Название: Обеспечение безопасности информационных систем банков Отправлено: Headmen от 01 Апреля 2004, 22:16:33 Я пишу диплом на тему Обеспечение безопасности
информационных систем банков. Сейчас остановился на разделе Возможные объектыв атаки. Разновидности атак. Может кто-нибудть подскажет где можно найти материал по этой теме? Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Николай Николаевич Федотов от 02 Апреля 2004, 10:54:06 Я пишу диплом на тему Обеспечение безопасности информационных систем банков. Сейчас остановился на разделе Возможные объектыв атаки. Разновидности атак. Может кто-нибудть подскажет где можно найти материал по этой теме? Лучше всего - непосредственно у руководителей отделов защиты информации банков. Заодно с будущим работодателем познакомитесь. Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Yeoman от 02 Апреля 2004, 12:55:05 Цитировать Лучше всего - непосредственно у руководителей отделов защиты информации банков. Заодно с будущим работодателем познакомитесь. Это только в том случае, если кто-нибудь их них на эту тему говорить будет. Сильно сомневаюсь я что то.Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Игорь Собецкий от 02 Апреля 2004, 14:34:22 Я пишу диплом на тему Обеспечение безопасности информационных систем банков. Есть смысл постучаться в ГУБЗИ - Главное Управление Безопасности и Защиты Информации Центробанка. Только туда придется стучаться не лично Вам, а Вашему руководителю. У них очень хорошие наработки на этот счет. Так что - попробуйте! Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Urix от 02 Апреля 2004, 23:20:28 Цитировать Есть смысл постучаться в ГУБЗИ - Главное Управление Безопасности и Защиты Информации Центробанка. ... У них очень хорошие наработки на этот счет. Однажды мне пришлось провести проверку их информационной безопасности. Присутствие постороннего там так и не обнаружилось, хотя особых мер обеспечения скрытности и не предпринималось. Читая отчет, кто-то валидол сосал, у кого-то истерика случилась. Думаю, что эти результаты натурной проверки "тихой сапой" потом похерили. Не заинтересованы "аниралы" признаваться в том, что сидят по уши в дерьме. Правда, было это достаточно давно. Но не думаю, что за пять лет могло что-то в жесткой бюрократической системе измениться принципиально к лучшему. От болезни Паркинсона "непризавит" без кардинального хирургического вмешательства нельзя так быстро вылечиться.А еще совсем недавно ЦБ "космические исследования" проводил... Так что, если хотите получить неправильное представление о мерах по обеспечению информационной безопасности идите туда. Название: Re:Обеспечение безопасности информационных систем банков Отправлено: CyberCop от 04 Апреля 2004, 16:23:25 А я, как-то, через знакомых вышел на сведущего в этих делах сотрудника службы безопасности интересующего меня банка, в котором установили новую систему защиты портов от НСД. Узнал, к чему неравнодушен этот товарищ и попросил организовать с ним встречу на "этом предмете". :D
За "чашкой чаю" он в подробностях рассказал мне все ТТХ системы защиты, ее уязвимые места, а также сообщил, что сразу же после запуска в эксплуатацию она была успешно атакована. Словом, таким методом неофициально можно получить практически любую интересующую тебя конфиденциальную "инфу". ;) Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Yeoman от 05 Апреля 2004, 10:14:17 А я, как-то, через знакомых вышел на сведущего в этих делах сотрудника службы безопасности интересующего меня банка, в котором установили новую систему защиты портов от НСД. Узнал, к чему неравнодушен этот товарищ и попросил организовать с ним встречу на "этом предмете". :D За "чашкой чаю" он в подробностях рассказал мне все ТТХ системы защиты, ее уязвимые места, а также сообщил, что сразу же после запуска в эксплуатацию она была успешно