Народ.
Кого чаще всего приглашают в СБ?
Прально, бывших сотрудников УВД.
Несомненно, такие люди могут грамотно построить систему безопасности на предприятии, однако то что касается информационной безопасности - с этим полный абдец.
Речь не об утечки информации из самого предприятия обиженными сотрудниками.
Речь о защите от внешних вторжений.
У любого предприятия я бы выделил два слабых места с точки зрения хищения информации хакерами.
1. Сотовая и обычная связь. Информацию с сотиков ловят сканерами (это работа не хакеров, а фрикеров). Обычная связь - тут речь не о жучках. Жучки то как раз и СБ хорошо ловит. У многих телефонов есть такая фишка. Удаленно прочитать оставленные записи. Т.е. человек позвонил в фирму. Никого нет. Он оставил запись.
Звонит хакер. Переводит свой телефон в тональный режим и набирает пароль. Все записанные сообщения прокручиваются в трубку хакеру. Такая фишка есть у всех нормальных телефонах. У каждого модели свой стандартный пароль, который можно поменять. Зная какая модель в фирме, хакер может попытаться подобрать пароль.
Узнав об этой фишке пару лет назад я в качестве эксперимента вечерком поперезванил пару десятков предприятий. О результатах сообщать не буду - они плачевны для предприятий.
Мало этого. Однажды звоню в комп. фирму (нужно было чего-то купить) в рабочее время. Жду ответа. Никто не берет трубу, включается автоответчик. Опять звоню. Опять автоответчик. Начинаю злится
Набираю пароль, сообщений на автоответчике не было, но почему-то автоответчик не выключился. Остался включенным микрофон и я слышал весь разговор сотрудников!!!
Почему мне кажется что ситуация и сейчас не изменилась.
2. Сайт. Тут я думаю ничего объяснять не нужно. Фирма покупает сайт у дизайнерской студии. Эта же диз-студия покупает домен, устанавливает сайт.
Ни а каком администратировании речи не идет.
Стандартное мышление. Защита сервера должна оказываться провайдером. Правильно!
Защита сервера, но не сайта!!
Сайт должна сама фирма защищать, но это не происходит.
Опять же, пример из жизни.
Сайт крупной компании авиаперевозчика. Авиакомпания короче.
На сайте есть вход для клиентов, можно заказать билеты онлайн, поучавствовать в конкурсах.
Так вот. База данных по клиентам совмещена с базой данных по пользователям форума. Т.е. регистрируясь на форуме, ты автоматом заносишься в клиенты и наоборот.
Программисты молодца
Конечно зачем два раза регистрироваться
Я бы тоже так написал, вот только проблема. Мало того, что форум уязвим, так скрипт входа по логину и паролю дырявый. Зарегистрировался я и успешно вошел по своему логину, но без пароля. Думаю, на то чтобы получить своп базы данных MSSQL у меня бы ночь ушла.
Зашибись защита.
P.S. Админов нуно грамотных, админов.
