-Поиск по дневнику

Поиск сообщений в cZerro

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 30.04.2004
Записей:
Комментариев:
Написано: 2345

Мероприятия по информационной безопасности

Дневник

Среда, 21 Августа 2013 г. 19:39 + в цитатник
Пора уже составить список мероприятий по информационной безопасности. Будет он таким:

Сентябрь

17 – 19 сентября, Санкт-Петербург - XI международная конференция «PKI-Forum Россия 2013»

19 сентября, Москва - Технологии безопасности 2013: обеспечение защиты в меняющихся реалиях

19 сентября, Челябинск - Конференция "Код информационной безопасности (г. Челябинск)"

19 сентября, Екатеринбург - IDC IT Security and Datacenter Transformation Roadshow 2013 Ekaterinburg

20 сентября, Москва - DLP-Russia 2013

25 - 27 сентября, Москва - InfoSecurity Russia 2013

Октябрь

8 - 10 октября, Москва - Infobez-Expo 2013

10 октября, Казань - Конференция "Код информационной безопасности (г. Казань)"

10 октября, Москва - Secure World 2013

22 - 23 октября, Москва - Information Security Russia 2013

24 октября, Пермь - Конференция "Код Информационной безопасности (г. Пермь)"

Ноябрь

7 - 8 ноября, Москва - ZeroNights 2013

14 ноября, Нижний Новгород - Конференция "Код информационной безопасности (г. Нижний Новгород)"

28 ноября, Москва - IV Всероссийская конференция «Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud Russia - 2013»
Рубрики:  Безопасность
Дайджесты и рецензии

Метки:  

Репутация устройств

Дневник

Вторник, 14 Мая 2013 г. 10:46 + в цитатник
Центробанк планирует выпустить навую версию 382-П, в которой планируется фиксировать информацию не только об инцидентах, но и об окружении, в котором такая транзакция осуществляется. Технические специалисты тут же заговорили о том, что это бессмыслено, что все идентификаторы устройств можно поменять и мошенника так всё-равно не найдёшь. Однако ЦБ, возможно, мыслит несколько другими категориями, и цель его состоит не в поимке преступника, а в том, чтобы не дать мошеннику совершить подозрительную транзакцию.

Сременные техногиии оценки риска банковских операций опираются на репутацию людей, которые обрщаются в банки за получением финансовых услуг. Однако хрнить базу данных по репутации того или иного человека входит в конфликт с законом о персонаьных данных. В результате, банки идут на самые различные ухищрения, чтобы формально соблюсти букву закона, а на самом деле всеми правдами и неправдами собрать-таки эти данные о репутации человека.

Впрочем, это не единственный путь оценить риск операции, просто собирать данные нужно не по людям, а по устройствам, которыми они пользуются. Наиболее рискованные операции сейчас связаны с дистанционным банковским обслуживанием. А оно, как правило, совершается с помощью различных устройств: компьютеров, планшетов или сматфонов. Причем вряд ли мошенник будет воровать деньги через ДБО с помощью тогоже устройсва, которым пользуется легальный клиент. Скорее всего он для этой операции будет использовать своё оборудование. Стало быть устройство не хуже аутентифицирует пользователя системы, чем документы, но права этих устройств российским законом не защищаются. Таким образом, собирая информацию об устройствах, а не о пользователях, будет меньше шансов нарушить закон.

Действительно, мошенник может легко изменить MAC-адрес и даже IMEI своего устройства, однако рпутация у него будет нулевая, и банк будет воспринимать такую транзакцию как подозрительную - например, запросит у клиента дополнительное подтверждение. Конечно, сейчас мошеннические транзакции выполняют прямо с компьютеров легальных клиентов, репутация которых достаточно высока. Однако и в этом случае система может достаточно быстро выявить аномалии и предположить, что устройство было взломано. А если учесть, что мошенники вынуждены разбивать транхакции по времени и воровать небольшими порциями, то и украсть даже со взломанногл компьютера до того, как система поднимет тревогу, скорее всего, получится не много.

Следует отметить, что такой сервис по определению репутации устройств предлагает компания iovation, которая уже активно ипользует его за рубежом. Для проверки репутации устройства компании достаточно в свой сайт добавить код, который формирует слепок устройства, который потом можно передать в сервис и проверить насколько хорошая репутация у данного устройства. Причем отследить с помощью этого сервиса можно не только компьютеры, планшеты и смартфоны, но и банкоматы и другие устройства. Хотя пока пользователей сервиса в России нет, тем не менее репутация у российских устройств уже начинает формироваться, как клиентами иностранных банков, которые приезжают в Россию, так и самими российскими пользователями, которые совершают покупки в иностранных сервисах.

