Возвращался я в пятницу из законного отпуска и сидел в зале ожидания аэропорта города Сочи (так сказать привыкаю к отдыху в России; возможно скоро всем предстоит только в России и отдыхать). И обратил внимание на интересную особенность - стены зала ожидания были увешаны фотографиями самолетов гражданской и военной авиации США разных времен. А вот явно не отечественные смесители в санузле почему-то с гербами России. Не то, чтобы это вызывало диссонанс (смесители с гербом я вообще первый раз увидел); скорее хорошо ложится в общую картину импортозамещения - на словах одно, на деле другое…
Уже скоро год с момента доклада, однако интересующиеся до сих пор пишут вопросы, что и послужило причиной написания этого поста. Проблема с которой ко мне обратились - утилита dumpContfromAPDU.pl не дампит контейнер из правильно созданного с помощью Smartcard Sniffer-а лога команд и ответов APDU…
Сегодня на просторах сети Интернет обнаружил настоящую карту сокровищ для специалистов по информационной безопасности! Это документ "Cybersecurity: Authoritative Reports and Resources, by Topic" (Rita Tehan, Information Research Specialist, April 28, 2015)…
В конце мая я выступал на казанском ITSF, где, среди прочего, рассказывал о реальном кейсе с взломом одной нефтяной компании с Ближнего Востока. Зал был переполнен и не смог вместить всех желающих…
Тема «Windows или Linux?» ‑ это одна из самых популярных «священных войн» последних двух десятилетий. Традиционно считается, что система GNU/Linux в различных своих ипостасях (Debian, Fedora, Mandriva и т.д.) защищена лучше, чем детища корпорации Microsoft. Мнение это достаточно спорное, поскольку на базе как одной, так и другой системы можно создать очень хорошо защищенную корпоративную инфраструктуру. А можно, напротив, просто установить «голую», открытую всем ветрам систему, и тогда и Windows, и Linux покажут себя не с лучшей стороны…
В 2014 году в сеть утекла большая, на 6 млн. записей, база паролей различных почтовых сервисов. Давайте посмотрим, насколько эти пароли актуальны сейчас, в 2015 году…
Вопросы «Соответствуют ли ваши продукты требованиям профилей антивирусной защиты?» и «Сертифицированы ли вы по требованиям профилей...?» поступают регулярно. Только через меня их проходит несколько в неделю. На самом деле, как правило, сам по себе именно сертифицированный продукт клиенту не нужен — он слышал, что в его информационной системе нужно использовать именно сертифицированный продукт и думает, что допустимо использовать только сертифицированные по требованиям Профилей программные продукты…
В ветке информационной безопасности профессиональной соцсети LinkedIn в разделе дискуссий натолкнулся на такую вот тему, поднятую Ричардом Ранкином из США…
Теневой или Глубокий Интернет. Что хранят его динамические веб-страницы, заблокированные сайты, сети ограниченного доступа, интранеты, которые составляют более 95% объема Интернета, и не обрабатываются стандартными поисковиками?...
В апреле этого года, выступая с докладом на Форуме АЗИ, Виталий Сергеевич Лютиков (начальник управления ФСТЭК России), говоря про Базу уязвимостей, рассказал, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо, да и то не сразу. В июне он же привёл пример с Heartbleed…
Wordpress (WP) одна из наиболее распространенных CMS. Из-за этого, сайта на базе WP часто становятся объектом разного рода атак. Кроме того, любителей «жареного» притягивает репутация WP как слабо защищенного продукта. Немалую роль в формировании такой репутации играют и администраторы/хостеры не торопящиеся устанавливать патчи. К слову, патчить WP тоже местами достаточно сложно — всегда есть риск потерять совместимость и получить неработоспособный сайт. Тем не менее, WP продолжает привлекать новых и новых пользователей…
Добрый день, дорогие читатели! Помните ли Вы как поступали в ВУЗ? Сколько волнения и мучительных раздумий у вчерашнего школьника по пути в приемную комиссию! Сегодня мне хочется поделиться с абитуриентами своим опытом, прошло ровно 10 лет с момента поступления, так что с одной стороны я еще помню, как это было, а с другой - успела получить профессиональный опыт. Надеюсь, что мои размышления будут полезными и помогут сделать правильный выбор (ну, а если вы уже давно не студент, жду в комментариях ваши мысли об образовании)…
На информационном портале Retail & Loyalty выложен мой комментарий относительно очередного запроса Ассоциации европейского бизнеса (АЕБ) российскому Президенту о переносе баз персональных данных россиян в Россию. Привожу текст полностью…
За последние года 3 волей-неволей пришлось погрузиться в тему набора ИБ кадров - набирал себе, помогал соседним департаментам, 2 раза мы вынудили конкурентов поднять компенсации целым практикам:) И так как несмотря на кризис опрос в группе Вакансии ИБ показал что "кадров много, но нужных мало", считаю вопрос по прежнему актуальным и хочу поделиться рекомендациями для успеха в наборе кадров…
Год назад, когда ещё был в 10 классе, я занялся криптографией. Точнее, как занялся: в школе обязательно требовалось провести исследовательскую работу — вот я и решил исследовать шифр RSA. В связи с недостаточностью знаний для исследования на стойкость, было проведено довольно сомнительное исследование (с точки зрения полезности) на время генерации ключей и шифрования некоторого текста в зависимости от размера ключа на основе собственной реализации алгоритма…
OSSEC (Open Source Host-based Intrusion Detection System) – это хостовая система обнаружения вторжений. Если у вас появилась задача проверки контроля целостности файлов на ваших серверах, логирования различных действий на серверах, получения событий безопасности с ваших серверов (а также любых других) и оповещений об этих событиях, вывода различных отчетов и многое другое, то HIDS OSSEC — отличное решение под эти задачи…
На самом деле речь в данной статье пойдет не только об уязвимостях в роутерах TP-LINK, но и о том, как можно удаленно сделать из таких роутеров хак-станцию и чего можно при помощи этого достичь. А так же немного о том, как это было применено для получения доступа к странице ВКонтакте. Это своего рода история одного большого взлома, которая включает в себя все выше перечисленное…
