Анализ способов защиты бизнеса от воровства и мошенничества

Проблема воровства и мошенничества стара как мир и распространена во всех секторах экономики, поэтому существует множество подходов к ее решению.

Например, для защиты от краж в магазинах обычно используется комплексное решение, состоящее из противокражных рамок, содержащих датчики этикеток, зеркал наблюдения, систем видеонаблюдения и прочего. Несмотря на это, потери торговых сетей от воровства продолжаются, их уровень удаётся лишь немного снизить, создавая ворам трудности. Помимо этого, согласно статистике, 50%-70% от общих случаев воровства составляет воровство персонала, а перечисленные меры защиты не слишком эффективны против действий сотрудников, прекрасно знающих их слабые места и пользующихся этим. Но воровство товара — это лишь вершина айсберга, т.к. мошенники, сидящие в офисе, используя различные схемы вывода средств и внося искажения в данные в учетных системах (бухгалтерской, складской, торговой и т. д.), могут выводить из компании десятки миллионов в год в деньгах, а не в товаре.

На сегодняшний день существует несколько подходов для выявления мошенничества с использованием информационных систем:

  • Создание специализированных отчетов в имеющихся учетных системах (1С, SAP и др.)
  • Установка системы контроля кассовых операций «Призма»
  • Внедрение DLP-системы (системы предотвращения утечек данных к которым относятся SearchInform, Infowatch и т.д.)
  • Внедрение SAS Fraud Prevention
  • Внедрение системы Stop-Loss

Каждый из этих подходов имеет свою область применения и свою специализацию. Комплексное использование таких систем позволяет держать под контролем офисные махинации.

Создание специализированных отчетов в имеющихся в компании учетных системах

Данный подход ограничен рамками той системы, в которой реализуется соответствующий отчет. В среднем и крупном бизнесе по мере роста компании внедряется все большее количество систем, в результате, компания, как правило, имеет несколько разных решений на базе 1С, клиент-банки, складскую систему, торговую систему, систему электронного документооборота и т.п.

Большинство учетных систем не хранят полную историю изменений документов, что не позволяет отследить изменения, делаемые «задним числом», а это важный фактор, т.к. он предоставляет возможность «заметать следы».

Таким образом, эффективность отчетов, не предоставляющих возможности выполнения перекрестных проверок данных из разных систем и отслеживания изменений, сделанных задним числом, оставляет немало возможностей для мошенников с «творческим» подходом.

Установка системы контроля кассовых операций «Призма»

Данная система совмещает функции контроля кассового ПО с возможностями видеонаблюдения, что позволяет сотрудникам службы безопасности выявлять многие типовые злоупотребления со стороны кассиров. Система внедряется в супер- и гипермаркетах, но ее внедрение зачастую находят нерентабельным в дискаунтерах, т.к. в них период её окупаемости слишком велик.

Внедрение DLP-системы

DLP-системы (от англ. Data Leak Prevention – система предотвращения утечек данных) предназначены в первую очередь для предотвращения инсайдерской активности, промышленного шпионажа и кражи коммерчески важной информации. Из представленных на российском рынке, наиболее развитыми являются SearchInform и Infowatch. DLP-системы контролируют весь сетевой трафик, включая посещаемые сайты, электронную почту, skype и icq, а также содержимое буфера обмена и пересылаемых документов. Всё это позволяет анализировать переписку, по ключевым словам и выявлять нелояльных сотрудников, а иногда и случаи мошенничества.

DLP-системы не имеют механизмов, позволяющих отличать мошеннические операции в информационных системах от штатной работы пользователей.

Внедрение SAS Fraud Prevention

Данное решение предназначено для выявления нарушений в бизнес-процессах, основываясь на аномалиях в поведении их участников. Для этого задаются правила, которым, в соответствии с регламентами должны следовать участники бизнес-процессов, а затем на основе данных, полученных на контрольных точках информационных систем, выявляются отклонения от нормы, что может служить основой для проведения проверок и расследований.

Решение также позволяет анализировать активность участников бизнес-процесса в социальных сетях, чтобы выявить признаки нелояльности, а в ряде случаев и мошенничества.

Внедрение системы Stop-Loss

Система Stop-Loss, в целях выявления и предотвращения мошеннических схем, выполняет анализ непосредственно самой документации, создаваемой в разных информационных системах. Это даёт возможность выявить расхождения данных, которые являются маркерами многих финансовых нарушений, поскольку полностью скрыть свою активность мошенники не имеют возможности. Сохраняя историю изменения документов, она также делает доступным для наблюдения и выявления процесс «заметания следов».

Для прикрытия мошеннических операций воры создают подложную документацию, которая неизбежно содержит нелогичности и нестыковки. Именно они и служат системе Stop-Loss ориентиром для определения признаков инцидентов воровства.

Таким образом, можно получить экономию за счет сокращения недополученной прибыли, которая в торговых компаниях составляет от 1 до 5 процентов от оборота.

В зависимости от уровня автоматизации компании, ее масштаба и видов деятельности в качестве источников данных для системы Stop-Loss используются следующие учетные системы:

  • Клиент-банк
  • Бухгалтерия
  • Управление персоналом
  • CRM-система (система взаимодействия с поставщиками и подрядчиками)
  • СЭД (система электронного документооборота)
  • Складская система
  • Торговая система
  • Система управления производством (если в компании есть собственное производство)
  • Система транспортной логистики (при наличии)

Логика работы системы Stop-Loss

Следующая последовательность действий иллюстрирует логику работы системы Stop-Loss:

  1. Согласно установленному расписанию система Stop-loss осуществляет загрузку последних данных из различных информационных систем предприятия.
  2. Система Stop-Loss ведет историю внесения изменений в документы, сохраняя старые версии наряду с новыми, таким образом она способна использовать такие изменения при анализе.
  3. Система Stop-Loss с указанной регулярностью и по соответствующему расписанию проводит анализ с целью выявления каждого типа злоупотреблений, хранящихся в ее базе знаний мошеннических схем и методов их улаживания.
    • Подготавливает подборку всех необходимых для анализа документов.
    • Анализирует данные, содержащиеся в этих документах, на предмет наличия в них признаков злоупотреблений.
    • Найдя отдельный случай злоупотреблений формирует отчет, содержащий сводку результатов анализа и рекомендации по улаживанию, а также прилагает подборку документов, в которых были обнаружены странности.
    • Отчет направляется на e-mail руководителю, отвечающему за область, в которой произошло нарушение.
  4. Сохраняет в базе данных доклад об исполнении по улаживанию ситуации, когда он будет получен.
  5. В случае, если доклад об исполнении не поступает своевременно, система Stop-Loss формирует и посылает доклад выше по линии управления.
  6. При получении доклада об исполнении проводит анализ повторно.
  7. В случае, если нарушения не были устранены — посылает доклад выше по линии управления (вплоть до учредителей).

