Рубрика «информационная безопасность» - 701

в 15:47, , рубрики: information security, информационная безопасность

Информационная безопасность, пожалуй, остаётся одной из самых неблагодарных отраслей IT: специалистов по ней то подозревают в безделии, пока всё в порядке, то обвиняют в халатности, когда что-то случилось. Вся же работа по обеспечению information security часто сопровождается раздражённым отношением других сотрудников, которые воспринимают все мероприятия и требования безопасников как желание помешать всем остальным спокойно делать их работу.

Руководство постоянно терзается дилеммой «у нас всё в порядке из-за хорошо поставленной информационной безопасности, или потому что угрозы преувеличены?» и, часто склоняясь ко второму объяснению, постоянно норовит урезать бюджеты или требует вечных обоснований экономической отдачи от затрат на ИБ, причём по инвестиционным моделям, явно к ИБ не подходящим.

В итоге, специалисты по информационной безопасности часто остаются непонятыми и испытывают серьёзные трудности с тем, чтобы в лёгкой и доступной форме донести базовые вещи до всех тех, кто их окружает: руководства, разработчиков, офисного планктона персонала и др. Именно эту проблему и призваны решить нижеследующие мультики. Возможно их просмотр окажется более эффективным чем стандартный инструктаж и позволит сделать деятельность специалистов по информационной безопасности хотя бы чуточку легче, ну или в крайнем случае, просто убьёт ещё пару часов рабочего времени самих безопасников.
Читать полностью »

в 11:30, , рубрики: i2p, Tails, Tor, информационная безопасность, мвд рф, Сетевые технологии

Так. Слишком много за последние полторы недели произошло, поэтому будет в один пост.

Tor

Выступление на BlackHat отменили

Каждый сможет взломать Tor за 3000$ (MagisterLudi) — говорили ребята, которым запретили выступать на BlackHat. Они хотели выступать от имени организации Carnegie Mellon’s Software Engineering Institute, в которой и проводились исследования, но им не дали права на публичное распространения этого материала. Подробности особо неизвестны: исследователи сообщили о баге только Tor Core Developers, но, вроде как, все друг друга поняли, и работы по устранению бага уже ведутся.

Сообщение в рассылке Torproject
Немного информации в PCWold
На xaker.ru
Более ранняя заметка на arstechnica

Sniper attack

Наконец-то выложили подробности атаки, о которой сообщалось в блоге Torproject в конце января. Эта атака позволяла, во-первых, жрать память на exit-node до ее неработоспособности при очень низком использовании ресурсов на стороне атакующего, во-вторых, позволяла анонимно деанонимизировать hidden service при атаке от 4 до 278 часов на него. Проблема была в некорректной работе с TCP Window Size/Flow Control и команде SENDME. Решили добавлением некой аутентификации на SENDME (на самом деле, просто небольшая проверка). Баг устранен в версии 0.2.4.14-alpha.Читать полностью »

в 9:12, , рубрики: Facebook, twitter, все это можно забыть, информационная безопасность, криптография, общение, социальные сети, только чебурашка

На сайте госзакупок уже более 10 дней висит заказ на «Исследование возможности получения технической информации о пользователях (пользовательском оборудовании) анонимной сети ТОR», шифр «ТОР (Флот)».

Стоимость — 3,9 млн. руб.

На всякий случай, вот скриншот:

МВД РФ объявило конкурс, целью которого является «взлом» TOR

Комментировать трудно, одни эмоции.

Похоже IT-сообщество рунета очень недооценивало власть РФ.

Читать полностью »

в 9:04, , рубрики: beeline, HTTPS, SSL, информационная безопасность, как не надо делать, Мобильный веб

Вечерело.

Мы с товарищем, сделали простенький тест (github) на проверку доступности data-uri в браузерах. Выглядит он следующим образом

Ещё одна причина переходить на SSL или 133 КБ не лишние

В textarea javascript'ом вставляется navigator.userAgent. В этот момент я не знаю, что меня стукнуло в голову, но вместо DOMContentLoaded, я написал <body onload="onload()">. По-быстрому проверив корректную работу в десктопных браузерах и на нескольких мобильных устройствах, подключённых к интернету через wi-fi, мы успокоились и разошлись по домам.

Солнце продиралось сквозь занавески.

