Защита виртуальных сред: реальные угрозы виртуального мира

Сегодня бизнес предъявляет новые требовании к гибкости поддержки своих бизнес-процессов.В виду этого меняется и сложившийся модель ИТ-инфраструктуры. Прослеживается рост популярности облачных вычислений и тренд миграции физических серверов, хранилищ данных и сетевых устройств в виртуальную инфраструктуру. В связи с этим возникают новые виды угроз ИБ нацеленные на виртуальную среду, разрабатываются соответствующие им меры защиты, формируются весьма специфичные требования для обеспечения необходимого уровня безопасности.

В сегодняшней публикации мы рассмотрим использование виртуальной инфраструктуры с точки зрения  ИБ, затронем вопросы нормативного регулирования и рассмотрим общий чек лист угроз для виртуальной среды.

Несколько слов об Электронной Подписи (ЭП)

Действующий сегодня Федеральный закон №63-ФЗ «Об электронной подписи» изданный в 2011 году пришел на смену ранее действующему и ныне отмененному Федеральному закону «Об электронно-цифровой подписи» от 2002 года. В новой редакции закона изменились не только термины, к примеру, так вместо ЭЦП теперь используется ЭП, но и предусмотрены три вида  электронных подписей, применяемая каждая для своих целей.

В сегодняшней статье мы чуть более подробно поговорим об ЭП в толковании действующего ФЗ-63 и об особенностях применения каждой вида ЭП.

DarkNet: темная сторона сети

Для многих обывателей термин DarkNet (Даркнет) звучит как нечто непонятное или скорее даже пугающее. СМИ, блоги, социальные сети часто описывают Даркнет как место которое кишит наркоторговцами, киллерами, хакерами, нелицензионным контентом и т.п. Однако Даркнет как концепция приватной сети зародился еще в далеком 1970 году, а сегодня многие ресурсы в темной путине посещают не только хакеры и преступники, но также журналисты, активисты, простые пользователи из стран, где интернет фильтруется спецслужбами. Но как и любое благое изобретение Дарнет можно использовать и не в благородных целях. В Даркнете безусловно есть площадки, где собираются киберпреступники, покупаются и продаются украденные конфиденциальные денные, различные малвари, нелицензионный контент. 

В сегодняшней публикации мы постараемся более подробно рассказать о Даркнете и его использовании на хакерском поприще.

Нагрузочное тестирование в контексте ИБ

Одним из способов проверить корректность конфигурирования средств защиты информации и устойчивость корпоративных информационных систем к некоторым видам атак является нагрузочное тестирование. Проведение нагрузочных тестов позволяет адекватно оценить текущий уровень защищенности, причем как СЗИ так и отдельно информационных систем, а так же проверить ИТ-инфраструктуру на соответствие требованиям, к примеру, для выполнения аттестационных мероприятий.

ФСБ опубликовала порядок сбора ключей шифрования в интернете

Федеральная служба безопасности России выполнила поручение президента России Владимира Путина утвердить порядок сертификации средств шифрования сообщений в интернете и регламентировать порядок передачи ключей шифрования уполномоченному органу власти.  Результатом стало опубликование приказ № 432 от 19.07.2016. Как указывается в документе, организатор распространения информации в сети Интернет предоставляет данные для декодирования на основании запроса от уполномоченного органа. В случае отказа предоставить ключи для расшифровки шифрованного трафика, владельцу ресурса будет грозить штраф в размере 1 млн рублей.

Certified Ethical Hacker: путь этичного хакера

Для большинства обывателей нашей бескрайней страны хакеры прочно ассоциируются с кибер преступниками. Однако крупнейшие университеты ведущих стран в мире давно уже выпускают "белых хакеров", специалистов ИБ занимающихся почти тем же, чем и их более известные "темные" коллеги. Более того в России как несколько лет не является экзотикой такая квалификация, как Certificated Ethical Hacker (CEH). Это профессиональный курс подготовки специалистов в области информационной безопасности, подтверждаемый экзаменом EC-Council и считающийся весьма авторитетным.

В сегодняшней публикации мы чуть поподробнее поговорим о концепции white hack, так же заглянем в особенности проведения сертификации CEH, а в конце статьи мы приводим ссылку на Гид по Certified Ethical Hacker v9 Course

Криптовалюта под прицелом: биткоин, блокчеин и все, что с этим связано

Даже людям не связанным с финансовым сектором или ИТ-индустрией приходилось часто слышать о Биткоинах, криптовалюте и блокчейне. Начиная со своего появления в 2009 году биткон, как пиринговая платежная система, все больше привлекает внимания и завоевывает новых пользователей. Более того ведущие международные финансовые институты высказываются о новых возможностях использования блокчейнов, и  необходимости урегулирования отношений связанных с криптовалютой. Стоит отметить, что и в России создан консорциум под предводительством ЦБ РФ занимающийся вопросами данной тематики. 
Использование блокчеинов, как основной концепции биткоинов, экспертами называются как весьма перспективные. Однако, как и у любой технологии, у биткоинов есть обратная сторона медали, которую злоумышленники могут  использовать в корыстных целях. Это прежде всего вопросы связанные с оборотом незаконного контента, неконтролируемых финансовых операциях, а так же обеспечения конфиденциальности субъектов и безопасности переводов.

Атака на QR-коды: фишинг, QRLJacking и заражение малварью

Все мы не раз видели штрих-коды, которые размещают почти на всем что берем в руки, от пакета с молоком до детских игрушек и бытовой техники. А в супермакетах и того подавно штрих-коды служит ключевым элементом на основании которого формируется наш чек. Но технологии не стоят на месте и на смену обычным кодам приходят их более информативные варианты. Сегодня QR-коды приобретают небывалую популярность. Мы видим их каждый день в метро, на асфальте, на билбордах, популярных журналах, более того, многие банки и крупные организации запускают ряд услуг с использованием QR-кодов. Однако, по мимо очевидных преимуществ, которые приносят нам QR-коды, возникает ряд вопросов связанных с их безопасностью. 

