"Человек зачастую оказывается слабейшим звеном в системе защиты.
В итоге даже самая совершенная система защиты может оказаться бесполезной..."
Крис Касперски


Вывод: держите утюг, паяльник как можно дальше от своего дома.

В наше информационное время очень важно правильно работать с информацией.
Сейчас о безопасности думают больше чем о жизни, еде или философии.

 Знаете, вся эта статья писалась в 2007 году, сейчас 2010. Что мы имеем? Госдума одобрила законопроект, о контроле провайдеров и они теперь обязаны хранить все посещенные Вами места в Инете  - 6 месяцев, и многие другие, нелицеприятные вещи.

 Полезные статьи в Интернете:

https://secure.wikimedia.org/wikibooks/ru/wiki/Защита конфиденциальных данных и анонимность в интернете  Террорист - это человек, с оружием в руках, борющийся за какую то идею. Идею - объединяет Партия, но не Религия. Когда иные методы борьбы уже не помогают. А когда, под откос пускается пассажирский поезд - и не выноситься не каких требований. Это - Не терроризм. Это чистой воды бандитизм. Простое убийство с хулиганством, совершенное больными людьми.

 Человек - существо общественно-зависимое. В любой сфере жизни нас окружают люди. Дом, место учебы, работа - и всегда мы находимся в обществе других людей, не все из них чисты на руку, бескорыстны и холодны к чужим секретам.
  Интернет полон (ПКЛ) придурков, кул-хацкеров и просто любопытных людей.
  Вы не можете абсолютно защитить личную информацию. Можно лишь постараться свести урон к минимуму.

Законы, на основании которых, госорганы (ФСБ, прокуратура, полиция\милиция) запрашивают информацию о ВАС у провайдера , владельца хостинга:

- Статья 93.1, Налоговый кодекс РФ.

- Статья 7 ч. 1 п. 5, ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» №115-ФЗ от 7.08.2001.

- Статья 13 п. 4, ФЗ «О полиции» №3-ФЗ от 07.02.2011.

- Статьи 6 и 22, ФЗ «О прокуратуре Российской Федерации» N2202-1 от 17.01.92.

- Статья 13 ФЗ «Об органах федеральной службы безопасности в Российской Федерации» №40-ФЗ от 03.04.95

  О роли и значении публикации закрытых документов, «утекших» в открытый доступ, напишут другие. Сегодня каждая новостная передача открывается сюжетами, посвященными очередным разоблачениям и их влиянию на политику, экономику. Я бы хотел поговорить немного о другом.

  У каждого из нас, как личности или сотрудника компании, есть что скрывать. Почти у каждого кванта информации: документа, СМС-ки, звонка или поста в «аське» есть тот, кому бы эту информацию знать не стоило. Мы усиленно переводим информацию в электронный вид, чтобы она быстрее распространялась и удобнее находилась (а для чего еще?). И мы ужасаемся, когда закрытая переписка или переговоры появляются на каких-то сайтах. Потом участники переписки-разговора утверждают, что все было вырвано из контекста, но все равно это выглядят бледновато.

  В принципе, защитить секретную информацию от внешних врагов можно. Но от тех, кто имеет к ней доступ – очень тяжело. Если уже воруют диппочту и переписку военных, которые денег на защиту информации не жалеют, то что уж говорить о нас, частных пользователях, у которых и тайн-то серьезных нет!

Рано или поздно пользователи электронных средств связи осознают, что всевозможными техническими средствами гарантировано защитить информацию можно только в момент ее передачи. Где она потом будет храниться, кто будет иметь к ней доступ – это вы уже контролировать не можете. То есть любая информация в электронном виде потенциально рано или поздно станет доступна общественности вообще и тем, кому бы лучше этого не видеть, – в частности.

Помните фразу «Это не телефонный разговор»? Скоро появятся (и уже есть!) вопросы «не для переписки». Даже защищенный «Скайп» не поможет в том случае, если ваш партнер решит показать миру, как вы были не правы, вывесив в Сеть скриншоты вашей переписки.

Кибертеррористы думают, что от этого мир станет чище и люди будут реже лгать. То есть, набирая любой документ, люди будут предполагать, что когда-то он появится на WikiLeaks. Но станут ли они от этого честнее? В каком-то смысле – да.

  Законодательство предусматривает несколько десятков видов тайн, то есть конфиденциальной информации, подлежащей обязательной защите (список конкретных тайн можно найти, например, тут: http://infowatch.livejournal.com/55585.html ). Совсем недавно прибавился еще один вид—так называемая инсайдерская информация, ее следует защищать, даже если она не конфиденциальна. Прикол в том, что ответственность за утечку (разглашение, утрату, неправомерное использование) этой информации предусмотрена далеко не всегда. А вот ответственность за нарушение предусмотренного порядка ее защиты—обязательно. Именно в последнем нарушении содержатся основные риски.

   Например, персональные данные. Ответственности за их утечку (разглашение) нет. Но есть ответственность за нарушение установленных правил обработки персональных данных (ст. 13.11 КоАП). Всякому понятно, что утечка может произойти несмотря на соблюдение всех положенных правил. И наоборот, фактически защитить данные можно без оформления предписанных формальных процедур и бумаг. Особенно — без бумаг. Но на практике проверяют как раз документы и штрафуют за их отсутствие.

Другая опасная тема для разговора — это тайна связи (формально именуемая «тайна переписки, телефонных переговоров, телеграфных и иных сообщений», ч. 2 ст. 23 Конституции). «Иные» —- это как раз электронная почта, ICQ и прочие интернет-коммуникации, содержание которых так интересно для типичных начальников, не принимающих всерьез термин «права человека». Существует распространенное заблуждение, что служебные коммуникации якобы можно просматривать/прослушивать без согласия работника. Другой вариант той же сказки—что работника якобы достаточно официально уведомить, после чего перлюстрация становится законной. В США, то есть на родине фильмов и приключенческих романов, из которых это заблуждение почерпнуто, дело обстоит действительно так. Но на родине прав человека—в Европе, а заодно и в России, конституции устроены немного иначе. Ни уведомление, ни право собственности на средства связи не дает работодателю возможность перлюстрировать электронную почту и другие служебные каналы связи. Требуется письменное (и притом добровольное) согласие абонентов; впрочем, и оно в некоторых случаях будет недействительно (подробнее — http://forensics.ru/zi-ts.html ) .

 Правда, работники-правозащитники находятся редко. Поэтому тайну связи нарушается на российских предприятиях сплошь и рядом. Особенно, этим страдают оборонные предприятия, на которых обязательно есть гражданская организация осуществляющая надзор по защите информации на основе лицензии от ФСБ. Вот этим гражданам рожу можно бить сразу, в тихом переулке.  Выиграть у этих прожженных уродов на их поле (прикрываясь ФСБ) - работник часто не может.

 Еще одну большую неприятность составляют так называемые отделы АСУП на предприятиях. Очень часто коллектив там подбирается очень далекий от высоких моральных устоев. Даже не надейтесь защитится от этих моральных уродов, очень часто работающих не по специальности. Действенный способ защиты от админа — не давать неограниченного доступа ко всей конфиденциальной информации. То есть учинить разделение полномочий, которое и рекомендуется стандартами по информационной безопасности. И желательно рассадить их подальше друг от друга, а также, с каждым посадить контролирующего человека.
 Очень часто админам делать нечего и они начинают создавать всякие программки, главная задача которых, утяжелить жизнь обычным пользователям.
 Создание и использование вредоносных программ (ч. 1 ст. 273 УК) —это деяние, наказуемое в случае умышленного его совершения. По неосторожности оно будет преступлением (ч. 2 той же статьи) только в случае тяжких последствий. До сих пор вторая часть ни разу не применялась. Кстати говоря, «Тяжкие последствия» - это нечто наподобие показанного в фильме «Крепкий орешек-4», но российская техника еще не настолько интернетозависима. Сисадмин рискует попасть под 273-ю статью, если он установит на компьютер работника троянскую шпионскую программу—большинство программ этого класса являются вредоносными. Кроме того, сисадмин в своей работе иногда использует иные программы двойного назначения: кейгены, сниферы, подборщики паролей, сканеры. На практике достаточно много случаев, когда статью 273 рисуют без любых на то оснований за всякие «нехорошие», но отнюдь не вредоносные программы (ахтунг—вредоносной является не любая программа, причиняющая вред. И наоборот, принести вред может вполне законная программа). Оправдаться от такого обвинения достаточно сложно в силу полного отсутствия специальных знаний у милиции и судей. Если программист не так известен и не настолько состоятелен, он может и не оправдаться от обвинений. Установить, является ли программа вредоносной, можно, самостоятельно разобравшись во всех технико-правовых тонкостях вопроса, а можно обратиться к специалисту. Стоит ли напоминать, что делать это надо как можно раньше, пока «болезнь» еще не запущена.

 Также на памяти авторов были случаи, когда админов привлекали к ответственности за слишком ревностную или чересчур усердную защиту своих ресурсов (и подобных случаев было гораздо больше двух). Борясь со спамом, DoS-атаками, фишингом, порнографией и прочими онлайновыми и оффлайновыми грехами, Эти моральные уроды часто излишне усердствуют. И переходят грань закона, нарушая права других людей—самих защищаемых пользователей или вообще людей непричастных. Далеко не все средства защиты приемлемы. Администратор и даже работник интернет-провайдера—это не следователь, не судья и не палач, хотя частенько и норовит выполнять все три роли одновременно. Делать так не стоит.

 Очень плохо, что, большинство пользователей—ничтожные черви и бесправные рабы. Но все чаще попадаются среди них персонажи с прокачанным скилом «право/юриспруденция» (по чаще и побольше таких). И они могут поставить борцуна на место оригинальным способом —направлением заявления в милицию, ФСБ или подачей искового заявления в суд. А эти органы склонны руководствоваться оффлайновыми законами и полностью игнорировать «сетевые нормы» и понятия.

Примеры из Жизни:

	Почему Важно правильно работать с информацией - вы надеюсь понимаете, если нет, то вам поможет жизненный  пример (Там же, вы можете найти исходники некоторых программ) или вам сюда: www.fsb.ru (очень занятный сайт ).
	Однажды меня попросили показать как подключаться к  ftp-серверу ( человеку это было нужно, для того , чтобы слить фотографии с университетского сервера). Я запустил TotalCommander - > меню Ftp. Показал как настроить, как подключиться. Когда показывал, в имя сервера внес реальное имя www-сервера. Все остальные вкладки оставил не заполненными, в том числе и имя пользователя. :):) Нажал кнопку "Подсоединиться". И......!!!!!!!!!!! Соединение прошло. Я аж подпрыгнул от неожиданности. Подсоединились. Я показал человеку, что он увидит. Отсоединились. Рекомендовал человеку другие программы,  объяснил про "активный" и "пассивный" режимы. После запустил Xpider 6.5, с целью проверить, и действительно, вход на сервер был разрешен по ftp пользуясь стандартной учеткой (анонимной её еще называют: anonymous , а паролем является любой адрес email ).  ...... Вы думаете - Это ВСЁ?  Ошибаетесь.  На следующий день, к компьютеру подсоединился администратор и давай чего то искать...., затем подсоединился инженер-программист Федоров C., и с помощью R-Studio давай восстанавливать ...чего.. не понятно. :):) Я позвонил. Спросил на каком основании и зачем Вы восстанавливали информацию.. Мне ответили: ".... с этого компьютера была нарушена безопасность.." Я ответил: "Хорошо. Позовите вашего начальника."  Ответ был сногсшибательно детским : "Пожалуйста, Не надо начальника..". )) Я бросил трубку. Придется выловить гражданина.)) Надеюсь, Вы поняли.. P.S. - сервер был кстати, не каким-то заштатным и скрытым, а стоящим во главе корпоративной WEB сети.
	Сам был свидетелем, когда человека предоставлявшего услуги Инета, заставляли вести все логи, в том числе и разговоры в чатах. А провайдеру не давали лицензию, пока он не протянул провод до известного учреждения.
	Не так давно, по TV передали репортаж: когда наш доблестный ОМОН брал, в очередной раз штурмом, квартиру очень плохих дядей. Но дяди были 'русскими' и сдаваться просто так - не хотели. Так вот, в то время, когда кто-то разбивал дверь, плохие дяди форматировали винчестер :):):):):):):):). "Дети" - откуда им знать, что даже после форматирования легко восстановить информацию - надо было разбивать молотком сам винт... и после.... сдаваться...  Вот Вам - домашнее задание, научиться за 30 секунд снимать винт с салазок (сняв корпус компьютера) и разбить его молотком.   Это когда вдруг выключат свет и в дверь сначала позвонит сантехник (или другой незнакомец(-ка) ), а после, начнут ломиться люди в масках.:). То-есть, у Вас появится реальная возможность стать участником реалити-шоу под названием "Маски-шоу".
