«Что это было, Бэрр(имор)?! – Alfresco, сэр!»

Сразу признаюсь в страшном неприличном преступлении – изредка я захожу на сайт Alfresco. Не то, чтобы меня сильно интересуют продукты конкурирующей компании, но надо же быть в курсе того, что у них там происходит. Да и презентации маркетинговые они вполне себе симпатичные делают. Вот, видимо, при скачивании какой-то из презентаций я и оставил маркетерам Alfresco адрес своей почты и согласился получать от них почтовые рассылки (или, скорее всего, тупо забыл убрать галочку, означающую таковое согласие). Как следствие, расплачиваюсь теперь за свое прегрешение получением стандартного маркетингового спама. Но не сильно страдаю от этого: поставить галку возле свежеполученного письма и нажать иконку корзинки – дело двух секунд. Ну и к чести Alfresco – надоедают они своими рассылками нечасто. Можно сказать, что и не надоедают почти.

Но вот вчера случилось нечто феерическое (я надеюсь – вы знаете, что чаще всего бывает феерическим в наше время).

Вначале просто пришло письмо от Alfresco (вон оно в списке, второе сверху), на которое я привычно забил не обратил внимания – мало ли в Бразилии педров всякой фигни валится в ящик. Я его даже открывать не стал – лениво было.

Но спустя примерно три часа пришло еще одно письмо – то, которое выше в списке. Ну и вот здесь я уже обратил внимание на тему письма: «Recent Alfresco email: We apologize». Открыл его...

ECM-аспекты. S01E01. Безопасность. P02. CD-шреддинг

В серьезных ECM-системах есть специальная функция безопасности – цифровой шреддинг (digital shredding). Смысл этой функции такой же, что и в обычных бумажных шреддерах – уничтожение информации таким способом, чтобы ее невозможно было восстановить. Ну, правда, обычные офисные шреддеры со своим назначением справляются довольно слабо – в шпионских фильмах полным-полно эпизодов, когда бумажное «спагетти» извлекается из помойки и собирается пинцетиком (а в современных hi-tech боевиках – с помощью сканера и компьютера) в первоначальный читабельный вариант. Чтобы подобные казусы не случались с подлежащей полному и окончательному уничтожению электронной информацией, функция цифрового шреддинга использует специальные алгоритмы – после удаления файла с диска освобожденное пространство многократно перезаписывается специальными битовыми последовательностями.

Но в случае с однократно записываемыми носителями (CD-R, DVD-R) понятно, что никакой цифровой шреддинг неприменим – уничтожить информацию можно, только физически повредив или уничтожив носитель. Руководства по информационной безопасности требуют, чтобы однократные носители с конфиденциальной информацией уничтожались в специальных сертифицированных установках.

А что делать, когда нужно уничтожить информацию на подобных носителях в домашних условиях? Самые ленивые (или самые беспечные) просто царапают информационный слой гвоздем или ножницами и выбрасывают диск. Более продвинутые в плане информационной безопасности ломают-крошат диск на максимально мелкие кусочки. Но ни первый, ни второй варианты не дают гарантии от последующего восстановления информации, хранившейся на диске.

Британские ученые электрики изобретатели-рационализаторы предложили инновационный подход к решению задачи – сколь эффективный, столь и эффектный. Для его реализации потребуются: электромоторчик, батарейка и два изолятора от высоковольтной ЛЭП.

ECM-аспекты. S01E01. Безопасность. P01. Ксероксы-шпионы

Начинаю новый сериал – «ECM-аспекты». На этот раз без отдельного поста-анонса – сразу с первого эпизода, «Безопасность». Хотя, внимательные читатели, разбирающиеся в тематике ECM, могут заметить, что, на самом деле, про различные аспекты главной темы моего блога – Enterprise Content Management – я написал уже достаточно много. Ведь уже было и про стандарты, и про E-Discovery, и про «войну форматов». Да, все так. Но все названные темы достаточно «сериабельны» сами по себе, т.е., каждая из них вполне «тянет» на самостоятельный сериал. А в «ECM-аспектах» я планирую писать более «узко», что ли. Т.е. буду рассматривать темы, достаточно объемные сами по себе, но сознательно сужая обзор только до ECM-применимости каждой из них.

Вот тема «Безопасность», с которой я начинаю сериал - лучший пример для объяснения моего подхода. Сама тема (имеется в виду, конечно, ИТ-безопасность) широка и практически неохватываема в рамках одного блога. Но я буду смотреть не на ИТ-безопасность вообще, а только на те ее проявления, которые связаны с электронной информацией и документами – как нужно правильно хранить документы и работать с ними, как управлять доступом к документам, какие риски в плане безопасности порождает электронная форма документов и т.п. Ну, собственно, на этом с вступлением-анонсом заканчиваю, и приступаю к сюжету.

