Информационная безопасность — TechCave

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Стена группы

Загрузка...
6 дней назад
#

Регулирование: В США обяжут компании уведомлять об утечке ПД в рамках 30 дней



На днях губернатор штата Колорадо подписал законопроект HB18-1128 под названием «Protections for Consumer Data Privacy». Он обяжет организации уведомлять клиентов и власти штата об «утечках» данных в рамках 30 дней с момента возникновения таких инцидентов. Под катом — наш краткий обзор этого законопроекта с учетом общей ситуации вокруг ввода GDPR.



Источник
Загрузка...
6 дней назад
#

«Те, кто готов променять свободу на безопасность, не достойны ни свободы, ни безопасности» (первоисточник)



Впервые я услышал эту фразу, когда я был буйным студентом-революционером от генерал-майора Петрова на видеолекции про ДОТУ (Достаточно Общую Теорию Управления), с тех пор я её часто употребляю как «последний довод короля» в обсуждениях дел мирских. Но так как мир вошел в активную фазу постправды и фэйка с метастазами, я решил копнуть первоисточники и разобраться, в каком контексте эту фразу употребил старина Бэн, и что он этим хотел сказать/доказать читателю.

Предлагаю
прочитать первоисточник и обсудить именно суть фразы, границу ее применимости. (А не личность Петрова, ДОТУ или качество перевода.) Если есть знатоки истории, буду благодарен, если обрисуете более широкий контекст происходящего в то время.

image

Ассамблея Пенсильвании: Официальное письмо Губернатору
Опубликовано в протоколе заседания Палаты представителей, 1755-1756 гг. (Филадельфия, 1756), с. 19-21.
[11 ноября, 1755]


Да будет угодно губернатору,

В настоящее время Палата представителей собралась с самыми искренними намерениями, по возможности, избежать возникновения споров с губернатором на любой счет. И, глубоко переживая за нынешнее бедственное положение пограничных районов, преисполнена решимости пойти на любые меры ради обеспечения общественной безопасности и благополучия, которые вполне могли быть ожидаемы как со стороны верноподданных британской короны, так и патриотов своей страны.

Ввиду этого, на чтении послания Губернатора от третьего числа текущего месяца вместе с сопроводительными документами был немедленно внесен законопроект об увеличении суммы, выделяемой на содержание Его Величества, об увеличении выпуска бумажных денег и о выделении средств для погашения задолженности в течение пяти лет, согласно рекомендациям Губернатора.

Источник
Загрузка...
6 дней назад
#

ESET препарировала шпионское ПО InvisiMole, использующееся с 2013 года



Следить за высокопоставленными жертвами, оставаясь в тени. Это принцип работы двух вредоносных компонентов InvisiMole. Они превращают зараженный компьютер в видеокамеру атакующих, которая позволяет видеть и слышать все, что происходит в офисе или в любом другом месте, где находится устройство. Операторы InvisiMole легко подключаются к системе, следят за действиями жертвы и крадут ее секреты.



По данным телеметрии ESET, злоумышленники, стоящие за данной
спайварью, активны как минимум с 2013 года. Тем не менее, этот инструмент
кибершпионажа не только не был изучен, но и не детектировался до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине.

Кампания высокотаргетирована, что объясняет низкий уровень зараженности – всего несколько десятков компьютеров.

Источник
Загрузка...
8 дней назад
#

Как создать образцы для Единой биометрической системы и почему это может быть опасно





Марк не хочет, чтобы на него в России была оформлена ипотека

С 30 июня госорганы, банки и иные организации получат право собирать биометрические данные граждан и устанавливать по ним личность. В то же время закон № 482-ФЗ устанавливает критерии, которым должны соответствовать банки, открывающие и ведущие счета клиентов без их личного присутствия.



Единая биометрическая система идентификации личности будет запущена в России 1 июля.



Для проекта на государственном уровне были выбраны два типа биометрии: голос и лицо, причем не по отдельности, а вместе, так как бимодальность позволяет определить «живого человека», а не имитацию его биометрии в цифровом канале. В будущем возможно подключение других биометрий, в частности, радужной оболочки глаз и рисунков вен.



За доступ к данным каждого гражданина в единой идентификационной базе банки должны будут платить по 200 рублей. При этом половину этой суммы будет получать банк, который первоначально участвовал в снятии первичной биометрии, а еще 100 руб. получат иные участники системы (оператор самой системы, портал госуслуг и вендоры технологических решений). Учитывая, что активными клиентами банков являются миллионы человек, сумма получается огромная.



