В субботу 23.03.2013 прошла конференция QAClubConf 1.2 Security Testing у нас в Харькове в ТЦ «Sun City 2» на Московском проспекте. Наш проект «Работа в Харькове» выступил информационным партнером мероприятия. Хотим поделиться краткими тезисами пары докладов, которые показались нам наиболее интересными и близкими по теме.

«Эра post-PC: а есть ли безопасность в цифровом мире?»

Владимир Безмалый

Владимир — эксперт по безопасности, MVP (Microsoft Most Valuable Professional) Consumer Security, Microsoft Security Trusted Advisor. Как он сказал: «Я единственный в СНГ MSTA, а в мире нас всего 8. Я не знаю, почему так получилось, я не виноват» :)

В основном данные исследований базируются на информации от «Лаборатории Касперского».
Ознакомиться со слайдами доклада можно здесь

Интересное:

  • На http://secunia.com – есть бесплатное ПО PSI, позволяет отсканировать машину и получить инфо об уязвимостях. Используется в KIS для проверки своего движка на уязвимость. Если стоит на машине KIS, то можно не проверять её.
  • На http://www.securelist.com/ru/ можно почитать про уязвмости и исследованиях.
  • Чтобы обезопасить PC от уязвимостей, нужно снести все Java-приложения (также Oracle Java) и Adobe-приложения, плагины. http://bezmaly.wordpress.com/2013/03/12/java-plug-ins/
  • Самый безопасный браузер – это IE :)
  • В компании должен существовать постоянно обновляемый список используемого ПО с учетом версий последнего.
  • 23% компаний подтвердили, что потеря данных произошла из-за утраты устройств (смартфон или планшет) и только 13% — из-за халатности сотрудника. Необходимо использовать шифрование данных. http://bezmaly.wordpress.com/2013/03/04/cip-6/
  • Выдержка из Политики конфиденциальности Google. Если после этого вы еще хотите использовать Google и Android – у вас железные нервы или… пустая голова!
  • Android устройства чтобы стали безопасными, нужно их выбросить. На январь 2013 года зарегистрировано 5 916 926 вредоносных приложений под Android.
  • Уже существуют мобильные ботнеты.
  • Вредоносное ПО есть как в App Store, так и в Android Market.
  • Игра Angry Birds использует GPS телефона и отслеживает местоположение владельца, причем даже когда он не играет в «птичек».
  • Не покупать телевизоры с технологией Smart TV: они уязвимы, можно получить удаленный доступ к файлам и другой конфиденциальной информации.

Блог Владимира Безмалого

«Информационная безопасность: правила, механизмы, основные заблуждения, принципы тестирования»

Павел Кравченко

Информационная безопасность — состояние защищённости информации, при котором обеспечены её конфиденциальность, доступность и целостность, определенные политикой безопасности компании. Основные её свойства: Конфиденциальность, Целостность, Доступность, Наблюдаемость.

Тезисы:

  • Невозможно измерить защищённость системы.
  • Обучение пользователей — самый дорогой процесс.
  • Безопасность не дает «нормально» работать, мешает внедрению новых функций.
  • Проверенные криптоалгоритмы всегда лучше своих «велосипедов».

Принципы обеспечения безопасности: Комплексность, Непрерывность, Разумная достаточность, Открытость архитектуры, Простота, Разграничение доступа, Минимальные привилегии.

Механизмы обеспечения безопасности (основные заблуждения):

  • Кому мы нужны со своим…
  • Шифрование защитит нас…
  • Нужно оставить обратную совместимость.
  • Пользователь сам включит безопасные настройки.
  • Никто не будет вводить такую ерунду!
  • Пользователю нужны полномочия root’а.

Аспекты безопасного кодирования:

  • Проверяйте все входящие данные
  • Храните данные в зашифрованном виде
  • Используйте шифрование каналов связи
  • Проверяйте цепочку сертификатов
  • Отключайте кэширование критических данных
  • Отключайте логирование (креш-логи)
  • Отключайте возможность подключения отладчика
  • Никаких пасхальных яиц! :)

Top 25 угроз безопасности (полный список здесь):

  • SQL Injection
  • OS Command Injection
  • Classic Buffer Overflow
  • Cross-site Scripting
  • Missing Authentication for Critical Function

Спасибо организаторам, ждем новых интересных и полезных мероприятий от QAClub!

QAClubConf 1.2.: Security Testing в Харькове

P. S. Женя, спасибо за тезисы! :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>