Хозяйке на заметку

[dolboed]

Среди совковых сисадминов во многих отечественных и израильских конторах (несекретных) бытует представление о том, что необходимо запрещать сотрудникам пользование ICQ и аналогов из "соображений безопасности". Живучесть этой "городской легенды" объясняется тем особенным удовольствием, какое получает совковый системный администратор, когда тиранит рядовых юзеров тем или иным способом, эксплуатируя техническое невежество и паранойю менеджмента. В годы создания BOFH это было еще смешно, а сегодня уже просто глупо. Тем не менее, практикуется во многих известных нам отечественных конторах. В связи с чем полезно знать цифры мирового рынка:

In 2002, 84 percent of enterprises surveyed had IM software running on their network, according to research firm Osterman Research. This year, that percentage is expected to rise to 91 percent, and nearly 100 percent in 2007, the study predicted.
http://zdnet.com.com/2100-1104-991306.html
В 2002 году 84% предприятий, обследованных аналитической фирмой Osterman Research, использовали в своих сетях IM-системы. В текущем году ожидается рост этого показателя до 91%, а к 2007 году — почти до 100%.
http://zdnet.ru/?ID=297156

Настоятельно рекомендую коллегам, страдающим от подобных запретов по месту работы (несекретной), ознакомить начальство либо с этими цифрами, либо с самим исследованием.

Comments

[auto194419.livejournal.com]

прочти книжку Митника (http://www.wiley.com/cda/product/0,,0471237124,00.html) лучше. а то ты как обычно...

[robinbobin.livejournal.com]

takie zapreti, bred. u menya v zevete, icq - obyazannost dlya developera, esstestvenno, sootvetsvuyue nastroennoe, vo izbezhanie spama, i pr. soputsviushix nepriyatnostej.

Книжка Митника

[dolboeb.livejournal.com]

Судя по рецензии, это кибер-версия Catch Me If You Can.

Для эксплуатации человеческого фактора любой протокол пригоден одинаково: можно и по аське наебать, и мэйлом, и через вебчат, а если отключить контору от Инета, то можно по телефону, или в гости заглянуть... Избирательный запрет протоколов IM ничего тут не меняет. Митник свои социально-инженерные фокусы задолго до изобретения IM осуществил, отсутствие аськи ему не помешало.

[zolushka.livejournal.com]

Страдаю от них же.:-(((
Но они вряд ли поймут.:-(((
Мне они заявили, что аська сжирает траффик. При этом у них самих стоит icq. Ненавижу!

[sergeax.livejournal.com]

На самом деле надо не столько запрещать ICQ в конторах, сколько в принудительном порядке заставлять ставить режим Occupied. Потому что основное зло ICQ — не в трафике, несекурности и т.п., а в том, что она отвлекает от работы, особенно юных симпатичных девушек, которых постоянно донимают своими мессагами пиздострадающие юноши, которые на свою работу давно забили болт.

Конечно, все зависит от конкретного рода деятельности, но например известно, что установка кубикла вокруг рабочего места программиста окупается примерно через месяц, поскольку экономит около часа его рабочего времени в день — каждое незапланированное отвлечение от работы, даже на 10-15 секунд, выливается в 10-15 минут возвращения мыслей к данному конкретному куску кода, над которым он работал до момента переключения внимания.

NB: Скажем, чтобы люди не дергались поминутно к телефону, в офисе предусмотрена секретарша.

Антон, Ты бредишь

[sanches.livejournal.com]

В огороде бузина - в Киеве дядька, - процитированный Тобою отрывок никоим образом не связан с вопросом целесообразности и/или безопасности ICQ. Точно так же, как факт использования софта от M$ на серверах в большинстве мелких компаний ничуть не повышает безопасность WinX, IIS, MS SQL и прочих их поделий.

А что 90% чего угодно на свете - дерьмо, и сисадмины, которым положено за секурностью следить, тут не исключение, - так это общеизвестный мировой закон.

Для справки, - дома у меня аськи нет и не будет. Интересно, - кого я при этом тираню, и чье невежество эксплуатирую?

Re: Антон, Ты бредишь

[dolboeb.livejournal.com]

Дома ты можешь спать на гвоздях, so what.
Это твои личные вкусы и предпочтения. Уважаю, не вмешиваюсь.

Я говорю о банальной жизненной ситуации: использование аськи на рабочем месте, для производственных и личных нужд, в несекретном учреждении. Вдруг приходит сисадмин и говорит "низзя", упиваясь своим всевластием, как вахтер на советской проходной. Начальству он при этом обычно грузит, что аська - чудовищный риск для корпоративной безопасности. Для развенчания этого мифа полезно знать мировые данные. Потому что 86% американских бизнесов - это достаточно репрезентативная выборка. Если бы присутствие аськи на компьютерах локальной сети представляло угрозу, то были бы и примеры, и жертвы.

Ну, это уж совсем бред

[dolboeb.livejournal.com]

Один аудиоклип в МР3, или двухминутный сюжет streaming video, потребляет за раз больше траффика, чем ICQ за месяц.

А вебные варианты аськи они Вам отрубили?

[cameloid.livejournal.com]

icq - это программа с закрытым кодом, работающая по недокументированному протоколу. то есть - вещь абсолютно в себе. формально это тот самый случай, когда для паранойи есть все основания. на данный момент SecurityFocus (http://www.securityfocus.com/)'у уже известно про 13 дыр в различных версиях icq, а сколько их там еще и сколько добавится в новых релизах - бог весть. какие уж тут "городские легенды"..

менеджменту элементарно приходится выбирать меньшее из зол: оперативность за счет потенциальной уязвимости или безопасность за счет некоторых (нефатальных) неудобств. конкретно в нашей конторе мы выбрали первое, но я никогда не упрекну в глупости менеджера или технического специалиста, который предпочел второе. у каждого своя правда.

насчет тиранствующих администраторов - ну да, есть такое социальное явление, "синдром вахтера". но, повторюсь: хотя и очевидно что люди просто самоутверждаются таким образом, рациональное зерно в их действиях, как ни крути, есть.

В текущем году ожидается рост этого показателя до 91%, а к 2007 году — почти до 100%.

меня бы успокоили результаты независимого и авторитетного аудита, подтверждающего безопасность icq (если бы гипотетически существовала такая возможность). а так - ну и что? "91% леммингов не может ошибаться?"

все эти предприятия рискуют.

Re: Антон, Ты бредишь

[cameloid.livejournal.com]

полностью согласен.

для паранойи есть все основания

[dolboeb.livejournal.com]

Они есть ВСЕГДА.
Евреи и другие инородцы подозрительны.
Люди, у которых есть родственники за границей, подозрительны.
Люди, у которых нет родственников за границей, вероятно, хорошо зашифровались, и оттого подозрительны вдвойне.

Эта логика понятна.
Но есть встречная.

Человек, санкционировавший запрет аськи в интранете несекретной корпорации - это Мудак, с большой буквы "М".
И ему, естественно, хочется знать, как всякому Мудаку, насколько его мудацкое решение соответствует мировой практике.

Re: Антон, Ты бредишь

[sanches.livejournal.com]

Постарайся отвлечься от своей упертости и пойми, что отказ от использования ICQ дома для собственных нужд, - притом, что с пользовательской точки зрения эта программа крайне удобна, - не может быть вызван "синдромом вахтера", а как раз исключительно разумными соображениями. Конкретно - соображениями безопасности. Что такое "секретная" или "несекретная" работа, - мне в контексте информационной безопасности понять трудно. И безо всякой секретности можно нанести критичного масштаба ущерб, например, форматнув диск на машине, где живет единственный экземпляр объемного документа, необходимого к завтрашнему утру для заключения сделки, и требующего для создания с нуля нескольких человеко-месяцев работы.

Массовость использования продукта о безопасности его использования не говорит вообще ничего. Вспомни, как с обнаружением дыры Nuke несколько суток висели практически все сервера, работавшие под любыми версиями Windows, - от 3.X до NT, - общим числом в сотни тысяч. Или как недавно из-за дыры в мелкомягком SQL в некоторых странах и-нет вообще нафиг зафлудился до полной неработоспособности. Или сколько в проприетарных продуктах за последний год обнаруживали дыр, связанных с переполнением регистра и возможностью заставить чужую машину исполнить произвольный код...

Re: Антон, Ты бредишь

[sanches.livejournal.com]

Конкретно про аську - по моему мнению, с точки зрения безопасности она - кандидат на снос №1 из всех проприетарных программных продуктов. Начиная с того, что сам протокол проприетарен. Да, - я проприетарными продуктами дома тоже пользуюсь, - теми же виндами, - но любая из моих домашних виндовых тачек стоит за двумя файрволлами, которые не пропустят ни заранее не разрешенного обращение извне, ни попытки какой-то софтины без спроса ломиться наружу. Аська в этом отношении забавно устроена, - мало того, что работа с ней идет через сервер конкретной компании, который ей постоянно что-то посылает, - так еще и диапазон портов она использует весьма причудливый, - полюбопытствуй.

Т.е. в ситуации, когда, условно, Винворд подцепит трояна, не обнаруженного антивирусом, и этот троян начнет ломиться наружу, - его застопит первый же с внутренней стороны моей сети файрволл. Потому как Винворду вообще в и-нете делать нечего. Если ломиться начнет программа, которой выход в и-нет разрешен, - но по абстрактному порту, не описанному в RFC, - ее тоже никто никуда не пустит. Ибо не положено. А вот чтобы обеспечить работоспособность аськи, - надо разрешить ей выход в и-нет практически по любым портам, - иначе фих. И неуловимый антивирусником троян, если к ней прицепится, - благополучно сработает. Что такого не бывает, и спастись можно обычными средствами гигиены, - это сказки, увы. У меня в виндовом проводнике на одной из машин уже месяца четыре непонятно как пойманный троян сидит, которого ни Касперский, ни Нортон (свежие апдейты) не то что вылечить, - увидеть не могут. Так я его зафайрволил (вернее, - любые попытки ломиться наружу у меня зафайрволлены по умолчанию), и просто с усмешкой просматриваю по логам его очередные безуспешные попытки что-то куда-то передать. Прилепись такое к аське, - он бы благополучно работал, а я бы до сих пор даже не подозревал о его существовании.

Другая сторона, - тот же мейл я отправляю через почтовый сервер своего провайдера, который со мной связан договором. Поэтому случись с этим серваком какая неприятность, - она будет устранена в настолько короткий срок, насколько это физически возможно. На моей памяти за последние полгода я сталкивался с невозможностью отправить мейл раза три, и ни разу это не длилось дольше десяти минут. Аська. как и любой бесплатный сервис, - совершенно безответственен к своим клиентам. Постинги на тему "аська легла" я читаю в своей френд-ленте не реже раза в неделю, причем иногда это длится и по нескольку часов. Причем тут "секретность", - если мне срочно нужно отправить пусть даже несекретное сообщение, от которого зависит сделка, - а я этого сделать не могу?

Наконец, буквально на днях народ тут массово страдал на тему утраты контакт-листов. Восстанавливали, помнится, что-то около суток, - пирчем по массовой расслабленности у многих вся контактная информация в этих самых контакт-листах была, - включая e-mail-адреса. Т.е. компании, которые использовали аську в качестве средства деловой коммуникации и на это напоролись, - около суток были лишены связи с клиентами, ы?

Ну и в задницу такое удовольствие. Использовать аську для хоть сколько-нибудь деловых задач будет только полный идиот либо непросвещенный дилетант. А возмущаться тем, что админы запрещают пользоваться развлекательным софтом... Хммм... Ты б еще крестовый поход против тех поднял, кто "Цивилизацию" на рабочих машинах ставить не разрешает, да.

Ну, Ты меня и поразил...

Re: для паранойи есть все основания

[sanches.livejournal.com]

Антон, чрезмерной паранойей в обсуждаемом вопросе страдаешь как раз Ты. Локальная сеть, расположенная у меня в квартире, - корпорация совершенно несекретная. Тем не менее, я могу понести довольно заметный финансовый ущерб, например, если будут невосстановимо утрачены нужные для работы документы, - хотя бы дописываемая к дедлайну статья, которая еще не успела забэкапиться (да-да, считай меня параноиком, - весь мой домашний архив документов ежесуточно бэкапится в двух экземплярах, причем таким образом, что ни одна авария. какой бы характер она не носила, если она произошла из-за выхода из строя любого единственного устройства или из-за обесточивания всей сети, не приведет к потере данных больше, чем за сутки). Или если я не смогу вовремя связаться с контрагентом. Или если я на сутки потеряю все свои контакты.

При этом ни одна из вышеперечисленных неприятностей, случись она, - не в состоянии нанести мне ущерба на сумму свыше $2k. А вот в масштабах крупной корпорации то же самое может стоить миллионов.

Так что мудаки как раз - те, кто использует аську для чего-либо, кроме развлечения, на машинах, служащих для выполнения хоть какой-то работы. Безотносительно к "комплексу вахтера", безусловно, наличествующего у какого-то процента сисадминов.

[lev.livejournal.com]

Ха-ха! 13 дыр в аське, big deal.
Сендмейл ее кроет, как бык овцу.

[sanches.livejournal.com]

Ха-ха!
С учетом разной степени проприетарности кода, - в аське этих дыр раза в два больше. Просто остальные пока широкой общественности неизвестны. В отличие от сендмейла. С вытекающими.

[lev.livejournal.com]

А кто знает, сколько еще дыр найдется в сендмейле? Наверное, это какой-то неправильный open source, не правда ли? 20 лет народ пялится в эти самые сорсы, а дыры по прежнему есть.

Re: Антон, Ты бредишь

[ex-palych89.livejournal.com]

Санчес, давай проще: за много лет использования аськи дома (комп практически груглосуточно в сети), за то же время использования аськи в конторах (где а) я админил б) другие админили) ни разу оная программа не вызвала никаких проблем. Абстрактные замечания про то что не было желающих - не принимаются.
И у меня дома документы ценные хранятся, и в конторах, сам понимаешь, не игрушки на винтах лежат. И ничего. Живут и радуются жизни.

[pbijio.livejournal.com]

софта без багов нет и дыр. даже если дыры и не обнаружены (пока!). чем меньше софта, тем лучше. если конкретный софт нужен для работы - приходится идти на риск. если для ублажения сотрудников на рабочем месте, чтоб они могли потрещать с друзьями - ну и чего ради? не говоря уже о том, что я юзеров знаю - только дай им аську - придется заниматься еще и ее саппортом и отвечать на вопросы "а почему у меня не работает", "а как скачать последнюю версию", "а почему мне файл не передать", "а куда у меня сообщения пропадают", "а где хистори", и прочая чушь. нафик оно мне надо. пусть аськаются из дома. IMHO.

[moshkow.livejournal.com]

Lozung u nih byl takoj: "Poznanie beskonechnosti trebuet
beskonechnogo vremeni". S yetim ya ne sporil, no oni delali iz yetogo
neozhidannyj vyvod: "A potomu rabotaj ne rabotaj -- vse edino". I v
interesah neuvelicheniya yentropii Vselennoj oni ne rabotali.

Вот.

[vavilon.livejournal.com]

Мне нравится такой подход , пусть даже в копеечном деле.

С другой стороны, мне понятен пост АБН - статистика вещь упрямая - хотя странным здесь является тот малозначительный факт , что у многоуважаемого автора неоднократно (http://www.livejournal.com/users/dolboeb/day/2002/11/26) и настойчиво пиздили (http://www.livejournal.com/users/dolboeb/day/2002/10/31) эту самую аську , и , казалось бы, что лично ему эти 91% пользователей. Кто виноват - в подобной ситуации мы чаще всего так и не узнаем, а , вот , что делать ?

Со стороны третейской нужно бы завключить, что спор скорее о свободе пользования , нежели о качестве продукта. Я за свободу , но чтобы на упаковке было предупреждение. Скажем, сделано в Сингапуре :)

[henic.livejournal.com]

Бред. Как правило, речь идет лишь о том, чтобы сотрудники не увлекались херней в рабочее время. Аська имеет свойство затягивать. А конкретные админы могут объяснять это чем угодно. из соображений безопасности блокируют порты, ставят firewall, но никак не сносят ICQ.

Re: Антон, Ты бредишь

[lepin.livejournal.com]

Не знаю ни одного случая, когда бы аську запрещали из-за безопасности. Все, что знаю, - чтобы херней люди не страдали.

Re: Книжка Митника

[auto194419.livejournal.com]

нет, книга о том, как нужно строить corporate security, но изложение идёт от обратного.

в же данном случае важно другое: не бывает организаций, где бы не было секретной информации. а все существующие протоколы IM представляют собой огромную дырку в системе безопасности, по целому ряду причин.

никто не спорит что, как метод коммуникации, IM имеет все права на существование. но в нынешнем виде ни один из основных протоколов (AIM-ICQ/MSN/Y!) для корпоративной среды непригоден.

Re: Антон, Ты бредишь

[sanches.livejournal.com]

Палыч, давай проще. По Твоей логике, из того факта, что Ты в течение длительного времени употреблял разнообразные наркотики, и при этом ни разу не умер, следует, что употребление наркотиков абсолютно безвредно для человеческого организма.

Hint: Ты не знаешь, вызвала ли оная программа какие-либо проблемы.