Компания Positive Technologies стала партнером второй Всероссийской студенческой олимпиады по информационной безопасности. Олимпиада организована на базе факультета кибернетики и информационной безопасности Национального исследовательского ядерного университета «МИФИ» и пройдет 26—28 апреля 2014 года.



К участию в олимпиаде МИФИ приглашаются студенты высших учебных заведений в возрасте от 18 до 25 лет на момент проведения мероприятия, обучающиеся по программам бакалавриата и специалитета направлений подготовки 10.0x.0x (090xxx) и 09.0x.0x(230xxx), серьезно интересующиеся вопросами защиты информации и прошедшие конкурсный отбор по месту учебы (до четырех человек от вуза). Студенты магистратуры могут участвовать вне конкурса.

До старта форума PHDays IV остается совсем немного. Уже определены финалисты соревнований CTF, полным ходом идет формирование программы (части 1 и 2) и подготовительные работы в рамках инициативы PHDaуs Everywhere. Но конечно, этим дело не ограничится и, помимо интереснейших докладов и мастер-классов, гостей форума ждет увлекательная конкурсная программа.

Один из самых распространенных вопросов, который задают люди, только начинающие интересоваться алгоритмической торговлей это «Какой язык программирования для этого подходит лучше всего?». Само собой, короткий ответ заключается в том, что никакого «лучшего» варианта не существует. При выборе инструмента следует учитывать параметры торговой стратегии, необходимую производительность, модульность, методологию разработки и требования к отказоустойчивости. В этой статье мы поговорим о главных компонентах архитектуры алгоритмической торговой системы и о том, как каждый из них влияет на выбор языка программирования.

Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции. Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV.

Как создать вирус и ботнет для Android? Что можно узнать, купив жесткий диск на аукционе EBay? Чем угрожает SIM-карта своему владельцу? Как скопировать токен одноразовых паролей? 17 февраля стартовал заключительный этап Call For Papers (процедура подачи заявок от докладчиков), который продлится до 31 марта, а сейчас мы анонсируем выступления первой группы участников, попавших в основную техническую программу международного форума по практической безопасности Positive Hack Days IV.

Интернет — прекрасная среда для общения. Общения при помощи писем, чата, голоса или видео. Если видеосвязь это достаточно ново, то телефоном люди пользуются уже сто лет. С прокладкой новых интернет-магистралей и развитием программ вроде интернета с воздушных шаров доступ в сеть будет в скором времени даже у пингвинов в Антарктиде. А раз есть такое покрытие, зачем использовать телефонные линии? Почему бы не пускать голос по интернет-каналам?

Одним из решений этой задачи является протокол SIP (Session Initiation Protocol). Это протокол с интересной историей, но сейчас мы коснемся только некоторых его особенностей. SIP — это протокол установления сеанса для последующей передачи данных; передает информацию в открытом виде. Среди данных могут присутствовать учетные данные абонента — логин, домен, пароль (в открытом или хешированном виде), а также многие другие интересные поля. Отметим, что в некоторых случаях аутентификация может отсутствовать вовсе (соединение настраивается на обоих сторонах как пара IP:port). Рассмотрим несколько угроз, возникающих при использовании протокола SIP, и способы эти угрозы реализовать.

Мнение большого числа людей о фондовом рынке, зачастую сводится к тому, что это просто площадка для спекуляций и зарабатывания денег из воздуха. Особенно часто подобные рассуждения можно услышать в обсуждениях производных инструментов (фьючерсов, опционов). Но так ли все на самом деле?

Привычные нам биржи, это, по сути – вторичный рынок ценных бумаг, на котором перераспределяются права на долю собственности или долгов компаний эмитентов ценных бумаг. Сами компании, выходящие на биржу благодаря этому не получают никакого финансирования – когда говорят о том, что в результате падения акций компания потеряла столько то миллионов, то это не более чем красивые слова т.к. на самом деле никаких потерь, кроме имиджевых, здесь нет.

