Ответы пользователя по тегу Информационная безопасность
  • Почему дропбокс показывает мои фотографии другим пользователям?

    Klanc
    @Klanc
    Я не работал с дропом, поэтому деталей не знаю. Но могу предположить, что если ссылка открывается не в клиенте дропбокса, а в браузере, то там возможно синхронизируются куки с вашим другим браузером (сейчас естьтакие технологии) просто автоматически отправляются ваши куки, в которых данные с вашей последней авторизацией. То есть если вы в браузере последний раз заходили в дропбокс и не вышли, то любая открытая ссылка будет открываться, как будто ее открыли под вашим аккаунтом. Решение этой проблемы (если в этом все дело, конечно) состоит удалений куки из браузера.
    Но не исключено, что тут замешаны и баги самого дропа.
    Ответ написан
  • Где можно почитать про аудит информационной безопасности веб-приложения?

    Klanc
    @Klanc
    Вобщем-то вы попали в точку, то есть это самый (ну один из самых - это точно) "расшаренный" сайт по безопасности веб-приложений, там есть много всяких проектов, которые тем или иным образом касаются безопасности именно веба.
    Но в вашем случае вам нужно посмотреть этот проект по пентесту веб-приложений на уязвимости (то есть по обнаружению). В том проекте есть гайд в pdf формате (относительно свежий), где все очень хорошо и удобно расписано, там описываются все виды уязвимостей, как их искать (описываются и черный, и серый ящики), как их потом можно будет раскрутить, ссылки на дополнительные статьи и конечно же инструменты/сервисы для автоматизации и помощи в обнаружении тех уязвимостей.
    Так же там на сайте есть статьи (иногда даже проекты отдельные) по некоторым видам уязвимостей, тоже интересно будет почитать.
    Из CGI-сканнеров можно выделить Acunetix Web Vulnerability Scanner (но платный, собака, хотя торрент в помощь), так же можете посмотреть ZAP от участников того самого OWSAP'a.
    Насчет сервисов: если про онлайн сканнеры, то, как правило методики работы не разглашаются (особенно, если коммерческий), вот у опен сорсных сканнеров всегда есть мануаллы по принципам их работы, но хочу заметить такие сканнеры обычно выявляют тривиальные уязвимости и изучение их работы очень много не даст по пентесту веб-приложений. Если вы имели ввиду сервисы, как команды специалистов, которые проводят аудит, то они, естественно тоже этого не разглашают, но есть организации (как описанная выше - OWASP), которые созданы как раз для того, чтобы делиться информацией и описывать всевозможные методики и хитрости по обнаружению и эксплуатации уязвимостей, помимо подобных организаций можно много полезного узнать на соответствующих форумах (RDot.org, например).
    Ответ написан
    1 комментарий
  • Какой самый защищенный мессенджер Вы знаете?

    Klanc
    @Klanc
    Для компьютера я написал простой мессенджер на Java по TCP соединению, там шифрование было по ключу, который программа брала на отдельном сервере, где этот ключ ежечасно обновлялся (а про сервер знали единицы), а сообщения проходили не через сервер-посредник, а сервером назначался хост одного из людей, которые начинали писать - но это чисто индивидуальное решение для небольшой группы (или двух) людей
    А вообще еще есть хороший: Silent Text
    Ответ написан
    Комментировать
  • Какой принцип деления Межсетевых Экранов на классы и уровни?

    Klanc
    @Klanc
    Для начала термины:
    ФСТЭК - Федеральная служба по техническому и экспортному контролю (ссылка)
    НДВ - недекларированные возможности: функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
    С точки зрения ФСТЭК сертифицированные межсетевые экраны бывают пяти классов от МЭ1 до МЭ5 (вот здесь есть хорошая таблица по характеристикам уровней), при этом, чем выше класс, тем жёстче требования (ссылка на документ с требованиями).
    Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: документ. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме.
    ИСПДн - Информационная система персональных данных. Класс ИСПДн определяет тип такой системы, классификация ИСПДн приведена в этом документе, еще здесь можно найти краткое описание классов ИСПДн.
    Теперь сгруппируем эту информацию:
    Для примера возьмем этот перечень межсетевых экранов, в таблице видем три графы: "Класс МЭ" - это класс межсетевого экрана, который назначен (определенным органом РФ) в соответствии с определенными параметрами самого МЭ, то есть это то, на что способен МЭ (грубо говоря), далее есть графа - "Уровень НДВ", это уровень определяющий примерную вероятность того, что МЭ можно будет обмануть/обойти/взломать, вобщем надежность МЭ, затем идет графа "Класс ИСПДн" - это класс информационной системы персональных данных, для которой подходит данный МЭ.
    То есть эти три критерия невзаимосвязаны напрямую (возможно, косвенно по некоторым аспектам), и каждый критерий (Класс МЭ, Уровень НДВБ, Класс ИСПДн) определяется в соответствии с правилами, которые есть в документах, данных выше.
    Ответ написан
  • С чего начать изучение информационной безопастности?

    Klanc
    @Klanc
    Тут еще такой момент: есть матчасть, которую знать необходимо вообще - это, в принципе, те ссылки, которые дал в предыдущем ответе Александр Камолов; а вот далее, когда будет определенная база в этой сфере, то надо определиться с направлением в ИБ, несмотря на то, что ИБ - это и так отдельная отрасль информационных технологий, но тем не менее она очень многогранна и будет очень тяжело стать экспертом (или хотя бы профессионалом) вобщем в этой сфере, ну либо на это может уйте очень много времени, так что в любом случае, после получения базы знаний, надо будет выбрать одно/два направления, на которое(ые) делать упор в ближайшем будущем, но и в остальных направлениях ИБ тоже пассивно развиваться, потом можно будет еще что-то добавить в свою "профильную часть", когда в выбранных направлениях уже солидного уровня достигните.
    По поводу направлений ИБ: тут все очень размыто, то есть многие разделяют эту область на разные по-разному, из наиболее часто встречаемых мне конфигураций была такая:
    Веб-безопасность (или безопасность веб-приложений), Криптография, Вирусописание, Анализ бинарного кода (или взлом обычного ПО - написание "кряков"), Сетевая безопасность, Безопасность ОС - то есть потом можно выбрать одно из этих направлений.
    Ответ написан
    Комментировать