атакована. Словом, таким методом неофициально можно получить практически любую интересующую тебя конфиденциальную "инфу". ;) Способ хороший, и главное всегда действует :) Только печень нужна хорошая ;D Но есть минус - к празднику жизни могут вдруг присоединится сортудники отдела экономической безопасности банка (читай собственная контрразведка). :) Развитие истории каждый придумывает сам для себя в силу собственной фантазии :) Название: Re:Обеспечение безопасности информационных систем банков Отправлено: CyberCop от 05 Апреля 2004, 21:14:23 Способ хороший, и главное всегда действует :) Только печень нужна хорошая ;D Нам за это надбавку % "за сложность службы" доплачивают. ;)Но есть минус - к празднику жизни могут вдруг присоединится сортудники отдела экономической безопасности банка (читай собственная контрразведка). :) Чтобы этого не случилось, имеется специальная методика (не для всеобщего ознакомления), по которой с первых же минут начала разговора можно установить, кто твой собеседник: интересующий тебя субъект или коллега из "родственной службы". ;DНазвание: Re:Обеспечение безопасности информационных систем банков Отправлено: Urix от 06 Апреля 2004, 00:55:56 Цитировать Чтобы этого не случилось, имеется специальная методика (не для всеобщего ознакомления), по которой с первых же минут начала разговора можно установить, кто твой собеседник: интересующий тебя субъект или коллега из "родственной службы". Ну, скажем так, я "поверил" в действенность такой методики.Хотя практика свидетельствует об обратном. Любая методика, даже использование полиграфа, дает сбои. Надо только внутренне поверить в "легенду". Надо обладать даром перевоплощения. А сотрудникам спецслужб это не очень дано именно в силу методики отбора туда людей. Поэтому, их "кололи", "колют" и будут "колоть". Название: Re:Обеспечение безопасности информационных систем банков Отправлено: CyberCop от 08 Апреля 2004, 19:41:50 Ну, скажем так, я "поверил" в действенность такой методики. Согласен, но у профессионалов своего дела есть еще оперативная интуиция, которая нарабатывается с годами.Хотя практика свидетельствует об обратном. Любая методика, даже использование полиграфа, дает сбои. Надо только внутренне поверить в "легенду". Надо обладать даром перевоплощения. А сотрудникам спецслужб это не очень дано именно в силу методики отбора туда людей. Поэтому, их "кололи", "колют" и будут "колоть". Представляется, что это в большей мере относится не к сотрудникам моего ведомства, а к ГРУ, которое после взрыва чеченского главаря в Каторе "подставило" наше государство и перед всеми мировыми спецслужбами выставило себя полным некомпетентным Идиотом и Профаном!!! ;)Эх! Молодо-Зелено! ;D Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Urix от 11 Апреля 2004, 00:41:25 Цитировать ГРУ, которое после взрыва чеченского главаря в Каторе "подставило" наше государство и перед всеми мировыми спецслужбами выставило себя полным некомпетентным Идиотом и Профаном!!! Подозреваю, что взрыв был лишь поводом для изоляции ребят для их "обработки".Скорее всего, взрыв был делом не наших спецслужб. Так "громко" предпочитает работать Моссад. Можно было бы еще подумать о причастности Штази, если бы она еще была. Но они "любили" стрельбу. Наши же "умельцы" больше "зонтиками" балуются и другими ОВ. Взять, к примеру, хотя бы того же Хоттаба. "Почерк" трудно сменить. Название: Re:Обеспечение безопасности информационных систем банков Отправлено: CyberCop от 12 Апреля 2004, 18:36:36 Скорее всего, взрыв был делом не наших спецслужб. К сожалению, это не так. :(Как следует из СМИ, после акции "ребята" непрофессионально около 20 мин по спутниковому радиотелефону из своего джипа "трепались с Москвой". Разговор был перехвачен "нашими братьями в борьбе с терроризмом" - американцами. Кстати, с использованием ЭШЕЛОНА. Эту