Метка «информационная безопасность» - 10

Телевизор шпион, или опасности использования рисоварок: доклады и конкурсы на NeoQUEST 2013

Осталась ровно одна неделя до NeoQUEST-2013 и мы решили поподробнее рассказать о некоторых докладах, которые мы собираемся там представить:

«Кротовые норы в компьютерных джунглях: поиск слабых мест защиты, стратегия поиска путей проникновения, пентест масштабных информационных систем». В докладе будет рассмотрено, насколько связаны между собой задания хак-квестов, хакерские атаки и работа пентестеров. Представим специфику пентеста информационных систем уровня большого государства.

«Выявление скрытых гипервизоров с помощью анализа влияния аппаратной виртуализации на работу кэша процессора». Расскажем, в чём заключается разработанный метод выявления скрытых гипервизоров и продемонстрируем на практике, каким образом наличие гипервизора влияет на работу кэша процессора.
Читать полностью »

Аутентификация по новому, или суперкукиНа сегодняшний день идея ухода от паролей и традиционных методов аутентификации на веб-ресурсах поднимается все чаще, причем этим озаботились такие гиганты IT-индустрии, как Google, Paypal и другие члены альянса FIDO. В рамках научных исследований, проводимых сотрудниками Google, были предложены способы усовершенствования методов аутентификации, а также черновик стандарта расширения TLS, позволяющего избавиться от использования cookies.

В данной статье я расскажу о проблемах традиционных схем аутентификации, о подводных камнях при введении двухэтапной аутентификации и рассмотрю предложенный стандарт расширения TLS. Текст статьи будет полезен веб-разработчикам, планирующим встроить двухэтапную аутентификацию.

Читать полностью »

— Программно-аппаратный комплекс для криптографической защиты данных и строгой аутентификации в Web-сервисах

Хочу поделиться с вами нашим продуктом, над которым мы долго и упорно работали. Все началось с разработки системы для хранения и обмена конфиденциальной информацией «Secret Desk» в 2011 году, когда мы на 4м Московском Startup Weekend показали проект «CoSpace». После финальных презентаций четырем проектам «Главстарт» предложил инвестиции, включая наш проект. К сожалению, с инвестором мы не смогли договориться, наши взгляды разошлись.

Мы продолжили разрабатывать систему собственными силами и на собственные деньги. Мы думали, ломали и переделывали, в общем, работа кипела. Сделали сервис с необходимым функционалом, появились клиенты и отзывы.

Потом мы узнали про «Рутокен Web» и было принято решение использовать его в нашем проекте. Но функционала плагина для токена нам было недостаточно, и мы начали работу над собственным плагином.

Так появился новый продукт «Secret Desk Plugin»!

Читать полностью »

Многие из нас на сегодня уже слышали про проект PRISM от Агенства Hациональной Безопасноти США. Вкратце, данный проект собирает всю информацию о так называемых «подозреваемых пользователях». Зашифрованные email-ы хранятся у этих ребят без срока давности до расшифровки, по нажатию кнопки сотрудник АHБ может получить доступ к вашему Фейсбук аккаунту, ко всем данным Гугла (например вашим поисковым запросам), и даже к удалённым вами письмам. Данная ситуация подвергает надруганию не только в нашу и вашу личную жизнь (на что сотрудникам АHБ в принципе наплевать), но и в личную жизнь граждан США (с чем сотрудникам АHБ приходится считаться). Но давайте отступим на минутку от истерики и вооружившись здоровой паранойей взглянем на ситуацию под другим углом.
Читать полностью »

Поиграем в RAR квест?

Привет!
Я принесла вам лёгкий RAR-квест. Принцип игры очень простой — нужно спускаться всё глубже в архив, используя в качестве паролей данные из уже открытых файлов.

Итак, представьте себе, что несколько часов назад один ваш друг, занимающийся IT-консалтингом, получил письмо от помощника некой Алекс Локвуд, директора секретной спутниковой программы корпорации EDC.

Вот файл по ссылке.

Читать полностью »

Репортажи с Computex 2049: презентация Windows CS

Сначала о грустном. Всемирная бесконтактная подземная излучающая сеть (WWUN) ожидаемо подтвердила опасения по поводу своей пропускной способности. Хотя трансляция на 200 миллионов встроенных киберсенситивных устройств пяти различных поколений и более чем на 800 миллионов стандартных терминалов с эффектом присутствия не вызвала никаких нареканий, но последние модели двустороннего окна с преобразователем ощущений периодически подлагивали при передаче обонятельной составляющей стендов. Остается надеяться что к следующей выставке вирт-дизайнеры ведущих фирм перестанут злоупотреблять тяжелыми голографическими элементами оформления и начнут оптимизировать осязательные и обонятельные библиотеки вместо того, чтобы загонять полный спектр в кеш пользовательских восприниматоров.
Ну а если отвлечься от критики, то оформление стендов на Computex традиционно радует. Новинки в области встроенных воспринимающих устройств доступны только пользователям с КСУ и ВКСУ, прекратились гонения и задвигания за задний план традиционного клавиатурно-мониторного раздела, даже мелких вендоров типа HP или Oracle легко можно найти на карте, ну и наконец-то не нужно тащиться назад ко входу на стенд чтобы вызвать портал в главный холл — он вызывается из любой точки экспозиции. Порадовало и оформление стенда микрософта, который занимает довольно значительную часть виртуального пространства. Вместо набившего оскомину входа в виде врат ада, главной темой оформления стал морской порт. Всех заглянувших на огонек к бывшей корпорации зла приятно освежает морской бриз, детализация накатывающих на скалы волн просто потрясающая, дизайнеры, возможно, немного переборщили с громкостью крика чаек и интенсивностью запаха рыбы из корзин торговцев на причале, но это не злит, а скорее создает какой-то особый настрой. Экспозиции различных подразделений Microsoft размещены на четырех пиратских галеонах стоящих на причале. Презентация новой версии давно ожидаемой операционной системы состоялась на флагманском «San Felipe» и провела ее CEO Lucy Southworth собственной персоной.
Читать полностью »

