags: аналитика

10:54 am: вчера была премиленькая передача. Не знаю, по какому каналу - называлась Версты вроде. Про ФЗ о персоналке. Собрание психов. ни один госдумовец не смог ответить, чем создание гос реестра с биометрическими данными поможет отдельному гражданину. Никто не смог сказать, что эти данные буду защищены. Приглашенные так сказать эксперты по безопасности в один голос заявляли, что ее будут воровать легко. Звучала фраза о том, что это нужно минсвязи для выбивания денег. Признавали, что чиновников никогда не будут садить за утечку. Максимум - продающих. Ну какая разница - не будут продавать в отркытую - те, кому надо, все равно купят. И это звучало. Звучала фраза о том, что никто никому не помешает выдать себя за другого человека. С такой то информацией о нем. Звучало о том, что по такой информацией можно легко изучать и манипулировать населением.
Депутаты Госдумы орали с пеной у рта, что это зачем то все таки надо, но ни одного аргумента не привели.
Финальная речь ведущего - о, как же нам нужен этот закон.
О, как прекрасна наша страна...

Tags: капец

01:30 pm: Фраза из одной статейки в Information Security:
"Действия пользователей обязаны контролироваться"))))))) не сразу поняла, что в ней не так))

12:17 pm: Современная антивирусная индустрия и
Как всегда, про Касперского можно сказать одно - АФФТАР ЖЖОТ))) читаем -
Таким образом, текущая расстановка сил в компьютерном сообществе выглядит примерно следующим образом:

1. вирусописатели и хакеры, которые в корыстных целях создают и распространяют компьютерные вирусы и троянские программы;


2. пользователи, которые постоянно находятся под угрозой хакерских атак и часто становятся жертвами удачно спланированных хакерских акций;


3. полиция, которая с переменным успехом расследует компьютерные преступления;


4. и, наконец, антивирусные компании, создающие универсальные и/или специальные средства борьбы с компьютерным злом.

Дальше, пишут линейку крутых компаний - первый эшелон, второй эшелон - по денежному обороту
«Лаборатория Касперского» (Россия) также входит во второй эшелон антивирусных компаний, однако свои финансовые показатели компания пока не раскрывает.

Далее нам рассказывают какие плохие вирусы и как тяжко с этим бороться. Языком - для маленьких даунов.
И финальная лебединая песня сего аналитического материала:

"Ведь компьютер, подключенный к сети интернет, — это как секс. Он может быть безопасным и не очень. И достаточная осведомленность только помогает избежать разных неожиданных неприятностей.
Удачного вам интернета!"

но пасаран))))))

Tags: аналитика

11:57 am: козлы и пидорасы
я про закон о персоналке
офигительный просто проект
они, понимаешь, присвоят мне номер и засунут туда информацию о моей, допустим, прекрасной ориентации. Согласия моего не надо - наверняка это нужно для безопасности страны. Защищать? не, не будут, сразу сознаются. Прямо в интервью говорят.
Я просто фигею.
почему то от этого закона ждала прямо противоположного эффекта.

Tags: законы

10:35 am: Законотворчество
Помимо распрекрасного закона о Персональных данных, который можно найти на сайте Госдумы, обратите внимание на вот это:
http://osiap.voskhod.ru/index.php?Part=main&Id=techreg

нам с этим жить...

Tags: законы

01:58 pm: гыгыгы) а сегодня я познакомилась с Лукацким))))))))))))
а я даже и не знала, что он из информзащиты уволился и теперь на циску работает. афигеть, как движется мир)))

09:34 am: классика жанра
вчера хотелось прыгать и кричать "а я же говорила, я же говорила"
после того как я полгода гундела про дополнительный файл-сервер для резервирования и расписывала ужасы, а мне говорили в техотделе, что щас некогда, а вот к новому году сделаем...... так вот после всего этого вчера рухнул винт у разработчиков.
дурацкое русское авось, ага.
наконец-то карт-бланш. я даже рада, что это случилось.
раскрылась белая дорога, так что флаг мне в руки, барабан на шею и перо в задницу для равновесия)))))))

теперь на каждое "щас некогда" я буду говорить угрожающее "АГА!"

02:34 pm: скажите мне, дуре, работает ли пикс через свитч? должен же, правда? проверить не могу - нету у нас пикса
а то мне админ парит, что типа не факт.
у нас куча кабелей на маршрутизатор через свитч идет, а чем пикс хуже цискового же маршрутизатора в этом смысле?...

не понимаю((((((

01:49 pm: сидела тут как то в туалете (сорри за подробности), читала Шнайера.
в части про промышленный шпионаж пишет типа подколку:
"Задумайтесь, почему русские космические корабли так похожи на американские шаттлы?"
а ниче, что мы их раньше построили лет на 10.
наоборот надо было писать:
"Задумайтесь, почему американские космические корабли так похожи на русский союз?"
я даже расстроилась

11:48 am: Цытата отсюда: После абсолютно легального резервного копирования никакое программное обеспечение не в силах остановить физический вынос злоумышленником носителя, его копирование и занос обратно.

-----
ляля. Вместо того, чтобы говорить, что делать, давайте будем все пугаться. Ну никаких нет программных средств, криптографию еще не изобрели))) хыхы

Tags: лытдыбр

09:10 am: кстати, всем привет, я вышла из отпуска))))) там хорошо, в отпуске)

09:10 am: Антивирусные компании унифицируют наименования вирусов
С одной стороны, вроде, наконец-то, а с другой - че названия то такие дебильные?
порядковый номер.
никакой информации в себе не несет.
Хоть бы тип вируса как-то обозначали.
читаем подробности тута

Tags: новости