Как же лучше защититься

Как бы ни хотелось закончить публикацию бравурным заявлением о том, что проблемы внутрикорпоративного воровства нашли свое решение, но честнее будет обозначить, что здесь мы будем иметь дело с непрекращающимся противоборством ковбоев в черных и белых шляпах.

Такова ситуация в любом направлении, связанном с противодействием злоумышленников. Подобно тому как усложняется защита банковских карт и операций, как развиваются антивирусные средства, появляются новые типы решений для обеспечения корпоративной безопасности, так и противодействие активности по разорению компаний, исходящей от её же сотрудников, будет происходить и развиваться непрерывно.

В силу этого противодействие требует комплексного подхода, где не только совместно используются административные и технические средства, но и несколько специализированных программных решений усиливают друг друга, каждое ведя атаку на проблему под своим углом.

 

Рубрика: Без рубрики, Публикации | Добавить комментарий

Как снизить издержки от воровства и мошенничества в кризис

Сокращение потерь бизнеса в кризис from Sergey Boronin
Рубрика: Без рубрики, Публикации | Добавить комментарий

Подробности о логике работы системы Stop-Loss

Рубрика: Без рубрики, Публикации | Добавить комментарий

Новый бесплатный семинар «Возможности ядра Linux»

Рубрика: Без рубрики, Публикации | Добавить комментарий

Согласно маркетинговым исследованиям, в текущем году спрос на Linux-специалистов значительно вырастет.

Как отметили представители Linux Foundation, которые провели маркетинговое исследование востребованности специалистов по разработке Linux на рынке труда, в текущем году прогнозируется значительный рост спроса на специалистов в сфере открытого ПО.

По результатам опроса 850 менеджеров по найму персонала и 2600 профессионалов по Linux, исследователи отметили, что нехватка квалифицированных кадров приводит к повышению зарплат для разработчиков Linux по сравнению с другими специалистами IT-индустрии. Так, в среднем зарплата Linux-специалистов увеличилась на 10%, тогда, когда по отрасли в целом — только на 5%.

Респонденты заявляют, что в текущих условиях очень трудно найти отвечающих требованиям работодателя специалистов по Linux. 75% разработчиков отметили, что за последние полгода получили хотя бы одно предложение о смене рабочего места. Кроме того, 93% менеджеров по найму персонала сообщили, что планируют в ближайшие 6 месяцев принять на работу новых специалистов.

Подробнее ознакомиться с отчетом экспертов Linux Foundation можно здесь.

В марте 2013 года HeadHunter опубликовал результаты собственных исследований которые подтверждают данные Linux Foundation, но применительно к российским реалиям.

linux-hh1_L

 

 

 

 

 

 

Рис. 1. Динамика предлагаемых зарплат по Москве для СПО-специалистов, 2009—2013 гг. (тыс. руб.). Источник: HeadHunter, март 2013 г.

 

linux-hh2_L

 

 

 

 

Рис. 2. Динамка вакансий ИТ-специалистов и СПО-специалистов по России (I кв. 2010 г — 100%, I кв. 2013 г — прогноз). Источник: HeadHunter, март 2013 г.

 

Рубрика: Без рубрики, Публикации | 1 комментарий

Приглашаю на новый курс «Разработка драйверов устройств в Linux»

 

Разработка драйверов устройств в LinuxКоллеги, хочу рассказать Вам о новом курсе: «Разработка драйверов устройств в Linux»
Ядро Linux используется в большинстве современных смартфонов за счет применения в популярной платформе Android. Кроме того, не следует забывать и про лидирующее положение Linux в сегменте суперкомпьютеров (469 из  топ 500 суперкомпьютеров под данным www.top500.org), второе место в сегменте интернет-серверов и высокую популярность в корпоративном сегменте.
На создание курса меня сподвигло как лидирующее положение Android-устройств на рынке, так и потребности производителей отечественных контроллеров для различных государственных котрактов, ведь такие компании готовы платить очень хорошие деньги.
Курс рассчитан на программистов окончивших курс «Программирование в Linux на C/C+» или имеющих эквивалентную подготовку.

Цель курса знания и навыки, необходимые для разработки драйверов устройств для ОС Linux:

  • Понимание отличий драйверов устройств от прикладного ПО
  • Специфику и ограничения присущие драйверам устройств
  • Понимание влияния ошибок в драйверах устройств на безопасность всей системы в целом
  • Понимание отличий в реализации символьных драйверов устройств от блочных
  • Особенности файловой системы /proc и специфику работы с ней
  • Конкуренция и ситуация гонок в ядре, проблемы и их решения
  • Аспекты связанные с совместимостью, специфика использования стандартных типов данных
  • Опыт, достаточный, чтобы начать работать в качестве системного программиста Linux и разработчика драйверов под платформу Android

Ознакомиться с программой курса можно по ссылке.

Рубрика: Без рубрики, Публикации | 1 комментарий

Новый бесплатный вебинар «Специфика разработки многопоточных приложений в Linux на С/С++»

Разработка приложения для операционной системы Linux – одна из самых востребованных и высокооплачиваемых IT-специальностей. Если Вы хотите получить эту специальность или совершенствовать уже имеющиеся у Вас навыки, Вам поможет бесплатный вебинар «Специфика разработки многопоточных приложений в Linux на С и С++» Центра компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана!
В ходе вебинара Вы узнаете отличия многопоточной программы от мультипроцессной (основанной на вызовах fork). Вы познакомитесь с проблемами, возникающими при разработке многопоточных приложений – «ситуацией гонок» (race conditions) и «мертвыми блокировками» (deadlocks). Вы научитесь решать эти проблемы на примере классической задачи об обедающих философах.
Вебинар пройдет 13 декабря 2012 года с 18.00 до 19.00 часов.
Запись по ссылке

Рубрика: Без рубрики, Публикации | Добавить комментарий

Приглашаю на бесплатный вебинар по безопасности

В ходе вебинара Вы получите обзор средств обеспечения безопасности операционных систем UNIX (Linux/FreeBSD) и Windows силами системных администраторов:

Вы узнаете о классических мерах защиты операционных систем, к которым относятся брандмауэры и прокси-сервера, а также применение криптографии.
Вы познакомитесь с мерами, предотвращающими эксплуатацию уязвимостей ОС. Для Linux это патчи GRSecurity/PAX, для Windows – Enhanced Mitigation Experience Toolkit.
Вы получите четкое представление о том, какие меры необходимо принимать для сдерживания в случае успешного взлома – это chroot, SELinux/AppArmor для Linux и МАС для FreeBSD.