«Конкурентная разведка» на PHD 2013
Всем привет!
Я хочу рассказать вам про конкурс «Конкурентная разведка», проведённый в рамках конференции Positive Hack Days – 2013. Подробнее о нём можно прочитать здесь: www.phdays.ru/program/contests/#16276
В «Конкурентной разведке» я участвовал уже во второй раз, имея за плечами уже определенный опыт в подобной работе, и с нетерпением ждал новых условий. Одной из причин, почему я написал эту статью, является то, что на некоторые вопросы из прошлогоднего конкурса я до сих пор так и не нашёл ответов. Я очень надеюсь, что в этом обсуждении мы вместе соберем все ответы на вопросы, которые были в этом году.
Читать полностью »

Думаю, что все сталкивались с проблемой злобных «авторанов». И есть много способов решения: СПО, скрипты, «танцы с бубном» и т.п. Я же хочу предложить простой алгоритм решения для пользователей OS Windows, который не требует сторонних вмешательств. Для достижения цели нам потребуется несколько шагов — точнее два.
Читать полностью »

Очередная дыра в системе безопасности Skype

ПРЕДИСЛОВИЕ

Осенью 2012 года уважаемое сообщество уже обсуждало уязвимость в Скайпе. Обсуждение прошло по всем крупным новостным сайтам и получило широкую огласку т.е. прошло очень удачно, в результате Майкрософт наконец-то закрыл эту уязвимость. Цель этой статьи аналогична — привлечь к проблеме как можно больше внимания в надежде что Майкрософт отреагирует и исправит свою систему безопасности в Скайпе.

Читать полностью »

Облачные вычисления охватывают большой спектр различных вычислительных ресурсов и услуг, используемых пользователями через Интернет. Такие решения позволяют строить информационные системы для управления без приобретения «коробочных» продуктов.
Это дает возможность потребителям решить проблемы несанкционированного использования программного обеспечения, а также снизить большой процент затрат на построение центров обработки данных. Облачные технологии имеют возможность мгновенно реагировать на увеличение спроса по вычислительным мощностям, что позволяет решить вопросы, связанные с длительным временем построения и ввода в эксплуатацию крупных объектов IT инфраструктуры.

В данной статье мы рассмотрим преимущества и недостатки безопасности SaaS сервиса

SaaS имеет повсеместный доступ, его можно использовать в любом месте, где есть выход в интернет. Доступ к ПО предоставляется удаленно по сетевым каналам. Это может быть Веб-интерфейс, терминальный доступ или тонкие клиенты. Программное обеспечение развертывается в центре обработки данных в виде единого программного ядра. Простота внедрения, возможность сделать полноценное тестирование системы перед покупкой, низкая стоимость и возможность доступа к системе из любой точки – основные плюсы SaaS.
Однако, у SaaS есть не только достоинства. Самым большим недостатком сервиса является вопрос безопасности хранимых данных клиентов. Многие российские компании не привыкли хранить свои проекты и клиентские базы на чужих серверах из-за боязни конфиденциальности данных.
По их мнению, штат собственных квалифицированных специалистов по информационной безопасности, защитит общие базы куда надежнее, чем компания, предоставляющая услугу и имеющая очень отдаленное представление об информационной безопасности. Кроме того, пользователи зависимы от интернета. В случаи потери доступа в интернет – теряется доступ к SaaS. Пользователь не управляет серверами, операционными системами, сетью, хранением данных и даже некоторыми возможностями приложений, в результате чего основная обязанность по обеспечению информационной безопасности практически полностью ложится на провайдеров, предоставляющих услуги по облачным вычислениям.
Провайдеры облачных услуг далеко не всегда стремятся усложнять свою платформу интеграцией с системой управления идентификацией. Существуют несколько технологий, позволяющих расширить управление доступом на основе ролей в облаке, например через технологию единого доступа (single sign-on, SSO). Но в целом, эта область находится все еще на ранней стадии развития. В настоящий момент каждый из крупных игроков на рынке SaaS стремится создать свою технологию взаимосвязи с клиентом. У Google есть Secure Data Connector, который формирует шифрованное соединение между данными клиентов и бизнес-приложениями Google и позволяет клиенту контролировать, какие сотрудники могут получать доступ к ресурсам Google Apps, а какие нет. CRM Salesforce обеспечивает похожий функционал, реализованный на собственной технологии. При обращении клиентов к множеству различных SaaS-приложений растет и количество используемых инструментов безопасности, что может привести к неповоротливости и плохой масштабируемости такой модели. Существуют несколько сторонних продуктов, которые, по крайней мере, предполагают возможность их использования при подключении к множеству типов SaaS-приложений, но на данный момент они еще не достаточно опробованы провайдерами. Поэтому управление идентификационными данными и контролем доступа для корпоративных приложений, по мнению экспертов Digital Design, остается одной из основных проблем, стоящих перед ИТ сегодня.
Читать полностью »