1 Отзыв 23 Апр 2014, Анастасия Ковязина
Очень часто в процессе сбора первичной информации о бизнес-процессах обработки персональных данных между Заказчиком и компанией, разрабатывающей систему защиты персональных данных, возникает недопонимание в части того, какие виды информации обрабатываются в информационной системе. На вопрос: «Обрабатываете ли вы биометрические персональные данные?» часто можно услышать: «Нет… А вот скан-копия разворота 2 и 3 страницы паспорта работника/клиента Компании с фотографией является биометрическими персональными данными?»
Давайте детально разберем этот вопрос, чтобы Операторы персональных данных имели четкое представление, что же за категории (виды) персональных данных они обрабатывают. Читать полностью »
Possibly Related Posts:
Ваш отзыв 15 Апр 2014, Вадим Голованов
11 апреля мир увидел новую версию сканера Nmap 6.45, получившего в свой арсенал около десятка новых скриптов, в том числе очень актуальный сейчас скрипт ssl-heartbleed для поиска серверов, открытых для атаки через уязвимость Heartbleed в OpenSSL.
Помимо этого, сканер поддерживает новые скрипты http-dlink-backdoor для выявления маршрутизаторов DLink с известным бэкдором, quake1-info для получения информации об игроках и игровых серверах Quake 1, http-ntlm-infoдля изучения серверов, требующих прохождения NTLM-аутентификации, sstp-discover для поиска серверов, работающих по протоколу Microsoft Secure Socket Tunnelling Protocol, rfc868-time для получения даты и времени с серверов времени RFC 868, weblogic-t3-info для определения протокола T3 RMI, который используется в программном обеспечении Oracle/BEA Weblogic, брутфорсерhttp-iis-short-name-brute для выявления уязвимых серверов Microsoft IIS и извлечения «сокращенных имен» файлов и папок из корневой папки. В Nmap 6.45 реализована поддержка idle-сканирования для IPv6 и проч.
Новая библиотека unicode помогает корректно кодировать и декодировать UTF-8, UTF-16, CP437 и прочие наборы символов Unicode. Библиотека tls предназначена для обработки функций, связанных с протоколами SSLv3 и TLS: соответствующие изменения внесены в скрипты ssl-enum-ciphers, ssl-date и tls-nextprotoneg. Библиотека и скрипт unittest помогают добавлять юнит-тесты к библиотекам NSE, а брутфорсер telnet-brute научился работать в параллельных потоках.
Также разработчики исправили несколько багов в программе и скриптах, в том числе сбой при сканировании SOCKS4-only прокси, баг с обработкой символов подчеркивания в скрипте ntp-info, баг с вычислением контрольной суммы UDP и др. Улучшению подверглась и производительность программы за счет создания приоритетного потока для обработки таймеров и таймаутов.
Possibly Related Posts:
1 Отзыв 08 Апр 2014, Вадим Мезенцев
Сегодня была обнаружена серьёзная уязвимость в OpenSSL. Ему присвоен CVE-2014-0160.
Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур Heartbeat для протокола TLS. Кто угодно может получить доступ к оперативной памяти компьютеров, кто использует уязвимую версию OpenSSL Злоумышленник может получить доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде, не оставляя при этом следов проникновения.
Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
- Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
- CentOS 6.5, OpenSSL 1.0.1e-15)
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
- FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.
Проверить сервис на уязвимость можно тут.
Техническое описание бага тут.
Современные дистрибутивы уже обновили OpenSSL и достаточно лишь обновить свою систему.
Possibly Related Posts:
Ваш отзыв 06 Апр 2014, Алексей Марков
Радостно сообщаем, что очередной номер журнала «Вопросы кибербезопасности» включен в РИНЦ!
Читатели нового номера могут ознакомиться с интервью сенатора Гаттарова Руслана Усмановича. Также в номер вошли материалы по терминологии, понятийному аппарату и нормативной базе информационной и кибербезопасности, проблемные вопросы использования honeypots и безопасности программных приложений, а также правовые аспекты. Отдельного внимания заслуживает статья американских коллег из фирмы AsTech Consulting, специализирующейся на аудите безопасности программного кода. Также в журнале продолжилась публикация учебных материалов по подготовке к сдаче CISSP.
Содержание номера следующее:
- Гаттаров Р.У. Концепция стратегии кибербезопасности // Вопросы кибербезопасности. 2014. № 1(2). С. 2-4.
- Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В. Кибербезопасность как основной фактор национальной и международной безопасности XXI века (Часть 2) // Вопросы кибербезопасности. 2014. № 1(2). С.5-12.
- Макаренко С.И., Чукляев И.И. Терминологический базис в области информационного противоборства // Вопросы кибербезопасности. 2014. № 1(2). С. 13-21.
- Безкоровайный М.М., Татузов А.Л. Кибербезопасность — подходы к определению понятия // Вопросы кибербезопасности. 2014. № 1(2). С. 22-27.
- Марков А.С., Цирлов В.Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). С. 28-35.
- Рибер Г., Малмквист К., Щербаков А. Многоуровневый подход к оценке безопасности программных средств // Вопросы кибербезопасности. 2014. № 1(2). С. 36-39.
- Жидков И.В., Кадушкин И.В. О признаках потенциально опасных событий в информационных системах // Вопросы кибербезопасности. 2014. № 1(2). С. 40-48.
- Калашников А.О. Пример использования теоретико-игрового подхода в задачах обеспечения кибербезопасности информационных систем // Вопросы кибербезопасности. 2014. № 1(2). С. 49-54.
- Язов Ю.К., Сердечный А.Л., Шаров И.А. Методический подход к оцениванию эффективности ложных информационных систем // Вопросы кибербезопасности. 2014. № 1(2). С. 55-60.
- Карцхия А.А. Кибербезопасность и интеллектуальная собственность. Часть 1 // Вопросы кибербезопасности. 2014. № 1(2). С. 61-66.
- Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: Основные концепции // Вопросы кибербезопасности. 2014. № 1(2). С. 67-73.
С указанными и другими публикациями журнала «Вопросы кибербезопасности» можно ознакомиться на сайте научной электронной библиотеки — elibrary.ru или на сайте журнала — cyberrus.com.
Кстати, полный номер журнала доступен по ссылке: Вопросы кибербезопасности. 2014. № 1(2). 76 с (pdf, 4 Мб).
Приглашаются талантливые авторы оригинальных публикаций по тематикам информационной и кибербезопасности!
Possibly Related Posts: