Страницы

while True: print "Study!"

 
Пока мы для защиты наших традиционных ценностей не отгородились окончательно от педофильского Запада, есть отличная возможность поучиться бесплатно ИТ дисциплинам у профессоров ведущих мировых ВУЗов через сайт coursera.org.

Обезличиваем "по-роскомнадзоровски"

Роскомнадзор выпустил методические рекомендации по обезличиванию персональных данных. На данный момент документ с сайта Роскомнадзора исчез по неизвестной причине, но почитать его можно здесь, а скачать распознанную версию тут (спасибо Алексею Комарову!).

Просмотреть хитрый многостраничный TIFF можно во встроенном обозревателе Windows Photo Viewer.


Осторожно! Криптовирусы!

В последнее время достаточно безобидные винлокеры  все чаще уступают место намного более опасным вирусам-шифровальщикам.
Попав на компьютер, такой вирус начинает зашифровывать файлы по маске *.doc, *.jpg, *.xls, базы 1С и так далее. В качестве алгоритма шифрования используются симметричные алгоритмы военной стойкости (AES, Blowfish). Ключ шифрования может генерироваться таким образом, что знает его только злоумышленник.

ГОСТ РО 0043-004-2013. Программа и методики аттестационных испытаний.


Сегодня мы будем препарировать очередной закрытый ГОСТ, раскрывающий самую сакральную процедуру в мире отечественной информационной безопасности - аттестацию.

ГОСТ РО 0043-001-2010. Ключевые системы. Термины и определения


Садитесь поудобней. Сегодня я расскажу вам об одном интересном закрытом ГОСТе:

  • ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения.

Совещание по безопасности в банке Уралсиб 26.11.2013



Интересность:       ▃ ▄ ▅
Организация:        ▃ ▄ ▅ ▆ ▇
Питание:               ▃ ▄ ▅ ▆ ▇
Программа мероприятия

26 ноября состоялось совещание банковских специалистов по безопасности, организованное банком Уралсиб. В совещании приняли участие около 80 банков края, представители ЦБ, ФСБ и УСТМ, а так же мы - специалисты компании РосИнтеграция. Всего около 120 человек.

На совещании обсуждался широкий круг вопросов - от выполнения требований ЦБ РФ (382-П, СТО БР ИББС), до кибербезопасности, борьбы с мошенниками, подготовкой кадров в области ИБ и работы ЧОП.

Альтернативная DNS - Namecoin


Вслед за успехом bitcoin лучики света начинают понемногу падать и на альтернативные криптовалюты, такие как litecoin, namecoin, novacoin, terracoin и так далее.
Оказалось, что платформа bitcoin может быть использована для абсолютно разных задач, так как распределенная база транзакций позволяет хранить разнообразную информацию, а майнинг гарантирует её целостность и достоверность. 

Сегодня я расскажу о Namecoin  - криптовалюте, сочетающей качества электронных денег с возможностью регистрации и обслуживания доменных имен в новой зоне ".bit".

ZeroNights. Домашняя работа по банковскому округлению.



В один прекрасный день мне попал в руки телефон с установленным клиентом AlfaBank, и я решил проверить на нем работу механизмов конвертирования и округления, как показывал Adrian Furtuna на ZeroNights.

Как украсть 100k евро

video
Посмотрите ролик. Подумайте. А я пока напишу, о чем кино.

Каждый банк желает знать где висит скиммер


Если вы читали мой пост про банковский семинар в Ростове, то любая подозрительная штука, установленная на банкомате, должна казаться вам скиммером. 
Правда жизни такова, что новый банкомат, оснащенный на заводе всеми современными антискимминговыми устройствами, практически никто не покупает. Покупают обычно опции по оснащению существующих банкоматов антискимминговым оборудованием (иногда даже этим занимается не вендор, а другая компания). Так как штатные места для установки такого оборудования могут отсутствовать, банкомат иногда "модернизируют" на месте.
Вот давайте посмотрим как защищает от скиммеров свои банкоматы Сбербанк.

