Информационная безопасность — TechCave

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Стена группы

Загрузка...
Den
3 месяца назад
#

Поговорим о юзернеймах



Пару недель назад я выпустил
django-registration 2.4.1. Сборки 2.4.x станут последними в версии django-registration 2.x, дальше будут выходить только исправления багов. Основная ветка сейчас готовится к версии 3.0, откуда планируется удалить кучу устаревшего хлама, накопившегося за последнее десятилетие поддержки, и я постараюсь учесть лучшие практики современных приложений Django.

В ближайшее время напишу подробнее о новой версии, но именно сейчас хочу немного поговорить об обманчиво простой проблеме, с которой приходится иметь дело. Это имена пользователей. Да, я мог бы написать одну из популярных статеек типа
«Заблуждения программистов об X», но всё-таки предпочитаю реально объяснить, почему это сложнее, чем кажется, и предложить некоторые советы, как решить проблему. А не просто стебаться без полезного контекста.

Источник
Загрузка...
Den
3 месяца назад
#

Security Week 4: Боты для фанатов GTA, вредоносные аддоны для Chrome с технологиями Яндекса



Новость на русском,
подробности на английском

Недавно был обнаружен новый IoT-ботнет, созданный, по всей видимости, большим фанатом GTA: командный сервер размещен в домене фанатских мультиплеерных модов для GTA San Andreas. Помимо хостинга самопальных серверов «Сан-Андреаса», на сайте можно заказать DDoS-атаку за умеренную плату (от 20 долларов). Прозвали новый ботнет JenX, из-за рабочего бинарного файла с нежным девичьим именем Jennifer.

Заводчик JenX не стал изобретать велосипед, скорее уж наоборот, наскреб по сусекам. Для вербовки новых ботов зловред пользуется уязвимостями в маршрутизаторах Realtek и Huawei (код соответствующих эксплойтов был выложен автором печально известного BrickerBot в свободный доступ). Кроме того, в JenX используется обфускация кода через логическую функцию XOR с тем же ключом, что и в PureMasuta, — исходники этого зловреда в свободный доступ не попадали, но были
опубликованы на дарк-форуме с доступом только по приглашениям. Вдобавок реверс-инжиниринг вскрыл еще и преемственность с Mirai.

Источник
Загрузка...
3 месяца назад
#

Одна CNAME запись и прощайте ваши данные из G Suite





Недавно на Хабре писали про угон всего поискового трафика через сервис для вебмастеров Яндекса, а сегодня пришла очередь Google. К счастью, в этот раз вы рискуете попрощаться не с поисковым трафиком вашего сайта, а всего лишь со всеми вашими данными, включая письма, файлы и контакты. Вектор атаки всё тот же: административный доступ к сайту и домену, но в этот раз — со стороны DNS.



Эту неприятность рискуют испытать на себе все, кто когда-либо подключал бесплатную почту для домена от Google, то есть сервис, который раньше назывался Google Apps и сейчас называется G Suite. Примерно до 2011 года этот сервис был бесплатным и чуть ли не единственным способом получить почту уровня GMail с адресом в вашем домене.



Всё дальнейшее изложение идёт исходя из точки зрения пользователя, далёкого от системного подхода к информационной безопасности. Если вы подкованы в части ИБ, если вы делаете бэкапы и готовы ко всему, то подумайте о тех, кто не так подкован, как вы. С такой ситуацией может столкнуться каждый. Предупреждён — значит вооружен.



Источник
Загрузка...
3 месяца назад
#

Отчёт Центра мониторинга информационной безопасности за II полугодие 2017 года



C начала 2018 года мы переходим на полугодовой цикл публикации отчётов Центра мониторинга нашей компании. Данный отчёт охватывает период с июля по декабрь 2017 года.

Сводная статистика Центра мониторинга информационной безопасности

Под катом о том, почему событий стало меньше, а инцидентов — больше.

Источник
Загрузка...
3 месяца назад
#

The Browser Exploitation Framework Project: от XSS до полного контроля



image

 

BeEF (сокращение от Browser Exploitation Framework) – платформа для эксплуатации клиент-сайд уязвимостей, таких как XSS (cross-site scripting).

Эксплуатации XSS уязвимостей зачастую уделяется мало внимания, т.к. вектора атаки нацелены на пользователей веб-приложения, а не на веб-приложение или веб-сервер. BeEF позволяет реализовывать атакующие векторы, использующие в качестве точки входа веб-браузер. Такие атаки могут использоваться в контексте
watering hole и
spear phishing атак, а также в контексте
APT.

Источник
Загрузка...
3 месяца назад
#

Как в реальности патч от уязвимостей Meltdown и Spectre влияет на производительность



С момента обнародовании информации об уязвимостях Meltdown страсти успели уже поутихнуть. Microsoft успела выпустить патч, огрести с ним проблем, отозвать его и выпустить снова.

