Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Обнаружен новый механизм взлома облачных виртуальных машин

Информационная безопасность *Тестирование IT-систем *


Специалисты по кибербезопасности Амстердамского свободного университета обнаружили новый механизм взлома облачной виртуальной машины. Механизм предусматривает несколько этапов. Для взлома используется небезызвестная технология Rowhammer.

Первый этап заключается в том, чтобы арендовать облачную виртуальную машину, или несколько машин, на одном хосте с жертвой.
Читать дальше →
Всего голосов 24: ↑20 и ↓4 +16
Просмотры 16K
Комментарии 11

40% организаций хранит администраторские пароли в таблицах и текстовых файлах

Информационная безопасность *Криптография *


Исследователи CyberArk опросили 750 ИТ-компаний и разработчиков решений в сфере кибербезопасности по всему миру. География исследования обширна – США, Франция, Германия, Великобритания Израиль, Австралия, Новая Зеландия и Сингапур. По данным опроса, 40% организаций хранит пароли в документах Word и электронных таблицах. Речь идет не о простых, а о привилегированных и администраторских паролях. 28% для этой цели применяют USB-накопители или специально предназначенный для общего пользования сервер.

55% респондентов рассказали, что у них развернуты все необходимые процессы для управления привилегированными аккаунтами.

79% опрошенных заявили, что усвоили уроки недавних кибератак и приняли соответствующие меры:
Читать дальше →
Всего голосов 35: ↑29 и ↓6 +23
Просмотры 18K
Комментарии 54

Государство соберёт персональные данные россиян везде, где можно, и будет хранить централизованно

Информационная безопасность *

Сайты, вахтёры и охранники обязаны будут закачивать собранные данные на специальный портал


В России собираются создать особый портал по контролю за распространением персональных данных. Идею обсуждает рабочая группа в администрации президента, которую возглавляет советник президента России Игорь Щеголев, пишут «Известия».

Сейчас паспорт человека проверяют в различных учреждениях: общежитиях, бизнес-центрах, школах и т.д. Каждый охранник/вахтёр вносит информацию во внутреннюю документацию — табель, журнал посещений и проч. Такая разрозненность информации — большая проблема, поскольку с неструктурированными данными очень сложно работать. «В итоге эти данные появляются не пойми где», — объясняет президент Фонда информационной демократии Илья Массух.
Читать дальше →
Всего голосов 14: ↑11 и ↓3 +8
Просмотры 17K
Комментарии 110

Немецкое агентство по кибербезопасности: Firefox является самым надежным браузером

Firefox Информационная безопасность *IT-стандарты *Браузеры
imageФото: bwc front/Flickr

Федеральное управление по информационной безопасности (немецкое правительственное агентство, сокращенно BSI) протестировало четыре основных браузера: Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 и Microsoft Edge 44, чтобы выяснить, какой из них является самым надежным для пользователей. Лучше всего себя показал Firefox.

Однако агентство не рассматривало в своем исследовании Safari, Brave, Opera и Vivaldi.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 5.4K
Комментарии 8

Технологический DLP-марафон: стартуем серию вебинаров в апреле

Блог компании InfoWatch Информационная безопасность *IT-компании
image

Начнем с самой обычной новости. Как и ожидалось, на фоне COVID-19 и перехода на удаленку мы зафиксировали рост запросов на ИБ-решения примерно на 20%.


Раздали много триалов нашего "BI для DLP" (инструмента визуальной аналитики событий) и инструмента мониторинга действий сотрудников на удаленной работе. Порадовались такому запросу, потому что безопасникам сейчас надо действительно разбираться в технологиях, даже тем, кто давно уже управленец. От понимания, как современные DLP работают, какие задачи какими технологиями берут, в наше время зависит, насколько эффективно эта DLP вообще будет отрабатывать у вас.


Поэтому мы приняли решение — в апреле и мае проводим технологический DLP-марафон для ИТ-специалистов в информационной и экономической безопасности.

Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 635
Комментарии 0

Регуляторы Евросоюза призывают отказаться от распознавания лиц в общественных местах

Информационная безопасность *Законодательство в IT Искусственный интеллект

Европейский совет по защите данных (EDPB) и Европейская инспекция по защите данных (EDPS) намерены добиться запрета на использование искусственного интеллекта для распознавания лиц, а также других биометрических аутентификаций и поведенческих сигналов в общественных местах. По мнению ведомств, наблюдение за гражданами может привести к дискриминации меньшинств и будет способствовать исчезновению анонимности. 

Читать далее
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 2.4K
Комментарии 4

АНБ США рассказало о будущем постквантовой криптографии

Информационная безопасность *Криптография *Будущее здесь Квантовые технологии

Агентство национальной безопасности США выпустило FAQ под названием «Часто задаваемые вопросы о квантовых вычислениях и постквантовой криптографии», в котором оно исследует потенциальные последствия для национальной безопасности будущего, выходящего за рамки классических вычислений и криптографии. 

Читать далее
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 3.2K
Комментарии 3

Microsoft добавила авторизацию без пароля

Информационная безопасность *Хранение данных *IT-компании

Microsoft представила функцию, с помощью которой пользователи могут войти в аккаунт без пароля, сообщают в блоге компании.

Вместо пароля можно использовать такие способы авторизации, как приложение для смартфона Microsoft Authenticator, аппаратные ключи безопасности, ПИН-код Windows Hello, СМС, электронную почту и биометрические данные. Это событие стало логическим продолжением тестового запуска функции для обладателей корпоративных аккаунтов Microsoft в марте этого года.

Компания долгое время разрабатывала более безопасную и простую в использовании систему защиты устройств, и события, связанные с пандемией, в том числе переход большинства людей на удаленный формат работы, в разы ускорили этот процесс. Из-за столь скорых перемен в мире и в одночасье свалившихся на людей онлайн-инструментов в разы возросло количество фишинговых атак.

Читать далее
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 2.8K
Комментарии 8

Google предлагает создать глобальный стандарт приватности

Чулан
Главный сборщик и хранитель «всей информации мира» — корпорация Google — явно устала от упрёков в нарушении чужой приватности. Претензии к Google высказывают уже не только правозащитные организации, но и правительства некоторых стран. Чтобы расставить все точки над “i”, компания предлагает чётко сформулировать правила этой злосчастной приватности, чтобы понять, о чём, собственно речь.
Читать дальше →
Всего голосов 30: ↑25 и ↓5 +20
Просмотры 217
Комментарии 16

Онлайновые семинары Black Hat для хакеров

Информационная безопасность *
Организация Black Hat впервые в своей истории организовала серию онлайновых семинаров. Вчера состоялся первый такой семинар. На нём можно было увидеть предварительные 10-минутные презентации докладов, которые будут в полном объёме представлены на ежегодной хакерской конференции 6-7 августа в Лас-Вегасе.

На первом семинаре рассмаитривали пять докладов. Один из них был посвящён выявлению вредоносного ПО в почтовом трафике в реальном режиме времени. На конференции уже покажут работающий софт. Затем Фёдор Васкович, один из основателей проекта Honeynet и автор сканера NMAP, рассказал о ходе проекта WorldScan Project по сканированию всего интернета с помощью своей утилиты. Они уже закончили сканирование, а в августе подробно расскажут о результатах. Кроме того, хакеры-исследователи рассказали о методах атаки в социальных сетях (в качестве площадки для атаки используется UGC-контент и социальные приложения), о вредоносных куках в системах Веб 2.0, а также о том, как в компании Microsoft происходит выпуск патчей: процедура описана во всех подробностях от выявления дыры до выпуска патча на примере последнего апдейта MS Office.

Мероприятие «посетили» более тысячи человек. Для начала неплохо, а в будущем организаторы планируют разнообразить подачу материала, подключить редакционный календарь и проводить семинары не реже раза в месяц. Кроме того, будут организованы онлайновые курсы обучения.
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 1.4K
Комментарии 3

Disk Write Copy: софт, способный сделать Windows вечным.

Я пиарюсь
Сложилось так, что работаю я в компании CCS. Полностью Российской компании, которая на свет появилась в качестве стартапа, собравшись в крепкую команду.

Хочу познакомить хаброжителей с программным обеспечением Disk Write Copy, которое эта компания выпускает.

image

Это означает, что если поставить все диски на компьютере под защиту, то утилита потребует перезагрузки в процессе которой моментально создаст их теневые копии, а оригинал будет оставаться защищенным и никак изменяться не будет. В процессе работы на компьютере, все что делается, представлено в качестве изменения информации и именно эти изменения будут накапливаться в теневом диске. Такие как закачка новых фильмов, изменение настроек компьютера, реестра. Скачаные вирусы и трояны, ожидающие внедрения. Все это будет той измененной информацией. Так вот когда настанет момент и Вы выключите или перезагрузите компьютер, то вся измененная информация пропадет бесследно, а вы снова увидите свой оригинальный диск.
Читать дальше →
Всего голосов 114: ↑73 и ↓41 +32
Просмотры 1.9K
Комментарии 111

Компьютерные симуляции с целью проверки готовности к кибератакам

Информационная безопасность *
imageЭто был отличный день для крикета, но секретарь по вопросам национальной безопасности США, Майкл Чертоф (Michael Chertoff, ударение на последний слог) настоял на игре в глобальную информационную войну. И результат двухдневной симуляции, по словам официальных участников, заключается в одном простом выводе: для того чтобы побеждать, нужно больше «играть».

Все дело в том, что в прошедшие среду и четверг правительство США провело достаточно серьезную акцию по тестированию безопасности жизненно важных для страны сетей, подключенных к интернету, таких как транспортная, банковская, здравоохранительная и др. В Вашингтоне, здании Рональда Рейгана, 230 топовых представителей правительства, частного сектора и крупных корпораций приняли участие в, пожалуй, самой большой атаке на информационные структуры страны. Консультировали их в этом деле компания Booz Allen Hamilton совместно с Business Executives for National Security.

Все участники были разделены на 4 группы: официальные представители правительства, команда частного бизнеса, команда гражданского сектора и смешанная, контрольная, группа. Делалось это для того чтобы понять, удар по какой сфере сообщества будет самым больным или, в крайнем случае, критическим.

На стороне государства были представители министерства обороны, кто-то из разведки и других гос.структур. В команде частного бизнеса: телекомы, IT-компании и различные финансовые сервисы, а также и производители энергии, равно как и представители сектора транспорта.

Естественно, о ходе самой «игры» практически ничего не сообщается, ведь отрабатывались наиболее вероятные (реальные) сценарии развития событий, о которых посторонним лицам лучше не знать. Но итог, впрочем, оказался вполне ожидаемым: «Сейчас в стране, на самом-то деле, никто не несет ответственности в том случае, если какой-то из обыгранных сценариев случиться на самом деле. Мы на шаг позади того места, где мы должны быть сегодня». Сам же Чертоф подчеркивает, что кибератаки, подобные недавней на эстонские сети, в будущем будут становится только серьезнее и страшнее, поэтому быть готовым к подобным ситуациям лучше уже сейчас. Отмечается, кроме всего прочего, и необходимость плотного сотрудничества с простыми гражданами: «Интернет — не то место, где всем можно командовать и контролировать, но сфера, где кооперация и сотрудничество дадут лучшие результаты».

via ArsTechnica
Всего голосов 34: ↑30 и ↓4 +26
Просмотры 821
Комментарии 13

Интервью в прямом эфире с Евгением Касперским (Лаборатория Касперского)

Чулан
imageПривет. Сегодня у нас несколько неожиданная, но безусловно приятная новость. Дело в том, что небезызвестный клуб «Бизнес в стиле .RU» при нашей информационной поддержке устраивает интервью с Евгением Касперским — бессменным руководителем всемирно известной группы компаний «Лаборатория Касперского». Интервью, что важно, будет проходить в прямом эфире!

Беседа с Евгением, если все будет тип-топ, состоится уже сегодня, 23 марта, приблизительно в 16:00 по московскому времени. До этого момента мы, как водится, ждем ваших вопросов прямо в комментариях. Кроме того, вопросы принимаются по джабберу (Jid: styleru@jaim.at) и в конференции styleru@conference.jaim.at.

UPD: Всем спасибо, было интересно :) Запись эфира будет доступна тут же, но позже.
Всего голосов 49: ↑44 и ↓5 +39
Просмотры 847
Комментарии 111

OpenSSL: простое шифрование с открытым ключом

Информационная безопасность *
Полно ситуаций когда нужно зашифровать определённый файл или папку. Например, если данные передаются по открытым каналам либо сохраняются на внешнем носителе. Многие (в том числе и я) используют truecrypt, однако основное предназначение этой программы — работа с зашифрованными разделами, поэтому она не очень хороша в этом случае.

Для подобных задач вполне подходит OpenSSL — надёжное кросплатформенное решение. OpenSSL поддерживает различные алгоритмы шифрования, плюс он по умолчанию установлен во многих операционных системах, а установка на остальные не составит труда.

