Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
04
Декабря
2015
» (уязвимость) Продукты Advantech до сих пор уязвимы к Shellshock и Heartbleed
Два раза за прошлый год ИБ-исследователи зафиксировали наличие критических уязвимостей в шлюзах Modbus от Advantech, используемых для подключения устройств в системах управления производственными процессами к IP-сетям.
04
Декабря
2015
» Итоги опроса про рейтинг блогов по ИБ
В середине сентября, когда в очередной раз актуализировал список личных блогов по информационной безопасности, запустил опрос о том, нужен ли какой-то рейтинг блогов и, если нужен, на чём он должен быть основан. Статистика этого опроса открыта и доступна здесь. На момент размещения данного поста всего проголосовало 50 человек (вопросы возможного повторного голосования оставим на совести самого сервиса WebAnketa ), так что можно подвести некоторые итоги, благо при таком общем числе проголосовавших считать проценты - милое дело =) Итак, основные результаты: 86% опрошенных считают, что рейтинг блогов всё-таки нужен По поводу критерия определения позиции в рейтинге: 44% предлагают учитывать статистику посещений; 32% высказались за проведение голосования; только 8% согласны, что рейтинг должен строиться на числе подписчиков; 16% предложили другой вариант. Что же предлагают в качестве альтернативы: количество ссылок в статьях СМИ; уникальность контента; кастомный счётчик посещений; полезность публикуемой информации + частота появления записей; статистика посещений и итоги голосования одновременно; число посещений постов исключительно по теме ИБ; рейтинг просто по числу постов. Другие комментарии и пожелания (не всегда добрые =) ) можете прочитать по уже приведённой ссылке. Кстати, опрос остаётся открытым, можно тоже высказать своё мнение. Заключительным пунктом в анкете указан вопрос о принадлежности отвечающего к авторам или читателям блогов. Так вот, 42% (21 человек) из всех ответивших указали, что они как раз авторы. Пожалуй, основных выводов можно сделать два: Как таковая тема рейтинга интересна прежде всего самим блогерам. Всё же читателей (по идее, по крайней мере) существенно больше авторов, а в опросе пропорция почти равная. Самым оптимальным по итогам опроса представляется смешанный рейтинг на основе статистики и голосования (например, для участия в итоговом голосовании необходимо преодолеть некий порог по числу просмотров в месяц или что-то подобное). Правда, объективных данных по статистике без участия самих блогеров не собрать (тот же счётчик надо установить, а его результаты сделать доступными публично), поэтому если кто-то откажется, то рейтинг уже будет нерелевантным. Ну, и честное голосование, как показывает опыт некоторых таких попыток, организовать не так просто. В общем, без консолидированных усилий ИБ-блогер-сообщества можно получить только априори предвзятый взгляд конкретного составителя такого рейтинга и вопрос доверия к рейтингу будет исключительно делом личным, основанным на доверии к самому составителю. Алексей Лукацкий, например, планирует сделать свой рейтинг с шахматами и поэтессами и к его мнению точно прислушаются. Кстати, очень правильная мысль у Алексея, что интереснее оценивать контент, а не число подписчиков или посещаемость. Посты некоторых блогеров, на которых подписан, я, например, почти не читаю, заранее зная, что ничего стоящего там не будет. Так, просматриваю заголовки, чтобы в курсе быть. Критерием качества контента (помимо личного мнения) может, например, служить тИЦ Яндекса. Возможно, к списку личных блогов по ИБ помимо колонки с числом подписчиков при следующем обновлении добавлю и колонку с тИЦ. Любые другие инициативы с составлением рейтинга тоже готов поддержать.
30
Ноября
2015
» (уязвимость) Уязвимые приложения позволяли взломать систему освещения билбордов
Система управления SmartLink содержала бреши, позволяющие осуществить MITM-атаку.
30
Ноября
2015
» (уязвимость) Эксперты отследили местоположение «умного» авто при помощи Wi-Fi-станции
Могут быть перехвачены уведомления об координатах, которые постоянно транслируют транспортные средства.