А сюжет, надо сказать, прекрасный. И главное – не оторванный от реалий нашей здешней, «не-забугорной», жизни, а вполне себе близкий и понятный каждому офисному работнику. Итак…

Беззащитность персональных данных

У меня есть любимая машина. Конечно, не такая, как на КДПВ :), но ненамного хуже – почти новая, скоро год исполнится, как я на ней рассекаю. И вот именно потому, что «скоро год», и появился этот пост.

Когда я год назад покупал машину, то, естественно, застраховал ее по КАСКО. Ведь жить моей машинке, как и большинству московских автомобилей, предстояло практически под забором, без надежды на гараж. Помните фразу за кадром в гениальном фильме «Берегись автомобиля», относящуюся к владельцу «Волги»: «Мысль о том, что пять с половиной тысяч попросту брошены на мостовой и к тому же снабжены колесами, не давала ему покоя»? Вот и мне предстояло ежедневно и еженощно бросать на мостовой снабженные колесами куда как больше, чем пять с половиной тысяч (и заметьте – не рублей!). А с КАСКО я был спокоен и днем, и ночью. Идиллия продолжалась почти год и закончилась около месяца назад.

Нет, с машиной все в порядке (тьфу-тьфу…). Но примерно месяц назад на моем телефоне раздался звонок (номер опознался, но был мне незнаком), и когда я ответил, звонивший голосом судебного пристава произнес:

- Альберт Владимирович, мы хотим напомнить, что у вас страховка на машину заканчивается. Что думаете делать?

Сначала я слегка прифигел, но быстро пришел в себя, вспомнил все, что к этому времени успел прочитать про страховых брокеров и задал встречный вопрос:

- А вы, собственно, из каких будете?

- Национальный брокерско-разброкерский страховой-перестраховой супер-пупер-центр, бла-бла-бла…

- Ну и чего вы от меня хотите?

- Хотим предложить вам свои услуги…

Естественно, товарищ был послан – быстро и далеко.

Про то, что мои персональные данные были «слиты» страховым брокерам, я, конечно же, догадался, но тогда не придал этому факту особого значения. А зря…

Портал госуслуг. S01E04. «Безопасность». P02. Активация в картинках

Логически активация учетной записи на «портале» тоже относится к тест-драйву, но я решил, что более уместным будет рассмотреть этот процесс в рамках эпизода «Безопасность».

Начну с физического получения письма с кодом активации. Как и все, я получал его на почте и думаю, что у большинства получавших, как и у меня, почтовый работник не проверил паспортные данные и не удостоверил мою личность. Я заполнил извещение, подал его в окошко и положил закрытый паспорт на стойку. Дама, выдававшая мне письмо, лишь бросила рассеянный взгляд на лежащий паспорт и отдала конверт – сработал классический прием социальной инженерии. И, соответственно, не сработал единственный реальный механизм, когда можно и нужно было сопоставить реальную и виртуальную личности.

Полученный в «письме счастья» код активации представляет 16-разрядную цифровую последовательность – 4 группы по 4 цифры. Не буду высказывать далеко идущих предположений, но первое, что пришло мне в голову при взгляде на этот ряд цифр – номер пластиковой карты.

Для ввода кода активации вызывается форма, в которую нужно также ввести СНИЛС и каптчу (кстати, похоже, что каптчу починили – теперь она срабатывает с первого раза):

Открытость и доступность государственной информации

Этот пост родился сам по себе. Сюжет, что называется, упал в руки. Название – так и вообще само на экране высветилось. Грех было не воспользоваться случаем :). Я и не согрешил. Или согрешил? :) Короче говоря, читайте и судите сами.

Все началось с комментов в ЖЖ-посте Ивана Бегтина «Моя статья в Полит.Ру про сайт Правительства России». Елена Голубева (в ЖЖ - fogosa) дала ссылку на отчетные материалы одного из государственных ИТ-проектов – мониторинга сайтов ФОИВ на соответствие требованием Федерального Закона 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».

