Сегодня 30 ноября, с 1988 года отмечается международный День защиты информации. Этот год не случайно стал родоначальником праздника — в этот год была зафиксирована первая массовая эпидемия червя Морриса. Именно тогда специалисты задумались о необходимости комплексного подхода к обеспечению информационной безопасности. В 1988 году американская ассоциация компьютерного оборудования объявила 30 ноября международным Днем защиты информации (Computer Security Day).

Словарь «Война и мир в терминах и определениях» под ред. Д. Рогозина даёт следующее определение:

Информационная безопасность есть активное противодействие государства таким угрозам, которые возникают когда под видом свободы слова осуществляется политика внедрения в сознание граждан информации и культурных стандартов, определенным образом ориентирующих и мотивирующих их деятельность, подменяющих традиционные духовные ценности и, в конечном итоге, ведущих к разложению национальной идентичности и размыванию государственного суверенитета.

Словосочетание информационная безопасность является переводом на русский язык английского термина information security. Вторым исторически устоявшимся переводом того же термина является защита информации. В России словосочетание информационная безопасность имеет (чаще всего) научный, теоретический окрас, а словосочетание защита информации применяется при описании практических мероприятий.

Возможен и иной подход к трактовке этих определений. В то время как информационная безопасность — это состояние защищенности информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Кстати, довольно символично, что именно сейчас продолжается второй день фестиваля Chaos Constructions HackAround`2007.

В наш век Web 2.0 и прочих радостей программы должны быть максимально умными и понимать человека с полуслова, причём даже если это не совсем то слово. На этот счёт в голову приходит мысль о том, что если программа получает от пользователя какие-либо данные в виде слов (строка поиска, теги, команды, ещё что-то), то лучше всего будет не просто использовать полученный текст, а проверить его на ошибки, морфологию и синонимы.

С морфологическим анализатором мы ещё разбираемся (есть у Drupal и есть у Яндекса, оба своеобразны). А вот с синонимами всё сложнее — до сих пор не существует хотя бы более-менее применимого алгоритма и базы синонимов. Результат работы любого современного синонимайзера — полный бред с точки зрения человека. Видимо, не сошлись ещё дороги программистов и лингвистов. Но если тексты обрабатывать не нужно, а только, например, строку поискового запроса, то базы найти можно.

Вот, например, результат парсинга словаря русских синонимов и сходных по смыслу выражений Н. Абрамова (18151 слово и 68729 синонимов) и ещё одна (отличающаяся) база синонимов, чей источник мне к сожалению не известен (5371 слово и 20296 синонимов).

Формат файлов — текстовый, по одному слову на строчку в алфавитном порядке, далее через спецсимвол идут синонимы.

Нашёл довольно интересную заметку в англоязычном блоге — 10 Absolute «Nos!» for Freelancers. Человек рассказывает о том, как зарабатывать удалённо (в данном случае — на разработке веб-сайтов), и при этом не размениваться по мелочам и не убивать в ноль своё свободное время за копейки. К условиям российских реалий у меня адаптировалось только 7 пунктов, которые я немного вольно перевёл и прокомментировал. Эти самые «не-а» примерно такие:

• 1. Мы хотим увидеть макет до выбора исполнителя.
  Не давайте клиенту даже повода для мнения, что вы можете работать бесплатно.
• 2. Мы бы хотели получить скидку. Это стоит меньше.
  С жадными клиентами отношения не складываются никогда. Не знаю почему.
• 4. Вы можете скопировать этот сайт?
  Во-первых, мораль. Во-вторых, заказчик заранее не чист на руку и может и не заплатить. В-третьих, зачем превращать себя в обезьяну? В-четвёртых — и в портфолио не положишь, и репутация под угрозой.
• 5. У вас есть ICQ (или другой IM-клиент) ?
  Если дать этот номер каждому клиенту — можно точно убить своё рабочее вермя и стать при них «дежурным». Так что только в особых случаях.
• 6. Можно ли заплатить по факту исполнения?
  Вообще, принято платить по факту программисту, 50% вперёд дизайнеру и 100% вперёд (за месяц) SEO-специалисту. Но всегда есть WebMoney с их кодами протекции — деньги могут быть переведены сразу, а код протекции — по факту.
• 7. Успеете за ночь ? За выходные ?
  Один раз успеете, а потом привыкнут. Вот и закончится фрилансерская свобода.

