Как стать автором
Обновить
507.74
Рейтинг

Информационная безопасность *

Защита™ данных™

Сначала показывать
Порог рейтинга

Positive Hack Days: главное из конференции по защите™ промышленных предприятий от киберугроз

Информационная безопасность *IT-компании

Информационная служба™ Хабра посетила форум Positive Hack Days 11, организованный компанией Positive Technologies. 17 мая прошла™ первая™ пресс-конференция мероприятия, посвящённая комплексной защите™ промышленных предприятий от киберугроз. О текущей ситуации с хакерскими атаками на промышленные предприятия и работе™ над информационной безопасностью рассказывали Роман Краснов, руководитель направления промышленной кибербезопасности Positive Technologies, и Виталий Сиянов™, менеджер по развитию бизнеса направления «Solar Интеграция» компании «РТК-Солар». Выделили главное из конференции.

Читать™ далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 102
Комментарии 0

Новости

Моделирование угроз (описание объекта защиты™)

Информационная безопасность *

В феврале на ТБ-Форуме™ 2022 ФСТЭК в лице Гефнер™ И.С. представил доклад™ на тему «Практика реализации методики оценки™ угроз безопасности информации (УБИ)» (далее – Доклад™), посвященный разработке модели™ угроз (МУ) в соответствии с методическим документом, утвержденным 05.02.2021 (далее – Методика). В частности, было сказано о том, что 67% присылаемых на проверку МУ возвращаются на доработку. Разработанная мной МУ оказалась в списке™ оставшихся 33%. В связи с эти решил поделиться своим видением процесса моделирования угроз.

В Приложении 3 Методики приведена рекомендуемая структура МУ, которой стоит придерживаться. Раздел™ «Общие положение» пропустим и рассмотрим раздел™ «Описание систем™ и сетей и их характеристика, как объектов защиты™». Далее будем пользоваться понятием «Объект™ защиты™» (ОЗ), включающим в себя все компоненты защищаемой системы и/или сети. Прямых™ замечаний у регулятора к этому разделу не было, но некоторые замечания к другим™ разделам прямо связаны с качественным описанием ОЗ.

Целью данного раздела является описание ОЗ, позволяющее определять возможные негативные последствия, объекты воздействия, источники УБИ (модель™ нарушителя), способы реализации (возникновения) УБИ, и выполнить построение сценариев реализации УБИ. Кому интересно, прошу под кат.

Читать™ далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 364
Комментарии 2

Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США

Блог компании Дата-центр «Миран» Информационная безопасность *Читальный зал
Примечание:

Эту статью™ можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако™ не отменяет ее прикладной ценности в разрезе «как не надо делать™». Государства ведут себя похоже™ вне зависимости от континента и история, которую вскрыл™ Брайан™ Кребс и которую мы вольно™ пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример™.



Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ™ доступа и аутентификации пользователя в госучреждениях. Если в России™ и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне™ системного администрирования двуфактор по логину™-паролю™ и USB-токены™, то Министерство обороны США и другие™ правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную™ смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание™ и до логина™ в систему и рабочую электронную почту.


Образец общей карты доступа (CAC). Изображение: Cac.mil

Известный исследователь в области информационной безопасности, Брайан™ Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно™ персональные данные™ хранятся в чипе, впаянном в кусок пластика. Однако™ в ходе работы™, как это обычно™ и бывает™ в инфобезе, Кребс нашел огромную дыру в безопасности не просто™ отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.

Все дело в считывателях для этих карт, точнее™, в их тотальном отсутствии.
Читать™ дальше™ →
Всего голосов 17: ↑14 и ↓3 +11
Просмотры 3.8K
Комментарии 2

Вот она пришла™ весна – как паранойя: «интернет с нуля»

Информационная безопасность *Криптовалюты

В связи с последними событиями и пониманием, что не существует независимых ресурсов (ни СМИ, ни Википедии), что мессенджеры читают™ и за сообщениями следят™, что поисковики и соцсети знают о нас больше™, чем следует, вновь поднимается вопрос™ приватности данных™, безопасности, тайны переписки. В принципе, того, что по сути почти в любой стране™ гарантировано Конституцией.

Какую-то часть данных™ хочется не раскрывать – хобби, увлечения, взгляды. Другую™ – как переписка с родственниками и друзьями – обезопасить. И это я ещё молчу про бизнес™ и способы заработка.

Возможно ли, нам просто™ нужен новый или параллельный интернет, с покером и шахматами? Обсудим...

