Loading...
ru

Блоги

XakSpace


В этой записи верхнеуровнево описана концепция проекта XakSpace. Не как есть, но как должно быть. 

... Читать дальше

XakSpace Сент. 15 '17 · Теги: xakspace
XakSpace


Друзья, коллеги!


Мы запускаем в тестовом режиме программу вознаграждения за активность в проекте XakSpace.ru


Мы долго взвешивали, оценивали и тестировали разные варианты - интегрировать системы микроплатежей на Bitcoin или Litecoin, создать свой токен на Ethereum и даже запустить форк одной из валют. Но все эти варианты не подходили по тем или иным причинам - медленные транзакции, высокие комиссии и слишком уж крепкая ассоциация с деньгами. 


Мы хотели скорее репутационный токен, применимый в разного рода технологиях, быстрый и легкий, без комиссий и майнеров, а так же, имеющий ценность за пределами нашей сети. 


В итоге выбор пал на технологию IOTA. Подробности можно найти здесь и здесь. 



Целями программы являются повышение активности в проекте, а так же исследование, развитие и распространения технологии IOTA


Еженедельно мы будем перечислять токены IOTA на ваш адрес соразмерно вашему еженедельному Вкладу. Свой Вклад вы видите на странице Активность. Там же вы найдете список полезных действий и размер вознаграждения за них. Список и размер вознаграждения будут меняться в процессе развития программы.


Для участия Вам необходимо быть зарегистрированным пользователем XakSpace, ввести свой IOTA-адрес в профиле и получить приглашение в группу XakSpace Bounty, для этого отправьте заявку на адрес Программы вознаграждения через страницу обратной связи. Туда же можете отправлять свои вопросы и пожелания.

XakSpace Сент. 14 '17 · Теги: iota, tangle
Денис Митин

Добрый день, коллеги!

Установив midPoint на Ubuntu, появилась мысль объяснить людям, которые не особо дружат с данной операционной системой, как установить решение от Evolveum. Сам я дел с Linux не имел (до этого момента), и чтобы люди избежали ошибок, выкладываю инструкцию. Сделал и текстовую, и видео версию.... Читать дальше
Денис Митин Сент. 11 '17 · Комментариев: 2 · Теги: idm, ubuntu, midpoint, evolveum, apache, tomcat, postgresql, guide, гайд, linux
Павел Кульков



Введение

IOTA - это новая инновационная технология распределенных баз данных, которая будет служить основой Интернета вещей (IoT).


Рожденная в 2014 году, это единственная в своем роде технология, которая может функционировать как облегченная распределенная книга с масштабируемостью, квантовым сопротивлением и децентрализацией для всех устройств IoT.


IOTA издалека напоминает технологию blockchain, но намного более продвинута и уже признана в инновационной прессе, такой как Forbes, Techcrunch, International Business Times и Huffington Post.


Технический документ можно прочитать здесь: WhitePaper


Blockchain - отличное изобретение, но оно также стигматизировано предубеждениями, потому что большинство проблем связано с человеческим фактором. Blockchain как таковой никогда не были взломан, только пользовательские интерфейсы и приложения.


Традиционные блокчейны зависят от майнеров, так сказать, вычислительных фермеров, которые ускоряют транзакции в синхронизируемой одноранговой сети и добывают небольшие части валют за счет мощности процессора.


Эти традиционные блокчейны первого и второго поколений используют комиссии, чтобы предотвратить спам в сети. Поэтому область применения часто лежит в финансовой сфере для замены валют ($, €), как биткоин. Комиссия за транзакцию Bitcoin в феврале 2017 составляла ~50 центов, в сентябре 2017 уже 5$.


У IOTA нет майнинга, нет блоков, нет сложности, нет комиссии. В IOTA пользователи являются верификаторами. Когда пользователь отправляет транзакцию, он также проверяет две предыдущие транзакции других пользователей.