В России услуги iovation будет представлять компания Experian, которая уже предлагает систему определения репутации первичных документов "национальный Хантер". Вполне возможно, что аналогичную систему дополнительных сигналов о подозрительных транзакциях собирается создать и Центробанк - это позволило бы сократить количество мошеннических транзакций и сделать национальную платёжную систему более безопасной. А именно это и является целью ЦБ!
Рубрики:  Блог
Защита

Метки:  

Советы по мобильной безопасности

Дневник

Вторник, 02 Апреля 2013 г. 09:31 + в цитатник
Десять советов как обезопасить свой мобильный телефон (по рекомендациям Дениса Масленникова и моему опыту)

  1. Не нажимайте на подозрительные ссылки в пришедших вам SMS/email/сообщениях в соцсетях. Злоумышленники часто используют подобные ссылки для заманивания на свои вредоносные сайты, да и сами ссылки иногда содержат вредоносные скрипты
  2. Избегайте взломов устройства (jailbreak/root). На взломанном устройстве встроенная в операционную систему защита сильно ослаблена. К тому же взламывают устройство часто для установки посторонних программ из ненадёжных источников, что также делать не рекомендуется.
  3. Храните самую важную информацию на устройстве в зашифрованном виде. Для этого можно использовать встроенные в операционную систему механизмы с блокировкой устройства по паролю. Некоторые программы также предлагают собственные механизмы шифрования - не стоит пренебрегать этой возможностью.
  4. Не пользуйтесь сетями Wi-Fi, в надежности которых не уверены, например публичными сетями в аэропортах и кафе. Такие сети могут использовать злоумышленники для перехвата ваших сеансов и внедрения в них своих вредоносных сценариев.
  5. Регулярно обновляйте ОС и дополнительные приложения. Рекомендуется установить настройки в режим автообновления - тогда программы и сама операционная система будет самостоятельно обновляться как только появятся новые версии программного обеспечения.
  6. Используйте механизмы резервного копирования, которые предлагают производители устройств. Это пригодится для сохранения данных в случае выхода устройства из строя. Если не доверяете хранение своих данных в облачном хранилище производителя, то можно сохранять резервные копии в собственном SAN - производители устройств предлагают такую возможность.
  7. Читайте разрешения, которые программа запрашивает при установке. Иногда по набору этих разрешений можно определить, подозрительную функциональность программы. Например, популярная игра Angry Birds при установке зачем-то запрашивает разрешение на определение вашего местоположения.
  8. Внимательно относитесь к рекламным сообщениям, которые появляются в бесплатных приложениях и играх. Производители не всегда могут контролировать содержимое рекламных сообщений, поэтому они иногда также ведут на вредоносные сайты с последующей установкой вредоносного ПО
  9. Минимизируйте использование браузера. Именно браузер является одним из частых путей проникновения в систему. На мобильных устройствах лучше пользоваться мобильными приложениями, а для осмотра веб-страниц - таки сервисами как Pocket, Instapaper или Readable.
  10. Используйте комплексную систему защиты, включающую противоугонную функцию дистанционной блокировки/удаления данных. Не всегда можно самостоятельно определить является ли программа вредоносной, поэтому стоит проверить их с помощью специальных механизмов защиты.

Следует отметить, что операционные системы мобильных устройств достаточно надёжны и имеют сильные механизмы защиты от проникновения, поэтому самым популярным методом проникновения на мобильные устройства является социальная инженерия. Для защиты от неё есть только один эффективный механизм - мозг!


Рубрики:  Блог
Защита

Метки:  

Маленькие хитрости: удаленное подписание документа

Дневник

Пятница, 29 Марта 2013 г. 12:23 + в цитатник
В системах документооборота с использованием терминального доступа, например, по технологии Citrix, возникает потребность подписывать документы в удалённом режиме. Причем по соображениям безопасности и ограничения канала передавать подписываемый документ на сторону пользователя не хочется. Просмотреть документ пользователь может через терминальную сессию, по которой сам документ не передаётся, но только его изображение, которое в некоторых случаях может быть компактнее. По требованиям безопасности также не стоит передавать секретный ключ сертификата на сервер, где обрабатывается документ. Как же в таких условиях подписать документ?

Ответ прост - подписывать секретным ключом нужно не сам документ, но его хеш. В такой схеме криптографическая хеш-функция отрабатывает на сервере и результат его работы передается через терминальную сессию на клиент, где пользователь с помощью своего ключа зашифровывает хеш и передает его обратно на сервер, где он присоединяется к документу. Схема полностью соответствует требованиям ФЗ-152 и другим нормативам, поскольку секретный ключ не покидает устройства пользователя. Только важно для подписания использовать сертифицированные библиотеки, причем как на сервере, так и на клиенте.

В частности, компания "Газинформсервис" реализовала подобную схему подписи в своем продукте из линейки "Блокхост", который предназначен для работы в терминальном режиме. Документы не покидают сервера, а терминальные клиенты подписывают хеши документов, передаваемые на устройства по специальному протоколу, разработанному Citrix для реализации подобных дополнительных функций при терминальном доступе. В качестве библиотек шифрования с обоих сторон используется "КриптоПро CSP", который на сервере генерирует криптографический хеш, а на клиенте подписывает документ с использованием криптографического ключа.
Рубрики:  Блог
Продукты

Метки:  

 Страницы: [1]