TechCave

Описание сайта

Основная информация

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Рейтинг: 1
Создана 4 года назад
Владелец root

Стена группы

Загрузка...
1 год назад
#

FAQ по теме интеграции с ЕСИА





Изменения в законодательстве, начинающие действовать с начала 2018 года и включающие в себя самые разнообразные области нашей с вами жизнедеятельности (закон о мессенджерах, о телемедицине и т.д.) объединяет одно – все большее проникновение информационных сервисов в нашу жизнь. Естественным является факт, что как и в реальной жизни, для получения человеком какой-либо услуги ему требуется пройти идентификацию. В офф-лайновой жизни средством авторизации является паспорт гражданина, а в он-лайн сфере таковым средством правительство решило признать ЕСИА — единая система идентификации и аутентификации.

Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.

Источник
1 год назад
#

Утренний дозор, или вступайте в радио-робингуды



Я всегда считал себя везучим. Так редко бывая в Москве, я все же поймал сигнал, который переносит всех во Внуково. Но не всё коту масленица. Последние два раза я не попал на этот праздник РЭБ и РР (радио-электронной борьбы и радио-разведки), пришлось уехать в Питер ни с чем. Это понятно, что после белой полосы всегда приходит черная, но мне хочется взять ситуацию под контроль с вашей помощью.



Источник
1 год назад
#

SOC for beginners. Как организовать мониторинг инцидентов и реагирование на атаки в режиме 24х7



Продолжаем цикл наших статей «SOC for beginners». В прошлый раз мы говорили о том, как внедрить в компании
Threat Intelligence и не пожалеть. Сегодня хотелось бы поговорить о том, как организовать процессы, чтобы обеспечить непрерывный мониторинг инцидентов и оперативное реагирование на атаки.

В первом полугодии 2017 г. совокупный среднесуточный поток событий ИБ, обрабатываемых SIEM-системами и используемых Solar JSOC для оказания сервиса, составлял
6,156 миллиардов. Событий с подозрением на инцидент – в среднем около
960 в сутки. Каждый шестой инцидент –
критичный. При этом для наших клиентов, в числе которых «Тинькофф Банк», «СТС Медиа» или «Почта Банк», вопрос оперативности информирования об атаке и получения рекомендаций по противодействию стоит очень остро.

Мы решили рассказать, как мы решали эту задачу, с какими проблемами столкнулись, и какой метод организации работы в итоге используем.



Источник
1 год назад
#

IoT в роли мотиватора для NAT в IPv6



TL;DR:
автор печалится о том, что в наступающем счастливом IPv6-будущем единственной приемлемой альтернативой огромным ботнетам IoT является старый добрый NAT на IPv6. К сожалению, конечно.

Давайте я сразу раскрою карты: мое мнение и примеры будут основаны на опыте работы в региональном операторе связи, у которого несколько десятков тысяч абонентов, физических и юридических лиц. Один регион присутствия, ЦФО.

Проблема

Она в том, что пользователям в их большинстве плевать на безопасность. Любой пользователь хочет пользоваться компьютером или смартфоном и не особо заморачиваться. Любые слова от оператора связи о том, что его компьютер участвует в атаках или делает что-то плохое пользователь не воспринимает серьезно.

Почему? Потому что нет последствий.

Источник
1 год назад
#

Объяснение SNARKs. От вычислений к многочленам, протокол Пиноккио и сопряжение эллиптических кривых (перевод)



Привет, Хабр! Представляю вашему вниманию перевод статей блога ZCash, в которых рассказывается о механизме работы системы доказательств с нулевым разглашением SNARKs, применяемых в криптовалюте ZCash (и не только).

Источник:
https://z.cash/blog/snark-explain5.html

Предыдущие статьи:

Часть 1:
Объяснение SNARKs. Гомоморфное скрытие и слепое вычисление полиномов (перевод)

Часть 2:
Объяснение SNARKs. Знание о принятом коэффициенте и достоверное слепое вычисление полиномов (перевод)

Вступление от переводчика

Начиная заключительную часть перевода, хочу сказать, что мы живем в воистину удивительное время. Время, когда высшая математика имеет возможность практически сразу быть задействованной в разработке программного обеспечения и мы можем наблюдать «в действии» результаты работы математиков технологических институтов в продвинутых вещах, основанных на блокчейнах и обменах данными.

