Архив за Август, 2013

День знаний или новый семестр по информационной безопасности и защите данных

Ваш отзыв

Обучение, переподготовка, повышение квалификации в области безопасности информации и кибербезопасности

 

 

В преддверье 1 сентября — Дня Знаний — хочется отметить некоторые особо интересные компьютерные курсы и курсы в области технической защиты информации, которые проводятся в нашем учебном центре «Эшелон» в этом семестре. Напомним, что в нашем учебном центре работают только практики.

Подробнее:

Possibly Related Posts:


InfoSecurity Russia 2013 — главная выставка-конференция по информационной безопасности в сентябре

Ваш отзыв

InfoSecurity Russia 2013 Moscow

 

Не успел коллектив нашей компании НПО «Эшелон» отойти от впечатлений InfoSecurity Europe 2013 (London), как на подходе уже другое, не менее грандиозное событие года, как InfoSecurity Russia 2013 (Moscow)!

Так, уже с 25-го по 27-го сентября 2013 года в Москве, в Крокус Экспо (павильон №2) будет проходить одна из знаковых выставок рынка информационной безопасности — InfoSecurity Russia 2013.

В рамках выставки компания НПО «Эшелон» традиционно представит свои интересные продукты и услуги в сфере комплексной безопасности, в том числе самые новинки.

На стенде «НПО «Эшелон» #B4-1 пройдут интересные выступления ведущих экспертов компании:

25 сентября

  • 12.00-12.30 «Аттестация: что, зачем и как?», Петр Васильев, директор департамента аттестации
  • 13.00-13.30 «Лицензирование в области ИБ: новые тенденции», Игорь Шахалов, заместитель генерального директора по экспертизам
  • 14.00-14.30 «Сертификация по новым правилам ФСТЭК России: что требуется от разработчика?», Александр Барабанов, CISSP, CSSLP, директор департамента сертификации и тестирования
  • 15.00-15.30 «Обучение специалистов ИБ: погоня за знаниями или сертификатами?», Александр Дорофеев, CISA, CISSP, директор учебного центра «Эшелон»

26 сентября

  • 12.00-12.30 «Защита персональных данных: что изменилось после ввода новых требований?», Евгений Веселов, CISSP, директор департамента проектирования и консалтинга
  • 13.00-13.30 «SIEM-системы: панацея или развод клиента на деньги?», Андрей Фадин, CISSP, главный конструктор
  • 14.00-14.30 «Мастер-класс: атаки на пользователей. BeEF Framework», Антон Конвалюк, эксперт по анализу защищенности
  • 15.00-15.30 «Стандарты серии ISO 27000: обзор, применение, российская перспектива.», Александр Дорофеев, CISA, CISSP, директор учебного центра «Эшелон» 15.30-16.00 «Абстрактная сертификация по ГОСТ Р ИСО 9001 или реальная по ГОСТ Р ИСО 27001?», Игорь Шахалов, заместитель генерального директора по экспертизам

27 сентября

В рамках конференции планируется несколько выступлений экспертов компании.

  • Исполнительный директор ЗАО «НПО «Эшелон» Валентин Цирлов, кандидат технических наук, CISSP, AMBCI, выступит с экспертным докладом «Сертификация по новым правилам или Общие критерии в действии» в рамках секции конференции «IT-Инфраструктура».
  • В той же секции главный конструктор компании Андрей Фадин, CISSP, представит свой доклад «Мониторинг событий ИБ: теория и практика».
  • В рамках семинара международной ассоциации ISACA директор учебного центра «Эшелон» Александр Дорофеев, CISA, CISSP осветит вопросы применения методологии COBIT в области ИБ в рамках своего выступления «Применение COBIT для управления информационной безопасностью».

Компания НПО «Эшелон» так же готовит увлекательную интерактивную часть, а именно конкурс для всех желающих проверить свои знания в области компьютерной  безопасности на практике. Участникам представится возможность взломать защищенный сайт и получить за это вкусный приз.
Для того чтобы получить билет на выставку необходимо пройти электронную регистрацию по следующей ссылке: http://www.infosecurityrussia.ru/2013/expo/npo-echelon

 

Possibly Related Posts:


Экстерриториальность информационной безопасности в рамках Москвы-реки

3 комментария

В разгаре лето,  наша компания НПО «Эшелон» традиционно решила провести трудовой день не в офисе, а на Москве-реке.

Веселой компанией мы шли на речной вокзал.


Сделали традиционную фотографию нашей команды перед зданием речного вокзала.

 

Звезды великого советского прошлого улыбались нам.


На причале нас ждал белоснежный корабль с загадочным именем «Троттер» (по данным Википедии это фамилия, которую носили несколько знаменитостей от влюбленного поэта до астронома).