информацию они тут же передали Каторским коллегам, которые, в свою очередь, использовали работающий радиотелефон как маяк для определения места положения джипа с российскими гражданами. Опять же - при технической поддержки спецслужб США (их спутниковой системы радиоэлектронного слежения). Приблизительно вот так это было. При задержании и досмотре джипа в нем были обнаружены обрезки проводов, изоляции, радиомонтажный инструмент и другие предметы, которые могли быть использованы для монтажа и приведения в действие взрывного устройства. Конечно, это все косвенные улики. И если это все правда - налицо вопиющий непрофессионализм. На допросе сотрудники во многом сознались и заявили, что компоненты взрывного устройства были доставлены в Катор диппочтой. Вместе с тем, это наводит на мысль о Моссаде, поскольку только его сотрудникам официально разрешено в случае задержания врагом рассказывать всю правду, чтобы сберечь свою жизнь. Это официально закреплено в контрактах военнослужащих армии Израиля. У нас такое пока считается изменой. :-[ Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Антон Серго от 13 Апреля 2004, 00:12:56 коллеги, обратите внимание на тему
P.S. Я не против темы, я против "все в одну кучу", начали с одного и пошло-поехало... Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Urix от 14 Апреля 2004, 00:33:08 Цитировать Я не против темы, я против "все в одну кучу", начали с одного и пошло-поехало Это все взаимо связано. Безопасность банков осуществляют такие же люди. А данная ситуация - это экстремальный вариант, накотором очень ярко проявляются все недочеты. Вернемся и к банкам.Цитировать Как следует из СМИ, после акции "ребята" непрофессионально около 20 мин по спутниковому радиотелефону из своего джипа "трепались с Москвой". Ну, по поводу телефонных разговров могу сказать только, что "Япончика" удалось посадить именно потому, что на суде спецслужбы для присяжных устроили "сказку про девочку Машу и сладкую кашу". Это понятно. Трудно противостоять неподготовленному человеку этому делу. А значит, в объективность перехвата ставится под сомнение.Цитировать Эту информацию они тут же передали Каторским коллегам, которые, в свою очередь, использовали работающий радиотелефон как маяк для определения места положения джипа с российскими гражданами. Представьте себе, что Вы едете по улице, услышали хлопок (взрыв), поспешили к месту взрыва и узнаете, что "самая большая Бяка" перестала существовать. Вы что, будете молчать об этом? Нет, конечно. Начнете сразу же обсуждать происшествие со своими друзьями и коллегами. Но Вы будете это делать только в том случае, если у Вас нет задания, если Вы обычный зевака. Это психология. Вы не были готовы к такому событию, следовательно Ваша реакция будет общечеловечески нормальной. Вот если бы они ехали молча, тогда да...Цитировать При задержании и досмотре джипа в нем были обнаружены обрезки проводов, изоляции, радиомонтажный инструмент и другие предметы, которые могли быть использованы для монтажа и приведения в действие взрывного устройства. Это мне напоминает "случайно найден пакетик белого порошка".Цитировать На допросе сотрудники во многом сознались и заявили, что компоненты взрывного устройства были доставлены в Катор диппочтой. Операцию готовят не рядовые исполнители, а руководители. Это раз. Второе, после приема "блаженства" они и не такое могли рассказать. Так что, верить этим байкам, особенно когда адвоката не допускали на допросы, нельзя. Очередная подстава со стороны америкосов. Мало того, Катар ведь дал политическое убежище взорванному. А тот руководил именно из Катара терактом на Дубровке, в Тушине и т.д. Да и 11 сентября тоже с Катаром связано. Ассама Бен Ладен из тех краев.Название: Re:Обеспечение безопасности информационных систем банков Отправлено: MaxGal от 25 Апреля 2004, 23:36:52 Народ.
