Alexander Sverdlov’s blog

Историята на откриването на различни компрометиращи излъчвания от “сигурно” комуникационно оборудване, според наскоро разсекретен документ на NSA

През 1962 г., служител назначен в неголяма разузнавателна база в Япония извършвал рутинна инспекция на зоната около неговия малък криптоцентър. Както следва, той преглеждал зона извън периметъра в радиус от 70 метра, търсейки “неоторизирани технически средства за наблюдение”. От другата страна на улицата, може би на около 50 метра, имало болница, контролирана от японското правителство. Пресичайки улицата и малък паркинг, под една стряха той забелязал скрита диполна антена, поляризирана хоризонтално, с кабели водещи към солидна бетонна стена. Той бързо информирал контра-разузнаването, които на своя страна информирали NSA (Националната Агенция за Сигурност). Те му дали инструкция да се върне на мястото и да се опита да разгледа антената и при възможност да я вземе. Въпреки наблюдението през нощта, антената била мистериозно изчезнала. При проверка на покрива на болницата на следващия ден, били открити множество телевизионни антени, всичките насочени към Токио. С изключение на една - тя била насочена директно към криптоцентъра.

Read the rest of this entry »

Уязвимостта на модела е свързана повече със в спокойствието на хората, които го използват, отколкото със самия модел. Ако информацията която пазите е от значително значение за сигурността на компанията или за националната сигурност има начини да подобрите демилитаризираната зона

Едва ли има компания с повече от 100 служители, която да не използва DMZ като метод за защита. Демилитаризираната зона (DMZ) – това е зоната между две защитни стени, в която се намират сървъри за уеб, мейл, или application услуги, като чак след втората защитна стена се намират потребителите от вътрешната мрежа.

Няма нищо лошо в този модел – ако някой атакува външните сървъри, това ще го забави. Разбира се, никой няма да го прави освен ако няма 0-day (уязвимост която все още не е затворена от производителя на софтуера). Обичам да визуализирам това с крадец, опитващ се да влезе в банка биейки си главата в стената… Очевидно това е идеята на банката когато строи стените си – да се предпази от подобни крадци? Преценете сами.

Read the rest of this entry »

В предишна статия - за “Social engineering”, споменах за начини по които служтилите могат да бъдат атакувани и че е наше основно задължение да им обясним много подробно защо трябва да се спазват определени политики за сигурност. Една секретарка много по-лесно ще запомни правилата за поведение в мрежата ако и се покаже компрометиране на компютър на живо или на видео, отколкото ако и се даде да прочете 100-страничната политика за сигурност на компанията. (едно такова видео можете да видите на http://www.offensive-security.com/movies/ani/ani.html) Вместо правила от типа “недей”, опитайте да изработите такива от типа “недей, защото”. Знам че е по-лесно просто да въведете правилата за ISO сертификация по сигурността, но тази допълнителна стъпка ще е страхотна инвестиция в собствените ви служители и тяхното поведение. Read the rest of this entry »

ISO/IEC 27001 е отдавна възприет като стандарт за оценка на добре работещи процеси за ИТ сигурност в компанията. Процесът на сертифициране е много тежък, и преминава в три етапа - първоначален одит на състоянието, детайлно, задълбочено тестване на съществуващите контроли и последващ контрол след като една организация веднъж е била сертифицирана.

Имайки предвид многобройните критерии които се гледат по време на одит и сертифициране за ISO 27001 и подобни на него стандарти, много организации си поставят за цел да го придобият - отчасти заради имиджа и възможностите за бизнес които той отваря, отчасти заради усещането за постигната цел - защитена организация. Read the rest of this entry »