Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ

Вид материалаКнига

Содержание


Есть ли у электронной почты конверт?
Доступ к персональной информации получен
Резюме: Вы имеете право отказаться от вашего права на тайну переписки
Подобный материал:
1   ...   28   29   30   31   32   33   34   35   ...   42

Есть ли у электронной почты конверт?



Моя подруга Мишель Шейверс была подающим большие надежды сотрудником в NetDynamics, большой компании по сетевым технологиям в Силиконовой долине. Около года назад Мишель позвонила мне, чтобы поговорить о проблеме, которая у нее возникла с одним из ее коллег.


Так как коллега, о котором идет речь, был руководителем высокого ранга в ее компании, то она никогда не сообщала мне его имени. (Мы назовем его мистер Икс.) Из разговора с ней я поняла, что каждый раз, когда она выступала на совещаниях сотрудников компании, мистер Икс оказывался впереди нее на два шага. Он отвечал на все вопросы так продуманно, что его ответы звучали, как заранее подготовленная речь. Она была убеждена, что он заранее точно знал, что она собиралась сказать.


Мое первое впечатление состояло из трех частей: 1) мистер Икс определенно не любил Мишель; 2) мистер Икс, возможно, хотел прибрать к рукам подразделение Мишель; или 3) мистер Икс пытался (по каким-либо причинам) выжить Мишель из компании. Мне же, наоборот, Мишель нравилась. Она умела добиваться результатов в своей работе и не могла допустить, чтобы кто-то стоял у нее на пути. Поэтому, когда она обратилась ко мне за помощью, я с большим желанием протянула ей свою руку.


Возможно, что в глубине моей души таилось нетерпение запустить поглубже руку в грязные делишки мистера Икс. Но как профессионал по вопросам безопасности я знала, что такая информация мне действительно не нужна.


Мишель спросила: «Линда, этот парень очень подкован технически и общается со многими специалистами в нашей области. Возможно ли такое, что он читает мою электронную почту?»


Хороший вопрос. В ответ я задала Мишель три простых вопроса: «Ты шифруешь свои электронные письма?» - «Нет». «Мистер Икс работает в твоем здании?» - «Да». «Он работает на том же этаже, что и ты?» - «Да».


Я задала последние два вопроса, чтобы выяснить, в одной ли сети с Мишель находится мистер Икс. Я знала, что если Мишель ответит «Да» на любой из этих двух вопросов, то для мистера Икс не составит труда читать ее электронные письма.


Я объяснила ей, что если она не шифрует свою электронную почту, то каждый сможет ее прочитать. Я также пообещала ей, что загляну к ней в компанию и продемонстрирую, как легко это можно сделать.


Мишель очень заинтересовалась такой демонстрацией. Чтение чьей-либо электронной почты являлось явным нарушением политики компании. (Возможно, такая политика есть и в вашей компании.) Оказалось кстати, что Мишель имела полномочия на запуск любых инструментов и тестов в ее сети на этой неделе, так как ее инженеры проводили тестирование нового, только что разработанного ими программного обеспечения. Нельзя было выбрать лучшего времени для моей демонстрации.

Доступ к персональной информации получен



Для проведения демонстрации я встретилась с Мишель позднее в тот же день. Задача оказалась несложной. За 30 секунд моего нахождения за ее клавиатурой я «скачала» из Интернета инструмент «снупинга»1. Затем я ввела с клавиатуры команду, запускающую выполнение «скачанной» программы, и все дела! Появилось первое почтовое сообщение. Как только челюсть Мишель отвисла до пола от изумления, вызванного тем, как просто это было сделано, я отвернулась от экрана. Я дала ей понять, что за все годы моего занятия аудитом безопасности я не прочитала ни строчки из закрытой персональной информации.

Когда я провожу аудит безопасности, то просматриваю только имена важных файлов и каталогов при проверке риска, но никогда не заглядываю в содержимое файлов.


Мишель не могла оторвать от экрана глаз. «Здорово! Это же письмо для президента компании!»

===============

1. Snooping - здесь: отслеживание, перехват и декодирование сообщений. - Примеч. пер.


Я поняла, что достигла своей цели. Я стерла результаты «снупинга» и сказала: «Теперь ты знаешь, почему ваша компания должна использовать шифрование. Я хочу оставить этот инструмент в вашей системе как раз на тот случай, если тебе нужно будет показать президенту компании, как легко можно прочитать его электронную почту».


Конечно, это не помогло полностью решить проблемы Мишель с мистером Икс. Я показала Мишель, как легко мог бы мистер Икс читать ее электронную почту, но у нее не появилось доказательств того, что он действительно делал это. Разумеется, на самом деле не было так уж важно получать такие доказательства. Мистер Икс имел такую власть, что представление доказательств того, что он читает ее электронную почту, могло бы разрушить карьеру не ему, а Мишель.


Но, с другой стороны, то, что Мишель теперь знала об уязвимости своей почты, позволило ей понять, почему для ее компании так важно предусмотреть в бюджете на безопасность расходы на шифрование электронной почты. И пока эта технология не будет введена, Мишель знала, что ей следует ограничивать содержание своей почты.


Мишель и я никогда больше не возвращались к этому инциденту с электронной почтой. Но мне известно, что в настоящее время компания Мишель усердно работает над внедрением у себя программ шифрования электронной почты.

Резюме: Вы имеете право отказаться от вашего права на тайну переписки



В отличие от других случаев, описываемых в данной книге, в этой истории не проводился аудит. Однако в этом случае был обнаружен существенный риск в области технологии, на которую мы стали полагаться почти ежедневно.


Предприниматели, подобные Мишель, подвергают риску свою информацию и карьеру почти ежедневно, не сознавая этого. Мы полагаем, что если мы сами не читаем чужой электронной почты (и, возможно, не знаем, как это делается), то этого никто не делает. Это плохое предположение.


Не составляет особого труда не только сам просмотр почты, но и получение инструментов «снупинга» из Интернета. И если вы будете ожидать, что в результате работы такого инструмента экран вашего компьютера будет заполняться битами и байтами обрывков сообщений, то вас удивит, как «отполировано» выглядят украденные письма. Только взгляните на пример, приведенный на рисунке 10.1.


Теперь представьте себе, что электронное письмо послано вами, а не Мишель. Как вы будете себя чувствовать, зная, что кто-то еще читает вашу почту? Почувствуете ли вы, что ваше право на тайну переписки нарушено? Несомненно! Являетесь ли вы простым гражданином, посылающим личное письмо вашей любимой девушке, планируете ли вы новую стратегию компании или вы - капрал морской пехоты, говорящий «привет!» своим детям, у вас в любом случае имеется неотъемлемое право на тайну переписки.


Но если вы посылаете электронное письмо, не шифруя его, то вы непроизвольно отказываетесь от этого права. Я всегда говорю людям: «Если вы не шифруете свою электронную почту, то не помещайте в нее то, что вам не хотелось бы увидеть на первой странице The Wall Street Journal».


STAT: Sat Mar 15 10:01:36, 7 pkts, 487 bytes [DATA LIMIT]

DATA:HELO nolimits.incog.com

MAIL From:


RCPT To:


DATA


Received: by nolimits.incog.com (SM 1-8.6/SMI-SVR4)


Alid KAA04500; Sat, 15 Mar 2003 10:01:35 -0800


Date: Sat, 15 Mar 2003 10:01:35 -0800


From: msha@osmosys (MichelleShavers)


Message-Id: <200303151801.KAA04500@nolimits.incog.com>


To: lmac@nolimits

Subject: NEW STRATEGIC DIRECTION


X-Sun-Charset: US-ASCII

Late yesterday, I received the preliminary report from Vendor В regarding customer perceptions of the new support structure. TH E CUSTOMERS ARE VERY UNHAPPY! Over 89% reported STRONG dissatisfaction with the new bug x distribution system. Of those, fully 53% are considering Macron's new third-party support program. If we don't implement a new approach quickly, we can anticipate a strong drop in customer support contracts. At tomorrow's executive staff meeting, I will propose the following changes to head off that problem.,.


Рисунок 10.12

br />

Рисунок 10.12