Чтобы работа в таких условиях спорилась, на корабль в большом количестве был доставлен специальный провиант.


И домашний лимонад.


После обильного обеда, некоторые не очень сознательные сотрудники почему-то рекламировали конкурентов…,

а сознательные — Бауманку, родной вуз для многих членов нашей команды!!

Как выяснилось, палуба корабля может стать хорошим танцполом.

При этом загадочные улыбки девушек обеспечили нам удивительную солнечную погоду!!


По пути нам периодически встречались дикие пляжи.


Романтическое движение по живописной реке, конечно же, располагало к рассказу самых веселых историй!


После нескольких часов плавания мы прибыли в точку назначения. Команда разделилась на группы по интересам.

Кто-то играл в мяч…

кто-то с нетерпением просто ждал вкусного шашлыка,

а кто-то просто наслаждался моментом перед веселым групповым дайвингом.

 

Possibly Related Posts:


Black Hat: взломы в шляпе

1 Отзыв

Закончилась хакерская конференция Black Hat и время подвести некоторые итоги по её завершению. event-logo-us131

1. Ломаем дома

Несколько презентаций было показано на конференции, в которых взламываются защитные системы домов. Обычные системы состоят из трех компонентов: контактные датчики на окнах и дверях, датчики движения и панель управления. Панель является сердцем системы и поднимает тревогу в случае нарушения сигналов с сенсоров. Было показано, что оконные и дверные сенсоры можно обмануть с помощью простейших вещей вроде магнитов и полосок металла, а датчики движения не реагируют на угрозу, если ослепить их инфракрасным излучением или спрятаться за большой картонной коробкой. Инфракрасное излучение достаточно создать обычной зажигалкой.

Уязвимы и панели управления защитой. Если панель работает в режиме охраны, то, получив тревожный сигнал от сенсора, панель должна реагировать – обычно отослать сигнал в полицию или хозяину на смартфон. Сигнал отправляется одним из трех способов: по обычной телефонной линии, по Интернету и по сотовой сети. Нарушить или перехватить обмен информацией можно во всех этих случаях.

Были обсуждены риски, возникающие при подключении устройств к домашней сети (обогреватели, дверные замки, бытовая техника). Успешно продемонстрирована атака.

Основная проблема, связанная с «умными» домами, заключается в том, что обновление такой системы очень затратно как по времени, так и по средствам. А если подключать систему к Интернету, надо всерьез защищать ее от удаленных атак, к чему производители пока не готовы.

2. Ломаем телефоны

Один из интересных докладов был представлен Карстеном Нолом. В его докладе он продемонстрировал атаку на SIM-карты. Нол обнаружил, что примерно в миллиарде «симок» имеется серьезная уязвимость, обусловленная использованием в них устаревшего криптоалгоритма DES. Одна из причин популярности DES — высокая скорость и низкие требования к памяти, это весьма важно в таких устройствах, как SIM-карты. Но из-за старости он достаточно легко взламывается. Операторы могут запрашивать и обновлять информацию на SIM-картах дистанционно, для этого используются невидимые SMS, телефон их не отображает, они обрабатываются самой SIM.

Как раз они и зашифровываются и подписываются криптографически. Нол смог их подделать. Обменявшись парой невидимых SMS с SIM-картой и в течение нескольких минут обработав ее ответ на компьютере, он получал ключ, с помощью которого мог убедить SIM-карту, что он и есть операторский сервер обновлений. Использовать это можно многими способами: отсылать SMS на короткие номера, управлять переадресацией вызовов, обновлять микропрограмму на карточке, а также вытаскивать с нее хранящиеся данные, например ключи платежных приложений, сохраненных на карте. Хорошая новость состоит в том, что многие операторы давно поставляют более защищенные карты с шифрованием 3DES или AES, а на базе исследования Нола некоторые операторы быстро внедрили заплатки на уровне сети.

3. Ломаем ТВ

Набирающий популярность SmartTV так же подвергся взлому. Исследователи продемонстрировали, что атакующий может дистанционно установить контроль над рядом приложений телевизора, чтобы украсть с него информацию об учетных записях пользователя, а также воспользоваться оборудованием телевизора, в которое все чаще входят камера и микрофон. Также телевизор может быть первым шагом к проникновению на другие устройства домашней сети.

