Рубрика «защита данных» - 6

в 17:35, , рубрики: будущее здесь, защита данных, информационная безопасность, квантовые вычисления, криптография

НИСТ просит помощи в создании надежных постквантовых методов шифрования данных - 1

Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) на днях обратился к общественности с просьбой помочь в решении проблемы, которую представители самого института называют «надвигающейся угрозой информационной безопасности». Речь идет о том, что квантовые компьютеры, прототипы которых уже работают, в будущем смогут легко взламывать любые коды шифрования, которые используются для защиты информации.

Представители НИСТ просят у специалистов по кибербезопасности, ученых и обычных пользователей устроить брейнсторминг по вопросу «постквантовой криптографии», алгоритмов, которые были бы недоступными и для квантовых компьютеров. Запрос организации официально зарегистрирован в Федеральном Реестре.
Читать полностью »

в 14:02, , рубрики: 2fa, otp, vk.com, аутентификация, аутентификация пользователя, Вконтакте, двухфакторная аутентификация, двухэтапная аутентификация, защита данных, защита персональных данных, ИБ, информационная безопасность, одноразовые пароли, токены

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом VK ошибок не признали. Возможно, я немного параноик? Интересно, что скажете вы.

Двойная аутентификация Вконтакте — секс или имитация? - 1

Читать полностью »

в 15:20, , рубрики: Законодательство и IT-бизнес, защита данных, мобильное приложение, разработка приложений, управление разработкой

В конце сентября на Хабре появилась заметка со ссылкой на чеклист для проверки приложений на соответствие европейскому законодательству в области защиты данных. В комментариях к заметке несколько человек высказали пожелание о переводе документа с немецкого на местное наречие. Ничтоже сумняшеся решил перевести данный документ на русский язык.

» Черновик перевода я оставил на GitBooks (просьба все правки по переводу добавлять прямо туда).
» Скомпилированная и готовая к боевому использованию версия документа может быть найдена тут.
» Оригинальная версия всё еще лежит здесь.Читать полностью »

в 10:58, , рубрики: xss, Веб, защита данных, защита сайта, информационная безопасность

Сначала разберем, что такое XSS и его виды.

XSS — Cross-Site Scripting — Одна из множества уязвимостей веб приложений, которая позволяет внедрить вредоносный код, на страницу.

Есть 2 типа XSS:

  1. Пассивная — XSS, которая статично находится на странице
  2. Активная — XSS, которая динамично отображается на странице, при определенном запросе

За несколько лет работы в сфере информационной безопасности, я смог набраться опыта и могу рассказать о некоторых нетипичных видах XSS. Данные типы уязвимостей довольно распространены на современных веб-сервисах, но к сожалению из-за своей необычности, они скрылись в тени.

Читать полностью »

в 8:16, , рубрики: Veeam, veeam backup, Блог компании «Veeam Software», виртуализация, защита данных, информационная безопасность, информация ограниченного доступа, конфиденциальная информация, персональные данные, резервное копирование, сертификация, системное администрирование, ФСТЭК

Сертифицированная ФСТЭК версия Veeam Backup and Replication: резервное копирование конфиденциальной информации - 1

В этом году мы получили сертификат ФСТЭК (ТУ+НДВ4) на версию Veeam Backup & Replication v8 Update #2. В этом посте я кратко расскажу о том, в каких случаях стоит выбирать именно эту (сертифицированную) версию продукта вместо обычной (не сертифицированной) версии, о ключевых отличиях нашей сертифицированной версии, и об общих требованиях законодательства к резервному копированию информации ограниченного доступа, не относящейся к гостайне.

Читать полностью »

в 9:08, , рубрики: EMV, NFC, nfc-платежи, бесконтактные платежи, Блог компании Gemalto Russia, защита данных, информационная безопасность, лояльность, лояльность клиентов, платежные системы

Чипованные платежные карты, использующие современный стандарт EMV, поддержанный такими гигантами, как Europay, MasterCard, VISA, American Express и JCB, постепенно прокладывают себе путь в кошельки наших сограждан. Однако, перед компаниями, как это часто бывает, встает вопрос по использованию наиболее эффективного решения для внедрения новой технологии.

