Сообщество - Информационная безопасность

Информационная безопасность

1 018 постов 20 447 подписчиков
7287

Человек, которого не взяли работу в отдел информационной безопасности, взломал сайт

Человека не взяли на работу, видать не соответствовал требованиям работодателя. В ответ он просто взломал сайт и оставил свое резюме на главной странице.

Между прочим, "хороший дядя" (так он себя называет) взломал сайт Национальной ассоциации электронных СМИ (Республика Узбекистан). Думаю отличный метод заявить о себе в качестве специалиста по информационной безопасности.

Человек, которого не взяли  работу в отдел информационной безопасности, взломал сайт Взлом, Информационная безопасность, Hacked, Узбекистан

Перевод: Здравствуйте, привет от хорошийдядя@gmail.com

Сайт прошел проверку от хорошего дяди которого не взяли на работу 


взято вот отсюда  @trolluz и от сюда naesmi.uz

33

О работе на toptal

По просьбе из предыдущего поста напишу немного о том, как начать работать на зарубежных заказчиков. Буду рад, если кто-то поделится своим опытом в комментах.

Не буду описывать весь опыт, расскажу только непосредственно про Toptal. Топтал это не биржа в обычном понимании, типа фл.ru или upwork. Это бодишоп, что значит, что работать вы будет непосредственно на Toptal LLC, который будут перечислять вам деньги, получаемые от клиента. Это и плюс и минус. Плюс в том, что нет проблем с получением денег от клиентов, нет всех этих согласований, обоснований и так далее. Минус в том, что в среднем топтал выставляет клиенту x2 вашего рейта. То есть вы получили 5к, клиент заплатил 10к. Вот на эти "2%" топтал и живет.


Теперь про то, как туда попасть.

Чтобы начать работать, вам необходимо пройти отбор, состоящий из четырех шагов:

1. Простое собеседование на тест вашего английского

2. Решение алгоритмических задач по типу тех, что на codewars

3. Тоже самое, что и второй шаг, но уже в живую со скринером, который будет наблюдать за процессом решения

4. Тестовый проект


Подробнее про шаги


Тестовое собеседование предназначено для того, чтобы проверить насколько свободно вы говорите по-английски, насколько вы способны поддерживать диалог и для того, чтобы порекламировать, как классно у них работать.


Если вы прошли первый шаг (а завалить его можно, если у вас плохой английский), то вам на почту приходит ссылка на 3 задачи, минимум 2 их которых вам нужно решить за 90 минут. Это не просто, но возможно. Потренируйтесь перед этим шагом, порешайте задачи на codewars. Мне трудно оценить их сложность, но три задачи я не успел решить, решил только две.

Мои рекомендации перед этим шагом:

— решайте задачи на codewars

— узнавайте больше про алгоритмы, стандартные приёмы и типовые задачи (могу посоветовать курс на юдеми: JavaScript Algorithms and Data Structures Masterclass)

— подпишитесь на рассылку https://www.dailycodingproblem.com/ и решайте

— посещайте проекты типа geeksforgeeks.org и codility.com

— подготовьте ручку и бумажку, чтобы можно было просто и быстро порисовать алгоритм и решения или какие-то иные вещи


Если вы успешно прошли второй шаг, вас повторение этого же шага, но уже со скринером —человеком, который будет наблюдать за процессом и иногда спрашивать вас о том, что вы делаете) Такое парное программирование, но второй человек просто оценивает то, что вы делаете. Вам нужно будет решить две задачи. В дополнение к предыдущим рекомендациям я бы посоветовал обязательно проговаривать свои мысли вслух — во-первых, это всегда положительно влияет на скринера — это веселее чем просто смотреть за молчаливо пыхтящем человеком, который то пишет, то стирает какие-то непонятные строки кода. А во-вторых, следя за вашей логикой скринер может подсказать что-то или как-то вас скорректировать. Плюс, понимая, что вы делаете всё правильно, но просто не успеваете по времени, скринер может просто зачесть вам задачу, ведь смысл в проверки способности найти работающее решение, а не в только решении за определённое количество времени.

Ну и обязательно приготовьте бутылку воды — говорить полтора часа да еще и в стрессе очень утомительно.


Если вы пройдете и этот этап, то вас ждёт тестовый проект, заточенный под ваши скиллы. У меня это был бэк+фронт мини-травел системы. Ничего необычного, все инструменты можешь выбирать самостоятельно. Оценивается код, паттерны и завершенность. Здесь наверное странно давать советы, просто следуйте best practice:

1. Грамотно структурируйте файлы проекта (обе его части)

2. Покрывайте код тестами

3. Обрабатывайте ошибки

4. KISS

На этап даётся две недели, у меня ушло порядка 20 часов на бэк и фронт. Тесты я не написал, так-как поленился, что не очень хорошо.


Если вы прошли и этот этап, то вам нужно будет заполнить профиль, определиться с рейтом (ревьюер подскажет вам), сделать профессиональную фотку и всё, вы среди топталеров!

Рейт для разных стран различен, рейты вроде как обсуждать запрещено, но знаю людей с рейтами от 25 до 60$/час.


После отбора


Дальше вам нужно откликаться на проекты, соглашаться на митинги с клиентами и работать!

Пост получился объемный и я начал понимать, а я уже устал писать, поэтому быстро пройдусь по пунктам, которые хотел упомянуть:

— поиск проекта у меня занимал (я работал на двух разных проектах) менее недели. Обычно 3 дня.

— рейт можно сменить, написав в саппорт в слаке

— деньги приходят дважды в месяц с задержкой в две недели

— вывожу на ИП на патенте (не Москва, поэтому патент стоит 14тр год)

— есть возможность работать фуллтайм (8 часов в рабочие американские дни), парт-тайм(4 часа), по часам

— на фулл-тайме никакой проверки типа мониторинга экрана или чего-то подобного нет

— я устраивался как full-stack, но можно и бэком и фронтом и, говорят, devops

— можно взять отпуск или просто нерабочие дни, но за свой счет


Наверное я еще что-то забыл, но если будет интересно, спрашивайте, постараюсь рассказать.


Прошу прощения, что без картинок и должного оформления, но я думаю, что тем, кому может быть полезен пост, он будет полезен и без них.

Показать полностью
34

Ответ на пост «WAP-интернет - зло» 

Где-то в 2004 году, когда только появился у меня интернет через диал-ап я нашел баг у провайдера — по предоплатной карточке с истекшим тарифом получалось просидеть еще 30 минут до обрыва связи (потом можно было сразу снова соединиться и снова просидеть 30 минут). Пользовался таким лайфхаком где-то месяц, по истечению которого пришёл счет на 7500, что для моей матери было большой суммой. Чтобы компенсировать решил начать делать сайты, как раз предыдущие месяцы провёл изучая html и php. Первый заказ был на 7500)) Потом была своя студия, сотни сделанных сайтов, сейчас устав от всего этого, работаю с западными заказчиками, получая все те же 7500, но уже в долларах. Как-то так. Косяк, определивший жизненный путь)

22

Норвегия обвинила Россию в хакерской атаке на парламент в Осло

Норвегия обвинила Россию в хакерской атаке на парламент в Осло Новости, Хакеры, Норвегия, IT, Информационная безопасность

Министр иностранных дел Норвегии Ине Эриксен Сёрейде обвинила Россию в хакерской атаке на норвежский парламент - стортинг, о которой стало известно 24 августа.


"Исходя из имеющейся у правительства информации, мы считаем, что Россия несет ответственность за эту операцию", - говорится в заявлении, опубликованном на сайте ведомства во вторник, 13 октября.