25
Ноября
2015
» Ключи и смарт-карты eToken, про которые вы могли не знать
eToken - хорошо известный на российском рынке бренд, ставший стандартом де-факто среди решений для строгой двухфакторной аутентификации пользователей. За годы существования на российском рынке различных eToken уже продано несколько миллионов штук (например, во втором квартале 2011 года объём поставок только в финансовые организации составил более 154 000 штук) и продажи не прекращаются и по сей день, что в совокупности с учётом длительного срока службы eToken означает ещё довольно длительную жизнь этого продукта в качестве флагманского. Думаю, что если провести среди ИБ-специалистов опрос об известных им моделях eToken, то старожилы могут вспомнить eToken R2, а большинство назовут, конечно, eToken PRO. Его текущее полное наименование - eToken PRO 72K (Java), и, кроме как в форм-факторе USB-ключа, он выпускается также и в виде смарт-карты eToken PRO SC, в которую при желании можно имплантировать RFID-метку (вернее, это как раз в пластик с RFID-меткой имплантируется чип смарт-карты, но не суть). Возможно, кто-то припомнит гибридный eToken с интегрированной флэш-памятью - eToken NG-FLASH (поддержка прекращена в сентябре 2015), ну а любители одноразовых паролей (OTP) точно упомянут eToken NG-OTP и eToken PASS. Существует ещё eToken, для работы которого в современных операционных системах Windows не требуется установка дополнительного программного обеспечения, это eToken PRO Anywhere. Более того, при его подключении автоматически запускается браузер и открывается преднастроенная web-страница. Наконец, обязательно надо упомянуть eToken ГОСТ с аппаратной (java-апплет Криптотокен загружен в микроконтроллер) реализацией отечественных алгоритмов. Вот, пожалуй, и все модели eToken, которые сейчас на слуху. Так уж вышло (начало истории можно почитать здесь, только осторожно! пост от 2010 года), что компания Аладдин Р.Д., долгое время активно занимавшаяся продвижением eToken, сейчас переключилась на иные решения. Однако, владелец бренда eToken компания SafeNet, даже несмотря на сделку с Gemalto (сейчас SafeNet - часть Gemalto), продолжает его активно развивать и пользователям сегодня доступен гораздо более широкий модельный ряд ключей и смарт-карт eToken, чем это даже было раньше. Вот только в отличие от уже упомянутых выше моделей мало кто про них слышал. Посчитал правильным исправить ситуацию и поэтому представляю вашему вниманию обзор актуального модельного ряда ключей и смарт-карт eToken. В качестве официального источника информации о доступных в настоящее время моделях буду использовать апрельский документ “Product Availability and Support Status Gemalto SafeNet Authentication” из базы знаний SafeNet. На самом деле, в нём есть информация и о других продуктах текущего портфеля (с SafeNet связана целая череда слияний и поглощений), но сегодня речь исключительно про eToken. Итак, в настоящее время доступны и полностью поддерживаются следующие модели: USB-ключи eToken PRO 72K (Java) eToken PRO Anywhere SafeNet eToken 5100/5105 SafeNet eToken 5200/5205 Смарт-карты eToken Pro SC 72K (Java) SafeNet eToken 3400/3410 (OTP) SafeNet eToken 4100 SC 72K OTP-генераторы eToken PASS Гибридные eToken eToken NG-OTP 72K (Java) SafeNet eToken 7300 Согласитесь, из данного списка хорошо известны не только лишь все eToken, мало какие известны =) [caption id=”attachment_7769” align=”aligncenter” width=”300”] SafeNet eToken 5100/5105[/caption] Начнём с eToken 5100 и eToken 5105. Фактически, это преемники классического eToken PRO со схожим позиционированием и функционалом, а детальное изучение характеристик показывает, что данные модели поддерживают расширенное число алгоритмов (дополнительно доступны SHA256, AES128, AES192, AES256). Кроме того, у eToken этой серии есть две модификации - длинной 40.2 мм (eToken 