Новости и статьи с тегом компьютерная безопасность

Родственники программиста Шварца обвинили следователей в его смерти

Редакция [ПОЛИТ.РУ] — Mon, 14 Jan 2013 16:12:02 +0400

Родственники программиста Аарона Шварца, на днях покончившего с собой, считают, что одним из мотивов суицида стало сильное давление со стороны следователей, сообщает «The Guardian».

Шварц проходил обвиняем по делу о незаконном подключении к компьютерной сети Массачусетского технологического института (MIT) и скачивании около 18 млн научных статей, доступных для пользования лишь по платной подписке. Общая сумма ущерба, по данным следователей, составила свыше 1,5 млн долларов. Сам Шварц виновным себя не признал.

«Смерть Аарона – это не только личная трагедия. Это результат системы криминального правосудия, частью которой является запугивание и превышение должностных полномочий», - говорится в заявлении родственников программиста. По их мнению, одной из причин его смерти стали репрессии со стороны прокуратуры штата Массачусетс и руководства Массачусетского института.

Интернет-активист, сооснователь проекта Reddit и соавтор формата RSS Аарон Шварц покончил с собой 11 января. Молодой человек повесился в своей квартире в Нью-Йорке. Его тело обнаружила подруга.

Шварц был убежденным борцом за свободу в интернете. Уже в 14 лет молодой программист участвовал в создании формата RSS (Rich Site Summary), предназначенного для описания новостных лент, анонсов статей, активности в блогах и т. п. Кроме того, Шварц сотрудничал с некоммерческой организацией Creative Commons, а также создал каталог печатных изданий Open Library.

Итоги года в ракурсе информационной безопасности

Вячеслав Медведев — Fri, 28 Dec 2012 14:53:18 +0400

Хотели как лучше, получили как всегда...
Почти по Черномырдину

Конец года – традиционное время подводить итоги. Что было, что будет, о чем мечтается… Традиции, как известно, нарушать нельзя, поэтому займемся итогами и мы.

Год прошел, и для ИТ-компаний прошел, прямо скажем, неплохо. Государство и крупный бизнес не только щедро анонсировали новые проекты, но и выделяли деньги на их реализацию. Пользователи стали активнее покупать продукты безопасности. Рынок средств безопасности рос, те, кто работал на нем, хотя и жаловались (а куда без этого), но имели шанс заработать и остаться с прибылью. Что же не так в этом светлом и пушистом счастье?

К сожалению, на фоне всеобщей умиротворенности и уверенности в защите существенно ухудшилась ситуация с безопасностью как для компаний, так и для простых пользователей.

Рынок вредоносных программ окончательно криминализовался — при том, что пользователи, наоборот, утвердились во мнении, что все вирусы пишутся антивирусным компаниями. На этом рынке делаются очень большие деньги: по данным за 2011 год средняя сумма кражи средств со счетов составляла чуть меньше полумиллиона рублей, при том, что вероятность удачного хищения составляла порядка 50%. В результате вирусы стали писать криминальные структуры, построенные по принципу коммерческой организации, — со своими менеджерами проектов, разработчиками, тестировщиками, внедренцами, продажниками. Да, эти структуры имеют партнерские программы и даже борются с нелицензионным использованием своего ПО!

К чему это привело? Во-первых, это позволило злоумышленникам резко нарастить поток выпускаемых вредоносных программ. Только за период с октября по декабрь статистика live.drweb.com показывает двойной рост количества инфицированных файлов на входе в антивирусную лабораторию. В начале декабря в один из дней пришло 60 миллионов инфицированных файлов.

Во-вторых, окончательно оказался «похоронен» эвристический анализ, с помощью которого антивирусы должны определять ранее неизвестные вирусы на основе имеющихся записей в вирусных базах. Криминальные структуры имеют возможность тестировать свои «произведения» на актуальных версиях антивирусов — и при таком подходе выпущенный «продукт» не обнаруживается до того момента, пока не выйдет очередное обновление с соответствующей записью в базах. А ведь большинство пользователей при покупке продуктов по-прежнему ориентируется на результаты тестов.

В-третьих, под напором статистики развеялся миф о том, что компании мелкого и среднего бизнеса не интересны хакерам. Раньше не были интересны. Когда нужно было вручную взламывать каждую локальную сеть, естественно, выгодно было «ломать» компании, имеющие большие деньги. Но теперь на дворе век Интернета. Все ходят за информацией в Сеть. Каждому бухгалтеру нужно знать новости законодательства. И достаточно взломать сайт с этими новостями для заражения ВСЕХ тех, кто зайдет на этот сайт, — напомним, что новейшие вирусы не сразу обнаруживаются имеющимся антивирусом. Но при этом большинство сотрудников компаний все так же ходят по сайтам с рабочего компьютера, на котором хранятся все логины и пароли.

В-четвертых, должен был измениться подход к системе защиты от вирусов. Антивирус теперь не должен ограничиваться только лечением поступающего и еще не активного ПО — он должен иметь систему самозащиты, чтобы вирус не смог его удалить до получения обновления. Также необходима система лечения уже запустившихся вирусов, активно противодействующих своему уничтожению. Антивирус нужен теперь хотя бы потому, что только он может удалить всю «заразу», оказавшуюся в системе. В век миниатюризации и дешевизны электроники, когда собственные процессоры и память имеются уже далеко не только на материнской плате и в видеокарте, а вирус может оказаться и в BIOS, лечение методом форматирования винчестера уже не спасет. А выкидывать в результате заражения весь компьютер на свалку — как-то не очень…

Корпоративный антивирус должен теперь стоять на всех потенциально уязвимых узлах сети, на личных мобильных устройствах и домашних компьютерах, с которых заходят в сеть, а не только на рабочих станциях. Еще неизвестный антивирусу вирус, распространяется как эпидемия, и инфицированные серверы становятся вечным источником заразы. Но большинство компаний все так же покупают только антивирус для рабочих станций, не заботятся о паролях, а их сотрудники работают под правами администратора. Проблемы личных устройств тем более традиционно считаются проблемами самих сотрудников. К сожалению, в России риски безопасности, считаются пренебрежимыми по отношению к рискам бизнеса, и их не берут в расчет.

