четверг, 30 декабря 2010 г.

HackQuest 2010 закончен!


В конкурсе приняло участие более 750 специалистов из 20 стран мира, включая Россию, Китай, Украину, Казахстан, Германию, США.

По итогам соревнования, среди участников, которые успешно справились со всеми заданиями, лидерами являются следующие участники:


  • rdot.org (первое место);
  • Andrey1800 (второе место);
  • nucro (третье место).

Примечательно также и то, что шесть из восьми победителей соревнования – из России, а двое из Украины.



Подробности:
http://devteev.blogspot.com/2010/12/hq2010.html
http://www.securitylab.ru/contest/403763.php

Огромное спасибо всем, кто приложил к конкурсу свою руку, голову и кошелек!
Хвала победителям!
И естественно - спасибо участникам!

вторник, 21 декабря 2010 г.

Hack Quest +100



Страсти накаляются!

Сумеет ли кто-то достичь заветного рубежа в 137 очков?

Следим тут:

http://www.securitylab.ru/hq2010/list.php


вторник, 14 декабря 2010 г.

Seclab - 10 ЛЕТ!


Ура!

Long Live SecurityLab!

Следите за анонсами, призами и конкурсами на портале http://www.securitylab.ru/!


Из того, что уже не секрет:

15 декабря с 12:00 MSK стартует online-соревнование по защите информации - Hack Quest 2010. У каждого есть возможность почувствовать себя настоящим злобным хакером (aka зохер) и за(по/пере)хокать все что найдет в игровой сети!

Подробности тут:

http://www.securitylab.ru/hq2010/




воскресенье, 12 декабря 2010 г.

четверг, 9 декабря 2010 г.

Борьба с мошенничеством в сфере высоких технологий

Вчера посетил конференцию "Борьба с мошенничеством в сфере высоких технологий".

http://antifraudrussia.ru/

Получилось достаточно живо, и "по теме".






Жду комментариев

Shared Personal Data

Две новости с минимальным разрывом. Очень забавно вышло. 


Операторы персональных данных вновь получили отсрочку

Законопроект "О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных") принят Госдумой в первом чтении.

http://www.securitylab.ru/news/400089.php 



Россия: Сотовый оператор выложил в Сеть персональные данные абонентов



Дальневосточный оператор БИТ допустил утечку документов, в результате которой около года в открытом доступе находились персональные данные его 11 тыс. клиентов, а также данные о его обмене трафиком с другими операторами региона.

http://safe.cnews.ru/news/top/index.shtml?2010/12/09/419487 


В последнем особенно позабавило

"Факт утечки был обнаружен экспертом по информационной безопасности Ильей Шабановым 8 декабря 2010 г. в результате регулярного мониторинга Сети. "

и

"Изучение документов, выложенных на ftp-сервере, позволило CNews ознакомиться с отчетностью, содержащей персональные данные более чем 11 тыс. абонентов БИТ."

Интересно, на каком основании Cnews осуществляет несанкционированный доступ к охраняемой законом информации и так спокойно об этом рассказывает. Или что-то изменилось у нас в законодательстве? Тот факт, что информация лежит на "открытом ftp" ничего не меняет. 

И в конце, пользуюсь служебным положением, процитирую Дмитрия Кузнецова.


Как Вы расцениваете эффективность обсуждаемой сейчас очередной отсрочки (на полгода) вступления в силу требований к информационным системам, созданным до 2006 года? Действительно ли это позволит кому-то решить проблемы или же просто на полгода оттянет неизбежное?


В отличие от предыдущей отсрочки, данная отсрочка имеет исключительно технический характер. Сейчас Госдума готовится к рассмотрению во втором чтении законопроекта № 282499-5, который внесет очень существенные поправки в действующую редакцию, в том числе – в порядок государственного регулирования защиты персональных данных. Поэтому перенос сроков – ожидаемая мера, которая позволит операторам дождаться принятия этих поправок.

Если говорить о переносе сроков (особенно – прошлогоднем) как об “оттягивании неизбежного”, то такая постановка вопроса несправедлива ни по отношению к законодателю, ни по отношению к операторам. Скорее этот перенос свидетельствует о способности органов государственной власти не только совершать ошибки, но и признавать их. В августе 2007 г. Правительство выпустило распоряжение № 1055-р, поручив ФСБ и ФСТЭК в течение шести месяцев разработать требования по защите персональных данных. Таким образом, предполагалось, что с момента принятия требований у операторов будет два года на их выполнение. Впрочем, невыполнимость подобного распоряжения уже тогда была понятна специалистам, и дальнейшие события это подтвердили. Первые версии документов, выпущенные ведомствами, вызвали резкую критику со стороны профессионального сообщества и фактически так и не были введены в действие. Так что первый перенос сроков отчасти был вызван фактическим отсутствием на тот момент требований, которые должны были бы быть выполнены операторами. Действующие требования ФСТЭК появились только в феврале 2010 г., а требования по криптографической защите персональных данных не введены в действие и по сей день.

В настоящий момент всем хорошо понятно, что разработать единые требования для всех отраслей невозможно, и события развиваются по пути инициативной разработки отраслевых требований самими операторами (отраслевой стандарт Банка России, отраслевой стандарт операторов связи, ведомственные документы Минздравсоцразвитьия и т.п.). Есть надежда, что эта практика будет закреплена законодательно, и это позволит сдвинуть дело с мертвой точки.



Какую часть рисков, связанных с выполнением требований законодательства о ПДн, позволяют решить продукты и услуги Вашей компании, а какую часть работ заказчику неизбежно нужно решать самостоятельно?


В приказе ФСТЭК №58 от 05.02.2010, регулирующем методы защиты персональных данных, появилось одно важное на наш взгляд нововведение: оператор должен построить систему защиты персональных данных, но и контролировать ее, своевременно выявляя и устраняя недостатки в обеспечении безопасности, уязвимости, ошибки в конфигурации, которые неизбежно возникают в ходе эксплуатации любой информационной системы. Система контроля защищенности и соответствия стандартам MaxPatrol, разработанная нашей компанией и уже внедренная многими организациями, позволяет оператору самостоятельно реализовать и автоматизировать такой контроль для информационных систем любой сложности и любой территориальной распределенности с минимальными затратами человеческих ресурсов.

Еще одним направлением нашей деятельности является разработка технических стандартов, определяющих безопасную конфигурацию наиболее распространенных программ и программно-аппаратных платформ, используемых в основе многих информационных систем персональных данных. Не секрет, что требования методических документов по защите персональных данных достаточно общи, и далеко не всегда операторы способны оценить достаточность применяемых ими механизмов защиты. Использование наших стандартов в качестве связующего звена между методическими документами и фактически используемыми средствами защиты информационных систем позволит операторам и надзорным органам выработать одинаково понимаемые критерии оценки деятельности операторов по технической защите персональных данных.

Кроме того, ЗАО «Позитив Текнолоджиз» оказывает услуги по анализу защищенности информационных систем, помогая компаниям выявлять и устранять недостатки, которые могут использоваться злоумышленником для несанкционированного доступа к информационным системам. Эти услуги востребованы кредитными организациями, операторами связи, промышленными предприятиями и другими организациями, в деятельности которых информационные системы играют ключевую роль.


Испытываете ли Вы как поставщик услуг в сфере информационной безопасности какие-либо сложности и затруднения в связи с действующим законодательством в сфере ПДн (проблемы компаний - операторов ПДн понятны)? Если да, то в чем они проявляются?


Напротив, на сегодняшний день мы наблюдаем повышеный интерес компаний к вопросам информационной безопасности. Причем, если несолько лет назад одним из мотивов было соответствие формальным требованиям (будь то требования государственных регуляторов, ISO 27001 или PCI DSS), то сегодня на первое место ставятся имено практические аспекты защиты от фактически используемых методов атак. Складывается ощущение, что постоянно муссируемая тема защиты персональных данных заставляет руководство компаний задуматься над вопросами безопасности и более трезво оценивать готовность своих компаний к современным вызовам. И это не может не радовать.

среда, 8 декабря 2010 г.

Google hacking hands-on

Мы - молодцы!

Исследовательский центр «Positive Research» отмечен благодарностью компании Google за помощь в повышении безопасности сервисов и приложений этой компании и помещен в виртуальный «Зал Славы» Google Security Hall of Fame.

Программа «Google Security Reward» привлекла внимание множества исследователей. В рамках программы была предоставлена легальная возможность проанализировать безопасность сервисов и приложений компании Google. Открытой оценке защищенности могли быть подвергнуты не только приложения, такие как Google Chrome, но и интерактивные сервисы: поисковая система google.com и почтовый сервис gmail.com, видеосервис youtube.com, сервис блогов blogger.com, социальная сеть orkut.com.







По результатам проведенного экспертами Исследовательского Центра «Positive Research» анализа было обнаружено несколько уязвимостей различной степени риска, которые были проанализированы и устранены специалистами Google. В качестве благодарности за помощь в повышении защищенности, Исследовательский центр «Positive Research» помещен в вириальный «Зал славы безопасности Google» Google Security Hall of Fame ( http://www.google.com/corporate/halloffame.html ).


Детали:

http://devteev.blogspot.com/2010/12/rewarding-web-application-security.html

http://www.securitylab.ru/news/400057.php