Слишком много хардкора, или как я съездил на ZeroNights 2013


Интересность:       ▃ ▄ ▅ ▆ 
Организация:        ▃ ▄ ▅
Питание:               ▃ ▄ ▅


7-8 ноября состоялась уже 3 конференция ZeroNights (программа), организованная компанией DSEC (ERPScan). Это вторая по масштабам хакерская конференция в России, и от PHDays она отличается более низким бюджетом (нет ни онлаин трансляции, ни записи), меньшим количеством докладов и параллельных секций и ориентацией на "реальную безопасность" (то есть на молодых хакеров возрастом до 25 лет).

Репутация в век цифровых технологий

Как вы поступите, если захотите узнать отзыв об отеле, куда собрались в отпуск, или о новом смартфоне?
Как вы решите идти вам в кино на новый фильм или нет?
А что вы сделаете чтобы проверить информацию о кандидате на работу или контрагенте?

Я вот обязательно загуглю!

Реквием по Орбите


Сложно найти в Краснодаре ИТ компанию, которая была бы никак не связана с Орбитой. На протяжении десятилетия ЗАО "Орбита" (она же ФГУП НТЦ "Атлас" (ФСБ России), ГК Россигнал, ООО "Гипроком" и другие) была настоящей кузницей кадров в области ИТ и ИБ для города и края. Студенты кафедры КТиБ краснодарского Политеха приходили на работу в Орбиту целыми группами. Это был первый краснодарский ИТ интегратор который вышел на федеральный уровень. Инженеры Орбиты катались по всей России - от Сахалина до Калининграда, от Дербента до Петрозаводска. Игорю Викторовичу Алексееву удалось построить компанию, которая в отдельные годы практически монополизировала рынок ИБ в ЮФО.

Но эпоха Орбиты закончилась. Работы заморожены. Счета арестованы. Сотрудники массово переходят целыми отделами к бывшим конкурентам.

Как такое могло произойти? Давайте вместе попробуем пролить свет на эту историю!

Семинар Юго-Западного Сбербанка по безопасности банкоматов и ДБО


Интересность:       ▃ ▄ ▅ ▆ 
Организация:        ▃ ▄ ▅ ▆ ▇
Питание:               ▃ ▄ ▅

В пятницу 25 октября мне довелось выступать на семинаре Сбербанка, посвященном вопросам противодействия кардерам и мошенничеству в системах ДБО.
С программой семинара можно ознакомиться тут.
Семинар проходил в шикарном ростовском зале Юго-Западного филиала Сбербанка и собрал около сотни специалистов по безопасности с Кубани, Ставрополья и Ростовской области.

Самая "приятная" реклама

Оказывается сеть bitcoin можно использовать для рассылки спама!

Заводим безопасный кошелек Bitcoin


Курс bitcoin снова пошел в гору, и это отличный повод, чтобы поделится парочкой пароноидальных советов по поводу безопасности вашего биткоин кошелька.

Собственно хранить кошелек (файлик wallet.dat) либо ваш закрытый ключ нужно как зеницу ока, ибо если у вас его украдут - ваши деньги пропадут окончательно и безапелляционно. Уж такова особенность децентрализованной системы - жалобы писать некому.

Следим за всеми с помощью Microsoft Word

А устроим-ка мы свое АНБ.. с блэкджэком и шлюхами!

Наверное, всем интересно, куда в конце концов попадает ваше резюме, или каким конкурентам заказчик сливает ваше тэкапэ, или слил ли уже кто-то с вашего сервера вашу бэдэ и т.д.

Решить эту проблему можно с помощью старого доброго Мелкомягкого Слова!

Как обезличить миллион

─────█─▄▀█──█▀▄─█─────
────▐▌──────────▐▌────
────█▌▀▄──▄▄──▄▀▐█────
───▐██──▀▀──▀▀──██▌───
──▄████▄──▐▌──▄████▄──

Эти рекомендации по обезличиванию были разработаны в рамках ПП211, устанавливающего перечень мер по обеспечению безопасности персональных данных в гос.организациях.

С этим документом связана одна интересная история

Чистим офисные документы от метаданных


Метаданные (metadata) - это служебная информация, которая хранится наряду с полезной информацией и обычно не отображается пользователю. Метаданные обычно включают в себя:
  • информацию об авторе документа;
  • информацию об используемом редакторе и плагинах;
  • дату и время создания/изменения документа и т.д.
Отличный гайд про метаданные доступен на сайте Guardian (eng).
Microsoft Office всегда сохраняет эти сведения в любом своем документе, и это нельзя никак отключить, но можно исправить. 

Гуглопехтинг

Частенько можно встретить ситуацию, когда у отдельного чиновника или даже у целой государственной организации официальный почтовый адрес расположен на серверах бесплатной почты mail.ru, rambler.ru, yandex.ru и даже gmail.com.

Чем грозит использование, например, гуглопочты?

Загадка


А давайте поиграем в игру! Я буду загадывать загадки, а вы - разгадывать!

Ну что, начнем?

Про наше облачное будущее


Сложно устоять перед облаками. Удовольствие от удобства притупляет страх от потери контроля. Люди перестают задумываться о том, какая информация действительно остается у них на компьютере, а какая уже уплыла... куда? Да куда угодно, в облака!
Все реже и реже пользователи обмениваются информацией напрямую. Все чаще и чаще между ними встряёт посредник - сервер, надзирающий над процессом обмена, ведущий логи.

Модной тенденцией среди коммерческих компаний является миграция в облака - Google Apps, Яндекс.Почта для домена, файловые облака dropbox, skydrive и т.д.

К чему это может привести? Давайте посмотрим.

Расчёт по 382-П v1.2

Продолжаю выравнивать себе карму, погнутую пиратским программным обеспечением, безвозмездной раздачей сообществу средств автоматизации аудита по 382-П.

Встречайте версию v1.2!

Что новенького? 


  • учел свеженькое указание ЦБ РФ от 5 июня 2013 г. N 3007-У;
    • добавлено 8 новых вопросов;
    • подправлены формулы расчета показателей и скрипты построения шкал, чтобы учесть возросшее количество вопросов;
    • появился "тип шкалы" у 109 вопроса (в прошлый раз ЦБ его забыл проставить);
  • снят пароль с VB макросов (теперь настоящий opensource!).
Некоторая информация по использованию файла есть в старых топиках: (1, 2).

Отзывы/предложения/комментарии/сообщения о глюках приветствуются!

Тварь ли я дрожащая, или право имею?


Именно общение явилось той движущей силой эволюции, которая подарила нам большой головной мозг. Необходимость моделирования поведения коллег-обезьянок для более эффективной работы в стае привела нас к развитию самосознания. Жизнь в стае дала возможность развиться специализации, мастерству и творчеству. С каждым технологическим прорывом человек получал все более широкие возможности для общения, что неминуемо вело к росту качества жизни.
Сегодня Интернет дарит нам безграничные возможности для общения и невиданную свободу для творчества. Давайте за эту свободу бороться!

Вредные советы про пароли


В любой компании и у любого специалиста по ИБ есть свой набор правил в отношении паролей. Пароль должен быть уникальным, длинной не менее 6/8 символов, включать строчные и заглавные буквы/цифры/спецсимволы и меняться каждые 30/60/90 дней.

Редко где эти правила соблюдаются, однако приказ есть приказ, и служба ИБ начинает активно "пилить" нерадивых пользователей...

Дам ка и я пару советов...

РД ФСТЭК по КСИИ

В нашей нормативке по ИБ чёрт ногу сломит. Если ещё учесть и то, что большая часть документов ФСТЭК имеет гриф "для служебного пользования", то ситуация начинает вообще напоминать то ли комедию, то ли трагедию.
Дспшный документ так просто не достанешь: вначале нужно пронюхать о его существовании, затем найти место где его можно достать, потом за него нужно заплатить и пару месяцев подождать пока его вам привезут.
Иногда документ приходит к вам в виде симпатичной цветной книжечки, иногда в виде стопки прошитых ксерокопий. В большинстве случаев после прочтения документа у вас в голове будет вертеться всего один вопрос - зачем всё так усложнять? К сожалению ответ вероятнее всего банален - торговля цветными книжечками приносит деньги, ну и помогает сакрализовать работу ИБэшника, что дает последнему возможность выигрывать в спорах с сисадминами ("Надо делать так, потому что так написано в закрытом документе, который я тебе не имею права показывать.").

Тема защиты ключевых систем информационной инфраструктуры редко всплывает в сети, поэтому я решил написать небольшой пост о структуре документов по КСИИ, в надежде, что блуждающий по выдаче поисковых систем путник зайдёт сюда и все поймёт.

То, о чём все знают..

Безопасность интернета основана на https. Надежную защиту каналов связи, на которую опирается вся коммерция, почта, социальные сети и т.д., удалось построить благодаря инфраструктуре открытых ключей (PKI). На каждом клиентском девайсе существует жестко зашитый перечень удостоверяющих центров, сертификатам которых наше устройство верит и разрешает подписывать защищенные вебсайты. Если вдруг кто-то захочет перехватить ваш трафик и устроить MITM атаку - браузер тут же вас предупредит.

О дыре в 17 приказе ФСТЭК


Регуляторы регулировали, регулировали, да не вырегулировали....

С того момента, как в сети появилась информация о том, что ФСТЭК разрабатывает новый документ на замену СТР-К, я не переставал надеяться, что мы, наконец-таки, получим руководящий документ, который станет фундаментом для всей деятельности по защите конфиденциальной информации. Я надеялся, что новый документ заменит РД 20 летней давности и уберет из лексикона ИБэшника такие термины, как наводка, программный останов, специсследования и т.д.
Но этого не произошло. Вместо широкопрофильного руководящего документа мы получили узкоспециализированный приказ, перекрывающий только малую часть информационных систем даже в государственных структурах.

Как я стал мэром Краснодара

Foursquare  - это очередная соцсеть, но с уклоном в геопозиционирование. Вместо того, чтобы делится с друзьями фотками того, что ты ел на обед, пользователи обмениваются информацией о том, где они это ели и с кем.
Foursquare имеет клиентов для Android и iOS и требует для своей работы GPS.

Запрыгиваем в уходящий поезд

Те кто увлекся темой Bitcoin знают, что криптовалютный мир стоит на пороге революции. Уже десяток компаний вплотную приблизились к тому, чтобы выплеснуть на рынок специализированные устройства на базе ASIC, предназначенные только для одной цели - добычи bitcoin.

ДСПшный ГОСТ 0043-003-2012 по аттестации объектов информатизации

И всё-таки с документами у нас беда.
Почти 2 года назад вышли поправки в 152-ФЗ, меняющие подход к защите информационных систем персональных данных и требования к системам защиты. Спустя полтора года вышло соответствующее Постановление Правительства. Спустя еще 3 месяца вышли документы ФСТЭК, определяющие правила игры всей отрасли ИБ на ближайшие пару лет. Уже 4 месяц эти документы лежат в Минюсте и неизвестно сколько им ещё там лежать... 

Получается классическая для нашей страны ситуация - закон есть, контролер есть, штрафы есть, а требований уже почти 2 года как нет, и когда будут - никто не знает.

Майним bitcoin!


Я уверен, что наше поколение потомки будут помнить, как эпоху в которой родился Интернет. 
Интернет 1.0 создал всю необходимую информационную инфраструктуру для обмена знаниями  в реальном режиме времени. Интернет 2.0 наполнил сеть социальными графами, научил нас "лайкать" и "френдить". Интернет 3.0 предоставит прямой доступ к запрашиваемым благам, ликвидировав спекулянтов-посредников (таких как риэлтеры, дистрибьюторы, дропшипперы и т.д.).
Необходимым условием существования последнего является наличие электронных денег.

К 9 мая


Нет в человеческой истории темы интересней, чем тема Второй мировой войны. Мемуары участников читаются как романы, историческая хроника полна подвигов и предательств, технические решения - просты и гениальны.
Огромные потери нашей страны обернулись для нас величайшим сокровищем - Победой, которая уже второй век питает наши сердца и души.
Напоминание о Победе сегодня мы видим на каждом шагу. Тема войны и Победы уже настолько всем хорошо известна, что мало кто её изучает глубже, чем странички в Википедии.
А ведь и сегодня вопросов тут больше, чем ответов.