Ну что же, не буду задерживать далее вашего внимания, давайте перейдем к самому интересному…

Источник
1 год назад
#

Руководство по написанию защищённых PHP-приложений в 2018-м





Приближается 2018 год, и технари — в частности веб-разработчики — должны отбросить многие старые методики и верования в сфере разработки защищённых PHP-приложений. Особенно это относится ко всем, кто не верит, что такие приложения вообще возможны.



Это руководство — дополнение к электронной книге PHP: The Right Way с сильным уклоном в безопасность, а не общие вопросы программирования на PHP (вроде стиля кода).



Источник
Den
1 год назад
#

Задачки с ZeroNights 2017: стань королем капчи



В этом году на ИБ-конференции ZeroNights отдел тестирования информационной безопасности приложений СберТеха предложил участникам ZeroNights поискать уязвимости в различных реализациях капчи. Всего мы дали 11 примеров с логическими или программными ошибками, которые позволяют решать множество капч за малое время. В каждом раунде от участников требовалось «решить» 20 капч за 10 секунд и при этом набрать нужный процент правильных ответов.

Мы предлагаем вам тоже поучаствовать. В посте мы разместим ссылки на все задания, составленные
fryday, а под ними в спойлерах — write-up участника
Liro с правильными ответами.



Источник
1 год назад
#

Уязвимость из 1998 года снова в строю – встречайте ROBOT



Недавнее сканирование сайтов из топ 100 по посещаемости выявило что 27 из них, включая Facebook и PayPal cодержали уязвимость, очень похожую на обнаруженную в 1998 году исследователем
Даниэлем Блейхенбахером (Daniel Bleichenbacher) в SSL. Ошибка в алгоритме управляющем ключами RSA позволяла с помощью определенных запросов расшифровать данные, не имея ключа шифрования. Уязвимость в алгоритме не исправили, а внедрили некие обходные пути, которые закрыли уязвимость.

Источник
1 год назад
#

HP оставляет случайный кейлогер в драйвере клавиатуры ноутбука



image

Отладка кода, оставшегося в программном обеспечении, часто является проблемой безопасности, ожидающей своего появления. Это потому, что код отладки обычно вводится, когда вам нужно «инсайдерское представление» о том, что происходит.

Отладочные функции часто создают преднамеренные дыры в безопасности, позволяющие избежать утечки данных — что вполне нормально в собственной тестовой среде, но неприемлемо в официальном выпуске продукта.Таким образом, вы должны не только удалять код отладки, когда он больше не нужен (код, который не может быть включен по ошибке!), но также организовывать свои производственные сборки таким образом, чтобы любой отладочный код, который остался по ошибке, был отброшен или автоматически отключается при компиляции программного обеспечения.

Источник
1 год назад
#

Как мы создавали менеджер паролей со стойкой криптографией и мастер-паролем. Опыт команды Яндекс.Браузера



Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, ...). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже
тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.



С точки зрения безопасности, на каждом сайта рекомендуется использовать свой уникальный пароль. Если злоумышленники украдут один пароль, то только к одному сайту они и получат доступ. Проблема в том, что запомнить десятки надёжных паролей очень сложно. Кто-то честно придумывает новые пароли и записывает их руками в блокнот (а потом теряет вместе с ним же), другие – используют один и тот же пароль на всех сайтах. Трудно сказать, какой из этих вариантов хуже. Решением проблемы для миллионов обычных пользователей может быть встроенный в браузер менеджер паролей, но его эффективность зависит от того, насколько он прост и надёжен. И в этих вопросах у предыдущего решения были пробелы, о которых мы и расскажем ниже.