Кого чаще всего приглашают в СБ? Прально, бывших сотрудников УВД. Несомненно, такие люди могут грамотно построить систему безопасности на предприятии, однако то что касается информационной безопасности - с этим полный абдец. Речь не об утечки информации из самого предприятия обиженными сотрудниками. Речь о защите от внешних вторжений. У любого предприятия я бы выделил два слабых места с точки зрения хищения информации хакерами. 1. Сотовая и обычная связь. Информацию с сотиков ловят сканерами (это работа не хакеров, а фрикеров). Обычная связь - тут речь не о жучках. Жучки то как раз и СБ хорошо ловит. У многих телефонов есть такая фишка. Удаленно прочитать оставленные записи. Т.е. человек позвонил в фирму. Никого нет. Он оставил запись. Звонит хакер. Переводит свой телефон в тональный режим и набирает пароль. Все записанные сообщения прокручиваются в трубку хакеру. Такая фишка есть у всех нормальных телефонах. У каждого модели свой стандартный пароль, который можно поменять. Зная какая модель в фирме, хакер может попытаться подобрать пароль. Узнав об этой фишке пару лет назад я в качестве эксперимента вечерком поперезванил пару десятков предприятий. О результатах сообщать не буду - они плачевны для предприятий. Мало этого. Однажды звоню в комп. фирму (нужно было чего-то купить) в рабочее время. Жду ответа. Никто не берет трубу, включается автоответчик. Опять звоню. Опять автоответчик. Начинаю злится :) Набираю пароль, сообщений на автоответчике не было, но почему-то автоответчик не выключился. Остался включенным микрофон и я слышал весь разговор сотрудников!!! Почему мне кажется что ситуация и сейчас не изменилась. 2. Сайт. Тут я думаю ничего объяснять не нужно. Фирма покупает сайт у дизайнерской студии. Эта же диз-студия покупает домен, устанавливает сайт. Ни а каком администратировании речи не идет. Стандартное мышление. Защита сервера должна оказываться провайдером. Правильно! Защита сервера, но не сайта!! Сайт должна сама фирма защищать, но это не происходит. Опять же, пример из жизни. Сайт крупной компании авиаперевозчика. Авиакомпания короче. На сайте есть вход для клиентов, можно заказать билеты онлайн, поучавствовать в конкурсах. Так вот. База данных по клиентам совмещена с базой данных по пользователям форума. Т.е. регистрируясь на форуме, ты автоматом заносишься в клиенты и наоборот. Программисты молодца :) Конечно зачем два раза регистрироваться :) Я бы тоже так написал, вот только проблема. Мало того, что форум уязвим, так скрипт входа по логину и паролю дырявый. Зарегистрировался я и успешно вошел по своему логину, но без пароля. Думаю, на то чтобы получить своп базы данных MSSQL у меня бы ночь ушла. Зашибись защита. P.S. Админов нуно грамотных, админов. Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Urix от 26 Апреля 2004, 08:18:18 Цитировать Прально, бывших сотрудников УВД. Неправильно. Бывших сотрудников КГБ. Менты - они всегда были ближе к "земле", а значит и всегда могли "дать слабину". Считается, что только "железные чекисты" ?могут? обеспечить безопасность за счет своих связей.Название: Re:Обеспечение безопасности информационных систем банков Отправлено: MaxGal от 26 Апреля 2004, 09:32:23 Ну, не суть важно.
Я говорил о том, что информация не защищена от хацкеров и этому у нас пока что уделяется мало внимания. Вот передо мной книга. Негосударственная безопасность. 2002 год. Глава 4. Защита информации. Досконально разобрана защита информации внутри предприятия, шифрование данных и т.д. и т.п. Но ни слова о сайте, информационных сетях и т.д. Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Николай Николаевич Федотов от 26 Апреля 2004, 11:34:53 Кого чаще всего приглашают в СБ? Прально, бывших сотрудников УВД. ... P.S. Админов нуно грамотных, админов. В СБ приглашают своих. Имеется всего три варианта. Если начальником СБ работает бывший мент, он наберёт бывших ментов, а кагебистам там ловить нечего. Если начальником бывший гебист - ровно наоборот (ментов они на дух не переносят). Если же СБ состоит из бывших бандитов, то здесь у нашего "грамотного админа" есть шанс трудоустроиться, поскольку отбор будет производиться по знаниям и умениям. Такая вот диалектика, блин... :-\ Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Urix от 26 Апреля 2004, 12:55:47 Николай Николаевич! Вы забыли упомянуть еще два варианта: начальник СБ - гражданский специалист и начальник СБ просто лох. ;D ;) :P
Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Yeoman от 26 Апреля 2004, 17:10:56 Есть еще вариант - начальник СБ из военных - результат непредсказуемый :) Как повезет вообщем.
Название: Re:Обеспечение безопасности информационных систем банков Отправлено: Urix от 27 Апреля 2004, 00:50:32 И так. Резюмирую.
Вопросы безопасности - это прежде всего вопросы психологической готовности сотрудников, обеспечивающих безопасность, и только во вторую очередь вопросы технические. Перефразирую Жванецкого: "вопросы информационной безопасности всех волнуют, но не тревожат". Техника в руках дикаря... Название: Re:Обеспечение безопасности информационных систем банков Отправлено: CyberCop от 27 Апреля 2004, 21:25:21 Техническую защиту обеспечить худо-бедно до требуемого уровня можно практически. А как защититься от обслуживающего эту технику персонала? :P
|