Страницы

Сходил на SEC511 Continuous Monitoring


SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником. В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию. Преподаватели наполовину местные, наполовину залётные, штатовские (их слушать, пока что, по-интересней, чем местных).

Вот и решил я сходить на недельные SANS курсы этим летом в 4х звездочный отель в центре Амстердама, который вел @BryanOnSecurity

Чего боится малварь...



Чего боится малварь?
Того, что её распотрошат на кусочки, вытащат статичный код, строки, таймстэмпы и имена переменных, нарежут всё это на сигнатуры и скормят антивирусам. Хорошая малварь живет буквально часы, потому что по каждому линку, который вы отправляете в соцсетях, или вставляете в письма, по каждому посещенному вами вебсайту или скаченному / выложенному в сеть файлу обязательно пройдется бот, который запустит файл в песочнице и проанализирует его поведение: пытается ли файл всё шифровать, ставит ли себя в автозагрузку, устанавливает ли новые сервисы и обращается ли к подозрительным IP. И если файл покажется боту подозрительным - хэш, C2C URL и IP будут добавлены в черный список и разлетятся по сигнатурным базам разных вендоров через биржи обмена IoC (Indicatorы of Compromise)  в течении нескольких минут, а сэмпл полетит на стол к аналитику для детального анализа.
Человек выпихнут из первой линии АВ ответа уже давно, именно это и позволяет АВ компаниям громко заявлять о тысячах тысяч проанализированных сэмплов и добавленных сигнатур в день. Все делают песочницы, MDDs (Malware Detonation Devices).

Эффективность песочницы напрямую зависит от того, как точно она может копировать тупого пользователя (который кликает по каждой ссылке и запускает все скачанные файлы на непропатченной XP), а жизнь малвари, соответственно, зависит от того, сможет ли она отличить мимикрирующий AI от теплокровного идиота.

EICAR аналог для IDS

EICAR - это строка, которая позволяет проверить работоспособность антивируса. Очень удобно - бросил файл, смотришь АВ лог, чинишь поломанные агенты.
К моему удивлению, EICAR аналог для IDS отсуствует, что, конечно, большой просчет вендоров.

Но исправить его можно с помощью паттерн пинга.

Администрация Сочи собирает ПДн банковских работников


Прислали краснодарские друзья. Если б не проверенный источник, подумал бы, что фишинг: обезличенные адресаты, содержимое не связано с темой, ящики на Яндекс и Мылору... жуть.
 

Мой ответ гражданке Гандалоевой:

Этот забавный TCP/IP


TCP/IP - это весьма любопытная штука. Все современные системы используют этот стэк (и особо не задумываются о переходе на IPv6, к слову), при этом в нём много атавизмов, по которым можно прямо проследить историю развития стэка и представить те далёкие задачи, которые ставили перед собой авторы.
Наверное, где-то есть музей TCP/IP (или Unix), где можно послушать байки тех времен. Я бы хотел в него попасть.

Позиция ЦБ по поводу банковской тайны в облаках


Задал вопрос регулятору "можно ли обрабатывать банковскую тайну в облаках?".

Получил ответ "мы не против, но в России".

Но что нужно ещё иметь ввиду:

  • п.1.2 397-П "Кредитная организация обязана обеспечивать размещение электронных баз данных на территории Российской Федерации."
  • п.7.7.3 СТО БР ИББС-1.0-2014 "СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2."

Т.е. облако подойдёт только отечественное. Ну и канал должен быть закрыт ГОСТом (тут, наверное, можно поспорить, но лучше не надо).

Вообще, конечно, ЦБ следует взяться за облака и выпустить РСку. Важный ведь вопрос.

Форк Ethereum Classic

Умный контракт - это скрипт, который может управлять деньгами. 
По настоящему интересным инструментом умный контракт делает платформа, которая обеспечивает его работу. Блокчейн децентрализован физически, политически и технологически, ДДоС-устойчив, даёт неотказуемость и временные метки за счёт использования стойкой криптографии. Не удивительно, что блокчейну пророчат межбанковский обмен ("замена SWIFT"), государственные реестры, сети кредитования, самоуправляемые организации и т.д. Возможности связки блокчейн+умные контракты, действительно, интересные.