29 ноября 2011 г.

Безналичная безопасность

Платежные карты уже прочно вошли в нашу повседневную жизнь и стали удобной альтернативой классическим наличным платежам. Преимущества безналичных средств очевидны — удобство расчетов, простота конвертации в валюту и безопасность владения. Но с исчезновение необходимости в хранении больших сумм наличных, тем самым существенно снижая риски кражи наличных средств, использование платежных карт несет в себе новые виды угроз — компрометацию данных карт, также ведущую к прямым финансовым потерям.

Читайте далее на bankir.ru

25 ноября 2011 г.

CTF news

Прошел RuCTFe ставший одним из самых масштабных из классических CTF (99 команд участников, 68 команд набравших очки). SiBears уступив 2-м немецким командам заняла 3-е место.

* * *

Начало декабря обещает быть интересным:
2 декабря: iCTF - одни из первых CTF соревнования организуемые товарищем Giovanni Vigna.
4 декабря: SchoolCTF 2011 - школьные соревнования по защите компьютерной безопасности на базе BlackBox от SiBears. Все кто старше приглашаются участвовать вне зачета.
10-11 декабря: PHD CTF Quals - отборочный этап PHD CTF. Позитивное мероприятие.

* * *

Кстати о BlackBox:
1. Проект стал 2-х язычным, задачи теперь можно добавлять на русском и английском языках, BB сам определит кому что показать.
2. Каждый участник теперь может создавать свои собственные соревнования на базе BB.
3. Проект осоциалился, теперь новость, задачу, соревнования можно порекомендовать в популярных социальных сетях.

10 ноября 2011 г.

Конкурс на взлом CmStick

Компания WIBU-SYSTEMS организует конкурс на нахождение способа использования программного обеспечения, защищённого аппаратным ключом CmStick собственного производства.
По моему хорошая CTF задачка за неплохой куш.

1 ноября 2011 г.

Конференция «Разработка ПО: Банки»

Вчера выступал на конференции CEE-SECR 2011 «Разработка ПО: Банки»

Презентация с выступления:

Из реплик из зала понравился комментарий к выступлению Алексея Синцова: "т.е. вы предъявляете требования к разработчикам на уровне выступающего на Defcon или уровне участника RuCTF!". Хакердом, это уже популярность :)

22 сентября 2011 г.

Новые услуги – новые угрозы

Еще буквально пару десятков лет назад выход в интернет или звонок по мобильному телефону были целым событием, действия, которые сейчас вошли в нашу обыденную жизнь, казалось, только сошли со страниц фантастических романов. Развитие информационных технологий стремительно меняет привычки людей и в следствие влияет на развитие новых услуг под возникшие спросы.

Банковская сфера — хороший пример произошедших изменений. Пластиковые карты, мобильный и интернет банкинг, системы дистанционного обслуживания практически стандарт де-факто более-менее крупных банков. Развитие новых технологий омрачается лишь тем, что параллельно всегда идет развитие новых видов мошенничества, угроз и рисков использования данных систем. Защитные меры же, как правило, применяются по факту обнаружения нарушений, а не с превентивными мерами.

читать дальше на Bankir.ru

12 августа 2011 г.

IV четвертые в мире.


Российская команда IV, объединение из 4-х CTF команд (Hacerdom, Smoked Chicken, Leet More, SiBears), заняла 4 место на Defcon CTF, крупнейшей и старейшей конференции по компьютерной безопасности.

Несмотря на то, что часть команды не смогла приехать на финал из-за проблем с визами (я оказался в числе неудачников), ребята показали отличные для дебютанта результаты.

Отдельное спасибо хотелось выразить компаниям "СКБ Контур" и "Информзащита" за содействие в поездке свои сотрудников из состава команды.