Вот я и решил тут собрать те произведения о войне, которые мне запомнились и которые стоит прочитать.

Помогаем Роскомнадзору защищать права граждан

Когда я писал статью про паспорт, то наткнулся на один гуглозапрос, который вывел меня на базу данных Ространснадзора по Краснодарскому краю.
База содержала свыше 3000 уникальных записей физлиц, получивших лицензию на перевозку людей.
В базе было ФИО, телефон, адрес, серия и номер паспорта, кем и когда выдан.
Изюминкой утечки было то, что сведения эти располагались на сайте надзорного органа, что гарантировало 100% точность, актуальность и постоянное обновление базы.

Два облака

Все пользуются облаками! По моим подсчетам, у меня уже около 50 гигабайт информации залито по разным облакам. В основном фото и видео, но есть и рабочие файлы и личные бэкапы. Я долго думал, насколько это правильно - доверять ценную информацию облакам. Но после того, как у одного моего друга украли с рабочего места жесткий диск с бэкапами семейных фоток, а у другого обворовали квартиру с тем же эффектом, выбор мой был предопределен.
Думаю, сегодня одну известную цитату я бы теперь произносил так: "Всё своё ношу с собой, а остальное храню в облаках" :)

Низкоорбитальная Ионная Пушка. Урон и техника безопасности.

В марте прошлого года в нашей стране прошли президентские выборы, которые лично мне запомнились тем, что при наличии всего одного реального кандидата, отличились значительным уровнем фальсификаций.
Эпицентр последующих возмущений пришелся на соц.сети, в которых начали спонтанно и организованно появляться оппозиционные группы. Вскоре на ютюбе было выложено вот такое видео от "Анонимусов", которые призывали DDoS'ить сайты правительства и президента с помощью LOIC'а (сейчас ссылка на LOIC убрана). Под видео была подробная инструкция откуда скачать, куда и что вбить и что нажать. Где то там есть и мой комментарий о том, что не надо подставлять людей под 273 статью. Вообщем, как в воду глядел :) (бац, бац).
Два красноярских "хакера" получили приговоры (Никитин, Спасский) по ст. 273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ" за атаку типа отказ в обслуживании на правительственные сайты. И в этих приговорах есть несколько интересных моментов...

AdBlock для LG SmartTV своими руками

Я уже много лет не смотрю зомбоящик, однако для просмотра ХД торрентов и для PS3 дома у меня есть телевизор, подключенный в домашнюю локалку ради DLNA и ютюба. 
После очередного обновления микропрограммы ради беспонтовых плюшечек, эта зараза стала показывать мне рекламу прямо в меню!
Конечно, показывать рекламу своим пользователям без возможности её отключить - это откровенное скотство со стороны LG, и я надеюсь, что от моих лучей ненависти у них там кто-нибудь останется импотентом, ибо такие "гениальные" способы монетизации своих продуктов должны умереть в зародыше, пока не заразили всю индустрию...
Самое меньшее, что я могу теперь для них сделать, так это рассказать всем как эту рекламу можно отключить.

РЖД и ПДн

Не так давно на Хабре поднималась тема про персональные данные и РЖД (пост прикрыли, но вот зеркало). Так вот, помимо кучи дыр, меня заинтересовали "замечательные" условия обработки персональных данных, размещенные на сайте rzd.ru .

382-П. Автоматизируем дальше.


Вот наконец руки дошли до еще одной оптимизации файлика по расчету показателей безопасности по положению Банка России 382-П. 

Дубликат бесценного груза

А какие персональные данные вы бы назвали самыми ценными? Сведения о "здоровье и интимной жизни" слишком индивидуальны и неконкретны, сведения о банковской карте - это скорее платежная информация банка, а не перс.данные (ибо карта - собственность банка), сведения о религиозной и политической принадлежности - их пока еще можно в секрете не держать.

Что на самом деле случилось с УЭК


Как мы знаем, Правительство сворачивает самый амбициозный и инновационный проект последних годов - Универсальную Электронную Карту. Внедрение УЭК должно было сильно упростить предоставление гос.услуг, резко расширить спектр электронных услуг и снизить коррупцию за счет прозрачности всех процессов.
Официальная причина сворачивания проекта - регионы не потянут расходы на его запуск. По расчетам правительства, суммарные затраты на внедрение УЭК за 5 лет должны были превысить 100 млрд.рублей, что всё же заметно меньше 1.5 триллиона рублей, потраченных на Олимпиаду...
Есть один любопытный момент в этой теме,  который имхо внес свою лепту в развал УЭК...

Почты России


В нашей стране существует две Почты России. Первая - та, которую показывают в СМИ - это федеральная корпорация с современными автоматизированными сортировочными центрами, самолетами, Стратегическими Программами по Модернизации и чиновниками, которые знают, что "есть определенные проблемы, но уже проработали пути их решения и в ближайшее время бла-бла-бла...".
Вторая Почта России - это тысячи отделений, не видавших ремонт с советских времен, в которых работают сотрудники предпенсионного возраста, стоят вечные очереди и реализован "принцип одного окна" - из 4-6 окон работает только одно. 
Вторая Почта России теряет письма и посылки, частенько превышает все разумные и неразумные сроки доставки, зато на обед уходит строго по расписанию.

Самое интересное происходит когда эти две почты встречаются...

"Cyber is the next Nuclear" или кому нужны кибервойны?


Допустим, вы шеф самой крупной и самой секретной разведки в мире. Вы держите мир в своих ладонях много лет. Но в 2010 году вы решаете взвалить на свои плечи управление Кибер Командованием США, которое теперь располагается по соседству со штаб квартирой АНБ.
Вы активно популяризируете идею киберобороны и кибероружия и даже выступаете в футболке на хакерской конференции (вам недавно стукнуло 60 и у вас 14 внуков!)! 

Зачем это вам? Зачем делать всё для того, чтобы привлечь внимание всего мира к созданию новейшего и секретнейшего военного подразделения - USCYBERCOM?

Если к вам идёт проверка из ФСБ по ПДн...

Если вы работаете в государственном предприятии, то есть определенная вероятность того, что в одно прекрасное утро к вам на стол попадет распоряжение ФСБ о проведении плановой выездной проверки соблюдения требований к обеспечению безопасности персональных данных (в т.ч. материальных носителей биометрических персональных данных).


На что следует в первую очередь обратить внимание?

Красный Октябрь и СОПеЛьКА

Обнародование "сенсаций" накануне принятия важного нормативного акта уже стало определенной традицией в нашем законодательстве.

Не так давно в преддверии принятия важных, спорных и скандальных поправок в 152-ФЗ "О персональных данных", по СМИ прокатилась волна публикаций про утечку персональных данных через Яндекс с сайтов РЖД, Мегафона и других. Буквально через месяц все стихло, и виновники отделались символическим штрафом от Роскомнадзора - в 30 тысяч рублей.

Похожая ситуация повторилась и с федеральной системой обнаружения компьютерных атак. 

Чем короче, тем лучше!

Сегодня популярным стало использование всевозможных сокращателей ссылок - link shortener'ов: t.co, goo.gl, bit.ly... перечислить их все у меня врядли получится...
По сравнению с классическим способом обмена URL'ами, использование ls имеет ряд существенных плюсов:
1. более короткий URL легче передать по телефону/набрать в смс;
2. из более короткого URL'а получится более красивый и компактный QR-код;
и, наконец, сокращатели ссылок позволяют отслеживать статистику посещений. 
Добавьте к любой ссылке, вида http://goo.gl/fb/ijgg6 в конце "+", и вы увидите всю статистику по кликам и не только. Абсолютно так же можно узнать статистику и от bit.ly.
Сегодня я расскажу вам как сделать свой собственный link shortener с поддержкой статистики и многим другим. Все, кроме доменного имени, будет сделано бесплатно.