Написание защищённого кода

Рейтинг:   / 1

Защищённый код (написание)Задача защиты программного кода от различных уязвимостей - очень важная проблема в современной быстро растущей индустрии IT. XSS, SQL-инъекции, переполнение буффера с последующими получением привилегий - всё это и многое другое следствия ошибок разработчиков, которые, к сожалению, совершают их с каждым днём всё больше и больше. Объясняется это просто: технологии движутся вперёд, объёмы кода сильно растут, а качество мозга людей и соответственно, написанного ими программного кода - не растёт. Или растёт, но не так быстро.

В нынешнее время очень хорошим результатом для гуру-программиста считается 1 серьёзная ошибка на 1000 строк кода. Для примера, в новомодной Windows 8 содержится 7 миллионов строк. Число критических ошибок подсчитать может 9-летний выпускник начальной школы.

Почему же ситуация столь плоха? Что надо делать, чтобы писать защищённый код и ограждаться от множества уязвимостей в собственном ПО? Об этом в сегодняшней статье, основанной на трудах ведущих разработчиков Microsoft М. Ховарда и Дж. ЛеБланка.

Подробнее: Написание защищённого кода

DNS-атаки: защита бизнеса или анализ рисков DNS

Рейтинг:   / 1

DNS-атаки - старая, но всё ещё актуальная область хакерских исследований, представляющая во многих случаях серьёзную опасность сегодня практически для любого бизнеса. Учитывая, что UDP-протокол DNS почти не изменился с начала 80-ых, и разрабатывался он без какого-либо учёта безопасности, а современные IT-средства и умы хакеров значительно улучшились, проблема становится ещё актуальнее. В особенности, актуальной в контексте данной IT-угрозы становится защита бизнеса. Существующие в современном мире виды DNS-атак могут привести не только к воровству финансовой информации (как частного лица, так и компании) или коммерческой тайны, а и к воровству самих финансов, как явно и буквально (например, через подмену сетевых пакетов в системе ДБО), так и косвенно (коммерческая тайна и конкуренты). Не брать в расчёт данный тип атак, значит, совершить серьёзную ошибку в стратегическом планировании бизнеса компании.

В предыдущей статье мы рассмотрели все основные ныне существующие типы DNS-атак и угрозы, которые они в себе несут. В данной статье проведём анализ возможных рисков и способы защиты от DNS-атак.

Подробнее: DNS-атаки: защита бизнеса или анализ рисков DNS

DNS-атаки: полный обзор по схемам атак

Рейтинг:   / 14

DNS-атакаЗа последние 2 года число DNS-атак в кибер-реальности увеличилось почти в 2 раза. Эта тенденция отнюдь не случайна и выводит актуальность данного типа атак на один ряд с таким гигантом, как DoS / DDoS. Что неудивительно, учитывая родственность DNS и DDoS-атак.

Вопросов в поставленной теме ещё много. И помимо очевидного (какие опасности таит в себе протокол DNS и атаки на него), на ум сразу приходит другой - более парадоксальный: почему вообще мы всё ещё используем в такой важной и неотъемлемой части сети, как DNS, ничем незащищённый открытый UDP-протокол (на котором и реализован DNS)? Над ответом можно долго гадать, но мнение большинства, как и моё личное, сводится к обыкновенной безалаберности и лени современных представителей IT. Хотя в последние годы решение проблемы борьбы с DNS-атаками начинают появляться и внедряться в практику IT-контор. Но обо всём по-порядку. Собственно, какие бывают типы DNS-атак и как можно им противостоять?

Основы протокола DNS и базовые схемы DNS-атак описаны в более ранней статье DNS-атаки: основные схемы и принципы. А в текущей мы поговорим более подробно о конкретных схемах реализации и способах защиты от атак на протокол DNS.

Подробнее: DNS-атаки: полный обзор по схемам атак

DNS-атаки: основы и принципы

Рейтинг:   / 4

DNS-атакиАтаки на DNS–сервера (и просто DNS-атаки) - уже далеко не новый, но тем не менее отнюдь не забытый и до сих пор актуальный тип хакерских (и не только) атак, которые активно используется многими злоумышленниками и по сей день. В том числе, в части переноса процента прибыли каких-либо организаций в свой карман.

Представим себе такую ситуацию: лезет директор нашей IT-конторы на корпоративный сайт - оценить результат работы его добросовестных сотрудников, а вместо этого попадает на www.bdsm-porno.ru. Вообразили? Вот это и есть результат (всего лишь один из возможных) успешной DNS-атаки.

Рассмотрим подробнее, как реализовываются такие схемы (атак на DNS, а не достижения высот в рекламе порноиндустрии), какие ещё бывают угрозы и типы DNS-атак.