Ссылка совершенно открытая (ну на заборах ее вроде бы еще мелом не пишут, но и секрета никакого она не представляет) - http://aisup.economy.gov.ru/pubportal/description.jsp?uuid=pprtcto2k03380000if3v7109mjqrdjo. Ведет, как не трудно догадаться, на сайт Минэкономразвития. Прихожу на сайт, иду по ссылке «Материалы контракта», и скачиваю все материалы… 

Обратите внимание на файл, стоящий первым в списке – «3.0Анкеты.doc». Скачал-то я его, естественно, первым, вот только открыл не сразу – сначала начал читать основной отчет, потом обзор зарубежного опыта…

И только по старой консалтерской привычке решил посмотреть - что же там за анкеты такие? Открываю файл – а он состоит всего из трех страничек! Причем первая – титульный лист, третья – пустая, а на второй – всего несколько строчек. Но зато каких строчек!..Да-да :). Ключ от квартиры, где деньги лежат Адрес сайта (на котором ведутся анкеты сайтов ФОИВ - http://opengov.ru), логин и пароль для входа… А что бы вы сделали на моем месте? Вот и я пошел по указанным координатам… 

Портал госуслуг. S01E04. «Безопасность». P01. Посторонним В.

Я решил открыть новый эпизод портального сериала – S01E04 «Безопасность». В нем я буду рассматривать вопросы обеспечения безопасности на «портале госуслуг» - со своей колокольни, конечно, и в рамках собственных знаний и пониманий. Первый пост я посвящаю анализу процедуры первичной регистрации.

Вчера я попал в число немногих счастливчиков, кому удалось до конца пройти первый уровень регистрации на «портале госуслуг». Первым уровнем я называю те 4 шага, по прохождении которых от «портала» приходит электронное «письмо счастья», сообщающее, что «портал» свою часть работы по регистрации выполнил и в игру вступила Почта России, т.е. теперь нужно ждать второго «письма счастья» - бумажного, заказного, с кодом активации.

Понятно, что вчера все эмоции были сосредоточены на главном – I DID IT! Сегодня же я задумался – а так ли необходимы были все те шаги, которые пришлось пройти в процессе регистрации, и так ли необходима была вся та информация, которую приходилось вводить в систему? Не, конечно, с точки зрения кодерских «наворотов» и «примочек» вопросов нет – хватало всего. Тут тебе и просто ввод буковок-цифирок, и каптча (которая с первого раза, видимо, принципиально не срабатывает), и отправка электронного письма с кодом, и СМС-ка с кодом на указанный номер телефона, которую нужно ввести обратно на «портал», и даже онлайновая проверка пресловутого СНИЛС и ИНН. Кстати, насчет ИНН – а действительно ли он проверяется? И вчерашние периодические сообщения о недоступности сервиса, и сегодняшнее более основательное объявление на стартовой странице авторизации упоминают о сервисе проверки СНИЛС – и только. Никто не сообщал и не жаловался на недоступность сервиса проверки ИНН. Жаловались на другое – на отсутствие ИНН как такового, т.е. люди просто не знают (или реально не имеют) своего ИНН. То же и со СНИЛС – не у всех он есть. Мобильный телефон тоже вроде бы пока еще не приравнен к паспорту. Да, у некоторых граждан телефонов и два, и три, и четыре может быть, но у некоторых – ни одного.

Про «взлом» веб-сайта «МК». Вторая часть марлезонского балета…

В прошлом посте я обещал еще раз написать о случившемся. Вот, пишу - чтобы закончить с темой... Я поставил к этому посту тег «Расследования», но хочу оговориться, что свою «расследовательскую» функцию вижу только в том, что собрал более-менее объективную информацию, разбросанную по разным источникам, и свел ее вместе.

Спустя пару недель после того, как новость про сайт «МК» побывала в топ-листах всех СМИ (что подтверждает тезис, что плохие новости – все равно хорошая реклама), а на самом сайте было вывешено объявление, что «в ближайшее время сайт заработает в полном объеме» (до настоящего времени этого так и не случилось), интерес к событию сошел на нет. Ну с массовыми СМИ понятно – им интересны только горячие темы и экзотические подробности. Поэтому и возникли «хакеры из Южной Кореи», «сигнал на разрушение», «стирание сайта за 10 минут», героические админы, отключающие напряжение... Обсуждение же технических деталей, среди которых на первом месте вопрос «Почему не было актуального бэкапа?», интересно только ИТ-специалистам.

«Взлом» в заголовке поста взят в кавычки не случайно. И я не случайно прицепил к предыдущему посту про сайт «МК» тег «Прекрасное». В этой истории прекрасно все – высказывания больших журналистских начальников про интернет-технологии и хакеров, искажения и додумывания при типичном для многих российских интернет-СМИ копипастинге, а также появляющиеся на разных Web-форумах и в блогах версии случившегося (из которых следует, что никакой хакерской атаки не было, а были – и есть – косые руки админов), …

Как выяснилось, сайт «МК» «упал» совсем не 3-го декабря (напомню – новость о «взломе» массово пошла 4-го декабря). Еще в субботу, 28-го ноября рекламодатели, размещавшие на сайте свою рекламу, получили письма из редакции «МК», из которых следовало, что сайт «упал» и с понедельника, 30-го ноября временно будет выходить упрощенная версия сайта без рекламы. При этом ни о каких хакерах не упоминалось – говорилось только о технических причинах. (ссылка).

