Информационная безопасность *

FIDO (Fast IDentity Online) Альянс был создан в июле 2012 года для решения проблемы поддержки устройств строгой аутентификации в сети Интернет, а также с целью упростить жизнь пользователям, вынужденным создавать и запоминать имена пользователей и пароли. FIDO Альянс планирует изменить текущую ситуацию с аутентификацией путем разработки спецификаций, определяющих набор механизмов, которые вытеснят зависимость от паролей и обеспечат безопасную аутентификацию пользователей интернет-услуг. Новый стандарт по безопасности устройств и плагинов для браузеров позволит любому веб-сайту или облачному приложению взаимодействовать с широким спектром существующих и перспективных устройств для обеспечения безопасной аутентификации пользователей.

Для обеспечения безопасной работы пользователей проект FIDO объединяет аппаратные средства, программное обеспечение и интернет-сервисы.

В прошлой статье, я привёл свою классификацию механизмов аутентификации. Теперь я поделюсь методами их оценки и сравнения.
Всего можно выделить 4 основных показателя системы аутентификации:
1. Затраты на установку и обслуживание.
2. Эффективность.
3. Надёжность.
4. Безопасность.

Новая версия Enhanced Mitigation Experience Toolkit (EMET) 4.0 вышла в бету. EMET использует необходимые превентивные методы для защиты приложений от различных рода атака, которые имеют целью эксплуатирование flaws в ПО и изменение потока выполнения кода. EMET помогает защитить приложения, в т. ч. от 0day эксплойтов, которые могут использовать ROP для обхода DEP и ASLR. Новая версия EMET вводит ряд дополнительных возможностей, которые позволяют обнаруживать различные сценарии эксплуатации и компрометации приложений.

Три дня назад «КоммерсантЪ. Украина» рассказал о задержании злоумышленников, составлявших костяк группировки Carberp. Даже немного жаль, что эта история закончилась. Прежде всего потому, что Carberp стал неким символом, от которого загорались глаза многих журналистов, а некоторые антивирусные эксперты, между прочим, даже считали его угрозой века.

Некто Terence Eden обнаружил критическую уязвимость в локсрине Samsung Galaxy Note II с Android 4.1.2. Существует большой шанс того, что данной уязвимости подвержены некоторые другие Android устройства корейского производителя.
Данный метод немного отличается от описанного ранее и не требует сверхточного попадания в очень короткий временной промежуток.
С помощью описанного Терансом способа, возможно полностью отключить локскрин и запустить любое приложение в считанные секунды, даже если смартфон защищён шаблоном, паролем или методом распознавания лица.
Под катом пошаговая инструкция:

Всех приветствую!
Захотелось рассказать общественности о сравнительно недавно появившемся игроке на российском рынке в области корпоративного беспроводного сетевого оборудования — Aruba Networks, большое внимание в котором уделено безопасности беспроводной сети. Данный пост в первую очередь — описательный, призванный дать первое представление об Aruba, поэтому некоторые вещи могут быть намеренно упрощены.

На рынке существует огромное множество систем мониторинга, начиная от самых простых и бесплатных и заканчивая дорогими решениями от известных производителей, таких как Hewlett-Packard и Microsoft.

В этой статье я расскажу вам о системе PRTG Network Monitor от компании Paessler AG. Сразу хочу оговориться, что я не являюсь серьезным IT специалистом, а работаю в области безопасности, хотя и достаточно тесно сотрудничаю с департаментами IT и IT Security.

Выбор ПО производился мной на основании поверхностного анализа сайтов производителей.

Информационная безопасность — это на 90% работа с людьми.

Фразу выше я не устану повторять никогда. Какой бы технически совершенной ни была ваша система безопасности, как бы безупречно и чётко ни была бы выстроена система управления ИБ, всегда есть человеческий фактор. Люди отвлекаются, забывают, «забивают» или просто игнорируют какие-то правила и порядки.

Под хабракатом я опишу довольно действенный способ снизить процент инцидентов связанных с человеческим фактором.

На проходившей в эти дни в Москве конференции InfoSecurity 2012 рассматривалось большое количество актуальных вопросов сферы ИБ. Наша компания приняла в нем участие, став организатором одной из секций, посвященной тем областям информационной безопасности, для которых по большей части еще не выработаны адекватные меры защиты. Прежде всего это защищенность АСУ ТП, практические подходы к аудиту SCADA, построение процессов Compliance Management для телекоммуникационных сетей и новейшие уязвимости мобильных устройств. Подробности докладов, а также слайды презентаций наших сотрудников под катом.

Довольно давно обнаружил возможность обойти проактивную защиту в продуктах лаборатории Касперского. Наконец, дошли руки сделать демку.

Последовательность действий:

1. Проверяем, что драйвера в системном каталоге нету (пытаемся его открыть через notepad)
2. Запускаем эксплоит, появляется запрос от Касперского об установке драйвера. Ничего не нажимаем (т.е. не даём согласия на установку)
3. Снова обращаемся к драйверу через notepad и вуаля: драйвер установлен!

Узявимые версии: Kaspersky Crystal 12.0.1.228, KIS/KAV 2012, KIS/KAV 2011. Возможно, и другие тоже.

Технических подробностей пока не раскрываю до связи с представителями лаборатории Касперского. Сообщу лишь, что уязвимость не связана с переполнением буфера и прочими похожими типами уязвимостей, и носит архитектурный характер. Стабильно воспроизводится на ОС Win (x32 и x64) XP, Vista, 7.

В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.

Примерный список вопросов таков:

• Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
• Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
• Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
• Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
• Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
• Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
• От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?

Уважаемое Хабр-сообщество, хотел бы рассказать об одном из продуктов, который мы разрабатываем — Stringer Java Obfuscation Toolkit (https://jfxstore.com/stringer). Думаю многим Android и Java-разработчикам будет интересно, особенно, в свете подобных публикаций: habrahabr.ru/post/141522.

