Информационная безопасность — TechCave

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Стена группы

Загрузка...
6 дней назад
#

Как взять сетевую инфраструктуру под свой контроль. Часть третья. Сетевая безопасность



Т.к. эта глава получается довольно объемной, то я решил публиковать ее по частям.
Сетевая безопасность. Часть первая.


image

Нет смысла говорить о полном устранении security рисков. Мы в принципе не можем снизить их до нуля. Также нужно понимать, что при стремлении сделать сеть более и более безопасной наши решения становятся все более и более дорогими. Необходимо найти разумный для вашей сети компромисс между ценой, сложностью и безопасностью.

Конечно, дизайн безопасности органично встроен в общую архитектуру и используемые security решения влияют на масштабируемость, надежность, управляемость, … сетевой инфраструктуры, что также должно учитываться.

Но, напомню, что сейчас мы не говорим о создании сети. В соответствии с нашими
начальными условиями у нас уже выбран дизайн, выбрано оборудование, и создана инфраструктура, и на этом этапе мы, по возможности, должны «жить» и находить решения в контексте выбранного ранее подхода.

Наша задача сейчас – выявить риски, связанные с защищенностью на уровне сети и снизить их до разумной величины.

Источник
Загрузка...
6 дней назад
#

Конференция DEFCON 18. Практический шпионаж с помощью мобильного телефона. Часть1



Добро пожаловать на презентацию «Практический шпионаж с помощью сотового телефона». Прежде чем мы начнем, сделаю пару замечаний по поводу конфиденциальности. В-первых, звонок по сотовому телефону может быть записан прямо во время разговора. Сюрприз! Так что если вы не хотите, чтобы ваш звонок был записан, выключите свой телефон. Если вы пользуетесь услугами сотовых операторов Sprint или Verizon, вы не находитесь в сетях GSM, и моя система вообще не сможет говорить с вашими телефонами, так что вам не о чем беспокоиться.



Должен заметить, что я призываю людей держать свои телефоны на виду во время разговора, особенно если они пользуются GSM – трубкой, потому весь смысл этого в том, чтобы показать, как могут быть перехвачены ваши телефонные звонки. Если же вы не пользуетесь своей трубкой, этот приём не работает.

Источник
Загрузка...
6 дней назад
#

Исследователь опубликовал пример рабочего кода червя для Facebook



Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей



Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями червя для Facebook.

Этот код эксплуатирует уязвимость платформы Facebook, за злоупотреблением которой группой спамеров наблюдал польский исследователь, использующий в интернете псевдоним
Lasq. Уязвимость скрывается в мобильной версии всплывающего диалога, предлагающего поделиться информацией с другими пользователями. На десктопе этой уязвимости нет.

Lasq говорит, что уязвимость, основанная на
кликджекинге, существует в мобильной версии диалога «поделиться», которую атакующий использует через элементы iframe. Группа спамеров, которая, по всей видимости, обнаружила эту уязвимость до Lasq, использует её для размещения ссылок на стенах пользователей Facebook.

Источник
Загрузка...
Den
6 дней назад
#

За информацию о взломе WhatsApp и iMessage объявлена награда в $1 млн



Источник: cnn.com

В мире немало компаний, которые работают в поле информационной безопасности, но как бы в обратном направлении. Такие организации покупают информацию о способах взлома известных и не очень сервисов и приложений, а также покупают эксплоиты.

Одна из таких организаций, Zerodium,
объявила награду в $1 млн за работающие инструменты взлома WhatsApp и iMessage. Аналогичную сумму выплатят тому, кто предоставит эксплоиты, позволяющие получить доступ к SMS/MMS приложениям мобильных операционных систем.

