В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
Этот пост будет более всего интересен для:
Началась эта история ранним осенним вечером. И началась она с того что, что одна из компаний, занимающихся решением контрольных работ и написанием дипломов для нерадивых студентов, полностью решила перенести свою деятельность в сетевое пространство. Уже загодя закрывались офисы по городу, и все исполнители работ приглашались на новый веб сайт. Получил это приглашение и герой нашей истории. Из всего произошедшего он сделал вывод – теперь он Фрилансер. По многим причинам его новая роль ему не нравилась. Невзлюбил он и сайт, благодаря которому лишился привычной для него подработки, прилично помогающей бедному студенту, и был вынужден платить уже за возможность оставить предложение по заказу. А что нам порой хочется сделать с ненавистными нам вещами? Правильно, сломать! Такая мысль пришла в голову и нашему Фрилансеру. Вечер обещал быть интересным.
Читать полностью »
Ошибку обнаружили сотрудники голландского сайта iPhoneclub.nl. Используя функцию iOS «Голосовой набор», возможно получить несанкционированный доступ к контактам, фотографиям на устройстве, а также отправлять электронные письма и СМС.
Графический пароль– метод разблокировки мобильных устройств путем выполнения определенных операций над сенсорным экраном, результатом которых является получение доступа к устройству. Речь пойдет именно о таких устройствах, т.к. в обычных персональных компьютерах обычно отсутствуют сенсорные экраны, а для аутентификации в программах чаще используется пара логин — пароль.
Динамический графический пароль — аутентификация пользователя на устройстве без отображения постоянного пароля, в каком – либо виде, так чтобы, например, посторонний человек не смог понять, что за пароль был введен, даже запомнив все действия которые легальный пользователь выполнил при вводе пароля, и даже запомнив динамический пароль, в данном случае речь пойдет именно о динамическом графическом пароле.
Читать полностью »
Компания Badoo, вслед за своими коллегами ― крупнейшими представителями IT-индустрии, такими как Google, Facebook и Яндекс, начинает платить за найденные уязвимости. Мы объявляем конкурс «Проверь Badoo на прочность!», который стартует 19 марта и продлится ровно месяц.
Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Мы платим за все найденные новые уязвимости.
Уязвимости будут ранжированы от 5-й (500 фунтов стерлингов) до 1-й категории (50 фунтов стерлингов) в зависимости от их критичности. Категорию критичности определяет жюри конкурса.
К тому же у нас есть специальный приз! По итогам конкурса 3 самых активных участника получат по 1000 фунтов. Если вы нашли что-то очень серьезное, то мы можем выдать супер-премию выше 500 фунтов.
Читать полностью »
Я приветствую всех, кто читает этот пост!
В последнее время мне стали часто задавать вопросы, связанные с SIEM. Окончательно добило общение с товарищем, с которым мы собрались вечером попить пивка и как-то незаметно перешли на тему, связанную с безопасностью. Он сказал, что они собираются внедрять SIEM — потому что «она помогает защитить инфраструктуру». И даже нашли людей, которые им соглашаются сделать это «за недорого и быстро». Вот тут-то я и насторожился… Как выяснилось, они думали, что внедрение SIEM разом избавит их от неприятностей вроде утечки данных, и к тому же будет недорогим и быстрым — мол, нашли систему, которая не требует настройки. Ну и дела, подумал Штирлиц, и решил накропать свои соображения по этому поводу, дабы отправлять вопрошающих к печатному источнику. Постараюсь быть кратким и охватить наиболее часто задаваемые вопросы.
Читать полностью »
В спорах и обсуждениях того, как защитить свой компьютер от зловредов сломано немало копий и на эту тему можно найти множество книг и статей, причем бОльшая часть из них просто дублируют друг друга, рассказывая одно и тоже разными словами. Тому, кто интересуется информационной безопасностью крайне сложно в таких обсуждениях и статьях встретить о защите что-то новое, чего раньше он не знал или просто не задумывался над этим… но, насколько это ни самонадеянно звучит, я все-таки постараюсь пробудить у вас хоть капельку интереса к этой избитой теме и расскажу именно о неочевидных способах защиты, опустив старческое брюзжание о том, что нужно вовремя обновлять плагины к браузерам, не переходить по левым ссылкам и т.д
В этой небольшой заметке о некоторых интересных особенностях функционирования зловредов я призываю вас отказаться от антивируса и от других способов самозащиты — обновлений, настройки программ и внимательности при переходе по ссылкам и запуске приложений… к слову «призываю» добавляем частицу «НЕ» и все будет на своих местах.
Привет, читатели! У меня к вам вопрос на пару минут. От ответа зависит то, какой инструмент для управления смартфонами сотрудников вы получите и что в него войдёт.
Есть такая тенденция BYOD (Bring Your Own Device) — это когда сотрудник приносит свой смартфон или планшет в компанию и говорит, что хочет делать с него рабочие звонки, читать корпоративную почту и ставить на него корпоративный софт. Проще говоря, он хочет работать с этим устройством в экосистеме компании.
Например, на новых Blackberry c ОС ВВ10 это выглядит так: вы свайпите вверх и можете выбрать корпоративную или личную область. В корпоративной области находятся рабочая почта, рабочие логины на сайтах, рабочие приложения и сертификаты, рабочие же документы, а в личной – ваша личная почта и личный рабочий стол. При этом, например, при уходе из компании, вы знаете, что корпоративная часть является собственностью корпорации и будет сначала удалена, а потом перезаписана на новую в новом месте, а личная остаётся вашей, и никак не может быть затронута.
Понятно, что для воплощения подхода BYOD для всех смартфонов нужно IT-решение и такие решения уже есть. Мы рассматриваем возможность внедрения платформы, которая позволит сделать управление девайсами сотрудников очень простым – через мобильный облачный сервис. И вопросы у меня по тому, что именно вы бы хотели в этом сервисе видеть. Читать полностью »
Добрый день, дорогой хабр!
Один из моих знакомых, с которым я работаю, часто использует сервис Clip2Net. Это удобно: делаешь скриншот, и он автоматически загружается в сеть, а ссылочка сразу идет в буфер обмена. И вот слал он мне скриншоты, слал, пока я не заметил одну интересную вещь. Оказалось, ссылки имели нечто общее, почти неуловимое глазу:
clip2net.com/s/2U4cw
clip2net.com/s/2U4cx
clip2net.com/s/2U4bA
А вы заметили приятную плюшку? Исходный код парсера картинок + разбор составляющих под катом.
Читать полностью »
Хотелось бы услышать мнение общественности по следующей теме. Недавно на глаза мне попалось объявление о том, что в Компьютерной академии «Шаг» стартует новый курс под названием «Информационная безопасность». Преподаватель курса, Бочаров Виталий Вячеславович, имеет общий стаж работы более 15 лет (почему-то не указано, в какой сфере) и обладает множеством сертификатов. Более подробная информация о курсе дана здесь:
itstep.dn.ua/informatsionnaya-bezopasnost.html
Стоимость обучения достаточно высока и колеблется от 14400 грн (если оплатить сразу весь курс) до 16300 грн (если оплачивать помесячно). В рублях это от 55 до 62 тыс. руб соответственно.
Всё бы ничего, но меня в этом курсе смутила одна маааленькая деталь – по моему скромному мнению этот курс ни о чём. Давайте более подробно рассмотрим программу обучения.Читать полностью »
