Omert - Руководство по компьютерной безопасности и защите информации для больших боссов

         

А) специальная расстановка пробелов


Как известно, при выравнивании текста по ширине (левой и правой границе страницы) между словами образуется различное количество пробелов. Существуют разработанные методы, которые с помощью определённого алгоритма форматирования слов пробелами позволяют передавать нужную информацию. то есть текст как текст, выровненный определенным образом, однако если на него напустить соответствующую программу — она выцепит оттуда скрытые данные.



AНАЛИЗ


Локальная сеть — это несколько компьютеров, соединённых между собой с помощью специального оборудования, способных обмениваться данными друг с другом.

Что можно делать с помощью локальной сети:

1. Производить почти мгновенный обмен файлами между всеми компьютерами, находящимися в локальной сети.

2. Работать над какими-то файлами (документами) нескольким пользователям одновременно.

3. Совместно использовать компьютерную периферию (например, печатать со всех компьютеров сети на одном принтере).

4. Получать доступ в Интернет на любом компьютере сети через один компьютер, имеющий выход во Всемирную сеть. (Вообще говоря, доступ в Интернет в локальной сети делается даже не через компьютер, а через отдельное специальное устройство.)

5. Организовывать серверный режим работы, когда все данные располагаются на центральном сервере, а компьютеры в сети играют роль терминалов. (Об этом мы чуть ниже поговорим подробнее.)

Какие бывают сети по виду соединения компьютеров? Последовательные (линейные) и параллельные (звездообразные).

Последовательные — это когда компьютеры соединены между собой так же, как ёлочная гирлянда: от первого к последнему (линейка). Это самый простой, но одновременно самый неэффективный вид соединения. Потому что если вдруг где-то в одном месте пропадет контакт — вея сеть накроется одним интересным местом, то есть перестанет работать. А контакт может пропасть совершенно элементарно — например, уборщица, орудуя шваброй, заденет сетевой кабель, идущий к компьютеру... Поэтому такой вид соединения уже давно не применяется. На смену ему пришел параллельный или звездообразный вид соединения.

При параллельной организации локальной сети компьютеры между собой соединяются не напрямую, как при последовательном подключении, а через специальное устройство под названием сетевой коммутатор, хаб или свитч (от англ.. switсh). Таким образом, свитч — это как бы центр «звездочки», от которого идут провода к компьютерам. Или, иначе говоря, это голова спрута, от которого во все стороны тянутся щупальца всё к тем же компьютерам.
Если у спрута, отрубить одно щупальце, он же от этого не перестанет быть опасным, правильно? то же и со звездообразной сетью: даже если какой-тo провод будет повреждён, то сеть от этого работать не перестанет, а потеряет только соединение на одном повреждённом участке.

Сколько компьютеров можно подключить к одному свитчу? Как правило, не очень много — 8 или 16. Но все компьютеры сети и не должны быть подключены только к одному свитчу. Это как удлинители с розетками: к одному хабу можно подключить не только компьютеры, но и ещё один свитч со своими компьютерами. Ко второму свитчу — ещё один свитч, и так до бесконечности. Разумеется, в твоем офисе сеть должна быть строго параллельная (звездообразная). Последовательная сеть немного дешевле в установке, но создаваемые ею проблемы приводят к такому колоссальному моральному и материальному ущербу, что если твой сетевой администратор вдруг предложит проложить последовательную сеть, потому что «это дешевле» — лучше сразу пристрели его. Такой «специалист» не должен жить на этом свете.


Анализ по образцам




Существуют весьма продвинутые методы, позволяющие обнаружить спам по специальным образцам. Ведь не секрет, что ничего существенно нового рекламщики не выдумывают, а просто постоянно перелицовывают одно и то же старое пальтецо немудреных «находок» из серии «Вы не настолько богаты, чтобы покупать у Пупкина! Купите у Мокина — будет вам ЩАСТЕ!». Они берут уже сто лет навязший на зубах слоган, меняют там Пупкина и Мокина на Селедкина и Морковоперегрызского, после чего отправляют полученную несъедобную кашицу в массовую рассылку Антиспамерский фильтр по заложенным образцам умеет очень быстро отслеживать наиболее распространенные модификации всех этих слоганов, восходящих ещё к распродаже Ноем утвари с ковчега, что позволяет весьма точно отделить овнов от козлищ — то есть нормальной почты от спама.



Анализ текста письма


Большинство мусорных рекламных писем характеризуются довольно специфическими словосочетаниями, которые крайне редко присутствуют в обычной почте. Например, «выгодное вложение», «только у нас вы найдёте», «девочки для состоятельных господ», «увеличь свой пенис» и «виагра для обиженных жизнью».



АНТИСПАМ


Spamtest (www.spamtest.ru) — это интернет-сервис для проверки и разметки электронной почты. «Спамтест» получает электронное письмо от вас, проверяет его на спам, присваивает ему категорию спама (в виде специальной метки) и отправляет на указанный вами адрес.

Дальше вы можете отфильтровать размеченное «Спамтестом «письмо, пользуясь правилами вашей почтовой программы (например, Microsoft Outlook или The Bat!).

Spamtest Server (www.spamtest.ru) — устанавливается на почтовом сервере вашей организации, либо в офисе, либо на площадке у провайдера и обрабатывает входящую почту. Возможны следующие режимы работы: отражение (неприем) спам-корреспонденции, разметка входящей почты по категориям (спам, возможно спам, сообщения от почтовых роботов, ненормативная лексика) и доставка его получателю. Архивирование сомнительной переписки (перенаправление в другой почтовый ящик). Режимы работы могут быть настроены индивидуально для отдельных пользователей и их групп.



АНТИВИРУСЫ


Название программы: Антивирус Касперского

Описание: Мощный антивирус с гибкой системой настроек. Антивирусный монитор сканирует любое запускаемое приложение. Антивирусный сканер проверит весь жёсткий диск компьютера. Обновления выпускаются каждый день и могут быть в автоматическом режиме скачаны из Интернета. Также можно задать проверку компьютера по расписанию.

Автор: Лаборатория Касперского

Где взять: www.kaspersky.ru

Название программы: Nоrton AntiVirus Professional

Описание: Один из наиболее известных антивирусов. Все возможные функции антивируса (монитор, сканер, автоматическое обновление, проверка по расписанию) плюс сочетание дополнительные функции, обеспечивающих защиту и возможность восстановления ключевых файлов.

Автор: Symantec Corporation

Где взять: www.symantec.com

Название программы: Antivirus Panda Platinum 7

Описание: Передовое                программное решение для обеспечения информационной безопасности предприятий малого бизнеса и ИТ-профессионалов. Благодаря таким встроенным функциям, как межсетевой экран и блокиратор скриптов, Panda Platinum гарантирует защиту от вирусов, хакеров и других опасностей, связанных с Интернетом, в рамках единого и простого в использовании продукта.

Автор: Panda Software

Где взять: www.viruslab.ru



Б) выбор определённых позиций букв


Тут легче пояснить на примере. Вот белый стих (писал я сам, поэтому не пугайтесь):



БЕЗБУМАЖНЫЙ ОФИС БЕЗБАШЕННЫХ СЕКРЕТАРШ


Любые бумаги в офисе — страшное зло! Это аксиома. Потому что бумаги:

1) неудобно хранить, они занимают кучу места;

2) почти невозможно искать;

3) крайне сложно копировать;

4) невозможно редактировать;

5) очень тяжело уничтожать;

6) жутко неудобно каталогизировать.

И действительно, в наш век невиданного прогресса науки и техники, когда космические корабли бороздят соответствующие пространства, дикое количество офисов до сих пор занимаются всей этой бумажной волокитой и, что самое страшное, вовсе не собираются от этого отказываться!

Между тем, с бумагами действительно не сделать ничего путного. Попробуй найти нужную бумажку даже среди документов одной офисной папки! А среди разных папок одного шкафа?!! А среди разных шкафов одного офиса?!! Да от этого же просто башню сорвёт! то ли дело на компьютере: нажал кнопочку, вбил слово для поиска и через несколько секунд получил список всех документов с данным словом, выбранных хоть из сотни, хоть из тысячи, хоть из десятков и сотен тысяч файлов...

Кроме того, что делать с бумажками в случае всё того же времени «Ч»? Бумажки не шифруются, через шредер уничтожаются крайне медленно, сжигаются — ещё медленнее, а кроме того, от процесса горения очень много грязи... Вот в «Логовазе» крысы сожрали девять тонн документов, но где же сейчас найти таких крыс?

Поэтому единственный разумный выход — безбумажный офис! Ну, не то чтобы совсем безбумажный — пока электронная подпись ещё не досконально закреплена законодательно, невозможно на сто процентов избавиться от бумажныx документов, — но, по крайней мере, нужно создать такой документооборот, при котором всё, что можно, переводится в электронную форму.

Каким образом? Да сканером, разумеется. Приобрети в контору несколько сканеров и попроси админа расставить их по всем отделам. (Для подобной задачи годятся сами обычные любительские сканеры, а эти устройства сейчас стоят едва ли дороже обеда на двоих в очень среднем ресторанчике Нью-Йорка. Да, покупая сканер, прикажи админу убедиться, что на нём есть автоподатчик, — это сократит время сканирования многостраничных документов в разы.) После этого заставь всех сотрудников каждую бумажку сканировать и заносить получившийся файл в полагающуюся папку на сервере.


Но тут нужно четко усвоить один важный момент. Если документ сканировать как есть, без обработки, то он получается в виде графического файла — то есть обычной картинки. Хранить его в таком виде крайне неудобно, потому что, во-первых, такой текст нельзя отредактировать, во-вторых, по нему нельзя ничего искать, и в-третьих, он получается огромных размеров.

Чтобы всего этого избежать, при сканировании документа проводится волшебная штука под названием OCR — оптическое распознавание текста (англ. — optical character recognition). Работает она очень просто (то есть со стороны пользователя выглядит это всё очень просто). Сразу после сканирования текста специальная программа анализирует получившийся графический файлик и пытается там распознать буквы, цифры и символы. Если текст чёткий и нерукописный (пишущая машинка, компьютерная распечатка), то его, как правило, можно распознать почти со 100-процентной точностью и перенести в любой из стандартных текстовых форматов — да хоть в тот же Word. Если в тексте встречаются картинки — иллюстрации, логотипы, ручные подписи, печати — то они так и остаются обычными картинками.

В результате получается обычный вордовский файл, с которым уже можно делать всё, что угодно: редактировать, печатать, менять в нём иллюстрации и так далее и тому подобное. Кроме того, и это очень важно, в нём можно производить поиск различных строк, что особенно актуально, когда нужно срочно найти необходимый документ по заданной строке среди десятков, сотен и тысяч файлов.

Современными программными средствами OCR производится практически автоматически. Дошло уже до того, что работников уже можно вообще не обучать технологиям сканирования и распознавания: они просто кладут листочек в сканер, нажимают на нём кнопочку, а он запускает специальную программу сканирования-распознавания (в России для этих целей в основном используют систему Fine Reader, хотя существуют и другие программы, решающие подобные задачи), которая сканирует и распознает текст. Пользователю при этом остается только дать имя своей боли — то есть имя получившемуся файлу Word, — и указать, в какую папку на сервере поместить этот документ.


Уверяю тебя, это вполне по силам даже секретарше-блондинке с огромными сис... систематическими знаниями. Хотя чтобы система была логичной, дай команду админу научить всех давать файлам значимые имена. Искать что-то в папке со ста сорока файлами doc1.doc, открывая их подряд, — так у секретарши и на тебя времени не хватит.

Что с безопасностью? Всё то же! Отсканированные документы, если их содержимое не должно быть доступно посторонним, сохраняются на секретном PGP-диске. При этом если оригинал по каким-то причинам обязательно нужно сохранить, он отправляется в соответствующий сейф. И тут всё очень логично: как только документ понадобится, его можно будет почти мгновенно найти на секретном диске. До секретного диска враги, как мы предполагаем, не доберутся. До сейфа, надеемся, тоже, потому что вон он какой здоровый, да ещё и снабжен шикарным замком!

Ну и, кроме того, далеко не все документы нужно в обязательном порядке хранить. Вполне достаточно иметь их электронные копии...


Безобидные шутки


Когда вирус пишется не больным на всю голову мизантропом, а весёлым студентом, который таким образом пытается попробовать свои силы н программировании, то результат работы вируса может содержать всего лишь безобидную шутку — например, истеричные скачки курсора по всему экрану переворачивание изображения, убегание кнопок от курсора мыши или сдвиг окна документа. Впрочем, шyтка как результат работы вируса встречается крайне и крайне редко, что доказывает неоспоримый факт: весёлые студенты, как правило, находят более интересные применения своим умениям, а вирусы всё-таки пишут больные на всю голову мизантропы.



БИОМЕТРИЯ


И ещё немного о действительно современных методах идентификации... Смарт-карты, е-token и прочие средства уже устарели. Потому что они не привязаны к конкретной личности и идентифицируются всего лишь паролем. Так что если данной конкретной личности дать по физиономии где-нибудь перед входом н офис и под страхом чего-нибудь нехорошего стребовать с него пароль — злоумышленник будет иметь вполне реальную возможность, как­нибудь потихоньку пробравшись ночью в помещение, получить доступ к данным сотрудника.

Требуются более совершенные методы защиты, и они уже давно разработаны. Это биометрия! Идентификация по уникальным для каждого человека данным. Что за данные? Ну, во-первых, классические отпечатки пальцев. Они уникальны, подделать их крайне сложно. (Не сказать что невозможно, но для этого нужна весьма дорогая аппаратура.) Во-вторых, радужка глаз. В-третьих, человеческий голос.

Защита компьютера по отпечатку пальца владельца и даже по радужке глаза уже существует. Более того, клавиатуры со сканером отпечатка стоят уже вполне разумных денег. Поверь мне, они гораздо дешевле одного портрета мёртвого Франклина. Так, может, задуматься над тем, чтобы использовать подобные методы защиты в твоём офисе для компьютеров наиболее важных с точки зрения секретности сотрудников?

Разумеется, биометрия не отменяет остальные способы защиты, перечисленные н этой книге. Она является дополнительной и весьма эффективной преградой. Но суть любой защиты в том и состоит, чтобы создать несколько уровней противодействия. Злоумышленник, например, легко пройдет один уровень, а на другом будет остановлен.



Блокированием всех портов, не нужных для работы, и анализом трафика, идущего через открытые порты


Как мы уже говорили, с Интернетом компьютер общается через порты. Через ник же осуществляются атаки на твой компьютер. Файрвол, как цепной пёс, стоит на страже этих портов, предупреждая тебя обо всех несанкционированных попытках проникновения.



БРАНДМАУЭР (ПРОТИВОПОЖАРНЫЙ КОЖУХ)


В обычной жизни брандмауэром (это по-немецки; по-английски то же самое называется файрволом от англ. firewall) называют противопожарный кожух (стену или перегородку). В компьютерном мире под брандмауэром подразумевают программу, выполняющую очень серьёзные защитные функции. Ho сути — это та же перегородка, но не только от огня, но и от любых других воздействий.

Набор функций у разных брандмауэров может весьма серьёзно отличаться друг от друга, но общая святая цель у них всех одна — оградить компьютер пользователя от негативных внешних воздействий и предупредить его о том, что внутри компьютера происходит что-то не то.

Некоторые аспекты действия брандмауэра можно проиллюстрировать следующим примером...

Предположим, ты обзавёлся телохранителем, который всё время находится рядом с тобой — как дома, так и во время путешествий по мегаполису Перед тем как ты его взял на работу, телохранителю было подробно объяснено, в чём именно заключаются его функции. О чём мог — ты его предупредил, а по поводу всего остального телохранителю предложено обучаться уже в процессе — в рабочем, так сказать, порядке.

Теперь ты выходишь на улицу и идёшь в нужном направлении. Вдруг откуда ни возьмись появляется очаровательная блондинка, которая бросается к тебе с криками: «Вася, родной, ты ли это?!! Это я, Лена! А ну, дай-ка я тебя поцелую, негодяй ты эдакий!»... Телохранитель не знает, действительно ли это твоя знакомая Лена, а также даже если знакомая, то можно ли ей разрешать тебя целовать. Поэтому он перехватывает Лену в момент броска и держит тётку на весу ожидая твоих распоряжений. Теперь дело за тобой, потому что только ты сам можешь ему объяснить, как дальше поступить с Леной. Вариантов несколько:

1. Отпустить и разрешить поцеловать.

2. Отпустить, но целовать не разрешать.

3. К телу в любом случае не допускать и на будущее пресекать все попытки сближения.

Могут быть и другие варианты инструкций, например, «разрешить поцеловать, но в следующий раз всё равно спрашивать разрешения, потому что ещё неизвестно, насколько сладким будет этот поцелуй»...


Идёшь дальше, как вдруг появляется какой-то парень, который бросается к тебе с дикими криками: «Добрый день, я представитель канадской фирмы! Позвольте предложить вам...». Телохранитель тут же перехватывает парня, поворачивает спиной и отвешивает ему здоровенный пинок, потому что в момент инструктажа ты чётко сказал, что не желаешь вступать в контакты ни с какими уличными коммивояжёрами, а этот негодяй совершенно точно подходит под данное определение по целой системе признаков.

И так — целый день. Телохранитель всё время находится рядом с тобой, отслеживает все контакты и постоянно пополняет свою информационную базу в случае появления каких-то новых контактов.

Но и дома телохранитель всё время находится рядом с тобой и занимается следующими вещами... Закрывает все окна, чтобы через них не дай бог не пролез враг! Открытым он оставляет только те окна, которые тобой или твоими близкими используются постоянно. Например, окно, в которое ты любишь плевать на улицу, и окно, в которое залезает тёща, возвращаясь из булочной. (Старая клюшка хочет находиться в хорошей спортивной форме, чтобы изводить тебя ещё много лет.) Причём телохранитель ни за что не пустит тёщу н то окно, в которое ты плюёшь, а при твоём плевке через «тёщино» окно он поинтересуется, не перепутал ли ты место приложения своего плевка.

Также телохранитель постоянно следит за теми предметами, которые ты используешь каждый день — не изменились ли они, потому что это может быть свидетельством действий злоумышленников. Например, если твоя любимая миска, из которой ты каждый день ешь салат, из зелёной станет фиолетовой, телохранитель обязательно тебе на это укажет и предложит выяснить, с чего это привычная миска вдруг поменялась.

Брандмауэр на твоём компьютере будет заниматься практически тем же самым!


БРАНДМАУЭР В ЛОКАЛЬНОЙ СЕТИ


Ты спросишь, каким образом используется брандмауэр в локальной сети: устанавливается ли он на все компьютеры, либо же один на всех и все под одним. Спросишь — отвечаю...

Как правило, в локальной сети устанавливается один брандмауэр (ещё раз напоминаю, что его нередко называют на английский манер — файрвол, хотя в том же русскоязычном Windows XP бытует термин именно брандмауэр) — на том компьютере, через который к тебе в офис входит Интернет. Если твой админ — настоящий про, он установит мощный профессиональный брандмауэр и тщательно настроит его, чтобы ни одна зараза не попала в локальную сеть извне и чтобы в случае внезапного появления трояна внутри сети, который начнет пытаться пролезть во Всемирную сеть из недр твоего офиса, этот брандмауэр сразу обнаружил подобную попытку и тут же поднял по тревоге войска.

Нужны ли при этом брандмауэры на каждом из локальных компьютеров? В общем, конечно, нужны, однако следует чётко понимать, что вся бухгалтерия довольно быстро сойдёт с ума, если на их компьютерах брандмауэр начнет выдавать свои фирменные штучки, вроде фраз: «Обнаружена попытка проникновения на ваш компьютер с адреса 192.168.4.1» или «local: 192.168.4.12 пытается установить исходящее соединение с PROXY:3128 (ТСР:3128)». Не следует травмировать нежную психику девочек и бабушек подобными заявлениями — это чревато полной разбалансировкой полугодового баланса!

Так что брандмауэры-то на локальных компьютерах, конечно, нужны, но они должны быть безмолвными воинами, поднимающими крик только тогда, когда самый настоящий враг стоит у самых настоящих ворот фирмы — не раньше!

Да, на твоем компьютере брандмауэр, безусловно, необходим. Потому что ты — Босс. Потому что на твоей машине в любом случае хранятся важные документы, так что лишняя защита — тем более, что она совсем не лишняя — никак не повредит. Есть брандмауэры, которые изъясняются вполне человеческим языком, понятным даже непосвящённым, и вот именно такую версию тебе и нужно поставить. Таким образом, ты и защитишь свои данные, и будешь контролировать то, что происходит на твоём компьютере.

Попроси админа настроить тебе программу — как я уже говорил, особой болтливостью брандмауэр отличается только в момент обучения, когда телохранителя знакомят с привычками охраняемого тела, — после чего присутствие этой защиты на твоём компьютере не будет доставлять особыx хлопот.

Кроме того, некоторые виды современных брандмауэров имеют заранее заданный более или менее подходящий комплект настроек, так что они даже в момент обучения не будут докучать вопросами.



БУНТОВЩИК ЦИММЕРМАН


История создания программы PGP неотделима от светлой (говорю это без тени иронии) личности её создателя — Фила Циммермана, американского математика и программиста, человека, борющегося с Системой...