Источник
Загрузка...
6 дней назад
#

Конференция DEFCON 18. Практический шпионаж с помощью мобильного телефона. Часть 2



Конференция DEFCON 18. Практический шпионаж с помощью мобильного телефона. Часть1

Мы хотим применить определённые методы, чтобы ускорить захват телефонов фальшивой сетью. На данный момент у нас есть простой перехватчик IMSI, вы можете попробовать позвонить и услышать записанное мною предупреждение. Вижу, что несколько человек подняли руки. Я имею в виду, что вы, ребята, подключаетесь к моей сети, и я перехватываю весь ваш трафик.

Во-первых, я теперь знаю все ваши IMSI и могу их отфильтровать, оставив только IMSI конкретного человека, который является моей целью. То же самое я могу проделать с фильтрованием IMEI, которые представляют собой идентификаторы телефонов. Например, я могу разрешить подсоединяться к сети только телефонам марки «Нокия» или только «Айфонам». Я могу сделать так, что только этот конкретный IMEI будет в моей сети и никого больше. Я могу ограничить доступ с помощью самых разных параметров.



Как я уже упоминал, для миграции людей из официальной сети в мою сеть требуется время, и мы можем сделать это быстрее, я расскажу об этом через секунду. Одно из главных ограничений этой системы то, что она принимает только исходящие звонки. Когда вы подключаетесь к моей сети, независимо от того, будет ли это Т-Mobile или AT&Т, ваш телефон отключается, потому что реально вы не подключены ни к одной из легальных вышек сотовой связи. Таким образом, как только приходит звонок, он поступает прямо в вашу голосовую почту. Это проблема разрешаема, позже я покажу вам, что исходящие звонки тоже могут быть записаны.

Источник
Загрузка...
6 дней назад
#

Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара



Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей публикации.

Например:



Спасибо вам за поддержку и комментарии! Итоги голосования:



Источник
Загрузка...
Den
6 дней назад
#

Mkcert: валидные HTTPS-сертификаты для localhost





В наше время использование HTTPS становится обязательным для всех сайтов и веб-приложений. Но в процессе разработки возникает проблема корректного тестирования. Естественно, Let’s Encrypt и другие CA не выдают сертификаты для localhost.

Традиционно есть два решения.

Источник
Загрузка...
Den
6 дней назад
#

Практические советы, примеры и туннели SSH





Практические примеры
SSH, которые выведут на новый уровень ваши навыки удалённого системного администратора. Команды и советы помогут не только использовать
SSH, но и более грамотно перемещаться по сети.

Знание нескольких трюков
ssh полезно любому системному администратору, сетевому инженеру или специалисту по безопасности.

Источник
Загрузка...
Den
6 дней назад
#

Импортозамещение — эпитафия от цифроизации



После тщательного изучения практики и теории вопроса «импортозамещения» на основе новой информации (тестов, поисков решения, и уже новых документов), я пришел к неутешительному выводу- что в реальности дела обстоят, как и во всех остальных новомодных веяниях, без приятных сюрпризов. По замечаниям коллег, комментировавшихщих первую статью
«Импортозамещение, глас вопиющего в пустыне» и вторую статью
«Импортозамещение, сказки продолжаются (продолжение)» решил как бы поделится практическими попытками и рассмотреть это тему немножко под другим углом.

Источник
Загрузка...
6 дней назад
#

От джуниора до директора: байки одного безопасника



На старте карьеры кажется, что более успешные коллеги далеко пошли, потому что с самого начала знали, в каком направлении нужно прикладывать усилия. Но со временем появляется понимание, что «тайного знания» о некой «выигрышной последовательности действий» нет и быть не может. Однако вполне можно сформулировать общие принципы развития, которые помогут добиться успеха в своей области, если, конечно, прикладывать к этому достаточный объем усилий. Об этом и поговорим под катом.