	Что еще... вот, в 2002 году (после терактов 11 сентября 2001 года) правительство США приняло решение о досмотре всех видов носителей информации (ноутбуки, карманные компьютеры, PDA,..) граждан въезжающих/выезжающих в/из США. То - есть, переводя на русский, в аэропорту у Вас просто отберут ноут на 10 дней, спецы выжмут из него всё что нужно (какие программы вы используете, личные и деловые документы, почту, проверят на наличие иной информации - фильмы, порнушку, фото с семьей и без. Попробуют восстановить любую инфу с его винчестера. Ну много чего еще....) Это просто лишний раз задуматься.. о бренности нашей жизни.. и о нашей роли в её большом спектакле..
	.... иногда я занимался тем, что чинил компьютеры - поэтому всегда вставал вопрос о сохранении важной информации на дисках при переустановке системы, лечении от вирусов, иных напастях. и поверьте мне - у меня всегда возникало естественное желание ознакомиться с содержимым компьютера - будь то на работе или при выполнении чьего заказа. По-моему, этому искушению подвержен любой человек. Я всегда спрашивал разрешения - "можно или нет слить?", а сколько уходит без разрешения? При ремонте всегда есть вероятность (вернее, Исход), что часть информации с вашего компьютера будет слита в неизвестном направлении. Неприятно, но это Факт.
	Однажды, я отдал ноутбук своему знакомому. Потом дергался, когда этот человек делился со своими друзьями/знакомыми устным его содержимым :(. Вот так, теряешь веру в людей.
	Подытожить такое множество примеров, можно еще одним реальным житейским.  Однажды я был свидетелем как администратор одного (оборонного) предприятия по знакомству сделал администратором домена человека - не имевшего ни образования, ни подготовки, и тем более без всяких бумаг, подписей и согласования :):)
	Сканировано с журнала Хакер, август 2010 год:
	При проведении исследования, имеющего важные результаты для всех банков, фирм и компаний по безопасности, ученые обнаружили, что файлы, хранимые на твердотельных накопителях (SSD) иногда невозможно удалить при помощи традиционных способов удаления информации. Даже если устройства по хранению информации нового поколения показывают, что файлы были удалены, 75% информации, содержащейся в них, может по-прежнему находиться в основанных на флеш-памяти накопителях, согласно исследованию, результаты которого были представлены на этой неделе на конференции Usenix FAST 11 в Калифорнии. В некоторых случаях SSD неправильно показывают, что файлы были "надежно удалены", даже несмотря на то, что дубликаты файлов остались в запасных хранилищах. Сложность надежного удаления в SSD связана с их абсолютно иным внутренним устройством. Традиционные ATA и SCSI жесткие диски используют магнитные свойства материалов для записи информации в физическое местоположение, которое известно как LBA, или механизм адресации и доступа к блоку данных. SSD, напротив, используют компьютерные чипы для хранения информации в цифровом виде, а также FTL, или flash translation later, для управления данными. Когда информация модифицирована, FTL часто записывает новые файлы в различные области и обновляет карту для отображения изменения.

 ....