Эти знания не только помогут Вам получить первоначальные знания по обеспечению безопасности ОС UNIX (Linux/FreeBSD) и Windows, но и спланировать Ваше дальнейшее обучение в Центре «Специалист» для получения квалификации системного администратора или специалиста по информационной безопасности.

Ссылка на вебинар: Как защитить Вашу операционную систему?

Рубрика: Без рубрики, Публикации | Добавить комментарий

UNIX — от основ до виртуозности!

Рубрика: Без рубрики, Публикации | Добавить комментарий

IT-аудиторы выбирают курс «Обеспечение безопасности UNIX(Linux/FreeBSD)»

Было очень приятно узнать, что не только системные администраторы, но и  IT-аудиторы, которые профессионально занимаются анализом защищенности корпоративных сетей  получили массу ценных знаний и навыков от курса «Обеспечение безопасности UNIX(Linux/FreeBSD)»

На снимке только очные выпускники курса, еще четверо обучались в режиме вебинара.

Занятия проводились на примере локальной сети виртуальной корпорации «Skynet», что позволило на практике обкатать все технологии заявленные в программе курса.  Отдельная благодарность Владимиру Кудашеву за предложения по развитию курса и очень теплые отзывы, привожу их как есть:

«Unix-системы снова открылись в новом качестве. Подобно алмазу, каждая грань открывает мне новые возможности и потенциал, заложенный в этих операционных системах. Чем больше я познаю *nix_системы, тем больше убеждаюсь, что потенциал этот бесконечен и неисчерпаем, равно как и способность человека творить.  Открытость систем позволяет реализовать и расширить этот потенциал. «

«Курс объясняет каким образом можно использовать качества и приемущества *nix-систем для обеспечения функций информационной безопасности и безопасности самой системы в целом. «

«В данном курсе  Сергей Сергеевич открыл слушателям ещё одну сторону своей деятельности, а может и своего увлечения 🙂 Было как всегда интересно. Я получил  удовольствие от всех его  курсов.»

 

Рубрика: Без рубрики, Публикации | 1 комментарий

C 27-го февраля стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows»

Хорошая новость для выпускников курсов «Linux (Ubuntu). Уровень 2. Использование UNIX-систем в качестве серверов в Internet» и/или «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX». C 27-го февраля стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows», который необходим администраторам сетей на основе доменов Active Diсtory, т.к. дает глубину понимания таких технологий, как OTP (OPIE), RADIUS (IAS), KERBEROS, GSSAPI и NTLM, а также возможностям, которые предоставляет LDAP. После этого курса администратор уже перерастает статус «шамана» т.к. он понимает «природу вещей», происходящих в доменe. И это лишь побочный эффект… Цель данного курса — дать концептуальное понимание механизмов, лежащих в основе Active Directory, их сильные и слабые стороны с позиций информационной безопасности. Курс не только учит интегрировать UNIX-cистемы в домен, но и рассматривает способы применения UNIX для усиления безопасности Active Directory. Рассматривается на курсе и использование Linux/FreeBSD-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения. Учитывая тот факт, что сейчас 90% сетей являются гетерогенными (используют разные ОС как минимум на серверах и корпоративных шлюзах) можно сказать про него — must have. Ссылка: http://www.specialist.ru/course/yun3-b

Рубрика: Без рубрики, Публикации | Добавить комментарий

Куда пойти учиться сисадмину и безопаснику?

Хотим мы этого или нет, но более 90% сетей являются гетерогенными. Этот факт специалисту по безопасности можно и нужно использовать для того, чтобы осложнить жизнь потенциальному злоумышленнику, ведь не секрет, что львиная доля вредоносного ПО рассчитана на операционные системы семейства Windows, поэтому применение Linux и FreeBSD в ключевых узлах инфраструктуры позволит остановить эпидемии вредоносного ПО и атаки хакеров специализирующихся на решениях от Microsoft. Таким образом, грамотно спланированная гетерогенная сеть предъявляет более высокие требования как к квалификации обслуживающих ее инженеров, так и к знаниям и опыту, которые необходимы для ее взлома.

Но и UNIX-системы эффективны лишь при грамотной настройке и эффективном использовании имеющихся в них защитных механизмов.

В настоящее время, на рынке есть множество специалистов умеющих настраивать те или иные сервисы в Linux и/или FreeBSD, но лишь небольшой процент из них способны адекватно защитить сервисы, которые они представляют. Не в меньшей степени важна способность грамотного проектирования инфраструктуры с учетом с бизнес-процессов компании и связанных с ними рисков.

В статье «Четыре периметра безопасности» представлены основаные на best-practice рекомендации по использованию защитных механизмов в современных операционных системах, статья «Уязвимости в программном коде и методы противостояния им» описывает как работают эти механизмы и какие есть ограничения по их использованию, а статья «Разруха не в клозетах, а в головах» иллюстрирует проблемы с разработкой описанные в Анатомии уязвимостей.

Курс «Обеспечение безопасности UNIX(Linux/FreeBSD)» позволяет на практике освоить защитные механизмы UNIX-систем, а для систем на платформе Microsoft есть курс «M2810 Основы сетевой безопасности».

Важность обеспечения непрерывности бизнеса трудно переоценить и курс «Создание отказоустойчивых решений средствами UNIX (Linux/FreeBSD)» покрывает потребности связанные с этой задачей, а для решения задач связанных с интеграцией систем в гетерогенных сетях служит курс «UNIX(Linux/FreeBSD) Безопасность и взаимодействие с Windows».

Для удобства тех, кто заранее планирует свое обучение есть линейки курсов, каждая из которых готовит специалистов на заявленный уровень квалификации:

Эти линейки курсов не только готовят Вас к престижной международной сертификации Linux Professional Institute, но и дают практический опыт необходимый, чтобы обеспечивать поддержку сетевой инфраструктуры для компании средних размеров.

Рубрика: Без рубрики, Публикации | Добавить комментарий

Уязвимости в программном коде и методы противостояния им

Если гора не идет к Магомету, то Магомет сам идет к горе (крылатая фраза).

Рассчитывать на то, что наступят светлые времена, когда программисты не будут делать ошибок не приходится, поэтому разработчики решений по безопасности ищут способы сделать невозможной эксплуатацию имеющихся уязвимостей.

Первым бастионом на пути злоумышленника являются брандмауэры и прокси-сервера, ограничивающие доступ к потенциально уязвимым сервисам на основе Access Control Lists (ACL). Для защиты сервисов от некорректно сформированных пакетов применяется нормализация трафика. Крайне важно, чтобы настройкой списков контроля доступа занимался человек хорошо понимающий принципы их работы и специфику защищаемых сервисов.

Тем не менее, эти механизмы практически не спасают в ситуациях, когда следует обеспечить безопасность общедоступного сервиса использующего разрешенный порт и протокол, такого как DNS, web-сайт, ftp-сервер, почтовая система или B2B-система.

Для большинства сетевых сервисов возможно применение криптографических протоколов, как правило на основе TLS, что позволяет обезопасить трафик между клиентами и этими сервисами. Несмотря на то, что сам по себе протокол TLS обеспечивает достаточную защиту трафика, ошибки в конкретной его реализации могут существенно подорвать уровень защищенности сервиса.

Следующей категорией идут механизмы, предназначенные для ограничения возможностей злоумышленника в случае успешной эксплуатации уязвимостей. Рассмотрим эти механизмы на примере операционных систем Linux и FreeBSD.

Весьма эффективным является Mandatory Access Control (MAC) во FreeBSD, он позволяет реализовать различные уровни секретности по аналогии с тем, как это организовано у спецслужб, то есть данные подразделяются на совершенно секретные, секретные, конфиденциальные и несекретные и сотрудники (а в нашем случае программы) в зависимости от принадлежности к подразделению и назначенного им уровня допуска имеют или нет к ним доступ.

В Linux есть две аналогичные (конкурирующие) технологии:

Стремительно набирает популярность Apparmor — программный инструмент упреждающей защиты, основанный на политиках безопасности (известных также как профили для приложений), которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. в AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющее ускорить и упростить построение новых профилей.

Традиционным средством изоляции процессов является подмена для них корневого каталога (chroot), что позволяет изолировать сервисы друг от друга в случае взлома одного из них. При использовании этой техники, процессы не должны иметь полномочий суперпользователя, т. к., в противном случае, злоумышленник сможет воспользоваться second chroot чтобы выйти из chroot, поэтому для сервисов требующих административных привилегий целесообразно использовать средства виртуализации на уровне ОС, такие как Jail во FreeBSD и OpenVZ/LXC в Linux.

Цель каждой из вышеописанных технологий — не дать злоумышленнику насладиться победой, даже если ему удалось воспользоваться уязвимостью одного из сервисов. Данный подход хорош, но профессионалы в области защиты информации пошли дальше, так появлись GRSecurity и PaX. Это патчи к ядру Linux делающие невозможной эксплуатацию 60-70% уязвимостей, путем:

  • контроля

  • запрета исполнения в сегменте

    • данных

    • кучи

    • стека

  • запрета доступа к процессам других пользователей

  • запрета second chroot

  • рандомизации адресного пространства

Данный механизм (ядро c его поддержкой называется Hardened-ядром, впервые реализованным для Gentoo Linux) позволяет эффективно противостоять многочисленным атакам основанным на переполнении буфера и некоторым другим типам атак, но он требует чтобы сами приложения были написаны аккуратно, что делает его практически неприменимым на десктопах и ограниченно применимым на серверах, т. к. разработчики далеко не всегда достаточно аккуратны даже при создании сетевых демонов. Таким образом, несмотря на свою крайне высокую эффективность Hardened-ядро не применимо в 70% случаев из-за неаккуратного программирования присущего многим opensource-разработчикам.

Чтобы усугубить, картину хотелось бы обратить Ваше внимание на то, что не смотря на многообразие защитных механизмов не все из них совместимы между собой, так например, придется выбирать между Hardened-ядром (с поддержкой RBAC), SELinux или AppArmor, так как это конкурирующие технологии. Точно также, OpenVZ не тестировался на совместную работу с AppArmor и SELinux.

Не меньшее влияние на применимость защитных механизмов оказывает прикладное ПО, так почти все популярные Web-панели написанные на PHP (например ISPConfig) не дружат c AppArmor или SELinux, а JIT-компилятор для Python’a не совместим c Hardened-ядром.

Если подвести итоги, то специалист по безопасности UNIX-систем должен знать все средства обеспечения безопасности доступные на используемой им платформе и уметь выбрать наилучшее их сочетание для решаемой им задачи. Курс «UNIX (Ubuntu Linux/FreeBSD). Уровень 3. Обеспечение безопасности UNIX» предназначен для того, чтобы сориентировать системного администратора или офицера по безопасности в доступном ему инструментарии и получить навыки применения этих инструментов для построение периметровой защиты на всех 4-х уровнях

Рубрика: Без рубрики, Публикации | 1 комментарий

Мастер-класс «Анатомия веб-проектов, прожиточный минимум компетенции для стартапера»

25 октября в Бизнес-инкубаторе АНХ (InCube) буду проводить мастер-класс «Анатомия веб-проектов, прожиточный минимум компетенции для стартапера».

Перед руководителем проекта, у которого есть средства и разработчики, стоит масса сложных задач: выбрать средства разработки, спланировать архитектуру, распределить задачи, организовать работу. Если вы не чувствуете уверенности в этих вопросах, добрать нужных знания поможет мастер-класс «Анатомия веб-проектов, прожиточный минимум компетенции для стартапера».

Мастер-класс будет полезен создателям проектов, которым необходимо добиться взаимопонимания с «технарями» и внятно изложить требования к проекту. Часто бизнес-решения тесно связаны с вопросами технической реализации. Выбор технологий может сыграть немалую роль в управлении рисками, стать решающим в конкурентной борьбе и, в конечном счете, оказать влияние на привлечение инвестиций. Поэтому техническая грамотность руководителя проекта — фактор, который определяет успешность его решений.

В рамках мастер-класса будет рассмотрена архитектура крупного веб-проекта с точки зрения управления рисками, что поможет понять, как выбирать наиболее удачное бизнес-решение.

Будут рассматриваться следующие вопросы:

  • Классификация веб-проектов
  • Сильные и слабые стороны средств разработки
  • Влияние масштаба проекта на выбор средств разработки
  • Влияние технических решений на новые этапы инвестиций
  • Типы хостингов, в том числе в облаках
  • CMS, типы CMS
  • Фреймворки, их типы и ограничения
  • Поддержка различных браузеров и ее окупаемость
  • Типы лицензирования их выбор, проверка нарушения авторских прав

Внимание! Мастер-класс платный. Стоимость участия 1250 руб.

Мастер-класс пройдет 25 октября в бизнес-инкубаторе АНХ InCube (проспект Вернадского, 82. Академия Народного Хозяйства, схема проезда).

Регистрация на мероприятие.

Рубрика: Без рубрики, Публикации | Добавить комментарий

С 31-го октября стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows»

Хорошая новость для выпускников курсов «Linux (Ubuntu). Уровень 2. Использование UNIX-систем в качестве серверов в Internet» и/или «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX». C 31-го октября стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows», который необходим администраторам сетей на основе доменов Active Diсtory, т.к. дает глубину понимания таких технологий, как OTP (OPIE), RADIUS (IAS), KERBEROS, GSSAPI и NTLM, а также возможностям, которые предоставляет LDAP. После этого курса администратор уже перерастает статус «шамана» т.к. он понимает «природу вещей», происходящих в доменe. И это лишь побочный эффект… Цель данного курса — дать концептуальное понимание механизмов, лежащих в основе Active Directory, их сильные и слабые стороны с позиций информационной безопасности. Курс не только учит интегрировать UNIX-cистемы в домен, но и рассматривает способы применения UNIX для усиления безопасности Active Directory. Рассматривается на курсе и использование Linux/FreeBSD-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения. Учитывая тот факт, что сейчас 90% сетей являются гетерогенными (используют разные ОС как минимум на серверах и корпоративных шлюзах) можно сказать про него — must have.  Ссылка: http://www.specialist.ru/course/yun3-b

Рубрика: Без рубрики, Публикации | 1 комментарий

Внеочередной субботний курс c 26-го ноября 2011 года

Курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX» пользуется заслуженной популярностью, что неудивительно в связи со статистикой успешных взломов в немалой степени связанной c недостаточной осведомленностью системных администраторов в вопросах безопасности UNIX-систем. Руководство УЦ «Специалист» своевременно отреагировало на запросы слушателей и в результате был запланирован внеочередной субботний курс c 26-го ноября 2011 года.

Рубрика: Без рубрики, Публикации | 1 комментарий

Рецензия на книгу «Уязвимости в программном коде и борьба с ними». Ховард М., Лебланк Д., Виега Д./ — М.: ДМК Пресс, 2011.

Целевая аудитория данной книги — разработчики программного обеспечения, что неудивительно, так как Майкл Ховард и Дэвид Лебланк являются авторами нашумевшей книги издательства Microsoft Press «Защищенный код». Кроме того, авторы активно участвовали в Windows Security Push — инициативы по укреплению защиты продуктов Microsoft. Однако они не останавливаются на языках и средствах разработки, популярных на платформе Windows, но и затрагивают специфику разработки на С/С++ и Perl в UNIX-системах. Спектр операционных систем, уязвимости которых освещаются, также разнообразен: Windows, коммерческие UNIX, Linux, Mac OS X и Novell Netware.

Книга рассматривает типы ошибок (грехов — в терминологии авторов) в программном коде, которые потенциально можно эксплуатировать как уязвимости в таких языках как: C/C++, C#, Java, Visual Basic, Visual Basic .Net, Perl и Python. Причем, по каждому типу грехов (ошибок) рассматриваются следующие аспекты:

  • В чем состоит грех

  • Подверженные греху языки

  • Как происходит грехопадение

  • Греховность С/С++

  • Родственные грехи

  • Где искать ошибку

  • Выявление ошибки на этапе анализа кода

  • Примеры ошибок из реальной жизни (CVE-…,CAN-…)

  • Искупление греха (исправление ошибки)

  • Дополнительные защитные меры

Особенное внимание уделено небезопасным системным и библиотечным вызовам каждого из указанных выше языков и операционных систем.

Web-уязвимости рассматриваются в контексте SQL-инъекций и кросс-сайтовых сценариев. Применительно к Web-серверу IIS делается обзор типовых ошибок в ISAPI-расширениях на C/C++ и форм на ASP .Net.

Учитывая, что материалы книги могут задеть тех, кто склонен идеализировать любимые ими программные продукты и платформы, с юмором используемые авторами религиозные аллюзии (грех и грехопадение) облегчают задачу донесения изложенных идей даже до предвзятой аудитории.

Многие издания для программистов, продвигая новейшие возможности средств разработки и делая упор на технических аспектах, забывают о том, что необходимо также «ставить почерк» — то есть заботиться об обучении хорошему стилю программирования — включающему в себя заботу о качестве и безопасности кода. Было бы отлично, если бы начинающие разработчики и выпускники курсов по разработке прочитали эту книгу — ведь каждый из них сможет в новом измерении увидеть, как применять изученные технические приемы.

 

Рубрика: Без рубрики, Публикации | Добавить комментарий

Рецензия на книгу «Защита компьютерной информации. Эффективные методы и средства. Шаньгин В. Ф. — М. : ДМК Пресс, 2010»

Книга позиционируется как учебное пособие для студентов вузов, но будет крайне полезна и действующим специалистам по безопасности. Ведь она содержит как самые базовые темы, такие как модель OSI и стек протоколов TCP/IP, так и рассчитанные на криптоаналитиков описания алгоритмов шифрования.

Инженерный подход, знание алгоритмов и владение математикой выгодно отличают автора, немного людей столь глубоко сейчас смотрят на свою область. Превосходна глава «Криптографическая защита информации», чувствуется, что криптография является любимым коньком автора: описаны симметричные, ассиметричные шифры, хэш-функции, алгоритмы ЭЦП и управление криптоключами. И другие главы книги при сжатом и концептуальном описании их тем, акцентируют внимание на том, каким образом в них используется криптографическая защита — например, глава, посвященная технологиям аутентификации; рассмотрение инфраструктуры защиты на прикладном уровне, в частности PKI; представление системы обнаружения вторжений и реализующих их коммерческих решений; защита на сетевом уровне — протокол IPSec.

В силу сказанного выше критиковать эту книгу не хочется. Однако, должен отметить, что она имеет некоторые чисто методические минусы. С одной стороны криптозащита представлена глубоко — для «продвинутой» аудитории, с другой стороны — охватывая тему безопасности широко, это издание некоторые решения сужает до описания лишь в виде концепций того, как они работают, что недостаточно для новичков но избыточно для зрелых профессионалов.

Например, глава «Модели безопасности операционных систем» не охватывает специфику мандатного контроля доступа в UNIX-системах, а также использует термин ACL применительно к классическим правам доступа, тогда как следовало бы больше внимания уделить POSIX ACL. Весьма сжато описаны и политики безопасности. Применительно к UNIX не были затронуты такие механизмы как сhroot() и применение виртуализации на уровне ОС для защиты демонов. В главе «Технологии межсетевых экранов» представлены общие подходы без углубления в специфику Cisco, MS, Linux/FreeBSD или иных поставщиков. Также «Основы технологии виртуальных защищенных сетей» и «Защита на канальном и сеансовом уровнях» представляют собой краткий обзор соответствующих протоколов.

Однако новичкам требуется не только понять концепции, но и получить представление о различиях реализаций на разных платформах, а главное, иметь возможность применить изученное на практике. Для этого потребовалось бы ввести в книгу описания практических заданий и листингов к ним. Ведь даже при выполнении этого условия многие, споткнувшись на каком-либо задании, могут оставить и книгу и попытки освоить специальность.

Но это вопрос таргетирования аудитории, а не вопрос качества изложения. Автор прекрасно продемонстрировал и роль криптографии в защите данных и беспристрастность в освещении различных платформ, что удается немногим. Хочется поблагодарить Владимира Федоровича за книгу, которая послужит хорошим учебным пособием для студентов профильных специальностей и выпускников курсов по безопасности и поможет подготовить специалистов отнюдь не поверхностно смотрящих на свой предмет.

Рубрика: Без рубрики, Публикации | Добавить комментарий

Влияние специализации на защиту корпоративной сети

Сейчас сложно найти корпоративную сеть, основанную только на решениях Microsoft, так как зачастую в качестве корпоративных шлюзов, внешних почтовых и DNS-серверов, баз данных Oracle и систем виртуализации используются Linux/FreeBSD. Да и на десктопах наметилось некое «биоразнообразие» — хотя бы за счет появления ноутбуков и планшетов от Apple.

Это изменило и квалификационные требования к соискателям от крупных компаний — стало недостаточным специализироваться в чем-то одном, например, в технологиях Microsoft или Cisco. Все больше вакансий как системных инженеров так и специалистов по безопасности содержит в качестве обязательных требований дополнительное знание либо Linux, либо FreeBSD.

Почему даже при большом штате работодатели не ограничиваются разделением специализаций? Не секрет, что у каждой из платформ есть свои достоинства и недостатки. Системные администраторы, имеющие узкую компетенцию, имеют тенденцию «тянуть одеяло» в сторону известных им технологий. Нужно обладать широкой компетенцией, чтобы использовать каждую из платформ в том, в чем она наиболее эффективна.

Поэтому, когда речь заходит о поддержке и защите гетерогенной корпоративной среды, даже знатоки нескольких операционных систем начинают сдавать позиции специалистам по безопасности, которые понимают слабости каждой из платформ и умеют применять открытые UNIX-системы для защиты домена Active Directory. Помимо учета технических способов защиты, они соотносят их с административными мерами, внося большую скоординированность в мероприятия по обеспечению информационной безопасности и оптимизируя бюджет на эти цели.

Популярность нетбуков и планшетов (на которых активно используются платформа Android и Ubuntu Linux) заставила обратить внимание на Linux-системы как на пользовательскую ОС, выведя в свет не только их серверные редакции. Со статистикой по популярности Linux-дистрибутивов можно ознакомиться на www.distrowatch.com. В то же время системы на базе FreeBSD устойчивей к взлому даже с настройками по умолчанию, что делает их популярными в роли внешних интернет-шлюзов. Совместное применение FreeBSD и Linux предъявляет как высокие требования к квалификации системных инженеров, так и к квалификации злоумышленника, что удорожает стоимость взлома и снижает его вероятность.

Что должен знать эксперт по безопасности:

  • В первую очередь, он должен уметь видеть сильные и слабые стороны бизнес-процессов компании и ее инфраструктуры, поскольку ввиду невозможности или дороговизны перекрытия всех слабых мест техническими мерами, оргмероприятия начинают выходить на первый план

  • Понимать какое влияние оказывает человеческий фактор и каковы возможности повлиять на него с помощью регламентов, обучения и физических ограничений

  • Иметь компетенцию в технологиях обеспечения безопасности для каждой из операционных систем, используемых в компании, не забывая и об их слабостях

Например, доменная организация внутренней сети представляет собой так называемый «круг доверия», в рамках которого сервера и рабочие станции безоговорочно доверяют контроллеру домена и ни о чем беспокоятся (пока он не скомпрометирован).

Да, обеспечить приемлемую защиту контроллеров домена нетрудно, но так как ряд сервисов требуют доступ к расширенным атрибутам LDAP, то их приходится запускать с правами администратора домена. Таким образом, задача злоумышленника сводится к нахождению уязвимости в одном из таких сервисов или к использованию методов социальной инженерии с целью получения учетной записи привелегированного пользователя одного из них с целью дальнейшей эскалации привилегий. В некоторых случаях проблема решается тщательной настройкой групповых политик, но к сожалению далеко не всегда, что ставит под угрозу безопасность всего домена. В таких случаях и становятся очень заметны недостатки узкой квалификации инженеров. Специалист, обладающий широким кругозором, не станет закрывать на это глаза и постарается минимизировать возможные риски, в том числе, внедрив превентивные меры.

Эффективным решением по защите внутренней сети от вторжения извне является использование операционной системы FreeBSD на внешнем шлюзе, Linux на шлюзе между DMZ и локальной сетью, а также любой из этих двух систем в качестве почтового шлюза в DMZ.

 

Для того, чтобы применение UNIX-систем было эффективно, следует уделить должное внимание их собственной безопасности, что обеспечивается следующими средствами:

  • Изоляцией приложений FreeBSD с помощью Mandatory Access Control, а Linux — AppArmor/SeLinux

  • Изоляцией приложений в рамках файловой системы, используя механизм Chroot ()

  • Применением виртуализации программного окружения средствами Jail во FreeBSD, и OpenVZ/LXC в Linux

  • Применением сетевого суперсервера для защиты сервисов

  • Использованием непривилегированных учетных записей

  • Настройкой межсетевого экрана

  • Включением ACL на прокси-сервере

  • Применением антивирусных и антиспам фильтров

К сожалению сейчас наблюдается острая нехватка безопасников, владеющих несколькими операционными системами и умеющих использовать их сильные и слабые стороны.

