Блог Сергея Борисова про ИБ

За последнюю неделю российские ИБ компании опубликовали 2 интересных отчета: “ Безопасность веб-ресурсов банков России ” от Digital Security и “ Экспертная оценка годовых потерь от мошенничества ” от Инфосистем Джет. Посмотрим на наиболее интересные моменты этих исследований. 1. Исследование от DSec было достаточно простым: взяли доменные имена интернет-банков топ 100 банков России и не уведомляя владельцев провели простейшие проверки, связанные настройками web серверов и dns . Подобные проверки может провести любой исследователь запуская публично доступные утилиты типа qualys ssl server test  100 раз. Но что мне понравилось в этом отчете: подробно и грамотно были описаны проверяемые параметры и возможные последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту по ИБ и может быть использована оператором web сервисов. Это я считаю основным достижением исследования и его отличием от других подобных исследований как тут и тут . ...

В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история: 1. Очередной виток начал известный блогер , рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана. В результате были подняты вопросы: ·         А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют уязвимости, он не гарантирует что система защищена. ·         Может ли компания пентестер предложить что-то полезное заказчику? 2. Продолжил тему один пентестер на вебинаре RISC “ Тестирование на проникновение: задача, решение и ограничения”, который дал определение пентеста, указал ограничения,  условия и разъяснил многие моменты из своего оп...

На прошлой неделе опубликована информация о нескольких исследованиях. Одно из них – отчет об исследовании безопасности Oracle Siebel CRM от компании Positive Technologies. Из отчета можно понять, что ребята исследовали какую-то версию Oracle CRM в какой-то организации. Но что значат эти 6 найденных уязвимостей? Это хорошо или плохо? Система безопасна? Система Oracle CRM безопасна при каких условиях? Система безопасна Oracle CRM при установленном кумулятивном патче? Исследование – это, по определению, систематическое рассмотрение, изучение чего либо. А для этого в отчете не хватает : ·         определения проблемы, определение целей и задач исследования ·         описания объекта обследования – какая система, какие компоненты, работающая система или в вакууме, с настройками по умолчанию или с реальными настройками заказчика ·         методологии исследования...