Как стать автором
Обновить

Компания Эшелон временно не ведёт блог на Хабре

Сначала показывать

Киберучения: полезная информация для защитников критической информационной инфраструктуры

Время на прочтение4 мин
Количество просмотров5.7K

В этой краткой заметке разберем, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.

Читать далее
Рейтинг0
Комментарии1

Использование SIEM в ходе подготовки этичных хакеров: открываем цикл практических лабораторных работ

Время на прочтение7 мин
Количество просмотров9.5K
Как мы готовим в наших университетах и учебных центрах этичных хакеров? Как правило, предоставляем им Kali Linux или «Сканер-ВС», включающие набор инструментов для тестирования защищенности и машину со множеством уязвимостей. В результате слушатели могут получить довольно поверхностное представление о том, как проводится тестирование на проникновение на самом деле, так как в реальных проектах пентестеры имеют дело с инфраструктурами, включающими средства защиты информации и системы мониторинга событий информационной безопасности (SIEM). Чтобы исправить ситуацию и предоставить начинающим специалистам возможность изучать методы тестирования защищенности и инструменты мониторинга событий информационной безопасности в комплексе, мы начинаем этой статьей публикацию практических лабораторных работ.


Читать дальше →
Всего голосов 3: ↑2 и ↓1+4
Комментарии2

Путь к идеалу: краткое руководство для программистов и их руководителей

Время на прочтение9 мин
Количество просмотров5.4K
Никколо Макиавелли в руководстве для эффективного менеджера написал: «Как художнику, когда он рисует пейзаж, надо спуститься в долину, чтобы охватить взглядом холмы и горы, и подняться в гору, чтобы охватить взглядом долину, так и здесь: чтобы постигнуть сущность народа, надо быть государем, а чтобы постигнуть природу государей, надо принадлежать к народу». Думаю, что в соответствии с наблюдением итальянского мыслителя, любой, кто проходит путь от программиста до руководителя компании, собирает целую коллекцию типичных проблем менеджеров и разработчиков. В этой статье хочу поделиться своими наблюдениями. Сразу отмечу, что все приведенные ошибки были совершены мною лично, а некоторые даже по несколько раз. Любые совпадения неслучайны: все мы люди.


Читать дальше →
Всего голосов 5: ↑4 и ↓1+5
Комментарии1

Искусство подбирать чужие пароли

Время на прочтение8 мин
Количество просмотров39K

В культовом фильме начала двухтысячных «Пароль «Рыба-меч» талантливому хакеру необходимо подобрать пароль в течение одной минуты. В этом ему помогает приятель, который заботливо держит пистолет у виска и темпераментная блондинка, прячущаяся под столом. Что делать, если таких друзей поблизости нет, а пароль подобрать необходимо? Например, в ходе тестирования на проникновение…



Небольшое, но важное предупреждение: если предлагаемым в статье подходом пользоваться не в рамках проектов по тестированию защищенности, то ваши действия легко могут подпасть под статью 272 УК РФ (Неправомерный доступ к компьютерной информации).

Читать дальше →
Всего голосов 31: ↑27 и ↓4+23
Комментарии65

Приглашаем на Всероссийскую студенческую олимпиаду по направлению «Информационная безопасность» в МИФИ

Время на прочтение1 мин
Количество просмотров2.2K

С 20 по 22 апреля 2018г. в Национальном исследовательском ядерном университете «МИФИ» пройдет очередная Всероссийская студенческая олимпиада по информационной безопасности. Олимпиада проходит при поддержке Минобрнауки России, ФСТЭК России, а также УМО вузов по информационной безопасности.

По ежегодной традиции спонсором конференции выступает НПО «Эшелон», также наши эксперты принимают непосредственное участие в разработке конкурсных заданий по этичному хакингу и входят в судейское жюри.

К участию в Олимпиаде приглашаются студенты высших учебных заведений в возрасте от 18 до 25 лет на момент проведения мероприятия, обучающиеся по программам бакалавриата, специалитета, магистратуры укрупненных групп специальностей и направлений подготовки 10.00.00 и 09.00.00, серьезно интересующиеся вопросами защиты информации и прошедшие конкурсный отбор по месту учебы.
Читать дальше →
Всего голосов 18: ↑18 и ↓0+18
Комментарии0

Тест на проникновение с помощью Metasploit Framework: базовое руководство для системного администратора

Время на прочтение13 мин
Количество просмотров101K

Редко кто из экспертов, специализирующихся на тестировании защищенности, сталкивался с ситуацией, когда не смог полностью скомпрометировать сеть в ходе внутреннего тестирования на проникновение. Причем причины успехов этичных хакеров банальны: слабые пароли, отсутствие критичных обновлений безопасности, ошибки конфигурации. Возникает вопрос: если причины незащищенности такие тривиальные, можно ли разработать перечень ключевых проверок, которые мог бы провести системный администратор самостоятельно и есть ли единый инструмент, позволяющий это реализовать? Попробуем разобраться.


Читать дальше →
Всего голосов 16: ↑16 и ↓0+16
Комментарии12

Очередной конкурс по этичному хакингу «Эшелонированная оборона 2017»

Время на прочтение1 мин
Количество просмотров3.7K

Будущим специалистам по информационной безопасности нужно постоянно наращивать новые знания и опыт, и группа компаний «Эшелон» предоставляет такую возможность молодым специалистам, организуя конкурс «Эшелонированная оборона 2017».

Конкурс традиционно проводится среди студентов и аспирантов ведущих вузов России и стран ближнего зарубежья. В этом году участникам конкурса предлагаются два задания: тестирование защищенности ИТ-инфраструктуры (penetration test) и аудит безопасности кода. Победят те участники, кто обнаружит больше всего уязвимостей, соберет все токены и подготовит самый детальный отчет с подробными рекомендациями по устранению уязвимостей.
Читать дальше →
Всего голосов 10: ↑8 и ↓2+6
Комментарии1

Статистика выявления уязвимостей в программном обеспечении в рамках сертификационных испытаний

Время на прочтение6 мин
Количество просмотров6.6K
Анализ уязвимостей программного обеспечения в настоящее время является обязательным видом деятельности, выполняемым экспертами испытательных лабораторий отечественных систем сертификации средств защиты информации (СЗИ). Данный вид работ выполняется как при сертификации на соответствие требованиям профилей защиты, в которых в явном виде включены требования семейства доверия AVA_VAN «Анализ уязвимостей» (стандарты по линии «Общих критериев»), так и при испытаниях на соответствие требованиям технических условий или классических руководящих документов Гостехкомиссии России.

В настоящем исследовании представлена статистика выявления уязвимостей в программном обеспечении, которое было объектом сертификационных испытаний в Испытательной лаборатории НПО «Эшелон» в период 2016 — 2017 гг.
Читать дальше →
Всего голосов 14: ↑8 и ↓6+2
Комментарии18

Отчет по пентесту: краткое руководство и шаблон

Время на прочтение4 мин
Количество просмотров20K

Во вчерашней статье мы подробно разобрали методологию комплексного тестирования защищенности и соответствующий инструментарий этичного хакера. Даже если мы с вами в совершенстве овладеем методикой взлома и проведем тестирование на самом высоком уровне, но не сможем грамотно представить результаты заказчику, то проект будет «так себе». Как написать грамотный отчет по тестированию защищенности – об этом мы и поговорим сегодня.


Читать дальше →
Всего голосов 12: ↑10 и ↓2+8
Комментарии4

Профессиональное тестирование на проникновение: удел настоящих гиков-фанатов командной строки или уже нет?

Время на прочтение9 мин
Количество просмотров48K

Когда речь заходит о хакинге, неважно, об этичном или не очень, многие из нас представляют темное помещение с мониторами и очкастым профессионалом с красными от постоянного недосыпания глазами. Действительно ли систему может взломать только гик-профессионал и действительно ли для того, чтобы протестировать защищенность своих систем необходимо привлекать только таких экспертов? А нельзя ли вооружить грамотного ИТ-специалиста хакерскими инструментами и логичной методологией и получить качественный результат? Попробуем разобраться.


Читать дальше →
Всего голосов 22: ↑12 и ↓10+2
Комментарии10

Приглашаем на Всероссийскую студенческую олимпиаду по прикладной информатике и кибербезопасности в МИФИ

Время на прочтение2 мин
Количество просмотров4.4K
С 21 по 23 апреля 2017г. в Национальном исследовательском ядерном университете «МИФИ» пройдет Пятая Всероссийская студенческая олимпиада по прикладной информатике и кибербезопасности. Олимпиада проходит при поддержке Минобрнауки России, ФСТЭК России, а также УМО вузов по информационной безопасности.

image
Читать дальше →
Всего голосов 8: ↑8 и ↓0+8
Комментарии17

Загрузка доверенной среды или лёгкий путь к паранойе в IT

Время на прочтение8 мин
Количество просмотров13K


Несмотря на несколько академичное название, тема носит вполне себе практичный характер.
Когда мы видим заголовки новостей об очередном успешном взломе чатов Telegram или WhatsApp (ЦРУ, Иранскими спецслужбами, Zimperium – нужное подчеркнуть), людям достаточно часто приходится объяснять, что компрометация операционной системы или аккаунта пользователя не является синонимом слабости защиты самого приложения, и это не является поводом отказаться от пользования своим любимым мессенджером, т.к. на его месте может оказаться без принципиальной разницы любой другой.


А если вы, например, загрузившись с флэшки «перезабиваете» пароли администратора любой своей Windows-машины, это отнюдь не говорит о чудовищных дырах в «мастдае», а о вас – как о супер-хакере, взломавшем детище Microsoft.