Атака на почтовые системы парламента названа в документе очень серьезным инцидентом, затрагивающим важнейший демократический институт Норвегии. "Растущее использование цифровых решений означает, что угрозы против нас также переместились на цифровую арену", - отмечается в заявлении.


Ранее руководитель IT-отдела норвежского парламента Марианна Андреассен сообщила, что стортинг стал жертвой кибератаки, направленной на внутреннюю систему электронной почты. Отмечалось, что из почтовых ящиков некоторых представителей парламента были похищены крупные объемы данных.


Посольство РФ ждет разъяснений из Осло

Тем временем посольство России в Норвегии назвало заявления норвежского МИДа провокацией и заявило, что ждет от официального Осло соответствующих разъяснений.


"Никаких доказательств не представлено. Считаем подобные обвинения нашей страны недопустимыми. Расцениваем произошедшее как серьезную преднамеренную провокацию, губительную для двусторонних отношений", - говорится в комментарии российского диппредставительства в соцсети Facebook


Источник: https://www.dw.com/ru/rossiju-obvinili-v-hakerskoj-atake-na-...

3456

Европол предоставил более ста бесплатных утилит для расшифровки файлов

Европол предоставил более ста бесплатных утилит для расшифровки файлов Компьютер, Информационная безопасность, Вирусы-Шифровальщики

Европол запустил сайт, позволяющий не только определить, какое ПО использовали вымогатели, но и предоставляющий свыше сотни декрипторов.

По данным центра Европола по борьбе с киберпреступностью (EC3), в настоящее время вымогательское ПО является одной из главных киберугроз в мире. Операторы программ–вымогателей постоянно находят новые векторы для своих атак и сейчас ведут себя намного агрессивнее, чем раньше. Например, злоумышленники не просто шифруют файлы своих жертв, но также похищают и публикуют их конфиденциальную информацию. В связи с этим Европол запустил новый проект под названием No More Ransom, призванный помочь жертвам вымогательского ПО восстановить свои данные без уплаты выкупа.

В рамках проекта был запущен сайт, позволяющий не только определить, какую программу–вымогатель использовали злоумышленники, но и предоставляющий свыше сотни бесплатных утилит–декрипторов, полученных Европолом от более чем 150 партнеров из правоохранительных органов, научных организаций и ИБ–компаний по всему миру. Арсенал утилит постоянно пополняется по мере появления новых семейств вымогателей и декрипторов для них.

Для того чтобы получить декриптор, жертва вымогательского ПО сначала должна заполнить специальную форму на сайте, которая позволит определить, какой программой пользовались киберпреступники. Если декриптор для данного ПО доступен на сайте, пользователю сразу же будет предоставлена ссылка для его загрузки.

«Общая рекомендация – не платить выкуп. Отправляя деньги киберпреступникам, вы подтверждаете, что троянцы–вымогатели делают свое дело, и нет гарантии, что в ответ вы получите необходимый вам ключ для расшифровки данных», – советует Европол.


https://www.nomoreransom.org/ru/index.html

https://www.securitylab.ru/news/512318.php

1746

Надо больше запретов, давайте сразу запретим Интернет!

Минкомсвязи в понедельник выложило проект изменений к ФЗ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которым:

Запрещается использование <…> протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» <…> Нарушение запрета <…> влечет приостановление функционирования Интернет-ресурса <…>


Буквально это звучит так: если посетитель сайта использует протокол шифрования, позволяющий вот это все, мы заблокируем посещенный сайт. Как всегда, логично, но дальше еще интереснее:

Протокол шифрования, позволяющий скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» – это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы.


Я даже знаю, откуда автор-дегенерат выкопал это определение – из Педивикии, где оно звучит чуть-чуть иначе и относится немного к другому термину:

Криптографический протокол – это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах.


Но самая мякотка – в пояснительной записке к этому высеру законопроекту.

По экспертным оценкам возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS).