Около двух недель осталось до начала компьютерного фестиваля Chaos Constructions HackAround 2007.

Опубликована программа и ориентировочный график фестиваля, а так же список семинаров.

• Виталий Лунёв — «Предотвращение сетевых атак: технологии и решения«
• Антон Карпов — «Тесты на проникновение — практические примеры«
• Пётр Соболев , Евгений Барбашин — «Организация компьютерных фестивалей в России. Применимость зарубежного опыта.«
• Андрей Комаров — «Безопасность беспроводных технологий«
• Евгений Соболев — «Анализ дефейсов ресурсов корпорации Microsoft«
• От оргкомитета $CCA7 — «Итоги Chaos Constructions Antique’2007. Что дальше?«
• Евгений Барбашин — «Вопросы безопасности сайтов, использующих системы электронных платежей«
• Алиса Белоусова — «Трюки в компонентной объектной модели«
• Алексей Смирнов — «OpenFWTK — идеология, реализация, применение«
• Александр Поляков — «Безопасность СУБД Oracle«
• Крис Касперски — «Уязвимости Windows Vista«
• Алексеев Дмитрий — «Современные тенденции в области вредоносного програмного обеспечения и средств персональной защиты«
• Tonu Samuel — «Кунг-фу с закрытыми глазами«

Лично у меня возникает желание посетить ВСЕ СЕМИНАРЫ (кроме, разве что, «Уязвимости Windows Vista»), поэтому посмотрим — как дело пойдёт. $CCA7 вымотал меня физически до жуткого состояния, в этот раз надо быть аккуратнее. Возможно, в этот раз опять дадут тёплое и удобное место в оргзоне :-)

Google Hacks — это небольшая программа, в которой тщательно собраны оптимальные формулировки поисковых запросов к ПС Google для выполнения наиболее часто необходимых задач. Например, можно выбрать поиск по музыке, набрать в поле слово «Offspring» — и программа выполнит поиск в Google (в браузере) по запросу

-inurl:(htm|html|php) intitle:"index of" +"last modified" +"parent directory" +description +size +(.mp3|.wma|.ogg) "The Offspring"

Искть можно (см. скриншот) музыку, книги, видео, прокси-сервера, тексты песен, шрифты, программы, торрент-файлы, карту запроса (какая же там чушь в выдаче…), проиндексированность своего сайта и его кеш-копию, а так же (6-ю старыми способами) плохо лежащие чужие пароли. Естественно, educational purposes only.

Есть версии практически под любую платформу (готовый бинарник), у меня под мандривой запустился спокойно, правда попросил поставить libstdc++5 (GNU C++ library​), после чего вполне заработал.

Скачать можно на официальной странице Google Hacks.

С подачи руководства (скоро новый год, новые законы, новые штрафы) решили в техотделе провести эксперимент — выбрать оптимальную платформу для своей работы в плане удобства и цены.

Метод был выбран двоякий — с одной стороны производилась оценка себестоимости смены платформы и покупки необходимого ПО под неё, с другой стороны — скачивалось всё подряд и тестировалось на рабочей станции, пробном сервере, компьютере дизайнера и моём ноутбуке (Dell Inspiron 1300).

Выводы показались мне настолько интересными, что я решил ими поделиться.

1. Рабочая станция рядового сотрудника (менеджера\кладовщика, с бухгалтерами пока сложнее). Почтовый клиент, браузер, оффис с MS-совместимостью и терминальный клиент, аналогичный mstsc. Принятое решение — Xubuntu 7.10. Просто и без лишнего, быстро и стабильно.

2. Сервер. Серверная надёжность, серверный комплект программ и полная пуленепробиваемость. Классическое решение — FreeBSD 6.2.

