Рубрика «аудит» - 3

в 17:36, , рубрики: access log, аудит, Веб-разработка, информационная безопасность, конкурентные преимущества, Серверное администрирование, системное администрирование, Тестирование IT-систем, метки: ,

Очередной пример, как легко прострелить себе ногу, на этот раз «переусердствовав» при защите сайта.
Имён как всегда не называю, однако история показательна как-таковая, т.е. в качестве примера, как не надо «защищать» свои сервера. Эх говоришь им, говоришь — а все без толку.

Упала посещаемость сайта, не совсем чтобы совсем, но довольно заметно. Смотрели логи, аналитику поисковиков и т.д. и т.п. Все вроде нормально, и кто приходит, тот даже не уходит сразу.
Но не буду ходить вокруг, да около — проанализировав логи банов по IP выяснилась одна закономерность — за короткое время в бан попадало огромное количество IP-адресов. Все поголовно по одной причине — якобы как botsearch. Отротированные логи за последний месяц тоже ужасали своими размерами и даже заглядывать туда не нужно было, и так все ясно. Т.е. случилось следующее: куча клиентов просто не могла попасть на сайт.
На вопрос «что-то меняли где-то с месяц назад?» был получен отрицательный ответ.

Не буду утомлять здесь детективным чтивом, после недолгих поисков — картина маслом. Некий прямой конкурент этого сайта поспособствовал «утечке» клиентов, или вернее и организовал эту «странную непосещаемость».
Читать полностью »

в 8:06, , рубрики: usability, аудит, интерфейсы, ржд, ЦППК, юзабилити, метки: ,

Я решил вырасти из контент-менеджера в разработчика интерфейсов, потому что врождённая способность критиковать всё, что попадётся на глаза, давно переросла масштабы корректуры текстов. И если я не применю этот талант для совершенствования вселенной, то рискую состариться абсолютным брюзгой.

Аудит информационного табло станций пригородных электричек - 1
Читать полностью »

в 8:23, , рубрики: аудит, венчурные инвестиции, Исследования и прогнозы в IT, прогнозы, Развитие стартапа, стартапы, цены

Билл Гурли, генеральный партнер Бенчмарк, позволяет себе говорить о том, что другие венчурные капиталисты могут сказать только будучи изрядно выпившими. Но зато Билл привлекает внимание и его высказывания не оставляют равнодушными.
Читать полностью »

в 17:41, , рубрики: apple, аудит, информационная безопасность, китай

image
Китайские СМИ утверждают, что в Apple согласились на требования китайского правительства и разрешат выполнить аудит безопасности своих устройств, включая iPhone, iPad и Mac-компьютеров. Генеральный директор китайского бюро по информации в интернет (State Internet Information Office) Лю Вэй лично в конце декабря прошлого года встречался с Тимом Куком, где и договорился о будущей инспекции.

Причина проверки связана с озвученными много раз подозрениями о том, что продукция Apple имеет средства удалённой слежки за пользователями и поэтому использовать их в государственных учреждениях как минимум небезопасно. Глава Apple заверил Лю Вэя, что Apple не передаёт данные со своих устройства третьим лицам.

Мы не делали и не будем делать бэкдоров

добавил Тим Кук.
Лю Вэй в ответ высказался в том смысле, что его правительству всё же убедиться в этом, чтобы «покупатели были уверены в своей безопасности». А с учётом того, что Китай — один из крупнейших рынков Apple, тов соглашении заинтересованы обе стороны.
Читать полностью »

в 5:49, , рубрики: Tier, Uptime Institute, авария, аудит, Блог компании КРОК, дата-центр, ит-инфраструктура, питание, практика, тепловизор, управление проектами, цод

Практика эксплуатационщика: 1000 дней без простоя ЦОДа TIER III
Окисление контактов перемычки аккумулятора вызвало нагрев. При наружном осмотре следов окисления не видно, поскольку оно произошло между клеммой аккумулятора и наконечником перемычки.

Пару недель назад у меня и коллег случился маленький праздник: 1000 дней непрерывной работы ЦОДа без простоя сервиса. В смысле — без влияния на оборудование заказчиков, но со штатными и не очень работами по системам.

Ниже я расскажу о том, как я и мои коллеги обслуживают ЦОД повышенной ответственности, и какие бывают подводные камни.
Читать полностью »

в 6:10, , рубрики: certification, CGEIT, CISA, CISM, CRISC, ISACA, аудит, информационная безопасность, набиваем себе цену, сертификация

Эта история о том, как я получал сертификат CISA, чтобы стать сертифицированным аудитором информационных систем и присоединиться к армии из более чем 100.000 профессионалов (по утверждению самой ISACA). Думаю в общем виде аналогия может быть расширена на CISM, CGEIT и CRISC.
Сертификация довольно популярная, в России, судя по явке на экзамен, сдают пытаются сдать многие, но не так много материалов о том, как готовиться и просто личного опыта на эту тему. Я решил исправить эту ситуацию.