Утром, в полупустом вагоне метро, я как всегда открыл браузер на своем телефоне, на котором со вчерашнего вечера была открыта тестовая страничка. Сказать, что я удивился, когда я не увидел вывода userAgent внутри textaria — ничего не сказать.

Добравшись до компьютера, решил потратить немного времени на поиск проблемы. Запустив страничку на десктопе и в эмуляторе, я ничего не заметил. Открыл на телефоне. Чудеса! Всё работает.

Увидев включённый значок wi-fi, в мою голову начали закрадываться первые подозрения о причине проблемы. Я отключил wi-fi, подключил телефон к компьютеру и начал дебаг с помощью веб-инспектора десктопного сафари.

Читать полностью »

в 5:52, , рубрики: защита информации, информационная безопасность, мануал, управление рисками

Было бы очень занимательно поуправлять ЦРУ, но это доступно только товарищу Сноудену. В данной заметке (хотя размер для заметки великоват) речь пойдет про три столпа ИБ, как уже все, конечно, догадались: конфиденциальность (Confidentiality), целостность (Integrity), доступность (Availability). Материал не сильно похож на тот, что есть в учебниках российского производства, поэтому, надеюсь, будет интересным. Некоторые понятия оставляю в оригинале, те, кто в курсе в переводе не нуждаются, да и в контексте, думаю, будет все предельно ясно. Каждый из этих трех аспектов тесно связан физической безопасностью (Safety) и нарушение какого-либо из них может привести к негативным последствиям.
Читать полностью »

в 14:33, , рубрики: maxpatrol, Блог компании Positive Technologies, вебинары, информационная безопасность

image

Безопасность информационных ресурсов начинается с безопасности сетевой инфраструктуры, и чем она сложнее, тем труднее ее защищать.

В свободном доступе можно найти инструкции по безопасной настройке практически любого сетевого устройства. Кроме того, регулярно публикуются сведения об уязвимостях с рекомендациями по их устранению. Но подобной информации слишком много, и мы не можем проводить все свое рабочее время, разбираясь в нескончаемом потоке инструкций… Как защитить сеть, ничего не упустив, и при этом оптимизировать трудозатраты?Читать полностью »

в 14:17, , рубрики: dsecrg, безопасность, Блог компании «Digital Security», информационная безопасность, мобильная разработка

image
Продолжаем тему безопасности мобильного банкинга, которую мы начали в первой части. Наверное, многие уже догадались, речь в данной статье пойдет об атаке «человек посередине», MitM. Данная атака была выбрана не случайно. В случае, если канал передачи данных между приложением мобильного банкинга и сервером контролируется злоумышленником, последний может украсть деньги со счета клиента, то есть нанести прямой финансовый ущерб. Но обо всем по порядку.

Читать полностью »

в 14:08, , рубрики: Алгоритмы, информационная безопасность, криптография
Введение

Доброго времени суток, пользователи !

В этой статье речь пойдет о программной реализации стеганорафического метода Куттера-Джордана-Боссена в MATLAB.

Для тех, кто не знает, поясню: стеганрография — это наука о скрытой передаче информации путём сохранения в тайне самого факта передачи. В данном методе текстовая информация записывается в изображение по определенному алгоритму. С самим алгоритмом вы можете ознакомиться в посте от 11 марта 2011 года «Стеганографический метод Куттера-Джордана-Боссена».

Читать полностью »

в 13:36, , рубрики: jabber, jabber.ru, xmpp, информационная безопасность

Среди активных и пассивных пользователей Линукс принято осуждать использование любых мессенджеров, кроме джаббера. Однако, мало кто знает, что сервер jabber.ru скрывает в себе множесто «веселых игр» вроде чтения приватной переписки в конференциях. Самые увлекательные развлечения, которые удалось отыскать описаны в этой статье.
Игрища с сервером jabber.ru

Читать полностью »

в 13:17, , рубрики: информационная безопасность, персональные данные, социальные сети

Где? Ну, да, только на российских серверах. Данный закон, как уже обсуждалось ранее, обязывает почтовые сервисы, а также социальные сети размещать персональные данные данные российских пользователях исключительно на серверах, расположенных на территории России. Требования, изложении в данном законе, вступят в силу 1 сентября 2016 года. Цитата: «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на Читать полностью »

1...1020...700701702...710720...928
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js