Тут я окончательно запутался, протоколы шифрования – это хорошо или плохо? Мы их запрещаем, или переживаем, что от них что-то скрывают? А TLS 1.3 чем особенно плох, что мы его запрещать собираемся? А как же другие версии TLS, их тоже запрещаем, или как? А сайты Минспорта и ФМБА, где сейчас используется TLS 1.3, блокировать будем или это как раз «кроме определенных законом случаев»?

Из-за чего вообще сыр-бор, рассказываю. Хотим мы зайти на Пикабу, набираем pikabu.ru в адресной строке, браузер без понятия, что это и где, и обращается к специально обученному «справочнику» – DNS-серверу, который отвечает: это на IP 212.224.112.193, туда иди, там узнаешь точнее. Не спрашивайте, почему такой порядок, так устроен Интернет by design и всё.

Вдруг Роскомпозор решает объявить Пикабу террористическо-юмористическим сайтом, запрещенным к распространению на территории Российской Федерации. Что он делает? Приказывает всем российским провайдерам при обращении к их DNS-серверам в поисках pikabu.ru отвечать «Не положено!» Если клиент провайдера прямиком ломится на Пикабу, то тупо переадресовывать его на заглушку «Сайт внесет в список всего нехорошего».

Но мы ребята ушлые, мы умеем шифровать свой трафик и можем обращаться за «справками» и к иностранным DNS-серверам, которые хер клали на Роскомпозор и его представления о прекрасном. Роскомпозор в ответ требует у российских провайдеров фильтровать DNS-запросы, отсекая те из них, которые касаются запрещенных сайтов. Мы шифруем свои DNS-запросы (DoH или DoT), Роскомпозор заставляет провайдеров блокировать такие запросы. Мы в конце концов руками указываем IP сервера, где живет Пикабу и обходимся вообще без DNS-запросов.

Роскомпозор чешет репу и вспоминает про такую особенность протокола HTTPS, как SNI – Server Name Indication. Фишка в том, что даже если мы шифруем весь свой трафик (то есть, заходим на Пикабу по HTTPS), то весь он идет зашифрованным (что и где мы смотрим, никто по дороге узнать не может), но вот самый первый запрос содержит незашифрованное имя сайта, к которому мы обращаемся.

Привет, 212.224.112.193, мы пришли на pikabu.ru! Дальше все скрыто завесой мглы шифрования, но вот эта фраза передается открытым текстом, by design. Провайдерам поручается блокировать HTTPS-соединения, где SNI содержит имя запрещенного сайта. Мы отвечаем использованием зашифрованного SNI (Encrypted SNI, ESNI). Роскомпозор запрещает ESNI целиком и полностью… а заодно и TLS 1.3, чтоб два раза не вставать, видимо (но это неточно).

Сдается мне, этот высер похоронят, во всяком случае, в текущем виде. Но это тоже неточно…

Показать полностью
115

Использование ЭЦП в Зеленом банке

Может кто-то сможет разъяснить логику при заключении ипотеки через сервис безопасных расчетов (СБР) и электронной регистрации (ЭР).

Опустив детали получается след. порядок действий:

1. Оформляешь ЭЦП в банке.

Далее происходит след. диалог:

Я - А где хранится закрытый ключ, и кто гарантирует его сохранность?

Менеджер - Какой ключ? Это же ЭЦП, она не хранится в физическом виде, ее как бы нет.


2. Подписываешь кипу бумаг, среди них:

- Копия ДДУ, которую предоставил Застройщик
- Заявление на выпуск сертификата (только сейчас понял, что у меня его нет)

- Договор с ООО "ЦНС". Именно он отвечает за перевод баблишка между участниками сделки.

- Кредитный договор и т.д.


3. Тебя просят сообщить код из СМС который приходит, тем самым ты "подписываешь" договор с ООО "ЦНС". При этом я не вижу тот экземпляр, который я подписал. Да, у меня есть подписанная рукой копия договора, но кто гарантирует ее идентичность с той, которую подписал менеджер?