PHDays IV все ближе: началась продажа билетов, в самом разгаре Call For Papers и прием работ на конкурс молодых ученых Young School. Но это еще не все! Уже совсем скоро стартует CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF, финал которых состоится 21 и 22 мая 2014 года в московском техноцентре Digital October во время форума Positive Hack Days.

Правила

Отборочные соревнования PHDays CTF Quals будут проходить на протяжении двух дней 25 и 26 января. По их итогам лучшие команды выйдут в финальную часть турнира. В ходе CTF Quals участники столкнутся с множеством интересных заданий: для их решения одновременно понадобятся глубокие теоритические знания современных технологий и развитые практические навыки.

[Первая часть]

Слово за слово

Компании Virtu и Nanex обменивались взаимными обвинениями с того момента, как Хунсадер опубликовал свой отчет от 20-го сентября, через два дня после того, как ФРС США удивила рынки, продолжив ежемесячные покупки облигаций на сумму в $85 миллиардов, которые ФРС проводит в рамках программы количественного смягчения.

Отчет, озаглавленный «Эйнштейн и большое федеральное ограбление», содержал в себе данные, по мнению Nanex демонстрирующие, что какая-то трейдинговая компания или компании получили преимущества от решения ФРС, а потом использовали фору в несколько миллисекунд, чтобы начать размещать заказы в общей сумме более, чем на миллион долларов. Миллисекунда – это одна тысячная доля секунды или значение с тремя знаками после запятой: с такой степенью точности скорость измеряется во время забегов или соревнований пловцов на Олимпийских играх. Приняв во внимание отчет Nanex, Центробанк начал проверку и в итоге сделал более строгими правила публикации своих указаний.

Chaos Communication Congress является одним из крупнейших в Европе мероприятий, которое посещают тысячи хакеров каждый год. В этот раз в Гамбурге собралось более 9000 человек. В их числе были и эксперты Positive Technologies, которые представили свои исследования в области безопасности АСУ ТП, провели мастер-класс, посвященный тестам на проникновение SCADA-систем, и рассказали о подготовке «Лабиринта» — одного из самых зрелищных соревнований форума PHDays III.

Хотя проблемы информационной безопасности довольно широко обсуждаются в последние годы и все больше людей узнает об их важности, корпоративные системы многих компаний до сих пор недостаточно защищены. Более того, как показало статистическое исследование, проведенное специалистами Positive Technologies, эти системы зачастую может взломать даже не особенно квалифицированный киберпреступник.

Данные для исследования

При проведении исследования были использованы данные работ по тестированию на проникновение, проведенных в 2011 и 2012 годах (по 10 систем для каждого года). Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»).



Попавшие в отчет корпоративные системы насчитывают тысячи узлов, зачастую распределены территориально и имеют десятки филиалов.

В ходе тестирования некоторых продуктов компании Positive Technologies возникла необходимость проведения быстрых стресс-тестов одного веб-сервиса. Эти тесты должны были быть простыми и быстрыми в разработке, нетребовательными к аппаратным ресурсам и одновременно с этим давать значительную нагрузку однотипными HTTP-запросами, а также предоставлять статистические данные для анализа системы под нагрузкой.

Для их реализации мы исследовали и опробовали некоторое количество инструментов, среди которых были Apache JMeter и написанный нами на Python скрипт LogSniper, который выполнял реплей заранее подготовленных серверных логов с HTTP-запросами на цель.

Международный форум по практической безопасности Positive Hack Days IV состоится 21 и 22 мая 2014 года в техноцентре Digital October. Полномасштабная подготовка мероприятия, побеждавшего в рейтингах, получавшего премии и заслужившего немало добрых слов от профессионалов ИБ-сообщества идет полным ходом.