Upd: отдельно хочется процитировать твиттер Марата:

"Японская команда первый раз в финале DEFCON CTF: сразу и NHK, и TBS приехали сюжет снимать. Интервью, гордость, все дела..."
"Российская команда занимает 4 место на всемирных соревнованиях - ни одного упоминания. Не говоря уж о репортаже"
"Наша команда опередила таких бизонов как Carnegie Mellon, UCSB, POSTECH-Pohang, японских, испанских и американских профи в инфобезе"

Upd2: Ребята написали хорошую статью на Хабре

Upd3: Организаторы (ddtec) жгут (за инфу спасибо snowytoxa):
> It was great having you guys there, and congrats on the strong showing in
> your first year. Maybe next time there will be more time to hang out (and
> you need to make sure you don't drink all the imported vodka before the
> weekend!).

2 августа 2011 г.

ПорнографиЯндекса

По сообщению lenta.ru поисковая система "Яндекс" внедрила систему piFilter для фильтрации порнографических изображений.

Я сразу повторил запрос 4-х летней давности, когда мне нужно было в рекламных целях изображение школьников и школьниц. Мнения относительно порнографии у меня с piFilter разнятся.

26 июля 2011 г.

Еще раз про robots.txt

В свете всем известных событий с индексированием Яндексом sms Мегафона в сети стали появляться статьи о важности, нужности и полезности robots.txt.

Самое интересное, что при этом никто не говорит об обратной стороне медали. Закрыв доступ поисковым системам, файл порой открывает все пути для злоумышленников.

Куда приятнее использование метода запрета индексации с помощью мета-тегов:
meta name="robots" content="noindex,nofollow"
обеспечивающего запрет как на индексирование самой страницы, так и следование по ссылкам, расположенным на ней.

14 июля 2011 г.

Платежные приложения должны стать безопасными

Стандарты индустрии платежных карт в наше время уже не являются чем-то пугающим и непонятным, хотя буквально несколько лет назад стандарт PCI DSS (Payment Card Industry Data Security Standard, Стандарт безопасности данных индустрии платежных карт) был для многих организаций, обрабатывающих данные платежных карт, чем-то совершенно новым и по ощущениям совершенно невыполнимым.

«Краеугольным камнем» невыполнимости требований стандарта PCI DSS всегда были прикладные приложения, обеспечивающие процесс обработки данных карт, которые не только не способствовали, но и во многих случаях прямо противоречили и препятствовали внедрению стандарта, отказываясь работать в PCI DSS совместимой среде. К примеру, программное обеспечение переставало нормально функционировать при установке обновлений базы данных или операционной системы, конфликтовало с антивирусным обеспечением, не работало при использовании межсетевого экрана. Основной же проблемой программного обеспечения являлось сохранение критичных данных авторизации, в том числе содержимого треков магнитной полосы, значений ПИН-кодов и кодов проверки подлинности, а так же хранение номеров карт в открытом виде.

Читайте далее на bankir.ru

6 июля 2011 г.

Открытое письмо Президенту по поводу внесений изменений в ФЗ-152

Открытое письмо Президенту Российской Федерации Д.А. Медведеву

Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.


Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.


Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

06.07.2011

Подробности в блоге Алексея Лукацкого

Отправить письмо президенту можно здесь.

27 июня 2011 г.

«Сибъ Цтфъ»

Команда Томского государственного университета SiBears объявляет о проведении соревнований по защите компьютерной информации «Сибъ Цтфъ». К участию приглашаются команды, представляющие любые (научные, учебные, профессиональные, дружеские и др.) коллективы и состоящие не более, чем из 7-и человек. Допускается участие как команд из России, так и зарубежных команд.

Соревнования «Сибъ Цтфъ» проводятся в два тура — отборочный и финальный. Отборочный тур проводится заочно, по сети Интернет, финальный — очно для команд из России и заочно для зарубежных команд.

Отборочный тур состоится 2-го и 3-го июля 2011 года. Время начала: 22:00 по томскому времени (GMT+7), продолжительность: 48 часов. Регистрация доступна на сайте: http://blackbox.sibears.ru/

16 июня 2011 г.