Читать™ далее
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 2.5K
Комментарии 3

Никита™ Ростовцев: «Мы способны найти многое™, чего не видят другие™»

Блог компании Group-IB Информационная безопасность *IT-компании

На связи авторы™ Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе™, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat™ Intelligence, и наш новый гость — Никита™ Ростовцев. В конце материала, как обычно™, — ссылка™ на актуальные вакансии Group-IB.

Читать™ далее
Всего голосов 3: ↑1 и ↓2 -1
Просмотры 1.2K
Комментарии 1

Когда хочешь™ красную таблетку: гайд по matrix™

Децентрализованные сети Информационная безопасность *Социальные сети и сообщества
Tutorial

В статье™ рассказывается о том, как использовать Matrix™ для повседневной переписки.

Статья™ написана для тех, кого не устраивают существующие мессенджеры и соцсети, и кто хочет найти им лучшую™ замену™.

Предполагается, что вы знаете™ самые основы™ безопасного общения: не приклеиваете пароли™ на мониторе и не боитесь ключей™ шифрования.

Погружение в матрицу стоит начать™ с понятия федерации.

Погружаемся в matrix™ далее
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 2.3K
Комментарии 6

Транзитный трафик™ I2P: дыхание сети и важное™ требование анонимности

Информационная безопасность *Сетевые технологии *I2P *Mesh-сети *

I2P среди анонимных сетей является вторым™ проектом по величине после TOR. Транзитными узлами™ I2P, через которые строятся маршруты, являются не доверенные серверы мировых организаций, институтов или кого-то еще, а главным образом узлы обычных участников сети. В статье™ сказано как получить максимальный транзит, а самое главное зачем это нужно лично вам.

Если тема противодействия цензуре не вызывает дискомфорт и у вас имеется энтузиазм для изучения чего-то нового™, дух I2P придется вам по душе.

Читать™ далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 1.9K
Комментарии 5

Как мы закрыли все объявления частных пользователей защитными номерами

Блог компании Авито Информационная безопасность *Usability *

Меня зовут Павел Голов, я инженер в юните Communications. Наш юнит развивает функционал взаимодействия пользователей на Авито.

В феврале 2022 года произошло большое событие для нашей команды — мы закрыли все объявления частных пользователей защитными номерами. О том, какой путь мы прошли™, я хотел бы рассказать в этой статье™.

Читать™ далее
Всего голосов 26: ↑23 и ↓3 +20
Просмотры 4.2K
Комментарии 47

Инструменты OSINT для геолокации: моря, горы, улицы

Блог компании Timeweb Cloud Информационная безопасность *Обработка изображений *Геоинформационные сервисы *Машинное обучение *
Помимо™ доступа к спутниковому OSINT в один клик, появляется всё больше™ и больше™ инструментов для выяснения точного местоположения, откуда™ был сделан™ фото- или видео-снимок™. Любая деталь™ — дорожный знак, вывеска, линии электропередач, рельеф™ гор на заднем™ плане и даже длина тени от столба™ может быть подсказкой для исследователей. Предлагаем вашему™ вниманию подборку инструментов по геолокации от ведущих OSINT-исследователей.

Geolocation Estimaton


image

Платформа, которая оценивает местоположение изображения с помощью глубокого обучения/ИИ.

Тут можно смотреть на чужие фотки и вручную вбивать их местоположение, учить систему, а можно загружать свою фотку и просить систему «угадать» местоположение.

На тепловой карте указываются области, которые максимально повлияли на принятие решения.

image

Загрузил свою фотку из исторического района™ Стамбула — система не смогла™ определить.
Читать™ дальше™ →
Всего голосов 29: ↑26 и ↓3 +23
Просмотры 2.7K
Комментарии 0

Состоялся релиз Kali Linux 2022.2

Блог компании Pentestit Информационная безопасность *

Состоялся релиз Kali Linux 2022.2, который содержит много обновлений и нововведений: обновление графических сред, новые инструменты, поддержка создания снимков и поддержка Kali NetHunter для умных часов.

Читать™ далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 3.6K
Комментарии 4

ML под ударом™: противодействие атакам™ на алгоритмы машинного обучения

Блог компании Бастион Информационная безопасность *Машинное обучение *Искусственный интеллект

Ежегодно выходят тысячи™ научных работ об атаках™ на алгоритмы машинного обучения. Большая часть из них рассказывает о взломе™ компьютерного зрения™, ведь на его примере можно наглядно продемонстрировать последствия атаки. На деле первыми под удар попадают спам-фильтры, классификаторы контента, антивирусные сканеры и системы обнаружения вторжений. Например, достается базе VirusTotal. Туда уже давно пробуют загружать безобидные файлы, которые распознаются, как вредоносные и вызывают цепочки ложных™ срабатываний.

