Противостояние в Сети

Автор: admin от 4-04-2018, 10:50, посмотрело: 392

Противостояние в Сети

В технологии доминируют два типа людей: те, кто разбираются в том, чем не они управляют, и те, кто управляет тем, в чем они не разбираются.

Закон Мерфи



Когда тренд цифровой экономики летит к вам из каждого СМИ и буквально из каждой вещи, имеющей отношение к ИТ, логично задуматься о противостоянии в Сети, которое простирается от обычных споров по любому поводу, окрашенных честолюбием и личным эго, до борьбы с недозволенным и даже до борьбы без правил во имя чего-либо, причем любыми средствами. Последнее даже можно было бы назвать цифровой политикой, памятуя «по Ленину», что «политика есть концентрированное выражение экономики». Однако в цифровой реализации этих понятий, похоже, все обстоит ровно наоборот. Пока цифровая экономика ни шатко и ни валко разворачивается под знаменем «Индустрии 4.0», цифровая политика (вернее даже, цифровое противостояние) не только уже существует, но и сравнительно давно используется на практике, опровергая истины 100-летней давности. Что говорит об этом Интернет?



Кто только не трубил о «великом потенциале» ИТ в сфере политики и общественной жизни – ученые и выборные чиновники, политики и профессионалы. Идея технологического разрыва с прошлым – и окончания политики в том виде, как мы ее знаем, пришла в народ вместе с первым браузером в 1994 году, когда политики и активисты стали выходить в Сеть. Первым негативным последствием бурного развития информационно-коммуникационных технологий, включая и Интернет, стало появление новых форм международных конфликтов – вплоть до информационных и сетевых войн.

Категория: Информационная безопасность

 

Основной инстинкт бизнеса: грани корпоративной безопасности

Автор: admin от 4-04-2018, 10:50, посмотрело: 244

Вы когда-то пробовали внедрить в компании новые регламенты и инструкции? Если да, то наверняка знаете, какая буря возмущения обрушивается со стороны коллектива. Как минимум, вас начинают тихо ненавидеть, как максимум — появляются сплетни, какие-то немотивированные заявления об уходе и общая паника. Стоит ли откатывать процесс? Нет. Если появилось возмущение и сопротивление такому «ограничению свободы», скорее всего вы задели чьи-то интересы. И вроде вы не перегибаете, а вводите минимальные меры по защите, но по мнению части сотрудников, закручиваете гайки, насаждаете режим, давите авторитетом и перекрываете воздух свободы. Успокойтесь — вы на правильном пути. И перекрыв тот самый «воздух свободы», вы позволяете своей компании не про*****, а сохранить «полимеры». Потому что работаете с корпоративной безопасностью, которая в последние несколько лет изменила лицо. Так что давайте познакомимся с ней снова.



Основной инстинкт бизнеса: грани корпоративной безопасности
Нам очень нравится советский плакатный жанр. Там было много про технику безопасности. Бизнес вполне может переосмыслить промышленные советы. Не наступайте на грабли, загибайте гвозди — короче, работайте на опережение.

Категория: Информационная безопасность

 

Интеграция ActiveDirectory в консоль управления Aether

Автор: admin от 3-04-2018, 13:15, посмотрело: 374

Интеграция ActiveDirectory в консоль управления Aether


Автоматическая интеграция ActiveDirectory с новой консолью управления ИБ Aether позволяет быстро внедрять защиту и легко управлять ею.

Категория: Информационная безопасность

 

Система мониторинга как точка проникновения на компьютеры предприятия

Автор: admin от 3-04-2018, 11:35, посмотрело: 305

Это продолжение памятки про систему мониторинга Zabbix, опубликованной недавно в нашем блоге. Выражаем огромную благодарность пользователю Shodin, который внес значительный вклад в исследование и написал данную статью.



Системы мониторинга — это очень практичный компонент для управления сетевой структурой предприятия. Они позволяют видеть изменения, которые происходят с устройствами практически в реальном времени. А с ростом количества устройств в сети роль решения, которое способно централизованно управлять устройствами, многократно возрастает.



В самом простом случае хочется видеть доступность компьютеров, мониторинг работы устройств (например, свитчей по ipmi), видеть изменения в конфигурации оборудования и отправлять об этом оповещения.



Система мониторинга может многое. Но что, если злоумышленник попытается использовать ее возможности в своих целях? Может ли злоумышленник, благодаря возможностям Zabbix, осуществить атаки на хосты, мониторинг которых осуществляется при помощи Zabbix?

Страшно? Под катом рассмотрим, что может злоумышленник, имея доступ к системе мониторинга Zabbix, безопасности и конфигурации, которой уделено недостаточное внимание.

Категория: Информационная безопасность

 

QA в мобильном геймдеве или как выстроить процесс в инди компании

Автор: admin от 30-03-2018, 11:10, посмотрело: 298

Привет!

Сегодня я расскажу о создании отдела тестирования на примере небольшой компании, которая уже 3 года выпускает мобильные игры. Особенность в том, что компания не зависит от спонсоров и живёт за счёт денег, которые зарабатывает. И нам, как сотрудникам, важно делать то, что, на наш взгляд, будет нравиться пользователям. Есть возможность экспериментировать и работать на аудиторию, но, при этом, куда меньше времени на разработку продукта.

Необходимость в QA отделе появилась год назад и процесс тестирования мне необходимо было выстроить, не ломая при этом график релизов.