Ещё в колледже молодой Фил Циммерман разработал алгоритм, который самонадеянный юноша посчитал «невскрываемым». Перед глазами юноши забрезжила Нобелевка, и он уже стал репетировать свою речь, которую произнесёт при вручении премии, как вдруг на глаза Фила попалась работа какого-то другого студента, в которой приводился практически точно такой же алгоритм, который придумал Циммерман, а кроме того — о, ужас! — давались данные о том, как этот алгоритм вскрывать. И вот тут Фил пришел к довольно интересной мысли, которая звучала так: «Hевскрываемых алгоритмов не бывает». Вторая мысль по тому же направлению давала повод для пессимизма. Звучала она следующим образом: «Вот ведь, мать вашу, сколько приходится попотеть, чтобы выдумать алгоритм, который хоть не сразу вскроют» ! Ну и третью мысль, в одночасье посетившyю Фила, можно выбить золотыми буквами на мраморе: «Куча людей, используя какие-то алгоритмы защиты, действительно считают, что их информацию невозможно вскрыть. Между тем, очень часто под видом так называемых «алгоритмов защиты» им продают полное дерьмо». Осенённый этими мыслями, Циммерман занялся разработкой такой системы шифрования, которая была бы не просто стойкой, а очень стойкой. Кроме того, он значительно усовершенствовал изобретённый в 1971 году Мартином Хеллманом, Уайтфилдом Диффи и Ральфом Мерклом метод шифрования открытым ключом, добавив туда механизм взаимной сертификации, после чего появилась Царица Полей — программа PGP, то есть Pretty Good Privacy — Классная Прелестная Уединённость моей, твоей и вообще любой информации.

У Циммермана получилась действительно классная программа. Более того, Фил совершенно сознательно полностью открыл исходные коды PGP, чтобы, во­первых, ими могли воспользоваться все желающие, а во-вторых, чтобы их могли проанализировать специалисты по безопасности на предмет уязвимости.


И знаете, что сказали специалисты? «Эту штуку крен вскроешь», — заявил один из них. «Вот, блин, какая программуля шикарная», — заметил второй. «Не знаю, что думаете вы, коллеги, но я считаю, что этот Циммерман — действительно крутой сукин сын», — признался третий.

Что это означает? To, что PGP не вскрывается. В том смысле, что невозможно (по крайней мере, сейчас) сделать программу которая мигом вскроет защищённый с помощью PGP файл. (В отличие, кстати говоря, от некоторых других систем защиты, к которым хакеры-шмакеры уже подобрали ключики...)

«И что? — спросишь ты. — Получается, что PGP вообще невозможно расковырять?» Разумеется, нет. Возможно. Старина Норберт Винер (который, между прочим, в 18 лет уже носил звание доктора по специальности «математическая логика» ) сформулировал этот принцип следующим образом: «Любой шифр может быть вскрыт, если только в этом есть настоятельная необходимость и информация, которую предполагается получить, стоит затраченных средств, усилий и времени».

Это означает, что вскрывается любой шифр — с помощью компьютера, который последовательно подбирает ключ к алгоритму шифрования. А вот какое время и какие ресурсы на это придется затратить — и является краеугольным камнем в вопросе выбора алгоритма шифрования. По сути все систeмы шифрования — и PGP в том числе — просто или делают взлом зашифрованной информации заведомо дороже данных, содержащихся в сообщении, или затягивают расшифровывание на слишком большой срок по времени.

Что характерно, когда Циммерман выпустил программу PGP в свет и в 1991 году с помощью Сети распространил её всем желающим, американское правительство и спецслужбы встрепенулись. И не просто встрепенулись, а стали кричать, орать и яростно брызгать слюной. Потому что Циммерман покусился на святое — на право властей влезать в частную жизнь граждан. Теперь, если гражданин шифровал свое сообщение с помощью PGP и пересылал его другому гражданину, то спецслужбы, перехватившие данное письмо для каких-то своих целей, с ним уже толком ничего не могли сделать — письмо ведь было круто зашифровано.


Понятно, что всяких пляшущих человечков, книжные шифры (когда зашифровывание текста сообщения делается с помощью текста любой книги) и тому подобные тайнописи криптоаналитики вскрывали фактически мгновенно. А вот PGP им был не по зубам. Конечно, и зашифрованное с помощью PGP письмо можно вскрыть, но если на это придётся потратить, например, год машинного времени самого мощного пентагоновского компьютера — тогда овчинка явно не стоит выделки. Тухловатая такая овчинка получается, короче говоря...

Так что неудивительно, что ребята сверху слегка рассердились. А этот негодяй Циммерман тыкал в глаза правительству Билль о Правах, нахально утверждая, что тайна частной жизни в этом Билле буквально прёт из каждой строчки.

В качестве ответной любезности правительство стало шить Филу другую овчинку — уголовное дело о разглашении государственной тайны (дескать, алгоритм PGP, разработанный Филом, нужен правительству, а значит, является строго секретным), ну и заодно ему ещё вменили и нарушение таможенного законодательства, потому что программа PGP распространялась через BBS (так называемые электронные доски объявлений — предвестников веб-страничек) за пределы страны.

Так бы и сгинул бедняга Фил в застенках ЦРУ однако простые граждане и крупные корпорации, благодарные Циммерману за предоставление механизма, хоть как-то сохраняющего право на частную жизнь, подняли большой шум по поводу того, что дело Циммермана носит явный политический характер, и в 1996 году его всё-таки оставили в покое, заставив, впрочем, по крайней мере ограничить размер ключа шифрования в продаваемых программах, что даёт спецслужбам хотя бы надежду на то, что зашифрованное письмо при необходимости можно будет вскрыть, не привлекая для этого всю вычислительную мощь страны.

Но после печально известных событий 11 сентября Циммермана вновь стали обвинять в том, что он является пособником террористов — мол, при подготовке секретной операции программа PGP использовалась ими очень активно. Однако Циммерман отверг все обвинения и ещё раз заверил общественность в том, что никакое давление правительства и спецслужб не заставит его встроить в PGP «червоточинки» или «черные ходы», позволяющие мгновенно вскрывать зашифрованные сообщения.В этом ему можно верить — хотя бы в силу того, что исходные коды новых программ PGP открыто публикуются, а это делает невозможным встраивание подобных штучек..


ЧЕЛОВЕК ОТ ФОКСА ПРИШЁЛ, ВЕСТОЧКУ ПРИТАРАНИЛ


Года три назад вирусописаки придумали новый, причем весьма эффективный способ распространения вирусов! (Их бы энергию, да в мирных бы целях...) Способ простой, как всё гениальное... Вирус, каким-то образом акгивизировавшийся на компьютере пользователя, берёт из почтового клиента адресную книгу, после чего по всем адресатам от имени данного пользователя рассылает свои копии с каким-нибудь нехитрым текстом, например: «Глянь эту программку — прикольная».

Таким образом, пользователи получают письмо не от каких-то абстрактных девушек, непонятных друзей или чёрт знает каких менеджеров мутных контор, а от имени и адреса (причём, заметьте, вовсе не поддельного адреса, а самого настоящего) хорошо знакомого человека. Вероятность запуска приложенного выполняемого файла в этом случае повышается во много раз, поэтому именно благодаря данному способу по миру прокатилось несколько весьма крупных вирусных эпидемий, и честно говоря, эти эпидемии так и не прекращаются.

Что делать, как с этим бороться? Да всё так же:

1. Предохраняться от того, чтобы у тебя на компьютере не завелась какая­нибудь дрянь.

2. Не запускать никакие приложенные файлы, даже если они получены от вполне хорошо известных людей.

Только так, никак не иначе!



ЧТО НАПИСАНО В ИНТЕРНЕТЕ — NE ВЫРУБИТЬ ТОПОРОМ


Нужно очень чётко понимать, что любая информация, появившаяся в Интернете, остается там фактически навсегда (если говорить о более или менее нам доступных периодах будущего). Масса пользователей со страшной силой «следят» в Интернете, оставляя там о себе совершенно конфиденциальную информацию, собрать которую воедино и идентифицировать её с конкретным человеком под силу не только сотруднику спецслужб, но и любому пользователю, который обладает логическим мышлением и хоть чуть-чуть разбирается в том, что такое поиск в Сети.

Вот пример. Есть у меня один знакомый — достаточно солидный бизнесмен. Бизнес у него хорошо налажен, и знакомый имеет возможность два-три часа в день посвящать Интернету, каковому занятию он и отдаётся с большим удовольствием. Больше всего он любит несколько тематических форумов, где является завсегдатаем, на которых весьма активно обсуждает всевозможные проблемы: от чисто личных до деловых. На вопрос, не боится ли он сообщать о себе в Сети всякие весьма личные сведения, знакомый наивно ответил, что никто в Сети не знает, кто он такой, поэтому все его откровения — чистая абстракция. После этого мне пришлось провести небольшyю демонстрацию...

В течение примерно двух-трех часов я, во-первых, нашёл, на каких форумах он бывает и под какими псевдонимами, но главное — я не поленился и в течение ещё пары часов по его высказываниям с этих форумов составил на него подробное досье с четким указанием, из чего сделаны те или иные выводы. Понятно, что я о нём и так много чего знал, однако технология поиска и составления досье базировалась на вполне элементарных данных, которые при желании мог узнать каждый: его ФИО, дата рождения, имя жены, название фирмы, где он работает, место проживания и так далее. Когда знакомый увидел, сколько информации он выдал о себе, а главное — насколько цельная картина получается, если всю эту информацию собрать с разных форумов и сложить, как мозаику, то просто офонарел. Потому что он весь был — как на ладони. Причем, что интересно, я ему также показал, как по всем этим данным можно произвести обратную экстраполяцию — в том же Интернете найти его реальные ФИО, название его фирмы, его домашний и рабочий адреса.

ЧТО ТАКОЕ ЗАЩИТА ИНФОРМАЦИИ И ЕЁ КЛАССИФИКАЦИЯ


He нужно пропускать этот раздел, презрительно фыркнув — мол, я и сам прекрасно знаю, что такое защита информации. Тоже мне, скажешь ты, бином Ньютона. Защита информации — это когда к ней имеют доступ только те, кому это разрешено, и не имеют доступ те, кому это не разрешено.

В общем, так оно и есть, всё правильно.

Однако хотелось бы несколько конкретизировать этот термин, чтобы далее двигаться не скачками, а постепенно, обсасывая каждый вопрос, как бесподобную лягушачью лапку мэтра Франсуа в парижском Aux Atistes...

Итак..

Что в данном случае мы будем подразумевать под информацией?

1. Определённые личные данные о человеке, которые он не хотел бы раскрывать посторонним лицам.

2. Всевозможная деловая информация, раскрытие или потеря которой может создавать Серьёзные Проблемы.

Что с этой информацией может произойти?



ЧТО В ИМЕНИ ТЕБЕ МОЁМ?


Какой антивирус использовать? Тут можно ответить совершенно прямо, честно, очень чётко и определенно — разные. Не один. Потому что с антивирусами — как со средствами уборки помещения: одним веником не обойдёшься. Нужны веник, швабра с тряпкой и пылесос. Веник соберёт сухую пыль с пола, швабра смоет грязь, а пылесос высосет пылищу с диванов и ковров. то же — с антивирусами. Со стороны они вроде действуют одинаково — шерстят диск и выискивают известные им вирусы, — однако алгоритмы этих поисков и обнаруживаемые виды заразы — достаточно различны. Поэтому спецы (в моем лице) всегда советуют иметь на компьютере несколько антивирусов (два-три) и не доверять показаниям одного. Потому что он может рапортовать о том, что компьютер полностью чист, между тем как в недрах жёсткого диска притаилась зараза, о которой данный антивирус ещё ничего не знает. А вот другой антивирус — знает! И он эту заразу вычистит!