Источник
Загрузка...
6 дней назад
#

Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Часть 6



Часть 6. Получение учетных данных (Credential Access)

Ссылки на все части:

Часть 1. Получение первоначального доступа

Часть 2. Выполнение

Часть 3. Закрепление

Часть 4. Повышение привилегий

Часть 5. Обход защиты

Часть 6. Получение учетных данных (Credential Access)

Заполучив учетные данные злоумышленник получает доступ или даже контроль над системой, доменом или служебными (технологическими) учетными записями. Противник, вероятно, будет пытаться заполучить легитимные учетные данные пользовательских и административных учетных записей, чтобы идентифицироваться в системе и получить все разрешения захваченной учетной записи, тем самым усложняя защищающей стороне задачу по обнаружению вредоносной активности. Противник также, при наличии возможности, может создавать учетные записи с целью их последующего использования в атакуемой среде.

Источник
Загрузка...
6 дней назад
#

Малварь, который читает мемы



Давно не было статей про стеганографию. Вот вам пример того, как хакеры маскируют свои атаки под безобидный трафик, используя соц-сети.

image

Источник
Загрузка...
6 дней назад
#

Изюминка Zircon: vDSO (virtual Dynamic Shared Object)



Zircon? Что это?

В августе 2016 года, без каких-либо официальных объявлений со стороны Google, были обнаружены исходники новой операционной системы Fuchsia. Эта ОС основана на микроядре под названием Zircon, которое в свою очередь основано на LK (Little Kernel).



Fuchsia is not Linux


Примечания переводчика

Я не настоящий сварщик являюсь разработчиком и/или экспертом Zircon. Тест под катом является компиляцией частичных переводов: официальной документации Zircon vDSO и статьи Admiring the Zircon Part 1: Understanding Minimal Process Creation от @depletionmode, куда было добавлено немного отсебятины (которая убрана под спойлеры). Поэтому конструктивные предложения по улучшению статьи, как и всегда, приветствуются.



О чем пойдет речь в статье?

vDSO в Zircon является единственным средством доступа к системным вызовам (syscalls).



А разве нельзя из нашего кода напрямую вызвать инструкции процессора SYSENTER/SYSCALL? Нет, эти инструкции процессора не являются частью системного ABI. Пользовательскому коду запрещено напрямую выполнять такие инструкции.



Желающих узнать больше деталей о таком архитектурном шаге приглашаю под кат.





Источник
Загрузка...
Den
6 дней назад
#

HL 2018. Конспект доклада «Make passwords great again! Как победить брутфорс и оставить хакеров ни с чем»



Passwords are like underwear



Привет, Хабр! Меня зовут Ахмадеев Ринат, я Sr. PHP developer.



Представляю вашему вниманию конспект доклада Make passwords great again! Как победить брутфорс и оставить хакеров ни с чем от Алексея Ермишкина из Virgil Security с HighLoad++ 2018.



Когда я шел на доклад, то был настроен пессимистично. Но т.к. это Virgil Security, то я все же решил сходить. В начале доклад казался действительно капитанским, и я даже начал терять интерес, но потом, как оказалось, даже узнал несколько новых подходов защиты паролей, отличных от обычного хеширования с солью.



В докладе рассматриваются способы защиты паролей начиная от хешей и заканчивая более современными подходами, такими как Facebook's password Onion, Sphinx и Pythia. В самом конце рассматривается новый Simple Password-Hardened Encryption Services (PHE).



Мне так понравился доклад, что я подготовил конспект. Всем рекомендую к ознакомлению.



Источник
Загрузка...
6 дней назад
#

Подборка интересных докладов с конференции 35C3



image



В конце декабря 2018 года в Лейпциге прошел 35-й Chaos Communications Congress. В этом году конгресс порадовал большим количеством отличных технических докладов. Представляю вашему вниманию подборку самых интересных из них (в хронологическом порядке).



Источник
Загрузка...
1 3 4

Авторизация

Пользователи

Kumskov
Juan
Tutu
naikdij88
NewEXE
Георгiй Москвитинъ
Andpyxa Tutunnik
Andrey_fox
Jane linch

GeekBrains

Нетология