На одной из недавних конференций была сказана страшная фраза — о том, что многие широко разрекламированные проекты, как правило, не имеют критериев качества. И, к сожалению, это действительно так. Достаточно часто проект продвигается под модным брендом. Нанотехнологии до информационной безопасности еще не добрались, но зато бал правят технологии облачные (http://www.polit.ru/article/2012/11/30/clouds/). Каждый причастный может вспомнить кучку глобальных планов перевода всего и вся в «облака».

При этом единственным критерием обоснования проекта считается его дешевизна. Безопасность пользователей этих облачных проектов «великого и удобного будущего» не рассматривается. Миф о том, что «облака» — это безопасно, за прошедший год окончательно внедрился в массы. Не будем говорить о качестве доступа к облачным сервисам. Живущие за пределами Москвы многое могут об этом рассказать. Поговорим о безопасности. Безопасное хранение данных в «облаке» не равно безопасной и удобной работе с ними. Перевод в «облако» не может уменьшить затраты на безопасность. Если данные расположены внутри компании, то безопасностью их передачи можно пренебречь (хотя и не всегда — встречаются инсайдеры, подключающиеся к сети компании), но если данные передаются в «облако» и из него, то перехватить и модифицировать их, — святое дело для киберпреступников. Значит, нужно щифрование и защищенный канал. А это — затраты, которых ранее не было. А если доступ к облаку пропал, трактор переехал провода? Неделю ждать и ничего не делать всем офисом? Значит, на случай отказа нужно организовать резервные файловый и почтовый серверы внутри компании. Еще затраты! Список можно продолжать долго. Но где проекты, все это предусматривающие?

Одна из главных проблем — неосведомленность потенциальных жертв хакеров и рекламы современных технологий об уровне угроз. Причастные специалисты, естественно, в курсе. Но как донести это до всех? Интернет не выход — слишком он разделен по группам интересов, и рассказать всем о действительно важном нереально. Зачастую это еще и считается рекламой вендоров. А в то же время кому как не производителям ПО знать проблематику! Но Кассандре по-прежнему никто не верит.

Однако здесь хотя бы есть луч света в темном царстве. За год ФСТЭК выпустила профили защиты антивирусных средств, достаточно здраво описывающие жизненный цикл программного обеспечения, и приказ по защите компьютерных сетей государственных органов. Последний можно смело считать прорывом, но он заслуживает отдельного рассказа, и очень жаль, что его действие не было распространено на защиту персональных данных (в этой области теперь правит бал Постановление Правительства РФ 1119 — его мы уже разбирали. Еще бы здравую модель угроз...

Под занавес года «порадовало» внесение Евгения Касперского в список 15 самых опасных персон мира. Наши компании теснят американские, и Касперский оказался в одном перечне с президентом Сирии Башаром Асадом и мексиканским наркобароном Хоакином Гусманом. Бизнес есть бизнес, ничего личного. Но интересна причина опасности Касперского для общества — по версии издания некоторое время назад американские спецслужбы провели виртуальную атаку на центры ядерных разработок Ирана. В ход были пущены вирусы Stuxnet, Flame и Duqu. Однако атака захлебнулась, и, по мнению американцев, причиной этого стала деятельность «Лаборатории Касперского».

Обратим внимание и задумаемся – а почему на эти вирусы не обратили внимание гранды западной антивирусологии? По мнению Wired, Касперский занимается обучением специалистов в области компьютерных расследований. Чем это так опасно? Задумаемся. Ведь многие по-прежнему хранят данные на Google Docs, пользуются почтовыми сервисами Google, используют услуги американских хостинговых центров. А между тем для получения доступа заинтересованных органов к данным тех же чиновников, использующих Google.Mail, достаточно того факта, что доступ к ним осуществлялся по защищенному каналу. А как передавать данные иначе?

На фоне противостояния с США все более опасным становится тот факт, что у нас практически вся страна использует одну операционную систему, один текстовый редактор и один почтовый клиент — и все они совсем не российского производства. К ним выпускаются обновления. Не устанавливать обновления безопасности — все равно что оставлять дверь квартиры открытой. Но кто поручится, что в один нужный момент под видом обновления не придет что-то совсем иное? За год разговоры о внедрении российской операционной системы смолкли. Хотя (без смеха) это дело не только государственной безопасности, но и безопасности бизнеса, — все больше наших компаний наступает на пятки зарубежным конкурентам. А ведь только в конце года были выпущены замечательные продукты от AstraLinux, продолжалась разработка в AltLinux и других компаниях…

Год прошел, и год прошел не зря. За год сформировалась активная позиция многих специалистов по безопасности, в то же время и государство стало активнее работать с ними. Разъяснения Роскомнадзора по персональным данным и обсуждения проектов приказов ФСТЭК — отличные примеры сотрудничества. Будем надеяться, что время шедевров, подобных ПП 1119 и закону о черных списках, уходит в прошлое.

Ну что, поднимем бокалы за будущее?