3. С дизайнером оказалось сложнее — я догадываюсь, что все используемые издательские платформы есть и под Linux, но переучить человека на что-то альтернативное не всегда реально — есть проблемы и со шрифтами, и с их сложными дизайнерскими цепочками преобразований, и с форматами файлов. Но использование Windows показало себя в этом аспекте самым невыгодным. Как ни странно, покупка компьютера от Apple с лицензионным комплектом тех же программ, что используются и под Windows, обойдётся дешевле. Нужно ли говорить о реакции самого дизайнера ? …

4. Со своим ноутбуком я провозился долго. Хотелось и красиво и удобно и чтобы сразу всё работало. В том числе и Wi-Fi модуль, и видеокарта Intel, заточенная под широкоформатный дисплей.

Были перепробованы Ubuntu (не впечатлило, с драйверами проблемы), ArchLinux (я на ассемблере не программировал, я хочу что-то более простое в настройке), Suse Linux (отличная подборка драйверов и жуткая нестабильность, я бы даже сказал, суицидальность).

Потом я решил попробовать уже знакомую мне Mandriva и эта система меня покорила. Быстренькоустановилась, ничего не попортив, да ещё и исправив ошибки на диске с Windows (оставлю её пока, тем более, что лицензия куплена), быстро сообщила какой файлик докачать чтобы заработала Wi-Fi карточка, прямо из коробки заиграла MP3, DVD, AVI и даже WMA, распознала безумную кодировку русских тегов в моей музыке, радостно сообщила, что полнофункциональный комплекс из Apache, PHP и MySQL со всеми нужными модулями уже настроен и работает, а моё желание подурачиться на выходных удовлетворила опять же встроенная в однодисковый DVD-дистрибутив OpenArena, свободно подключающаяся к любому Q3-серверу в сети или интернете. И это ещё не всё, огромное количество полезностей и удобностей, которые работают в мандриве без бубна — это нечто.

Вот так я совершил для себя небольшой исторический переворот — перешёл на свободное программное обеспечение.

В этой книге описываются протоколы обмена информацией и проблемы, сопровождающие этот обмен.

В связи с тем, что понятие безопасности в Интернете трактуется очень широко, основное внимание уделено протоколам передачи данных, применяемым для обмена данными между узлами — такими, как, например, маршрутизаторы и серверы. При этом рассматривается большинство используемых в настоящее время протоколов. Книга предназначена для широкого круга читателей, не являющихся специалистами в данной области. При этом, однако, предполагается, что читатель знаком с архитектурой Интернета и структурой протокола TCP/IP.

Блэк У. — Интернет. Протоколы безопасности. — 2001 г., 288 стр., Rar (DjVu), 6 Mb.

Яндекс под воздействием обиженных отменой операторов оптимизаторов (или славы Google, или просто по плану) разрабатывает панель для управления индексацией своих сайтов, аналогичную Google Webmaster Tools.

Эта панель называется «Мои сайты» и ссылка на неё уже есть на странице Яндекс.Вебмастер, но вход пока только по приглашениям. Несколько приглашений даётся каждому активному тестеру через сутки после начала работы.

Одно приглашение получил и я, так что сервисом уже пользуюсь.

Общее состояние сервиса на текущий момент напоминает сервис блогов Бета.я.ру в момент запуска — пока непонятно, что из этого работает, и что будет добавляться, но есть надежда, что разработчики внемлют гласу тестирующей общественности.

Для получения информации о сайте на сервисе, необходимо подтвердить авторство этого сайта.Подтверждение простое — метатегом на главной или файлом в корне (как и в Google, без изменений), кому как удобнее, хотя без ошибок не обходится — один из сайтов я так и не смог добавить:

«Ошибка анализа главной страницы.»

Сервис показывает список сайтов таблицей, сколько страниц было загружено роботом, сколько произошло ошибок и подтверждены ли права владения ресурсом.

Кликнув на числе страниц или числе ошибок, можно перейти на страницы «Структура сайта» и «Ошибки» соответственно.

