Подвійна аутентифікація Вконтакте — секс чи імітація?

Всім привіт! Нещодавно вирішив протестувати апаратний OTP токен з можливістю перепрошивки за NFC, підключивши його до своєї з у vk.com. При цьому натрапив на недоробки в системі двофакторної аутентифікації Вконтакте, які здалися мені досить істотними. Хочу поділитися своїми спостереженнями з вами, так як в самому VK помилок не визнали. Можливо, я трохи параноїк? Цікаво, що скажете ви, хабровчане.

Читати далі →

Сноуден в Росію, Хеммонд за ґрати

У листопаді 2016 року Джеремі Хеммонд став на 3 роки ближче до того, щоб вийти з в'язниці і почати користуватися комп'ютером без попередження своїх інспекторів і не тільки «в освітніх цілях». Про нього зараз вже не пишуть, а якщо забити в гугл, то з'явиться дуже дивна видача, включаючи новини про зміну провідних в Top Gear, а адже це людина, яка поповнив Wikileaks документами з Stratfor.


Читати далі →

Трохи про безпеку в «хмарі»: Досвід IaaS-провайдера «1cloud»

Перенесення інфраструктури в хмарну середу має незаперечні плюси, але і є досить суб'єктивним питанням. Певну плутанину вносять ті чи інші міфи, які пов'язані з питанням безпеки «хмари». Тому наше завдання сьогодні — поділитися власним досвідом і розповісти про роботу нашого IaaS-провайдера.


Фотоекскурсія по «хмарі» компанії 1cloud

Читати далі →

Як убезпечити Linux-систему: 10 порад

На щорічній конференції LinuxCon в 2015 році творець ядра GNU/Linux Лінус Торвальдс поділився своєю думкою з приводу безпеки системи. Він підкреслив необхідність пом'якшення ефекту від наявності тих чи інших багів грамотної захистом, щоб при порушенні роботи одного компонента наступний шар перекривав проблему.

У цьому матеріалі ми постараємося розкрити цю тему з практичної точки зору:



/ фото Dave Allen CC

Читати далі →

OSSIM - розгортаємо кращу комплексну open source систему управління безпекою


OSSIM (Open Source Information Security Management) — система управління, контролю та забезпечення інформаційної безпеки.
OSSIM «з коробки» включає в себе такий функціонал як:
  • Збір, аналіз і кореляція подій — SIEM
  • Хостова система запобігання вторгнень (HIDS) — OSSEC
  • Мережева система запобігання вторгнень (NIDS) — Suricata
  • Бездротова система запобігання вторгнень (WIDS) — Kismet
  • Моніторинг вузлів мережі- Nagios
  • Аналіз мережевих аномалій — P0f, PADS, FProbe, Arpwatch та ін
  • Сканер вразливостей — OpenVAS
  • Найпотужніша система обміну інформацією про погрози між користувачами OSSIM — OTX
  • Більше 200 плагінів для парсингу і кореляції логів з різних зовнішніх пристроїв і служб
І це далеко не все, що вміє робити OSSIM, встановлення якого займе не більше 15 хвилин, в чому Ви можете переконатися самі!

Читати далі →

Не зовсім відомі рішення щодо захисту ІТ-інфраструктури бізнесу



Класичний підхід російського бізнесу сьогодні — це установка файрволла, потім після перших спроб направлених атак — системи захисту від вторгнень. І далі спати спокійно. На практиці це дає хороший рівень захисту тільки проти скрипткидди, при будь-якій більш-менш серйозної загрози (наприклад, від конкурентів або атаці від недоброзичливців, або спрямованої атаки від іноземної групи промшипонажа) потрібно щось додаткове, крім класичних засобів.

Я вже писав про профіль типовий спрямованої атаки на російське громадянське підприємство. Тепер розповім про те, як змінюється стратегія захисту в цілому в нашій країні в останні роки, зокрема, у зв'язку зі зміщенням векторів атак на 0-day і пов'язані з цим впровадження статичних аналізаторів коду прямо в IDE.