На начальном этапе введения системы клиентам будут доступны только простые операции вроде перевода внутри своих счетов, в дальнейшем с ее помощью можно будет оформлять кредиты и ипотеки.



В дальнейшем систему планируют распространить на госуслуги, образование, здравоохранение и другие сферы.



Источник
Загрузка...
8 дней назад
#

Работодатели отслеживают компьютеры, походы в туалет, а теперь ещё и эмоции; следит ли ваш босс за вами?



От имплантации микрочипов до ношения отслеживающих браслетов и сенсоров, способных уловить усталость и депрессию, новые технологии позволяют работодателям всё более и более назойливо наблюдать за сотрудниками. Нужно ли нам волноваться по этому поводу?



В прошлом году американская компания пометила микрочипами десятки работников. На «чиповой вечеринке», попавшей в заголовки мировых газет, сотрудники выстраивались в очередь для того, чтобы им под кожу между большим и указательным пальцами имплантировали устройство размером с зёрнышко риса. Сначала Тодд Уэстби, директор Three Square Market, думал, что добровольцами вызовутся человек пять-шесть – он, пара директоров, несколько айтишников. Но из 90 людей, работающих в штаб-квартире, чипами оснащено уже 72 человека; у Уэстби чипы в обеих руках. Их можно использовать для открывания дверей, авторизации на компьютерах и оплаты в торговых автоматах компании.

Источник
Загрузка...
8 дней назад
#

В компьютерах Apple закрыта уязвимость прошивки, найденная экспертами Positive Technologies





Изображение: Unsplash

Исправленная уязвимость позволяла эксплуатировать опасную ошибку в подсистеме Intel Management Engine и по-прежнему может присутствовать в устройствах других вендоров, использующих процессоры Intel.

Компания Apple выпустила обновление для macOS High Sierra 10.13.4, которое устраняет уязвимость в прошивке персональных компьютеров (
CVE-2018-4251), обнаруженную экспертами Positive Technologies Максимом Горячим и Марком Ермоловым. Подробная информация об этом представлена на
сайте технической поддержки Apple.

Вот как описывает проблему Максим Горячий: «Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ к критически важным частям прошивки, записать туда уязвимую версию Intel ME и через ее эксплуатацию тайно закрепиться на устройстве. В дальнейшем он сможет получить полный контроль над компьютером и осуществлять шпионскую деятельность, без малейшей вероятности быть обнаруженным».


Источник
Загрузка...
8 дней назад
#

Что такое Lazy FP State Restore: в процессорах Intel обнаружена новая уязвимость





Изображение: Unsplash

В процессорах Intel
обнаружена новая уязвимость. Ошибка, затрагивающая все модели семейства Intel Core, получила название Lazy FP State Restore (CVE-2018-3665).

Источник
Загрузка...
Den
8 дней назад
#

Релиз неофициального MTProto прокси на Python, особенности протокола



image

Недавно разработчики Telegram выложили исходные тексты прокси-сервера, работающего по протоколу MTProto. На хабре вышли статьи об
особенностях его сборки и
перепаковке докер-контейнера с ним. Официальный прокси сервер, написанный на С, удивляет объемом кода — примерно 23 тысячи строк. Одновременно с этим, а иногда и чуть раньше, вышло несколько альтернативных реализаций, но ни одна из них не поддерживала возможность рекламы своего канала.

В данной статье хотелось бы, во-первых, рассказать о малоизвестных особенностях протокола общения прокси-сервера с внешними серверами и, во-вторых, рассказать о собственной разработке — реализации прокси-сервера на Python, которая только что достигла релиза и доступна всем желающим под свободной лицензией MIT.

Источник
Загрузка...
8 дней назад
#

Анализ различных методов ИТ-обучения



Многих интересует вопрос как лучше обучаться и почему? Давайте рассмотрим все варианты обучения и выберем оптимальный под ту или иную задачу…

Итак, основными типами обучения в ИТ сфере являются следующие:

  1. Форумы, конференции, бесплатные ресурсы

  2. Книги

  3. Дистанционное самообучение в Интернет

  4. Вебинары

  5. Очное обучение



Возможно, есть еще какие-то формы, но они по большей части похожи на те, которые уже указаны. Давайте теперь рассмотрим каждую форму обучения отдельно и выявим сильные и слабые стороны.

