Информационная безопасность — TechCave

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Стена группы

Загрузка...
22 часа назад
#

Право белых пятен



image

Мир полностью погрузился в эпоху цифровых технологий и интернета. С развитием поисковых систем, сетевых СМИ, социальных сетей и накоплением огромного пласта персональных данных право пользователя на защиту частной жизни в сети все чаще становится предметом не только общественных дискуссий, но и судебных споров. Одним из механизмов защиты стало так называемое “право на забвение” или “право быть забытым” (Right To Be Forgotten), вокруг которого в последние годы много шума и дискуссий в разных странах.

Начало было положено, когда в 2014 году Суд справедливости Евросоюза (CJEU — Court of Justice of the European Union) в решении
по делу Google Spain против AEPD и М.К. Гонсалеса разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска (делистинг, de-listing), если такая информация является “некорректной, нерелевантной или излишней” (inadequate, irrelevant or excessive).

С тех пор
Google ввёл в своих отчетах Transparency Report специальный раздел, в котором публикует статистику по применению «права быть забытым» в Европе с публикацией примеров, когда IT-гигант удовлетворяет или отклоняет запросы пользователей по удалению информации о них из поисковой выдачи.

Источник
Загрузка...
Den
22 часа назад
#

Security Operations: защита от киберугроз в ServiceNow



По
прогнозам Gartner, к 2020 году 15% компаний, в которых отдел ИБ состоит из 5 или более человек, будут использовать системы SOAR (security operations, analytics and reporting).

Мы предлагаем разобраться, что предлагает ServiceNow в рамках класса таких систем.



Источник
Загрузка...
1 день назад
#

Facebook начал спамить на телефонные номера, указанные для двухфакторной аутентификации





Отдельные пользователи Facebook
жалуются, что Facebook начал присылать им уведомления по SMS на телефонный номер, указанный для двухфакторной аутентификации. Например, пользователь
Габриэль Льюис из Сан-Франциско уверяет, что у него в настройках Facebook отключены текстовые сообщения. Тем не менее, уведомления из социальной сети всё равно приходят. Как видно на скриншоте, Габриэль отвечал на эти SMS словами «Пожалуйста, хватит!», «СТОП» и «Не нужно присылать мне сообщения». Ничего не помогло.

Источник
Загрузка...
1 день назад
#

Спецслужбы США выступают против использования американцами устройств от Huawei и ZTE





Руководители шести крупнейших разведывательных управлений США, выступая на слушаниях в Сенате, высказались резко против использования гражданами США телефонов и планшетов от Huawei и ZTE. Свое мнение представители ЦРУ, ФБР, АНБ и других специальных правительственных организаций обосновывают тем, что разработки китайских компаний подвергают ненужным рискам как американские компании, так и граждан.

«Мы глубоко озабочены рисками, которые появляются при использовании американцами устройств и сервисов, созданных в стране, правительство которой не разделяет наши ценности», — заявил руководитель ФБР Крис Рэй (Chris Wray). По его мнению, все это позволяет иностранцам установить контроль или, по крайней мере, предпринимать попытку контроля над телекоммуникационными сетями США. Кроме всего прочего, Рэй утверждал, что использование китайского оборудования и сервисов несет такие риски, как внедрение вредоносов уже в американские сети, плюс существует опасность хищения данных в результате осуществления скрытого шпионажа.

Источник
Загрузка...
1 день назад
#

Знаковый символ: iOS denial of service



image

В операционной системе iOS обнаружен необычный баг, приводящий к перезагрузке устройства. Достаточно прислать на iPhone специальный знак из алфавита индийского языка телугу జ్ఞా («знак»), после чего устройство автоматически перезагружается.

Источник
Загрузка...
1 день назад
#

Обход антивируса Kaspersky Total Security



На днях я наткнулся на данный весьма
интересный проект. Суть заключается в том что данный софт декодирует Login Data от Chrome, Opera Stable (По тому же методу что и Chrome) и выдает все в нам привычный string формат.

Источник
Загрузка...
1 день назад
#

Обход антивируса Kaspersky Total Security. Часть 2



Здравствуйте ещё раз. Под моим первым постом «Обход антивируса Kaspersky Total Security» пользователи негодовали. Кто-то писал что это вообще не обход антивируса, а полный бред, кто-то поддержал идею. От части я своё задание выполнил, но если вам этого мало то сегодня я попробую целиком раскрыть весь потенциал.

Источник
Загрузка...
3 дня назад
#

Три необычных примера использования блокчейна



Высказывания о том, что блокчейн исключительно про ICO, криптовалюты, финансовую индустрию, банкинг и создание публичных открытых сетей, начинают терять свою значимость. Например, количество пилотных проектов, проведённых компанией IBM с партнёрами из самых разных отраслей уже в 2016 году достигло 400.

«Если 2016-й год был для компаний годом экспериментальных проектов в области блокчейн-технологий, то 2017-й стал годом масштабирования и переходом от пилотных проектов к активным сетям. Я думаю, в 2018-м этот тренд продолжит развиваться, и достаточно много проектов перейдёт в продуктивную фазу. Ещё я бы отметил тенденцию всё большей интеграции блокчейн-проектов друг с другом и продуктивными системами. Блокчейн-решение, по сути, не может быть «отдельной коробочкой», оно обязательно должно быть интегрировано с продуктивными системами банков или других организаций».
                                       Владимир Алексеев, cистемный архитектор IBM в России и СНГ,
                                                             спикер курса
Blockchain Weekend в Binary District




Источник
Загрузка...
Den
3 дня назад
#

Поговорим о юзернеймах



Пару недель назад я выпустил
django-registration 2.4.1. Сборки 2.4.x станут последними в версии django-registration 2.x, дальше будут выходить только исправления багов. Основная ветка сейчас готовится к версии 3.0, откуда планируется удалить кучу устаревшего хлама, накопившегося за последнее десятилетие поддержки, и я постараюсь учесть лучшие практики современных приложений Django.

В ближайшее время напишу подробнее о новой версии, но именно сейчас хочу немного поговорить об обманчиво простой проблеме, с которой приходится иметь дело. Это имена пользователей. Да, я мог бы написать одну из популярных статеек типа
«Заблуждения программистов об X», но всё-таки предпочитаю реально объяснить, почему это сложнее, чем кажется, и предложить некоторые советы, как решить проблему. А не просто стебаться без полезного контекста.

Источник
Загрузка...
Den
3 дня назад
#

Security Week 4: Боты для фанатов GTA, вредоносные аддоны для Chrome с технологиями Яндекса



Новость на русском,
подробности на английском

Недавно был обнаружен новый IoT-ботнет, созданный, по всей видимости, большим фанатом GTA: командный сервер размещен в домене фанатских мультиплеерных модов для GTA San Andreas. Помимо хостинга самопальных серверов «Сан-Андреаса», на сайте можно заказать DDoS-атаку за умеренную плату (от 20 долларов). Прозвали новый ботнет JenX, из-за рабочего бинарного файла с нежным девичьим именем Jennifer.

Заводчик JenX не стал изобретать велосипед, скорее уж наоборот, наскреб по сусекам. Для вербовки новых ботов зловред пользуется уязвимостями в маршрутизаторах Realtek и Huawei (код соответствующих эксплойтов был выложен автором печально известного BrickerBot в свободный доступ). Кроме того, в JenX используется обфускация кода через логическую функцию XOR с тем же ключом, что и в PureMasuta, — исходники этого зловреда в свободный доступ не попадали, но были
опубликованы на дарк-форуме с доступом только по приглашениям. Вдобавок реверс-инжиниринг вскрыл еще и преемственность с Mirai.

Источник
Загрузка...
5 дней назад
#

Одна CNAME запись и прощайте ваши данные из G Suite





Недавно на Хабре писали про угон всего поискового трафика через сервис для вебмастеров Яндекса, а сегодня пришла очередь Google. К счастью, в этот раз вы рискуете попрощаться не с поисковым трафиком вашего сайта, а всего лишь со всеми вашими данными, включая письма, файлы и контакты. Вектор атаки всё тот же: административный доступ к сайту и домену, но в этот раз — со стороны DNS.



Эту неприятность рискуют испытать на себе все, кто когда-либо подключал бесплатную почту для домена от Google, то есть сервис, который раньше назывался Google Apps и сейчас называется G Suite. Примерно до 2011 года этот сервис был бесплатным и чуть ли не единственным способом получить почту уровня GMail с адресом в вашем домене.



Всё дальнейшее изложение идёт исходя из точки зрения пользователя, далёкого от системного подхода к информационной безопасности. Если вы подкованы в части ИБ, если вы делаете бэкапы и готовы ко всему, то подумайте о тех, кто не так подкован, как вы. С такой ситуацией может столкнуться каждый. Предупреждён — значит вооружен.



Источник
Загрузка...
5 дней назад
#

Отчёт Центра мониторинга информационной безопасности за II полугодие 2017 года



C начала 2018 года мы переходим на полугодовой цикл публикации отчётов Центра мониторинга нашей компании. Данный отчёт охватывает период с июля по декабрь 2017 года.

Сводная статистика Центра мониторинга информационной безопасности

Под катом о том, почему событий стало меньше, а инцидентов — больше.

Источник
Загрузка...
5 дней назад
#

The Browser Exploitation Framework Project: от XSS до полного контроля



image

 

BeEF (сокращение от Browser Exploitation Framework) – платформа для эксплуатации клиент-сайд уязвимостей, таких как XSS (cross-site scripting).

Эксплуатации XSS уязвимостей зачастую уделяется мало внимания, т.к. вектора атаки нацелены на пользователей веб-приложения, а не на веб-приложение или веб-сервер. BeEF позволяет реализовывать атакующие векторы, использующие в качестве точки входа веб-браузер. Такие атаки могут использоваться в контексте
watering hole и
spear phishing атак, а также в контексте
APT.

Источник
Загрузка...
7 дней назад
#

Как в реальности патч от уязвимостей Meltdown и Spectre влияет на производительность



С момента обнародовании информации об уязвимостях Meltdown страсти успели уже поутихнуть. Microsoft успела выпустить патч, огрести с ним проблем, отозвать его и выпустить снова.

Так получилось, что у меня под рукой оказались две близких по характеристикам системы:

i5 7600K + Z270 и i7 3770K + Z77. На обеих системах установлена Windows 10 Pro с последним набором обновлений. Операционная система установлена на SSD, для тестов использовался отдельный NVME SSD, один и тот же в обоих случаях. Графические тесты проводились по принципу «гулять так гулять», на GTX 1080Ti, но, вместе с тем, в реалистичных для такой видеокарты сценариях. То есть никакого понижения настроек графики для выявления чистой незамутнённой процессорозависимости не делалось. На этом железе было решено проверить правдивость заявлений Microsoft о влиянии патчей на производительность современного и старого, но ещё не особо и устаревшего, железа.

Источник
Загрузка...
Den
7 дней назад
#

Предсказание случайных чисел в умных контрактах Ethereum





Ethereum приобрёл огромную популярность как платформа для первичного размещения монет (ICO). Однако она используется не только для токенов ERC20. Рулетки, лотереи и карточные игры — всё это можно реализовать на блокчейне Ethereum. Как любая реализация, блокчейн Ethereum не поддаётся подделке, он децентрализован и прозрачен. Ethereum допускает выполнение тьюринг-полных программ, которые обычно пишут на языке программирования Solidity. По словам основателей платформы, это превращает систему во «всемирный суперкомпьютер». Перечисленные характеристики полезны в приложениях для азартных игр, где особенно важно доверие пользователей.

Блокчейн Ethereum является детерминированным и поэтому представляет определённые сложности при написании генератора псевдослучайных чисел (ГПСЧ) — неотъемлемой части любого приложения для азартных игр. Мы решили исследовать смарт-контракты, чтобы оценить безопасность ГПСЧ на Solidity и подчеркнуть характерные ошибки проектирования, которые ведут к появлению уязвимостей и возможности предсказания будущего состояния ГПСЧ.

Источник
Загрузка...
2 3

Авторизация

Пользователи

Володя Рудомаха
adanick
Марина Викторовна
Георгiй Москвитинъ
Andpyxa Tutunnik
Andrey_fox
Jane linch
genagy
Pasha Radiuk