В учебном центре Специалист при МГТУ им. Баумана выбор курсов по безопасности весьма велик. Но хотелось бы выделить среди них те два, которые ближе всего к рассматриваемой теме защиты гетерогенных сетей: «Обеспечение безопасности UNIX (Linux/FreeBSD)» и «Этичный хакинг и тестирование на проникновение».

Курс «Обеспечение безопасности UNIX (Linux/FreeBSD)» рассматривает совместное применение Linux и FreeBSD для обеспечения полноценной периметровой эшелонированной защиты. Он готовит профессионалов, понимающих образ мыслей хакеров и умеющих использовать средства обеспечения безопасности UNIX-систем таким образом, что даже попытки эксплуатации наиболее критичных уязвимостей будут малоэффективны. Обширная практика занимает большую часть времени занятий, ею предусмотрено создание каждым слушателем защищенной сети на специальном стенде. Такая практика помогает быстро прорваться через проблемы применения на практике изученных в теории принципов, что зачастую по книгам дается с трудом. Кроме того, данный курс покрывает требования по безопасности в рамках сертификации LPIC-3.

Курс «Этичный хакинг и тестирование на проникновение» созданный EC-Concil имеет целью обучить специалистов по безопасности производить тестирование на проникновения с целью выявления узких мест в защите корпоративных ресурсов. Желающие смогут подтвердить полученную квалификацию, сдав экзамен на Certified Ethical Hacker. Престиж сертификации подчеркивается тем фактом, что сейчас в мире ею обладают менее 400 экспертов.

Оба эти курса позволят подготовить высокооплачиваемых экспертов по информационной безопасности так необходимых крупным холдингам и корпорациям. Не менее важно то, что выпускники этих курсов будут иметь достаточный авторитет в своих компаниях, что обеспечит им устойчивый карьерный рост.

Рубрика: Без рубрики, Публикации | Добавить комментарий

Подробности о курсе «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX»

Не секрет, что наиболее защищенными оказываются корпоративные сети с гетерогенной инфраструктурой, но надо уметь использовать средства безопасности этих систем на полную мощность.

Данный курс, в первую очередь, ориентирован на IT-руководителей и системных администраторов, которым требуется обеспечить комплексную безопасность сетевой инфраструктуры средствами UNIX (Linux/FreeBSD), а также для тех, кто планирует освоить смежную компетенцию специалиста по информационной безопасности.

В рамках курса изучаются четыре периметра безопасности и их реализация средствами UNIX-систем, что включает в себя защиту внешнего периметра, демилитаризованной зоны, локальной сети и уровня каждого из хостов. Для решения этой задачи в рамках курса используется пять виртуальных машин. Таким образом курс позволяет получить ключевые знания по обеспечению комплексной безопасности сетевой инфраструктуры средствами UNIX (Linux/FreeBSD).
Для обеспечения защиты внешнего периметра использованы следующие технологии:

  • Применение политик Apparmor для Linux и MAC для FreeBSD
  • Использование ACL на прокси-сервере
  • Возможности xinetd по защите от атак типа «Отказ в обслуживании»
  • Запуск сервисов в chroot
  • Использование возможностей SSH для защиты сервисов
    • Аутентификация с использованием публичных ssh-ключей
    • Защита сервисов средствами ssh
    • VPN через ssh

Для защиты сервисов демилитаризованной зоны и локальной сети применяется виртуализация на уровне операционной системы для Linux это — OpenVZ/LXC, а для FreeBSD — Jail. Для защиты удаленного доступа пользователей к ресурсам локальной сети используется OpenVPN. Рассматриваются средства мониторинга и аудита событий, для своевременного выявления нежелательной активности.

Особое внимание уделяется мерам по обеспечению безопасности на уровне хоста, что включает в себя:

  • Автоматизированные средства укрепления безопасности и мониторинга системных файлов
    • Bastille  — инструмент укрепления локальных политик безопасности
    • Chrootkit — поиск rootkit-ов в системе (инструмент общего назначения)
    • Rkhunter — специализированный инструмент для поиска  rootkit-ов в системе
  • Средства защиты рабочей станции
    • firestarter — управление работой брандмауэра
    • ClamTk — управление работой антивирусного сканера
    • sshfs — безопасная замена SMB/CIFS
Повышенное внимание в рамках курса уделяется систематизации полученных знаний и комплексному их использованию. Поэтому порядка 70% курса посвящается практике по усилению защиты сети. Что включает в себя построение защищенного внешнего периметра средствами FreeBSD, демилитаризованной зоны на основе Linux и локальной сети c серверами на FreeBSD, а в качестве рабочих станций применяются Windows 7 и Linux. В результате, каждый слушатель курса освоит технологии обеспечения безопасности на примере сети виртуальной корпорации «SkyNet».
Рубрика: Без рубрики, Публикации | 4 комментария

Подробности о курсе «CEH: Этичный хакинг и тестирование на проникновение»

Ключевым в данном курсе является этичное использование полученных знаний. И чтобы подкрепить этот подход, компания EC Concil требует подписания соответствующего соглашения. У EC Concil есть и возрастной ценз по записи на курсы — только после 21-го года.

Особого внимания заслуживает тот факт, что программа курса одобрена минобороны США. Информационная война идет по всему миру, и данный курс готовит офицеров для этой войны.

На пресс-конференции посвященной старту этого курса в России, которая прошла в апреле 2011 года старший вирусный аналитик Лаборатории Каспеского Сергей Голованов выразил некоторую озабоченность появлением данного курса, но признал необходимость роста квалификации антихакеров в период повышенной хакерской активности. Но наибольшее оживление вызвало выступление Дмитрия Склярова, сломавшего нашумевшую защиту DRM в PDF-файлах. Дмитрий считает себя хакером в исходном смысле этого слова, т.е.высококвалифицированным программистом, любящим свою работу. Являясь аналитиком по информационной безопасности, он подчеркивает, что без этичного поведения нельзя сохранить свои позиции в этом бизнесе. Он считает, что именно этичность могла бы возродить хакерское движениев исходном его смысле. Многие российские компании хотели бы иметь всвоем штате специалиста такого уровня.

