Домашний ПК

Объявление

Уважаемые гости, при регистрации на форуме указывайте Email не принадлежащий сервису mail.ru так как письма с паролем и другими данными на них не приходят. Мы рекомендуем вам использовать yandex почту или gmail.ru от Google. Весь представленный контент на форуме является бесплатным и не нарушает прав автора.

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » Домашний ПК » Безопасность » Десять самых распространенных ошибок в сфере компьютерной безопасности

Десять самых распространенных ошибок в сфере компьютерной безопасности

Страница: 1

Сообщений 1 страница 2 из 2

1

  • Автор: HELPER
  • Администратор
  • HELPER
  • Зарегистрирован: 2009-01-26
  • Приглашений: 0
  • Сообщений: 24
  • Уважение: [+0/-0]
  • Позитив: [+0/-0]
  • Провел на форуме:
    48 минут
  • Последний визит:
    2009-01-29 13:48:00

В этой статье я хочу рассказать о десяти ошибках, связанных с обеспечением безопасности, которые совершаются прямо-таки повсеместно. Это не просто «распространенные ошибки» — это исключительно глупые и элементарные ошибки, для предотвращения которых, казалось бы, вполне достаточно даже самого минимального набора знаний в области безопасности.

1. Отправка конфиденциальных данных в незашифрованных электронных письмах. Прекратите слать мне пароли, личные идентификационные номера и данные учетных записей в незашифрованных электронных письмах, очень вас прошу! Я прекрасно понимаю, что большинство рядовых пользователей слишком лениво, чтобы пользоваться шифрованием, но я-то не рядовой пользователь. Если уж вы готовы слать незашифрованные конфиденциальные данные им, уважьте и меня — обеспечьте надежную защиту при отправке секретной информации. (См. "Сделаем шифрование данных популярным!")

2. Использование «контрольных» вопросов, ответ на которые легко угадать. Номер страховки, девичья фамилия матери, имя домашнего питомца, дата рождения — все это не является надежным средством идентификации личности. Использование таких «контрольных» вопросов для восстановления пароля конечного пользователя делает сам пароль практически бесполезным, потому что любой, у кого есть время и желание, может в таком случае с легкостью подобрать ключик к чужой учетной записи.

3. Использование чересчур строгих ограничений на выбор пароля. Мне приходится возмутительно часто сталкиваться с системами управления финансами онлайн (типа интернет-банкинга), которые устанавливают такие строгие ограничения на выбор пароля, что защищенность интерфейса от этого только снижается. Пароли из шести цифр пользуются у нас просто устрашающей популярностью, и это еще не самый вопиющий пример. Подробнее об этом читайте в статье «О политике защиты информации и надоевшей проблеме пользовательских паролей».

4. Слепое доверие в вопросах безопасности производителям программного обеспечения. Поставщиков ПО, которым можно безоговорочно доверять, просто не существует. В конечном счете, единственное, что интересует производителей — это их собственная прибыль и доля на рынке. Иногда это действительно побуждает их укреплять безопасность своих программных продуктов и услуг, но порой — совсем наоборот. Поэтому определение «надежной безопасности» от поставщика ПО всегда следует ставить под сомнение. Не разрешайте производителям решать за вас, что для вас важнее. (См. "Бесплатные утилиты для безопасности вашего компьютера")

5. Непонимание того, насколько важен профессиональный опыт в сфере безопасности. Руководители корпораций (и технически подкованные ИТ-специалисты в том числе) часто не уделяют должного внимания проблеме профессионализма в области безопасности. Доходит до того, что в исследовательские группы по разработке стандартов безопасности входит немало талантливых программистов и ни одного специалиста по криптографии (как это было в случае с WEP) — притом что они пытаются создавать стандарты, опирающиеся непосредственно на шифровальные алгоритмы. (См. "Почему я так много говорю о безопасности")