Как правило, вполне имеет смысл использовать один антивирус местного производства (в твоём случае — российского), а другой — какой-нибудь общепринятый мировой.



ЧУТЬ-ЧУТЬ ОБ ОБЫЧНОМ БАНКИНГЕ


Меры безопасности при работе с обычным (неэлектронным) банкингом не напрямую связаны с тематикой данной книги, которая в основном затрагивает вопросы защиты именно электронной информации, однако я, подумав, решил всё-таки вставить эту маленькую главу, потому что данные советы всё-таки относятся к защите информации как таковой. Итак, несколько полезных советов по работе со своим банковским счётом...

1. В большинстве европейских и наших, американских банков есть услуга «подтверждение голосом» - используй её. Твой западный банкир будет твоим ангелом-хранителем и никогда не проведёт платёж, если в твоём голосе будет чувствоваться сладостное томление от ректального подогрева, трепетно сделанного паяльником или утюгом.

2. Самый надёжный и единственный абсолютно невскрываемый шифр, от которого отказались из-за проблем с доставкой обеим сторонам, — это одноразовые шифровальные блокноты. У тебя нет проблемы встречи с банкиром — используй этот метод, если банк поддерживает его. Тебе дают таблицу с кодом каждого последующего платежа — который подтверждает трансакцию номер 888. Для следующей он уже не сработает. Перехват или прослушка бесполезны. (Аналогичный метод, как ты помнишь, используется для эффективной защиты электронных платежей.)

3. Если работаешь по факсу, создай свою систему нумерации платёжных поручений и меняй её как минимум раз в год. Например 10001, 10002, 10016 в этом rоду и 201, 202, 279 в следующем.

4. Никогда не давай партнёрам копию международных платёжных поручений. Не искушай их желанием попробовать отправить это поручение ещё раз. Ограничься копией SWIFT телеграммы. Тем более, что солидный партнёр всегда сможет проверить факт такого платежа и оценить твою продвинутость.

5. Не рисуй SWIFT references на лазерном принтере. Это легко проверить, и ты будешь выглядеть полным кретином. И быть им.

б. Путешествуя, не отправляй платёжки или номер своей кредитной карточки факсом через reception отеля. Факс имеет память как минимум на сорок сообщений. Отправь факс сам через программу (например, Winfax), инсталлированную на зашифрованном диске своего лаптопа.


7. Не храни выписки в открытом доступе. Глупо уповать на швейцарскую банковскую тайну, если выписки валяются в столе у твоего бухгалтера. Храни Господь «Локхид» и Мартина Рича — они были Большими Боссами.

8. Не выбрасывай слипы от кредитной карты где попало, не оставляй в ресторане детализированный чек, ограничиваясь слипом по трансакции, и не печатай электронные чеки на сетевые принтеры в отелях и даже у себя в офисе. Не оставляй сохранённые слипы в открытом доступе на незашифрованном диске — не искушай программиста или судьбу. (В то же время не носи домой или в бухгалтерию детализированный счёт — даже гаремная жена догадается с кем ты был, если счёт состоит из одного бифштекса, тайского салата из креветок, десерта haute cousine и бутылки розового шампанского. Никто не поверит, что друг детства Гоша перешёл со «Столичной «на винтажный «Кристаль».)

9. Не получай выписки по почте или по электронной почте. Запрашивай их регулярно с курьерской доставкой (хотя таможня регулярно вскрывает DHL Express) или (аллилуйя!) получай их лично. Веб-интерфейс в данном случае лучше и конфиденциальнее E-mail (разумеется, при наличии защищённого соединения).


Деловые


Данный вид писем имитирует ответ на какое-то ваше деловое письмо. Оформляется оно просто и примитивно. Что-то в этом роде:

В отчет на ваш запрос от такого-то числа сообщаем:

Ваш запрос удовлетворён. Прайс-лист на наши услуги с полагающейся вам скидкой приложен х nисьму (файл price.exe).

С уважением, менеджер проекта Пася Вупкин.

Расчет, в общем-то, вполне простой. Масса людей, даже Больших Боссов, отправляют куда-то всякие запросы, а уж фраза «со скидкой» заставляет терять осторожность даже мультимиллионеров. В результате «прайс-лист», безусловно, запускается, а компьютер, безусловно, заражается.

Существует ещё несколько различных видов подобных провокационных писем, но принцип ты, я надеюсь, понял, поэтому не будем на них останавливаться отдельно. Тут главное другое. Главное — какие выводы из всего этого ты сделаешь. А выводы такие...

1. Никогда и ни под каким видом не следует запускать выполняемые файлы, (то есть программы) приложенные к письму, пришедшие непонятно от кого.

2. Никогда и ни под каким видом не следует запускать выполняемые файлы, приложенные к письму, пришедшие от хорошо вам знакомых людей. Потому что ни один нормальный человек не станет пересылать по почте выполняемые файлы — это просто ни к чему По почте пересылают документы, картинки, музыку и видео. А выполняемые файлы — на черта они? Кроме того, выполняемые файлы от имени твоих знакомых могут рассылать сами вирусы-трояны.

3. Выполняемый файл, приложенный к письму, — это на сто процентов не саморазворачивающийся архив с голыми девушками, прайс-лист или крайне нужная тебе программа (интересно, какой крайне нужной программы у тебя нет?). Это вирус.

4. Единственная правильная реакция на внезапно пришедшее письмо с выполняемым файлом — его немедленное удаление. Независимо от того, чьё имя стоит в поле «От кого».

Вот и все нехитрые постулаты! Если их выполнять неукоснительно, то это значительно снизит риск заражения компьютера!



Деструктивные действия


Ну а ряд вирусов в качестве основной цели своего существования содержат программу по-настоящему опасных действий, приводящих к частичной или полной потере информации на заражённом компьютере.

Следует хорошо понимать, что в любом случае вирус — это есть зло. Если он попал на ваш компьютер, то вы можете ожидать от него любых пакостей, потому что почти никогда нельзя заранее сказать, каким будет результат его работы. Но лучше ожидать худшего — просто потому, что с высокой долей вероятности данный вирус написан вовсе не для того, чтобы призвать мир сохранять зелёные насаждения...



Дружеские


Это сорт писем, в которых имитируется «письмо от друга». Тебе приходит сообщение примерно такого вида:

Братан, здорово! Как сам, как девчонки? Сто лет не виделись нужно будет заскочить.

Слушай, брат. Мне тут Серёга nрограммулю прислал — говорит, что суnерская программа. Но она у меня что-то спрашивает, я никак не пойму, чтл хочет. Старичок, ты не мог бы глянуть, а? Да и тебе наверняка nригодится.

Крепко жму.

К письму, как водится, приложен файл programmulya.exe. И ты его, разумеется, тут же запускаешь. Потому что письмо — оно же от этого... как его... Блин, где же там его имя-то? Имени нет, но он же тебя называет братаном, ведь правильно? Точно так же тебя называет Вован, Колян, Петюнчик, Сергей Петрович и Тофик Александрович — дорогие друганы! Это ведь кто-то из ник прислал, правильно? На это и рассчитано. Письмо максимально обезличено и может прийти кому угодно от кого угодно. Выглядит оно как письмо от хорошего знакомого.

Ну да, адрес отправителя (если он вообще в письме присутствует, что не факт) незнакомый, но мало ли, может, Вован (Колян, Петюнчик, Сергей Петрович или Тофик Александрович) просто почтовый ящик сменил!

Так что способ, как видите, железобетонный. Срабатывает очень хорошо. Иногда даже лучше, чем письма от девушек с торчащими вперед грудями. Потому что в данном случае подвоха уж точно никакого не ожидаешь...



E МАША, НО НЕ НАША


Есть ещё один довольно простой, но тем не менее эффективный способ натянуть чужим нос. Делается так называемая обманка — полная имитация общего каталога с офисными папками и файлами. Туда кладутся — разумеется, после предварительной тщательной проверки — старые и не имеющие никакой ценности документы, а также, возможно, специально разработанные под данную задачу базы данных и бухгалтерские базы.

В момент наступления времени «Ч» админ закрывает секретный диск — который, напомню, со стороны представляет собой обычный большой файл (ну мало ли какие здоровые файлы лежат на сервере) и открывает каталог-обманку. Чужие или копируют этот каталог на свои переносные устройства, держа пистолет у лба несчастного админа, или забирают сервер и сматываются.

Как ни странно, этот простой способ достаточно эффективен, несмотря на то, что если поизучать компьютеры пользователей, то там будет видно, что пользователь работает с секретным диском (это если пользователи не имеют инструкций по поведению в подобной ситуации и у них не прогремел звоночек, означающий наступление этого неприятного времени), однако у чужих обычно нет времени изучать компьютеры пользователей. Как правило, они просто честно отнимают сервер. Да пускай забирают и наслаждаются каталогом-обманкой...



ЕСЛИ В ПРОВОДАХ ВНЕЗАПНО ЗАКОНЧИЛОСЬ ЭЛЕКТРИЧЕСТВО...


Для российских условий это довольно актуальный вопрос. Потому что здесь, как известно, электричество имеет обыкновение не только внезапно заканчиваться под воздействием различных объективных, субъективных или даже мифических (вроде пьяного электрика, который просто перепутал рубильник) причин, но и может раскачиваться взад-вперёд, как славное море, священный Байкал, сначала падая до 200 вольт а потом, как бы беря на себя повышенные социалистические обязательства, прыгая аж до 240 все тех же пошлых вольт.

Излишне говорить, что компьютеры, учитывая их западное происхождение, не очень любят подобные кунштюки. то есть очень не любят. Реагируют они на них самым разнообразным, но всегда достаточно неприятным образом: выключаются, перезагружаются, ломаются, но главное — теряют данные. Иногда эти данные можно восстановить. Но это, к сожалению, происходит далеко не всегда. Кроме того, в особо тяжелых случаях скачки напряжения убивают жёсткие диски (особенно если в компьютере стоит какой-нибудь китайский блок питания), а это, как ты понимаешь, означает полное крушение всех надежд, шесть букв, вторая «и» — то есть фиаско. Информация в подобных случаях потеряна безвозвратно, и дай бог, если её не так давно куда-нибудь архивировали.

Что делать, как спастись от подобной напасти? Выход на самом деле только один — ставить ИБП (источник бесперебойного питания; по-английски это сокращение звучит как UPS). Это специальное устройство с аккумуляторами, которое работает следующим образом: ИБП (обычно его называют просто «бесперебойник») подключается к электрической сети, а компьютер подключается к ИБП. Когда электричество в сети есть, компьютер спокойно работает, не замечая бесперебойника, а тот занимается своим делом — подзаряжает аккумуляторы. Если вдруг электричество падает до недопустимых величин или вообще пропадает — бесперебойник мгновенно переключает компьютер на свои батареи и начинает его нежно питать, как корова Нюра телёнка Борьку. При этом он ещё и очень противно пищит, чтобы все знали: «Люди! В ваших проводах больше нет электричества!»


Сколько времени ИБП продержится вообще без электричества? Это зависит от его мощности, от начинки компьютера и от того, что именно подключено к бесперебойнику — только системный блок компьютера или блок вместe с монитором.

Самый простенький бесперебойник имеет мощность в среднем 360-500 вольт-ампер, стоит меньше 100$ и рассчитан  на то, чтобы вместе с компьютером и монитором пережить достаточно кратковременное пропадание тока (несколько минут). Впрочем, если к такому бесперебойнику подключен только системный блок компьютера, то его (в зависимости от конфигурации) даже такое маломощное устройство будет питать от получаса до часа. Ну да, монитор при этом работать не будет (раз он не подключён), но задача бесперебойника — не обеспечить полноценную работу в момент пропадания электроэнергии, а сохранить данные!

Любые, даже самые дешёвые ИБП, когда их батареи близки к истощению, умеют давать компьютеру сигнал о том, что пора, мол, сворачивать лавочку — то есть закрывать все файлы и заканчивать сеанс работы с компьютером. Это также обеспечивает сохранность данных даже в том случае, если электричество пропало на длительный срок, и аккумуляторов ИБП не хватит для поддержания работоспособности компьютера.

Бесперебойники нередко применяются для отдельных персональных компьютеров (возьми себе это на заметку, если ты сохраняешь какие-то файлы нa своём локальном диске), но более всего они нужны — ну, разумеется — на сервере! И действительно, если на сервере у нас хранятся абсолютно все файлы, создаваемые на фирмы, то именно его нужно беречь как зеницу ока! Его и берегут — с помощью продвинутого ИБП (он не обязательно уж очень мощный, хотя, конечно, на сервер желательно ставить бесперебойник где-нибудь в гигаватт), который не только может довольно продолжительное время питать сервер при полном выключении питания, не только аккуратно закроет все файлы и выключит компьютер, когда его батареи будут близки к разрядке, но и разошлёт (с помощью специальной программы) сообщение по офисной сети о том, что сервер получает недостаточное питание, поэтому настоятельная просьба всем срочно закрыть файлы и отправляться курить или делать ещё что­нибудь не менее полезное для здоровья.



Бесперебойник — слишком важное устройство, чтобы на нём экономить. Необходимо приобретать ИБП хорошо себя зарекомендовавшей фирмы, а не какую-нибудь «неведому зверушку» наших китайских друзей. Потому что я лично видел бесперебойники, которые при тестировании исправно пыхтели, питая компьютер электричеством, затем несколько месяцев дружелюбно подмигивали зелёным глазом, стоя совершенно без дела, а потом, когда электри­чество вдруг пропало — бесперебойник пропал вместе с электричеством. то есть заглох, как автомобиль «Жигули» посреди оживлённого перекрёстка в жуткий ливень. У него то ли аккумуляторы сдохли, то ли внутри обнаружилась эрозия конденсатора — чёрт его знает. Важно то, что сервер, который питало это безобразие, упал навзничь (фигурально выражаясь), как Остин Пауэрс во время злодейского похищения у него «моджо». Вместе с ним упали (то есть были повреждены) довольно нужные файлы... Вот и думай теперь, нужно ли экономить чтобы в решительный момент получить такую оплеуху?

Таким образом, хороший бесперебойник -это совершенно неотъемлемая часть сервера, ну и кроме того — всех тех компьютеров, нa которых сохраняется информация в обход сервера (например, компьютер твоего финансового аналитика, специалиста по связям с таможней и так далее). И если твой админ, установив сервер, не попросил у тебя денег на бесперебойник, вызови его и спроси как бы между прочим, чем именно вызнано такое пренебрежение к базовым понятиям безопасности. Может, поинтересуйся у админа, он вообще живёт не по понятиям? Понятиям безопасности, разумеется...


ФИЛЬТРУЙ БАЗАР


Ну, а если уж случилось так, что спам хлынул широкой мутной рекой, и у тебя нет возможности сменить адрес почтового ящика (он может использоваться для важных контактов, и тебе проще получать спам, чем потерять средство связи с полезными адресатами), тогда единственный вариант — фильтровать, фильтровать и ещё раз фильтровать. Ведь спамеры — они, конечно, хитрованы, но программисты — они тоже не дураки!

Конечно, существует способ, не требующий вообще никаких программных решений — посадить за разгребание электронной почты твою секретаршу, чтобы она чистила её от спама. Но по вполне понятным причинам этот способ может быть чрезвычайно неудобным.

Поэтому лучше всё-таки использовать компьютерные методики, ведь они, во-первых, на порядок эффективнее, во-вторых, на порядок быстрее, а в-третьих, на несколько порядков менее любопытные, и содержание твоей почты их совершенно не интересует.

Как работают эти фильтры? Обычно в них используется комплексный подход — то есть комбинация различных, иногда весьма сложных методов. С одной стороны, тебе можно всем этим голову не забивать, но с другой — весьма полезно хотя бы в общих чертах представлять механизмы работы антиспамерских фильтров, чтобы понимать, почему те или иные письма ими не отфильтрованы или наоборот — почему фильтр скушал вовсе не спамерское письмо.

Попробую изложить все эти методики обнаружения спама простым и доступным, надеюсь, языком...



Г) невидимые сноски и ссылки


Наиболее дуболомный способ, но иногда применяется. Это когда нужная информация пишется во всякие специальные поля — например, колонтитулы и сноски — белым по белому или черным по черному Для шестиклассников — сойдёт. Серьёзные мужчины такую стеганографию не используют — так можно весь авторитет потерять.



Гарантирует, что в первоначальный текст письма не внесено никаких изменений.


«Но как она это делает?!!» — можешь спросить ты. Это же прям шайтан какой-то получается, да? Шайтан, однозначно! Но имеющий под собой вполне четкое математическое обоснование. Впрочем, я не буду грузить тебя терминами вроде «хэш-функции «и тому подобных. Просто скажу, что всё дело в волшебных пузырьках — то есть в публичном ключе.

Физически это выглядит следующим образом... Hog каждым зашифрованным письмом PGP ставит так называемый «отпечаток пальца» (PGP fingerprint). Это некий код, то есть набор символов. При получении письма абонент сравнивает этот отпечаток с текстом — таким образом выясняется, были ли внесены в текст какие-то изменения — а затем отпечаток сверяется с твоим публичным ключом. Если всё совпадает, значит, письмо точно написано тобой, причём в него не было внесено никаких изменений.

Подделать этот «отпечаток пальца» практически невозможно. Только если украсть у тебя секретный ключ.



Графические вложения


He так давно спамеры, казалось бы, придумали, как навсегда обмануть фильтры — стали рассылать рекламные тексты в виде графических файлов, которые невозможно проанализировать обычными методами. Однако доблестные программисты весь этот атом направили на мирные цели — разработали хорошие алгоритмы (так называемая «технология нечетких сравнений»), позволяющие как раз весьма эффективно идентифицировать подобные уловки как спам, не смешивая их с честными графическими файлами — картинками, сканами документов и фотографий девушек с торчащими грудями.



ГРАМОТНЫЕ ЩУПАЛЬЦА ЛОКАЛЬНОЙ СЕТИ В ОФИСЕ


Правильная организация локальной сети в офисе — залог хорошего уровня безопасности. В общем, все Большие Парни эту немудрёную мысль и так хорошо знают. Также они более или менее знают, что такое локальная сеть: это когда компьютере в офисе соединены проводами, и с компьютера, стоящего в отделе маркетинга, можно выводить страницы на принтер, стоящий в секретарской. А чего боссы не знают — так это того, что именно подразумевается под термином «правильная организация локальной сети в офисе».

С одной стороны, и правильно, они не должны знать таких тонкостей — ведь для этого существуют приглашённые специалисты. Но с другой, в таком интимном деле как информационная безопасность в подобных вопросах всё-таки нужно разбираться — хотя бы в общих чертах (тем более, что ничего сильно сложного там нет). Ну хотя бы для того чтобы иметь возможность оценить уровень приглашенного специалиста. Это во вторую очередь. А в первую — чтобы, чёрт возьми, понимать, что происходит.

Поэтому давай всё-таки постараемся понять, что таксе локальная сеть и какова её роль в защите информации. Оно не лишнее, клянусь своим банковским счётом...



HE СВЕТИТЬ ВСЕГДА, НЕ СВЕТИТЬ ВЕЗДЕ...


Откуда спамеры берут электронные адреса? Из Интернета, разумеется. Из него, родимого! В отличие от адресов веб-страниц (всяких там www.exler.ru), которые тут же публикуются в Интернете практически в момент своего появления, с адресами электронной почты ситуация обстоит совершенно по­другому. Когда ты получаешь адрес электронной почты — у своего провайдера, как корпоративный адрес, ящик на бесплатном сервисе — известен он только тебе и фирме, его обслуживающей. Если этот адрес сообщать абонентам только лично, никакого спама на него приходить не будет, потому что спамеры о существовании данного адреса просто не узнают. (Я надеюсь, что ты не из тех странных ребят, которые бросают свою визитную карточку в аквариум местной забегаловки, надеясь выиграть в лотерею пару бесплатных крысбургеров. Халява сладка, но после этого на твои адреса посыплется шквал всякой хрени, лучшей из которой будет предложение купить пару лохматых сэндвичей со скидкой в пятьдесят центов.)

Однако как только адрес будет опубликован на какой-нибудь интернетовской страничке — например, в разделе «Для контактов» на твоём корпоративном сайте, в качестве обратного адреса под текстом, выложенном на сайте, как ящик для связи в профайле регистрации на каком-нибудь форуме или чате — он тут же «засветится» у спамеров, и вот после этого можно спокойно начинать вешаться, потому что спамеры теперь от тебя не отстанут.

Что значит «засветится» ? Спамеры что, по всем интернетовским страничкам выискивают адреса? Да, так и есть. Только, разумеется, не сами спамеры, а их поисковые роботы (программы). Эти роботы долго и тупо перебирают все странички, до которых могут дотянуться (а дотянуться они могут практически до чего угодно, ибо так устроена Всемирная сеть), выискивают там ссылки на любые электронные адреса (как известно, они всегда имеют вид: название_ящика@домен.зона) и заносят их в базу для рассылки. Причем этими базами спамеры и сами обмениваются друг с другом, всё время наращивая объём представленных адресов, и предоставляют их любым своим клиентам — мол, нате, ребята, рассылайте свою дрянь по сотням тысяч адресов, не стесняйтесь, только деньги нам платите.


Как только адрес попал хоть в одну базу — всё, можно расслабиться. Теперь этот адрес довольно шустро начнет кочевать из базы в базу, в результате чего поток спама, отправляемый на него, будет увеличиваться и увеличиваться.

Я проводил один интересный эксперимент. Опубликовал некий тестовый адрес на специально для этого созданной и совершенно непосещаемой страничке в зоне ru, после чего стал фиксировать, какое количество спама на него приходит. По окончании первого месяца спамерских писем стало приходить примерно десяток в день. После трех месяцев — 20-30 писем в день. Полгода — под 50 писем. Через год — под сотню. И этот адрес, заметьте, фигурировал только на одной-единственной интернетовской страничке, которую не посещал никто кроме роботов. Что происходит, когда адрес публикуется на известной странице, присутствующей во множестве каталогов и поисковых системах, — легко себе представить. В этом случае спам довольно быстро начинает исчисляться сотнями писем в день. (На один из моих широко известных в Интернете почтовых адресов сейчас приходит больше тысячи спамерских писем в день. Впечатляет? Я так и думал...)

Таким образом, профилактика — основа основ в борьбе со спамом. Если стараться нигде в Интернете не публиковать свой адрес, тогда спама может вообще не быть. Это в идеале. В реальности, к сожалению, никуда не деться от публикации почтового адреса, потому что, например, должен быть публичный адрес для контактов, адрес регистрации на всяких комьюнити — форумах или чатах, — ну и так далее.

Как с этим поступать? В свою очередь, тут есть два подхода. Во-первых, завести для всех публикуемых адресов отдельные ящики. Чтобы уж хотя бы личную почту обезопасить от спама. Во-вторых, если уж необходимо публиковать адрес на сайте, тогда старайся его хоть как-то защищать. то есть, например, писать адрес не как vasya@pupkin.ru, а как vasya(at)pupkin.ru. Такой способ у посетителей сайта, конечно, вызовет определённые неудобства, потому что они не смогут щелкнуть по адресу и сразу написать письмо, однако как вручную ввести адрес посетители поймут, и его не занесут в свою базу спамерские роботы.



Впрочем, существуют более технически совершенные способы защиты публикуемых адресов, но их должны использовать веб-мастера. Тебе в данном случае нужно просто попросить веб-мастера, публикующего, например, твой официальный электронный адрес в разделе «Для контактов» на корпоративном сайте, защитить этот адрес от спама. Если веб-мастер (администратор сайта) ответит, что он не очень понимает, о чём идет речь, повесь в Интернете объявление «Требуется новый веб-мастер взамен утраченного».

Ну а там, где от тебя требуют указания адреса только для того, чтобы выслать пароль для доступа к сервису, пользуйся так называемыми односуточными адресами. В Интернете есть сервисы, позволяющие практически мгновенно завести ящик с любым названием, который будет жить не более суток. И если тебе необходимо разок дать название ящика, на который придет пароль, нет смысла светить постоянно используемый адрес — лучше пользоваться «одноразовым».

И ещё немного о всяких комьюнити — форумах, чатах и так далее. Даже Большие Боссы нередко являются завсегдатаями всех этих тусовок, хотя казалось бы, им не до этого. Но мало ли что, может, Большой Босс хочет пообщаться с другими большими боссами! Или обсудить с пацанами крутую спортивную тачку на автофоруме. Или прикинуться четырнадцатилетней глупышкой и поразыгрывать всяких дурочек (которые на самом деле — всё те же Большие Боссы) на форуме лесбиянок. В самом деле, мотивация может быть разная. Нас она в данном случае совершенно не волнует. Но нас волнует сам факт регистрации — когда от тебя будут требовать ввести всякие данные о себе...

Так вот, не нужно там вводить ни свой личный, ни свой рабочий ящик. Причём по многим причинам. Во-первых, почтовые адреса участников комьюнити администраторы могут продавать спамерам. (Чёрт знает, кто такие эти администраторы, и что они будут делать с полученными данными, ведь правильно?) Во-вторых, из соображений безопасности в любом случае не следует «светить» адреса, могущие навести на всевозможные данные о тебе, при регистрации в различных онлайновых тусовках.Ни к чему это. Явно лишнее. Заведи специальный ящик для этих развлечений — его там и свети.


Хитрое форматирование текстовых файлов


Вот здесь веселее. Потому что в данном случае пересылается как бы обычный текст, в котором законсервирована тайная информация. Посторонний человек видит обычный текст, а перципиент (я его так называю просто для прикола, на самом деле это всего лишь твой абонент), который знает, что за метод используется, из невинного текста «вытаскивает» интереснейшую информацию. Методов тут, кстати, несколько. Вот самые основные:



ХРАНЕНИЕ ПАРОЛЯ


1. «Вы, конечно, будете смеяться», но пароль нельзя записывать на стикере и прилеплять его к монитору. Также пароль нельзя писать на листочке и класть его в ящик стола. Да-да, даже в том случае, если ты этот листочек хитроумно перевернёшь — чтобы враг ни за что и никогда не догадался.

2. Пароль также крайне не рекомендуется записывать в обычные или электронные записные книжки. Даже если ты хитроумно запишешь его задом наперёд. Даже если этот пароль ты закроешь другим паролем — каким-нибудь попроще.

3. С грустью приходится констатировать совершенно непреложный факт: пароли вообще нигде нельзя записыватьl Ни под каким видом! «Мысль изречённая есть ложь» — как сказал то ли философ древности, то ли Тютчев недавней современности. «Пароль записанный — есть не пароль, а дурдом на колесах» — это мысль Карла Шкафица, эксперта по информационной безопасности. Высеките её на скрижалях вашей памяти и запишите в книжечку. Пусть это будет единственная запись, относящаяся к паролям. Других быть не должно.

4. «Ну, и? — спросишь ты. — Как хранить-то этот чёртов пароль?» А в голове, друг мой, в голове. К сожалению, больше негде. Надеюсь, в голове в любом случае ты способен хоть что-то сохранить, в противном случае ты не стал бы Большим Парнем. Практика показывает, что намного проще чуть-чуть напрячься и запомнить пароль (вообще говоря, их должно быть несколько, но об этом позже), чем пытаться его куда-то скрытно записывать, а потом долго вспоминать, куда именно.

Один мой знакомый бизнесмен разработал совершенно зубодробительную систему, позволяющую ему записывать пароли так, что злоумышленник при всем желании не смог бы их прочитать, даже если бы по каким-то причинам обнаружил эти записи (что, кстати, само по себе было практически невозможно). Мы потом с этим бизнесменом вместе разобрали по составляющим его творческий метод и выяснили, что для того чтобы записать один пароль ему приходится держать в голове три других. После этого он попробовал просто запоминать основные пароли и никуда их больше не записывать. Ему понравилось.



ИНФОРМАЦИЯ ПОД ЗАМОЧКОМ


Весьма серьёзная проблема с безопасностью при использовании современных операционных систем заключается в том, что даже если некий документ защищается обычными средствами операционной системы, то злоумышленник всегда имеет возможность получить доступ к этому файлу на чисто физическом уровне, минуя саму операционку, — то есть считав документ с жёсткого диска, загрузившись с помощью другой системы.

Таким образом, нужно как-то сделать так, чтобы важные документы хранились на диске в зашифрованном виде, а ещё лучше — чтобы шифровались целые разделы жёсткоrо диска со своими папками и файлами. Причем весьма актуально, чтобы это было не статичное шифрование (зашифрованный архив), а именно «прозрачное» шифрование — чтобы с данными можно было работать, но на диске они всё время оставались в зашифрованном виде.

Задача эта давно решена с помощью различных программ — как непосредственно программой PGP, так и других программ защиты, реализующих похожие алгоритмы.

Выглядит это следующим образом... Администратор с помощью соответствующей программы создает на сервере так называемый секретный диск. Физически он представляет собой обычный файл, записанный на жёстком диске. После идентификации (серьёзный пароль и, возможно, какое-то программно­аппаратное средство) диск становится видимым в системе, и на нём можно создавать папки и различные документы. Таким образом, пользователи видят как бы обычный логический диск, но на физическом уровне это один, причём зашифрованный файл.

Такой файл можно украсть (скопировать), но подобное действие злоумышленнику ничего не даст, потому что файл шифруется криптостойкими алгоритмами, и расшифровать его почти нереально.

Ключ для шифрования данных, введённый админом, находится в памяти компьютера всё время, пока секретный диск открыт для работы другим сотрудникам (они для доступа к секретному диску также чётко идентифицируются паролем и, возможно, программно-аппаратными средствами). Но если вдруг наступает время «Ч», администратор должен надёжно закрыть доступ к информации и/или её вообще уничтожить.


Для этой цели в секретном диске самим же администратором задаются так называемые «зелёные», «жёлтые» и «красные» коды (в разных системах они могут называться совершенно по-разному). «Зелёный» код (пароль, вводимый администратором) — просто открывает админу доступ к секретному диску. «Красный» код, вводимый в момент наступления каких-то проблем, немедленно закрывает любой доступ к нему.

Ты понимаешь? Это происходит практически мгновенно. Админ просто ввёл код — и всё, секретный диск никому не доступен, а на физическом уровне представляет собой один здоровый файл с совершенно неудобоваримым содержимым. Таким образом, информация и полностью скрыта от посторонних, и сохранена, потому что, когда опасность минует (мы оба очень надеемся на то, что это произойдёт довольно быстро), админ сможет снова открыть этот диск для работы.

Hо возможен ещё один вариант развития событий. Ты хорошо знаешь, что чужие могут быть очень грубы. А что если один из них приставит пушку к голове несчастного админа и скажет ему нежно-нежно: «Если ты, скотина, не хочешь лишиться башки, тогда быстро открывай свой грёбаный PGP-диск и не вздумай со мной шутить — иначе твои мозги разлетятся по всему серверу». Понятное дело, никакой админ (ну разве что это будет совсем Наш и совсем духовой парень) в подобном случае не станет рисковать своей единственной головой и вводить «красный» код. Он введет «зелёный». И тогда грош цена всей этой секретности, потому что сработал человеческий фактор, подкреплённый пушкой у головы.

Так вот как раз на такой случай и предусмотрен «жёлтый» код! Это очень интересная и весьма хитрая штука, разработанная как раз для подобных случаев. Работает он следующим образом... Админ заранее задает «жёлтый» код и время его действия (например, полчаса, час). Когда возникает ситуация пистолета у башки — админ сообщает «жёлтый» код чужим. Те его вводят — и секретный диск полностью открыт. «Опа!» — говорят чужие, радуются и отпускают админа. Тот идет менять штаны, слегка пострадавшие после встречи с пистолетом, поднесенным к башке, а чужие, радостно гогоча, берут сервер и делают ноги из офиса.Они же знают код доступа к секретному диску, так что потом смогут заняться разбором секретных документов в спокойной обстановке.

Но хохма в том, что «жёлтый» код срабатывает один раз, причем на непродолжительное время. При последующем вводе «жёлтый» код насмерть закроет информацию, и прочитать данные будет уже невозможно.

(Я намеренно не рассматриваю ситуацию, когда чужие, радостно гогоча, берут под мышку и сервер, и админа, чтобы в тишине и спокойствии узнать у него «зелёный» код. Потому что это называется не время «Ч», а ПЗ — то есть Полная Задница.)


Использование избыточности музыкальных, графических и видео­файлов


Довольно забавный способ, который основан на том, что в мультимедийных форматах всегда есть определённая избыточность — то есть в звуковой, графический файл или видеопоток, грубо говоря, можно воткнуть определённую информацию, которая на качество воспроизведения практи­чески не повлияет. Таким образом, несведущий человек (злоумышленник), запустив этот файл, увидит картинку, видеоклип или услышит песенку, а получатель, знающий об использовании данного способа, с помощью специальной программы вытащит оттуда передаваемые данные.