В «Специалисте» предосталяется 7-я версия данного курса, в которой используются самые последние версии хакерских тулзов.В курсе 19 модулей, вот их полный список:

  • Введение в этический хакинг
  • Сбор информации
  • Сканирование
  • Перечисление
  • Хакинг системы
  • Трояны и бэкдоры
  • Вирусы и черви
  • Снифферы
  • Социальная инженерия
  • Отказ в обслуживании
  • Перехват сеанса
  • Хакинг веб-серверов
  • Хакинг веб-приложений
  • SQL инъекция
  • Хакинг беспроводных сетей
  • Обход систем обнаружения вторжений, фаерволлов и Honey Pot
  • Переполнение буфера
  • Криптография
  • Тестирование на проникновение

И все это за 72 академических часа, из которых 40 очно в обязательном порядке. Объем раздатки также впечатляет — отборные HackingTools на 4-х DVD. Большой плюс курса — наличие видеоматериалов с демонстрациями, иллюстрирующими использование изучаемого инструментария. В рамках курса особое внимание уделяется взлом веб-серверов и веб-приложений.

На курсе даже делается попытка взлома сайта www.certifiedhacker.com.Участникам пресс-конференции был продемонстрирован процесс определения типа используемой этим сайтом CMS-системы с помощью2ip.ru — ей оказалась OpenCMS. А модуль, посвященный взлому веб-приложений, демонстрирует как можно использовать эту информацию.

Для того, чтобы получить статус достаточно сдать один экзамен «312—50» из 150 вопросов длительностью 4 часа. Предварительные требования к курсу указаны на сайте.

Рубрика: Без рубрики, Публикации | Добавить комментарий

По многочисленным просьбам курс перенесен на 19 сентября…

По многочисленным просьбам курс «Обеспечение безопасности UNIX (Linux / FreeBSD)» перенесен на 19 сентября и учитывая, что в этом году он идет не часто, у вас есть возможность записаться на обучение в этой группе.

Рубрика: Без рубрики, Публикации | 1 комментарий

Приглашаю на курс «CEH. Этичный хакинг и тестирование на проникновение»

По субботам, с 28-го августа в УЦ Специалист при МГТУ им Баумана буду проводить курс «CEH. Этичный хакинг и тестирование на проникновение».
Вы получите знания и навыки, необходимые для успешного выявления и устранения проблем безопасности в смешанных компьютерных сетях. Курс посвящен уникальным хакерским техникам и методам взлома в контексте применения оборонительных практик и рекомендаций, изложенных настоящими хакерами. Курс одобрен министерством обороны США и является официальной библией для сотрудников службы безопасности.

В курсе представлены подробные материалы по работе компьютерных систем и сетей. Рассмотрены типичные уязвимости сетевых протоколов, операционных систем и приложений. Описаны последовательности различных видов атак на компьютерные системы и сети, и предложены рекомендации по укреплению защищенности компьютерных систем и сетей.
Страница курса: http://www.specialist.ru/course/ceh

Рубрика: Без рубрики, Публикации | Добавить комментарий

Курс «Обеспечение безопасности UNIX (Linux / FreeBSD)»

C 22-го августа 2011 года в УЦ Специалист при МГТУ им Баумана начинается курс «Обеспечение безопасности UNIX (Linux/FreeBSD)».
Этот курс уникален, он готовит профессионалов, понимающих образ мыслей хакеров и умеющих использовать средства обеспечения безопасности UNIX-систем таким образом, что даже попытки эксплуатации наиболее критичных уязвимостей будут малоэффективны.
По мнению выпускников, курс наиболее ценен тем, что построен в виде набора практических занятий по построению эшелонированной защиты на всех четырех периметрах безопасности. Очень ценно и совместное применение Linux (Ubuntu) и FreeBSD для защиты корпоративной инфраструктуры.

Рубрика: Без рубрики, Публикации | Добавить комментарий

Первые выпускники курса «Безопасность UNIX (Linux/FreeBSD)»

Без лишнего шума и пыли центр «Специалист» подготовил профессионалов понимающих образ мыслей хакеров и умеющих использовать срества обеспечения безопасности UNIX-систем таким образом, что даже попытки эксплуатации наиболее критичных уязвимостей будут малоэффективны.

По мнению выпускников, курс наиболее ценен тем, что построен в виде набора практических занятий, по построению эшелонированной защиты на всех четырех периметрах безопасности. Очень ценно и совместное применение Linux и FreeBSD для защиты корпоративной инфраструктуры.

От себя хочу добавить, что мне очень приятно за хорошо выполненную работу по их обучению.

Рубрика: Без рубрики, Публикации | 1 комментарий

Информационная безопасность и социальные сети

Сегодня речь пойдет о безопасности данных, составляющих коммерческую тайну, и о самом не поддающемся контролю аспекте обеспечения ее сохранности — человеческом факторе. Здесь не будут подниматься «религиозные» споры, такие, как Windows vs Mac или Windows vs Linux, тем более, что в контексте данного выпуска это не принципиально. Эта статья о том, как пользователи сами ставят под угрозу безопасность информации, ведя себя неосмотрительно в социальных сетях.

Читать далее

Рубрика: Без рубрики, Публикации | 2 комментария

Эволюция хакинга

Старый ковбойский анекдот: 
— О! Да это же неуловимый Джо! 
— Правда неуловимый?! 
— Да кому он нафиг нужен! 
Для современных хакеров не существует «неуловимых Джо». 

Десятки лет совершенствуются методы взлома. Мотивы, которыми руководствуются хакеры, эволюционируют. Как же все попали в поле их интересов?

Читать далее

Рубрика: Без рубрики, Публикации | Добавить комментарий

Анатомия уязвимостей

На чем основана анатомия уязвимостей? Уязвимость — это ошибка в программе, которую можно использовать для получения несанкционированного доступа к системе или отказа в обслуживании для уязвимого сервиса. Администратор, а тем более конечный пользователь, не в состоянии изменить природу вещей, зато они могут минимизировать возможность взлома системы или его последствия.

Читать далее

Рубрика: Без рубрики, Публикации | Добавить комментарий

Четыре периметра безопасности

Считается, что ресурсы локальной сети гораздо лучше защищены от вторжения, чем сервисы, непосредственно доступные из интернета. От чего зависит реальная безопасность?

Читать далее

Рубрика: Без рубрики, Публикации | Добавить комментарий

Разруха не в клозетах, а в головах

Откуда берется «индийский код», являющийся причиной большинства проблем с безопасностью? Данный термин давно перестал ассоциироваться только с разработчиками из Индии и стал именем нарицательным, характеризующим программный код определенного качества.

Читать далее

Рубрика: Без рубрики, Публикации | 2 комментария

Специализация «безопасников» и ее особенности

Несмотря на то, что формально рынок услуг по информационной безопасности и защите коммерческой тайны существует с конца 90-х, спрос на специалистов в этой области сильно превышает предложение.

Читать далее

Рубрика: Без рубрики, Публикации | Добавить комментарий