Источник
Загрузка...
11 дней назад
#

Альтернативы продуктам Google





Корпорация Google с каждым годом усиливает своё влияние. Минули времена, когда люди делились ссылкой на новый поисковик с экзотическим названием google.com вообще без рекламы, а потом инвайты на Gmail ценились на вес золота. Сейчас ситуация совершенно иная. Как-то незаметно Google вырос и изменил бизнес-модель.

Активисты движения
Restore Privacy считают, что «вся бизнес-модель Google основана на том, что вы становитесь под их корпоративную слежку. Вот и всё. Все, что они делают — это переупаковывают массовую корпоративную слежку в удобные, бесплатные, модные приложения, которые засасывают все ваши данные. Ваши личные данные помогают Google доминировать на рынке интернет-рекламы».

В такой модели вы являетесь продуктом.

Источник
Загрузка...
Den
11 дней назад
#

5.94-метровый docker-образ с Telegram MTProxy



Как все уже
слышали, в конце мая Telegram зарелизил официальный MTProto Proxy (aka MTProxy) сервер, написанный на
сях. В 2018 году без Docker мало куда, потому он сопровождается таким же «официальным»
образом в формате zero-config. Все бы хорошо, но три «но» чуток испортили впечатление от релиза: image весит >130 Mb (там достаточно толстенький Debian, а не привычный Alpine), в силу «zero-config» оно не всегда удобно конфигурируется (только параметрами среды окружения) и ребята забыли, походу, выложить Dockerfile.



TL;DR Мы сделаем практически 1-в-1 официальный alpine-based docker image размером 5.94MB и положим его
сюда (а Dockerfile
сюда); попутно разберемся, как иногда можно подружить софт с Alpine с помощью кусачек и напильника, и чуток поиграемся размером, исключительно фана для.

Источник
Загрузка...
11 дней назад
#

Биометрические персональные данные россиян





В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.



Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:

«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»
Для детей у Роскомнадзора есть упрощенное объяснение:

Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.
Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:
отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.


О стандартах

Источник
Загрузка...
Den
11 дней назад
#

Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ тематических ссылок про взломы банков





Ссылки на другие части исследования


При подготовке материалов для следующих статьей набралась довольно обширная коллекция ссылок на темы:

  • хакерских атак на банки,

  • технического анализа банковских взломов,

  • обзора типовых уязвимостей в банковских сетях,

  • судебной практики,

  • аналитики, прогнозов и других статей по банковской безопасности.



В какой-то момент времени количество подобранных материалов переросло в качество, так что данная подборка может заинтересовать уже сама по себе.

Источник
Загрузка...
11 дней назад
#

Как Cambridge Analytica превратила клики в голоса



Информатор Кристофер Уайли объясняет науку, стоящую за миссией компании Cambridge Analytica по превращению опросов и данных с Facebook в политическое оружие



Как 87 миллионов записей, собранных с Facebook, превратились в рекламную кампанию, способную поменять результат выборов? Что входит в процедуру сбора такого количества данных? Что эти данные говорят нам о нас самих?

Скандал с компанией Cambridge Analytica поднял множество вопросов, но для многих уникальное торговое предложение компании, которая на прошлой неделе объявила о своём закрытии, остаётся тайной.

Специально для тех 87 миллионов человек, которым интересно, что именно произошло с их данными, я отправился за разъяснениями к Кристоферу Уайли, бывшему сотруднику компании, рассказавшему всем в издании Observer про её проблемные действия. Согласно Уайли, для подобной работы нужно совсем немного информации о науке обработки данных, скучающих богатых женщинах и человеческой психологии.

Источник
Загрузка...
11 дней назад
#

Можно ли «хакнуть» ASP инфраструктуру?





Как говорят специалисты по информационной безопасности «Ломают всё, всех и всегда». При этом, атаки на ASP.NET — вещь достаточно редкая. Поэтому всегда крайне любопытно узнавать про это что-то новое. Под катом рассказ специалиста отдела информационной безопасности Rambler Group Алексея Морозова о сильных и слабых сторонах данной технологии.

Источник
Загрузка...
1 3 4

Авторизация

Пользователи

Seangle
Галя Рубцова
Ольга Телюкова
Zhenya
Лариса Аксиненко
Dmitry Loginov
Dimas Potapov
Ваня Берёзкин
Володя Рудомаха