Архив за Апрель, 2014

Что такое биометрические персональные данные?

Ваш отзыв

biometry_main

Очень часто в процессе сбора первичной информации о бизнес-процессах обработки персональных данных между Заказчиком и компанией, разрабатывающей систему защиты персональных данных, возникает недопонимание в части того, какие виды информации обрабатываются в информационной системе. На вопрос: «Обрабатываете ли вы биометрические персональные данные?» часто можно услышать: «Нет… А вот скан-копия разворота 2 и 3 страницы паспорта работника/клиента Компании с фотографией является биометрическими персональными данными?»

Давайте детально разберем этот вопрос, чтобы Операторы персональных данных имели четкое представление, что же за категории (виды) персональных данных они обрабатывают. Читать полностью »

Possibly Related Posts:


Nmap обзавелся поддержкой Heartbleed

Ваш отзыв

11 апреля мир увидел новую версию сканера Nmap 6.45, получившего в свой арсенал около десятка новых скриптов, в том числе очень актуальный сейчас скрипт ssl-heartbleed для поиска серверов, открытых для атаки через уязвимость Heartbleed в OpenSSL.

Помимо этого, сканер поддерживает новые скрипты http-dlink-backdoor для выявления маршрутизаторов DLink с известным бэкдором, quake1-info для получения информации об игроках и игровых серверах Quake 1, http-ntlm-infoдля изучения серверов, требующих прохождения NTLM-аутентификации, sstp-discover для поиска серверов, работающих по протоколу Microsoft Secure Socket Tunnelling Protocol, rfc868-time для получения даты и времени с серверов времени RFC 868, weblogic-t3-info для определения протокола T3 RMI, который используется в программном обеспечении Oracle/BEA Weblogic, брутфорсерhttp-iis-short-name-brute для выявления уязвимых серверов Microsoft IIS и извлечения «сокращенных имен» файлов и папок из корневой папки. В Nmap 6.45 реализована поддержка idle-сканирования для IPv6 и проч.

Новая библиотека unicode помогает корректно кодировать и декодировать UTF-8, UTF-16, CP437 и прочие наборы символов Unicode. Библиотека tls предназначена для обработки функций, связанных с протоколами SSLv3 и TLS: соответствующие изменения внесены в скрипты ssl-enum-ciphersssl-date и tls-nextprotoneg. Библиотека и скрипт unittest помогают добавлять юнит-тесты к библиотекам NSE, а брутфорсер telnet-brute научился работать в параллельных потоках.

Также разработчики исправили несколько багов в программе и скриптах, в том числе сбой при сканировании SOCKS4-only прокси, баг с обработкой символов подчеркивания в скрипте ntp-info, баг с вычислением контрольной суммы UDP и др. Улучшению подверглась и производительность программы за счет создания приоритетного потока для обработки таймеров и таймаутов.

Possibly Related Posts:


Уязвимость в OpenSSL

1 Отзыв

Сегодня была обнаружена серьёзная уязвимость в OpenSSL. Ему присвоен CVE-2014-0160.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур Heartbeat для протокола TLS. Кто угодно может получить доступ к оперативной памяти компьютеров, кто использует уязвимую версию OpenSSL Злоумышленник может получить доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде, не оставляя при этом следов проникновения.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:

  • Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5, OpenSSL 1.0.1e-15)
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

 

Проверить сервис на уязвимость можно тут.

Техническое описание бага тут.

Современные дистрибутивы уже обновили OpenSSL и достаточно лишь обновить свою систему.

 

Possibly Related Posts:


Новости СМИ по кибербезопасности

Ваш отзыв

Радостно сообщаем, что очередной номер журнала «Вопросы кибербезопасности» включен в РИНЦ!

Читатели нового номера могут ознакомиться с интервью сенатора Гаттарова Руслана Усмановича.  Также в номер вошли материалы по терминологии, понятийному аппарату и нормативной базе информационной и кибербезопасности, проблемные вопросы использования honeypots и безопасности программных приложений, а также правовые аспекты.  Отдельного внимания заслуживает статья американских коллег из фирмы AsTech Consulting, специализирующейся на аудите безопасности программного кода.  Также в журнале продолжилась публикация учебных материалов по подготовке к сдаче CISSP.

Содержание номера следующее:

  • Гаттаров Р.У. Концепция стратегии кибербезопасности // Вопросы кибербезопасности. 2014. № 1(2). С. 2-4.
  • Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В. Кибербезопасность как основной фактор национальной и международной безопасности XXI века (Часть 2) // Вопросы кибербезопасности. 2014. № 1(2). С.5-12.
  • Макаренко С.И., Чукляев  И.И. Терминологический базис в области информационного противоборства // Вопросы кибербезопасности. 2014. № 1(2). С. 13-21.
  • Безкоровайный М.М., Татузов А.Л. Кибербезопасность — подходы к определению понятия // Вопросы кибербезопасности. 2014. № 1(2). С.  22-27.
  • Марков А.С., Цирлов В.Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). С. 28-35.
  • Рибер Г., Малмквист К., Щербаков А. Многоуровневый подход к оценке безопасности программных средств // Вопросы кибербезопасности. 2014. № 1(2).  С. 36-39.
  • Жидков И.В., Кадушкин И.В. О признаках потенциально опасных событий в информационных системах // Вопросы кибербезопасности. 2014. № 1(2). С. 40-48.
  • Калашников А.О. Пример использования теоретико-игрового подхода в задачах обеспечения кибербезопасности информационных систем // Вопросы кибербезопасности. 2014. № 1(2). С. 49-54.
  • Язов Ю.К., Сердечный А.Л., Шаров И.А. Методический подход к оцениванию эффективности ложных информационных систем // Вопросы кибербезопасности. 2014. № 1(2). С. 55-60.
  • Карцхия А.А. Кибербезопасность и интеллектуальная собственность. Часть 1 // Вопросы кибербезопасности. 2014. № 1(2). С. 61-66.
  • Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: Основные концепции // Вопросы кибербезопасности. 2014. № 1(2). С. 67-73.

 

С указанными и другими публикациями журнала «Вопросы кибербезопасности» можно ознакомиться на  сайте научной электронной библиотеки — elibrary.ru  или  на  сайте журнала — cyberrus.com.

Кстати, полный номер журнала доступен по ссылке: Вопросы кибербезопасности. 2014. № 1(2). 76 с (pdf, 4 Мб).

 

 

Приглашаются талантливые авторы оригинальных публикаций по тематикам информационной и кибербезопасности!

 

Possibly Related Posts: