Блоги экспертов

Good legal paper on the limits of identity cards: Stephen Mason and Nick Bohm, "Identity and its Verification," in Computer Law & Security Review, Volume 26, Number 1, Jan 2010.

Those faced with the problem of how to verify a person's identity would be well advised to ask themselves the question, 'Identity with what?' An enquirer equipped with the answer to this question is in a position to tackle, on a rational basis, the task of deciding what evidence will be useful for the purpose. Without the answer to the question, the verification of identity becomes a sadly familiar exercise in blind compliance with arbitrary rules.

Коллеги, свершилось!

Появилась первая информация, что самые спорные и «противные» документы ФСТЭК:

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Отменены!

.

P.S. Решение ФСТЭК выложено в разделе “Постановления Правительства Российской Федерации”. Знаково

Другие записи

• День сурка или новые документы ФСТЭК
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Знаковые события в области персональных данных или “додуманные” документы ФСТЭК
• Как учитывают закон о персональных данных в on-line сервисах или будут ли жить Электронное правительство и Электронная Россия?
• Критичных изменений нет или что такое законодательство в области персональных данных
• Коробочное решение для защиты персональных данных

4 . 1

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | No comment | Add to del.icio.us
Post tags: безопасность персональных данных, Законодательство, защита персональных данных, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Новость, система персональных данных, ФСТЭК

Feed enhanced by Better Feed from Ozh

Интересно, только у вашего покорного слуги такое впечатление, что тема авторских прав стала активно-протестной?

Ощущается, что общественное мнение по поводу авторских прав (и интеллектуальной собственности вообще) подошло к критическому уровню. Переливаясь с позиции «закон, в общем, нужен, но он несовершенен и исполняется криво, полезно было бы его пересмотреть» на позицию «закон несправедлив, его соблюдение есть нанесение ущерба народу, стране, экономике, человечеству, прогрессу».

Отсюда вывод. Позиционирование фирмы как правообладателя, публичное выступление её в качестве истца или потерпевшего по делу об авторских правах сразу же опускает репутацию компании. Пираты ныне в моде, "правообглодатели" – в презрении.

В повести Полякова "Гипсовый трубач" был описан случай из советской действительности, который, как мне показалось, рифмуется с обсуждаемой ситуацией. На карнавале герой нарядился в костюм хиппи вместо предложенного ему костюма пирата. Эта выходка вызвала резкую реакцию со стороны КГБ, и герой чуть было не стал жертвой тоталитарного режима. Изображение же из себя морского грабителя и убийцы (пирата) считалось тогда социально приемлемым (как, впрочем, считается и ныне, если только это не пират-нарушитель авторских прав).

Так что, с точки зрения пиара и "деловой репутации", сегодня не слишком выгодно быть "первым учеником", ЕВПОЧЯ.


Кстати, сегодня, 10 марта День архивирования. Год назад я рассказывал про этот праздник. Поздравьте своего бэкап-админа.

Итересную новость опубликовал Verizon. В ответ на критику Data Breach Investigations Report был подготовлен опросник для обмена данными об инцидентах. Полезный документ, думаю, что компаниям, работающим в этой области стоит взять на вооружение.

Что приятного - в качестве классификации Web используется WASC WATCv2. Дополнительно - Verizon "вернул" группировку атак и уязвимостей по классам, чего мне очень не хватало во второй версии:

• Authentication 
• Authorization 
• Command Execution/Injection
• Abuse of Functionality
• Denial of Service
• Client-side 
• Encryption 
• Protocol Manipulation
• Miscellaneous
  

В феврале была создана некая Ассоциация защиты прав операторов и субъектов ПДн. Как написано на сайте: "Ассоциация" является добровольным объединением, основанным на членстве юридических и физических лиц. Ассоциация создана по инициативе граждан, объединенных профессиональной деятельностью, для реализации общих идей и целей и объединяет специалистов в области персональных данных различного уровня (от специалистов до руководителей направлений)".

