- PVSM.RU - https://www.pvsm.ru -

Как отметить день информационной безопасности

Сегодня тридцатый по счету Международный день информационной безопасности. Рассказываем об истории праздника и способах его отметить.

Как отметить день информационной безопасности - 1 [1]
/ фото Joe Grand [2] CC BY

Лихие 80-е: истоки праздника

В 1988 году некоммерческая организация ISSA (Information Systems Security Association) объявила 30 ноября Международным днем информационной безопасности. Его основная идея — напомнить о важности кибергигиены.

Праздник зародился в 1988 году не случайно — тогда произошло первое массовое распространение вируса-червя. Тридцать лет назад пользователи APRANET [3] — сети, которая была прообразом современного интернета — обнаружили [4], что программы на их компьютерах стали грузиться медленно, при этом машины не отвечали даже на простейшие команды. Виновником коллапса, который «парализовал» 6 тыс. компьютеров (10% всей сети), стал сетевой червь Морриса. Это была первая успешная массовая кибератака.

Атака не была преднамеренной, она стала результатом эксперимента, вышедшего из-под контроля. Создатель зловреда — аспирант Корнеллского университета Роберт Моррис (Robert Morris). Он работал над программой, эксплуатирующей ряд известных уязвимостей того времени.

Вирус Морриса атаковал учетные записи электронной почты пользователей сети ARPANET, подбирая пароли по словарю. Словарь был небольшой — порядка четырёхсот слов — но его хватало. В то время мало кто думал о компьютерной безопасности, и у многих логин часто совпадал с паролем.

Получив доступ к аккаунту, червь использовал уязвимость в почтовом сервере Sendmail [5] для самокопирования по сети. Однако в коде была допущена логическая ошибка, которая приводила к тому, что компьютеры заражались червем многократно. Все это замедляло их работу, истощая и без того небольшие ресурсы вычислительных систем того времени.

Решать проблему начали в институте Беркли. Туда съехались лучшие специалисты по защите данных в Америке. Они занялись разбором кода червя и нейтрализацией последствий. Сегодня дискета с вредоносом находится в музее науки в Бостоне, а код можно найти и в открытом доступе [6].

Суммарный ущерб, который нанес червь Морриса, приблизился к ста миллионам долларов. Помимо финансового ущерба, ноябрьский инцидент имел и другие последствия:

  • Роберт Моррис стал первым обвиняемым по новому закону «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act [7]), принятом всего за четыре года до инцидента с червем. Моррис получил три года условно.
  • Атака червя впервые привлекла внимание передовых американских СМИ к сетевым угрозам.
  • Была создана организация CERT [8] (Computer Emergency Responce Team). Она работает и по сей день, принимая сведения о возможных дырах и взломах в системе и публикуя рекомендации по их профилактике.

При этом атака червя Морриса выявила главную проблему (которая не потеряла актуальность до сегодняшнего дня) — люди используют простые пароли. Стало ясно, что уровень осведомленности по вопросам информационной безопасности нужно поднимать. Потому и был предложен новый международный праздник по теме ИБ.

Как отмечают этот день

Хотя сегодня праздника нет даже в календаре мероприятий [9] ISSA, его часто используют как повод освежить знания сотрудников компаний о кибербезопасности и «привить» кибергигиену. Например, вот несколько «активностей», которые следует провести на работе (и дома):

  • Обновить все программное обеспечение. Этот простой шаг помогает в два раза сократить риск взлома системы, так как в большинстве случаев хакеры используют уже известные уязвимости. Например, масштабной утечки данных кредитного бюро Equifax можно было избежать — патч для уязвимости, которую использовали злоумышленники, был выпущен за два месяца до атаки [10].
  • Поменять пароли. Наиболее распространенным паролем все еще остается «123456». Стоит использовать пароль с буквами разного регистра, а также цифрами и спецзнаками. Чтобы установить и запомнить сложные пароли было проще, можно обратиться к специальным приложениям [11] вроде LastPass или 1password.
  • Обсудить правила работы с почтой и мессенджерами. Например, поговорите о важности разделения личной и рабочей корреспонденции, а также обсудите опасность социальной инженерии. В качестве референса можно использовать вот эту историю на Хабре [12].