Среда, в которой выполняются алгоритмы машинного обучения, подвержена большинству стандартных векторов атак, но это еще не все. Подобно тому, как реляционные базы данных™ привели к появлению SQL-инъекций, а веб-скрипты к XSS, алгоритмы машинного обучения подвержены особым™ угрозам, от которых плохо помогают стандартные меры защиты™.

Читать™ далее
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 1.2K
Комментарии 0

Развертывание Standalone центра™ сертификации на базе Windows Server™ 2019 и настройка сетевого автоответчика OCSP

Блог компании Cloud4Y Информационная безопасность *IT-инфраструктура *Серверное администрирование *
Tutorial

Всем привет™, с вами Искандер Рустамов, младший системный администратор Cloud4Y. Сегодня мы будем покорять развертывание центра™ сертификации (ЦС). 

Необходимость в выстраивании инфраструктуры на базе государственных требований к решениям в области информационной безопасности заставляет искать™ новые решения. Одним из них является организация доступа клиентов к веб-ресурсам через портал™ nGate по защищённому TLS соединению с использованием шифрования по ГОСТ криптопровайдера «КриптоПро». Для этого необходим собственный центр сертификации. 

В данной™ статье™ мы рассмотрим установку Standalone Center™ Authority на базе Windows Server™ 2019.

Читать™ далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 1.2K
Комментарии 5

Национальная BugBounty платформа или как мы запускали первую™ полноценно работающую площадку в СНГ

Информационная безопасность *

В данном™ посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане, как из этого родился полноценный международный стартап и почему™ мы считаем это одной из самых успешных инициатив в области кибербезопасности в Казахстане. 

Читать™ далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.2K
Комментарии 0

Chrome™ на Android сломал™ чужие MitM-сертификаты, но это можно исправить

Блог компании GlobalSign Информационная безопасность *Google™ Chrome™ Разработка под Android *Браузеры


Прозрачность сертификатов (CT) — отличный проект™ компании Google™, который сейчас™ фактически стал стандартом де-факто в интернете. Серверы CT показывают все выпущенные EV-сертификаты в открытых и общедоступных источниках.

Всё работает отлично до тех пор, пока не сломается.

В частности, в последнее время браузер Chrome™ создал™ ряд проблем под Android, фактически заблокировав работу™ сторонних приложений, таких как снифферы, MitM-прокси™ и средства разработки. Эти программы устанавливают в систему собственные доверенные сертификаты для перехвата и разбора трафика.
Читать™ дальше™ →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 3.4K
Комментарии 6

Security Week 2220: уязвимость в офисных устройствах Zyxel

Блог компании «Лаборатория Касперского» Информационная безопасность *
Компания Zyxel на прошлой неделе™ закрыла критическую уязвимость в трех офисных брандмауэрах серий Zywall™ ATP и USG FLEX. Проблему обнаружила компания Rapid7, которая выложила технический отчет с видео, демонстрирующим эксплуатацию дыры. Уязвимость получила идентификатор CVE-2022-30525 и рейтинг опасности в 9,8 балла из 10 по шкале CvSS.



Причина такого™ высокого рейтинга — возможность удаленного выполнения команд™ без авторизации на устройстве, которое по своей природе должно™ быть доступно извне. Подверженные устройства Zyxel рекламируются как готовое решение для защиты™ небольшого подразделения крупной организации, обеспечивают (в зависимости от модели™) работу™ VPN-шлюза, фильтрацию доступа к веб-сайтам™ и даже сканирование электронной почты. Скорее™ всего, баг связан™ с функцией zero-touch provisioning для быстрого внедрения новых устройств.
Читать™ дальше™ →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.8K
Комментарии 0

Electronic Signature vs Digital Signature: подпись подписи рознь

Информационная безопасность *Терминология IT

Это короткая заметка о том, что в англоязычной сфере встречаются два термина, взаимосвязанные друг с другом™, но разные™ по сути. Это electronic signature и digital signature. Отличия их друг от друга полезно знать хотя бы для точного понимания статей™, стандартов и законов.

Мой личный™ небольшой опрос коллег™ показывает, что далеко™ не все вообще™ видят разницу.