То, что проблемы на сайте начались именно 28-го ноября, подтверждается статистикой Liveinternet.ru по сайту «МК»:

 Источник: Liveinternet.ru

Лишь спустя пять дней после письма рекламодателям, то есть 3 декабря, главный редактор «МК» Павел Гусев начал рассказывать об "атаке" и уничтожении сайта". Слова г-на Гусева достойны того, чтобы их процитировать: "Разрушение сайта произошло три дня назад, буквально в течение нескольких минут. И вот вчера вечером стало известно, что это было сделано через сигнал, посланный с сайта, зафиксированного в Южной Корее", - сообщил Гусев в пятницу "Интерфаксу" (ссылка). Ну разве не прекрасно?

Шпионский скандал в F1 и… ECM

Мой любимый вид спорта (в смысле – посмотреть по ТВ, а не позаниматься :) ) – гонки болидов Formula One. Смотрю их больше 10-ти лет, года с 1996-го или 1997-го. В 97-м определился с личными пристрастиями – стал болеть за McLaren и Мику Хаккинена. На протяжении 10-ти лет, до 2007 года, пока Кими Райкконен, сменивший в кокпите «серебряной стрелы» своего земляка, не перешел в Ferrari, комбинация «финн в машине McLaren» оставалась моим неизменным «болельщицким» предпочтением. В 2007-м мне пришлось «раздвоиться»: я по-прежнему болел за Райкконена и за McLaren, но теперь в этом «болении» присутствовало две команды – добавилась Ferrari. И по какому-то невероятному стечению обстоятельств, именно эти две команды в том году породили самый громкий скандал в «Формуле» - скандал о техническом шпионаже. По крайней мере, половину сезона-2007 спортивная пресса больше писала о «шпионах», чем о борьбе на трассах.

Не стану здесь пересказывать все подробности – кому интересно, могут посмотреть на Википедии (http://ru.wikipedia.org/wiki/Шпионский_скандал_в_Формуле-1) или на сайте F1News.ru (http://www.f1news.ru/memuar/2007/espionage). Это была настоящая детективная история – с пропажей секретных документов, тайной перепиской, слежкой, высокотехнологичными расследованиями…

Я решил написать этот пост, чтобы показать, каким причудливым образом иногда переплетаются высокие технологии, большие деньги, политика и… ECM.

Про взлом веб-сайта "МК"

Вчера поздно вечером в интернете появились сообщения о хакерской атаке на сайт газеты "Московский комсомолец".

Первое я увидел в "Газете.Ру", и оно было достаточно оптимистичным в своей финальной фразе. Цитирую:

"На сайт газеты «Московский комсомолец» совершена хакерская атака.

Как сообщил радиостанции «Эхо Москвы» обозреватель МК Александр Минкин, «сайт взломан и уничтожен». Он отметил, что когда работа сайта будет восстановлена пока неизвестно.

В то же время в сообщении на сайте МК говорится: «в данный момент по техническим причинам сайт MK.ru недоступен. В ближайшее время работа сайта будет восстановлена в полном объеме»." (отсюда)

Однако, второе сообщение, прочитанное на "Компьюленте" вызвало гораздо меньше положительных эмоций. Цитирую выборочно (выделение жирным шрифтом мое - А.Б.):

"... Под шаловливый хакерский нож пошел огромный веб-архив, собиравшийся с далекого 1992 года.

Атака произведена неизвестными злоумышленниками. В какой-то момент нападение будто бы удалось остановить, однако главный корпус материалов утерян безвозвратно.

Резервной копии нет.

Возможно, удастся собрать тексты за какой-то период, однако иллюстрации, а также программные и оформительские элементы — едва ли. Когда сайт будет восстановлен, и можно ли его вообще реанимировать в прежнем виде, не сообщается. ..." (отсюда)

Комментарии читателей на "Компьюленте", как принято говорить, "доставляют".  Но по сути они правы - за отсутствие резервной копии админа сайта в средние века (если бы тогда был интернет :)), как минимум, сожгли бы на костре.

Я сделал эту запись пока в режиме "для памяти". Сейчас я не готов комментировать происшедшее - нет времени. Но, в соответствии с объявленными целями блога, я обязательно проведу собственное мини-исследование случившегося и опубликую его результаты в обозримом будущем.

Stay tuned... To be continued... Ну и т.д. ...  Короче, не уходите далеко :)

Апдейт. На сайте РИА «Новости» есть интересные подробности о происшедшем. Цитирую – отсюда (жирный шрифт мой – А.Б.).