4. Для отправки документов в РосРеестр необходимо подписать комплект документов с 3х сторон:

- Банк

- Застройщик

- Я


Меня опять просят сообщить код из СМС, только уже представитель застройщика...


Как-то я не особо переживал до этого момента, т.к. банк на моей стороне (теоретически), ведь он заинтересован, чтобы все прошло отлично и я платил ему процентики, то с застройщиком не так просто. Я не знаю какие могут быть подводные камни и где меня могут надурить, но смысл в том, что я не знаю что подпишет представитель застройщика и отправит в Росреестр. Подпись же будет полностью моя и за ее сохранность и использование отвечаю только я.


После звонка в банк получил следующие разъяснения:
- Да, именно так у нас происходит ЭР через СБР. Вы можете получить подписанный с трех сторон комплект документов у представителя застройщика после подписания документов. Так же должен прийти комплект документов подписанный от банка. Если не согласны на такую схему проведения сделки, то не надо было соглашаться на эти сервисы.


Понятное дело, что я смогу проверить документы которые подписал, но только ПОСЛЕ моей подписи. И, как я понимаю, потерялся сам смысл ЭЦП: "Сообщи код, чтобы незнамо кто, незнамо что подписал"

Или я что-то упускаю?


В моем представлении:
- Я формирую сертификат и отправляю открытый ключ в УЦ, доказываю (как-нибудь) что это именно я

- Захожу в СБР, где есть все 3 стороны договора. Скачиваю комплект документов, подписываю своим сертификатом и отправляю обратно. Такие же действия производят другие стороны. В итоге получаем подписанный с 3х сторон комплект.


На текущий момент:
- Я не единственный кто имеет доступ к закрытому ключу

- Я не знаю что за документы будут отправлены в РосРеестр


Просветите неопытного, папашки пикабу.

Показать полностью
43

Коммерческая тайна - необходимый элемент бизнеса или не доверяй сотруднику своему, ибо предателем может оказаться он

Привет, Господа!
Сегодня хочу поделиться с вами интересным случаем из практики, связанный с информационной безопасностью.

В этом году посчастливилось поработать с одной компанией в славном городе Ленинграде.

Посчастливилось, потому что из-за коронавируса контрактов особо не было, суды закрыты, а тут приплыл достаточно крупный и влиятельный игрок строительного рынка.

Дали работу по сопровождению сделки.

Сделка и сделка. Сумма хорошая, условия хорошие, для всех сторон выгодно. Сопроводили как положено до самого подписания (не включительно). Работу свою выполнили, пожали руки, разошлись.

Звонок через неделю, разговор примерно следующего содержания: "Контракт не подписан, о сделке узнал конкурент и предложил второй стороне тоже самое, только на более выгодных условиях. И это уже третий раз за год. Давайте, советуйте уже что-нибудь". Коронавирус, что сказать, бизнес борется и за копейку.

Взялись за дело. Для начала определили круг лиц, которым было известно о сделке. Ага, этот круг составил почти 80% офисного персонала (более 60 человек). "Отлично", - подумали мы, - "круг ссужается" (нет). Предложили промониторить офис на жучки - пусто. Логично было переговорить с персоналом. Разговаривали на отвлеченные темы, параллельно спрашивая о работе, конкурентах и т.д. Показалось, человек 10 вели себя необычно. Это конечно ничего не доказывает, но поведение человека до определённой темы общения и после отличалась. Начали искать точки соприкосновения этих людей с проходящими сделками. Итог 3 человека знали о сделках почти все (сотрудники отдела, занимающиеся оформлением сделок). Вроде все сходится. Руководитель компании решил вечерком поговорить с ними без нас и методом ора и угроз тюрьмой...ничего не добился. На следующее утро эти три товарища нас уже воспринимали "в штыки" и отказались общаться. Написали заявления на увольнения.