Область применения устанавливается в IoT (интернет вещей), как технология для целостности данных и промышленных устройств. Кроме того, оплата по требованию, микро-платежи и Межмашинное взаимодействие, такие как сенсорная технология, умные дома и города, адаптивные системы и т. д.


Совершенно очевидно, что Биткойн и почти все другие криптовалюты не были созданы для этого. Принимая во внимание сотни тысяч нано-платежей каждый день в ближайшем будущем, эти криптовалюты будут генерировать огромные суммы сборов, только для проведения транзакций, в то время как размер этих нано-платежей часто существенно ниже комиссии.


Поэтому необходимо использовать безопасную, свободную от комиссий систему, каковой и является IOTA. Эта технология является новшеством. Основополагающая технология Tangle - это технология Blockchain третьего поколения, основанная на ориентированном ациклическом графике, созданная для решения проблем завтрашнего дня.


Легкий старт

IOTA - это новая технология, которую нелегко понять вначале. И я все еще борюсь с определенными вещами.


Мы находимся в сфере криптовалют, но мы (IOTA) также выходим за их рамки.


Блокчейны являются изобретением 2008 года, и у них много вариантов использования.


Самый известный и используемый - Биткойн, поэтому, если вы хотите понять Блокчейны, в общем, вы можете начать с понимания Биткойна и его особенностей, но также и его проблем.


Хорошим началом будет поиск образовательного видео на Youtube, чтобы получить представление:



А тут о проблемах:




Различия

Итак, поскольку IOTA не является блокчейном, у нас здесь много различий.


Вот небольшой список различий:


- IOTA основана на ориентированном ациклическом графике (DAG), известном как Tangle, а не Blockchain.

- У IOTA нет майнинга, нет блоков, нет сложности.

- IOTA не взимает комиссию за транзакции

- IOTA масштабируется почти бесконечно, в отличие от Blockchains

- IOTA создается не исключительно как валюта, а как протокол взаимодействия, который решает проблемы IoT

- IOTA хочет активизировать экономику машины

- IOTA возглавляет Фонд IOTA, неправительственная организация, зарегистрированная в Германии


Детали




Зародилась в 2014 году и созданная в 2015 году, IOTA запустила Первоначальное предложение монет (ICO), в ходе которого было инвестировано около 1337 биткойнов.


Все 2779530283277761 i были созданы в первой Genesis-транзакции.


Iota были распределены между акционерами. Не только внешние инвесторы, но и учредители и разработчики должны были инвестировать свои частные деньги.


Фонд IOTA был анонсирован в 2016 году, и с тех пор он вырос в количестве и опыте.


Фонд и разработчики IOTA:


David Sønstebø (Founder)

Dominik Schiener (Co-Founder)

Sergey Ivancheglo (Co-Founder)

Prof. Serguei Popov (Co-Founder)

Per Lind

Dr. Carsten Stöcker

Dr. Navin Ramachandran

David A. Cohen

Wilfried Pimenta de Miranda

Regine Haschka Helmer

Paul Handy (Dev)

Alfred Keller (Dev)

Alon Elmaliah (Dev)

Sabri Goldberg (Designer)

Jochen Renz

Prof. John Halamka

Prof. Cyril Grunspan (Mathematician)

Andreas C. Osowski (Dev)

Chris Dukakis (Dev)

Alexander Renz

Dr. Julie Maupin

John Edge

Lewis Freiberg (Dev)

Nick Beglinger

Jeremy Epstein (Marketing Lead Advisor)


Если вы хотите получить дополнительную информацию о деталях, я рекомендую прочитать этот пост и официальный блог IOTA.


Официальные объявления можно найти в Twitter.


Много полезной и текущей информации агрегируются в IOTA subreddit


Сообщество в Телеграмм.


Варианты использования

Чтобы понять, что на самом деле IOTA, вы должны взглянуть на варианты использования, которые находятся в разработке, и технические ограничения, которые мы уже видим прямо сейчас, и ожидаем в будущем.