Плюс пара прикладів на солодке — ви дізнаєтеся, що може творитися в повністю ізольованою від Інтернету мережі і на периметрі банку.
Читати далі →

Батіг і... батіг інформаційної безпеки на підприємстві

Здрастуйте, шановні радіослухачі, менеджери, програмісти, адміни і все-все-все. Сьогодні я висловлюся про наболілої теми, час від часу викликає у мене гостру зубовную біль, а саме — про інформаційної безпеки на підприємстві.

Що собою являє ІБ на великому підприємстві або навіть банку? Пекучий коктейль з нормативних актів, густо приправлених заборонами всього і вся і з додаванням погроз розправи за смаком. Адже що робить звичайний адміністратор системи для запобігання несанкціонованого доступу? Забороняє все, що не дозволено. Що робить звичайний безопаснік? Забороняє взагалі все, що знаходиться на кордоні (а часто і за кордоном) здорового глузду і хоч якоїсь можливості функціонування підприємства. При цьому складається величезна кількість нудних описів загроз, нормативних актів (нудьга!) та інших страхітливих дій, які зводяться до однієї простої думки «ЯКЩО ЩО, МИ Ж ПОПЕРЕДЖАЛИ!». Таким чином, складається ситуація, коли ІБ ризики позначає, але відповідальність не несе — її несуть співробітники. Однак і нехтувати цією каламутною темою інформаційної безпеки керівники не можуть і в результаті ІБ на підприємстві всі процеси загортаються на ІБ, і ІБ стає тим вузьким пляшковим горлечком, від ширини якого часто безпосередньо залежить швидкість функціонування бізнесу підприємства в цілому.

Читати далі →

Практична безпека: тенденції і прогнози-2015

image

Як могли помітити читачі цього блогу, в минулому році наш дослідницький центр істотно розширив сферу своїх інтересів. Ми розповідали про уразливості масових веб-додатків і можливості злому банкоматів, про атаки на складні індустріальні системи управління і маленькі персональні гаджети. Але 2014 рік закінчився, саме час підвести підсумки: відзначити ключові тренди в області інформаційних загроз і захисту від них, а також представити свої прогнози розвитку цих трендів в новому році.
Читати далі →

ІБ по-американськи. Частина 4. Розбираємося з «підгонкою» і «перекриттями» і завершуємо цей огляд


*Залиште свою роботу на робочому місці!*

Отже, нелегкий шлях по обзиранию створення короткого огляду NIST SP 800-53 підходить до логічного кінця. Я радий, що мені вдалося зробити задумане і написати нехай невеликий, але закінчений за змістом цикл статей, не зупинившись на першій або другій частині. Надалі, сподіваюся, вийде від випадку до випадку ділитися з громадськістю своїми міркуваннями на тему ІБ, ІТ та аудиту.

Отже, у цій статті буде нарешті поведано про вибір набору контролів безпеки, підгонки його під потреби конкретної організації та створення так званих перекриттів «фоліо», застосовних поза масштабів окремої організації.

Посилання на попередні статті:
ІБ по-американськи. Частина 1. Що таке NIST 800-53 і як виглядають контролі безпеки?
ІБ по-американськи. Частина 2. А можна детальніше про NIST 800-53 і причому тут управління ризиками?
ІБ по-американськи. Частина 3. Що з себе являє базовий набір контролів безпеки і як визначати критичність інформаційних систем?


Читати далі →

ІБ по-американськи. Частина 3. Що з себе являє базовий набір контролів і як визначати критичність систем?


*Безпека — це аж ніяк не боротьба з вітряними млинами*

У попередніх статтях я вже досить докладно розповів про публікації NIST SP 800-53. Були успішно висвітлено розбиття контролів на сімейства, докладний опис структури контролів безпеки, процес управління ризиками в масштабах організації і навіть коротко окрема публікація FIPS 200.
З-за виходу в світ Geektimes довелося трохи затриматися, але ми продовжуємо рухатися далі, і сьогодні мова піде про базові наборах контролів безпеки та про визначення критичності інформаційних систем.
Ну і звичайно в комплекті автентичні американські плакати, присвячені безпеці.

Посилання на попередні статті:
ІБ по-американськи. Частина 1. Що таке NIST 800-53 і як виглядають контролі безпеки?
ІБ по-американськи. Частина 2. А можна детальніше про NIST 800-53 і причому тут управління ризиками?


Читати далі →