Как стать автором
Обновить
74.07
Рейтинг
Сначала показывать

В отпуск или поработаем?

Блог компании «Актив» IT-инфраструктура *Управление персоналом * *

Друзья и коллеги, всем здравствуйте!

Началась настоящая весна, приблизив нас еще на один шаг к лету. А лето – это время долгожданных отпусков! Наверное, многие из вас перед отпуском задумывались над простыми вопросами – сколько дней отпуска у меня осталось, сколько отпускных я получу, в какие дни оптимально будет взять отпуск.
В свою очередь перед руководителями всегда стоит вопрос мониторинга баланса ресурсов, на работе присутствующих, и ресурсов, восстанавливающих силы «на югах и дачах».

О том, как в компании организовать оперативное получение "отпускной" (и не только) информации далее и пойдет речь.

Читать далее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 1.8K
Комментарии 0

ТОП-9 фильмов, к сценарию которых ИБ-экспертов не допустили

Блог компании «Актив» Информационная безопасность *Криптография *Научная фантастика

Я обожаю кинематограф. Однако по мере знакомства со старой классикой и современным кино, все реже и реже встречаются действительно качественные и глубокие фильмы. В большинстве случаев картина не вызывает никаких эмоций, и приятных впечатлений хватает на один раз. Статистика походов в кино за последние лет пять совсем удручающая - 9 из 10 фильмов вызывают, как минимум, недоумение, как максимум - раздражение. Зато появилось новое хобби - выискивать тупости в сюжете. На этот раз они посвящены информационной безопасности. 

В этой статье хочу поделиться списком фильмов, в которых наглядно продемонстрировано, что может случиться, если персонажи вообще не секут в ИБ. 

Читать далее
Всего голосов 56: ↑43 и ↓13 +30
Просмотры 20K
Комментарии 84

Развитие систем криптографической защиты информации в IoT (часть 2-я)

Блог компании «Актив» Криптография *Развитие стартапа Интернет вещей

Автор серии публикаций - Алексей Лазарев, руководитель Департамента защиты кибер-физических систем Компании «Актив»

В предыдущей части статьи мы рассмотрели текущую ситуацию с криптографическими системами в IoT, применив к ним закон развития систем по S-образной кривой, и сделали вывод, что подобным системам есть, куда развиваться, потому что они находятся на начальном этапе своей эволюции. Точнее, на переходном этапе между зарождением и стремительным развитием. Уже понятна необходимость их применения, так как есть запрос от общества и государства. Уже есть технологические островки для обкатки. И в целом ясно, что смерть данному направлению в ближайшие годы, а, скорее всего, десятилетия не грозит.

Продолжить чтение...
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.7K
Комментарии 2

Развитие систем криптографической защиты информации в IoT (часть 1-я)

Блог компании «Актив» Информационная безопасность *Интернет вещей

Глядя на то, как сегодня продвигается внедрение аппаратных средств криптографии в кибер-физических системах, к которым относят и интернет вещей, невольно вспоминаешь анекдот. 

Улитка заходит в бар, но бармен заявляет: "У нас строгая политика в отношении улиток!", — и ногой выпихивает ее на улицу. Через неделю улитка возвращается в бар и говорит бармену: "Ну и зачем ты это сделал!?"

А ведь все еще помнят, как прекрасно начиналось развитие интернета вещей. Все, что связано с IoT, IIoT, M2M поднимало волну хайпа, уступавшую разве что криптовалютной истерии. Огромное число стартапов, многие из которых казались настоящим прорывом для своего времени (“Цифровизация экономики”, “Индустрия 4.0” и др.) пробуждало немалый интерес как среди специалистов, так и у государственных лиц. Одни видели в IoT возможности реализации смелых и перспективных идей, другие – эффективный инструмент для привлечения в экономику регионов новых ресурсов. Мы же, как "безопасники", не оставались в стороне и пристально следили за развитием событий. Вот какие наблюдения нам удалось сделать.

Аспекты безопасности в IoT - в выигрыше предусмотрительные

Было понятно, что на старте, то есть в ситуации, когда важны каждая минута и каждая копейка, мало кто будет заморачиваться внедрением сложных механизмов защиты. Важнее показать потенциальному заказчику, что решение в принципе работоспособно. Но рано или поздно настает момент, когда само решение или его часть достигает состояния, допускающего возможность применения в других областях. В том числе и в тех, которые связаны с критически важной инфраструктурой. И это вызывало вполне определенные опасения. Одно дело, когда вы развлекаетесь с умной лампочкой у себя в защищенном периметре, другое – когда вы управляете исполнительным механизмом включения подачи энергоресурса, находящимся далеко за пределами вашей физической досягаемости. При схожих принципах организации взаимодействия риски и последствия вторжения в обеих ситуациях несопоставимы.