Вот что такое современная стеганография — в весьма упрощённом и популярном (раскланиваюсь) изложении. Чтобы использовать любой из этих методов (кроме, конечно, акростиха, но и ребенку понятно, что акростих защитой считать нельзя), ты должен договориться со своим абонентом о том, какой из методов вы будете использовать, и установить на ваши компьютеры соответствующие программы.

Неудобств у данных методов довольно много. Во-первых, и это довольно важно, во всех них используется огромная избыточность: то есть чтобы передать небольшой текст, нужно пересылать на порядок (или порядки) больший объём. Ну и во-вторых, уровень защиты при использовании данных способов считается весьма низким.

Поэтому стеганография, как правило, используется в каких-то частных случаях. Для постоянной переписки используют криптографию...



Использование электронных платёжных систем


Это специальный вид электронного банкинга, когда ты используешь не свой обычный банковский счёт и не пластиковую карту, а специальные электронные платёжные системы, которые намного более защищены по сравнению с обычными способами онлайновой оплаты.

Теперь разбираемся подробно.



ИСПОЛЬЗУЙ ТО, ЧТО ПОД РУКОЙ


Где взять эти фильтры? Как их настраивать и как использовать?.. Есть разные способы: персональные и корпоративные.



ИСТОЧНИКИ БЕСПЕРЕБОЙНОГО ПИТАНИЯ


ИБП АРС (American Poжеr Conversion) — www.apc.ru

ИБП PowеrCom — www.pcm.ru

ИБП PowеrWare — www.ups.ru

ИБП N-Powеr — www.380v.ru

ИБП PowеrPro — www.ippon.ru

ИБП PowеrMan — www.powеrman.ru



ЭЛЕКТРОННАЯ ПОДПИСЬ


Как я уже говорил, РGР-шифрование предоставляет ещё одну очень интересную возможность под названием электронная подпись. Она выполняет сразу две функции:



ЭЛЕКТРОННЫЕ ДЕНЬГИ


Так как оплата пластиковыми карточками отличается крайне низкой безопасностью, для платежей и онлайне были придуманы специальные способы, которые обычно называют электронными деньгами. Что это такое?

Это некая компьютерная система, предоставляющая своим клиентам соответствующее программное обеспечение и обслуживание. Ты скачиваешь нужную программу устанавливаешь её на свой компьютер и получаешь номер твоего электронного кошелька. (В некоторых системах могут выдавать уникальный идентификационный номер и разные виды кошельков для различных валют.) Платежи с кошелька этой системы принимают различные онлайновые магазины и сервисы. Пополняется этот кошелёк совершенно различными способами — переводом со счёта, внесением наличных в специальных обменных пунктах, а также с помощью обычных предоплаченных пластиковых карточек, которые продаются где угодно. Пpи этом ты имеешь возможность выводить оттуда средства, если они не нужны — переводом на твой счет, наличными через специальные обменные пункты и так далее

Главное преимущество при использовании электронных кошельков — их очень неплохая защищённость и анонимность. Это программное обеспечение разрабатывалось именно для онлайновых платежей, и в нём используется несколько различных степеней защиты как самых кошельков, так и операций, проводимых с их помощью.

В России активно используются две подобные системы — Webmoney и Яндекс.Деньги. Обе они защищают кошелёк пользователя и паролем, и парой ключей, которые хранятся на компьютере пользователя или на любом внешнем носителе. В Webmoney также есть возможность защиты секретного ключа от попыток украсть его через Интернет, а также отдельная специальная защита всех видов операций.

Кроме того, и это бывает актуальным для многих пользователей, электронные платежные системы могут быть обезличенными — то есть ты при их использовании не обязан сообщать свои реальные ФИО. Правда, в этом случае многие возможности систем становятся недоступными, но для оплаты чего-то через Интернет их можно использовать безо всяких проблем.



ЭЛЕКТРОННЫЙ БАНКИНГ


Если на Западе электронный банкинг — вещь уже сама собой разумеющаяся, то в России подобный вид услyг развит пока очень слабо. Но, как и в случае с сусликом, которого не видно с первого взгляда, электронный банкинг в России всё-таки есть.

Во-первых, ряд крупных банков предоставляют по крайней мере онлайновое получение статистики. В этом случае вопрос безопасности стоит не очень остро, потому что если вдруг злоумышленник и получит несанкционированный доступ, то максимум, что он сможет сделать, — это посмотреть выписки по счетам, а похитить деньги у него не получится. Во-вторых, несколько крупных банков предоставляют полноценный онлайновый банкинг, то есть ты имеешь возможность проводить любые операции со своим счётом через Интернет. Вот здесь вопрос безопасности встает со всей неумолимостью, потому что если в этом случае злоумышленник получит возможность доступа к счёту то он просто похитит деньги и вернуть их будет крайне сложно или невозможно.

Как образом осуществляется безопасность в этом случае?


Это когда ты заводишь счёт в банке, поддерживающем онлайновую работу со счётом, и через Интернет производишь различные операции с этим счётом: смотришь статистику, получаешь выписки, делаешь различные стандартные и нестандартные операции.



ЭЛЕКТРОННЫЙ КОШЕЛЁЧЕК


Уже практически любой солидный человек пользуется различным интернет-банкингом, работает с так называемыми электронными деньгами (электронными платежными системами) и оплачивает в онлайне (то есть через Интернет) различные товары и услуги. И так как речь в данном случае идет о деньгах, вопрос защиты и безопасности встаёт во весь свой электронный рост. Насколько я мог судить, у многих Больших Парней в этом вопросе наблюдается редкостная путаница. Одни из них вообще не пользуются электронными платежами, потому что опасаются хищения средств, другие наоборот — в восторге от открывающихся возможностей оплачивают кредиткой всё на свете, а потом удивляются, куда это вдруг деваются деньги со счёта... Давай всё-таки немного разберёмся с этим вопросом.

Итак, электронные платежи делятся на три основных вида:



ЭТИ МИЛЫЕ СЕРДЦУ УЖАСАЮЩИЕ КАРТИНЫ


Прежде чем мы приступим к нелёгкому процессу переворота в твоём сознании, поговорим о том, какие милые сердцу, хотя и слегка ужасающие разум картины открываются передо мной, когда я появляюсь в очередном офисе, состояние безопасности информации которого я должен оценить как эксперт-­консультант или, если угодно, как собака-ищейка...

Итак, некий Большой Парень вызывает меня в свой офис для проведения оценки и получения экспертного заключения. он слышал обо мне от своих друзей и от Наших друзей. Ему меня рекомендовали. Что интересно, он вовсе не озабочен (пока!) вопросами безопасности информации, но он знает, что многие его крутые знакомые вызывали специального эксперта — некоего Карла, который, как мистер Вульф, решает проблемы, — и он тоже хочет вызывать специального эксперта. Сейчас это модно — вызывать экспертов. Возможно, думает Большой Парень, этот эксперт найдёт какую-нибудь небольшую дырочку в моих делах, и тогда я при нём вызову этих кретинов, своих младших, чтобы задать им шикарную головомойку. А возможно, продолжает думать Большой Парень, эта ищейка Карл напрасно будет совать свой длинный ищеистый нос во все пыльные закоулки компьютеров моего офиса, после чего будет вынужден признать, что он не разнюхал НИ ЧЕРТА — ни запаха палёных бланков, ни тонкого аромата поддельных печатей, ни валящего с ног амбре жутких прорех в компьютерных папках, сквозь которые видны внутренности чрезвычайно секретных документов.

Да-да, как я уже говорил, этот Большой Парень меня именно для того и вызывает — чтобы за свои же деньги получить от эксперта признание в безукоризненности ситуации с защитой информации в его офисе. Ни одна ищейка ничего не разнюхает, ни один комар не подточит нос, ни один подлый кукушонок не найдет лазейку в его родное гнездо — так думает этот столп семейного бизнеса. он пока ещё не понимает, что стоит даже не на глиняных, а на соломенных ногах. Что любая мелкая крыса, которую он даже не заметит с высоты своего трона, в течение нескольких минут может обрушить этот столп так, что он разлетится на тысячи мелких кусочков...

Впрочем, хватит беллетристики. Давай перейдём к конкретике.

Так как этот текст готовится специально для русского издания, я буду говорить в основном о тех наблюдениях, которые сделал в офисах российских бизнесменов. Но должен успокоить российских читателей: подобный дом для женщин лёгкого поведения, то есть бардак творится везде — в Европе, Штатах, Австралии и Буркина-Фасо. Конечно, везде есть своя специфика, но она, как правило, не выходит из границ среднестатистических отклонений. Во всём остальном — раздолбайство в отношении информационной безопасности практически везде носит милые и весьма узнаваемые черты...



ЭТОТ СТРАННЫЙ ЗВЕРЬ ПО КЛИЧКЕ «СЕТЕВОЙ АДМИНИСТРАТОР»


Раз уж мы заговорили о локальной сети, нужно хотя бы в общих чертах побеседовать о том, кто же такой этот сетевой администратор (админ), как он должен работать, сколько получать и с чем его едят в случае необходимости...

В народе бытуют легенды о том, что самый хороший сетевой администратор — это тот, который с утра до вечера сидит за своим компьютером и занимается следующими важными делами: болтает по Интернету с другими сетевыми администраторами, также изнывающими от тоски, со вкусом играет в весьма сложные компьютерные игры и составляет различные музыкальные или художественные (я имею в виду порнуху) коллекции. Ты спросишь, почему этот бездельник ещё и считается лучшим? Потому что, дескать, у него сеть работает настолько безукоризненно, что с ней и делать ничего не надо — всё пашет само собой, а ему остается только сидеть рядом «на всякий пожарный».

Верно это или нет? С одной стороны, какая-то сермяга в подобном определении всё-таки существует: намного лучше иметь бездельничающего админа, у которого сеть работает безукоризненно, чем админа, который с утра до вечера в поте лица пытается разобраться, почему у него всё глючит на различных направлениях, а сеть при этом толком не работает. Но с другой, если у тебя достаточно развитая сеть (скажем, от 10-20 компьютеров), то админ от безделья там точно не помрёт, потому что даже обычное обслуживание подобной сети занимает ощутимое время, не говоря уж о том, что в любой фирме сеть имеет обыкновение развиваться: старая техника меняется на новую, добавляются новые компьютеры, устанавливаются дополнительные сервисы и так далее.

Разумеется, основная загрузка у админа бывает на этапе стартапа: когда он прокладывает сеть, подключает компьютеры, запускает сервер, разрабатывает и устанавливает виды доступа, разгребает различные стартаповые проблемы. Это может длиться несколько недель или даже месяцев (в зависимости от размера сети и поставленных перед админом задач). Однако суровая беготня во время стартапа вовсе не означает, что когда всё будет сделано, админ теперь пожизненно должен сидеть на заднице и развлекаться в Интернете.
Процесс сопровождения локальной сети включает в себя определенное количество мероприятий, которые должны проводиться ежедневно. Если админ это всё делает раз в неделю, а то и раз в месяц — грош цена такому админу. Конечно, часть процедур можно автоматизировать, и от админа требуется только проверять, всё ли прошло как надо, однако есть вещи, которые автоматизировать невозможно.

Так вот, проблема как раз и заключается в том, что лучший контроль — совесть админа. Которой у него, как правило, почти нет. Потому что ни один начальник толком не знает, что именно этот админ должен делать. Хорошего админа берут на работу формулируя спектр его деятельности следующим образом: «Ты знаешь, что нужно делать, вот и делай! Но только смотри, чтобы всё было пучком!».

Что именно в данном случае будет пучком и будет ли вообще — зависит от самого админа. От его знаний, опыта и чувства ответственности. Определить его знания толком не может никто, особенно ты или начальник отдела кадров. Оценить его опыт — вообще невозможно. (Впрочем, как и во многих других случаях.) Ответственность — для многих работников вещь вообще достаточно эфемерная.

А ведь катастрофа наступит (не дай бог, конечно) совершенно неожиданно! Знания, умения и чувство ответственности админа будут проверены в настоящих боевых условиях, когда этого никто не будет ждать! И вот тогда всё и выяснится! Когда на сервере вдруг полетит жёсткий диск! (Вообще говоря их там должно быть несколько, причём информацию на них полагается «зеркалировать», то есть дублировать, чтобы при умирании одного жёсткого диска на втором оставалась полностью работоспособная копия данных.) И когда ты с квадратными глазами ворвешься к админу и спросишь, где данные, а тот, икая от напряжения, ответит, что данные есть, но они были записаны неделю назад (месяц, полгода, год, вообще не были записаны), потому что он был занят очень важными вещами — кадрил Людку в Интернете (на самом деле от ответит, что разрабатывал новый способ архивирования, но, как ты сам понимаешь, совершенно не имеет значения, какое именно оправдание он придумает), — вот тогда ты и поймёшь, чего стоит твой админ.



Но дело, конечно, далеко не только в том, как именно организована сеть, разделение доступа в ней и архивное сохранение данных. Сетевое администри­рование — это целый комплекс различных мероприятий, поэтому доверять их можно только действительно квалифицированному человеку. Не студенту, который пошел в админы, потому что ничеrо больше он пока делать не умеет! И не этому странному парню, который считает себя админом потому, что у него дома стоит персональный компьютeр, в котором он имеет ник «Администратор». И не сивому инженеру советских времен, который когда-то пил чай, сидя за клавиатурой EC-1840 или СМ-4, и теперь по старинке продолжает считать себя компьютерным специалистом, хотя он уже давно не разбирается во всей этой новомодной технике, а слово «хайтек» считает обозначением какого-то современного направления в музыке.

Так кого именно брать? Специалиста. Крайне желательно — с рекомендациями. Нельзя доверять случайному человеку такое тонкое дело как организация сети и защита информации в ней. Тем не менее в России, насколько я мог судить, даже в весьма солидные фирмы сетевыми администраторами нередко берут таких людей, которым я бы не доверил обслуживать даже свой калькулятор Casio! На мои недоумённые вопросы Большие Парни доверительно объясняли, что, дескать, «а кого ещё найдёшь за четыреста баксов в месяц»!

Друзья мои! Ищите тогда «спеца» баксов на сорок! По крайней мере не будете питать никаких иллюзий. А то берёте чёрт знает кого, а потом у вас галоши пропадают. Вместе со всей информацией, нажитой непосильным трудом. К сожалению, админы не бывают второй свежести — так же, как и осетрина. Они не бывают чуть-чуть админы, немного админы, почти админы и нормальные админы. Они или админы, или нет. Конечно, и у нормальных админов бывает достаточно разная квалификация (и они, соответственно, стоят по-разному), но все эти недоадмины за 200-400 баксов — только для мазохистов. Причём очень серьёзных мазохистов, которым не жаль ни собственного времени, ни денег.

И последнее. Многие серьёзные эксперты работали над решением вопроса «Как скpыть офисную информацию от админа». Что интeресно, ни до чего реально эффективного не додумались. Офисную информацию от него не скроешь никак,

потому что именно админ разрабатывает и внедряет системы защиты и сохранения информации. (Напоминаю, для простоты мы считаем, что у тебя в офисе админ, главный ИТ-специалист и спец по безопасности информации — это одно и то же лицо.)

И это еще один довод в пользу того, что на такую должность ты просто не имеешь права брать чёрт знает кого. Этому человеку ты будешь доверять самое дорогое, что у тебя есть — информацию. Поэтому он должен быть и профессионалом очень высокого класса, и надёжным человеком.


КАК ЗАТАЩИТЬ В КОМПЬЮТЕР ТРОЯНСКОГО КОНЯ


Что такое «троянский конь» ты, вероятно, помнишь. Если не помнишь, освежу твою память... Во время осады Трои, когда ахейцы уже отчаялись захватить этот город, хитрож... пардон, хитро ж умный Одиссей придумал классный способ, позволяющий ахейским войскам проникнуть внутрь городской стены. Он изготовил здоровенного деревянного коня, который был оставлен на месте расположения нападающих войск, причем сами войска скрылись. Троянцы, принявшие коня за некий символ капитуляции, возрадовавшись, собственноручно затащили огромную фигуру за городские стены, хотя мудрые люди неоднократно предупреждали руководство о том, что необходимо, во-первых, бояться данайцев, дары приносящих, а во-вторых, что бесплатный сыр бывает только в мышеловке, ну или внутри троянского коня. Однако руководство, как обычно, посчитало себя умнее других, в результате чего ночью конь неожиданно родил целый отряд вооружённых до зубов ахейцев­данайцев, которые тут утроили проблемы Трои так, что город пал так низко, что через много-много лет его пришлось раскапывать огромной лопатой.

К чему эта притча? К тому, что современные вирусы нередко используют подобный принцип распространения, почему их и называют троянскими конями. Принцип основан нa том, что вирус маскируется под некую полезную программу, хотя нa самом деле является зловредной тварью. Например, присылают тебе программу, которая нa экран выводит весёлую картинку (ну, например, с бюстастой блондинкой), причем сопровождается это всё разухабистой музычкой. Ты, радостно гыгыкая, запускаешь эту программу и любуешься блондинкой. В этот момент вирус, находящийся внутри программы, получает управление (аналог ахейцев, вылезающих ночью из коня) и начинает делать свое Большое Зловредное Дело. После чего информация нa твоём компьютере или падёт, или будет вывезена за границу (на другой компьютер). Уж лучше бы пала Троя, честное слово...

Почему именно бюстастая блондинка? на самом деле вирус-троян может маскироваться под что угодно: программу озеленения приусадебного участка, систему расчета налогообложения, механизм анализа стохастических диффузионных моделей гетерогенных популяций, — однако учёными выяснено, что при виде бюстастой блондинки мужские особи теряют способность думать верхней частью тела, в результате чего полностью теряют контроль над собой, и мало того что сами до умопомрачения играются нa компьютере с блондинкой, пока подлые ахейцы грызут информацию на жёстком диске, но и ещё, пуская слюни, в диких количествах распространяют троянца через Сеть другим особям.

Тихо, тихо, я знаю, что ты не такой. Ты не теряешь голову при виде бюстастых блондинок, поэтому между своими друзьями распространяешь только стохастические диффузионные модели гетерогенных популяций с припиской: «Серёга, братан, глянь, какие симпатичные стохастические модели с такими шикарными гетерогенными популяциями...»

Таким образом, как правило, троянские программы попадают на компьютер через электронную почту: пользователи или сами друг другу пересылают письма с троянскими программами, или вирусы создают и распространяют письма с троянами, маскируя их под безобидную почту.

Впрочем, о механизмах распространения мы ещё подробно поговорим чуть позднее.



«КАК ЖИТЬ, ДЯДЬ МИТЬ, КАК ЖИТЬ?..»


Известно как — защищённо! Мы уже говорили о том, что отправляясь по мегаполису в поисках развлечений ты возьмёшь с собой презерватив и пистолет. Презерватив — чтобы укрыть пистолет от дождя, а пистолет — чтобы спасаться от грабителей. Ну или презерватив — для прости... прости господи, всяких упавших на спину женщин, а пистолет — чтобы эти на редкость несимпатичные личности в подворотне ограничились обычной просьбой закурить.

С наличием компьютера, подключённого к Интернету, — всё то же самое. Как только ты подключаешься к Интернету — это означает, что ты теперь открыт как всем информационным ветрам, так и жуликам всех мастей. Как защищаться? Совершенно различными способами. Один из самых главных — бронежилет! Правда, в компьютерном мире больше приняты пальтишки из противопожарного кожуха...



КАЖДОЙ ТВАРИ — СВОЮ ДВЕРЬ


Поставить сервер и заставить всех пользователей размещать документы только на нём — am в лучшем случае половина дела. Важно ещё грамотно сделать разделение достyпа. Админ без тебя это всё не решит. Ты (или, например, твой референт) должен составить список пользователей (сотрудников) и расписать, кто к каким документам имеет доступ. Причем сначала нужно аккуратно нарисовать дерево (каталог) всех документов офиса, а потом уже отметить, какие сотрудники (компьютеры сотрудников) имеют виды доступа (полный, только чтение) к соответствующим веткам этого каталога.

Ну да, я знаю, что задача не только не простая, но и утомительная. Но выполнить её — совершенно необходимо. Это неотъемлемая часть стратегии твоего биэнеса. Составленный тобой или при твоем участии каталог офисных документов, тебе же многое объяснит. Кроме того, если дерево каталога стратегически будет составлено правильно, оно в дальнейшем начнет расти вверх и вширь так, как полагается, превращаясь в гордый дуб с развесистой кроной. Если же каталог изначально заложен неверно, то вместо гордого дуба ты получишь карликовую берёзу страдающую всеми видами злокачественныx наростов на своём теле.

Кроме того, когда ты будешь расписывать виды доступа сотрудников к той или иной информации, ты также поймёшь, что и как происходит у тебя в офисе. Вполне возможно, после этого тебе захочется скорректировать должностные обязанности многих подчинённых, ведь ты выяснишь, что они имеют доступ к таким данным, к которым ты бы вовсе не хотел их допускать...



Каждый сотрудник фирмы должны


Раз у тебя есть свой собственный почтовый сервер, значит, у тебя есть свой домен вида your_company.ru (или что-то в этом роде). Для всех сотрудников, которые должны вступать в деловую переписку, заведи соответствующие почтовые ящики в этом домене, причем желательно, чтобы название ящика соответствовало должности или профессии работника, например: chief@your_company.ru (это твой адрес), chief_security@your_company.ru (начальник отдела безопасности), press@your_company.ru (пресе-служба) и так далее.

При этом все сотрудники должны быть предупреждены о том, что корпоративная почта должна использоваться только в корпоративных целях! Никаких регистраций на форумах и чатах, никакого флирта со случайными знакомыми, никакой личной переписки, а главное — ни под каким видом не «светить» этот адрес на веб-страницах.