Рубрика «защита» - 10

Моей темой на семенаре была защита Cloud Computing Applications. Найти что-нибудь стоящее под данной теме было довольно сложно. Облако — новая технология, репутации которой никто не хочет вредить, а сама она только в последнее время начинает обрастать стандартами. Хорошо ли наличие стандартов или плохо для этого поста значения не имеет.

Одной очень хорошей бумагой, содержащей много информации о том, как компаниям, предлагающим облачные вычисления стоит организовывать защиту этих вычислений и хранимых данных стала Eckpunktepapier «Sicherheitsempfehlungen für Cloud Computing Anbieter».

Эта бумага была ниписа в сотрудничестве министерства по безопасности информационной техники Германии с поставщиками и потребителями/потенциальными потребителями облачных услуг. Эта одна из первых попыток ввести ясность в стандартизацию защиты при работе в облаке.
Читать полностью »

Как показывает практика — загрузка файлов (и в частности изображений) без надлежащего контроля приводит к образованию уязвимостей. В этой публикации рассмотрим практическую реализацию одного из вариантов безопасной загрузки изображений на сервер. Исходная постановка задачи предполагает возможность загрузки пользователем изображения на сервер и возможность дальнейшего его просмотра.

Для начала кратко основные шаги:
— производим отправку изображения с использованием XMLHttpRequest;
— проводим проверку загруженных данных на сервере на предмет «действительно ли это изображение»;
— проводим принудительное преобразование изображения в jpeg
Читать полностью »

Этим летом Лига защиты интернета начала проект экстренного оповещения об угрозах сетевой свободе типичным для сети способом — распространением информации и символики организации автоматизированными средствами. В частности, в качестве атрибута организации было выбрано изображение чёрного котенка с психоделическим взглядом.

Как оказалось, что фантазия активистов не закончилась на этом, а плавно переросла в реальную жизнь, причём весьма эффектным способом! Организация установила в Сан-Франциско и Нью-Йорке прожекторы и стала транслировать на облака или стены высокого здания изображение — символ своей организации подобно тому, как это делал Бетмен в серии фильмов «Тёмный рыцарь».

Лига защиты интернета будет оповещать о угрозах свободы Сети по примеру Бетмена

Читать полностью »

Привет! Мы плодотворно трудились над нашим продуктом, и сегодня я хочу поделиться новостями. Для тех, кто не читал предыдущих топиков (1 и 2), напомню, что мы разрабатываем онлайн сервис для защиты .NET приложений. Процесс обфускации происходит непосредственно в облаке по модели SaaS.

Расскажу немного о нововведениях.

Программа-клиент

Для тех кто обфусцирует свои программы постоянно мы существенно упростили этот процесс — теперь Вы можете воспользоваться специальной программой-клиентом для работы с нашим сервисом. Созданную конфигурацию можно сохранить в проект, и затем обфусцировать Ваши программы в один клик.

obfuscation program C#

Программа распространяется как OpenSource (лицензия MIT), все желающие могут ознакомиться с исходниками. В дальнейшем, мы планируем вынести API в отдельный модуль, для легкой интеграции с другими программами.

Программа пока бета, заранее приносим извинения за возможные баги.

Control flow obfuscation

В AppFuscator добавлен новый алгоритм защиты Control flow obfuscation — запутывание потока управления. Суть этого метода заключается в разделении алгоритма программы на отдельные компоненты и построение из них сложно-связанного графа переходов. В итоге логику работы кода понять становиться весьма не просто.
Читать полностью »

Перевод NIST SP800 125. Руководство по защите технологии полной виртуализации
На фоне общей тенденции сегодняшней ИТ-индустрии перехода к виртуализированной инфраструктуре и облачным вычислениям, перед предприятиями остро встает вопрос о безопасности такого перехода. Основными причинами некоторой неопределенности в этом вопросе для российских ИТ-специалистов и специалистов по безопасности – это небольшой опыт работы с данными технологиями и, главное, отсутствие руководящих документов и стандартов уполномоченных государственных органов.