Продолжить чтение
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 2.6K
Комментарии 16

Модифицируем процесс загрузки с помощью утилиты make-initrd

Блог компании «Актив» Настройка Linux *Информационная безопасность *Системное администрирование *
Tutorial

В этой статье мы хотим помочь глубже разобраться, как устроен процесс загрузки Linux, дать советы по реализации сложных сценариев загрузки Linux, а также познакомить с удобным и быстрым генератором initramfs образов - make-initrd.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 7.5K
Комментарии 4

Рутокен VPN в opensource – для кого, зачем и почему?

Блог компании «Актив» Децентрализованные сети IT-инфраструктура *Сетевые технологии *

Не так давно Компания «Актив» предоставила в открытый доступ на GitHub исходный код версии продукта Рутокен VPN Community Edition. В этой статье мы хотим рассказать зачем и для кого мы это сделали, как можно воспользоваться исходным кодом, и чего ожидаем в результате от сообщества разработчиков.

Зачем нужен еще один VPN? 

Как известно, события последних полутора лет стимулировали развитие рынка VPN, и сегодня он переживает эпоху роста. Конкуренция на этом рынке значительная, цены на услуги растут. Одновременно Россия в 2021 году остается в десятке топ-потребителей VPN сервисов, т.е. спрос на рынке присутствует.  

Создавая Рутокен VPN, основной «фишкой» мы решили сделать ориентацию на малый и средний бизнес, т.е. на компании, которые, вероятно, не имеют в штате постоянного и высококвалифицированного системного администратора. Именно для таких компаний мы сделали версию продукта Рутокен VPN, которая упрощает настройку VPN-сервера и клиента. Кроме того, нашей целью было предоставить разработчикам возможность развивать интересный и востребованный продукт, совершенствовать свои навыки, получая таким образом бесценный опыт и дополнительные очки к своему CV. Не скроем также, что заинтересованы и в советах участников профессионального сообщества по улучшению Рутокен VPN, которым будем максимально рады. 

Читать далее
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 4.7K
Комментарии 14

PKCS#11 для самых маленьких

Блог компании «Актив» Информационная безопасность *C *
Tutorial

В этой статье мы познакомимся со стандартом PKCS#11, предназначенным для работы с различными криптографическими устройствами. Для демонстрации мы будем использовать токены и смарт-карты Рутокен ЭЦП 2.0.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 11K
Комментарии 2

Как мы снимаем видеоинструкции для решений Рутокен

Блог компании «Актив» Работа с видео *Подготовка технической документации *

Мы решили продолжить наш цикл статей про разработку пользовательской документации, но на этот раз нам захотелось рассказать об еще одном способе создания инструкций для пользователей — это съемка видеороликов. Мы расскажем о процессе их производства: от возникновения идеи до загрузки ролика на YouTube-канал. У нас нет студии и профессиональных актеров, мы все делаем сами и хотим показать вам, что это не так сложно. Здесь вы найдете: идеи, готовые алгоритмы и, быть может, вдохновитесь на съемку своей видеоинструкции.

Вдохновляйтесь
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 2.4K
Комментарии 6

Внешний вид и скриншоты в пользовательской документации. Как надо и не надо делать

Блог компании «Актив» Анализ и проектирование систем *


Люди читают пользовательскую документацию, когда самостоятельно не могут с чем-то разобраться. Они не делают это для развлечения. И эмоции, которые преобладают в этот момент, далеко не всегда позитивные. Как разработчик пользовательской документации может помочь пользователю? Что ему необходимо учитывать при написании документа?

Читать дальше →
Всего голосов 30: ↑28 и ↓2 +26
Просмотры 9.6K
Комментарии 33

Как заголовок и навигация в документации помогают минимизировать стресс пользователя

Блог компании «Актив» Анализ и проектирование систем *


Все мы рано или поздно оказываемся один на один со сложной информационной системой, а ведь далеко не каждый интерфейс позволяют нам быстро найти и выполнить нужную процедуру. В такой ситуации события могут развиваться по одному из двух сценариев:


Первый. Перед вами система и 5 минут на то, чтобы выполнить в ней необходимую процедуру.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.8K
Комментарии 0

Как мы в «Активе» пишем пользовательскую документацию. Почему это важно

Блог компании «Актив» Анализ и проектирование систем *Подготовка технической документации *

Что пользователь хочет видеть в пользовательской документации? Что его в ней раздражает? Эти вопросы задаёт себе каждый, кто пишет такую документацию, но далеко не каждый правильно отвечает на них. Совсем небольшой процент пользователей читает документацию. Давайте разберёмся, почему так и как сделать пользовательскую документацию эффективной и изменить отношение пользователей к ней.


Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 4.3K
Комментарии 7

Настройка аутентификации в сети L2TP с помощью Рутокен ЭЦП 2.0 и Рутокен PKI

Блог компании «Актив» Информационная безопасность *Сетевые технологии *


Проблематика


Ещё совсем недавно многие не знали, как это — работать из дома. Пандемия резко изменила ситуацию в мире, все начали адаптироваться к сложившимся обстоятельствам, а именно к тому, что выходить из дома стало просто небезопасно. И многим пришлось быстро организовывать работу из дома для своих сотрудников.


Однако отсутствие грамотного подхода в выборе решений для удалённой работы может привести к необратимым потерям. Пароли пользователей могут быть украдены, а это даст возможность злоумышленнику бесконтрольно подключаться к сети и ИТ-ресурсам предприятия.


Именно поэтому сейчас выросла потребность в создании надёжных корпоративных VPN сетей. Я расскажу вам о надёжной, безопасной и простой в использовании VPN сети.


Она работает по схеме IPsec/L2TP, использующей для аутентификации клиентов неизвлекаемые ключи и сертификаты, хранящиеся на токенах, а также передает данные по сети в зашифрованном виде.

Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 6.1K
Комментарии 14

Как подписывать почтовую переписку GPG-ключом, используя PKCS#11-токены

Блог компании «Актив» Информационная безопасность *Криптография *Open source *Софт
Tutorial


Современные почтовые сервисы из года в год совершенствуют свою систему безопасности. Сначала появились механизмы аутентификации через СМС, сейчас уже совершенствуются механизмы машинного обучения для анализа подозрительной активности в почтовом ящике.

А что если кто-то получил заветный пароль от вашей почты и начал читать все ваши тайные переписки, а также писать направо-налево какую-то белиберду. Как добавить дополнительный уровень защиты и на этот случай? На помощь приходят GPG и смарт-карты.

Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 4.2K
Комментарии 31

Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel

Блог компании «Актив» Информационная безопасность *Open source *Сетевые технологии *
Tutorial

В этой статье я хочу показать, как настроить Stunnel на использование российских криптографических алгоритмов в протоколе TLS. В качестве бонуса покажу, как шифровать TLS-канал, используя алгоритмы ГОСТ, реализованные в криптоядре Рутокен ЭЦП 2.0.


Но для начала давайте вообще разберёмся для чего нужен Stunnel. В двух словах — это программа, на которую можно переложить всю логику шифрования трафика между сервером и клиентом. Делается это следующем образом: допустим у вас есть клиент и сервер, которые общаются между собой без использования шифрования, аутентификации и проверки целостности. Вы могли бы переписать клиент и сервер так, чтобы все исходящие и входящие сообщения передавались между собой с учётом всех этих моментов, но для чего такие сложности, если можно это просто переложить на плечи другому приложения? Для решения такой задачи как раз подойдёт Stunnel.

Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 11K
Комментарии 2

Как настроить Linux для входа в домен с использованием алгоритмов ГОСТ

Блог компании «Актив» Информационная безопасность *C *Разработка под Linux *
Tutorial

Введение



Протокол Kerberos 5 сейчас активно используется для аутентификации. Особенностью данного протокола является то, что он осуществляет аутентификацию, базируясь на четырех китах:


  1. Симметричное шифрование;
  2. Хеширование;
  3. ЭЦП;
  4. Третья доверенная сторона.

Начиная с пятой версии появилась возможность использовать еще асимметричное шифрование (для электронной подписи). Более подробно на работе протокола Kerberos останавливаться не имеет смысла, ибо описание алгоритма можно посмотреть тут.