Не знаю, что будет делать сама Ассоциация, но сайт должен стать единым источником полезной информации по теме ПДн. Хотелось бы, чтобы Ассоциация еще и в изменении законодательства участвовала, но в ее целях и задачах этого нет - только несение света в массы (правда, непонятно на какие средства, но это мелочи). Уже сейчас на сайте куча всяческих документов, ссылок, новостей, форум и т.п.

ЗЫ. Кто создатель Ассоциации неизвестно (как и список ее членов), но по косвенным признакам - это г-н Травкин. Небезызвестный toparenko активно рулит наполнением сайта, что дает надеяться на качество последнего ;-)

Interesting commentary:

I don't think this is really a case about ISP liability at all. It is a case about the use of a person's image, without their consent, that generates commercial value for someone else. That is the essence of the Italian law at issue in this case. It is also how the right of privacy was first established in the United States.

The video at the center of this case was very popular in Italy and drove lots of users to the Google Video site. This boosted advertising and support for other Google services. As a consequence, Google actually had an incentive not to respond to the many requests it received before it actually took down the video.

Back in the U.S., here is the relevant history: after Brandeis and Warren published their famous article on the right to privacy in 1890, state courts struggled with its application. In a New York state case in 1902, a court rejected the newly proposed right. In a second case, a Georgia state court in 1905 endorsed it.

What is striking is that both cases involved the use of a person's image without their consent. In New York, it was a young girl, whose image was drawn and placed on an oatmeal box for advertising purposes. In Georgia, a man's image was placed in a newspaper, without his consent, to sell insurance.

Also important is the fact that the New York judge who rejected the privacy claim, suggested that the state assembly could simple pass a law to create the right. The New York legislature did exactly that and in 1903 New York enacted the first privacy law in the United States to protect a person's "name or likeness" for commercial use.

The whole thing is worth reading.

The "Microsoft Online Services Global Criminal Compliance Handbook (U.S. Domestic Version)" (also can be found here, here, and here) outlines exactly what Microsoft will do upon police request. Here's a good summary of what's in it:

The Global Criminal Compliance Handbook is a quasi-comprehensive explanatory document meant for law enforcement officials seeking access to Microsoft's stored user information. It also provides sample language for subpoenas and diagrams on how to understand server logs.

I call it "quasi-comprehensive" because, at a mere 22 pages, it doesn't explore the nitty-gritty of Microsoft's systems; it's more like a data-hunting guide for dummies.

When it was first leaked, Microsoft tried to scrub it from the Internet. But they quickly realized that it was futile and relented.

Lots more information.

Маленький мальчик нашёл кимоно,
      Пару приёмов увидел в кино...
Доводят до нашего сведения украинские товарищи: «"Доктора" из сериалов ошибаются более чем в 50% случаев
Канадские ученые предупреждают, что не следует доверять опыту "врачей" из телесериалов на медицинскую тематику. Неадекватная помощь теле-пациентам оказывается более чем в половине случаев. Конечно же, это может негативно отразиться на способности телезрителей правильно оказать экстренную помощь настоящему больному.
К примеру, сцены с конвульсиями у больных присутствовали в 327 эпизодах... При этом меры, предпринимаемые "медицинским персоналом", в 46% случаев были совершенно неадекватными. К примеру, больного клали на пол, пытались остановить непроизвольные движения или клали ему что-то в рот. И всего в 17 эпизодах первая помощь была оказана согласно стандартам, а еще в 15 случаях адекватность первой помощи было трудно оценить.»

Осторожно! Не пытайтесь повторить! Опасно для здоровья! Как-то ваш покорный слуга сподобился посмотреть пару выпусков российского сериала про суд. После чего незамедлительно фалломорфировал. Полнейшее игнорирование УК и УПК. Не говоря уже о практике. Но с использованием "учёной" терминологии и некоторых узнаваемых атрибутов юстиции. Для тех, кто не бывал в судах, выглядит убедительно. Для юриста – дичь.

В тему
* Top 10 Worst Portrayals of Technology in Film
* Как в фильмах показывают хакинг и хакеров После таких сериалов народ начинает верить в совершенно фантастические вещи. А при личном столкновении – и вести себя неадекватно.

Не беда, если кто-то попытается взломать сайт Майкрософта, насвистывая в модем как герой фильма. Не беда, если другой наблюдательный зритель голливудской продукции возьмётся изготавливать бомбу из стирального порошка, шоколадного сиропа и аспирина. А вот попытка повторить телевизионные сцены с автопогонями, медпомощью и судебными делами приведут к жертвам.

Не пора ли ввести обязательные отпугивающие надписи, занимающие не менее 40% площади сигаретной пачки телевизионного экрана?


Фильм "Суррогаты", 2009. Так, по мнению киношников, выглядит распознавание образов. На несколько экранов выводится картинка с камер наблюдения. Робот с красными электронными глазами следит за экранами и распознаёт. Достоверность медицинских и юридических фильмов – примерно на том же уровне.

Прочел у Шнайера про privacy filter (улыбнуло) и вот навеяло... Если не брать в расчет такой экстравагантный способ скрыть от чужих глаз то, чем мы занимаемся за своим лэптопом, то по сути своей существует только один вариант - поставить privacy filter. Вещь безусловно полезная. Я ее оценил, когда получил фильтр в Cisco. Теперь можно не беспокоиться, что во время командировок ко мне в экран будут заглядывать посторонние люди. А те, кто у нас не ездят никуда, используют его тоже с пользой - никто проходя за спиной не подсматривает, что человек делает. Психологически комфортнее работать.

Это же решение замечательно борется с видовыми утечками, которыми так любит пугать ФСТЭК и требовать защиты от этой угрозы.Хотя парадок в этом решении конечно же присутствует. Производители делают все, чтобы матрица экрана была видима под как можно более широким углом. А фильтр, наоборот, сужает этот показатель до минимума. Яркость изображения, конечно, падает, но зато возрастает безопасность. Да и глаза устают гораздо меньше. Я уже к нему так привык, что и не замечаю его на мониторе.

Но сразу надо заметить, что вещь недешевая (хотя и дешевле традиционных методов борьбы с видовыми утечками). 3M'овские (а это лидер рынка) стоят от 80 до 150 долларов в зависимости от размера монитора. Корпоративные цены существенно ниже. Но можно получить и вовсе бесплатно - в позапрошлом и прошлом годах их бесплатно распространяли на InfoSecurity в Лондоне.

Поздравляю всех читательниц с 8-м Марта!

Вы постоянно вдохновляете поэтов,
Писателей, актёров и умов.
Без вас бы Пушкин не писал куплетов,
И не услышали б мы Лермонтовских строф!

Пусть радостью сегодня солнце светит,
В тени оставив сноп больших тревог,
И все цветы, какие есть на свете,
Цветут сегодня пусть у Ваших ног.

Funny:

MOUNTAIN VIEW, CA—Responding to recent public outcries over its handling of private data, search giant Google offered a wide-ranging and eerily well-informed apology to its millions of users Monday.

"We would like to extend our deepest apologies to each and every one of you," announced CEO Eric Schmidt, speaking from the company's Googleplex headquarters. "Clearly there have been some privacy concerns as of late, and judging by some of the search terms we've seen, along with the tens of thousands of personal e-mail exchanges and Google Chat conversations we've carefully examined, it looks as though it might be a while before we regain your trust."

Google expressed regret to some of its third-generation Irish-American users on Smithwood between Barlow and Lake.

Added Schmidt, "Whether you're Michael Paulson who lives at 3425 Longview Terrace and makes $86,400 a year, or Jessica Goldblatt from Lynnwood, WA, who already has well-established trust issues, we at Google would just like to say how very, truly sorry we are."

Вышел первый в этом году журнал “Information Security/Информационная безопасность“. В журнале есть статья “Построение и защита многопользовательских территориально распределенных ИСПДн 2-го и 3-го класса“, ее писал я совместно с отличным специалистом в области технической защиты информации и просто хорошим человеком – Дмитрием Артеменковым. Чему очень рад и надеюсь, Дмитрий также остался доволен небольшим совместным творчеством.

Давно не писал статьи в соавторстве, но чувствую теперь, буду практиковать такой подход чаще.

Нас очень сильно ограничили по объему, поэтому методика проведения работ представлена “верхнеуровнево”.

Есть разделы:

• особенности защиты персональных данных в территориальных системах;
• обобщенная методика проведения работ;
• практика применения методики (из реального кейса).

С последним пунктом возникли сложности. Редактура не разрешила указать конкретные технические средства, применяемые в реальных кейсах.

Как нельзя указывать?! Ради этого и писалась статья!

Мы «по-сопротивлялись» такому решению, (не сильно ), и опубликовали, как просили в редакции. Благо есть интернет и всегда можно выложить авторский вариант. Раздел «Практика применения методики», в первоначальном виде выложен здесь:

Другие записи

• Принципиальные перемены в защите персональных данных Facebook или чем хороши канадцы?
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Как учитывают закон о персональных данных в on-line сервисах или будут ли жить Электронное правительство и Электронная Россия?
• Статья в журнале «Банковские Технологии»
• Коробочное решение для защиты персональных данных
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”

838 . 486

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 4 comments | Add to del.icio.us
Post tags: Privacy, Законодательство, Интеграторы, Информационная безопасность, информационная система персональных данных, Классификация ИСПДн, Консультация, система персональных данных, СМИ, Требования

Feed enhanced by Better Feed from Ozh

How not to destroy evidence:

In a bold and bizarre attempt to destroy evidence seized during a federal raid, a New York City man grabbed a flash drive and swallowed the data storage device while in the custody of Secret Service agents, records show.

The article wasn't explicit about this -- odd, as it's the main question any reader would have -- but it seems that the man's digestive tract did not destroy the evidence.

Today, many people are looking for very simple solutions to big and complex problems – and the area of logging and log management is no exception. Following that theme, we have created a "Critical Log Review Checklist for Security Incidents" which is released to the world today.

In addition to HTML, PDF or DOC versions are available as well (alternative hosting location is here). Feel free to modify the checklist for your own purposes or for internal distribution in your organization - but please keep the attribution to the authors.

The log cheat sheet presents a checklist for reviewing critical system, network and security logs when responding to a security incident. It can also be used for routine periodic log review. It was authored by Dr. Anton Chuvakin and Lenny Zeltser (BTW, Lenny has other useful security cheat sheets on malware analysis, security architecture, DDoS, etc  here)

Here is the embedded version from DocStoc:

Critical Log Review Checklist for Security Incidents -

Enjoy!

About me: http://www.chuvakin.org

Interesting paper: "A Practical Attack to De-Anonymize Social Network Users."

Abstract. Social networking sites such as Facebook, LinkedIn, and Xing have been reporting exponential growth rates. These sites have millions of registered users, and they are interesting from a security and privacy point of view because they store large amounts of sensitive personal user data.

In this paper, we introduce a novel de-anonymization attack that exploits group membership information that is available on social networking sites. More precisely, we show that information about the group memberships of a user (i.e., the groups of a social network to which a user belongs) is often sufficient to uniquely identify this user, or, at least, to significantly reduce the set of possible candidates. To determine the group membership of a user, we leverage well-known web browser history stealing attacks. Thus, whenever a social network user visits a malicious website, this website can launch our de-anonymization attack and learn the identity of its visitors.

The implications of our attack are manifold, since it requires a low effort and has the potential to affect millions of social networking users. We perform both a theoretical analysis and empirical measurements to demonstrate the feasibility of our attack against Xing, a medium-sized social network with more than eight million members that is mainly used for business relationships. Our analysis suggests that about 42% of the users that use groups can be uniquely identified, while for 90%, we can reduce the candidate set to less than 2,912 persons. Furthermore, we explored other, larger social networks and performed experiments that suggest that users of Facebook and LinkedIn are equally vulnerable (although attacks would require more resources on the side of the attacker). An analysis of an additional five social networks indicates that they are also prone to our attack.