Сразу оговорюсь: российский стандарт разрабатывается. Он будет именоваться «Защита информации. Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения». Проведение публичного обсуждения первой редакции указанного национального стандарта планируется провести в период с мая по июнь 2013 г. Ясно, что ждать его утверждения в ближайший год явно не приходится. В связи с этим, особую важность приобретают иностранные рекомендации, где опыт внедрения решений по виртуализации значительно шире.

Документ NIST SP 800-125 содержит наиболее общие рекомендации, на основе которых организациям можно и нужно разрабатывать свои политики безопасности.
Ввиду громоздкости документа для одного поста, здесь приведу только общие определения из «введения» и раздел «обзор безопасности виртуализации». Для желающих, ссылка на полную версию в формате docx.
Под катом много букв.
Читать полностью »

Приветствую тебя %username%

Давайте «спамить» дружно?
С момента, как за 4 часа после моего пробуждения я получил более 20 смс на телефон с разного рода предложениями от левых контор, моему терпению настал конец. В голове сразу же возникло желание борьбы.

Ничего лучше, чем идея «зуб за зуб» на тот момент не пришла. Я забил фидбеки сайтов контор из смс-спама, немного помучил колл центры своими звонками и гневными угрозами. На удивление, в течение двух последующих дней, смс от этих организаций валится ко мне перестали. Но всегда есть маленькое «но». Через два дня опять все повторилось.

Вот тут-то у меня и зародилась идея «коллективного сознательного»...Читать полностью »

Иногда бывает нужно найти какую-любо программу для тестирования, на уязвомости. Я составил свой список русскоязычных ресурсов по ИБ где можно достать (купить или бесплатно добыть) софт или услуги той сферы.
Читать полностью »

image
Привет! Все знают, какие неприятности порой доставляют внезапные проверки, и необходимо скоординировать действия сотрудников. Для этого в нашей компании было решено реализовать систему оповещения.
Читать полностью »

image
Привет! Все знают, какие неприятности порой доставляют внезапные проверки, при которых необходимо скоординировать действия сотрудников. Для этого в нашей компании было решено реализовать систему оповещения.
Читать полностью »

Недавно нами было анонсирован проект «ACE Stream», и вся ветка продуктов Torrent Stream скоро перекочует под эту марку. Это не просто смена бренда, а еще и новый вектор развития, с новыми возможности для применения и эксплуатации P2P технологии во всевозможных интернет-проектах. Несмотря на присутствие коммерческого вектора в проекте «ACE Stream» ( решения/продукты и услуги для коммерческих организаций ), некоммерческое направление также будет развиваться, и все возможности Torrent Stream по-прежнему будут доступны пользователю, а кроме этого, еще и значительно будут расширяться новыми возможностями, которые не только будут обеспечивать дополнительные удобства, но еще и будут на программном уровне защищать интересы своих пользователей и их спокойствие при использовании торрентов. Вот с одним из таких программных методов, внедрение которого позволит защитить наших пользователей от обвинений в скачивании, хранении и распространении контента, при использовании ими торрентов для проигрывания видео и аудио в онлайне, я бы и хотел всех ознакомить.

Возможно, кому-то наша цель покажется банальной, но при этом для многих пользователей Интернет она является очень актуальной и насущной.

Цель: Сделать онлайн воспроизведение через торренты, абсолютно безопасным для пользователя

Для тех кто не знает: одна из функций продуктов Torrent Stream ( ACE Stream ) позволяет проигрывать в онлане видео и аудио контент, через торренты, без необходимости ожидания загрузки всего файла. ( Пример одного из продуктов, который превращает практически любые торрент-трекеры в онлайн-кинозалы: Расширение для веб-браузераTS Magic Player

Сразу хочу сказать, что речь не будет идти о какой-то закрытой надстройки над протоколом. Полная совместимость с любыми другими торрент-клиентами!

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js