0

2

  • Автор: HELPER
  • Администратор
  • HELPER
  • Зарегистрирован: 2009-01-26
  • Приглашений: 0
  • Сообщений: 24
  • Уважение: [+0/-0]
  • Позитив: [+0/-0]
  • Провел на форуме:
    48 минут
  • Последний визит:
    2009-01-29 13:48:00

6. Непонимание того, насколько важна независимая проверка. Даже работу экспертов по специфическим видам безопасности должны проверять такие же опытные специалисты. В сфере безопасности взаимные проверки — нечто вроде священного Грааля абсолютной защиты, и никакая система не может считаться безопасной до тех пор, пока не будет тщательно и глубоко испытана специалистами, не причастными к ее разработке.

7. Излишняя забота о секретности. Многие разработчики программного обеспечения в сфере безопасности не только недооценивают важность независимой проверки, но и переоценивают значимость секретности. Они обосновывают свой отказ отправить работу на проверку независимым специалистам тем, что самое главное — это держать политику безопасности в секрете. Между тем, как гласит принцип Керкгоффса (одна из фундаментальных аксиом науки безопасности), если безопасность системы зависит исключительно от сохранения ее архитектуры в секрете, такая система не может считаться надежно защищенной.

8. Использование средств идентификации личности, которые легко подделать. Любые системы, предусматривающие пересылку по факсу подписей, фотокопий или сканов удостоверений/паспортов в качестве средства идентификации личности, являются, по сути, декоративными — ворох мишуры и отсутствие реального результата (то есть, в данном случае, безопасности). Подделать такие некачественные копии, сделанные с помощью технических средств прошлого (или даже позапрошлого) поколения, — легче легкого. На самом деле, копии подписей и паспортов могут служить надежным средством идентификации личности только тогда, когда на копии совсем не похожи. Другими словами, только качественная преднамеренная подделка оригинала может считаться хорошей копией, усложняющей злонамеренную подделку.

9. Бессмысленное изобретение велосипеда. Очень часто разработчики нового ПО в сфере безопасности пытаются заново создать то, что уже было создано до них, не имея на то веских оснований. Многие производители программного обеспечения страдают «синдромом оригинальности» и в итоге создают программы, не имеющие новых полезных функций. Само по себе это еще не страшно, но ведь новое программное обеспечение зачастую не проходит независимой проверки, изобилует ошибками, уже устраненными в других воплощениях подобных программ, и в общем, ужасно все портит. Прежде чем приступать к разработке нового ПО, подумайте, нет ли уже готовых качественных приложений такого рода, и если ваша будущая программа обладает действительно новыми и полезными функциями, не лучше ли добавить эти функции к чему-то уже существующему вместо того, чтобы создавать себе и людям кучу проблем, пытаясь это существующее заменить.

10. Подмена реальной безопасности ложным чувством защищенности. Ошибка настолько абсурдная, что даже трудно сформулировать ее суть. Тем не менее, она так распространена, что не включить ее в этот список просто нельзя. Люди вручают ключи от своей системы безопасности любому, кто представится экспертом, причем делают это охотно, с энтузиазмом и порой даже ни капли не задумываясь. «Центры сертификации» говорят, кому доверять, лишая пользователей возможности самостоятельно принимать решения о доверии; провайдеры услуг электронной почты предлагают серверное шифрование и дешифрование данных, лишая людей возможности самостоятельно шифровать письма и управлять собственными шифровальными ключами; операционные системы самовольно запускают службы и приложения, лишая пользователей возможности защититься от мобильного вредоносного ПО. Не доверяйте управление безопасности третьим лицам! Конечно, не все могут разработать надежную программу или политику в области безопасности исключительно самостоятельно, но это еще не значит, что такая программа или политика должна лишать вас возможности управлять ею самолично.

0

Страница: 1

Вы здесь » Домашний ПК » Безопасность » Десять самых распространенных ошибок в сфере компьютерной безопасности