КОНЬЯКОВ.ру

Аудит, Разработка, ИБ, Поддержка и SEO сайтов

Category: Информационная безопасность(Страница 1 из 2)

BEGIN PGP PUBLIC KEY BLOCK

Если у вас есть что-то важное и секретное для меня, прошу использовать мой публичный GnuPG ключ:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
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=DeFN
-----END PGP PUBLIC KEY BLOCK-----

Скачать PGP PUBLIC KEY

Chrome будет помечать сайты, работающие по HTTP, как небезопасные

В январе 2017 года выйдет новая версия браузера Google — Chrome 56. Он будет предупреждать пользователя о том, что опасно вводить пароли или данные кредитных карт на сайтах, использующих HTTP протокол.

Сначала появится пометка «Not secure» («Не защищён») в адресной строке браузера:

В следующих релизах станет больше предупреждений. В итоге все сайты, работающие через HTTP, будут помечены как опасные:

По статистике Google Transparency Report, пользователи загружают больше половины сайтов через HTTPS протокол. Доля растёт особенно быстрыми темпами в России.

Если вы ещё не установили на свой сайт SSL-сертификат — самое время это сделать. До выхода Chrome 56 осталось меньше месяца.

Скидки на любые сертификаты до конца декабря 2016, спешите (вам также помогут: выбрать, купить и установить сертификат на ваш хостинг).

Выбрать и купить SSL-сертификат можно здесь.

Единственный минус покупного сертификата — это требование наличия выделенного IP-адреса для сайта (доменного имени) на которого он выпускается. У Let’s Encrypt такого требования нет. Но как правило покупные SSL-сертификаты выпускаются на срок не менее 1 года. Это большой плюс, т.к. не придётся часто его перевыпускать и соответственно обновлять сертификат на хостинге.

Если у вас есть возможность самостоятельно устанавливать сертификаты на свой хостинг, но нет желанию платить деньги за выпуск SSL-сертификата, вы можете воспользоваться свободной автоматизированной системой центра сертификации — Let’s Encrypt. Чтобы получить больше информации по внедрению Let’s Encrypt, воспользуйтесь этой ссылкой. Но надо понимать, что сертификаты Let’s Encrypt выпускаются на 4 месяца, после этого их надо перевыпускать и обновлять сертификат на хостинге. Для реализации этой задачи, необходимо писать скрипты (Python, Bash, и пр.) автоматизирующие этот рутинный процесс. Не каждый хостинг позволяет производить данные манипуляции. Как правило для этого нужен VPS/VDS хостинг. А это как правило значительно дороже, нежели простой виртуальный хостинг. Если вы хотите использовать Let’s Encrypt на виртуальном хостинге без выделенного IP-адреса, то в этом вам поможет хостинг от Timeweb, проверенный временем. При покупке хостинга в Timeweb, у вас появляется возможность подключить к вашему сайту бесплатный SSL-сертификат от Let’s Encrypt. Всё интуитивно понятно, делается в несколько кликов из админ-панели управления хостингом. SSL-сертификаты в этом случае перевыпускаются и устанавливаются автоматически, не требуя реакции с вашей стороны. Поверьте, это очень удобно, так что советую воспользоваться.

PS: Moving Toward SSL

We’re at a turning point: 2017 is going to be the year that we’re going to see features in WordPress which require hosts to have HTTPS available. Just as JavaScript is a near necessity for smoother user experiences and more modern PHP versions are critical for performance, SSL just makes sense as the next hurdle our users are going to face.

SSL basically means the link between your browser and the server is encrypted. SSL used to be difficult to implement, and often expensive or slow. Modern browsers, and the incredible success of projects like Let’s Encrypt have made getting a certificate to secure your site fast, free, and something we think every host should support by default, especially in a post-Snowden era. Google also weighs SSL as a search engine ranking factor and will begin flagging unencrypted sites in Chrome.

First, early in 2017, we will only promote hosting partners that provide a SSL certificate by default in their accounts. Later we will begin to assess which features, such as API authentication, would benefit the most from SSL and make them only enabled when SSL is there.

Separately, I also think the performance improvements in PHP7 are particularly impressive, and major kudos to everyone who worked on that. We will consider whether hosts use PHP7 by default for new accounts next year as well.

30 ноября — День защиты информации

В этот день хочу дать несколько советов как защитить себя от кражи пароля, взломов и утечки информации.

