Много може да бъде написано за сигурността на информацията. Това как да не бъде изнесена от вътрешни хора, как да не бъде открадната от външни, как да се предпази от унищожение или да бъде осигурена нейната постоянна достъпност. Тук ще се концентрирам върху предпазване от кражба на информация чрез проникване отвън – и ще ви представя най-лесния, най-ефективния, и най-краткия откъм описания метод
Александър Свердлов (More …)
Productivity killer of a panacea for interpersonal communication on the Internet? For each one, they are something different, maybe that is why they’re so popular. And not only for facilitating relationships and sharing information online – many people use them for business because of the extremely rapid access to a specific audience.
But this is not an advertising for social networks …
The story of the discovery of various compromising radiations from communications and Comsec equipment.
This story was recently unclassified by the NSA, so I felt the urge to publish it for the ITSEC community, with a bit of comment at the end from my side for today’s environment..
In 1962, an officer assigned to a very smaJl intelligence detachment in Japan was performing the routine duty of inspecting the area around his little cryptocenter. As required, he was examining a zone 200 ft. in radius to see if there was any “clandestine technical surveillance.” (More …)
ISO/IEC 27001 е отдавна възприет като стандарт за оценка на добре работещи процеси за ИТ сигурност в компанията. Процесът на сертифициране е много тежък, и преминава в три етапа – първоначален одит на състоянието, детайлно, задълбочено тестване на съществуващите контроли и последващ контрол след като една организация веднъж е била сертифицирана.
Имайки предвид многобройните критерии които се гледат по време на одит и сертифициране за ISO 27001 и подобни на него стандарти, много организации си поставят за цел да го придобият – отчасти заради имиджа и възможностите за бизнес които той отваря, отчасти заради усещането за постигната цел – защитена организация. (More …)
Уязвимостта на модела е свързана повече със в спокойствието на хората, които го използват, отколкото със самия модел. Ако информацията която пазите е от значително значение за сигурността на компанията или за националната сигурност има начини да подобрите демилитаризираната зона
Едва ли има компания с повече от 100 служители, която да не използва DMZ като метод за защита. Демилитаризираната зона (DMZ) – това е зоната между две защитни стени, в която се намират сървъри за уеб, мейл, или application услуги, като чак след втората защитна стена се намират потребителите от вътрешната мрежа.
Няма нищо лошо в този модел – ако някой атакува външните сървъри, това ще го забави. Разбира се, никой няма да го прави освен ако няма 0-day (уязвимост която все още не е затворена от производителя на софтуера). Обичам да визуализирам това с крадец, опитващ се да влезе в банка биейки си главата в стената… Очевидно това е идеята на банката когато строи стените си – да се предпази от подобни крадци? Преценете сами. (More …)
В предишна статия – за “Social engineering”, споменах за начини по които служтилите могат да бъдат атакувани и че е наше основно задължение да им обясним много подробно защо трябва да се спазват определени политики за сигурност. Една секретарка много по-лесно ще запомни правилата за поведение в мрежата ако и се покаже компрометиране на компютър на живо или на видео, отколкото ако и се даде да прочете 100-страничната политика за сигурност на компанията. (едно такова видео можете да видите на http://www.offensive-security.com/movies/ani/ani.html) Вместо правила от типа “недей”, опитайте да изработите такива от типа “недей, защото”. Знам че е по-лесно просто да въведете правилата за ISO сертификация по сигурността, но тази допълнителна стъпка ще е страхотна инвестиция в собствените ви служители и тяхното поведение. (More …)
При цена от няколко цента до няколко долара за пълен комплект идентифицираща информация (За България това би било ЕГН, адрес по лична карта, трите имена, номер на дебитна/кредитна карта, e-mail), можем да заключим че тя вече се превръща във валута на черния пазар. Но цената за поръчково получаване на информация за дадена компания, варира от няколко хиляди и расте според големината на компанията и ценността на получената информация. Пазарът е огромен – заради голямото търсене и предлагане. И ако искаме да не сме стока на тезгяха, е време да вземем мерки. Не е достатъчно да купим оборудване за десетки хиляди евро и да спим спокойно. Трябва да обърнем особено внимание на обучение на служителите за работа с класифицирана информация, защото те са първите атакувани и често са първите паднали в боя.
(More …)