среда, 30 ноября 2016 г.

30 ноября - Международный день защиты информации

30 ноября в западных странах традиционно отмечается Международный день защиты информации. Не смотря на то, что праздник разменивает уже третий десятка лет (с да, да, с 1988 года), в России он отмечается не так давно, и знают о нем довольно узкий круг людей тесно связанных с ИТ-отраслью и Информационной безопасностью. А тем менее, история появления праздника и его ключевая идея весьма красноречиво говорит о том какое значение ИБ имела в пришлом и безусловно имеет в сегодняшнем  дне

среда, 16 ноября 2016 г.

Микрофонный эффект и наушники: тотальная слежка или старый забытый трюк

Ученые из Университета Бен-Гуриона, расположенного в Израиле заявили о новом способе, превращающим обычные наушники в микрофон годный для прослушки пользователей и записи разговоров. Как комментирует исследователь, данная проблема является очень серьезной, поскольку даже после удаления из компьютера микрофона, разговоры пользователя все равно могут записываться через наушники. В принципе в этой новости нет ничего нового, в деле промышленного шпионажа дано уже известен "микрофонный эффект", заключающийся  в том, что устройства воспроизведения звуковых колебаний могут при определенных условиях превращаться в устройства записи, т.е. преобразовывать звуковые колебания происходящее во внешней среде. Однако, новшество открытия в том, что даже после отключения микрофона из гнезда компьютера, разговоры пользователя все равно могут записываться.  Исследователи разработали малварь  SPEAKE(a)R, которая использует малоизвестную опцию jack retasking, найденную в чипсетах Realtek

суббота, 12 ноября 2016 г.

Джентльменский набор функций Excel для ручных тестов ITGC

Очень часто выгрузки различной информации из финансово-значимых ИТ-систем клиента поступают в распоряжение аудиторов в формате Excel-файлов. Поскольку большинство тестов ITGC в таком случае выполняется вручную, для ускорения процесса неизбежно приходится прибегать к использованию богатого функционала Excel. В сегодняшней статье мы сделаем обзор наиболее популярных и часто используемых встроенных функций значительно облегчающий рутинный труд ИТ-аудиторов

среда, 9 ноября 2016 г.

GeekWeek 2016: ежегодная онлайн IT-конференция

Образовательный портал GeekBrains объявил о начале регистрации на масштабную международную онлайн-конференцию Geek Week 2016. На мероприятии ведущие эксперты технологических компаний со всего мира, которые в течение 6 дней будут учить не только программировать, но и помогут узнать подробнее о карьере и трудоустройстве в вашем направлении. Участие в конференции бесплатное, а формат проведения весьма демократичен и доступен любому  слушателю из любой точки мира.

Онлайн битва RuCTFE 2016: международные соревнования по компьютерной безопасности

Организатор и главный драйвер группа HackerDom объявила о старте онлайн соревнований по информационной безопасности RuCTFE 2016Состязания начнутся 12 ноября с 10.00 UTC. Участники будут бороться за призовой фонд от Лаборатории Касперского и приглашение на финал главной битвы года  DEF CON CTF 2017 в Лас-Вегасе. Как обещает организатор, в этом году помимо классического противостояния Attack-Defense CTF, всех участников ждут еще и таски от команды разработчиков, спонcоров и партнеров мероприятия. Победители соревнований  будут приглашены на  финал крупнейших очных студенческих соpевнований RuCTF 2017


вторник, 8 ноября 2016 г.

Скрипты экспресс аудита безопасности для Linux

Большинство таких корпоративных  и многокомпонентных систем как SAP, Oracle DB используют в своей платформе операционную систему базирующийся на Linux. В виду этого к ним обращено такое пристальное внимание со стороны ИТ-аудиторов. Сегодня в статье мы представим вашему вниманию несколько бесплатных инструментов представленных в виде скриптов и использующих штатные механизмы ОС для провидения экспресс аудита конфигурации  безопасности.

воскресенье, 6 ноября 2016 г.

Цепочка Kill Chain: от моделирования до проектирования защищенного периметра

Тема Kill Chain периодически всплывает то в беседах, то в статьях известных экспертов, то в материалах конференций посвященных тем или иным вопросам ИБ. Не смотря на то, что кажется все уже давно сказано по этой теме, концепция "убийственной цепочки" остается весьма интересной и по сей день. В одной из предыдущих статей мы писали как концепция цепочки применяется для выбора средств защиты. Сегодня мы поговорим о том, о том, почему чисто теоретическая концепции остается такой живой и по сей день. А секрета здесь нет - в купе с некоторыми остальными инструментами она позволяет выполнять моделирование угроз и проектирование собственный системы защиты информационного периметра.

