- PVSM.RU - https://www.pvsm.ru -
Сегодня тридцатый по счету Международный день информационной безопасности. Рассказываем об истории праздника и способах его отметить.
[1]
/ фото Joe Grand [2] CC BY
В 1988 году некоммерческая организация ISSA (Information Systems Security Association) объявила 30 ноября Международным днем информационной безопасности. Его основная идея — напомнить о важности кибергигиены.
Праздник зародился в 1988 году не случайно — тогда произошло первое массовое распространение вируса-червя. Тридцать лет назад пользователи APRANET [3] — сети, которая была прообразом современного интернета — обнаружили [4], что программы на их компьютерах стали грузиться медленно, при этом машины не отвечали даже на простейшие команды. Виновником коллапса, который «парализовал» 6 тыс. компьютеров (10% всей сети), стал сетевой червь Морриса. Это была первая успешная массовая кибератака.
Атака не была преднамеренной, она стала результатом эксперимента, вышедшего из-под контроля. Создатель зловреда — аспирант Корнеллского университета Роберт Моррис (Robert Morris). Он работал над программой, эксплуатирующей ряд известных уязвимостей того времени.
Вирус Морриса атаковал учетные записи электронной почты пользователей сети ARPANET, подбирая пароли по словарю. Словарь был небольшой — порядка четырёхсот слов — но его хватало. В то время мало кто думал о компьютерной безопасности, и у многих логин часто совпадал с паролем.
Получив доступ к аккаунту, червь использовал уязвимость в почтовом сервере Sendmail [5] для самокопирования по сети. Однако в коде была допущена логическая ошибка, которая приводила к тому, что компьютеры заражались червем многократно. Все это замедляло их работу, истощая и без того небольшие ресурсы вычислительных систем того времени.
Решать проблему начали в институте Беркли. Туда съехались лучшие специалисты по защите данных в Америке. Они занялись разбором кода червя и нейтрализацией последствий. Сегодня дискета с вредоносом находится в музее науки в Бостоне, а код можно найти и в открытом доступе [6].
Суммарный ущерб, который нанес червь Морриса, приблизился к ста миллионам долларов. Помимо финансового ущерба, ноябрьский инцидент имел и другие последствия:
При этом атака червя Морриса выявила главную проблему (которая не потеряла актуальность до сегодняшнего дня) — люди используют простые пароли. Стало ясно, что уровень осведомленности по вопросам информационной безопасности нужно поднимать. Потому и был предложен новый международный праздник по теме ИБ.
Хотя сегодня праздника нет даже в календаре мероприятий [9] ISSA, его часто используют как повод освежить знания сотрудников компаний о кибербезопасности и «привить» кибергигиену. Например, вот несколько «активностей», которые следует провести на работе (и дома):
Ранее у Дня информационной безопасности был сайт, на котором энтузиасты собирали [13] идеи корпоративных мероприятий для праздника. Один из вариантов — выступить с презентацией и обсудить вопросы компьютерной безопасности в местной школе или университете. Вместе со студентами можно посмотреть фильмы или сериалы, касающиеся вопросов ИБ.
Некоторые компании используют День информационной безопасности как возможность поделиться сведениями о защите данных не только со студентами, но со всем миром. Например, издательство Springer в этот день открывает бесплатный доступ [14] к тематической литературе.
/ фото Travis Isaacs [15] CC BY
Если есть желание сделать что-то «хардкорное», то день информационной безопасности может быть поводом устроить соревнования по взлому компьютерных систем в стиле Capture the Flag (CTF) [16].
В таких конкурсах двум командам выдают сервер или ноутбук с различными приложениями и сервисами. У этих сервисов есть определённый ряд уязвимостей. Зная это, участники должны защитить информацию на своей системе и захватить данные с компьютера противника.
Проводятся и соревнования по взлому на скорость. Например, подобное мероприятие проводится на конференции хакеров DEFCON. В этом году участникам предлагали взломать оборудование для голосования [17], подключенное к копиям официальных сайтов. Победу в этом году одержала одиннадцатилетняя Одри Джонс (Audrey Jones), обойдя защиту за 10 минут.
В целом подобная активность поможет привлечь дополнительное внимание к вопросам киберграмотности и напомнит о важности цифровой гигиены.
P.P.S. Про облачные технологии и виртуализацию из нашего Telegram-канала:
Автор: it_man
Источник [24]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/300773
Ссылки в тексте:
[1] Image: https://habr.com/company/it-grad/blog/431636/
[2] Joe Grand: https://flic.kr/p/E6xHxE
[3] APRANET: https://ru.wikipedia.org/wiki/ARPANET
[4] обнаружили: https://www.atlasobscura.com/articles/in-1988-one-rogue-worm-shut-down-10-percent-of-the-internet
[5] Sendmail: https://ru.wikipedia.org/wiki/Sendmail
[6] можно найти и в открытом доступе: http://www.foo.be/docs-free/morris-worm/worm/
[7] Computer Fraud and Abuse Act: https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act
[8] создана организация CERT: https://en.wikipedia.org/wiki/CERT_Coordination_Center
[9] календаре мероприятий: https://www.issa.org/events/event_list.asp
[10] за два месяца до атаки: https://www.usatoday.com/story/money/2017/09/14/equifax-identity-theft-hackers-apache-struts/665100001/
[11] специальным приложениям: http://www.techradar.com/news/software/applications/the-best-password-manager-1325845
[12] вот эту историю на Хабре: https://habrahabr.ru/post/236577/
[13] собирали: https://web.archive.org/web/20100703053837fw_/http:/www.computersecurityday.org/activity.htm
[14] открывает бесплатный доступ: https://www.springer.com/gp/computer-security-day/6608446
[15] Travis Isaacs: https://flic.kr/p/4NDWzR
[16] Capture the Flag (CTF): https://ctfnews.ru/what-is-ctf/
[17] предлагали взломать оборудование для голосования: https://www.buzzfeednews.com/article/kevincollier/voting-hackers-defcon-failures-manufacturers-ess
[18] Особенности двухфакторной аутентификации: работает ли это в облаке IaaS: https://iaas-blog.it-grad.ru/bezopasnost/osobennosti-dvuxfaktornoj-autentifikacii/
[19] Эффект GDPR: как новый регламент повлиял на IT-экосистему: https://iaas-blog.it-grad.ru/bezopasnost/effekt-gdpr-kak-novyj-reglament-povliyal-na-it-ekosistemu/
[20] Как протестировать безопасность облачных решений: https://iaas-blog.it-grad.ru/bezopasnost/testirovanie-bezopasnosti-oblachnyx-reshenij-ili-sovety-po-ustraneniyu-security-problem/
[21] Почему хороший IaaS-провайдер не строит свой ЦОД: https://t.me/iaasblog/173
[22] Как выбрать IaaS-провайдера: https://t.me/iaasblog/169
[23] Как обрабатывать ПД в России и Европе: https://t.me/iaasblog/164
[24] Источник: https://habr.com/post/431636/?utm_campaign=431636
Нажмите здесь для печати.