Масштабируемые решения для EMV и мобильных NFC-платежей в закрытых сетях - 1
Читать полностью »

в 9:12, , рубрики: IBM, Блог компании IBM, защита данных, информационная безопасность

IBM QRadar помогает отслеживать внутренние угрозы информационной безопасности компании - 1

Один из наиболее распространенных способов проникновения злоумышленников в сеть компании — получение данных сотрудника компании с доступом к целевой сети. Данные этого пользователя добываются самыми разными методами, включая социальный инжиниринг, фишинг и malware. А поскольку пользователь с определенным уровнем допуска не вызывает подозрения, то злоумышленники с его данными доступа могут безнаказанно работать в сети предприятия долгое время. Порой, такой доступ сохраняется в течение недель или даже месяцев.

Сейчас наша компания разработала новое решение, которое позволит избежать подобной угрозы. Решение получило название IBM Security App Exchange. Это программа, расширяющая возможности платформы IBM QRadar. Она анализирует поведенческие шаблоны всех пользователей предприятия, имеющих доступ к сети, а также пользователей со стороны — партнеров, удаленных сотрудников и т.п. Если какой-то из пользователей начинает совершать необычные действия в сетевом окружении компании, IBM Security App Exchange проводит детальный анализ события или их совокупности сообщает о проблеме.
Читать полностью »

в 10:30, , рубрики: HTTPS, vpn, windows, wpad, защита данных, информационная безопасность, операционные системы, метки:

Исследователи рекомендуют срочно отключить протокол WPAD на Windows

Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN - 1Web Proxy Auto-Discovery Protocol (WPAD) — это протокол автоматической настройки прокси, который используется клиентами (браузером) для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. При совершении запроса браузером вызывается функция FindProxyForURL из PAC-файла, куда передается URL и хост. Ожидаемый ответ — список прокси, через которые будет осуществляться выход на этот адрес.

WPAD включен по умолчанию в Windows, поддерживается он и другими операционными системами. Но этот протокол подвержен ряду уязвимостей, что показали специалисты по информационной безопасности Алекс Чапман (Alex Chapman) и Пол Стоун (Paul Stone) на Defcon. Злоумышленники, используя эти уязвимости, могут получить данные жертвы (история поиска, доступы к аккаунтам, фото, документы и т.п.), несмотря на HTTPS или VPS соединения. Тип атаки, который применяется в этом случае — man-in-the-middle.
Читать полностью »

в 10:39, , рубрики: данные, Железо, защита данных, изолированные пк, информационная безопасность

Данные можно считывать, анализируя звуки, издаваемые жестким диском компьютера жертвы

DiskFiltration: необычный способ похищения информации с изолированного HDD - 1

Группа израильских ученых разработала новую технологию похищения данных с ПК, которые изолированы от интернета и локальных сетей с низким уровнем безопасности. Такой способ защиты компьютерных систем называется «воздушным зазором» (air-gap) и заключается в физической изоляции. «Зазором» считаются разного рода криптографические устройства, которые обеспечивают передачу данных по отдельному каналу связи или метод передачи информации на различных накопителях вместо передачи по сети.

Схожие методы ранее уже предлагались экспертами по информационной безопасности. Например, технология AirHopper, предполагает использование FM-модуля мобильного устройства для перехвата и анализа электромагнитного излучения графического адаптера ПК. Даже обычные кулеры могут стать источником утечки данных с ПК (метод Fansmitter). Метод получения закрытой информации, предложенный израильскими специалистами, получил название DiskFiltration.
Читать полностью »

в 10:39, , рубрики: данные, Железо, защита данных, изолированные пк, информационная безопасность

Этот метод позволяет получать информацию небольшого объема. Например, криптографические ключи

Данные с изолированного компьютера научились передавать по шуму жёсткого диска - 1

Группа израильских ученых разработала новую технологию похищения данных с ПК, которые изолированы от интернета и локальных сетей с низким уровнем безопасности. Такой способ защиты компьютерных систем называется «воздушным зазором» (air-gap) и заключается в физической изоляции. «Зазором» считаются разного рода криптографические устройства, которые обеспечивают передачу данных по отдельному каналу связи или метод передачи информации на различных накопителях вместо передачи по сети.

Схожие методы ранее уже предлагались экспертами по информационной безопасности. Например, технология AirHopper, предполагает использование FM-модуля мобильного устройства для перехвата и анализа электромагнитного излучения графического адаптера ПК. Даже обычные кулеры могут стать источником утечки данных с ПК (метод Fansmitter). Метод получения закрытой информации, предложенный израильскими специалистами, получил название DiskFiltration.
Читать полностью »

1...567...10...10
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js