/ фото Joe Grand CC BY
Лихие 80-е: истоки праздника
В 1988 году некоммерческая организация ISSA (Information Systems Security Association) объявила 30 ноября Международным днем информационной безопасности. Его основная идея — напомнить о важности кибергигиены.
Праздник зародился в 1988 году не случайно — тогда произошло первое массовое распространение вируса-червя. Тридцать лет назад пользователи APRANET — сети, которая была прообразом современного интернета — обнаружили, что программы на их компьютерах стали грузиться медленно, при этом машины не отвечали даже на простейшие команды. Виновником коллапса, который «парализовал» 6 тыс. компьютеров (10% всей сети), стал сетевой червь Морриса. Это была первая успешная массовая кибератака.
Атака не была преднамеренной, она стала результатом эксперимента, вышедшего из-под контроля. Создатель зловреда — аспирант Корнеллского университета Роберт Моррис (Robert Morris). Он работал над программой, эксплуатирующей ряд известных уязвимостей того времени.
Вирус Морриса атаковал учетные записи электронной почты пользователей сети ARPANET, подбирая пароли по словарю. Словарь был небольшой — порядка четырёхсот слов — но его хватало. В то время мало кто думал о компьютерной безопасности, и у многих логин часто совпадал с паролем.
Получив доступ к аккаунту, червь использовал уязвимость в почтовом сервере Sendmail для самокопирования по сети. Однако в коде была допущена логическая ошибка, которая приводила к тому, что компьютеры заражались червем многократно. Все это замедляло их работу, истощая и без того небольшие ресурсы вычислительных систем того времени.
Решать проблему начали в институте Беркли. Туда съехались лучшие специалисты по защите данных в Америке. Они занялись разбором кода червя и нейтрализацией последствий. Сегодня дискета с вредоносом находится в музее науки в Бостоне, а код можно найти и в открытом доступе.
Суммарный ущерб, который нанес червь Морриса, приблизился к ста миллионам долларов. Помимо финансового ущерба, ноябрьский инцидент имел и другие последствия:
- Роберт Моррис стал первым обвиняемым по новому закону «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act), принятом всего за четыре года до инцидента с червем. Моррис получил три года условно.
- Атака червя впервые привлекла внимание передовых американских СМИ к сетевым угрозам.
- Была создана организация CERT (Computer Emergency Responce Team). Она работает и по сей день, принимая сведения о возможных дырах и взломах в системе и публикуя рекомендации по их профилактике.
При этом атака червя Морриса выявила главную проблему (которая не потеряла актуальность до сегодняшнего дня) — люди используют простые пароли. Стало ясно, что уровень осведомленности по вопросам информационной безопасности нужно поднимать. Потому и был предложен новый международный праздник по теме ИБ.
Как отмечают этот день
Хотя сегодня праздника нет даже в календаре мероприятий ISSA, его часто используют как повод освежить знания сотрудников компаний о кибербезопасности и «привить» кибергигиену. Например, вот несколько «активностей», которые следует провести на работе (и дома):
- Обновить все программное обеспечение. Этот простой шаг помогает сократить риск взлома системы, так как в большинстве случаев хакеры используют уже известные уязвимости. Например, масштабной утечки данных кредитного бюро Equifax можно было избежать — патч для уязвимости, которую использовали злоумышленники, был выпущен за два месяца до атаки.
- Поменять пароли. Наиболее распространенным паролем все еще остается «123456». Стоит использовать пароль с буквами разного регистра, а также цифрами и спецзнаками. Чтобы установить и запомнить сложные пароли было проще, можно обратиться к специальным приложениям вроде LastPass или 1password.
- Обсудить правила работы с почтой и мессенджерами. Например, поговорите о важности разделения личной и рабочей корреспонденции, а также обсудите опасность социальной инженерии. В качестве референса можно использовать вот эту историю на Хабре.
Если пойти чуть дальше
Ранее у Дня информационной безопасности был сайт, на котором энтузиасты собирали идеи корпоративных мероприятий для праздника. Один из вариантов — выступить с презентацией и обсудить вопросы компьютерной безопасности в местной школе или университете. Вместе со студентами можно посмотреть фильмы или сериалы, касающиеся вопросов ИБ.
Некоторые компании используют День информационной безопасности как возможность поделиться сведениями о защите данных не только со студентами, но со всем миром. Например, издательство Springer в этот день открывает бесплатный доступ к тематической литературе.
/ фото Travis Isaacs CC BY
Если есть желание сделать что-то «хардкорное», то день информационной безопасности может быть поводом устроить соревнования по взлому компьютерных систем в стиле Capture the Flag (CTF).
В таких конкурсах двум командам выдают сервер или ноутбук с различными приложениями и сервисами. У этих сервисов есть определённый ряд уязвимостей. Зная это, участники должны защитить информацию на своей системе и захватить данные с компьютера противника.
Проводятся и соревнования по взлому на скорость. Например, подобное мероприятие проводится на конференции хакеров DEFCON. В этом году участникам предлагали взломать оборудование для голосования, подключенное к копиям официальных сайтов. Победу в этом году одержала одиннадцатилетняя Одри Джонс (Audrey Jones), обойдя защиту за 10 минут.
В целом подобная активность поможет привлечь дополнительное внимание к вопросам киберграмотности и напомнит о важности цифровой гигиены.
P.S. Несколько постов по теме из нашего корпоративного блога:
- Особенности двухфакторной аутентификации: работает ли это в облаке IaaS
- Эффект GDPR: как новый регламент повлиял на IT-экосистему
- Как протестировать безопасность облачных решений
P.P.S. Про облачные технологии и виртуализацию из нашего Telegram-канала:
Комментарии (8)
ne555
30.11.2018 15:25Спасибо за напоминание) Хороший повод искать для пятницы не нужно.
анализ 100+ самых популярных паролей последних слитых БД (почт: Яндекс; Мэйл; Гугл 11млн.130к учеток).
1столбец кол-во встречающихся паролей, 2-й -пароль.
Мне нравится самый последний пароль на нем и завершен анализ.altrus
30.11.2018 16:52Старые какие-то БД.
Уже давно все требуют как минимум буквы-цифры в пароле, плюс обычно — заглавные и строчные, плюс проверка на сложность.
altrus
30.11.2018 16:59Использовать термин «социальная инженерия» для обозначения поимки самца на фотку сексуальной биксы как-то не то…
Обычное мошенничество.
alk0v
30.11.2018 19:15Журнал Time за сентябрь 1988 года, они что-то знали :)
www.instagram.com/p/BjJu-LyF5Oy
YourChief
30.11.2018 19:38Обновить все программное обеспечение. Этот простой шаг помогает в два раза сократить риск взлома системы, так как в большинстве случаев хакеры используют уже известные уязвимости.
По статистике в современных публикациях цифр и соотношений, взятых из головы, в два раза больше, чем подтверждённых численно.
johnfound
01.12.2018 21:48Праздновать активно не буду. Открою пиво, возьму котлеты и почитаю еще раз код проекта насчет дыры в безопасности. :)
zCooler
ЕМНИП вирусмейкер был Роберт Моррис младший, а его отец был преподавателем в этом университете.