Тактика руководителя, конечно, была шикарна, как и ответ: "Значит все трое виноваты, скатертью им дорожка". Возможно, его действия спровоцировали бы и большой "слив" коммерческой информации этими людьми, но этого удалось избежать....

В дело вмешалась случайность и недооценка человеческой глупости...то, как был осуществлен "слив" не укладывалось в голове. Это было слишком глупо. Глупо на столько, что никто до этого и додуматься не мог). Рассказываю:

Изучая рабочие компьютеры этих товарищей на наличие ключевых слов "фирма N" (на удачу), у одной милой девушки обнаружилась ВНИМАНИЕ! переписка с конкурентом со служебной почты, не личной, а служебной. С почты, которую использует компания для отправки документов.

Вуаля, дело раскрыто!

Было даже немного стыдно, что не додумались посмотреть это раньше и убили неделю.

- Иван Иваныч, попросите принести документы по коммерческой тайне и подписанные этим сотрудником документы об ознакомлении.

- А  у нас таких нет.

- 0_0

Компания, которая в своей сфере занимает не последнее место, работает значительно более 10 лет, достаточно крупная, компания, которая не позаботилась об организации режима сохранения коммерческой тайны. Мы были сильно удивлены конечно. Прям сильно, но об этом чуть позже.

Какой итог истории? "Три товарища" уволились, даже после извинений руководителя перед двумя невиновными и предложений приятных бонусов. Девушку, трижды слившей информацию, отпустили без претензий. Директор простил: "больше не помешает, а ущерб и так не вернет".
Что бы не допустить распространение секретов компании мы оперативно разработали и внедрили режим коммерческой тайны, где расписались и увольняемые. Вроде пока без "сливов".


Немного все же расскажу о коммерческой тайне:

С ростом конкуренции на рынке все больше и больше для бизнеса имеют значение его стратегия, коммерческая деятельность, планы развития и др. Зачастую, от сохранения этих сведений в тайне на прямую зависит финансовый успех компании, стабильность, развитие бизнеса и конкурентоспособность. Коммерческую тайну смело можно назвать нематериальным активом компании. От её сохранения напрямую зависит успех и доход такого предприятия.

Все, что вы предпринимаете для сохранения своих секретов от конкурентов и есть внедрение режима коммерческой тайны.

Что мы сделали в той компании? Работу разделили на четыре условных этапа.

1. Разработали приказ, устанавливающий порядок определения сведений, которые составляют коммерческую тайну.

В этом приказе рекомендуем указать следующую информацию:

состав комиссии по коммерческой тайне; персонал, которому предоставляется право предварительной классификации информации как коммерческая тайна; порядок документирования работы по определению сведений, составляющих коммерческую тайну; сроки подготовки перечня сведений, которые составляют коммерческую тайну и его представление для утверждения руководством.

2. На втором этапе постоянно действующей комиссии должна проанализировать возможный ущерб от утечки выделенных на первом этапе сведений.

3. Третий этап.  Непосредственное формирование перечня сведений составляющих коммерческую тайну и ввод перечня в действие.

4. Формирование документов для её внедрения и ознакомления с ними сотрулников.


Для введения режима коммерческой тайны необходимо:

- разработать правила доступа и работы со сведениями;

- разработать порядок учета сотрудников, имеющих разрешение применять секретные сведения;

- выполнить маркировку носителей ценной информации с предостережением от несанкционированного доступа;

- внесение в трудовые договоры работников компании пункта об ответственности за разглашение коммерческой тайны.

- и наконец, подписание с работниками компании договора о неразглашении информации.


Главное понимание, что лучше защитить Вашу информацию от потусторонних лиц и, тем более, конкурентов! Будьте аккуратны и берегите свои тайны и деньги! 😉

Показать полностью
Мои подписки
Подписывайтесь на интересные вам теги, сообщества,
пользователей — и читайте персональное «Горячее».
Чтобы добавить подписку, нужно авторизоваться.
Отличная работа, все прочитано!