Тестирование в мобильном геймдеве: что такое и в чём проблема


QA в мобильной разработке выступает чем-то вроде секретной службы. Пока работает хорошо, никто не замечает, что тестирование проводится. Но стоит Акелле хотя бы раз промахнуться и комментарии к игре пестрят сообщениями разной степени разгневанности. В сущности, задача мобильного тестировщика — проследить за тем, чтобы в приложении был минимум заметных багов, а команды разработки чётко представляли себе смысл каждого релиза и работали на достижение результата.

Тестирование — фактор, который помогает улучшать продукт, но, при неграмотном использовании он будет ещё и нагрузочным элементом в системе, сильно задерживающим релиз. В нашей компании, на тестирование игры закладываются 2 рабочих дня: первый день — продукт тестируется и дорабатывается; второй день — игра проходит последние проверки и отправляется на маркет.

Процесс тестирования сталкивается со следующими проблемами:


  • Нет автоматизации тестирования

  • Разный подход к полному тестированию и тестирование фичи

  • Зависимость от других отделов. Провал сроков от других сотрудников сказывается на загруженности. Недели перегруженные релизами чередуются с неделями, когда релизов нет вовсе

  • Необходимость научиться находить недоработки геймдизайна или UI. Существуют ситуации, когда этап тестирования помогает отказаться от бесперспективной игры.

Категория: Информационная безопасность

 

Security Week 10: где спрятать майнер и краткий экскурс в даркнет-маркетинг

Автор: admin от 30-03-2018, 11:10, посмотрело: 244

Новость 1, Новость 2



Security Week 10: где спрятать майнер и краткий экскурс в даркнет-маркетингЛюбители халявной криптовалюты, кажется, дружно озадачились вопросом, куда бы спрятать майнер, чтобы его подольше не нашли. Как известно, там, где все банальное уже перепробовано, открывается простор для креатива. Так, некоторые умельцы нашли источник вдохновения в прекрасном лике голливудской звезды Скарлетт Йоханссон.



Охотники за Monero вписали код майнера прямо в фото звезды в формате PNG. Это позволило мошенникам не только самовыразиться, но и использовать для хранения зловреда легальный фотохостинг imagehousing.com. А заодно обмануть часть антивирусов.

Категория: Информационная безопасность

 

SecaaS как вид облачных услуг и другие стандарты проекта ГОСТ «Защита информации при использовании облачных технологий»

Автор: admin от 30-03-2018, 11:10, посмотрело: 364

SecaaS как вид облачных услуг и другие стандарты проекта ГОСТ «Защита информации при использовании облачных технологий»



В предыдущей статье «Всё по ГОСТу. Защита информации при использовании технологий виртуализации»
, мы упомянули про разработанный проект ГОСТ «Защита информации при использовании облачных технологий». Несмотря на то, что он уже не первый год лежит без утверждения, мы можем ориентироваться на него, как на источник информации о направлении деятельности регуляторов в сфере облачных технологий. Так же проект ценен систематизированным списком терминов, угроз и мер защиты облачных сервисов.



Начнем по порядку, как указано в проекте, ГОСТ устанавливает требования по защите информации, обрабатываемой с использованием облачных технологий. Поэтому предлагаю перейти к терминам и разобраться, что понимается в проекте под облачными технологиями и прочими терминами, встречающимися в данном документе. Заранее стоит отметить, что некоторые стандарты этого документа весьма спорные и временами противоречат сложившейся бизнес-практике.

Категория: Информационная безопасность

 

Умный «фейс-контроль»: алгоритмы машинного обучения для эффективного кэширования данных на SSD

Автор: admin от 30-03-2018, 08:15, посмотрело: 6222

Данная статья была представлена на конференции SECR2017, где получила премию Бертрана Мейера за лучший исследовательский доклад.



В этом материале руководитель исследовательской лаборатории «Рэйдикс» Светлана Лазарева рассказывает о новом алгоритме заполнения параллельного кэша в СХД, который основан на алгоритме машинного обучения.



Категория: Информационная безопасность » Криптография

 

Новая старая уязвимость: менеджер паролей Firefox уже 9 лет использует устаревший SHA-1

Автор: admin от 29-03-2018, 21:30, посмотрело: 175

Создатель AdBlock Plus Владимир Палант (Wladimir Palant) обнаружил уязвимость в браузере Firefox и почтовом клиенте Thunderbird, позволяющую подобрать их мастер-пароль путем перебора. Источник проблемы — используемый механизм хеширования SHA-1.



Подробнее об уязвимости ниже.



Новая старая уязвимость: менеджер паролей Firefox уже 9 лет использует устаревший SHA-1

Категория: Информационная безопасность

 

Как правильно составить отчёт о выявленной уязвимости

Автор: admin от 29-03-2018, 11:55, посмотрело: 308

Как правильно составить отчёт о выявленной уязвимости


Каждый, кто участвовал в программах по поиску уязвимостей (bug bounty), знает, что найденная «дыра» — еще не повод требовать денег и славы. Описание проблемы, инструментов для ее обнаружения – все это важно описать в грамотном отчете.



Мы перевели актуальную статью из блога американской компании Cobalt, которая предоставляет услуги пентестинга as a service. Исследователь Дэвид Сопас рассказывает о том, какие ошибки допускают пользователи и как на самом деле нужно писать отчеты, чтобы заработать реальные деньги, а не бонусные копейки.

Категория: Информационная безопасность