В следующем году PHDays пройдет уже в четвертый раз и будет посвящен новым проблемам, с которыми пришлось столкнуться бизнесу, государству и частным лицам вследствие бурного развития науки и технологий.

Фотография: Bantersnaps (Unsplash.com)

Продолжение первой части, опубликованной ранее в блоге ITinvest. Рассказываем, как развивалась ситуация, когда Wall Street в какой-то момент своего развития решила сделать ставку на технологии высокоскоростных торговых операций. Журналисты Wired в своем расследовании подчеркивают, что в этой области критичными становятся все аспекты ИТ-инфраструктуры, хранения и передачи данных. И если крупнейшие трейдинговые центры США разделает всего несколько сотен миль, в процессе принятия и исполнения решений HFT-трейдерами играет роль каждая десятая миллисекунды.

Уже второй год подряд эксперты Positive Technologies принимают участие в крупнейшей восточноазиатской конференции по информационной безопасности Power of Community. В этом году на мероприятии, состоявшемся в Сеуле, были продемонстрированы уязвимости современных систем АСУ ТП (SCADA), управляющих транспортными, промышленными, топливно-энергетическими и многими другими критически важными объектами.

Веб-приложения давно стали неотъемлемой частью корпоративной информационной системы любой современной организации вне зависимости от рода ее деятельности. Собственные веб-ресурсы создают не только коммерческие компании, но и государственные учреждения, которые развивают веб-сервисы для предоставления онлайн-услуг.

Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями, которые ежегодно проводятся экспертами Positive Technologies.

Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа).

Ни для кого не секрет, что традиционные вузовские образовательные программы далеко не всегда обладают необходимой гибкостью, чтобы соответствовать развитию технологий и ситуации на рынке труда. Для восполнения этого пробела и чтобы помочь молодежи осваивать интересные и востребованные специальности в области ИБ, мы запустили программу Positive Education, к которой за год присоединились десятки вузов. Теперь участники этой программы смогут в процессе обучения использовать систему контроля защищенности и соответствия стандартам MaxPatrol.

Банк сегодня это не только место для хранения денег, куда можно прийти со сберкнижкой. Банковский бизнес уже давно является высокотехнологичной отраслью, для нормального функционирования которой необходимо огромное количество оборудования и программного обеспечения. Поменялось и отношение клиентов к банку: с проникновением Интернета в нашу обычную жизнь все больше людей не хотят тратить время на простаивание в очередях и предпочитают совершать операции онлайн. Удовлетворить этот спрос призваны системы дистанционного банковского обслуживания.

Интерес к безопасности подобных систем понятен, и банки, казалось бы, работают в этом направлении, используют всевозможные средства защиты (шифрование, электронную цифровую подпись и т. п.). Но как на самом деле обстоит дело с безопасностью систем ДБО? Эксперты Positive Technologies провели собственное исследование. Результаты под катом.

Портал SecurityLab.ru анонсирует запуск функционала подписки на уязвимости.

Теперь все желающие могут подписаться на рассылку и оперативно получать уведомления об уязвимостях по интересующим их продуктам. Cервис является абсолютно бесплатным, в отличие от других аналогичных услуг, предоставляемых различными компаниями.

Выбрать ПО из списка можно на странице по ссылке: http://www.securitylab.ru/subscribe/vulnerability/

AAA (Authentication Authorization and Accounting) — система аутентификации авторизации и учета событий, встроенная в операционную систему Cisco IOS, служит для предоставления пользователям безопасного удаленного доступа к сетевому оборудованию Cisco. Она предлагает различные методы идентификации пользователя, авторизации, а также сбора и отправки информации на сервер.

Однако мало того, что ааа по умолчанию выключена; конфигурация этой системы — дело довольно запутанное. Недочеты в конфигурации могут привести либо к нестабильному, небезопасному подключению, либо к отсутствию какого-либо соединения в принципе. В данной статье мы подробно разберем схему настройки аутентификации при помощи aaa.