  1. Регулярно проверяйте свой компьютер на наличие вирусов
    Уязвимость компьютера может привести к краже данных или использования вашего компьютера в незаконных операциях (DDoS, СПАМ, и пр.). Совет: Используйте только проверенное антивирусное ПО для защиты вашего комьютера (мобильного устройства) от внешних угроз, например Kaspersky Free либо воспользоваться полной версией Kaspersky Internet Security для всех устройств.
  2. Не устанавливайте на свой компьютер подозрительные программы (программы из неизвестных источников), используйте только лицензионное программное обеспечение и вовремя обновляйте его. Не переходите по сомнительным ссылкам из рассылок.
  3. Программа @Web_of_Trust (WOT) защищает от ненадежных ссылок. Установите плагин к браузеру и контролируйте траст сайтов на которых вы осуществляете операции. WOT помогает визуально отличать качественные и доверенные сайты от вредоносных сайтов, которые могут причинить вред вашему компьютеру или ввести вас в заблуждение, приведя при этом к компрометации ваших персональных данных. Подробнее о WOT.november30day2
  4. Время от времени меняйте пароли от ваших сервисов (почта, сайты, и пр.) придерживаясь при этом рекомендациям. Например такой: Dj07VS_1LP3yL4UQ. Сгенерировать качественный пароль можно здесь.
  5. Надежно храните пароли от личного кабинета и аккаунтов в социальных сетях. Чтобы надежно хранить пароли, можно воспользоваться бесплатной программой KeePass, скачать которую можно здесь. При этом надо тщательно продумать мастер-пароль к базе паролей вашего KeePass.
  6. Используйте схему: 1 ресурс — 1 пароль. Используйте разные и надёжные пароли для различных ваших ресурсов (почта, сайты, ftp, ssh и пр.). Программа KeePass при создании новой записи автоматически генерирует новый стойкий пароль. Использование этой программы облегчает ведение паролей для вашей деятельности за компьютером. Плюс есть замечательная возможность авто-заполнения полей логина и пароля на сайте. Программа очень гибкая, настраиваемая, имеет множество плагинов. Очень удобно. Must have.
  7. Вводя пароли на компьютере, по возможности, используйте виртуальную клавиатуру. Используя продукцию Kaspersky запустить клавиатуру можно горячей комбинацией: СTRL+SHIFT+ALT+P. Ввод данных в визуальном режиме защищает вводимые данные от перехвата различными кейлоггерами и другими программами, отслеживающими деятельность пользователя на компьютере.
  8. Во время входа в личный кабинет обращайте внимание на наличие безопасного соединения https:// и правильность домена.
  9. Если вы являетесь владельцем или администратором сайта, то я настоятельно рекомендую озаботиться получением SSL сертификата для своего сайта. Чтобы ваш сайт работал стабильно стоит озаботиться надежным хостингом. Исходя из своего опыта могу посоветовать вам хостинг TimeWeb. Для новых проектов можно оплатить хостинг на год, и получить в подарок домен. Очень удобно. Подключив дополнительный IP адрес, вы сможете защитить свой сайт SSL сертификатом, и вся передаваемая информация между клиентом и вашим сайтом будет надежно зашифрована. Зачем это нужно? Ну например вы едете в метро. Захотели добавить новость на свой сайт. Вы достаёте мобильное устройство, подключаетесь к бесплатной Wi-Fi сети метро, заходите на сайт в админ панель и… Через некоторое время вы можете обнаружить свой сайт взломаным, содержащим вирусы, трояны, бекдоры, и прочую хакерскую атрибутику. Если ваш сайт работает только по защищенному протоколу https://, этого не произойдет. Заходя через незащищенные (незнакомые, ненадежные, и пр.) Wi-Fi сети в админ панель управления вашим сайтом, вы авторизуетесь в защищенном режиме. Т.е. ваш пароль (как и весь трафик) передается в зашифрованном виде, и человек посередине (man-in-the-middle) атака не сможет скомпрометировать ваши реквизиты доступа, и ваш сайт останется в целости и сохранности.
  10. Всё это применимо к любым передаваемым данным, на любых сайтах. Включая интернет магазины. По этому, настоятельно советую выбирать надежные сайты, доступные по протоколу https://. Ведь передаваемые финансовые данные (данные кредитной карты) будут зашифрованы, и хакеры прослушивающие Wi-Fi эфир не смогут перехватить эти ценные данные. Вы останетесь в безопасности.
  11. Если у вас есть возможность использовать 3G или 4G (LTE) на своём мобильном устройстве — используйте его. Не пользуйтесь бесплатными и ненадежными точками доступа Wi-Fi. Весь трафик между устройством абонента и оператором сотовой связи (Оп.Со.С.) — шифруются. Так что выходя в интернет через мобильное устройство или роутер (используя протоколы передачи данных GPRS, EDGE, 3G, 4G, LTE, и пр.) и авторизуясь на сайте через небезопасный http:// протокол,  вы останетесь в большей безопасности, нежели при авторизации через незнакомые Wi-Fi сети.

Список будет обновляться. Продолжение следует.

Россия готовит новую доктрину информационной безопасности

42802Совет безопасности РФ предложил разработать новую доктрину информационной безопасности РФ, так как действующий документ не учитывает всех сегодняшних реалий, связанных с бурным развитием информационных технологий. Угрозы, с которыми может столкнуться общество, — это информационная война, похищение персональных данных, кибермошенничество.

Тема информационной безопасности государства обострилась в прошлом году в связи с политическим давлением на Россию. В Совете безопасности РФ считают, что Россия должна находиться в постоянной готовности к противоборству в информационной среде, пишет «Российская газета».

«В сложившихся внешнеполитических условиях возросла потребность в поиске более эффективных мер и подходов к информационной безопасности. Действующая доктрина была утверждена 15 лет назад, и анализ современных обстоятельств показывает, что документ требует корректировки. Новая редакция доктрины информационной безопасности должна быть согласована с представителями отрасли и отражать интересы государства в информационной среде: соблюдение прав человека и гражданина, развитие информационно-коммуникационных технологий, повышение конкурентоспособности российской продукции при создании сетей связи, обеспечение безопасности национальной информационной инфраструктуры», — считает Дмитрий Грибков, референт аппарата Совета безопасности.

«Для защиты своих интересов в развернувшейся информационной войне нам необходимы упреждающие меры законодательного регулирования. Мы продолжаем работу в этом направлении. Например, уже введён принцип обязательной аутентификации при подключении к открытым общественным сетям, — рассказал председатель комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин. — Уже принят закон, предписывающий хранить пользовательские персональные данные на серверах, расположенных только на территории России. Интернет-компаниям дан год на то, чтобы перенести данные на российские ЦОДы. Это позволит обезопасить пользователей от угрозы утечки их информации или отключения от каких-либо сервисов».

Серьёзной задачей станет размещение производства программного обеспечения в России. «Как показали разоблачения Сноудена, без импортозамещения в сфере IT польза от переноса пользовательской информации сводится на нет, — отметил Леонид Левин. — А нам нужно сформировать защищённую информационную среду. У нас есть успехи в блокировке запрещённой информации, которая распространяется через анонимные сети. Это происходит как в судебном, так и в досудебном порядке. Но в целом успех в международной конкуренции на информационном поле определяется технологической независимостью государства».

Эксперты подчёркивают, что информационная безопасность государства должна быть направлена на противостояние не только внешним угрозам, но и внутренним. Так, по данным МВД России, в 2014 году было зарегистрировано около 11 тыс. преступлений в интернете и информационной среде. «Из них 41% — мошенничество и кражи. К сожалению, развитие технологий предоставляет новые возможности для совершения традиционных преступлений. Анонимность, различные сервисы предоставления услуг — все это даёт возможность злоумышленникам дискредитировать законопослушный сетевой бизнес», — рассказал начальник бюро специальных технических мероприятий МВД России Алексей Мошков.

По мнению экспертов, есть только один способ снизить криминализацию информационного пространства и обеспечить информационную безопасность: все участники интернет-бизнеса, гражданские институты, органы власти и сетевые провайдеры должны заботиться о качестве и безопасности предоставляемых услуг.

0-day

Всё имеет 0-day уязвимости, всё можно отследить, получить доступ к любой информации, всё уязвимо. Всё, мать его, уже взломано.

Certified specialist on Information security.

Hurrah!