Соблюсти несоблюдаемое-2

Вячеслав Медведев — Fri, 21 Dec 2012 14:25:32 +0400

Результаты действия закона, призванного защищать детей от вредной информации, уже ощутили все. Он был разработан достаточно давно, но его внедрение было отложено на долгий срок — с тем, чтобы все причастные могли подготовить все необходимое для его реализации. Это один из немногих законов, подвергшийся существенной редакции еще до вступления в силу — редакции, не ухудшившей содержимое закона. Его внедрение не вызвало возмущения общественности, хотя тем, кто попал под его действие, пришлось крепко задуматься о том, как его можно выполнить — и можно ли выполнить его вообще.

Итак, внимание — Федеральный закон № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». Закон от 29 декабря 2010 года, опубликован 31 декабря 2010 года,, вступить в силу должен был через полтора года — 1 сентября 2012 года.

Вновь закон засветился в составе 139-ФЗ — знаменитом законе о черных списках. Вопреки распространенному мнению, 139-ФЗ не является самостоятельным законом — он только внес изменения в различные законодательные акты, в том числе поправлен был и 436-ФЗ.

Как ни странно, сам закон не вызвал широкого возмущения — гораздо больше внимания привлек и продолжает привлекать № 149-ФЗ «Об информации, информационных технологиях и о защите информации» с его знаменитыми черными списками Роскомнадзора.

А между тем это совершенно несправедливо. На фоне многих и многих законодательных актов 149-ФЗ отличается редкой продуманностью. Его недостаток — в невозможности нормальной на данный момент технической реализации и (самое главное) в отсутствии поддержки общества идее ответственности за публикуемый и выкладываемый в Сети контент.

С 436-ФЗ все совершенно иначе. Закон невыполним в принципе — но на это не обращают внимания.

В соответствии с названием закон регулирует только и исключительно порядок ограничения доступа к информации несовершеннолетним. Согласно закону, к запрещенной для распространения среди детей относится информация:

побуждающая детей к совершению действий, представляющих угрозу их жизни и (или) здоровью, в том числе к причинению вреда своему здоровью, самоубийству;
способная вызвать у детей желание употребить наркотические средства, психотропные и (или) одурманивающие вещества, табачные изделия, алкогольную и спиртосодержащую продукцию, пиво и напитки, изготавливаемые на его основе, принять участие в азартных играх, заниматься проституцией, бродяжничеством или попрошайничеством;
обосновывающая или оправдывающая допустимость насилия и (или) жестокости либо побуждающая осуществлять насильственные действия по отношению к людям или животным, за исключением случаев, предусмотренных настоящим Федеральным законом;
отрицающая семейные ценности и формирующая неуважение к родителям и (или) другим членам семьи;
оправдывающая противоправное поведение;
содержащая нецензурную брань;
содержащая информацию порнографического характера. Согласно закону под порнографией понимается информация, представляемая в виде натуралистических изображений или описания половых органов человека и (или) полового сношения…, в том числе такого действия, совершаемого в отношении животного.

В принципе, список вполне логичный, придраться можно разве к тому, что определения семейных ценностей и противоправного поведения различаются для различных групп населения (вспоминаем недавнюю дискуссию на форуме в Дубае, где самое сильное противостояние возникло как раз по поводу возможности для каждой страны формировать свой список допустимого).

Интересно, что пункты 1–5 недопустимы на радио и телевидении с 4 до 23 часов — за исключением платных каналов. А с 7 и до 21 часа недопустимы бранные слова и материалы, эксплуатирующие интерес к сексу.

Дополнительно закон вводит ограничения на доступ к различным видам информации в зависимости от возраста. В этот список входит информация:

1) представляемая в виде изображения или описания жестокости, физического и (или) психического насилия, преступления или иного антиобщественного действия;

2) вызывающая у детей страх, ужас или панику, в том числе представляемая в виде изображения или описания в унижающей человеческое достоинство форме ненасильственной смерти, заболевания, самоубийства, несчастного случая, аварии или катастрофы и (или) их последствий;

3) представляемая в виде изображения или описания половых отношений между мужчиной и женщиной. Понятие данного типа информации уточняется в статье 2;

4) содержащая бранные слова и выражения, не относящиеся к нецензурной брани.

Этот список — более интересный.

Под первые два пункта еще нужно попасть, а вот пункт 4 сейчас наличествует практически во всех телепередачах.

Закон вводит четыре возрастных категории: до шести лет, от шести и выше, от двенадцати и выше и от шестнадцати и выше.

До шести лет детям может быть доступна информация:

не причиняющая вреда здоровью и (или) развитию детей;
содержащая оправданные ее жанром и (или) сюжетом эпизодические ненатуралистические изображение или описание физического и (или) психического насилия (за исключением сексуального насилия) при условии торжества добра над злом и выражения сострадания к жертве насилия и (или) осуждения насилия).

Необходимо отметить фразу «содержащая оправданные ее жанром и (или) сюжетом». Применительно к Интернету это может означать запрет на различные баннеры и всплывающие окна при условии, что содержащаяся в них информация не соответствует содержанию страниц, на которых они показываются.

От шести лет могут быть доступны (опять же в рамках сюжетов):

кратковременные и ненатуралистические изображение или описание заболеваний человека (за исключением тяжелых заболеваний) и (или) их последствий в форме, не унижающей человеческого достоинства;
ненатуралистические изображение или описание несчастного случая, аварии, катастрофы либо ненасильственной смерти без демонстрации их последствий, которые могут вызывать у детей страх, ужас или панику;
не побуждающие к совершению антиобщественных действий и (или) преступлений эпизодические изображение или описание этих действий и (или) преступлений при условии, что не обосновывается и не оправдывается их допустимость и выражается отрицательное, осуждающее отношение к лицам, их совершающим.

Согласно определениям закона ненатуралистическим является изображение или описание в любой форме без фиксации внимания на деталях, анатомических подробностях и (или) физиологических процессах. В связи с этим пункты 1 и 2 практически исключают возможность просмотра новостей — их содержимое, как правило, к ненатуралистическому не отнесешь.

В категориях 12+ становятся доступны (и тоже в рамках сюжетов):

эпизодические изображение или описание жестокости и (или) насилия (за исключением сексуального насилия) без натуралистического показа процесса лишения жизни или нанесения увечий при условии, что выражается сострадание к жертве и (или) отрицательное, осуждающее отношение к жестокости, насилию (за исключением насилия, применяемого в случаях защиты прав граждан и охраняемых законом интересов общества или государства);
изображение или описание, не побуждающие к совершению антиобщественных действий (в том числе к потреблению алкогольной и спиртосодержащей продукции, пива и напитков, изготавливаемых на его основе, участию в азартных играх, занятию бродяжничеством или попрошайничеством), эпизодическое упоминание (без демонстрации) наркотических средств, психотропных и (или) одурманивающих веществ, табачных изделий при условии, что не обосновывается и не оправдывается допустимость антиобщественных действий, выражается отрицательное, осуждающее отношение к ним и содержится указание на опасность потребления указанных продукции, средств, веществ, изделий;
не эксплуатирующие интереса к сексу и не носящие возбуждающего или оскорбительного характера эпизодические ненатуралистические изображение или описание половых отношений между мужчиной и женщиной, за исключением изображения или описания действий сексуального характера.

В данной категории все еще сохраняется требования наличия сострадания к любой жертве, осуждения использования алкоголя и табака и запрет на показ действий сексуального характера, что опять же сложно совместимо с просмотром различных телепередач, сериалов и фильмов.

Также в законе отмечено, что в присутствии родителей или иных законных представителей детей информация, доступная с 12 лет, может быть доступна и детям более младшего возраста.

Каким образом разделять информацию для детей, просматривающих передачи с родителями и без, в законе не описано.

Наконец, с 16 лет становятся доступны:

изображение или описание несчастного случая, аварии, катастрофы, заболевания, смерти без натуралистического показа их последствий, которые могут вызывать у детей страх, ужас или панику;
изображение или описание жестокости и (или) насилия (за исключением сексуального насилия) без натуралистического показа процесса лишения жизни или нанесения увечий при условии, что выражается сострадание к жертве и (или) отрицательное, осуждающее отношение к жестокости, насилию (за исключением насилия, применяемого в случаях защиты прав граждан и охраняемых законом интересов общества или государства);
информация о наркотических средствах или о психотропных и (или) об одурманивающих веществах (без их демонстрации), об опасных последствиях их потребления с демонстрацией таких случаев при условии, что выражается отрицательное или осуждающее отношение к потреблению таких средств или веществ и содержится указание на опасность их потребления;
отдельные бранные слова и (или) выражения, не относящиеся к нецензурной брани;
не эксплуатирующие интереса к сексу и не носящие оскорбительного характера изображение или описание половых отношений между мужчиной и женщиной, за исключением изображения или описания действий сексуального характера.

Все описанное выше прямо применимо к сети Интернет, так как к информации, согласно закону, относится все, что может распространяться через Интернет — тексты, фильмы, музыка, программы и т. д.

Стоит только добавить, что закон не ограничивает доступ данной категории лиц к информации научного типа, рекламе (вот уж что наносит вред детям и кошелькам родителей!), информации, «имеющей значительную историческую, художественную или иную культурную ценность для общества».

Как определяется принадлежность информации к той или иной категории? Согласно закону классификация осуществляется ее производителями и (или) распространителями самостоятельно с учетом (в том числе) особенности восприятия информации детьми определенной возрастной категории и вероятность причинения информацией вреда здоровью и (или) развитию детей.

Кто попадает под требования закона?

Вся информация должна маркироваться специальным знаком (изображением или текстовым предупреждением). В Интернете знак должен размещаться в «программах теле- и радиопередач, перечнях и каталогах информационной продукции», афишах и объявлениях о проведении мероприятия (включая кино/видеопоказы), а также документах, предоставляющих право посещения мероприятия.

Но из любого правила есть исключения. Без соответствующего знака информация может распространяться с помощью учебников и пособий, через радио, на различных мероприятиях, с помощью «периодических печатных изданий, специализирующихся на распространении информации общественно-политического или производственно-практического характера». Последний пункт достаточно интересен —

получается, что в серьезных изданиях вполне можно размещать, скажем, призывы к терроризму и насилию — с демонстрацией натуралистических изображений.

Заметим, что как всегда все причастные к закону разбились на группы прочитавших и тех, кто его не прочитал, но слышал о нем. Так, в рекламе по радио сразу стала звучать информация о минимальном возрасте, что, как указано выше, законом не требуется. С другой стороны, знак доступности информации появился на всей печатной продукции — даже той, где ничего порнографического в принципе быть не могло. Так, на журнале о сетевых решениях теперь значится 16+. Всем известно, что системные администраторы и программисты занимаются редкостными извращениями, но кто бы мог подумать, что в своих журналах они наносят вред несовершеннолетним?

Также знаки не размещаются – внимание! – на:

информации, распространяемой посредством информационно-телекоммуникационных сетей, в том числе сети Интернет, кроме сетевых изданий;
комментариях и (или) сообщениях, размещаемых по своему усмотрению читателями сетевого издания на сайте такого издания.

Таким образом, в сети Интернет знаки могут размещаться только на сайтах, зарегистрировавшихся как сетевые издания. Все остальные интернет-ресурсы, то есть блоги, личные страницы, корпоративные и сайты интернет-магазинов могут распространять что угодно без какой либо маркировки.

Кто должен исполнять закон?

По сути под закон попадают все, кто тем или иным способом может предоставить доступ к информации несовершеннолетним. Больницы, школы, госучреждения, компании, имеющие беспроводные сети, компании, на территории которых могут просто оказаться дети. В конце концов, просто пользователи, имеющие мобильник с открытым Wi-Fi. Имеет смысл процитировать закон:

«Доступ к информации, распространяемой посредством информационно-телекоммуникационных сетей, в том числе сети "Интернет", в местах, доступных для детей, предоставляется лицом, организующим доступ к сети "Интернет" в таких местах (за исключением операторов связи, оказывающих эти услуги связи на основании договоров об оказании услуг связи, заключенных в письменной форме), другим лицам при условии применения административных и организационных мер, технических, программно-аппаратных средств защиты детей от информации, причиняющей вред их здоровью и (или) развитию».

«Сайт в … сети "Интернет", не зарегистрированный как средство массовой информации, может содержать знак информационной продукции (в том числе в машиночитаемом виде) и (или) текстовое предупреждение об ограничении ее распространения среди детей, соответствующие одной из категорий информационной продукции.... Классификация сайтов осуществляется их владельцами самостоятельно в соответствии с требованиями настоящего Федерального закона».

«В информационной продукции для детей… не допускается размещать объявления о привлечении детей к участию в создании информационной продукции, причиняющей вред их здоровью и (или) развитию».

Дополнительно переведем на русский отдельные положения:

провайдеры не ограничивают доступ (представить провайдера, работающего без договора, достаточно сложно);
ограничения накладываются компанией или лицом, организующими или контролирующими доступ несовершеннолетним к Интернету;
сайты (за исключением зарегистрировавшихся в качестве СМИ) могут (но не обязаны) информировать о возрастных ограничениях.

Где и каким образом ограничивается доступ?

Доступ к запрещенной информации ограничивается в местах, доступных для детей. Точнее, в общественных местах, доступ ребенка в которые не запрещен. Ограничение доступа осуществляется использованием административных и организационных мер, технических и программно-аппаратных средств. Сразу нужно отметить, что предполагается использование только программно-аппаратных средств — чисто программные средства не допускаются. Требования к административным и организационным мерам, техническим и программно-аппаратным средствам устанавливаются, согласно закону, уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти, который в законе прямо не определен.

Кто решает?

Эксперты, аккредитованные уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти. Реестр аккредитованных экспертов и экспертных организаций является открытым и доступным для ознакомления любым физическим и юридическим лицам, за исключением случаев, если доступ к таким сведениям ограничен в соответствии с федеральными законами. В сети Интернет размещаются сведения из реестра, включая данные об информационной продукции, экспертизу которой вправе осуществлять эксперт, а также все его контактные данные.

В качестве экспертов могут выступать лица, имеющие высшее профессиональное образование и обладающие специальными знаниями, в том числе в области педагогики, возрастной психологии, возрастной физиологии, детской психиатрии. При этом не являющиеся производителями, распространителями информационной продукции, переданной на экспертизу, или их представителями.

Срок проведения экспертизы не может превышать тридцать дней с момента заключения договора о ее проведении.

Экспертное заключение должно содержать в том числе:

2) сведения об экспертной организации и эксперте;

3) вопросы, поставленные перед экспертом, экспертами;

5) содержание и результаты исследований с указанием методик;

6) мотивированные ответы на поставленные перед экспертом, экспертами вопросы.

Информация о проведенной экспертизе и ее результатах размещается в Интернете в течение двух рабочих дней, а в срок не позднее чем пятнадцать дней со дня получения экспертного заключения федеральный орган исполнительной власти, уполномоченный Правительством Российской Федерации, принимает решение о несоответствии информационной продукции требованиям закона и вынесении предписания об устранении выявленного нарушения.

Кто проконтролирует?

Сам закон должен исполняться в рамках Федерального закона от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Общественные организации и частные лица могут также контролировать деятельность по ограничению доступа детей к информации — в том числе в судебном порядке. Любое заинтересованное лицо может оспорить решение в суде.

Когда закон вступает в силу?

Все требования закона должны выполняться с 1 сентября 2012 года

Как выполнить требования закона?

Закон не имеет подзаконных актов, и процедура его выполнения неясна. В законе не идет речь об ограничении доступа к сайтам по списку. Ограничения должны быть по типам информации — при этом большая часть сети Интернет выведена из-под ограничений закона. Но вопрос, как ограничивать доступ, достаточно интересен, так как сделать это автоматически, фильтруя информацию налету (определяя соответствие закону по формальным признакам) и одновременно определяя возраст лица, получающего информацию, и родственные отношения сидящих с ним рядом — нереально.

Можно ли выполнить требования закона компаниям, предоставляющим доступ к Интернету? Весьма сложно, поскольку, согласно закону защита может осуществляться только (внимание!) программно-аппаратными средствами.

По непостижимым причинам, только программные средства по мнению составителей закона для этого негодятся. Из-за, чего вся линейка, например, продуктов компании «Доктор Веб», за исключением одного, сразу же выбывает из игры. Нашим клиентам остается только Dr.Web Office Shied, поскольку является программно-аппаратным продуктом.

Все это, если смотреть в общем создает серьезные сложности и компаниям, раздающим интернет и тем, кто честно пытается следовать букве закона.

Закон вступил в силу в начале осени, но большинство компаний так и не задумались, что они вполне могут стать пострадавшими. А между тем первый звонок уже прозвенел. 14 декабря 2012 года Роскомнадзор объявил о завершении профилактического этапа осуществления контроля и надзора за исполнением 436-ФЗ и переходе к мероприятиям по предупреждению и пресечению нарушений.

Отметим, что согласно заявлению Роскомнадзора за профилактический период было направлено 5447 предупреждающих писем с разъяснением требований законодательства. Это значительно больше количества ресурсов, внесенных в знаменитый черный список — отметим это. На данный момент внимание Роскомнадзора направлено на СМИ, но закон не ограничивает сферу своего воздействия средствами массовой информации. У нас — не США, но и в нашей стране люди научились подавать жалобы на мнимые нарушения своих прав. Какая компания гарантированно защищена от жалоб недовольных? Очевидно, такой нет.

Параноик-одиночка - создатель антивируса McAfee - не смог спрятаться от мира

Fri, 07 Dec 2012 17:19:27 +0400

Основатель антивирусной компании McAfee Джон Макафи был задержан полицией Гватемалы, сообщает CNN. Причина - незаконное нахождение на территории страны. На днях бизнесмен бежал из Белиза, где его разыскивают из-за подозрения в убийстве соседа - американца Грегори Фолла. Известный в США бизнесмен говорил, что сбежал в Белиз ради низких налогов, но журналисты, изучавшие его биографию, сходятся во мнении, что Макафи - параноик и герой вроде Джулиана Ассанжа. А в Белиз он перебрался просто для того, чтобы сбежать из цивилизованного мира.

Случай в Белизе

Вернемся к истории. Макафи был арестован агентами Интерпола в одном из отелей Гватемалы. Министр внутренних дел страны Маурицио Лопез Бонилла утверждает, что предприниматель, подозреваемый в тяжком преступлении, вскоре будет экстрадирован. Пока, правда, непонятно куда, предположительно в США.

Макафи считает, что полиция Белиза пытается на него "повесить" преступление, которого он не совершал.

67-летний бизнесмен рассчитывал попросить политического убежища в Гватемале. Но та отказала. Сам он говорит, что полиция Белиза пытается на него "повесить" преступление, которого он не совершал. По его словам, причина конфликта с властями Белиза - в полукриминиальных авторитетах, которых богатый американский бизнесмен-экспат отказался поддерживать финансово на выборах. Ранее в Белизе он был арестован по обвинению в незаконной деятельности, а также в хранении оружия без соответствующих на то лицензий. В апреле освободить Макафи удалось лишь благодаря вмешательству американского посольства в Белизе.

Макафи не скупится на деньги. Недавно он нанял в качестве юридического консультанта бывшего генерального прокурора Гватемалы, который также приходится дядей его подруге Саманте. Этого человека считают одним из самых влиятельных силовиков страны.

Во все тяжкие

Откуда такая подозрительность и странная жизнь? Начиналась история Макафи с того, что изначально он был очень богатым человеком. Основанная им в 1987 году компания McAfee Associates была продана в 1994 году за 100 млн. долларов. Это произошло через два года после того, как компания стала публичной. Все вложенные деньги коммерсант вложил в недвижимость. Он построил особняк в Колорадо, имел дома в Юте и Калифорнии, не говоря уже о десятках холдингов, занимавшихся недвижимостью, которые он инвестировал. Бизнесмен жил на широкую ногу: у него был частный авиалайнер, целый флот любительских самолетов, он начал собирать антиквариат и предметы искусства.

Основатель антивируса построил дом среди пустыни за 11,5 млн. долларов.

В 2004 году Макафи купил участок земли, а затем потратил 11,5 млн. долларов на строительство дома. Вилла стоит посреди пустыни: владелец хотел, чтобы вокруг двора можно было безопасно летать на аэроплане.

Ради комфорта коллег-летчиков около дома бизнесмен построил универмаг, кафе, кинотеатр и несколько ангаров. На территории участка было также два дома для гостей и бассейн. А перед этим он собрал коллекцию раритетных автомобилей для того, чтобы гости могли на них кататься.

Джон Макафи к 2009 году потерял 96% своего состояния: оно сократилось со 100 млн. долларов до 4-х.

Но кризис на фондовых рынках и крах рынка недвижимости в 2008 году лишили Макафи почти всех его денег, и бизнесмен стал распродавать недвижимость. Дом в Колорадо он продал за 5,6 млн. долларов, а недвижимость на Гавайях - за 1,5 млн. В имущество в Колорадо он инвестировал 25 млн. долларов, но и оно упало в цене в разы.

Как рассказывает The New York Times, Джон Макафи к 2009 году потерял 96% своего состояния: оно сократилось со 100 млн. долларов до 4-х. Тогда же он продал последнюю недвижимость в США - особняк, занимавший 157 акров земли в Нью-Мексико. Дом был продан на аукционе за 1,15 млн. долларов.

На дне

Резко обедневший Макафи решает, что пора уезжать из США - ради экономии. И буквально тогда же он стал непримиримым антиматериалистом, резко затрубившим о крахе капиталистического строя и прежней системы ценностей. В своих многочисленных интервью, которые он давал в 2010 году, бывший бизнесмен, превратившийся в неудачника, стал говорить, что погоня за вещами отвлекает людей от радости жизни, а также о том, что американские бизнесмены думают только о богатстве, но при этом забывают создавать компании и продукты, которые имеют непреходящую ценность.

Разорившийся бизнесмен: погоня за вещами отвлекает людей от радости жизни.

Разорившиеся бизнесмены вообще часто заявляют о необходимости отказа от материальных ценностей. Например, бывший гендиректор банка Citi также говорил, что чем проще устроена жизнь, тем всем от этого лучше.

Журналисты говорят, что именно потеря состояния стала причиной нервного срыва предпринимателя и послужила причиной убийства, в которое, кстати, американцы верят.

Во время переезда в Белиз Макафи собирался затеять в стране фармацевтический бизнес и заниматься речными перевозками. Ничего этого не получилось. Теперь американца ходят посадить в тюрьму, но он опасается, что в ней его убьют. ”Никто не выходит из местных тюрем. Они то задохнутся от собственной блевоты, то повесятся, то будут до смерти избиты сокамеринками. Никакой правовой системы в этой стране нет”, - говорит он. Так это или нет, неважно. Говорят, Макафи просто сошел с ума от того, что резко обеднел.

По факту в Белизе он пытался заниматься незаконным оборотом наркотиков и даже успел построить лабораторию по производству метамфетамина. Сам он это отрицает. “Я не имею не малейшего понятия о том, как делать этот наркотик. Да и как его продавать в той части мира, где мне пришлось бы конкурировать с мощной мексиканской группировкой Zeta?” - сообщил он CNBC.

Позже власти Белиза стали подозревать Макафи в постоянной сексуальной связи с несовершеннолетней девочкой, живущей в его доме. Сейчас ей 17 лет, зовут ее Саманта. Девочка скрывалась в Гватемале вместе со своим любовником.

В полиции также стали обвинять его в незаконном владении целым арсеналом оружия. А закончилось все, как известно, убийством друга в его доме...

В мире сказок тоже любят булочки

Журналист Wired Джошуа Дэвис написал книгу Last Stand John McAfee, в которой указывает, что герой его произведения всю свою жизнь вел себя очень эксцентрично. Дэвис шесть месяцев назад встречался с Макафи. Теперь журналист рассказывает, что тот превратился в настоящего параноика: большой штат людей охраняет его дом вместе с агрессивными собаками, сам экс-бизнесмен везде ходит с пистолетом и в целом живет в какой-то своей, выдуманной реальности. Дэвис описывает случай, когда Макафи достал револьвер и предложил ему сыграть в русскую рулету. Журналисту удалось отказаться с большим трудом. Пистолет, правда, впоследствии оказался не заряжен.

Журналист Wired: Макафи живет в мире “сказок, нереализованных амбиций, паранойи, безудержного секса и полного безумия”.

Макафи часто бредит и на полном серьезе утверждает, что правительство Белиза обвиняет его в создании собственной армии и торговле наркотиками. В целом он, по словам Дэвиса, живет в мире “сказок, нереализованных амбиций, паранойи, безудержного секса и полного безумия”.

Такого же мнения премьер-министр Белиза Дин Баррошу, который называет бизнесмена “безумным параноиком”.

Облачные технологии: туман неизвестности

Вячеслав Медведев — Fri, 30 Nov 2012 15:47:18 +0400

Туман войны или Туман неизвестности — термин для обозначения ситуации, когда все действия происходят в состоянии наличия только недостоверных данных и постоянного проявления неожиданных, случайных эффектов. Клаузевиц К. О войне

Кто из нас не любовался красотой облаков? Их непостоянство или величие завораживает. Но кто знает, как устроено то или иное облако, и что будет, если неопытный пилот, не зная типа облака, нырнет в него с ходу?

Ситуация с так называемыми «облаками», продвигаемыми в ИТ, полностью аналогична. Постоянно утверждали и продолжают утверждать, что «облака» безопасны — и рефрен принес свои плоды. Как показывают опросы, большинство компаний, перешедших в «облака», снизили затраты на безопасность. И это свидетельствует о том, что еще один миф завершил свое формирование.

Изначально, на старте пропагандистской кампании, под «облаками» подразумевалось разнесение сервисов по всему Интернету — пользователь не должен был знать, где находятся его данные, а распределение данных гарантировало их неуничтожимость и доступность в любой момент. Наиболее близки к этим идеям были системы, подобные проекту поиска внеземных цивилизаций. Минусом такого подхода было не гарантируемое время отклика — именно тот параметр, который зачастую крайне критичен для бизнеса. Если время обработки пакета в системе поиска внеземных цивилизаций не значимо — и, более того, не значим и факт обработки посланного пакета, так как его можно перепослать другому участнику проекта, то для бизнеса задержка письма даже на несколько минут письма, а тем более потеря письма или части файла может быть фатальна.

Изначально, на старте пропагандистской кампании, под «облаками» подразумевалось разнесение сервисов по всему Интернету — пользователь не должен был знать, где находятся его данные

В дальнейшем под переходом в «облако» стало подразумеваться использование площадок ЦОДов (дата-центров) или применение в компаниях сервисов, расположенных на этих площадках, — IaaS, SaaS, HaaS, WaaS, PaaS… При этом все так же пропагандировалось, что перемещение в «облака» повышает безопасность. На фоне волны интереса к облакам очень многие вендоры объявили о поддержке «облачных» технологий, выпуске «облачных» платформ. И пропаганда преимуществ дала свои плоды — крупные компании одна за другой начали заявлять о переходе в «облака».

Но что происходило на деле? Компании, имеющие филиалы и сотрудников, работающих удаленно, можно считать «облачными» сразу — для них в общем случае нет разницы, где конкретно расположен тот или иной сотрудник или клиент, приславший запрос, — важен уровень связи с ним и устойчивость этой связи. Где находится площадка, на которой расположены серверы компании (на территории компании или вне ее), арендуются ли серверы или используются собственные — с точки зрения терминологии не важно. Сколько сотрудников компании знают, где находятся ее серверы? Но раскрученное понятие позволило руководителям ИТ-подразделений получить финансирование/перевести серверы на внешнюю площадку…

Естественно, не все компании могли вывести серверы наружу — скажем, в связи с обработкой данных, имеющих статус гостайны, или по причинам, связанным с недостаточной скоростью передачи данных. Поэтому для тех, кто не может или не хочет использовать внешнюю площадку, был придуман термин «внутреннее облако». С этого момента каждая серверная может себя именовать гордо «облаком» — тем более что паутина кабелей и проводов зачастую точно соответствует виду настоящего облака издали, а стандартного определения, что «облако», а что «не облако», не существует.

Многие программные продукты и до эпохи «облаков» были «облачными» — кто знает, где конкретно располагаются серверы обновлений антивирусов, или на каком сервере провайдера находится сервер услуги Dr.Web AV-Desk? И эти продукты действительно разрабатывались с учетом требований по безопасности и отказоустойчивости. Но на фоне ажиотажного интереса к «облакам» появился ряд продуктов, имеющих приставку «облачные» непосредственно в названии, но однозначно небезопасных. В качестве примера можно привести репутационные сервисы, появившиеся у большинства антивирусных продуктов. В их основе лежит идея, что миллион леммингов не может ошибаться если у многих пользователей некий файл признан незараженным, то остальные тоже могут его не бояться. При этом не принимается в расчет, что в любой произвольный момент времени антивирус не может знать всех угроз, то есть некий файл, распространившийся у пользователей, вполне может быть вирусом, который еще не дошел до ловушки антивирусной компании. Если мошенников-фишеров, подделывающих сайты или использующих горячие новости для выманивания денег, можно преследовать по закону, то почему этого нет здесь? В свое оправдание разработчики этих продуктов говорят, что они никогда не утверждали, что конкретный сервис — это панацея безопасности, что любые сервисы нужно применять в комплексе с другими средствами защиты. Да, этого не утверждалось. Но никогда и не говорилось обратного. «Бойтесь того, кто молчит».

Многие программные продукты и до эпохи «облаков» были «облачными» — кто знает, где конкретно располагаются серверы обновлений антивирусов, или на каком сервере провайдера находится сервер услуги Dr.Web AV-Desk? 

Но это не единственная и, более того, не самая страшная проблема. Гораздо хуже, что понятие безопасности у всех разное. Рекламируя безопасность, ЦОДы не кривят душой. Действительно, ЦОДы, имеющие развитые системы пожаротушения, охлаждения, резервирования питания и т. д., получившие сертификат TIER3 или аналогичный, безопасны. С точки зрения хранения данных. Но клиенты ЦОДов под безопасностью понимают не только безопасность хранения. Им нужна гарантия, что к их данным не получит доступ никто, кроме их собственных сотрудников, что данные в процессе передачи в ЦОД и обратно не будут изменены, что данные после окончания обработки можно удалить — в том числе и из резервных копий. Нужна гарантия взломоустойчивости виртуальных серверов — в том числе со стороны виртуальных машин, работающих на одном физическом сервере. В конце концов, клиентам «облаков» нужны гарантии возмещения убытков, возникших, скажем, вследствие простоя или несанкционированного доступа. Ведь за то же самое собственные администраторы понесли бы заслуженное наказание. Почему при выводе в «облака» это невозможно? Это все должно прописываться в договоре на обслуживание и в SLA (Cоглашение об уровне предоставления услуги). Но кто в них видел пункты о денежных компенсациях в связи с недостаточной защитой?

В стране активно создается национальная облачная платформа — ради этого в Москве строится крупнейший в стране дата-центр. Поставщик платформы готов предлагать бизнесу как общие офисные решения от «1С» и Microsoft, так и специализированные отраслевые (для медицинских учреждений, школ и пр.). Если пропадет важное письмо — то это критично, но поправимо; но что делать, если по вине «облачной» медицинской системы случится непоправимое — да хоть в связи с высокой загрузкой канала или временной недоступностью? В России достаточно мест, в которых доступность Интернета весьма условная — и наличие удаленно мощного центра проблему доступности не решит.

В стране активно создается национальная облачная платформа — ради этого в Москве строится крупнейший в стране дата-центр.

В 2011 г. крупнейшие провайдеры «облачных» сервисов Google и Amazon прерывали свою работу из-за сбоев — из-за проблем с инфраструктурой и ошибками в программном обеспечении. Пользователи «облачных» сервисов в течение долгого времени не могли получить к ним доступ. Кто из партнеров данных сервисов получил компенсации?

Добрая половина компаний, перешедших в «облако», ошибалась, думая, что «облачные» технологии позволят быстрее восстанавливать ИТ-системы после сбоев, зря надеялись на повышение эффективности систем, снижение расходов и повышение безопасности.

Правительство США хочет обязать компании предоставлять правоохранительным органам доступ к облачным хранилищам по запросу. Возможно, основанием для предоставления доступа к «облачной» среде может стать факт использования технологий шифрования. Но как получать защищенный удаленный доступ без шифрования? Кто даст гарантии, что этот запрос не повредит вашему бизнесу?

В завершение - слова аналитика Gartner Грега Крайзмана: «Облако не схоже со старыми моделями развертывания и использования программного обеспечения, при которых ПО устанавливается и управляется внутри организаций. Поскольку провайдеры SaaS используют другие интерфейсы, возник риск попадания под большее количество атак, кроме того, больше людей обладает доступом к данным».