Сразу скажу, что решение коммерческое, чтобы сэкономить кому-то, из читающих этот пост, время.

За прошлый, почти полный, год, мы сделали довольно много интересных вещей:

• У нас появилась поддержка платформы Android

Любопытная ситуация сложилась за последние несколько дней вокруг нескольких флагманских продуктов компании Adobe.

Многие знают, что недавно была выпущена последняя версия пакета Creative Suite 6, включающего Photoshop, Illustrator, DreamWeaver и другие программы, который, кстати, отныне сможет работать по подписке, исключая необходимость покупать программу «навсегда». Незадолго до этого Adobe выпустила ряд исправлений безопасности, который самой компанией был помечен как критический; при этом оказалось, что патчи фактически обновляют старый Creative Suite 5.x до актуальной шестой версии и, чтобы получить безопасный продукт, пользователям следует заплатить за исправления. В частности, стоимость обновления для Photoshop CS6 составила $199, для Illustrator CS6 — $249, для Flash Professional CS6 — $99. Правда, Shockwave Player предлагалось обновить бесплатно.

Любопытно, что в Adobe заявили, что Photoshop не является излюбленной мишенью для хакеров и проблема "...if exploited would allow malicious native-code to execute" не должна никого особо взволновать.

Вероятно, возмущённые отклики пользователей на странную политику компании относительно обеспечения безопасности своих продуктов, не оставили руководство не тронутым. В Adobe не стали настаивать на своём и изменили решение — компания объявила, что все пользователи Creative Suite 5.x, которых не устраивает фактическая покупка новой версии программ под видом обновлений безопасности, всё-таки получат их бесплатно — именно для своей версии пакета.

Было ли это ленью программистов или просто желанием Adobe пересадить побольше пользователей за новую версию своего пакета, заодно заработав на этом, сказать трудно, однако факт того, что компания с мировым именем чутко прислушивается к мнению аудитории своих продуктов по крайней мере является примечательным.

Сегодня появилась новость о том, что сервис Bitcoinica снова взломан, при этом взломщикам удалось увести 87 тысяч долларов (т.е. биткоинов на эту сумму). Представители компании уже сообщили о том, что все потери буду возмещены пользователям. Все вроде бы хорошо, однако снова всплывает вопрос о степени защиты сервисов, работающими с Bitcoin.

Хакеры из группы Anonymous утверждают, что взломали около 500 вебсайтов в Китае. Среди них — страницы правительственных структур, официальных учреждений, а также торговых групп.

Если кто не в курсе, то товарищ Прохоров организовал сайт про йомобиль. И там можно было записаться в список тех, кому сообщат о начале производства, мол, можно заказывать.

Подписался…

Кто ж ожидал, что базу емейлов начнут использовать в качетстве базы для спама? Причём, своего собственного.

Итак, краткий хитпарад рассылок от них:

«Нам нужна ваша поддержка!» (30.12.2011) — в поддержку Прохорова как конь дидата на должность Путина.
«Чемпионат России по ралли-рейдам» (22.02.12)
«Анонс показа 1ого этапа Чемпионата...» (30.03.12)
«Анонс показа 1ого этапа Чемпионата...» (01.04.12)
«Анонс показа 1ого этапа Чемпионата...» (02.04.12)

Сразу прошу не «прогонять пинками», я старался, и это может быть полезно для таких же школьников как я.

Коды, исправляющие ошибки.

Существует множество кодов, исправляющих ошибки в двоичном коде. Это очень полезно, потому что множество информации портиться при хранении или передачи информации. Одним из примеров данных кодов можно привести «код Хемминга»(Подробно о нём уже написал другой автор http://habrahabr.ru/post/140611/). Они добавляют к бинарному тексту дополнительные, кодовые биты, при помощи которых мы сможем исправить полученные ошибки.

Недавнее упоминание о том, что приложения для iPhone могут иметь доступ ко всей адресной книге смартфона без какого-либо уведомления об этом пользователя, вследствие чего Apple даже получила запрос из Конгресса США, получило неожиданное продолжение. (Мало того, проблема с iPhone стала одной из причин изменения соглашения о приватности данных для мобильных приложений, которое было изменено Google, Apple, Microsoft и рядом других крупных компаний под давлением генерального прокурора Калифорнии).

Руководствуясь пока неясными мотивами и источником информации, журналисты New York Times попросили неназванных разработчиков (сообщается только, что они работают на известную компанию), написать приложение «PhotoSpy», которое запрашивает доступ к информации о местоположении, получив которое, оно способно скопировать фото пользователя и, собственно, сами локационные данные на удалённый сервер, никак не ставя пользователя об этом в известность. Разрешения на размещение в AppStore PhotoSpy не получило; сама Apple пока также никак не прокомментировала действия журналистов.

Я уже описывал свой опыт сдачи экзамена на CISM.

Но ISACA — организация серьезная, и они считают, что экзамен может сдать и мартышка. Нужно еще подтвердить свой опыт.
В принципе, подход заслуживающий уважения. Просто несколько непривычный для просторов пост-союза.

Итак, небольшой рассказ как я апплаился на CISM.

Я нередко ловлю себя на мысли как беспомощны мы становимся без интернета. Зачем воспринимать информацию, накоплять опыт и знания, если в любой момент можно выйти в сеть и воспользоваться поисковыми механизмами? Наука утверждает, что начиная с 80-х прогрессирует количество детей с врожденной социальной дезадаптацией. Это пересекается с так называемым «правилом сотой обезьяны», согласно которому при достижении критического количества особей с определенным опытом, последний становится частью информационного поля всего общества.