В сегодняшней публикации речь пойдет о новых векторах атак с использованием QR-кодов.

CTF: соревнования по информационной безопасности

Как и среди других сфер человеческой детальности в компьютерном мире есть свои соревнования. В сегодняшней публикации речь пойдет о CTF соревнованиях по информационной (компьютерной) безопасности. Это термин который некогда перекочевал из терминологии шутеров, в котором кибер-игроки атаковали базу противника одновременно при этом удерживаю свои контрольные точки от проникновения. Концепт хакерских CTF игр остался неизменным, несколько команд игроков защищают свою ИТ-инфраструктуру от атак со стороны соперников пытаясь при этом вывести их сервисы из строя, либо решая нетривиальные задачи пытаются найти заранее спрятанную фразу (флаг). Не смотря на то, что первые CTF игры были проведены в 2004 году, настоящую популярность и широкую известность они получили с началом 2010-х годов. Теперь же не одно солидное мероприятие вроде BlackHat, DefCon, ZeroNights, PHDays не проходит без CTF соревнований или им подобных кейсов HackQuest.

Данная статья станет первой из цикла публикаций посвященных в целом CTF, а так же команде crazY geek$, в которой состоит автор, и разборам неторных интересных заданий и практических кейсов

Гид по Metasploit Framework

В одной из прошлых статей мы публиковали Гид по Kali Linux, практического руководства по использованию дистрибутива Kali Linux для аудита ИБ и проведения пен-тестов. Сегодня же мы обратим пристальное внимание на один из инструментов входящих в данный дистрибутив - Metasploit Framework. Рассмотри историю возникновения проекта, а так приведем конкретные руководства и документации способствующие практическому освоению пакета Metasploit 

Проект нового антипиратского закона от Минкультуры РФ

Как сообщает издание «Известия» Министерство культуры России совместно с участниками медийного рынка, Национальной федерации музыкальной индустрии (НФМИ) и Ассоциации продюсеров кино и телевидения (АПКиТ) готовит проект нового антипиратского закона. Изменения должны прежде всего коснуться социальных сетей и подобных им площадок, где пользователи могут свободно публиковать и использовать медийный контент, защищенный авторским правом. Так же правообладатели хотят получить право устанавливать запрет на размещение рекламы на заблокированных сайтах. Со схожей инициативой выступал и Роскомнадзор планирующий блокировать несанкционированные «зеркала» заблокированных сайтов

Skolkovo Cybersecurity Challenge 2016

С 1 августа стартовал прием заявок на  Skolkovo Cybersecurity Challenge 2016, конкурс проектов в сфере информационной безопасности . Конкурс пройдет во второй раз, его организаторами в этом году выступают кластер информационных технологий «Фонда Сколково» и Национальный исследовательский ядерный университет МИФИ.
Задачей конкурса является поиск лучших инновационных решений, направленных на защиту бизнеса и частных лиц от актуальных киберугроз

Градация должностей в зарубежных компаниях

Многие из нас, кто начинает только свою карьеру или кто меняет место работы, переходя из российской компании в зарубежную сталкиваются с весьма новыми для себя подходами в организации рабочего процесса. По мимо того, что европейский менеджмент значительно отличается от отечественного, должность на которую получает приглашение кандидат чаще всего прописывается на английском языке. В виду то го что в России нет утвержденного перечня сопоставления отечественных должностей и их англоязычных эквивалентов, у новичков по этому поводу часто возникают путаница. 

В сегодняшнем материале мы попытаемся воссоздать некий образ отечественного "табеля о рангах" в зарубежных компаниях

Банк России серьезно взялся за Анти-фрод и FinCERT

Не смотря на летний сезон и кажущееся затишье, Банк России за последнее время провел достаточной большой объем работ и подготовил ряд инновационных поправок и новых документов относящихся  к обеспечению информационной безопасности. В проектах новых регламентов разработанных совместно с МинФином, предусмотрены существенные изменения затрагивающие действующее положение П-382, а так же ФЗ-161 в рамках противодействия кибератакам и мошенничеству в финансовой сфере с использованием информационных технологий.  Помимо анти-фрод деятельности Банк России так же усиливает влияние ведомственного FinCERT о котором мы уже  ранее писали.

Вездесущий Backdoor: проблема аппаратных и программных закладок

Использование недокументированных возможностей в ПО и аппаратных закладок по прежнему остается актуальной проблемой для всех специалистов по безопасности. Более того в свете последних разоблачений о глобальном кибер шпионаже пол ученых от Эдварда Сноудена и обострения отношений на политической арене (санкции)  это вопросы получают все большую популярность. 

В сегодняшнем материале мы посмотрим на проблему современного использования Backdoor, актуальных векторов атак, инцидентов имевших место в мировой и отечественной практике.

Спрут МВД РФ: официальная закупка ПО для слежения за пользователям

Как недавно стало известно в МВД РФ активно идет обсуждение вопросов закупки специального программного обеспечения призванного осуществлять мониторинг активности российских пользователей в популярных социальных сетях. Первая закупка ПО должна осуществить ГУ МВД по Свердловской области. Следом и ряд других регионов нашей страны. Напомним, что задачи мониторинга интернет-коммуникация были связаны с выполнением принятого этим летом  пакета "законов Яровой" и глобальной стратегией обеспечения антитеррористической безопасности.