На странице «Структура сайта» показываются разделы и подразделы сайта (что курит робот?), сколько страниц загружено в каждом и в процентах от общего числа. Разделы, как видно, определяются на основе паттернов URI.

Ошибки делятся на 3 вида: информация, предупреждение и ошибка.
На странице «Ошибки» — график по дням (Х) и числу найденных ошибок (Y) в виде гистограммы (синий, желтый, красный цвет по типам ошибок соотвественно).

Есть два вида просмотра ошибок — «Сводка» и «Ошибки по разделам». В сводке можно получить список страниц и вид ошибки по всему сайту, по разделам — соответственно по каждому разделу, что довольно удобно.

Чего-то не хватает ? Ну да, ещё бы… Все ждут появления сервиса просмотра ссылок на сайты, а его пока нет. Логичным было бы так же связать сервис с ЯК и ТИЦ по аналогии с Google PR. Да и глюков пока много — у меня, например, в FireFox не работают ссылки на FAQ справа (кривой JS, судя по всему). Так что пожелаем нашей крупнейшей отечественной ПС успехов и поможем в тестировании и отладке =)

Итак, обещанный краткий ликбез и немного мыслей на эту тему.

1. DoS (Denial of Service, отказ в обслуживании). Этим термином обычно называют два разных вида атаки:

• атака на взлом с использованием известной хакеру уязвимости в вашем ПО (обычно это ошибки переполнения буфера, позволяющие выполнять произвольный код).
• атака на отказ с помощью забрасывания компьютера большим количеством каких-либо данных. С приходом высоких скоростей и уходом Windows 9x практически бессмысленна.

Защита на серверном уровне заключается в поддержании свежих стабильных версий используемых программ, а на домашнем — в грамотной настройке firewall`а.

2. DDoS (Distributed Denial of Service, распределённая атака на отказ в обслуживании). Это «тупая атака», суть которой в отправке бессмысленных пакетов с большого количества компьютеров с целью либо заставить сервер тратить все свои ресурсы на обработку этих пакетов, либо вообще забить ими весь канал на пути к серверу.

DDoS-атаки на данный момент являются проблемой. Более половины всех деструктивных мероприятий в интернете являются тупыми DDoS-атаками. Реализуются они двумя основными путями:

• создание собственного ботнета. Создание и распространение вирусов, стелс-модулей различными путями.
• аренда чужих ботнетов. Это уже довольно сформировавшийся рынок со своими авторитетами и ценовой политикой.

Основные методы борьбы здесь такие:

• Предотвращение. Этот способ не по мне, я скандалист и провокатор ))
• Фильтрация входящего траффика. Наиболее эффективный метод, в то же время наиболее дорогой, так как специальное ПО и железо стоит больших денег.
• Наращивание ресурсов и расширение канала. Защитит от «пионеров» и небогатых врагов.
• Рассредоточение. Дублирование, создание резервных источников.
• Уклонение. Суть — увести с атакуемого сервера всё что там работает — и пусть ддосят…
• Активные ответные меры. Вот это по мне. Любимый способ политиков. Нанесение контрудара — или взлом источника атаки, или просто люди в масках с доставкой на дом.

Программная защита — очень спорный вопрос. Существуют и готовые рецепты, и модули для Apache, но универсального решения нет — все в сущности можно обойти и заглушить числом атакующих. Поэтому уже есть компании, профессионально занимающиеся решением таких проблем (помните, историю с SeoNews?).

Задача этой книги — познакомить читателя со всеми возможностями, предоставляемыми службой Яндекс. Прочитав эту книгу, вы сможете эффективно пользоваться и настраивать для своих нужд разнообразные инструменты, которые предлагает «многоликий Яндекс».

Автор этой книги уже написал более десяти книг, среди которых не только техническая литература, но также художественные произведения. Работает в области журналистики с 1995 года. Имеет звание Ph.D. в области информациологии.

В. Холмогоров | Поиск в интернете и сервисы Яндекс. | 2006 | 122 стр | 14 Mb | Pdf.