14 ноября 2012 г.

Skype epic fail

Утренняя радость от Skype. Что интересно в данной ситуации, что за 12 часов компания разработчик так и не придумала никаких компенсационных мер, ну хотя бы банально запретили регистрировать на один e-mail несколько аккаунтов до решения проблемы в более глобальном плане.

Что по хорошему должно происходить в такой ситуации?

В организациях, где используется Skype:
- ответственные за выявление новых уязвимостьей должны сразу при обнаружении проблемы оповестить ответственных за ИТ, и сообща:
 а) протестировать проблему на работоспособность
 б) разработать план временного решения (например сменить привязку на новый, случайно сгенерированный e-mail)
 в) оповестить руководителей подразделений о проблеме и возможных путях решения
- сотрудники без-ти выборочно проверить, что временное решение было сотрудниками принято;
- при выходе обновлений закрывающих уязвимость, произвести его установку, проверить, что оно действительно помогает избежать обозначенные проблемы, оповестить сотрудников, что проблема решена.

В компании разработчиков:
- ответственный за отслеживание информации о продукте, в том числе уязвимостей, оповещает руководство и ответственных разработчиков.
- выбирается предварительный план решения проблемы.
- пользователи оповещаются о проблеме, пути ее временного решения и сроках устранения.
- продумывается план устранения последствий уязвимости, откат базы данных, отмена последних регистраций;
- проблема устраняется, проверяется корректность устранения и смежные возможные бреши, выпускается обновление безопасности.
- всей ситуации должен быть присвоен максимальный уровень критичности, с соответствующим включением максимального количества сотрудников для оперативного реагирования и закрытия уязвимости.


Что происходит по факту?

Доступное описание эксплуатации уязвимости позволяет практически любому пользователю ее провести, служба поддержки Skype никого не оповещает ни о методах, ни о сроках решения.

update: 14 часов потребовалось разработчикам, что бы предложить временное решение - отключить функцию восстановления паролей.
Забавно, что сейчас легитимные пользователи у которых поменяли пароль, но не поменяли почту, не смогут вернуть себе аккаунт :)

13 ноября 2012 г.

Аудит безопасности: как не начать мерить среднюю температуру по больнице

Аудит безопасности информационных активов компании позволяет дать представление о текущем состоянии защищенности инфраструктуры и процессах управления информационной безопасностью. На основании данной оценки может быть сформирован план дальнейшей работы, обеспечивающей закрытие выявленных рисков до приемлемого уровня.

Важно помнить при этом, что оценка, которая является результатом самого «правильного» аудита, может оказаться совершенно бесполезной. Проведем аналогию со среднеобразовательной школой. Если для оценки уровня знаний по математике, вы выберете средней сложности задачу и будете предлагать ее решить каждому ученику школы, то выяснится, что уровень знаний по математике в целом в школе средний. Но иначе и быть не могло: наверняка старшеклассники справились с задачкой легко, а ученики младших классов не смогли ее решить. И сомнительно, что такой вывод можно назвать объективным.

Читать далее на bankir.ru