пятница, 4 ноября 2016 г.

Анонс форума Russian Information Services Summit (RISS 2016) upd.

ИТ-издание PC Week 30 ноября приглашает участников и посетителей на ставший уже ежегодным  форум Russian Information Services Summit’2016, который концентрирует свое внимание на вопросах обсуждения  методологических и практических аспектов современного аутсорсинга ИТ, бизнес-процессов, и использования  облачных услуг.


четверг, 3 ноября 2016 г.

10 шагов к обеспечению защищенности базы данных Oracle встроенными механизмами безопасности

Система управления базами данных Oracle DataBase является одной из наиболее популярных и широко используемых баз данных в корпоративном сегменте. И это не удивительно, поскольку ее отличает высокая надежность, производительность, масштабируемость и адаптируемость под бизнес-задачи каждого конкретного пользователя.  Однако, столь широкая популярность оборачивается и другой стороной медали - вектор атак на СУБД остается в топе наиболее существенных угроз.  

В одной и прошлых статей мы рассказывали о экспресс проверке (этакий чек-лист) конфигурации на соответствие требованиям безопасности. В сегодняшней публикации мы рассмотрим 10 простых шагов к повышению безопасности СУБД Oracle DataBase своими силами без использования дополнительного ПО, основываясь лишь на рекомендациях самой компании Oracle, собственном опыты и "best practices". 

Многим эти рекомендации могут показаться слишком банальными и очевидными, однако как показывает практика, именно"простые" ошибки и  невнимательность может привести к очень серьезным последствиям. Описываемые 10 шагов по сути это список самых необходимых последовательных действий для Oracle DataBase, которые необходимо выполнить для  если вы этого еще до сих не сделали.

среда, 2 ноября 2016 г.

SOC-Forum v.2.0 пройдет 16 ноября в Москве

За день до открытия международный конференции ZeroNights 2016, пройдет еще одно интересное и крупномасштабное событие SOC-Forum v.2.0 - площадка посвященная практическим вопросам создания центров мониторинга ИБ, отечественной законодательной базы, роли государственных регуляторов (ГосСопка и FinCERT) в этом процессе, а также различных других вопросов и кейсов реально действующих систем. Вся программа форума будет разбита на 6 тематических секций и пройдет в один день. Бесплатное участие в форуме организовано для представителей кредитно-финансовых организаций, операторов связи, компаний топливно-энергетического и промышленного комплексов, других потребителей ИБ-продуктов и услуг


Обзор нескольких свежих отчетов ИБ за осень 2016

Крайние месяцы осени выдались очень насыщенными, это множество интересных и яркий событий, форумов и соревнований за короткий промежуток времени ZeroNiights 2016, SOC-Forum v.2.0 и GeekWeek 2016 и RuCTFEE 2016. И, конечно, как принято к концу года, различные аналитические отчеты, доклады и прогнозы на будущее от отечественных и зарубежных ИБ компаний и аналитических агентств. В сегодняшней публикации мы собрали подборку нескольких наиболее интересных и информативных отчетов по кибер-безопасности от западных коллег. Все отчеты доступны в открытом доступе для свободного скачивания и использования


вторник, 1 ноября 2016 г.

ZeroNights 2016 состоится 17 и 18 ноября

Вот и настал крайний осенний месяц в этом году, а вместе с ним приближается и грандиозое событие - 17 и 18 ноября состоится ZeroNights 2016, ежегодная международная конференция, посвященная практическим аспектам информационной безопасности. В этом году по заверениям организаторов на мероприятии выступят 60 спикеров из 9 стран среди которых есть и известные всему миру имена. Так же особенностью этого года станет присутствие на мероприятии различных комьюнити, объединяющих специалистов-практиков - OWASP, R0, Defcon Russia, Hardware Village, CTF RU E и др. Программа выступления, как и в прошлые годы, обещает быть насыщенной. Помимо этого в первые в этом году на конференцию можно будет попасть в качестве волонтера. В рамках конференции также пройдут различные активности, HackQuest, соревнования CTF и другие конкурсы победители которых получат ценные призы