К сожалению, количество алгоритмов шифрования, хеширования и ЭЦП, которые использует данный протокол, не настолько велико, насколько хотелось бы, поэтому в данной статье я хочу показать, как добавить легко и просто собственные алгоритмы в реализацию данного протокола MIT'ом. Добавлять же мы будем наши отечественные алгоритмы: ГОСТ 28147-89 (aka Магма), ГОСТ Р 34.11-2012 (aka Стрибог) и ГОСТ Р 34.10-2012 (хотелось бы тоже иметь для него aka, но я не знаю:(). Готовое решение для данных алгоритмов можно его найти в моем репозитории. На стороне клиента мы будем использовать аппаратные реализации алгоритмов ГОСТ в Рутокене ЭЦП 2.0 и их программные реализации в engine GOST для openssl. Но самый безопасный вариант хранения ключей – когда они генерируются непосредственно на Рутокене и никогда не покидают его память во время криптографических операций. Для такого варианта работы потребуется rtengine.

Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры 8.1K
Комментарии 8

Как использовать PAM-модули для локальной аутентификации в Linux по ключам ГОСТ-2012 на Рутокене

Блог компании «Актив» Настройка Linux *Информационная безопасность *
Tutorial


Простые пароли не защищают, а сложные невозможно запомнить. Поэтому они так часто оказываются на стикере под клавиатурой или на мониторе. Чтобы пароли оставались в головах “забывчивых” пользователей и надёжность защиты не терялась – есть двухфакторная аутентификация (2ФА).
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 12K
Комментарии 10

Двухфакторная аутентификация на сайте с использованием USB-токена. Теперь и для Linux

Блог компании «Актив» Информационная безопасность *Nginx *Серверное администрирование *Apache *
Tutorial

В одной из наших предыдущих статей мы рассказывали про важность двухфакторной аутентификации на корпоративных порталах компаний. В прошлый раз мы продемонстрировали, как настроить безопасную аутентификацию в web-сервере IIS.

В комментариях нас просили написать инструкцию для самых распространенных web-серверов под Linux — nginx и Apache.

Вы просили — мы написали.
Читать дальше →
Всего голосов 22: ↑20 и ↓2 +18
Просмотры 7.6K
Комментарии 27

Что необходимо сделать, чтобы вашу учетную запись Google не украли

Блог компании «Актив» Информационная безопасность *Криптография *Исследования и прогнозы в IT Облачные сервисы
Перевод


Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования.
Правда самый эффективный способ, который используется в самой Google, в отчет не включили. Пришлось мне самому написать об этом способе в конце.

Каждый день мы защищаем пользователей от сотен тысяч попыток взлома аккаунтов. Большинство атак исходит от автоматических ботов с доступом к сторонним системам взлома паролей, но также присутствуют фишинговые и целевые атаки. Ранее мы рассказывали, как всего пять простых шагов, таких как добавление номера телефона, могут помочь вам обезопасить себя, но теперь мы хотим доказать это на практике.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры 11K
Комментарии 25

Так что же будет с аутентификацией и паролями? Вторая часть отчета Javelin «Состояние строгой аутентификации»

Блог компании «Актив» Информационная безопасность *Исследования и прогнозы в IT Управление e-commerce *Управление продуктом *


Недавно исследовательская компания «Javelin Strategy & Research» опубликовала отчёт «The State of Strong Authentication 2019». Его создатели собрали информацию о том какие способы аутентификации используются в корпоративной среде и пользовательских приложениях, а также сделали любопытные выводы о будущем строгой аутентификации.

Перевод первой части с выводами авторов отчета, мы уже публиковали на Хабре. А сейчас представляем вашему вниманию вторую часть — с данными и графиками.
Читать дальше →
Всего голосов 20: ↑19 и ↓1 +18
Просмотры 3.3K
Комментарии 0

Что будет с аутентификацией и паролями? Перевод отчета Javelin «Состояние строгой аутентификации» с комментариями

Блог компании «Актив» Информационная безопасность *Исследования и прогнозы в IT Управление e-commerce *Управление продуктом *


Спойлер из заголовка отчета «Количество случаев использования строгой аутентификации выросло благодаря угрозам новых рисков и требованиям регуляторов».
Исследовательская компания «Javelin Strategy & Research» опубликовала отчёт «The State of Strong Authentication 2019» ( оригинал в формате pdf можно скачать тут). В этом отчете написано: какой процент американских и европейских компаний используют пароли (и почему пароли сейчас мало кто использует); почему так быстро растет процент использования двухфакторной аутентификации на основе криптографических токенов; почему одноразовые коды, отправляемые по SMS, небезопасны.

Всем, кого интересует тема настоящего, прошлого и будущего аутентификации на предприятиях и в пользовательских приложениях — добро пожаловать.

Вторая часть отчета
Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры 8K
Комментарии 6

Информация

Дата основания
1994
Местоположение
Россия
Сайт
aktiv-company.ru
Численность
101–200 человек
Дата регистрации