4. Ломаем авто

На конференции был предоставлен доклад, в котором исследователи с помощью ноутбука смогли перехватить управление автомобилем. При взломе не было никакой возможности перевести на ручное управление многие компоненты, но было обнаружено, что управлять частью из них вполне возможно. Компоненты, которые НЕ поддавались принудительному переводу в ручной режим: включение дворников лобового стекла, открытие багажника, отключение парковочного блокиратора, управление звуковой сигнализацией, выключение всего вспомогательного света, стеклоподъемники и центральный замок дверей, включение форсунок стеклоомывателя, переключение всех режимов фар, а также стоп-сигналов. В двигателе можно было временно увеличить обороты. Вот что действительно тревожно, так это возможность освобождать один или сразу все тормоза. К досадным, но неопасным вещам можно отнести возможность управления магнитолой и сигнализацией. Наконец, исследователи смогли дистанционно управлять показаниями спидометра и тахометра, удаленно запускать и переводить в аварийный режим работы двигатель. Помните, для всех перечисленных функций не существует доступного ручного управления.

В данный момент эксплоит возможно применить, получив полный доступ к автомобилю.

5. Ломаем интернет

Одно из более абстрактных, но при этом очень тревожных исследований, представленных на Black Hat, – это обзор последних достижений математики и компьютерной техники, благодаря которым вся инфраструктура безопасности в Интернете может рухнуть в течение 2–5 лет. Доверие к сайтам и защита от перехвата информации основаны на шифровании SSL и сертификатах, причем для обмена ключами и цифровыми подписями активно используется алгоритм RSA. Именно он может скоро отправиться на ту же полку, что и упомянутый ранее DES, – 40 лет подбор ключей RSA представлял собой вычислительно неразрешимую проблему, но скоро это может измениться.  Чтобы избежать «глобальной поломки Интернета», каждый производитель продуктов, хоть как-то относящихся к Сети, будь то браузер, веб-сервер, система видеонаблюдения или смартфон, должен начать обновление программ в своей продукции для использования более совершенной криптографии. И начинать нужно прямо сейчас.

 

Possibly Related Posts:


Методический сбор Управления ФСТЭК России по Дальневосточному федеральному округу

Ваш отзыв

31 июля – 2 августа 2013 г. в Якутске был проведен Методический сбор по информационной безопасности ведомственных органов по аттестации и лицензиатов Федеральной службы по техническому и экспертному контролю в территориальных рамках Дальневосточного федерального округа страны.

         Файл:Coat of Arms of Yakuts (Yakutia) 2012 2.jpg

На Методическом сборе, который проходил в Здании Правительства Республики Саха (Якутия) и в Здании МВД по Республике Саха (Якутия)  были организованы конференция, выставка технических средств защиты информации и круглый стол по тематике. Методический сбор был организован согласно планам Управления ФСТЭК России по ДФО при поддержке ЦА ФСТЭК России и непосредственном участии Правительства Республики Саха (Якутия) и МВД по Республике Саха (Якутия).

Мероприятие прошло на самом высоком организационном и техническом уровне, в работе Методического сбора лично приняли участие Заместитель председателя Правительства РС (Я) и Министр внутренних дел по РС (Я).

Всего в Методическом сборе приняло участие более 200 специалистов, в том числе от Администрации Президента и Правительства Республики Саха (Якутия), Администрации городского округа «Город Якутск», МКУ «Управление образования» ГО «Город Якутск», ГБУ РС (Я) «Национальное агентство «Информационный центр при Президенте РС (Я)», ГБУ РС (Я) «Республиканский центр инфокоммуникационных технологий», ГБУ РС (Я) «Центр информатизации бюджетного процесса при Минфине РС (Я), ГБУ СО «Сахалинский областной центр информатизации», а также от подразделений МВД, Минсвязи, Минфина, Минкультуры, Минархитектуры, Минобразования, Минсельхоза, Минтруда, Минздрава, Минприроды, МЭПП, Минимущества, Минспорта, Минюста, Минмолодежи, Минвнешсвязи, ГФС, Роскомнадзора, Россельхознадзора, Ространснадзора, Роспотребнадзора, Росстата, ФАС, ФСБ, ФСО, ФСИН, ФК, ФСКН, ФСТЭК, ФТС по различным субъектам Дальневосточного федерального округа  и многих других. На Методическом сборе были представлены также организации, специализирующиеся в области услуг и создания средств защиты информации, как-то: «Инфосистемы», НПО «Эшелон», «Комсомольский-на Амуре авиационный завод им. Ю.А.Гагарина», «Амурская ЭРА», «Конфидент», ДСЦ «МАСКОМ», УЦ «Эшелон», УЦБИ «Сюртель», НПЦ «КейСистемс», «Инфотекс» и другие.

От группы компаний НПО «Эшелон» выступил с докладом Максим Илюхин  по теме «Выполнение требований по контролю эффективности защиты информации и анализу защищенности информации на аттестованных объектах информатизации».

Отрадно, что Руководство Управления ФСТЭК России по ДФО положительно отметило активность нашей компании, в частности генеральный директор НПО «Эшелон» Алексей Марков был награжден Памятным знаком «ФСТЭК России Дальневосточный федеральный округ».

 

Possibly Related Posts: