Как стать автором
Обновить

Забудьте Let's Encrypt. В суверенном Рунете — только отечественное шифрование

Информационная безопасность *Криптография *Законодательство в IT


Депутаты продолжают вносить предложения ко второму чтению законопроекта о суверенном интернете. Очередное предложение от комитета Госдумы по информационной политике — использовать в российском сегменте интернета только отечественные средства шифрования, рассказали РБК два источника в IT-индустрии.

Возможно, правительство собирается внедрить корневые сертификаты государственного удостоверяющего центра РФ в различное программное обеспечение, по примеру китайского CNNIC.
Читать дальше →
Всего голосов 41: ↑34 и ↓7 +27
Просмотры 17K
Комментарии 178

Epic CTF-battle от QIWI и «Информзащиты» на ZeroNights 2016 – ₽250К победителям

Блог компании QIWI CTF *
Recovery mode
В рамках ZeroNights 2016 QIWI и системный интегратор «Информзащита» проведут CTF-баттл в формате Jeopardy.



Старт 17 ноября 2016 г. в 10:00 МСК. Призовой фонд за 1-3 места составит ₽150 тыс., ₽75 тыс. и ₽25 тыс. Для победы в турнире необходимо выполнить задания в категориях Reverse / PWN / Web / Crypto / Misc и набрать максимальное число баллов. Допускается решение заданий в произвольном порядке, стоимость решения зависит от сложности задачи. Приоритет – по времени выполнения. Возможен удаленный доступ к игровой сети[1], однако часть заданий реализована в офлайне и потребует присутствия участников в зоне QIWI на площадке ZeroNights.

«У QIWI есть успешный практический опыт участия в CTF и организации таких соревнований. Это очень удобный формат, и я уверен, что вместе с «Информзащитой» мы предложим интересную среду для обмена опытом и достойное вознаграждение победителям», — сказал CISO Группы QIWI Кирилл Ермаков isox.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 3.6K
Комментарии 4

GDPR. Нужно ли его выполнять в России?

Блог компании Информзащита Информационная безопасность *Законодательство в IT

Что такое GDPR?


25 мая 2018 года вступил в силу Общий регламент по защите персональных данных Европейского союза (англ. General Data Protection Regulation, GDPR; далее – GDPR, Регламент). Многие считают, что GDPR распространяется только на европейские организации или компании, обрабатывающие персональные данные (ПДн) на территории Европейского союза. Но на самом деле Регламент является экстерриториальным и распространяется на организации, не находящиеся на территории Евросоюза.

В Регламенте, как и в Федеральном законе Российской Федерации №152-ФЗ «О персональных данных», используются понятия и подходы, сформулированные в Конвенции о защите физических лиц при автоматизированной обработке персональных данных.
Основной упор в Регламенте идет на защиту прав и свобод физических лиц при обработке их персональных данных.

Российские организации, попадающие под действие GDPR, оказываются «меж двух огней»: им требуется соответствовать как российскому законодательству, так и новому европейскому Регламенту. В этой статье мы постараемся раскрыть, кому в России нужно выполнять требования GDPR, зачем, и какие могут быть последствия их невыполнения.
Читать дальше →
Всего голосов 18: ↑14 и ↓4 +10
Просмотры 26K
Комментарии 6

Победа на PHDays 9. Делимся лайфхаками в трёх частях. Часть 1

Информационная безопасность *CTF *Киберспорт
Всем привет! Меня зовут Виталий Малкин. Я руководитель отдела анализа защищённости компании «Информзащита» и по совместительству капитан команды True0xA3. Этой статьей мы начинаем цикл из 3-х материалов, посвящённых нашему выступлению на PHDays IX Standoff. В этой статье мы расскажем, почему грамотная подготовка — это половина успеха, почему так важно вовремя собрать «фрукты» и как можно организовать взаимодействие пентест-команды в рамках одного отдельно взятого проекта.

TL;DR статья содержит огромное количество англицизмов и сложных технических терминов, за что отдельно прошу прощения.
Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры 6.3K
Комментарии 5

Победа на PHDays 9. Делимся лайфхаками в трёх частях. Часть 2

Информационная безопасность *CTF *Киберспорт
Всем привет! Меня зовут Виталий Малкин. Я руководитель отдела анализа защищённости компании «Информзащита» и по совместительству капитан команды True0xA3. Чуть больше недели назад мы победили в одном из самых престижных соревнований белых хакеров в СНГ. В прошлой статье (если вы пропустили её, можно почитать тут) мы рассказали о важности предварительной подготовки. В этой — я расскажу о том, что происходило непосредственно на самих соревнованиях, объясню почему иногда важно вносить коррективы в уже существующие планы по ходу игры и почему, на мой взгляд, ни один из защищаемых офисов не был взломан.
Читать дальше →
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 3.6K
Комментарии 1

Победа на PHDays 9. Делимся лайфхаками в трёх частях. Часть 3

Информационная безопасность *CTF *Киберспорт
Всем привет! Прошло уже несколько недель с момента нашей победы, эмоции схлынули, поэтому время браться за оценку и разбор того, что у нас не получилось. В нашей работе не важно — победили мы в соревновании или нашли уязвимость в реальном проекте, но всегда важно провести работу над ошибками и понять, что можно было сделать лучше. Ведь в следующий раз команды-соперники могут быть сильнее, а инфраструктура клиента защищена лучше. В общем, статья, с которой предлагаю вам ознакомиться ниже, спорная и носит скорее дискуссионный характер, нежели содержит гарантировано работающие рецепты. Впрочем, судите сами.
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 2.7K
Комментарии 3

Обзор обнаруженных техник и тактик группировки Winnti. Часть 1

Блог компании ГК ЛАНИТ Информационная безопасность *Реверс-инжиниринг *

Одно фишинговое письмо, по неосторожности открытое сотрудником компании, - и важная информация слита злоумышленнику. Всего лишь один клик мышью и на компьютере сотрудника запущены процессы, «допускающие» злоумышленников к инфраструктуре организации. При этом «антивирусы» взлом пропустили. Как раз с таким случаем столкнулся наш автор, эксперт «Информзащиты», когда обнаружил атаку группировки Winnti на компанию-заказчика. Киберпреступники нацелены на кражу данных у предприятий военно-промышленного комплекса, правительственных организаций и разработчиков ПО.

«Информзащите» удалось не только предотвратить кибератаку, но и отследить техники и тактики Winnti. Анализ получился достаточно глубоким и будет любопытен техническим специалистам. Предлагаем погружаться в детали постепенно, а потому сегодня только первая часть скринов кода и наших комментариев. 

 

Читать далее
Всего голосов 56: ↑56 и ↓0 +56
Просмотры 11K
Комментарии 8

Обзор обнаруженных техник и тактик группировки Winnti. Часть 2

Блог компании ГК ЛАНИТ Информационная безопасность *Реверс-инжиниринг *

В первой части этой статьи эксперт компании «Информзащиты»  рассказал, как ему удалось отследить атаку группировки Winnti, «жертвами» которой становятся предприятия военно-промышленного комплекса, аэрокосмической отрасли, правительственные организации и разработчики ПО. Злоумышленники закрепляются в инфраструктуре организаций с целью вывода конфиденциальной информации. Анализ атаки помог автору обнаружить техники и тактики Winnti. 

В этой части вы найдете описания утилит, используемых Winnti для «уклонения от защиты» и узнаете, как обезопасить данные.

Читать далее
Всего голосов 34: ↑34 и ↓0 +34
Просмотры 3.3K
Комментарии 3