Было бы очень занимательно поуправлять ЦРУ, но это доступно только товарищу Сноудену. В данной заметке (хотя размер для заметки великоват) речь пойдет про три столпа ИБ, как уже все, конечно, догадались: конфиденциальность (Confidentiality), целостность (Integrity), доступность (Availability). Материал не сильно похож на тот, что есть в учебниках российского производства, поэтому, надеюсь, будет интересным. Некоторые понятия оставляю в оригинале, те, кто в курсе в переводе не нуждаются, да и в контексте, думаю, будет все предельно ясно. Каждый из этих трех аспектов тесно связан физической безопасностью (Safety) и нарушение какого-либо из них может привести к негативным последствиям.
Читать полностью »
Рубрика «защита информации» - 10
Controls of C.I.A
2014-07-24 в 5:52, admin, рубрики: защита информации, информационная безопасность, мануал, управление рискамиШифрование облачных сервисов в компаниях и организациях
2014-07-14 в 9:25, admin, рубрики: Блог компании КиберСофт, защита информации, информационная безопасность, корпоративное облачное шифрование, Облачные вычисленияПредставьте, что вы являетесь руководителем компании — у вас динамично развивающийся проект и вы предпочитаете идти в ногу со временем. С каждым годом ваша организация разрастается, расширяется штат сотрудников. В таком случае, один из основных вопросов, который вам постоянно придется решать — это обеспечение своей организации современными вычислительными технологиями, покупка нового программного обеспечения и лицензий.
Однако, это вовсе не обязательно. Почему бы вам не воспользоваться услугами облачных сервисов? Все, что для этого нужно – подключиться к приложению провайдера данной услуги, после чего ваша компания получит удаленный доступ его вычислительным ресурсам. Читать полностью »
Методы протекции важного текста
2014-06-26 в 18:14, admin, рубрики: веб-аналитика, Веб-разработка, защита информации, метки: защита информации В современном интернете может существовать огромное количество текстовых данных: статьи, книги, публикации, сканы, заявления, заметки, справочники, энциклопедии, тексты песен. Я ратую за создание уникального контента (в качестве примера можно указать здесь газетные агентства, различные закрытые и доступные только по подписке журналы и издания). Уникальность — это действительно полезно, автор делает исключительно положительную работу. Если бы я был человеком, который владеет словом или имеет возможность писать то, что можно расценить как хороший материал, я бы озаботился созданием инфраструктуры для защиты, скажем так, для запрета свободного распространения. Например, далее можно придумать подписку, организовать издание, привлечь других писателей и подняться на этом деле.
Читать полностью »
Особенности мобильных приложений на платформе iOS, использующих логин и пароль клиентов для доступа к платному контенту
2014-04-02 в 11:03, admin, рубрики: iOS, анализ защищенности, анализ кода, аудит ИБ, Блог компании Инфосистемы Джет, защита информации, информационная безопасность, кибератаки, мобильные приложения, статический анализ кода, хакерство Разработчики мобильных приложений зачастую сталкиваются с необходимостью хранить конфиденциальные данные пользователя на пользовательском устройстве. Это могут быть, например, номер кредитной карточки или аутентификационные данные. В этой статье мы поговорим о типичных ошибках реализации хранения конфиденциальных данных с точки зрения информационной безопасности на примере мобильной платформы iOS.
Обычно настройки приложения хранятся в конфигурационных файлах. Библиотека Cocoa Touch, используемая при разработке приложений для мобильной платформы iOS, предоставляет слой абстракции для хранения настроек приложения в классе NSUserDefaults. Класс NSUserDefaults реализует нелюбимый многими шаблон проектирования «Одиночка» (более известный как Singleton), предоставляя доступ к интерфейсу над стандартным конфигурационным файлом приложения.
Стандартный файл конфигурации приложения располагается в его домашней директории по относительному адресу Library/Preferences/<your.company.name>.<app.name>.plist. Как и другие файлы, расположенные в «песочнице», он не доступен на чтение для других приложений пользовательского уровня. Исключения составляют устройства, подвергнутые модификациям политики безопасности системы (jailbroken-устройства).
Многие разработчики по достоинству оценили удобство работы с классом NSUserDefaults. Подавляющее число приложений используют его для хранения внутренних настроек и/или настроек пользователя. К сожалению, удобство использования редко коррелирует с безопасностью. Хранение конфиденциальных данных пользователя в стандартном файле настроек является типичной ошибкой разработчиков, приводящей к утечке пользовательской информации.
В результате исследования исходного кода Приложения А на наличие ошибок в контексте информационной безопасности было выявлено, что приложение сохраняет данные аутентификации пользователя в конфигурационном файле настроек. Загрузив Приложение А на iPad под управление оригинальной операционной системы iOS версии 6.1.3, мы прошли стадию аутентификации и принялись за исследование файла настроек приложения.
Рис. 1. Загрузка приложения на iPad
Для демонстрации уязвимости мы использовали приложение iExplorer, доступное для операционных систем семейств Windows NT и Mac OS X. Приложение iExplorer представляет собой графический файловый менеджер для устройств под управлением iOS. Находим Приложение А в списке установленных приложений и открываем Library/Preferences/<settings-name>.plist на чтение.