Подробнее: DNS-атаки: основы и принципы

Программа поощрения поиска уязвимостей

Рейтинг:   / 2

Программа VRPВ одной из предыдущих статей - Плата за взлом или как найти лучшего специалиста по информационной безопасности - были рассмотрены так называемые VRP-программы - программы поощрения поиска уязвимостей - программы, представляющие собой не только метод защиты производимого или используемого программного обеспечения от уязвимостей, но и способ превратить врагов IT-бизнеса в друзей, приносящих доход. Рассмотрим пример одной из таких VRP-программ, дающей один из лучших ответов по вопросу защиты информационной системы  от всевозможных уязвимостей. Описанная ниже программа разработана лично мной и является авторской. Просьба использовать её в своих целях только с согласования со мной (кто заинтересуется, контакты в разделе Об авторе). :)

Описание концепции программы

            Главная цель программы поощрений поиска уязвимостей (VRP) состоит в повышении безопасности сервиса <...>. Программа направлена на поощрение инициативы и деятельности независимых исследователей (как внешних пользователей и клиентов сервиса, так и сотрудников компании) по нахождению любого рода уязвимостей и слабых мест в программном обеспечении компании и сервисе <...>, в частности. В рамках данной программы участникам, обнаружившим ту или иную уязвимость / слабое место в системе защиты предоставляется денежное вознаграждение. Кроме того, меняется существующая система выплаты премий разработчикам и тестировщикам ПО Компании.

Подробнее: Программа поощрения поиска уязвимостей

Защита коммерческой тайны: правовое регулирование

Рейтинг:   / 6

Коммерческая тайнаКоммерческая тайна и её защита (в т.ч. правовая) – важная составляющая многих коммерческих организаций по всему миру, в её охрану многими IT-гигантами вкладываются миллионы долларов, обеспечивая тем самым защиту миллиардов! В защиту коммерческой тайны входят вопросы охраны патентов, know-how любого бизнеса, а также всё, что только может обеспечивать компании то, что в Европе стало называться культовым словом УТП (уникальное торговое предложение). Сегодня все эти вопросы начинаются с решения задачи именно правовой защиты коммерческой тайны.

Вопросы касательно того, почему в США на охрану КТ отводится денег, порой, больше, чем тратят целые подразделения ФБР в том же регионе, а также почему их коммерческая тайна – в частности, патенты – стоят эти самые мульти-миллионы – вопрос отдельной беседы / статьи, которая обязательно появится на сайте в скором времени. А в данном материале рассмотрим вопросы нормативно-правового регулирования коммерческой тайны: в частности, что же такое КТ и как происходит процедура её защиты в современных российских реалиях с учётом судебной практики, деятельности регуляторов (в контексте 98-ФЗ «О коммерческой тайне») и реальной защиты бизнеса.

Подробнее: Защита коммерческой тайны: правовое регулирование

Персональные данные: как было раньше - как теперь

Рейтинг:   / 1

Персональные данные - культовая тема современного мира информационной безопасности, да и просто IT. Без них теперь никуда и никак. Они всем надоели, создают один геморрой и несут мало реальной пользы, но защищать их надо. Рассмотрим некоторую историю изменений всего комплекса законодательства по персональным данным и проведём некоторый сравнительный анализ.

Опишем требования старого законодательства и нового, включая перечень мер и порядок действий, который необходимо совершить оператору ПДн для признания его ИСПДн "соответствующей". Важно ли это? Важно, да ещё как! В новом законодательстве определён один интересный момент: для старых ИСПДн, признанных соответствующими, выполнять требования нового законодательства не обязательно (можно привести в соответствие, можно не приводить): оно носит обязательных характер только для вновь создаваемых ИСПДн и для случая реорганизации старых. Вопрос о том, стоит ли переделывать старые ИСПДн к соответствию новому законодательству - очень хороший и актуальный. Именно поэтому поставленный выше вопрос требует рассмотрения хорошего и подробного.

Те, кому читать историю не интересно, а интересен только итоговый сравнительный анализ, могут сразу перейти к статье: Персональные данные: сравнительный анализ старой и новой нормативной базы.

Кроме того, о весьма актуальном вопросе обязательности получения лицензии на деятельность по ТЗКИ оператором ПДн я писал в этой статье.

Подробнее: Персональные данные: как было раньше - как теперь

CheckList по анализу соответствия ИСПДн

Рейтинг:   / 0

Продолжаем разговор о защите персональных данных и о том, как оператору ПДн облегчить себе жизнь. Из альтруистических побуждений выкладываю плод своих трудов для Центра финансовых технологий по анализу ИСПДн на предмет её соответствия новому законодательству по перс. данным. Документ представляет собой некий CheckList по всем ныне существующим требованиям законоадельства. Требования эти комплексно описаны в предыдущей статье: Защита персональных данных: новый порядок действий оператора.

CheckList состоит из следующих элементов: вопросы на определение типа и необходимого уровня защищённости ИСПДн; вопросы по общеобязательным требованиям; вопросы по требованиям в зависимости от уровня защищённости ИСПДн. Составлен вопросник достаточно системно, со всеми необходимыми пояснениями. Успешно прошёл испытания в реальной практике крупной компании. Проблем с его применением возникнуть не должно.

Надеюсь, мои труды кому-нибудь помогут.

A.S.

Вложения:
Скачать этот файл (Проверка на соответствие ИСПДн_CheckList.docx)CheckList по анализу соответствия ИСПДн[CheckList по анализу соответствия ИСПДн]37 kB

Подкатегории

  • Новостной блог

    Новости в мире информационной безопасности, а также комментарии и статьи автора.

  • Техническая безопасность

    Технические вопросы обеспечения информационной безопасности.

    Разделы:

  • Безопасность бизнеса

    Вопросы обеспечения информационной безопасности на предприятии: организационные вопросы (в т.ч. психология), а также нормативно-правовая база в сфере ИБ: всё, что имеет отношение к безопасности бизнеса.

    Разделы:

Вы здесь: Home