Интернет Вещей, Интернет всего, как часть 4-й промышленной революции - неизведанные области, которые обещают множество возможностей.


Если вы почитаете статьи и пресс-релизы, вы получите хорошее представление о том, как IOTA будет использоваться очень скоро.




Покупка IOTA

IOTA можно купить на Bitfinex.


С помощью этой ссылки вы получите 10% скидку на комиссионные на месяц: https://www.bitfinex.com/?refcode=P6u2It6yai



Данный материал является переводом статьи IOTA- what is it, who is it? с небольшими дополнениями.

Павел Кульков Сент. 7 '17 · Рейтинг: 5 · Теги: blockchain, iota, tangle, iot, криптовалюта
Булат Шамсутдинов

Недавно запустил сайт www.threat-model.com, посвященный разработке моделей угроз. Написать об этом все не хватало времени. Но сервис заметили коллеги и начали присылать вопросы. А затем и Алексей Лукацкий упомянул его в своей статье об обязательном (!) согласовании моделей угроз ГИС (согласно ПП-555). В общем, тема разработки моделей угроз становится актуальной, поэтому расскажу пару слов о данном сайте.


Для чего это нужно и как это работает

Сервис позволяет достаточно просто и быстро создать модель угроз, удовлетворяющую проекту методики ФСТЭК. Чтобы создать модель нужно перейти на сайт и заполнить небольшую анкету. Регистрация, СМС и тому подобное не требуется. Если формулировки каких-то вопросов не понятны, можно воспользоваться всплывающей подсказкой. После заполнения анкеты, модель угроз можно  будет скачать в виде excel-таблички. 


Используемые методики

Сервис использует Банк угроз безопасности информации ФСТЭК России. В качестве методики расчета используется документ "Методика определения угроз безопасности в информационных системах". Данный документ ориентирован на государственные информационные системы (ГИС), но может использоваться и для других систем. 

В настоящее время методика находится в стадии проекта, рассматривать ее как итоговый вариант не стоит. Когда документ будет опубликован, методика расчета угроз на сайте также изменится. 

Кстати, помимо модели угроз сервис формирует и небольшую модель нарушителя (на втором листе excel-файла), с описанием базовых возможностей и соответствующим классом СКЗИ. Модель нарушителя формируется с учетом Методических рекомендаций ФСБ.


Порядок определения актуальных угроз

1) Вначале из общего перечня угроз исключаются угрозы, характерные для технологий, которые не используются в системе. Например, если пользователь отметил, что средства визуализации не используются, то соответствующие угрозы помечаются как "не рассматриваемые". Затем, по каждой угрозе проверяется соответствующий ей тип и потенциал нарушителя (информация о нем есть в Банке данных угроз). Если среди нарушителей, отмеченных пользователем, нет нарушителей с необходимым потенциалом, то такие угрозы также помечаются как не рассматриваемые.

2) Далее, для оставшихся угроз вычисляется возможность реализации, зависящая от уровня проектной защищенности и потенциала нарушителя. 

Обратите внимание, что в методике ФСТЭК допускается и альтернативный подход, основанный на определении вероятности реализации угроз. Но формализовать "вероятность" согласно текущему варианту методики довольно сложно, поэтому на сайте она не учитывается.

3) На последнем этапе определяется актуальность угроз. Актуальность угрозы зависит от возможности ее реализации, а также от степени потенциального ущерба.


Почему нет рекомендаций по нейтрализации угроз?

Получил сразу несколько таких вопросов. Предоставить рекомендации по нейтрализации угроз - хорошая идея. Но проблема в том, что большинство угроз можно "закрыть" сразу несколькими способами. Способы нейтрализации угроз - вопрос технического проекта и раздавать такие рекомендации в онлайн-сервисе - большая ответственность. Кроме того, можно ненароком начать holy war с апологетами различных решений и вендоров, что автору совершенно не нужно. Хотя, возможно, когда-нибудь, рекомендации в том или ином виде я добавлю. 


Может ли сайт заменить аудит ИБ?

Конечно, нет.  Чтобы составить полноценную модель угроз нужно проводить обследование системы с привлечением специалистов по ИБ. Но сайт может использоваться как инструмент для ознакомления с методикой моделирования угроз, а также в качестве шаблона для дальнейшей разработки.


Будет ли сервис платным?

Нет, извлекать финансовую выгоду из сервиса не планируется. Да это было бы и неправильно с учетом пункта выше. 


Планы развития

Во-первых, как уже говорилось, после утверждения методики ФСТЭК, методику на сайте также придется пересмотреть. Во-вторых, в том или ином виде, возможно появится описание способов нейтрализации угроз. Если смотреть шире, то было бы интересно добавить функции моделирования угроз по другим методикам (по методике NIST, например). Но, с учетом того, что проект некоммерческий, все это очень зависит от свободного времени автора.  


На этом, пожалуй, все. Выражаю благодарность коллегам, в частности Алексею Лукацкому и Сергею Сторчаку, за отзывы. Спасибо всем, кто прислал мне рекомендации и замечания по работе сайта. 

Любые замечания и предложения приветствуются. Вся контактная информация есть на самом сайте.

Булат Шамсутдинов Май 23 '17 · Рейтинг: 5 · Комментариев: 1 · Теги: гис, фстэк, модель угроз, полезное
Павел Кульков
Добрый день, коллеги!


Мы запустили в тестовом режиме мотивационно-репутационную систему, под кодовым названием Вклад.

... Читать дальше

Павел Кульков Апр. 22 '17 · Рейтинг: 5 · Теги: клуб, вклад
Павел Кульков

В 2008 году Сатоши Накамото изобрел биткойн и блокчейн. Впервые в истории его изобретение позволило отправлять деньги по всему миру без банков, правительств или любых других посредников. Понятие блокчейна не совсем интуитивно понятно. Но все же многие считают, что это то что сильно изменит мир.


Экономист и кинорежиссер Мануэль Стайгарс изображает эту захватывающую технологию в интервью с разработчиками программного обеспечения, криптологами, исследователями, предпринимателями, консультантами, венчурными инвесторами, писателями, политиками и футуристами из США, Канады, Швейцарии, Великобритании и Австралии.




Blockchain and Us не является видео поясняющим технологии. Оно позволяет взглянуть на эту тему гораздо шире, делает ее более доступной для понимания и заводит разговор о ее более широких последствиях.

... Читать дальше

Павел Кульков Апр. 15 '17 · Рейтинг: 5 · Теги: ethereum, blockchain, eth, dapp, dao
Денис Митин

Автор: Kihara Kimachia

Перевод: Митин Денис


Телефоны стали неотъемлемой частью нашей жизни. Вы никогда задумывались, как часто вы используете телефон в какой-нибудь повседневной задаче в самый обычный день? Полагаю, огромное количество раз. Тем не менее, я был в шоке, когда узнал, что при работе за таким важным устройством люди совершают глупые ошибки, ставя под угрозу вашу собственную безопасность!


Давайте рассмотрим десять самых распространенных ошибок, допускаемых при работе с телефоном!

... Читать дальше

Булат Шамсутдинов


Бумажная безопасность порядком надоела, поэтому я решил немного отвлечься на практику. Не так давно мне представился случай лично убедиться, с какой легкостью злоумышленник, обладающий самой минимальной квалификацией, способен обойти популярные "топовые" антивирусы. Сегодняшний пост посвящен короткой истории поединка скрипт-кидди с одним популярным антивирусом.


Но, сперва, disclaimer

1) Многое из написанного ниже, для экспертов, несомненно - боян. Но автор и не претендует на "срыв покровов". Статья призвана предостеречь тех пользователей, которые полагаются на антивирус как на панацею, при этом забывая о необходимости комплексного подхода к безопасности. 

2) Статья написана исключительно в образовательных целях. Не нужно использовать эту информацию для совершения противоправных действий.

3) Статья не пытается бросить тень на производителей антивирусов. Уверен, что они делают все возможное, чтобы совершенствовать свои продукты.



Фабула

Как-то раз нелегкая судьба безопасника (от которого часто требуют уметь все) занесла меня в пентесты. Была поставлена задача проверить уязвимость организации к вирусной атаке.
В компании использовалось антивирусное ПО от одного из топ-вендоров. Антивирусы были развернуты и на серверах (включая почтовые и прокси-серверы) и на компьютерах пользователей.
Централизованное управление и обновление тоже было.  
Неплохая защищенность и небольшой опыт в проведении пентестов не сулили затее особого успехаОднако, практическая реализация показала другое: злоумышленник может организовать атаку и обойти средства антивирусной защиты даже при помощи стандартных общеизвестных средств, доступных практически любому специалисту. Каким образом - описано ниже.
Стандартные инструменты Как уже говорилось, злоумышленнику не нужно обладать высокой квалификацией. Достаточно навыков скрипт-кидди - найти подходящий инструмент. Причем искать долго не придется - все необходимое есть в MetasploitFramework



Хотя многие специалисты по ИБ наверняка о нем слышали, на всякий случай напомню: Metasploit представляет собой средство автоматизации пентестов от компании Rapid7 и содержащее большое количество готовых эксплойтов. Помимо эксплойтов, Metasploitсодержит набор готовых «полезных» нагрузок (payloads), проще говоря - вредоносного ПО. А среди готовых «начинок» выделяется одна из самых популярных – Meterpreter. Meterpreterобладает широким функционалом: кейлоггер, запись фото и видео с веб-камеры, копирование куки и истории браузера, сбор учетных данных множества сервисов, включение RDP, заведение и удаление пользователей… Короче говоря, Meterpreter позволяет сделать с зараженной машиной практически все, что угодно. Meterpreterподдерживает различные варианты взаимодействие с сервером управления (включая TCP, HTTPS, соединение с шифрованием RC4). На роль инструмента для пентеста Meterpreterподходит прекрасно. Таким образом, злоумышленнику не нужно ничего разрабатывать, достаточно "выгрузить" Meterpreter в подходящем формате (кстати, делается это одной командой).
Но для пользователей есть хорошая новость: Meterpreterобнаруживается практически всеми антивирусами. Если выгрузить его в exe-файл и «скормить» VirusTotal, то получим такой результат:

Как видим, антивирусы, в подавляющем большинстве, детектировали Meterpreter как вредоносное ПО. Это и не удивительно: ему уже много лет.  Означает ли это победу антивируса над скрипт-кидди? Не совсем.
Антивирусы выходят из игры После 5 минут поиска в Googleнаходится сразу несколько готовых решений для обхода антивирусов. Познакомимся поближе с инструментом под названием  Shellter (сайт).
Shellter  используется для сокрытия вредоносного кода в исполняемых файлах Windows. Проще говоря, Shellter«вставляет» в нативное 32-разряднное приложение код вредоносной программы, который автоматически начинает выполняться при его запуске. Среди особенностей Shellter можно отметить минимальные изменения, вносимые в структуру исполняемого файла, использование «мусорного» кода и возможность кодирования «нагрузки». Все это затрудняет детектирование итогового файла антивирусами. В автоматическом режиме работы Shellterтребует минимального участия пользователя: Next, Next, Nextи готово. Сначала выбирается PE-файл приложения, затем – нужный payload(причем Meterpreterв Shellterуже предусмотрительно встроен). На выходе получается исполняемый файл, в котором скрыта «полезная» нагрузка в виде Meterpreter(или любого другого кода). 
Если создать зараженный файл при помощи Shellter и попытаться проверить его через VirusTotal, то увидим следующее:




Показатель детектирования просто катастрофически упал. Это означает, что большинство антивирусов, установленных на рабочих местах и серверах не определят данный файл как опасный! На все про все, включая установку Shellter, ушло от силы 5 минут

Таким образом, хотя сигнатура троянаизвестна уже много лет (Metasploit и Meterpreter входят в стандартную сборку Kali Linux), благодаря Shellter популярные антивирусы ничего не могут с ним поделать.


А как на практике?

Но тест на VirusTotal без испытаний "в поле" не показатель. Может быть при работе троян будет обнаружен по поведенческим признакам? Чтобы проверить это, протестируем файл на двух популярных антивирусах: Eset (5.0.21.26) иKaspersky Internet Securiy (17.0.0.611).


Беглое тестирование показывает следующее: 


1) Копирование и запуск файла не детектируется. 

2) При запуске инфециорованного файла сессия до сервера управления (Metasploit) успешно открывается3) При выполнении некоторых действий (например, при попытке "миграции" Meterpreter в другие процессы), процесс Meterpreter’а детектируется как угроза.
4)При попытке использования веб-камеры, KIS запрашивает разрешение пользователя.  5) Большое количество функций Meterpreter’а все равно работает без обнаружения. В частности, прекрасно работает кейлоггер, скрипты сбора учетных данных, выгрузка информации из браузеров, скриншоты рабочего стола, копирование файлов. В принципе, этого достаточно для решения злоумышленником своих задач.

Таким образом, антивирусы конечно ограничивают функционал Meterpreter, но все равно оставляют широкий простор для злоумышленника.


Выводы и рекомендации

Тест еще раз показывает, что антивирус не является сам по себе панацеей. Средства обхода антивирусного ПО весьма популярны и находятся в свободном доступе. Разумеется, после загрузки части зараженных файлов на Virustotal, антивирусные базы будут пополняться, и возможности таких средств будут сокращаться. Но для защиты от таргетированных атак это не поможет.

Это не означает, что антивирусное ПО бесполезно. Просто без должной работы с персоналом его эффективность может быть сведена на нет.


История закончилась для пользователей легким "троллингом": на рабочем столе появилось приглашение на корпоративный тренинг по ИБ. На тренинге им было рекомендовано:


  • не открывать подозрительные и рекламные почтовые вложения;
  • не включать без особой надобности макросы в документах;
  • подключать к компьютеру только проверенные носители информации;
  • устанавливать программы только с официальных сайтов;
  • не посещать подозрительные сайты;
  • проверять, куда ведет та или иная ссылка;
  • регулярно обновлять ПО (включая офисные программыи браузеры).

Конечно эти меры сами по себе не помогут обнаружить и нейтрализовать любое вредоносное ПО, но по крайней мере снизят число возможных способов заражения им.   

На этом, пожалуй, все.  

Если эта статья будет полезной - напишите в комментариях. Возможно, стоит сместить акцент блога с нормативки на практическую ИБ.

Булат Шамсутдинов Фев. 17 '17 · Рейтинг: 5 · Комментариев: 1 · Теги: антивирусы, metasploit, shellter
Денис Митин

В нашей сфере довольно часто приходится иметь дело с сетями. Хорошо когда эта сеть настроено собственноручно - можно точно знать, как она работает, как иерархия используется, у кого какой доступ. Но что делать, если вам нужно иметь дело с чужой сетью, а вы забыли свой ноутбук или на месте просто нет возможности проводного подключения? Здесь может помочь ваш собственный телефон! Ведь даже на нем есть программы, способные анализировать сеть! Я расскажу вам о тех вариантах, с которыми мне пришлось столкнуться.... Читать дальше

Денис Митин Фев. 1 '17 · Рейтинг: 5 · Теги: телефон, анализ, сети, android
Страницы: 1 2 3 »