Хотелось бы немного прояснить вопросы среды, компонентов доверия и угроз, чтобы создать целостную картинку и разобраться в том, чего мы ждём в плане безопасности от операционной системы, BIOS и любимого чат-приложения, дабы не перекладывать ответственность с больной головы на здоровую.


Итак, начнём с практики, есть следующий кейс:

Читать дальше →
Всего голосов 20: ↑17 и ↓3+14
Комментарии13

Интернет-контрразведка в действии: создаем персональную систему менеджмента информационной безопасности

Время на прочтение16 мин
Количество просмотров44K

В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:


Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.


Читать дальше →
Всего голосов 48: ↑42 и ↓6+36
Комментарии52

Как «пробить» человека в Интернет: используем операторы Google и логику

Время на прочтение9 мин
Количество просмотров936K

В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.


В комментариях к первой нашей статье, читатели просили побольше практических примеров и скриншотов, поэтому в этой статье практики и графики будем много. Для демонстрации возможностей «продвинутого» поиска Google в качестве целей были выбраны личные аккаунты автора. Сделано это, чтобы никого не обидеть излишним интересом к его частной жизни. Хочу сразу предупредить, что никогда не задавался целью скрыть свое присутствие в интернете, поэтому описанные методы подойдут для сбора данных об обычных людях, и могут быть не очень эффективны для деанонимизации фэйковых аккаунтов, созданных для разовых акций. Интересующимся читателям предлагаю повторить приведенные примеры запросов в отношении своих аккаунтов и оценить насколько легко собирать информацию по ним.


Читать дальше →
Всего голосов 122: ↑105 и ↓17+88
Комментарии108

Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

Время на прочтение10 мин
Количество просмотров98K
А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


Читать дальше →
Всего голосов 12: ↑11 и ↓1+10
Комментарии28

Обнаружение дефектов кода типа «Expression Issues» (CWE-569)

Время на прочтение5 мин
Количество просмотров5.9K

Настоящей статьей мы продолжаем серию обзоров, посвященных обнаружению уязвимостей в open-source проектах с помощью статического анализатора кода AppChecker.


В рамках этой серии рассматриваются наиболее часто встречающиеся дефекты в программном коде, которые могут привести к серьезным уязвимостям. В этой статье мы остановимся на широком классе дефектов типа "Expression Issues" и рассмотрим их на примерах на языках PHP и Java.



В международной классификации CWE данный тип дефектов известен как CWE-569: Expression Issues. К нему относятся различные ошибки в логических выражениях в коде программы. Частным случаем дефекта такого класса является дефект «Присваивание вместо сравнения».


Читать дальше →
Всего голосов 27: ↑21 и ↓6+15
Комментарии18

Интернет-разведка в действии: who is Mr./Ms. Habraman?

Время на прочтение8 мин
Количество просмотров49K
В прошлой статье, посвященной интернет-разведке, был кратко рассмотрен процесс сбора и анализа данных по конкретному человеку. Так как тема вызвала большой интерес, продолжаем начатое дело и в этой статье рассмотрим, как можно собирать информацию о целой группе пользователей.

Рассмотрим следующую ситуацию: новый пользователь Хабра, получив «минус в карму» еще до первого своего поста/комментария на ресурсе, решает узнать, а кто же скрывается за изощренно придуманными никами пользователей Хабра и задается вопросом: who is Mr./Ms. Habraman?
Читать дальше →
Всего голосов 26: ↑24 и ↓2+22
Комментарии25

Что в имени тебе моем: как качественно «пробить» человека в сети Интернет?

Время на прочтение5 мин
Количество просмотров198K
Мы постоянно встречаемся в своей жизни с новыми людьми, и стоит констатировать, что помимо хороших друзей нам попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан оставить свой след в интернете и старания наших ИТ-компаний по автоматизации всего и вся позволяют нам довольно оперативно собирать интересующую информацию о конкретных персонах по открытым источникам. Чтобы это делать быстро и качественно, нам нужно владеть простой методологией разведывательной работы и знать, где и какую информацию о человеке можно добыть в интернете.
Читать дальше →
Всего голосов 90: ↑70 и ↓20+50
Комментарии56

Обнаружение в коде дефекта «разыменование нулевого указателя»

Время на прочтение4 мин
Количество просмотров22K
Этой статьей мы открываем серию публикаций, посвященных обнаружению ошибок и уязвимостей в open-source проектах с помощью статического анализатора кода AppChecker. В рамках этой серии будут рассмотрены наиболее часто встречающиеся дефекты в программном коде, которые могут привести к серьезным уязвимостям. Сегодня мы остановимся на дефекте типа «разыменование нулевого указателя».



Разыменование нулевого указателя (CWE-476) представляет собой дефект, когда программа обращается по некорректному указателю к какому-то участку памяти. Такое обращение ведет к неопределенному поведению программы, что приводит в большинстве случаев к аварийному завершению программы.
Читать дальше →
Всего голосов 38: ↑28 и ↓10+18
Комментарии92