пятница, 3 апреля 2009 г.

Опять-25.

security_graphic Точнее, шесть. Уже шесть раз я наблюдаю одну и ту же картину. “Опять” потому что я уже писал об этом. Представьте себе такую ситуацию. Человек, пользующийся каким-нибудь онлайн-сервисом (Sky Drive, Live Mesh и другие), дает другу/начальнику/партнеру доступ к файлу или файлам… путем выкладывания оных на этот ресурс в папку … скажем… Public. После чего дает на них ссылку нужному человеку. Вроде пока ничего страшного, но потом этот несознательный гражданин ничтоже сумляшеся оставляет эти файлы там же, и выкладывает следующую порцию файлов для другого человека в ту же папку. Вы уже поняли, да? Этот другой человек имеет возможность прочитать файлы, предназначенные не для него. Мало того, так как они лежат в практически свободном доступе, то к ним на самом деле имеет доступ весь Интернет. И весь Интернет (а точнее, люди, его населяющие) вполне может считать своим правом этими документами пользоваться в свое благо, как они себе это благо представляют.
Смешно и говорить, что документы, выставленные таким образом в сети, вполне могут содержать конфиденциальные или даже секретные данные. Из шести таких моих находок три (!!!) содержали документы, “правильное” использование которых злоумышленником, возможно, могло нанести ущерб владельцу документов.
Однажды это был снимок экрана с отображенным окном браузера, в котором в явном виде светились параметры VPN доступа к сети одного из провайдеров. Включая логин и пароль. Плюс к этому там же был ”засвечен” практически весь контакт-лист ICQ.
Во второй раз это были договора на поставку чего-то там.
Последний случай предоставил моему взору отчет одного из моих знакомых его начальнику и запись видеоконференции, которая так же не предназначалась для широкой аудитории.
То, что я пока не наткнулся на сведения, составляющие государственную тайну это или мое везение или результат правильной политики соответствующих органов. Хотя, думаю, рано или поздно кто-нибудь додумается и до такого, увы – всего лишь вопрос времени.
Итак, в результате придется в ндцатый раз повторять прописные истины. И если мне скажут, что, мол, моя аудитория давным-давно все это знает (я тоже так думал), то вот как раз последний случай показал, что знание не приводит автоматически к использованию этого знания. Последний “провинившийся” и работает в IT компании и сам имеет некоторое отношение к IT. Тем не менее, когда я ему указал на его оплошность, он ответил мне, что да, он в курсе, но просто “даже и не думал об этом, когда выкладывал” (с).
Итак, повторим пройденное. Online_security
1) Не выкладывайте в сеть документы, кроме тех, которые вы желаете презентовать всему миру. То есть те, которые изначально предназначены для как можно более широкой публики (пример) – можно. Остальные – ни в коем случае.
2) Если уж нет другого способа передать знакомым информацию, то ни в коем случае не следует выкладывать ее (информацию) в папку Public или любую другую папку с разрешением на чтение для всех. Сделайте отдельную папку и выдайте на нее разрешения для конкретных людей.
3) Когда документы будут забраны адресатами – удалите свои документы из сети.

5 комментариев:

cognize@ комментирует...

Это всё конечно хорошо, но человеческий фактор никто не отменял:

- лень
- память
- разгильдяйство

-)

Alexander Trofimov комментирует...

А я про него и написал, как раз. Мне так кажется ;)

cognize@ комментирует...

Мой комментарий был сжатой рецензией

-)

Artyom Sinitsyn комментирует...

В конце концов можно конфиценциальные данные шифровать перед аплоадом на различные "файлопомойки" (коей по сути SkyDrive и является). Операцию шифрования можно проводить автоматически вместе с операцией сжатия в любом современном архиваторе (7zip, к примеру).
А загрузку "неархивированных" файлов на внешние сетевые ресурсы можно блокировать с помощью тех же фильтров уровня приложений Microsoft ISA Server.
Согласен, приведенный сценарий неприкрыто походит на мазохизм, но лично я делаю именно так. Никто не может гарантировать, что файлопомойки НЕ находятся под контролем соответствующих органов. Или мне пора к доктору? =)

Alexander Trofimov комментирует...

Тём, делай проще - не загружай эти файлы туда =) Ну всяко есть более толковые способы поделиться данными с начальником/знакомым. Шифрование здорово, но
1) большая часть толковых пользователей не в состоянии даже воспользоваться толковым паролем, не говоря уже о "придумать"
2) еще одна проблема - передача пароля.
Хотя, разумеется, такой контроль позволяет существенно снизить мои шансы на прочтение чужой информации. =)