Обзор услуг ИБ для банков в 2010 году

В 2010 году рынок услуг информационной безопасности не только вернулся на прежние показатели, но и значительно превысил их. Требования регуляторов, стремительное развитие мобильных технологий, введение новых сервисов напрямую повлияло на потребность банков в качественных и специализированных услугах. В 2011 году, несомненно, стоит ожидать продолжение роста рынка услуг, пусть и менее стремительного, а также спроса на новые виды услуг, связанных с безопасностью виртуальной среды, облачных вычислений и мобильных платформ.

Читать дальше на cnews

6 июня 2011 г.

Четыре!

По иронии судьбы, команда "IV" заняла 4-е место на отборочных Defcon 2011, завоевав путевку в финал и стала первой российской командой пробившейся на самые старые и почетные Defcon CTF.

Подробнее в виде графиков и в виде картинки

HackerDom, Leet More, SiBears, Smoked Chicken!

В Августе едем в Вегас; по вопросам спонсорства пишите на babenkoalex{@}gmail.com

Upd: информация на сайте организаторов

31 мая 2011 г.

Отборочные Defcon CTF


В предстоящие выходные состоятся отборочные соревнования на Defcon CTF, которые по традиции будут проходить в виде решения задач по категориям. Продолжительность соревнований 53 часа.

Регистрация на соревнования доступна на сайте организаторов ddtek

Defcon CTF по праву считаются самыми престижными CTF соревнованиями и собирают максимальное количество участников. На данный момент ни одной из российских команд не удавалось пробиться в 10-ку команд финалистов.

20 мая 2011 г.

PHD CTF

Сегодня играл в составе SmokedChicken на PHD CTF. Впечатлен, такого уровня мероприятия по ИБ я у нас еще не видел, все отлаженно, красиво и интересно с первой минуты до самого конца игры.
Спасибо всей позитивной команде организаторов за чудесное мероприятие.

3 мая 2011 г.

black-black-box!


В бета версию вышел проект Blackbox - место для он-лайн тренировок команд CTF в решении тасков.

Идея проекта нацелена на активное участие всех как в решении, так и в создании задач.

Пока сайт находится в стадии тестирования, но уже вполне работоспособен.

Оперативные новости о проекте тут.

25 апреля 2011 г.

Единый подход к достижению соответствия

В современных реалиях на плечи службы информационной безопасности возлагается не только роль в обеспечении и поддержании необходимого уровня безопасности, но и выполнение требований регуляторов, как со стороны государства, так и со стороны коммерческих структур.

В общем случае на предприятия банковской сферы распространяется стандарт PCI DSS, возлагаемый международными платежными системами, и комплекс стандартов Банка России ИББС (либо требования к защите персональных данных, согласно «классическому» подходу, через выполнение нормативных документов РКН, ФСТЭК и ФСБ). Также в ряде компаний, по большей мере с иностранным участием, уже начинается внедрение стандартов ISO 27000.

Такое разнообразие требований для выполнения в организации, которая уже работает по сложившимся правилам и имеет внутренние регламенты обеспечения безопасности, вызывает вполне понятное беспокойство, а при условии, что зачастую нужно сделать «все и сразу» представляется неподъёмным грузом работ. Исходя из опыта нашей компании в области проведения работ по консалтингу и аудиту на соответствие различным стандартам, в том числе и локальным, для десятка организаций от ТОП5 банковской сферы до небольших компаний, можно выявить общий подход к достижению соответствия практически любым требованиям. При этом, как показывает практика, осуществление одновременного приведения в соответствие с требованиями различных регуляторов, происходит гораздо с меньшими временными, финансовыми и ресурсными затратами.

Читать дальше на bankir.ru.

СтраSSHная сила


Результаты PCTF

8 апреля 2011 г.

2 марта 2011 г.