News article. Moral: anonymity is really, really hard -- but we knew that already.

На первый взгляд, чем больше известно об объекте защиты, тем более эффективную защиту можно построить. Рассмотрим крайний случай: "защити то, не знаю что". Я бы за такое не взялся. Когда служба ИБ не знает свойств имеющейся в системе конфиденциальной информации, её носителей, форматов, путей обращения и т.д., она не сможет верно определить угрозы, следовательно, и меры по снижению рисков. А с другой стороны...

Рассмотрим последовательность задач:
* не известно ничего, включая сам факт существования защищаемой информации;
* известно и наличии конфиденциальной информации;
* известен носитель, на котором находится конфиденциальная информация;
* известен раздел, файл или БД, где хранится информация;
* известно, какими способами она обрабатывается;
* известно, кто имеет доступ к защищаемой информации;
* известно, какого рода сведения в ней содержатся;
* известно, кто из противников может быть заинтересован в получении охраняемой информации;
* известно, каким именно способом её можно использовать во вред законному обладателю;
* известно всё, включая саму конфиденциальную информацию.

«У нас в России что охраняешь, то и имеешь. Мы вот – Президента охраняем.»
кукла-Коржаков, сериал "Куклы" Как будто, шансы на успех возрастают сверху вниз. Но одновременно появляются и дополнительные риски. Предпоследний пункт, например, привносит для информзащитника новый соблазн, создаёт нового инсайдера, а также может превратить нейтрального субъекта в злоумышленника. Выходит, что Security через obscurity – плохо, но противоположная крайность – тоже нехорошо.

Всем известно, что хранителями гаремов принято было назначать мужчин с определённой телесной модификацией, которая исключала риск злоупотребления служебным положением. А вот как избавить современного ИБ-шника от аналогичного "зова природы"? Может быть, не сообщать ему в подробностях, что именно он защищает?

Дело было в Нью-Йорке: «...подозреваемый в краже денежных средств с кредитных карточек, в ходе допроса проглотил собственный USB-накопитель Kingston. Теперь к списку обвинений будет добавлен еще один пункт — "препятствование отправлению правосудия"... В ходе допроса Флорин Некула (Florin Necula) достал флэш-накопитель, который имел при себе во время ареста, и проглотил его на глазах у следователей.»
К чему такие жертвы? – спросите вы. Зачем людей мучить? Почему до сих пор никто не выпускает флэшки с простым аппаратным резетом на корпусе? Можно было бы подумать, что заговор мировой закулисы... Но нет. Просто у людей модель угроз – иная. В ней нет места подвигу. В этой модели просто не предусматривается физический захват владельца флэшки противником. А на случай потери или кражи – шифрование.

В новостях и комментариях экспертов говорится об обострении классовой борьбы. «...появился новый ботнет Spy Eye, который объявил войну своему уже достаточно известному конкуренту Zeus. Он удаляет код Zeus с ПК жертвы, предварительно похищая его базы данных... такие внутренние войны не в новинку для мира киберпреступности. Так, два года назад вредоносная программа под названием Storm Worm начала атаковать серверы своего конкурента Srizbi. А еще за несколько лет до этого авторы червя Netsky научили свое детище удалять с компьютеров конкурентов - Bagle и MyDoom»
Участившиеся случаи конкуренции троянско-ботнетовских программ указывают на то, что осталось не так уж много доступных для "освоения" ресурсов. Иными словами, большинство персональных компьютеров уже заражено. Ну ладно, не большинство. Но большинство уязвимых.

Тот факт, что два разных антивируса на одном компьютере не уживаются, уже давно воспринимают нормально и естественно. Антивирус – он же как ОС: требует эксклюзива, а в любом собрате видит явные вредоносные функции. А вот троян пока что рассматривается широкими юзерскими массами как опциональная часть виндокомпьютера.

Squid teapot. Could be squiddier.

I gave this one two days ago, at the RSA Conference.