В статье хотим рассказать про технологию TLS fingerprinting, про которую недостаточно материалов в русскоязычном сегменте. Попробуем это исправить. Статья частично переводит тематические материалы авторов описываемых методов (тут и тут), а также содержит описание практической реализации от Акрибии.

Не будем глубоко погружаться в детали работы SSL/TLS (далее будем говорить TLS), но кратко поясним детали.

Использование TLS само по себе благо, так как с его помощью шифруются данные. Но с обратной стороны создатели вредоносов используют его же, чтобы скрываться в шифрованном трафике (в данной статье как раз будет уклон в эту сторону) и затруднять их обнаружение и нейтрализацию.

Чтобы инициировать сеанс TLS, клиент отправляет «пакет» приветствия серверу после трёхстороннего установления связи TCP. Этот «пакет» и способ его создания зависят от пакетов и методов шифрования, используемых при создании клиентского приложения. Если сервер принимает соединение TLS, он ответит пакетом приветствия, тем самым продолжая согласование шифрования.

Прошло время, когда контроль сетевой активности пользователей ограничивался только на уровне конечных рабочих станций, с помощью корпоративного прокси-сервера и межсетевого экрана. Сейчас у каждого сотрудника есть как минимум смартфон с мобильным интернетом (если не брать в расчет специализированные рабочие места, где это запрещено), которым он успешно может пользоваться на территории компании, как в безобидной форме, так и с менее доброжелательным умыслом — этого мы исключать не можем :) Также мобильные устройства сотрудники повсеместно используют и для работы, не ограничиваясь только звонками. Современные смартфоны позволяют обмениваться любым типом файлов с информацией, содержащей корпоративную тайну в том числе. В связи с этим, у руководителей давно встаёт вопрос о том, как с этим жить и что возможно предпринять.

Сегодня речь пойдёт о прогрессивном решении под названием Proget MDM, задача которого состоит не в ограничении сотрудников в пользовании их личными мобильными устройствами, а в расширении функционала и возможностей устройств, с выгодой для компании, заинтересованной в информационной безопасности.

Система Proget MDM предназначена для централизованного управления мобильными устройствами и предоставления защищенного соединения, для передачи данных между серверами компании и устройствами пользователей. В системе возможно активировать как персональные смартфоны или планшеты сотрудников, так и корпоративные устройства. В первом и во втором случаях схема подключения в систему может быть разной. Например, в личные смартфоны сотрудников возможна мягкая интеграция продукта на уровне приложения, без искажения персонализации, когда как в корпоративные есть возможность встраиваться на уровне системы, с возможностью полного контроля над устройством.

Мы подготовили перевод статьи Райана Сирса об обработке логов Google’s Certificate Transparency, состоящей из двух частей. В первой части дается общее представление о структуре логов и приводится пример кода на Python для парсинга записей из этих логов. Вторая часть посвящена получению всех сертификатов из доступных логов и настройке системы Google BigQuery для хранения и организации поиска по полученным данным.

С момента написания оригинала прошло уже три года и с тех пор количество доступных логов и, соответственно, записей в них возросло многократно. Тем более важно правильно подойти к обработке логов, если целью является максимизация количества получаемых данных.

Решили продолжить перевод шпаргалок по безопасности от OWASP на фоне массовых восстановлений паролей после утечки базы данных у сервиса rzd-bonus.ru.

Вопрос о необходимости использования сертифицированных средств защиты информации, включая и криптографические, не теряет своей актуальности для коммерческих организаций уже очень долгое время. Он неустанно обсуждается в рамках выполнения требований по обеспечению безопасности персональных данных, критической информационной инфраструктуры, информационной инфраструктуры финансовых организаций и даже государственных информационных систем.

Сейчас же на авансцену выходит ГОСТ Р 57580.1-2017, соответствовать которому уже с начала следующего года должны информационные системы многих компаний финансового сектора. Документ дает весомый повод в очередной раз погрузиться в чтение многостраничного текста, чтобы понять, а требуются ли сертифицированные СЗИ и СКЗИ?

Получая большое количество аналогичных вопросов, мы решили рассмотреть эту тему комплексно, как в рамках ГОСТа, так и иных применимых правовых документов. И, конечно же, поделиться полученным результатом с вами.

Несмотря на то, что выводы, представленные в данной статье, подаются как применимые для финансовых организаций, они абсолютно свободно могут быть распространены и на любые иные компании. В конце концов, кто из нас не оператор персональных данных?

Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного обеспечения. Первая группа (V1) содержит в себе требования к архитектуре и моделированию угроз для основных функций ПО, таких как, аутентификация, управления сеансами, контроль доступа и др. Последующие группы расширяют список требований для каждой из функций.

В статье описывается концепция стандарта ASVS, способы его применения, также переведена первая группа требований к архитектуре и моделированию угроз.

Cookie-файлы как персональные данные

• Безопасность при разработке приложения;
• Безопасность сервера;
• Безопасность платформы;

Фишинг (phishing) – вид интернет-мошенничества, использующий принципы социальной инженерии. Это письмо в электронной почте, звонок, SMS или сообщение в мессенджере или соц.сети, пытающееся обманом убедить пользователя передать свои конфиденциальные данные, скачать какой-то вредоносный файл или перевести деньги. Для этого отправитель представляется неким другим лицом, от которого подобная просьба вызывает меньше подозрений.

Целевой фишинг (spear phishing) – подвид фишинга, который нацелен на более узкий круг людей. Это может быть какая-то организация, группа ее сотрудников или отдельный человек, в зависимости от намерений атакующего. Получаемое сообщение в этом случае будет рассчитано именно на ограниченный круг лиц. В ходе такой атаки злоумышленник может попытаться:

• заполучить конфиденциальные данные (данные банковской карты в целях кражи денег);
• установить ВПО на целевое устройство;
• заполучить секреты и конфиденциальные данные организации в целях шантажа или перепродажи конкурентам;
• заполучить военные данные.

Различия между фишингом и целевым фишингом

Введение в проблематику