Получение CISA. История одного сертификата и помощь интересующимся

Читать полностью »

в 20:03, , рубрики: e-commerce, pci dss, vpn, аудит, Блог компании Payler, маркетинг, мобильные приложения, мобильный эквайринг, опыт, платежные системы, платежный шлюз, советы, эквайринг, электронная коммерция, электронные платежи

image

Дорогие друзья!

Продолжаем знакомить вас с новостями Payler и спешим рассказать, пожалуй, о самом важном событии для нас — прохождении аудита PCI DSS. Подготовка к этому знаменательному событию шла целых три месяца и вот, буквально на прошлой неделе, завершилась процедура двухдневного аудита от известной датской компании Fortconsult. Теперь ждём детальный отчет и сертификат, а пока хотели бы поделиться с вами полученным опытом.

Не будем описывать все технические подробности процедуры, тем более на страницах Хабра о ней писали не один раз (понравившаяся нам статья). Немного затронем особенности нашего опыта.
Читать полностью »

в 9:31, , рубрики: apm, Observer, аудит, Блог компании ProLAN, ит-инфраструктура, управление проектами, метки: , ,

image

Приходилось ли вам когда-нибудь развёртывать профессиональную коммерческую систему мониторинга или APM-систему (application performance management, управление производительностью приложений)? Если да, то вы знаете, что вендоры таких систем всегда или почти всегда категорически запрещают использовать их продукты для оказания профессиональных услуг (чтобы не сокращать продажи). Это принципиальная позиция, и она явно прописывается в лицензионном соглашении.
Читать полностью »

в 16:57, , рубрики: php, shell, аудит, Веб-разработка, информационная безопасность, перевод, уязвимости

Сайт моего друга недавно был взломан, на нем была запущена старая версия IP.Board, в которой есть уязвимость локального внедрения кода (local file inclusion). Этот пост не будет посвящен IP.Board или другому php коду, он покажет, как найти потенциально вредоносный php код на ваших серверах. Наконец, покажу пример того, что злоумышленники могут загрузить на взломанный сайт.

Проверьте логи доступа

Что бы с чего-то начать, я бы хотел поделиться некоторыми записями из журнала доступа (access log) взломанного сайта моего друга.

IpreMOVED - - [01/Mar/2013:06:16:48 -0600] "POST /uploads/monthly_10_2012/view.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"
IpreMOVED - - [01/Mar/2013:06:12:58 -0600] "POST /public/style_images/master/profile/blog.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"

Необходимо часто проверять журналы доступа на сервере, однако если вы не будете осторожны, URL такие как выше, которые на первый взгляд выглядят безобидно, могут пройти прямо мимо вас.

Два файла выше это загруженные взломщиком скрипты, как они туда попали, большой роли не играет, так как код на любых двух серверах, вероятно, будет различным. Тем не менее, в данном конкретном примере, уязвимость в устаревшей версии IP.Board была использована, и атакующие смогли добавить свои собственные скрипты в директории доступные для записи, такие как пользовательский каталог загрузки и каталог, в котором IP.Board хранит кэшированные изображения темы оформления. Это общий вектор атаки, много людей изменяют права на эти каталоги на 777 или дают им доступ на запись, подробнее об этом чуть позже.

Рассмотрим подробнее приведенные выше строки журнала, ничего не цепляет вас?

Обратите внимание, что в журнале доступа POST запросы, а не GET запросы.
Скорее всего, злоумышленники хотели сделать журнал доступа более неприметным, так как большинство журналов не сохраняют post данные.Читать полностью »

в 9:47, , рубрики: agile, аудит, Блог компании ScrumTrek, инженерные практики, процессы, метки: , , ,

Представьте, что у вас что-то заболело (не дай бог, конечно). Вы идете к врачу и тут есть две возможности:

  • «Резать к чертовой матери!»
  • Вы идете сдавать анализы и после этого узнаете, что просто съели что-то не то

Лично мне и мы мои коллегам нравится второй вариант, именно поэтому, когда нас просят внедрить «эти ваши аджайлы», мы проводим аудит. Но мы не такие, как PricewaterhouseCoopers — мы лучше, мы неформальные и мы даем ценные результаты. Как именно — читайте под катом!
Читать полностью »

1...234
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js