Ответы пользователя по тегу Информационная безопасность
  • Специалист по информационной безопасности - кто это?

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    На первых двух курсах по прямой специальности везде рассказывают очень мало, т.к. идет общая инженерная подготовка. Ваша задача -- тупо прокачивать мозг на самом жёстком из этого, пока он максимально гибок (даже в 25 лет будет сложнее, чем в 18, поверьте). Препод лажает? Ищем хороший учебник и хреначим. На лабах дают написать RPN-калькулятор на бейсике? Ну ОК, делаем для галочки и в сэкономленное время вместо этого пишем его на ассемблере под ARM. И так далее.

    В технической ИБ есть проблема -- чтобы по-честному заниматься защитой любого стека технологий, надо понимать, как он работает на всех уровнях, от пользовательского интерфейса до дырок с электронами в полупроводнике. В одного среднего человека это понимание влезает очень плохо и с пробелами, но что делать, такова жизнь.
    Как иначе Вы будете по-честному решать, например, например, задачу защиты помещения с тем самым телекоммуникационным оборудованием от ПЭМИН (TEMPEST по-английски), не зная физических основ (да хотя бы и то, почему витая пара -- витая внутри оплетки, и с каким шагом она должна быть переплетена).

    А вот как оценить качество преподавания в Вашем конкретном случае, и какую стратегию и тактику обучения Вам следует выбрать -- это совершенно отдельный вопрос, на который готового ответа никто не даст.
    Ответ написан
    1 комментарий
  • Как восстановить пароль web-админки роутера ASUS?

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    wiki.openwrt.org/toh/asus/dsl-n12u
    Обесточить, разобрать. Внутри есть последовательный порт для отладки.
    Найти USB <--> UART адаптер c CMOS-уровнями (3.3В).
    Подключиться, запустить терминал на ПК, запустить роутер.
    На борту linux, шелл busybox, все дела.
    Ответ написан
    Комментировать
  • Интернет-платежи с использованием CVC2

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    1. Да (*), только не путайте покупки = e-commerce retail и именно переводы. В онлайне по реквизитам, напечатанным на карте, осуществляются покупки. Перевод денег с карты -- это другой сервис (Visa MoneyTransfer / MasterCard MoneySend).
    2. Да (*), в теории, но на практике злоумышленника очень быстро заблокируют через несколько попыток.
    3. Нет, везде по-разному.
    4. Нет, с 1 января 2014 года - правила поменялись. У Вас есть сутки на то, чтобы заявить о мошеннической операции.
    5. Нет, везде по-разному.
    6. Нет, это порча карты -- собственности банка, не самая лучшая идея. Надо сначала просто узнать в своем банке, безо всяких умных слов, "можно ли совсем запретить по данной карте покупки в интернете", и все. Если можно -- заказываете эту услугу и через пару дней пробуете проверить. Если нет -- ну тогда как повезет.
    7. Что значит "не предназначены"? Если можно, значит "предназначены". Просто Ваша безопасность - только в Ваших руках, в любом случае. Проявите инциативу, в конце концов, когда Вы заключаете договор на выпуск карты, можно все вопросы задать.
    8. Скорее нет, но не все банки в России и мире надежно проверяют эти данные.
    9. Да (*), но вопрос доверия к торговцу в мире вообще не решен, нигде и никак. Точно так же могут быть и поддельные банкоматы, и терминалы, да хоть целый поддельный физический офис банка.

    С ссылками все печально. Адекватно раскрыть тему для потребителя в удобоваримом виде и объеме текста довольно сложно. Или же будут советы типа "используйте виртуальные карты, берегите свой ПК и смартфон от злых вирусов, проверяйте иконку HTTPS в браузере" и т.д.
    Ответ написан
    Комментировать
  • Как быстро идентифицировать сменяющихся пользователей за компьютером?

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    1) Смарт-карты Вы уже упомянули — потребуется только соответствующий плагин к браузеру, но если ничего другого не останется — нормальное промышленное решение.
    2) А вот сканер штрих-кодов прикрутить к вебу существенно проще, т.к. они обычно работают как клавиатура. Сотрудникам наклеиваем штрих-коды на бейджи. Сотрудник подошел к терминалу, просканировал свой бейдж (т.е. по сути сканер вбил его логин!), дальше руками вбил число в интерфейс.
    3) Если сотрудников на один компьютер не так чтобы очень много, а, скажем, 5*5=25, то можно в веб-интерфейсе тупо нарисовать кликабельную сетку на весь экран с картинками-аватарками для каждого. Если сетка 5*5, то промахнуться будет довольно сложно. Плюс можно устраивать соревнования, помещая стахановцев в центр сетки, и т.д.
    Ответ написан
    3 комментария
  • Посоветуйте книги по теории надежности технических систем

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    Вы довольно широко описали область. Технические (инженерные, ...) системы вообще и ИТ-системы, особенно программную часть последних, довольно сложно накрыть одним ударом.

    По моделированию/оценке/проектированию с т.з. надежности обще-технических систем есть известный труд Patrick P. O'Connor, Andre Kleyner, «Practical Reliability Engineering»:
    www.amazon.com/Practical-Reliability-Engineering-Patrick-OConnor/dp/047097981X
    Там и теория, и упражнения. Но по ИТ-системам там практически ничего нет, одна глава по надежности ПО (когда на профильных специальностях это минимум целый курс).
    Ответ написан
    2 комментария
  • Оптимальные параметры для pbkdf2

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    Оптимальные по какому критерию? :)
    Попробуйте сначала понять, от кого защищаемся и чем готовы пожертвовать.

    Если нужны конкретные рекомендации, то открываем, например, NIST SP800-132 «Recommendation for Password-Based Key Derivation», глава «A2. PBKDF»
    csrc.nist.gov/publications/nistpubs/800-132/nist-sp800-132.pdf
    Или те же самые вещи можно прочитать тут, например: www.ietf.org/rfc/rfc2898.txt

    image

    У Вас 32 байта соль? Тогда все хорошо. От длины соли скорость вычисления внутри системы не сильно зависит, а вот атакующему будет сильно хуже, чем если бы соль была, скажем, 32 бита.

    image

    Смотрим дальше: количество итераций в PBKDF, грубо говоря, линейно увеличивает сложность атаки.
    Поэтому делаем бенчмарк и ставим столько итераций, сколько влезет. 1000 рекомендовалось давно (2000 год), сейчас ставят больше — 10000 и т.д.
    Ответ написан
    2 комментария
  • Восстанавливаемый генерируемый пароль

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    В качестве сугубо личного генератора паролей можно все, но всегда надо понимать:
    1) Какова процедура «Incident response handling» для Вашего решения — что делать, если пришла лисичка и что-то подсмотрела
    2) Пароль для системы аутентификации — это то, что знает мистер Х и не знает мистер Y. Без вариантов. Если кто-то знает алгоритм генерации пароля и угадает исходные данные, этот кто-то для системы — Вы.
    Ответ написан
    Комментировать