среда, 29 октября 2008 г.

Метрики безопасности. Infosecurity 2008

Сейчас плотно занимаюсь метриками безопасности в контексте развития MaxPatrol. В связи с этим делал небольшой доклад на Infosecurity Moscow 2008. Формальная тема "Проактивный котроль", но де-факто - доклад о метриках.

пятница, 24 октября 2008 г.

Старшый и ужасный MS 08-067

Давно не появлялся такой "страшный" server-side баг. Ждем массовых эпидемий в домовых и корпоративных сетях и новой волны рассказов про страшных хакеров, которые страшнее чем добрые инсайдеры.

Подробная информация

вторник, 21 октября 2008 г.

Немного об исследованиях, экплойтах и независимости

Достаточно интересная публикация.

"Компания Secunia в погоне за клиентами своего сервиса анализа уязвимостей опубликовала очень интересный документ.
...
Результаты показывают, что даже лучший продукт обнаружил только 21% экплойтов, в то время как следующий за ним продукт - менее трех.
Но не спешите делать выводы. Давайте вчитаемся в исследование внимательней."
http://www.securitylab.ru/opinion/361583.php

Выводы на поверхности. Один из них - текущей уровень качества средств защиты абсолютно непрозрачен. Методики их оценки - тем более. Вопрос очень болезненный и непростой. Я поднимал его в свое время (http://www.bytemag.ru/articles/detail.php?ID=9065).

Особенно интересно в этом аспекте выглядит позиция некоторых производителей , скрывающих свои технологии и, скажем так, неуважительно отзываются о пользователях (
http://www.securitylab.ru/news/254796.php).
Цитирую: "
ЛК считает, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов."

четверг, 16 октября 2008 г.

Выступление SQADays 2008

Нечаянно набрел в сети на видео. Весной участвовал в конференции братской хартии - специалистов по качеству ПО. Да, да это те самые люди, которые вместо bugtraq пишут bugtrack. С ошибкой в общем. Как оказалось, проблематика у нас, особенно в области Application Security достаточно сильно пересекается, как и инструментарий. Однако тестировщикам чаще верят на слово - не приходится ничего "доламывать" для обоснования затрат. Верят на слово. Оно и понятно - QA обычно часть процесса разработки, а не приходящие наёмники, мешающие сдать проект в срок.

Доклад общеметодический и достаточно нудный :)

Видео:



Презентация:

Sergey Gordeychik SQADays 2008
View SlideShare presentation or Upload your own. (tags: web security)

среда, 15 октября 2008 г.

Infosecurity на Softool

Второго октября прошла конференция "Информационная безопасность" на Softool

Достаточно интересное событие как и все мероприятия Рускрипто. Не смотря на наличие "Крипто" в названии - доклады касаются широкого спектра вопросов ИБ.

Совместно с Дмитрием Евтеевым делали небольшой доклад по безопасности одноразовых паролей (One Time Passwords, OTP). Доклад получился достаточно бодрым. В ходе подготовки пострадало несколько систем Клиент-Банк (естественно в рамках легальных работ по оценке защищённости :). Резюме: одноразовые пароли - хорошо, если их правильно применять. Если "как обычно" - то хуже чем простые пароли.

Итак:
«Как я перестал бояться токенов и полюбил одноразовые пароли»
Одноразовые пароли являются популярным решением в системах, требующих строгой аутентификации. Они широко используются в Интернет-банкинге и на сайтах онлайн-покупок. Простое, надежное и понятное пользователю решение. В теории все выглядит отлично, но, как говорят американцы: «The devil is in details», или, на простонародном языке: «Гладко было на бумаге, да забыли про овраги, а по ним ходить».




Сайт конференции
http://www.ruscrypto.ru/events/infosecurity/