START READING
18/05/12 |Blog # , , ,

11 дней до Positive Hack Days

PHDays Young School

Дежа вю. Год назад я уже писал о событии, ударная волна которого, несколько раз обогнув земной шар, коснулась каждого, кто так или иначе имеет отношение к индустрии информационной безопасности. Так, например, организаторы культовой хакерской конференции Defcon, находящиеся на той стороне планеты, приняли решение приютить на своих соревнованиях CTF финалистов PHD CTF.

Continue reading

0 likes no responses
02/04/12 |Blog # , , ,

Взлом как образ мысли: интервью с Юрием Гольцевым

Yuri GoltsevRST/GHC/UKT – аббревиатуры, о многом говорящие тем, кто следил за хак-сценой в далеких 2000-х годах. Команда хакеров Rush Security Team (она же – RST) трясла Интернет и оставила свой след на территории информационной безопасности. Кстати говоря, сама индустрия ИБ в то время была еще в зачаточном состоянии. Мне посчастливилось пообщаться с человеком, который, как оказалось, является не только талантливым пентестером в одной из крупных ИБ-компании, но и хакером-ветераном, который уверенными шагами вышел на свет и прикоснулся (а может не только прикоснулся, но и значительным образом «потоптался») к истории российской хак-сцены.

 Материалы данного интервью опубликованы на официальном веб-ресурсе журнала “Хакер”

Continue reading

0 likes no responses
26/03/12 |Research # , ,

Прогнозирование и планирование событий в автоматизированных системах

Прогнозирование – это взгляд в будущее, оценка возможных путей развития, последствий тех или иных решений. Планирование – это разработка последовательности действий, позволяющей достигнуть желаемого. Данные процедуры составляют основные функции административного аппарата любой организации. Рассмотрев детальнее процесс их проведения и структуры используемых и получаемых данных можно адаптировать их к бизнес-процессам, от результата выполнения которых зависит состояние ряда характеристик целевой инфраструктуры (бюджет, репутация, работоспособность).

Continue reading

0 likes no responses
20/02/12 |Research # , , , ,

Концепция системы сбора и обработки данных для аудита по стандарту PCI DSS

Журнал "Безопасность информационных технологий"

Оценка соответствия инфраструктуры, в которой хранятся, обрабатываются и передаются данные о держателях платежных карт, требованиям Стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) позволяет выявить причины, создающие благоприятные условия для нарушения аспектов безопасности рассматриваемой информационной системы и, как следствие, компрометации критичных данных.

Continue reading

0 likes one response
18/02/12 |Blog # , , , ,

Padding Oracle Attack в контексте распределенной информационной среды

Padding Oracle AttackВ процессе разработки распределенной информационной системы, от корректности функционирования которой напрямую зависит доступность других информационных систем, встала задача обеспечения доступа к компонентам ее администрирования. Организация обмена данными между узлами осуществлялась с использованием зоопарка технологий, которые предоставляет Windows Communication Foundation, входящий в состав .NET Framework. Веб-сервисы, XML-сообщения, SOAP, web.config WCF-клиента с установленным элементом security” – все это было бы отличным фундаментом для решения поставленных задач с учетом аспектов безопасности доступа к административной части, но факт существования техники Padding Oracle Attack” ставит под сомнения концепцию и заставляет задуматься над конкретной реализацией.

Continue reading

0 likes no responses
19/01/12 |Blog # , , , ,

На страницах журнала “Безопасность информационных технологий”

Журнал "Безопасность информационных технологий"

Февраль-март 2012 года принимает в список своих бумажных изданий очередной номер аккредитованного Высшей Аттестационной Комиссией журнала «Безопасность информационных технологий» (второе название – «БИТ»), где наряду с блестящими научными публикациями выходит в свет моя работа на тему автоматизации процесса аудита по стандарту PCI DSS.

Continue reading

0 likes 2 responses
30/11/11 |Blog # , , ,

Записки аудитора: аудит в условиях непрерывного пентеста

Метод проведения аудита в условиях непрерывного пентеста

Проведение технического аудита в подавляющем большинстве случаев сопровождается анализом защищенности сетевого периметра. Практика показывает, что этап проведения внешнего теста на проникновение является для аудитора задачей, которая требует ожидания. За время, пока пентестеры врезаются в инфраструктуру, пытаясь перевести свою деятельность на внутрекорпоративный уровень, аудитор проводит ряд организационных мероприятий, связанных с получением дополнительных данных для последующей оценки защищенности методом «белого ящика». Иногда встречаются ситуации, когда он вынужден выносить вердикт исключительно по результатам теста на проникновение или в значительной степени опираться на эти результаты. Встает вопрос оптимизации в реальном времени получаемой от пентестера информации.

Continue reading

0 likes no responses
14/11/11 |Blog # , , ,

Нулевые ночи в Санкт-Петербурге

 

ZeroNights

25 ноября Санкт-Петербург в квадратных метрах клуба «Катовский» пройдет международная конференция «ZeroNights», обещающая взорвать грандиозностью своего события российскую арену информационной безопаности.

Не знаю, какие метрики в настоящее время (время, когда велико стремление славян организовать русскоязычный Defcon) используются аналитиками для определения уникальности мероприятия, но изюминка в подготовке этого события обязательно должна быть: в подготовку конференции вложили душу люди, не понаслышке знакомые с форматами таких конференций как Defcon/BlackHat и успешно продемонстрировавшие свои доклады зарубежной аудитории.

Continue reading

0 likes no responses
27/09/11 |Research # , , , , ,

Я.Инцидент: Почему я читал ваши СМС?

Почему я читал ваши СМС?

События прошедшего лета, связанные с утечками конфиденциальных данных в поисковые системы, прямо или косвенно коснулись каждого, кто следит за новостями, любезно предоставляемыми СМИ. Под «системный нож» попали поисковые роботы и персональные данные гражданина РФ. Копнем немного глубже и выясним, каким образом частная жизнь может оказаться «у всех на виду».

Continue reading

0 likes 2 responses
1 4 5 6 7 8 9 10 12
Stay up to date

Twitter
@assawyer Let's wait a patch from vendor and after that I'll publish details.
What's difference between video-surveillance system and video-spying system? Authentication bypass vulnerability in… https://t.co/RwLen8932E
@b1ack0wl @spontiroli It was an attempt to increase my drawing skills...
@mkolsek @hasherezade Meehh, it's just because I drawed the picture manually and didn't use PrntScreen ;)
Attacker: knock knock Router: who's there? Attacker: admin admin Starring: a router's firmware with hardcoded cred… https://t.co/n7Ax2ZmXTM
Recent Comments
- Sergey to Погружение в даркнет: Снифаем выходную ноду Tor и анализируем получившийся контент
лучше заходиииииииить через тор онлайн http://torproject.online/,...
- Denis Makrushin to The problems of heterogeneous means of protection
Of course!...
- K. Olbert to The problems of heterogeneous means of protection
Insightful diagram, Denis. Would you mind if I use it in a presentation, with credit, of course?...