Так получилось, что у меня под рукой оказались две близких по характеристикам системы:

i5 7600K + Z270 и i7 3770K + Z77. На обеих системах установлена Windows 10 Pro с последним набором обновлений. Операционная система установлена на SSD, для тестов использовался отдельный NVME SSD, один и тот же в обоих случаях. Графические тесты проводились по принципу «гулять так гулять», на GTX 1080Ti, но, вместе с тем, в реалистичных для такой видеокарты сценариях. То есть никакого понижения настроек графики для выявления чистой незамутнённой процессорозависимости не делалось. На этом железе было решено проверить правдивость заявлений Microsoft о влиянии патчей на производительность современного и старого, но ещё не особо и устаревшего, железа.

Источник
Загрузка...
Den
3 месяца назад
#

Предсказание случайных чисел в умных контрактах Ethereum





Ethereum приобрёл огромную популярность как платформа для первичного размещения монет (ICO). Однако она используется не только для токенов ERC20. Рулетки, лотереи и карточные игры — всё это можно реализовать на блокчейне Ethereum. Как любая реализация, блокчейн Ethereum не поддаётся подделке, он децентрализован и прозрачен. Ethereum допускает выполнение тьюринг-полных программ, которые обычно пишут на языке программирования Solidity. По словам основателей платформы, это превращает систему во «всемирный суперкомпьютер». Перечисленные характеристики полезны в приложениях для азартных игр, где особенно важно доверие пользователей.

Блокчейн Ethereum является детерминированным и поэтому представляет определённые сложности при написании генератора псевдослучайных чисел (ГПСЧ) — неотъемлемой части любого приложения для азартных игр. Мы решили исследовать смарт-контракты, чтобы оценить безопасность ГПСЧ на Solidity и подчеркнуть характерные ошибки проектирования, которые ведут к появлению уязвимостей и возможности предсказания будущего состояния ГПСЧ.

Источник
Загрузка...
3 месяца назад
#

Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018



Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст «Не защищено» («Not secure») в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом.



image



Источник
Загрузка...
3 месяца назад
#

Фундаментальная уязвимость HTML при встраивании скриптов



Чтобы описать суть проблемы, мне нужно рассказать, как вообще устроен HTML. Вы наверняка в общих чертах представляли себе, но я все равно коротко пробегусь по основным моментам, которые понадобятся для понимания. Если кому-то не терпится, сразу переходите к сути.



HTML — это язык гипертекстовой разметки. Чтобы говорить на этом языке, нужно соблюдать его формат, иначе тот, кто читает написанное, не сможет вас понять. Например, в HTML у тегов есть атрибуты:



<p name="value">


Тут [name] — это имя атрибута, а [value] — это его значение. В статье я буду использовать квадратные скобки вокруг кода, чтобы было понятно, где он начинается и заканчивается. После имени стои́т знак равенства, а после него — значение, заключенное в кавычки. Значение атрибута начинается сразу после первого символа кавычки и заканчивается сразу перед следующим символом кавычки, где бы он не находился. Это значит, что если вместо [value] вы запишете [OOO "Рога и копыта".], то значение атрибута name будет [OOO ], а еще у вашего элемента будет три других атрибута с именами: [рога], [и] и [копыта"."], но без значений.



<p name="OOO "Рога и копыта"."></p>


Если это не то, чего вы ожидали, вам нужно как-то изменить значение атрибута, чтобы в нем не встречалась кавычка. Самое простое, что можно придумать — просто вырезать кавычки.



<p name="OOO Рога и копыта."></p>


Источник
Загрузка...
3 месяца назад
#

Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB)



Привет, Хабр! Представляю вашему вниманию перевод и адаптацию статьи "
CIS-Controls Implementation Guide for Small- and Medium-Sized Enterprises (SMEs)".

image

Введение

Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной собственности, нарушение конфиденциальности, отказ в обслуживании — эти инциденты информационной безопасности стали обычными новостями. Среди пострадавших попадаются крупнейшие, наиболее состоятельные и наиболее защищенные предприятия: правительственные учреждения, крупные розничные сети, финансовые структуры, даже производители решений по информационной безопасности.

Подобные компании имеют многомиллионные бюджеты, выделяемые на информационную безопасность, и все же они не справляются с обычными атаками. Многие подобные атаки можно было предотвратить известными методами по защите информации, такими как регулярные обновления и практика использования безопасных конфигураций.

Что же тогда делать всем остальным? Как организациям с небольшим бюджетом и ограниченным штатом сотрудников реагировать на увеличивающееся число кибер-преступлений? Данный документ разработан для того, чтобы предоставить владельцам SMB инструменты для защиты своего бизнеса, основанные на CIS Controls. CIS Controls — это комплексный набор хорошо зарекомендовавших себя методов защиты информации, которые противодействуют наиболее распространенным угрозам и уязвимостям. Данные методы защиты информации разработаны специалистами в предметной области.

Источник
Загрузка...
3 месяца назад
#

Инвентаризация (бизнес-*) процессов через актуализацию должностных инструкций в интересах информационной безопасности



Привет, Хабражитель!



Предлагаю вниманию статью, объединяющую вещи, на первый взгляд, не имеющих между собой ничего общего: должностные обязанности работников, инвентаризация (бизнес-*)процессов и информационной безопасности.



Будут рассмотрены следующие темы:



  1. Вместо вступления

  2. Про должностные инструкции

  3. Про процессы и подходы

  4. Про информационную безопасность

  5. Про всё вместе

  6. Пример автоматизации

  7. Пути развития идей, отраженных в статье

  8. Вместо заключения



Добро пожаловать под кат!



Источник
Загрузка...
Den
3 месяца назад
#

Пять проблем и тенденций информационной безопасности: чего ожидать в 2018 году





Киберпреступность доставляет немало проблем обычным пользователям, но также и создаёт новые рабочие места. По
прогнозу Cybersecurity Ventures, в ближайшие четыре года в секторе ИБ появится 3,5 млн новых рабочих мест (в 3,5 раза больше открытых вакансий, чем в настоящее время).

Отрасль ИБ переживает настоящий бум. Например, в США количество открытых вакансий в ИБ за 2015-2017 годы выросло с 209 тыс. до 350 тыс., то есть на 67%. Похожие процессы идут в России и других странах: информационная безопасность на подъёме. В 2017 году компании во всём мире потратили $86,4 млрд на ИБ (
статистика Gartner).

Но у медали две стороны. Такая статистика вовсе не означает, что сети станут защищённее и безопаснее. Может и наоборот. Отрасль ИБ пытается защититься от новых и новых угроз. Количество хакеров, киберпреступлений, вредоносного ПО, шпионажа, взломов и утечек данных — всё это растёт гораздо быстрее, чем количество «защитников» из сектора ИБ. Не говоря уже о том, что техническая квалификация «чёрных» (black-hat) хакеров зачастую превышает квалификацию тех специалистов по ИБ, которые обучились компьютерной грамоте в университете. Хакеры творчески используют новые технологии и постоянно придумывают новые векторы атак.

С какими проблемами столкнутся специалисты по ИБ в ближайшее время? К чему готовиться?

Источник
Загрузка...
3 месяца назад
#

Защита беспроводной сети: WIPS. Часть 1: Mojo AirTight



Доброго времени суток жителям Хабра. Можно подумать, что беспроводные системы обнаружения вторжений — это стоящие по периметру покрытия беспроводной сети зенитки и непрерывно вращающиеся тарелки радаров…



Ан нет, в суровой реальности всё несколько прозаичнее. Этим постом хочу поделиться нашим опытом работы с двумя решениями WIPS (Wireless Intrusion Prevention System). В первой части расскажу, что такое WIPS вообще и зачем он нужен, а также дам краткий обзор ключевых возможностей продукта Mojo AirTight и описание требуемых настроек. Во второй части планирую рассмотреть аналогичное решение от Cisco.

Источник
Загрузка...
3 месяца назад
#

Security week 3: вор у вора биткойны украл, здесь мог быть ваш троян, десять дней без компьютеров



Новость

Недавно в поле зрения ИБ-исследователей попали владельцы прокси-сервиса для Tor, которые грабили своих пользователей и вымогателей. Дело в том, что этот Tor-прокси сервис часто использовался жертвами криптовирусов, неспособными или не готовыми разбираться с установкой браузера Tor. Именно через этот сервис они заходили на .onion сайт злоумышленников. Некоторые вымогатели даже указывали в записках о выкупе ссылку для прямого захода через этот прокси-сервис — как говорится, все для клиента. Вот только при загрузке страниц адрес кошелька вымогателей тихонько менялся на посторонний.

Источник
Загрузка...
3 месяца назад
#

Состоялся релиз Kali Linux 2018.1



image

 
Состоялся rolling-release Kali Linux 2018.1, который содержит множество обновлений: обновленные пакеты, обновленное ядро, которое обеспечивает более качественную аппаратную поддержку, обновленные инструменты.



Kali Linux представляет из себя дистрибутив, содержащий множество утилит для проведения тестирования на проникновение — от анализа уязвимостей веб-приложений, до взлома сетей и сервисов и закрепления в системе. Ранее этот дистрибутив был известен под названием Backtrack.



Источник
Загрузка...
14 15 17 18

Авторизация

Пользователи

Zhenya
Лариса Аксиненко
Dmitry Loginov
Dimas Potapov
Ваня Берёзкин
Володя Рудомаха
adanick
Марина Викторовна
Георгiй Москвитинъ