Рис. 2. Внешний вид приложения iExplorer c доступом к нужному файлу
Рис. 3. Конфигурационный файл с конфиденциальной информацией
Как мы научились читать мысли системных администраторов
2014-04-01 в 5:10, admin, рубрики: active directory, администрирование, Администрирование баз данных, Блог компании NetWrix, защита информации, ит-инфраструктура, пароли, сисадмин, системное программирование, метки: active directory, администрирование, администрирование баз данных, защита информации, пароли, сисадминМы решили поделиться своей новой разработкой – системой, способной читать мысли системных администраторов и предугадывать их действия!
Netwrix Auditor улавливает мозговую активность пользователей, прогнозирует их дальнейшие действия и оповещает об их планах.
Прозрачное шифрование сетевых папок в корпоративном пространстве
2014-02-03 в 6:52, admin, рубрики: Блог компании КиберСофт, защита данных, защита информации, информационная безопасность, криптография, прозрачное шифрование, шифрование данных, шифрование информации, метки: защита данных, защита информации, криптография, прозрачное шифрование, шифрование данных, шифрование информацииШирокое распространение сетевых технологий (LAN, CAN, VPN) позволяет компаниям организовать быстрый и удобный обмен информацией на различных расстояниях. Тем не менее, защита информации в корпоративной среде – задача, которая остается актуальной по сегодняшний день и тревожит умы руководителей предприятий малого, среднего и крупного звена самых разнообразных сфер деятельности. Кроме того, какой бы ни была численность компании, для руководства практически всегда возникает необходимость разграничить права доступа сотрудников к конфиденциальной информации исходя из степени ее важности.
В этой статье мы поговорим о прозрачном шифровании как об одном из наиболее распространенных способов защиты информации в корпоративной среде, рассмотрим общие принципы шифрования для нескольких пользователей (криптография с несколькими открытыми ключами), а также расскажем о том, как настроить прозрачное шифрование сетевых папок при помощи программы CyberSafe Files Encryption.Читать полностью »
Прозрачное шифрование файлов на локальном компьютере при помощи CyberSafe Files Encryption
2014-01-27 в 10:06, admin, рубрики: Блог компании КиберСофт, защита данных, защита информации, информационная безопасность, криптография, прозрачное шифрование, шифрование, шифрование данных, шифрование информации, метки: защита данных, защита информации, информационная безопасность, криптография, прозрачное шифрование, шифрование, шифрование данных, шифрование информацииВ новую версию программы CyberSafe нами была добавлена функция “прозрачного шифрования” файлов. В этой статье я расскажу о том, как работает эта функция, о ее основных возможностях, а также о преимуществах перед EFS — стандартной системой шифрования данных Windows.
Как работает “прозрачное шифрование”
Функции прозрачного шифрования в CyberSafe выполняет специальный драйвер файловой системы, осуществляющий дешифрование файлов при обращении к ним определенных приложений и их шифрование после завершения работы с файлами. Также драйвером шифруются все новые файлы, добавляемые в защищенную папку.
Процесс шифрования происходит по следующей схеме:
Шифрование почты в Outlook 2010
2014-01-22 в 12:21, admin, рубрики: Блог компании КиберСофт, защита данных, защита информации, информационная безопасность, криптография, Софт, шифрование данных, шифрование информации, метки: защита данных, защита информации, информационная безопасность, криптография, шифрование данных, шифрование информацииПост адресован всем, кому будет интересно настроить обмен зашифрованными сообщениями между двумя и более пользователями с использованием почтового клиента Outlook 2010. Как известно, шифрование почты в аутлуке выполняется на основе сертификатов и инфраструктуры открытых ключей. В процессе обмена зашифрованными сообщениями будут использоваться сертификаты двух форматов PKCS #12 и X.509.
X.509 (файл с расширением *.cer) – формат сертификата, который помимо общей информации (версия, серийный номер, алгоритм подписи, сведения об издателе, срок действия, сведения о владельце, электронный отпечаток) содержит ваш открытый ключ. Его мы отправляем другим пользователям, с которыми хотим обмениваться зашифрованными сообщениями.Читать полностью »
Уязвимости криптодисков и как сними бороться
2014-01-12 в 17:11, admin, рубрики: Блог компании КиберСофт, защита данных, защита информации, информационная безопасность, криптография, прозрачное шифрование, шифрование, шифрование данных, шифрование дисков, шифрование информации, метки: защита данных, защита информации, информационная безопасность, криптография, прозрачное шифрование, шифрование, шифрование данных, шифрование дисков, шифрование информацииОдним из наиболее удобных решений по шифрованию файлов и папок сегодня считается создание зашифрованных виртуальных томов, которые еще называют криптодисками или криптоконтейнерами. Тем не менее, не все знают о недостатках этого метода, а также о том, что неумелое их использование может принести больше вреда, чем пользы. Поэтому в этой статье мы поговорим об уязвимостях криптодисков, а также о методах, позволяющих с этими уязвимостями справиться.
Интро. Вкратце о криптодисках
Программный комплекс ViPNet Client Android сертифицирован ФСБ России
2013-10-15 в 9:33, admin, рубрики: android, vipnet, vpn, безопасность, защита информации, информационная безопасность, криптография, Сетевые технологии, метки: android, vipnet, vpn, безопасность, защита информации Мы рады сообщить о том, что программный комплекс ViPNet Client Android сертифицирован ФСБ России как сетевое средство криптографической защиты информации класса КС1. Полученный сертификат соответствия СФ/124-2226 подтверждает, что ViPNet Client Android соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94 и требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1 и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Читать полностью »