Источник
1 год назад
#

Новая спайварь StrongPity2 сменила FinFisher в кампании кибершпионажа с возможным участием интернет-провайдера



Продолжая исследование
операции кибершпионажа с явными следами участия в схеме крупного интернет-провайдера, мы обнаружили, что известное шпионское ПО FinFisher (FinSpy) сменила другая программа. Новая спайварь Win32/StrongPity2 заметно напоминает программу, авторство которой приписывают кибергруппе StrongPity. Все продукты ESET, включая бесплатный инструмент
ESET Online Scanner, детектируют и блокируют угрозу, а также устраняют StrongPity2 из скомпрометированной системы.



Как мы писали в сентябре, в двух странах мира для распространения FinFisher использовались атаки man-in-the-middle, и в большинстве случаев упомянутый «man» с немалой долей вероятности находился на уровне интернет-провайдера. По данным телеметрии ESET, кампании были прекращены 21 сентября 2017 года – в день публикации нашего отчета.

8 октября в одной из двух стран стартовала идентичная кампания, использующая ту же самую (причем довольно необычную) структуру перенаправлений НТТР для переадресации браузеров «на лету», только теперь вместо FinFisher распространялся Win32/StrongPity2. Мы изучили новое шпионское ПО и обнаружили сходство с программой, которую в прошлом предположительно использовала группа StrongPity.

Источник
1 год назад
#

Extended Validation не работает



Сертификаты
расширенной проверки («EV») являются уникальным типом сертификата, выдаваемого удостоверяющими центрами после более тщательной проверки объекта, запрашивающего сертификат. В обмен на эту более строгую проверку, браузеры показывают специальный индикатор, например, зеленую полосу, содержащую название компании, или, в случае Safari, полностью заменяют URL на название компании.

Как правило, этот процесс работает достаточно хорошо, и ошибочно выпущенных сертификатов немного. Однако проблем хватает с лихвой. EV сертификаты содержат информацию о юридическом лице, стоящем за сертификатом, но не более того. Наименование юридического лица, однако, может быть достаточно вариативным; Например, Джеймс Бертон недавно получил EV сертификат для своей компании
«Identity Verified»
(англ. Подлинность проверена — прим. перев.). К сожалению, у пользователей просто нет возможности увидеть и разобраться в таких особенностях, и это создает значительный простор для фишинга.

Источник
1 год назад
#

Конструирование сайта, защищенного от блокировок



Привет всем,



В связи с ростом блокировок, в том числе необоснованных, сайтов со стороны государства, вашему вниманию предлагается описание идеи, а также прототип настроек сайта, защищенного от блокировок по конкретному пути и доменному имени. Идеи по защите от блокировок:



  • со звездочкой

  • по адресу IP



будут изложены в других постах. Кому интересна тема, заходите под кат.



Источник
1 год назад
#

Человеческий фактор в информационной безопасности



Широко признано, что сотрудники организации часто являются слабым звеном в защите своих информационных активов. Информационная безопасность не получила достаточного внимания с точки зрения влияния человеческого фактора.

В этой статье мы фокусируемся на отношении человеческого фактора к информационной безопасности, представляющие человеческие уязвимости, которые могут привести к непреднамеренному вреду организации.

Источник
1 год назад
#

Современные СМИ — это DoS-атака на свободу вашей воли



Как экономика внимания низвергает нашу способность принятия решений и демократию

image

Не то, чтобы Джеймс Уильямс, кандидат в доктора в Лаборатории цифровой этики Оксфордского института интернета, вдруг подумал: «Господи, что же я наделал?», работая в Google. Но всё же ему показалось, что что-то в жизни пошло не так.

Уильямс поступил на работу в офис Google в Сиэтле в 2006-м, в год его открытия, и через несколько лет заслужил высочайшую награду компании, «Премию основателей», за разработку рекламных продуктов и инструментов. И тогда, в 2012-м году, он понял, что эти инструменты на самом деле делали его жизнь хуже. Современные технологические платформы, как он объяснил мне, «вновь навязывают доинтернетовские понятия о рекламе, согласно которым главное — забрать у людей как можно больше их времени и внимания».

Источник
34 35 37 38

Авторизация

Войти с помощью

Пользователи

GeekBrains

КАРКАМ

Нетология