Информационная безопасность — TechCave

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Стена группы

Загрузка...
5 месяцев назад
#

Facebook начал спамить на телефонные номера, указанные для двухфакторной аутентификации





Отдельные пользователи Facebook
жалуются, что Facebook начал присылать им уведомления по SMS на телефонный номер, указанный для двухфакторной аутентификации. Например, пользователь
Габриэль Льюис из Сан-Франциско уверяет, что у него в настройках Facebook отключены текстовые сообщения. Тем не менее, уведомления из социальной сети всё равно приходят. Как видно на скриншоте, Габриэль отвечал на эти SMS словами «Пожалуйста, хватит!», «СТОП» и «Не нужно присылать мне сообщения». Ничего не помогло.

Источник
Загрузка...
5 месяцев назад
#

Спецслужбы США выступают против использования американцами устройств от Huawei и ZTE





Руководители шести крупнейших разведывательных управлений США, выступая на слушаниях в Сенате, высказались резко против использования гражданами США телефонов и планшетов от Huawei и ZTE. Свое мнение представители ЦРУ, ФБР, АНБ и других специальных правительственных организаций обосновывают тем, что разработки китайских компаний подвергают ненужным рискам как американские компании, так и граждан.

«Мы глубоко озабочены рисками, которые появляются при использовании американцами устройств и сервисов, созданных в стране, правительство которой не разделяет наши ценности», — заявил руководитель ФБР Крис Рэй (Chris Wray). По его мнению, все это позволяет иностранцам установить контроль или, по крайней мере, предпринимать попытку контроля над телекоммуникационными сетями США. Кроме всего прочего, Рэй утверждал, что использование китайского оборудования и сервисов несет такие риски, как внедрение вредоносов уже в американские сети, плюс существует опасность хищения данных в результате осуществления скрытого шпионажа.

Источник
Загрузка...
5 месяцев назад
#

Знаковый символ: iOS denial of service



image

В операционной системе iOS обнаружен необычный баг, приводящий к перезагрузке устройства. Достаточно прислать на iPhone специальный знак из алфавита индийского языка телугу జ్ఞా («знак»), после чего устройство автоматически перезагружается.

Источник
Загрузка...
5 месяцев назад
#

Обход антивируса Kaspersky Total Security



На днях я наткнулся на данный весьма
интересный проект. Суть заключается в том что данный софт декодирует Login Data от Chrome, Opera Stable (По тому же методу что и Chrome) и выдает все в нам привычный string формат.

Источник
Загрузка...
5 месяцев назад
#

Обход антивируса Kaspersky Total Security. Часть 2



Здравствуйте ещё раз. Под моим первым постом «Обход антивируса Kaspersky Total Security» пользователи негодовали. Кто-то писал что это вообще не обход антивируса, а полный бред, кто-то поддержал идею. От части я своё задание выполнил, но если вам этого мало то сегодня я попробую целиком раскрыть весь потенциал.

Источник
Загрузка...
6 месяцев назад
#

Три необычных примера использования блокчейна



Высказывания о том, что блокчейн исключительно про ICO, криптовалюты, финансовую индустрию, банкинг и создание публичных открытых сетей, начинают терять свою значимость. Например, количество пилотных проектов, проведённых компанией IBM с партнёрами из самых разных отраслей уже в 2016 году достигло 400.

«Если 2016-й год был для компаний годом экспериментальных проектов в области блокчейн-технологий, то 2017-й стал годом масштабирования и переходом от пилотных проектов к активным сетям. Я думаю, в 2018-м этот тренд продолжит развиваться, и достаточно много проектов перейдёт в продуктивную фазу. Ещё я бы отметил тенденцию всё большей интеграции блокчейн-проектов друг с другом и продуктивными системами. Блокчейн-решение, по сути, не может быть «отдельной коробочкой», оно обязательно должно быть интегрировано с продуктивными системами банков или других организаций».
                                       Владимир Алексеев, cистемный архитектор IBM в России и СНГ,
                                                             спикер курса
Blockchain Weekend в Binary District




Источник
Загрузка...
Den
6 месяцев назад
#

Поговорим о юзернеймах



Пару недель назад я выпустил
django-registration 2.4.1. Сборки 2.4.x станут последними в версии django-registration 2.x, дальше будут выходить только исправления багов. Основная ветка сейчас готовится к версии 3.0, откуда планируется удалить кучу устаревшего хлама, накопившегося за последнее десятилетие поддержки, и я постараюсь учесть лучшие практики современных приложений Django.

В ближайшее время напишу подробнее о новой версии, но именно сейчас хочу немного поговорить об обманчиво простой проблеме, с которой приходится иметь дело. Это имена пользователей. Да, я мог бы написать одну из популярных статеек типа
«Заблуждения программистов об X», но всё-таки предпочитаю реально объяснить, почему это сложнее, чем кажется, и предложить некоторые советы, как решить проблему. А не просто стебаться без полезного контекста.

Источник
Загрузка...
Den
6 месяцев назад
#

Security Week 4: Боты для фанатов GTA, вредоносные аддоны для Chrome с технологиями Яндекса



Новость на русском,
подробности на английском

Недавно был обнаружен новый IoT-ботнет, созданный, по всей видимости, большим фанатом GTA: командный сервер размещен в домене фанатских мультиплеерных модов для GTA San Andreas. Помимо хостинга самопальных серверов «Сан-Андреаса», на сайте можно заказать DDoS-атаку за умеренную плату (от 20 долларов). Прозвали новый ботнет JenX, из-за рабочего бинарного файла с нежным девичьим именем Jennifer.

Заводчик JenX не стал изобретать велосипед, скорее уж наоборот, наскреб по сусекам. Для вербовки новых ботов зловред пользуется уязвимостями в маршрутизаторах Realtek и Huawei (код соответствующих эксплойтов был выложен автором печально известного BrickerBot в свободный доступ). Кроме того, в JenX используется обфускация кода через логическую функцию XOR с тем же ключом, что и в PureMasuta, — исходники этого зловреда в свободный доступ не попадали, но были
опубликованы на дарк-форуме с доступом только по приглашениям. Вдобавок реверс-инжиниринг вскрыл еще и преемственность с Mirai.

Источник
Загрузка...
6 месяцев назад
#

Одна CNAME запись и прощайте ваши данные из G Suite





Недавно на Хабре писали про угон всего поискового трафика через сервис для вебмастеров Яндекса, а сегодня пришла очередь Google. К счастью, в этот раз вы рискуете попрощаться не с поисковым трафиком вашего сайта, а всего лишь со всеми вашими данными, включая письма, файлы и контакты. Вектор атаки всё тот же: административный доступ к сайту и домену, но в этот раз — со стороны DNS.



Эту неприятность рискуют испытать на себе все, кто когда-либо подключал бесплатную почту для домена от Google, то есть сервис, который раньше назывался Google Apps и сейчас называется G Suite. Примерно до 2011 года этот сервис был бесплатным и чуть ли не единственным способом получить почту уровня GMail с адресом в вашем домене.



Всё дальнейшее изложение идёт исходя из точки зрения пользователя, далёкого от системного подхода к информационной безопасности. Если вы подкованы в части ИБ, если вы делаете бэкапы и готовы ко всему, то подумайте о тех, кто не так подкован, как вы. С такой ситуацией может столкнуться каждый. Предупреждён — значит вооружен.



Источник
Загрузка...
6 месяцев назад
#

Отчёт Центра мониторинга информационной безопасности за II полугодие 2017 года



C начала 2018 года мы переходим на полугодовой цикл публикации отчётов Центра мониторинга нашей компании. Данный отчёт охватывает период с июля по декабрь 2017 года.

Сводная статистика Центра мониторинга информационной безопасности

Под катом о том, почему событий стало меньше, а инцидентов — больше.

Источник
Загрузка...
6 месяцев назад
#

The Browser Exploitation Framework Project: от XSS до полного контроля



image

 

BeEF (сокращение от Browser Exploitation Framework) – платформа для эксплуатации клиент-сайд уязвимостей, таких как XSS (cross-site scripting).

Эксплуатации XSS уязвимостей зачастую уделяется мало внимания, т.к. вектора атаки нацелены на пользователей веб-приложения, а не на веб-приложение или веб-сервер. BeEF позволяет реализовывать атакующие векторы, использующие в качестве точки входа веб-браузер. Такие атаки могут использоваться в контексте
watering hole и
spear phishing атак, а также в контексте
APT.

Источник
Загрузка...
6 месяцев назад
#

Как в реальности патч от уязвимостей Meltdown и Spectre влияет на производительность



С момента обнародовании информации об уязвимостях Meltdown страсти успели уже поутихнуть. Microsoft успела выпустить патч, огрести с ним проблем, отозвать его и выпустить снова.

Так получилось, что у меня под рукой оказались две близких по характеристикам системы:

i5 7600K + Z270 и i7 3770K + Z77. На обеих системах установлена Windows 10 Pro с последним набором обновлений. Операционная система установлена на SSD, для тестов использовался отдельный NVME SSD, один и тот же в обоих случаях. Графические тесты проводились по принципу «гулять так гулять», на GTX 1080Ti, но, вместе с тем, в реалистичных для такой видеокарты сценариях. То есть никакого понижения настроек графики для выявления чистой незамутнённой процессорозависимости не делалось. На этом железе было решено проверить правдивость заявлений Microsoft о влиянии патчей на производительность современного и старого, но ещё не особо и устаревшего, железа.

Источник
Загрузка...
Den
6 месяцев назад
#

Предсказание случайных чисел в умных контрактах Ethereum





Ethereum приобрёл огромную популярность как платформа для первичного размещения монет (ICO). Однако она используется не только для токенов ERC20. Рулетки, лотереи и карточные игры — всё это можно реализовать на блокчейне Ethereum. Как любая реализация, блокчейн Ethereum не поддаётся подделке, он децентрализован и прозрачен. Ethereum допускает выполнение тьюринг-полных программ, которые обычно пишут на языке программирования Solidity. По словам основателей платформы, это превращает систему во «всемирный суперкомпьютер». Перечисленные характеристики полезны в приложениях для азартных игр, где особенно важно доверие пользователей.

Блокчейн Ethereum является детерминированным и поэтому представляет определённые сложности при написании генератора псевдослучайных чисел (ГПСЧ) — неотъемлемой части любого приложения для азартных игр. Мы решили исследовать смарт-контракты, чтобы оценить безопасность ГПСЧ на Solidity и подчеркнуть характерные ошибки проектирования, которые ведут к появлению уязвимостей и возможности предсказания будущего состояния ГПСЧ.

Источник
Загрузка...
6 месяцев назад
#

Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018



Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст «Не защищено» («Not secure») в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом.



image



Источник
Загрузка...
6 месяцев назад
#

Фундаментальная уязвимость HTML при встраивании скриптов



Чтобы описать суть проблемы, мне нужно рассказать, как вообще устроен HTML. Вы наверняка в общих чертах представляли себе, но я все равно коротко пробегусь по основным моментам, которые понадобятся для понимания. Если кому-то не терпится, сразу переходите к сути.



HTML — это язык гипертекстовой разметки. Чтобы говорить на этом языке, нужно соблюдать его формат, иначе тот, кто читает написанное, не сможет вас понять. Например, в HTML у тегов есть атрибуты:



<p name="value">


Тут [name] — это имя атрибута, а [value] — это его значение. В статье я буду использовать квадратные скобки вокруг кода, чтобы было понятно, где он начинается и заканчивается. После имени стои́т знак равенства, а после него — значение, заключенное в кавычки. Значение атрибута начинается сразу после первого символа кавычки и заканчивается сразу перед следующим символом кавычки, где бы он не находился. Это значит, что если вместо [value] вы запишете [OOO "Рога и копыта".], то значение атрибута name будет [OOO ], а еще у вашего элемента будет три других атрибута с именами: [рога], [и] и [копыта"."], но без значений.



<p name="OOO "Рога и копыта"."></p>


Если это не то, чего вы ожидали, вам нужно как-то изменить значение атрибута, чтобы в нем не встречалась кавычка. Самое простое, что можно придумать — просто вырезать кавычки.



<p name="OOO Рога и копыта."></p>


Источник
Загрузка...
24 25 27 28

Авторизация

Пользователи

lunchcalllina1978
Sever
stopresniebots1983
tekino
templide
Seangle
Галя Рубцова
Ольга Телюкова
Zhenya