50 72 6f 74 65 63 74 69 6f 6e

50 72 6f 74 65 63 74 69 6f 6e 20 6f 66 20 66 69 6e 61 6c 20 71 75 61 6c 69 66 79 69 6e 67 20 77 6f 72 6b 2e 4b 65 65 70 20 63 61 6d 73 2e 2e 2e 

412073636f7265206f66203935206f7574206f6620612068756e647265642120497420697320612073756363657373212048757272616821

php5: code execution from the Debian advisory

PHP-5.6: Fix potential segfault in dns_get_record()

while (ll < dlen) { n = cp[ll]; /* Добавляем следующий код в файл php-src/ext/standard/dns.c */if ((ll + n) >= dlen) {
// Invalid chunk length, truncate
n = dlen - (ll + 1);
}
/*
Конец вставки
*/
memcpy(tp + ll , cp + ll + 1, n);
add_next_index_stringl(entries, cp + ll + 1, n, 1);
ll = ll + n + 1;


Описание процесса инсталлирования по Alladin Secret Disk Server NG

ОПИСАНИЕ ПРОЦЕССА ИНСТАЛЛИРОВАНИЯ ПО  ALLADIN SECRET DISK SERVER NG

Начальное окно мастера установки SDS NG
Начальное окно мастера установки SDS NG

Внимательно читаем лицензионное соглашение (Рис.2), выбираем пункт «Я принимаю…» и нажимаем кнопку «Далее».

Подтверждение лицензионного соглашения
Подтверждение лицензионного соглашения

Выбираем вид установки программного продукта SDS NG (Рис.3). В связи с тем, что мы устанавливаем серверную версию SDS NG на один сервер, то на этом этапе выбираем «обычную» установку.

Выбор варианта установки SDS NG
Выбор варианта установки SDS NG

Мастер установки завершен (Рис.4). Для запуска с выбранными ранее установками необходимо нажать кнопку «Установить».

Финальное окно настройки мастера установки SDS NG
Финальное окно настройки мастера установки SDS NG

Read More

В связи с взломом TrueCrypt Брюс Шнайер (Bruce Schneier) заявил о том, что возвращается к работе с Symantec PGPDisk

ИБ-эксперты советуют пользователям найти замену TrueCrypt

После того, как стало известно о предположительном взломе сайта и программы для шифрования данных TrueCrypt, многие ИБ-эксперты начали советовать пользователям переходить на альтернативное ПО. В частности, В связи с взломом TrueCrypt Брюс Шнайер (Bruce Schneier) заявил о том, что возвращается к работе с Symantec PGPDisk.

Кроме того, специалисты по вопросам кибербезопасности настоятельно рекомендуют не скачивать ПО SourceForge, поскольку до сих пор неизвестно, что именно произошло с ресурсом. К примеру, поговаривают, что создатели могли попросту закрыть свой проект под давлением ФБР. Также существует предположение, что причиной закрытия проекта является угроза разоблачения личностей создателей TrueCrypt.

Обе теории являются наиболее вероятными. Так, по словам Мэтью Грина (Matthew Green) из Университета Джона Хопкинса, вряд ли злоумышленники действительно могли перехватить приватный ключ шифрования и внести изменения в бинарный код программы.

Напомним, что несколько дней тому назад стало известно, что при попытках зайти на главную страницу пользователи перенаправляются на официальную страницу SourceForge, на которой отображается сообщение о том, что разработку ПО прекратили. Также посетителям ресурса предлагалось воспользоваться альтернативой TrueCrypt в виде BitLocker от Microsoft.

Пруф: http://www.theregister.co.uk/2014/05/29/truecrypt_analysis/

The TrueCrypt project abruptly imploded on Wednesday – leaving folks in the infosec world scratching heads and scrambling to recommend alternatives.

In the past hour, crypto-guru Bruce Schneier has told us he’s switched back to Symantec’s PGPDisk to encrypt his data.

«I have no idea what’s going on with TrueCrypt,» he added on his blog. «Speculations include a massive hack of the TrueCrypt developers, some Lavabit-like forced shutdown, and an internal power struggle within TrueCrypt. I suppose we’ll have to wait and see what develops.»

As The Register reported, visitors to the ‪official truecrypt.org‬ website were redirected to a SourceForge-hosted site, which warned the popular multi-platform disk-encryption software is insecure:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
This page exists only to help migrate existing data encrypted by TrueCrypt.

The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.

Страница 1 из 2

© 2007–2017, konyakov.ru