Если пойти чуть дальше

Ранее у Дня информационной безопасности был сайт, на котором энтузиасты собирали [13] идеи корпоративных мероприятий для праздника. Один из вариантов — выступить с презентацией и обсудить вопросы компьютерной безопасности в местной школе или университете. Вместе со студентами можно посмотреть фильмы или сериалы, касающиеся вопросов ИБ.

Некоторые компании используют День информационной безопасности как возможность поделиться сведениями о защите данных не только со студентами, но со всем миром. Например, издательство Springer в этот день открывает бесплатный доступ [14] к тематической литературе.

Как отметить день информационной безопасности - 2
/ фото Travis Isaacs [15] CC BY

Если есть желание сделать что-то «хардкорное», то день информационной безопасности может быть поводом устроить соревнования по взлому компьютерных систем в стиле Capture the Flag (CTF) [16].

В таких конкурсах двум командам выдают сервер или ноутбук с различными приложениями и сервисами. У этих сервисов есть определённый ряд уязвимостей. Зная это, участники должны защитить информацию на своей системе и захватить данные с компьютера противника.

Проводятся и соревнования по взлому на скорость. Например, подобное мероприятие проводится на конференции хакеров DEFCON. В этом году участникам предлагали взломать оборудование для голосования [17], подключенное к копиям официальных сайтов. Победу в этом году одержала одиннадцатилетняя Одри Джонс (Audrey Jones), обойдя защиту за 10 минут.

В целом подобная активность поможет привлечь дополнительное внимание к вопросам киберграмотности и напомнит о важности цифровой гигиены.

P.S. Несколько постов по теме из нашего корпоративного блога:

P.P.S. Про облачные технологии и виртуализацию из нашего Telegram-канала:

Автор: it_man

Источник [24]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/300773

Ссылки в тексте:

[1] Image: https://habr.com/company/it-grad/blog/431636/

[2] Joe Grand: https://flic.kr/p/E6xHxE

[3] APRANET: https://ru.wikipedia.org/wiki/ARPANET

[4] обнаружили: https://www.atlasobscura.com/articles/in-1988-one-rogue-worm-shut-down-10-percent-of-the-internet

[5] Sendmail: https://ru.wikipedia.org/wiki/Sendmail

[6] можно найти и в открытом доступе: http://www.foo.be/docs-free/morris-worm/worm/

[7] Computer Fraud and Abuse Act: https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act

[8] создана организация CERT: https://en.wikipedia.org/wiki/CERT_Coordination_Center

[9] календаре мероприятий: https://www.issa.org/events/event_list.asp

[10] за два месяца до атаки: https://www.usatoday.com/story/money/2017/09/14/equifax-identity-theft-hackers-apache-struts/665100001/

[11] специальным приложениям: http://www.techradar.com/news/software/applications/the-best-password-manager-1325845

[12] вот эту историю на Хабре: https://habrahabr.ru/post/236577/

[13] собирали: https://web.archive.org/web/20100703053837fw_/http:/www.computersecurityday.org/activity.htm

[14] открывает бесплатный доступ: https://www.springer.com/gp/computer-security-day/6608446

[15] Travis Isaacs: https://flic.kr/p/4NDWzR

[16] Capture the Flag (CTF): https://ctfnews.ru/what-is-ctf/

[17] предлагали взломать оборудование для голосования: https://www.buzzfeednews.com/article/kevincollier/voting-hackers-defcon-failures-manufacturers-ess

[18] Особенности двухфакторной аутентификации: работает ли это в облаке IaaS: https://iaas-blog.it-grad.ru/bezopasnost/osobennosti-dvuxfaktornoj-autentifikacii/

[19] Эффект GDPR: как новый регламент повлиял на IT-экосистему: https://iaas-blog.it-grad.ru/bezopasnost/effekt-gdpr-kak-novyj-reglament-povliyal-na-it-ekosistemu/

[20] Как протестировать безопасность облачных решений: https://iaas-blog.it-grad.ru/bezopasnost/testirovanie-bezopasnosti-oblachnyx-reshenij-ili-sovety-po-ustraneniyu-security-problem/

[21] Почему хороший IaaS-провайдер не строит свой ЦОД: https://t.me/iaasblog/173

[22] Как выбрать IaaS-провайдера: https://t.me/iaasblog/169

[23] Как обрабатывать ПД в России и Европе: https://t.me/iaasblog/164

[24] Источник: https://habr.com/post/431636/?utm_campaign=431636