Рубрика «информационная безопасность»

Разработан порядок передачи биометрических данных россиян в ФСБ и МВД - 1
Идентификация или верификация человека в технологиях VoiceKey и VoiceNet осуществляется по фрагментам спонтанной речи продолжительностью более 16 секунд.

Минкомсвязи разработало порядок передачи оператором Единой информационной системы («Ростелеком») в ФСБ и МВД биометрических данных российских граждан. Соответствующий документ опубликован на федеральном портале проектов нормативных правовых актов.

Речь идёт о данных изображения лица и данных голоса. Эта информация позволяет с высокой степенью точности идентифицировать конкретного человека в большом объёме голосового трафика («верификация по голосу») или на камерах видеонаблюдения.

«Ростелеком» назначен оператором Единой информационной системы распоряжением правительства РФ от 22.02.2018 №293-р. Согласно планам правительства, оператор «обеспечит сбор, обработку и хранение биометрических персональных данных, а также проверку их соответствия первично сданным биометрическим образцам». Данные будут храниться в сети «высокопроизводительных и защищённых центров обработки данных для безопасной обработки и хранения биометрических персональных данных».
Читать полностью »

Недавно мне посчастливилось пройти курс от Offensive Security под названием Penetration Testing with Kali Linux, который знакомит слушателей с основами тестирования на проникновение. С моей точки зрения, этот курс один из самых лучших, которые я когда-либо проходил. Мне приходилось участвовать в различном типе тренингах и курсах в разных областях теории и практики, но этот произвел на меня одно из сильнейших впечатлений в жизни.

Услуги в области информационной безопасности, называемые тестированием на проникновение или пентест, в нашей стране (Узбекистан) по сути не представлены, специалистов надлежащего уровня и подготовки нет. Для меня было крайне интересно понять внутренности того, как работают специалисты по тестированию на проникновение, а с учетом того, что Offensive Security считается признанным мировым лидером в сфере обучения данному мастерству, выбор данного тренинга был идеальным вариантом.
Читать полностью »

Попрощайтесь с информационной эрой: наступает эпоха репутации - 1

Есть один недооценённый парадокс знания, играющий критическую роль в наших продвинутых гиперсвязных либеральных демократиях: чем больше у нас появляется информации, тем больше мы полагаемся на так называемые репутационные методы для её оценки. Парадокс в том, что невероятно увеличившийся доступ к информации и знаниям, которым мы сегодня обладаем, не даёт нам новых возможностей и не делает нас когнитивно автономными. Он лишь заставляет нас ещё больше полагаться на суждения и оценки других людей по поводу информации, свалившейся на нас.

Мы испытываем фундаментальный сдвиг парадигмы в наших отношениях со знаниями. От «информационной эры» мы движемся к «репутационной», в которой у информации будет ценность, только если она уже отфильтрована, оценена и прокомментирована другими. В этом смысле репутация сегодня становится центральной опорой общественного разума. Это привратник, дающий доступ к знаниям, а ключи от ворот находятся у других. То, как сегодня выстраивается авторитет знаний, заставляет нас зависеть от неизбежно искажённых суждений других людей, большую часть которых мы даже не знаем.
Читать полностью »

Аппаратное ускорение антивирусной защиты — в тренде - 1

В апреле в Сан-Франциско прошла Конференция RSA, ставшая в последнее время одной из основных мировых площадок для обсуждения проблем компьютерной безопасности. В этом году основными темами конференции стали защита от глобальных угроз и безопасность интернета вещей. В общую копилку добавились также предложения от компании Intel — нам они показались достаточно интересными, чтобы о них рассказать, даже при отсутствии дальнейших подробностей.
Читать полностью »

HoleyBeep: объяснение и эксплоит - 1

В былые времена люди использовали a для генерирования неприятных «гудков» из спикеров системных блоков. Это было особенно неудобно, если хотелось генерировать более сложные звуковые последовательности вроде 8-битной музыки. Поэтому Джонатан Найтингейл написал программу beep. Это была коротенькая и очень простая программа, позволявшая тонко настраивать звучание из спикера.

С появлением X-сервера всё стало куда сложнее.

Чтобы beep могла работать, пользователь должен был либо быть суперпользователем, либо являться владельцем текущего tty. То есть beep всегда будет работать у root-пользователя или у любого локального, но не будет работать у не-root удалённого пользователя. При этом любой терминал (например, xterm), подключённый к X-серверу, считается «удалённым», и поэтому beep работать не будет.
Читать полностью »

Следователи без ордера зашли в похоронное бюро, чтобы разблокировать телефон пальцем покойного. Закон не нарушен - 1Если во время следствия по уголовного делу следователи просят у подозреваемого или свидетеля предоставить пароль для доступа к компьютеру или разблокировки телефона, он имеет право отказать. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников — это право закреплено в Конституции РФ (статья 51) и в Пятой поправке к Конституции США.

Другое дело, если суд выписал ордер на обыск. В определённых условиях отказ предоставить пароль могут посчитать препятствием правосудию. Например, в 2011 году в США арестовали пользователя программы TrueCrypt, который отказался предоставить суду пароль от раздела на его жёстком диске, зашифрованного при помощи TrueCrypt.

Но оказывается, если разблокировка устройства возможна по биометрической информации (например, по отпечатку пальца), а пользователь скончался, то это своеобразная удача для следствия — в этом случае никакой ордер на обыск не требуется. Конституционные права гражданина не нарушаются, потому что он мёртв. К такому мнению пришли юристы в ходе обсуждения случая, который произошёл в марте 2018 года в городе Клируотер (штат Флорида).
Читать полностью »

Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутитентификации с учетными данными, например, Вконтакте.

В чем тут может быть подвох?
Читать полностью »

Резонанс от пожарной сигнализации обрушил 30% серверов в дата-центре Digiplex около Стокгольма - 1
Ядро Linux отключает жёсткий диск после 120 секунд подачи звука на резонирующей частоте через динамик USB-колонки Edifier r19u. Динамик включен примерно на четверть мощности (менее 100 мВт) и располагается в 20 см от HDD, направлен на стол для усиления вибраций. Кадр из видеоролика с демонстрацией работы HDD-киллера

Как известно, любой HDD подвержен вибрациям из-за колебаний окружающего воздуха. Производители HDD указывают для каждой модели максимально допустимый уровень вибраций, а сам жёсткий диск часто стараются поместить в защищённый от вибраций контейнер из резины или другого изоляционного материала. Несмотря на эти усилия, HDD всё равно может работать как микрофон и записывать окружающие звуки.

Чтобы вывести из строя HDD, нужно направить на него звук на частоте, которая резонирует с частотой HDD. Программа hdd-killer отлично демонстрирует, как это происходит на практике. Если звук достаточно громкий, то вскоре система отключит устройство с ошибкой ввода-вывода, а сам жёсткий диск может получить необратимые повреждения.
Читать полностью »

Security Week 14: конференция RSA, дырявые рекламные сети, альянсы и противостояния - 1На прошлой неделе в Сан-Франциско прошла очередная, двадцать седьмая по счету бизнес-конференция RSA Conference. До начала 2000-х данное мероприятие можно было охарактеризовать как узкоспециализированную вечеринку криптографов, но постепенно деловой контент почти полностью вытеснил технический. Не всем такой формат мероприятия по информационной безопасности пришелся по душе. Всю неделю в твиттере то и дело проскакивали едкие комментарии технических экспертов, типа «RSA проходит максимально продуктивно, если запереться в гостиничном номере и поработать».

RSA — это и правда тусовка менеджеров, и не важно с чьей стороны — поставщика решений по безопасности или же компании-клиента. О киберзащите там говорят «на высоком уровне», общими словами, подчас туманно и расплывчато. В целом можно понять, почему технарей от формулировок типа «инклюзивность диверсификации при построении новой парадигмы инфобезопасности» так бомбит. Но в попытках поделить около-ИБ-сообщество на «наших» и «ваших» ничего хорошего нет. Во-первых, делителей и так в нашей жизни слишком много. Во-вторых, индустрия информационных технологий (если вспомнить тот же скандал вокруг Фейсбука) столкнулась с проблемами, которые технического решения, к сожалению, не имеют. Попробуем показать на примерах.Читать полностью »

Автогол. Тестируем защиту от DDoS-атак - 1

Тема DDoS-атак, их типов и способов защиты уже неоднократно поднималась нашими авторами в прошлом. Мы внимательно следим за пожеланиями наших читателей и поэтому сегодня продемонстрируем услугу по защите от DDoS на живом примере. В этой статье мы разберем подобную задачу: сделаем тестовое веб-приложение, организуем стресс-тест, симулирующий DDoS-атаку, и сравним статистику загрузки сети с защитой и без неё.

Под катом много изображений и гифок.
Читать полностью »