Под хабракатом — основы использования симметричного и асимметричного шифрования в OpenSSL, а таке пара скриптов упрощающих асимметричное шифрование с одноразовым ключом.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 60K
Комментарии 1

Защищенность правительственных сайтов

Информационная безопасность *
В процессе подготовки к семинару про тестирование защищенности веб-приложений решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.

При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:
  • 5 сайтов подвержены пассивному XSS,
  • 1 сайт подвержен слепой SQL-инъекции,
  • 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
  • 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
  • 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.
В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем.

Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?
Всего голосов 43: ↑40 и ↓3 +37
Просмотры 730
Комментарии 58

Безопасное хранение секретов

Информационная безопасность *
image Расскажу об одном из портативных, кроссплатформенных методов хранения секретов на накопителях, в основе которого лежит только открытое, свободно распространяемое ПО.


Никогда не мог запомнить все логины, пароли и прочие коды доступа ко всем моим учетным записям. Порой регистрационное имя и заветный код необходимы в самый неподходящий момент, поэтому я таскаю их на флэшке. Для того, чтобы не рвать на себе волосы при потере заветного накопителя информации я и написал скриптики, речь о которых пойдет ниже.

Читать дальше →
Всего голосов 32: ↑23 и ↓9 +14
Просмотры 7.6K
Комментарии 51

Тернистый путь молодой компании

Я пиарюсь
Online Solutions Company

Введение


Все мы привыкли к тому, что каждый день рождается достаточно большое число стартапов. В наше время, с одной стороны, это стало модно, а с другой – у простого человека появилась реальная возможность сделать что-то свое и заработать на этом деньги.

На мой взгляд, большинство стартапов создаются в интернете или для мобильных платформ. Это и различные веб-сайты, и веб-сервисы, и приложения для социальных сетей, и приложения для многочисленных гаджетов.

Если мы посмотрим на функции, которые выполняют эти стартапы, то большая их часть — это небольшие прикладные приложения, которые имеют хороший пользовательский интерфейс и несколько уникальных функций. Основные проблемы, которые приходится решать стартаперам, это либо привлечение целевой аудитории на свой ресурс, либо оптимизация проекта под возникшие нагрузки.

На мой взгляд, возникновение таких стартапов и их огромная популярность связана с огромным «не паханым» полем прикладных задач, которые можно автоматизировать или компьютеризировать. Такие стартапы и проекты нужны и очень полезны для нашего общества.

«Другие» проекты

Читать дальше →
Всего голосов 18: ↑14 и ↓4 +10
Просмотры 669
Комментарии 10

Часть 1: Осторожно! Злая собака — (@)!

Я пиарюсь
image
Доброго времени суток, хабр!

После периодического чтения хабра, а особенно после прочтения комментариев хабравчан об идее создания концепции «новой», защищенной почты, у нас очень чесались руки написать топик.

Полтора года назад у нашей команды родилась идея по созданию защищенной электронной почты. Начальной концепцией было создание электронного почтового сервера, который бы просто шифровал информацию пользователей, но при этом никак визуально и функционально не отличался от простой электронной почты (например как gmail или yandex.mail).

С самого начала работы над почтовым сервером, нашей главной задачей было максимальное упрощение работы с шифрованной почтой, а также иной подход к решению проблемы спама (без использования спам-фильтров).
Читать дальше →
Всего голосов 63: ↑50 и ↓13 +37
Просмотры 951
Комментарии 96

Самостоятельная подготовка ИСПДн к аттестации (часть 1)

Информационная безопасность *
Из песочницы
В настоящее время защита персональных данных является одной из наиболее актуальных задач для большинства коммерческих и государственных организаций. Информационные системы должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 июля 2011 года.

Я планирую написать цикл статей об общих методах защиты персональных данных, которые помогут вашей компании немного сократить издержки на услуги фирм, занимающихся защитой данных или, по крайней мере, понять, за что вы платите. Все это мы испытали на собственной компании.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 22K
Комментарии 3

Схема BYOC: принеси на работу личный компьютер

Я пиарюсь


Во многих компаниях в качестве рабочих компьютеров используются машины двух-трёхлетней давности, а то и старше с маленькими дисплеями. Сотрудники вынуждены работать с этим хламом, хотя у них дома без дела простаивают современные ПК, оснащённые по последнему слову техники. То же самое с телефонами: если вам выдают на фирме рабочий телефон, то обычно не последнюю модель.
Читать дальше →
Всего голосов 75: ↑54 и ↓21 +33
Просмотры 6K
Комментарии 151