Читать™ далее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 1.1K
Комментарии 2

Как я перестал бояться и начал делиться секретами с телефоном

Информационная безопасность *Разработка мобильных приложений *Разработка под Android *

Не знаю как вы, а я – не могу сказать, что люблю, но вижу очень много пользы™ в интроспекции, или, по простому, самонаблюдении. Вот, допустим, позавчера я проснулся сам, не слишком рано, съел овсянки, выпил кофе без сахара™, и весь мой день был очень продуктивным. А вчера я лёг спать поздно™, да ещё и сон плохой™ снился™ не буду говорить про что, проснулся только™ по второму будильнику, не успел позавтракать перед работой, и весь день дальше™ был наперекосяк. Если такое повторяется несколько раз, наверно это какая-то закономерность, паттерн, и я мог бы подумать, что мне делать™ или не делать™ для того, чтобы мой день был продуктивным – но для этого обо всём этом надо помнить.

Помнить у компьютеров получается гораздо лучше, чем у людей. Главное, чтобы запомненное можно было извлечь, когда это нужно. Само собой напрашивается записать это куда-то в телефон, но куда? Казалось бы, есть куча приложений и сервисов, пиши не хочу. Но тут вдруг просыпается внутренний параноик и начинает задавать неудобные вопросы. А какая бизнес™ модель™ у этого сервиса? Если я напишу™ туда подробности про то, что мне приснилось в плохом™ сне, станут™ ли социальные сети показывать мне рекламу, напоминающую об этом? Или, допустим, если я страховой компании сказал™, что я не пью вообще™, а вчера, на самом деле, я не только™ лёг спать поздно™, но ещё и перебрал слегка™, узнает™ ли об этом страховая и подорожает ли моя страховка? Неспокойно, короче™.

Да, есть не очень многочисленные приложения, которые работают оффлайн, то есть все данные™ хранятся на телефоне. Даёт ли это какие-то гарантии приватности? Возможно, но едва ли от производителя ОС или телефона, потому™ что все данные™ хранятся в открытом виде. Хорошо™, есть ли какие-то оффлайн приложения, которые шифруют хранимые данные™ (или, как это называют по-английски, “encryption at rest”), и делают™ это относительно удобным способом? И вот тут меня ожидал™ большой облом. Ну что же, как говорится, “хочешь™ что-то сделать хорошо™ – сделай™ это сам”. Так возник™ мой проект™ “Дневник Параноика” (“Paranoid Diary”). Ну и, поскольку лично я предпочитаю Андроид, проект™ возник™ именно™ на этой платформе.

Читать™ далее
Всего голосов 13: ↑11 и ↓2 +9
Просмотры 5.9K
Комментарии 14

Прокурор как фактор™ повышения информационной безопасности госсайтов

Информационная безопасность *Администрирование доменных имен *Законодательство в IT

Через неделю™ после публикации нашего™ предыдущего доклада «Информационная безопасность сайтов™ государственных органов Российской Федерации: ненормативные результаты», основным выводом которого было «96% госсайтов не соответствуют требованиям НПА по информационной безопасности», Международный телекоммуникационный союз (ITU) выпустил свой доклад™ – Global™ Cybersecurity Index 2020, и воодушевившееся им Минцифры раскудахталось: Россия™ заняла™ 5 место, на 21 позицию выше по сравнению с предыдущим рейтингом, есть потенциал роста, ко-ко-ко!
Читать™ дальше™ →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 2.1K
Комментарии 4

Найти всё, что скрыто™. Поиск чувствительной информации в мобильных приложениях

Блог компании Swordfish Security Информационная безопасность *Разработка мобильных приложений *Тестирование мобильных приложений *

Привет™, Хабр!

Многим™ из вас я уже знаком™ по предыдущим статьям. Меня зовут Юрий Шабалин. Мы вместе™ с командой разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я расскажу о том, на что обратить внимание при поиске™ и анализе чувствительной информации в приложении, как ее искать™, и немного о том, как ее можно правильно хранить.

Статья™ может быть полезна тем, кто занимается анализом защищенности приложений (подскажет, как улучшить качество и полноту проверок, например) а также разработчикам, заинтересованным в правильном хранении данных™ и в безопасности в целом.

Надеюсь, что каждый™ найдет™ для себя здесь что-то познавательное и интересное.

Читать™ далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 1.5K
Комментарии 0

Как обеспечить безопасность сборки™ ПО: управляем внешними зависимостями

Блог компании Delivery Club Tech Информационная безопасность *Open source™ *Программирование *IT-стандарты *

Привет™! Проблема управления безопасностью зависимостей — supply™ chain security — в настоящее время как никогда актуальна. В качестве примера можно привести историю компании SolarWinds: исходный код разрабатываемой ею утилиты был скомпрометирован и среди клиентов компании распространилось вредоносное ПО. Также возникла тенденция по внедрению деструктивного кода разработчиками open-source™ проектов, широко™ используемых коммерческими компаниями.

Читать™ далее
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 1.1K
Комментарии 1