Pull to refresh
26
Karma
0
Rating
Александр Дорофеев @alexdorofeeff

генеральный директор

Тестирование альтернативных гипотез – эффективная методика структурированного анализа информации

Information Security *
Tutorial

Когда мы пытаемся разобраться с какой-либо ситуацией и найти ответ на один из извечных вопросов «Кто виноват?», наш мозг любит выбирать первый понравившийся ответ и все факты уже рассматривать через его призму. Для того, чтобы ленивое серое вещество обмануть и заставить выйти из энергосберегающего режима, аналитики разведывательных служб придумали техники структурированного анализа (Structured Analytic Techniques), которые заставляют нас принять во внимание не только симпатичные нам варианты развития событий. Одной из самых распространенных техник является техника тестирования альтернативных гипотез, которую мы рассмотрим на небольшом шуточном кейсе.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 2.4K
Comments 2

Искусство подбирать чужие пароли

Эшелон corporate blog Information Security *
Tutorial

В культовом фильме начала двухтысячных «Пароль «Рыба-меч» талантливому хакеру необходимо подобрать пароль в течение одной минуты. В этом ему помогает приятель, который заботливо держит пистолет у виска и темпераментная блондинка, прячущаяся под столом. Что делать, если таких друзей поблизости нет, а пароль подобрать необходимо? Например, в ходе тестирования на проникновение…



Небольшое, но важное предупреждение: если предлагаемым в статье подходом пользоваться не в рамках проектов по тестированию защищенности, то ваши действия легко могут подпасть под статью 272 УК РФ (Неправомерный доступ к компьютерной информации).

Читать дальше →
Total votes 31: ↑27 and ↓4 +23
Views 34K
Comments 65

Приглашаем на Всероссийскую студенческую олимпиаду по направлению «Информационная безопасность» в МИФИ

Эшелон corporate blog Information Security *Cryptography *
Recovery mode

С 20 по 22 апреля 2018г. в Национальном исследовательском ядерном университете «МИФИ» пройдет очередная Всероссийская студенческая олимпиада по информационной безопасности. Олимпиада проходит при поддержке Минобрнауки России, ФСТЭК России, а также УМО вузов по информационной безопасности.

По ежегодной традиции спонсором конференции выступает НПО «Эшелон», также наши эксперты принимают непосредственное участие в разработке конкурсных заданий по этичному хакингу и входят в судейское жюри.

К участию в Олимпиаде приглашаются студенты высших учебных заведений в возрасте от 18 до 25 лет на момент проведения мероприятия, обучающиеся по программам бакалавриата, специалитета, магистратуры укрупненных групп специальностей и направлений подготовки 10.00.00 и 09.00.00, серьезно интересующиеся вопросами защиты информации и прошедшие конкурсный отбор по месту учебы.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 1.9K
Comments 0

Женщины в IT, взгляд изнутри

IT career
Recovery mode
Работаю в сфере IT после окончания Бауманки четвертый год и за это время прошла путь от инженера производственного департамента до менеджера проекта. Ни для кого не секрет, что доля женщин в сфере IT небольшая. В нашей компании, например, девушек ровно треть. Почему же так мало девушек выбирают для себя эту сферу?

На протяжении учебы в университете и в первый год работы меня терзало немало сомнений, а точно ли я на своем месте. К сожалению, существует стереотипы и предрассудки насчет девушек в сфере IT, наверно поэтому женщин тут в разы меньше мужчин. Многие стереотипы я испытываю на себе, поэтому хочется поделиться тем, как это выглядит с другой стороны баррикад. Какие из этих стереотипов обоснованы, а какие нет? Как с ними можно бороться, да и нужно ли вообще обращать на это внимание?
Читать дальше →
Total votes 64: ↑28 and ↓36 -8
Views 19K
Comments 175

Тест на проникновение с помощью Metasploit Framework: базовое руководство для системного администратора

Эшелон corporate blog Information Security *
Tutorial

Редко кто из экспертов, специализирующихся на тестировании защищенности, сталкивался с ситуацией, когда не смог полностью скомпрометировать сеть в ходе внутреннего тестирования на проникновение. Причем причины успехов этичных хакеров банальны: слабые пароли, отсутствие критичных обновлений безопасности, ошибки конфигурации. Возникает вопрос: если причины незащищенности такие тривиальные, можно ли разработать перечень ключевых проверок, которые мог бы провести системный администратор самостоятельно и есть ли единый инструмент, позволяющий это реализовать? Попробуем разобраться.


Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 85K
Comments 12

Отчет по пентесту: краткое руководство и шаблон

Эшелон corporate blog Information Security *
Tutorial

Во вчерашней статье мы подробно разобрали методологию комплексного тестирования защищенности и соответствующий инструментарий этичного хакера. Даже если мы с вами в совершенстве овладеем методикой взлома и проведем тестирование на самом высоком уровне, но не сможем грамотно представить результаты заказчику, то проект будет «так себе». Как написать грамотный отчет по тестированию защищенности – об этом мы и поговорим сегодня.


Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 14K
Comments 4

Профессиональное тестирование на проникновение: удел настоящих гиков-фанатов командной строки или уже нет?

Эшелон corporate blog Information Security *

Когда речь заходит о хакинге, неважно, об этичном или не очень, многие из нас представляют темное помещение с мониторами и очкастым профессионалом с красными от постоянного недосыпания глазами. Действительно ли систему может взломать только гик-профессионал и действительно ли для того, чтобы протестировать защищенность своих систем необходимо привлекать только таких экспертов? А нельзя ли вооружить грамотного ИТ-специалиста хакерскими инструментами и логичной методологией и получить качественный результат? Попробуем разобраться.


Читать дальше →
Total votes 22: ↑12 and ↓10 +2
Views 41K
Comments 10

Приглашаем на Всероссийскую студенческую олимпиаду по прикладной информатике и кибербезопасности в МИФИ

Эшелон corporate blog Information Security *Cryptography *
С 21 по 23 апреля 2017г. в Национальном исследовательском ядерном университете «МИФИ» пройдет Пятая Всероссийская студенческая олимпиада по прикладной информатике и кибербезопасности. Олимпиада проходит при поддержке Минобрнауки России, ФСТЭК России, а также УМО вузов по информационной безопасности.

image
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 4.2K
Comments 17

Интернет-контрразведка в действии: создаем персональную систему менеджмента информационной безопасности

Эшелон corporate blog Information Security *

В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:


Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.


Читать дальше →
Total votes 48: ↑42 and ↓6 +36
Views 43K
Comments 52

Как «пробить» человека в Интернет: используем операторы Google и логику

Эшелон corporate blog Information Security *
Tutorial

В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.


В комментариях к первой нашей статье, читатели просили побольше практических примеров и скриншотов, поэтому в этой статье практики и графики будем много. Для демонстрации возможностей «продвинутого» поиска Google в качестве целей были выбраны личные аккаунты автора. Сделано это, чтобы никого не обидеть излишним интересом к его частной жизни. Хочу сразу предупредить, что никогда не задавался целью скрыть свое присутствие в интернете, поэтому описанные методы подойдут для сбора данных об обычных людях, и могут быть не очень эффективны для деанонимизации фэйковых аккаунтов, созданных для разовых акций. Интересующимся читателям предлагаю повторить приведенные примеры запросов в отношении своих аккаунтов и оценить насколько легко собирать информацию по ним.


Читать дальше →
Total votes 122: ↑105 and ↓17 +88
Views 896K
Comments 108

Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

Эшелон corporate blog Information Security *
А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 84K
Comments 28

Обнаружение дефектов кода типа «Expression Issues» (CWE-569)

Эшелон corporate blog Information Security *PHP *Java *Perfect code *

Настоящей статьей мы продолжаем серию обзоров, посвященных обнаружению уязвимостей в open-source проектах с помощью статического анализатора кода AppChecker.


В рамках этой серии рассматриваются наиболее часто встречающиеся дефекты в программном коде, которые могут привести к серьезным уязвимостям. В этой статье мы остановимся на широком классе дефектов типа "Expression Issues" и рассмотрим их на примерах на языках PHP и Java.



В международной классификации CWE данный тип дефектов известен как CWE-569: Expression Issues. К нему относятся различные ошибки в логических выражениях в коде программы. Частным случаем дефекта такого класса является дефект «Присваивание вместо сравнения».


Читать дальше →
Total votes 27: ↑21 and ↓6 +15
Views 5.4K
Comments 18

Интернет-разведка в действии: who is Mr./Ms. Habraman?

Эшелон corporate blog Web analytics *Internet marketing *
В прошлой статье, посвященной интернет-разведке, был кратко рассмотрен процесс сбора и анализа данных по конкретному человеку. Так как тема вызвала большой интерес, продолжаем начатое дело и в этой статье рассмотрим, как можно собирать информацию о целой группе пользователей.

Рассмотрим следующую ситуацию: новый пользователь Хабра, получив «минус в карму» еще до первого своего поста/комментария на ресурсе, решает узнать, а кто же скрывается за изощренно придуманными никами пользователей Хабра и задается вопросом: who is Mr./Ms. Habraman?
Читать дальше →
Total votes 26: ↑24 and ↓2 +22
Views 47K
Comments 25

Что в имени тебе моем: как качественно «пробить» человека в сети Интернет?

Эшелон corporate blog Personnel Management *
Recovery mode
Мы постоянно встречаемся в своей жизни с новыми людьми, и стоит констатировать, что помимо хороших друзей нам попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан оставить свой след в интернете и старания наших ИТ-компаний по автоматизации всего и вся позволяют нам довольно оперативно собирать интересующую информацию о конкретных персонах по открытым источникам. Чтобы это делать быстро и качественно, нам нужно владеть простой методологией разведывательной работы и знать, где и какую информацию о человеке можно добыть в интернете.
Читать дальше →
Total votes 90: ↑70 and ↓20 +50
Views 182K
Comments 56

Information

Rating
Does not participate
Registered
Activity