5100 - мини) и 53.6 мм (eToken 5105 - миди). Для сравнения: длина eToken PRO - 52 мм, а остальные два измерения у eToken 5100/5105 практически такие же, как у eToken PRO - 16.4 мм и 8.4 мм. [caption id=”attachment_7771” align=”aligncenter” width=”300”] SafeNet eToken 5200/5205[/caption] Внешне идентичные (кроме номера модели на корпусе) eToken 5200 и eToken 5205 в свою очередь являются продолжателями традиций eToken PRO Anywhere, тоже доступны в двух таких же отличающихся размерами вариантах и работают без установки дополнительного программного обеспечения (драйверов). [caption id=”attachment_7801” align=”aligncenter” width=”300”] SafeNet eToken 5200/5205 сценарий использования[/caption] Дополнительно производитель обещает, что сразу после закрытия браузера на компьютере вообще не остаётся никаких следов работы пользователя. [caption id=”attachment_7773” align=”aligncenter” width=”300”] SafeNet eToken 7300[/caption] Гибридный eToken 7300 имеет весь функционал eToken 5200 (соответственно и eToken PRO) и дополнительно оснащён встроенной флэш-памятью объёмом от 4 ГБ до 64 ГБ, за счёт чего устройство чуть больше по размерам - 68 мм x 18.60 мм x 8.2 мм. Концепция похожа на уже снятый с продаж eToken NG-FLASH (у него максимальный объём памяти был только 16 ГБ), но у eToken 7300 флэш-память шифруется встроенными средствами (поддерживается AES 256), что, конечно, гораздо удобнее, чем просто два устройства в одном корпусе, как это было у eToken NG-FLASH. С устройства можно загружаться и получать тем самым доверенное рабочее место практически где угодно. [caption id=”attachment_7787” align=”aligncenter” width=”300”] SafeNet eToken 4100[/caption] Смарт-карта SafeNet eToken 4100 SC 72K - это реинкарнация в ином форм-факторе USB-ключа eToken 5100/5105. eToken 4100 по сути является преемником смарт-карты eToken PRO SC и тоже поддерживает более расширенный перечень алгоритмов. Данная смарт-карта имеет все традиционные для такого типа устройств дополнительные опции - нанесение логотипа, печать фотографии, интеграция с RFID-метками и магнитной полосой. [caption id=”attachment_7792” align=”aligncenter” width=”300”] SafeNet eToken 3400/3410[/caption] Самый же интересный, на мой взгляд, представитель сегодняшнего обзора - это eToken 3400. Размер как у стандартной карточки (разве что чуть толще - 0.8 мм), защита от влаги (относительная влажность 90% при температуре 40°C в течение 240 часов), встроенный экран на 6 цифр и кнопка с пьезоэлементом, позволяющим обходиться без батареек. Одноразовый пароль генерируется как раз при нажатии на эту кнопку, если выбрана синхронизация по событию (eToken 3400), а при синхронизации по времени (eToken 3410) текущий одноразовый пароль при нажатии кнопки высвечивается на экране. Классические карточные размеры eToken 3400 позволяют интегрировать RFID-метку, имплантировать чип смарт-карты (например, eToken 4100), печатать на ней произвольное изображение и т.п. Что ж, eToken, ставший синонимом качественного токена, всё также доступен на российском рынке и даже спектр доступных моделей сейчас существенно шире. Если стоите перед выбором токена для решения каких-либо задач, присмотритесь к этой линейке, мне кажется, подходящий вариант вполне можно выбрать. Из российских же альтернатив, конечно, наиболее предпочтительным остаётся Rutoken (компания Актив), сильными сторонами которого, ровно как и у eToken, являются - многолетний опыт вендора в разработке, отлаженное производство, стабильное качество как аппаратной, так и программной частей и обкатанный значительным числом пользователей функционал. В заключение повторюсь, что помимо непосредственно eToken в продуктовом портфеле у SafeNet (Gemalto) есть и другие интересные решения, на официальном сайте доступен их каталог на русском языке: http://ru.safenet-inc.com/data-protection/
23
Ноября
2015
» (инцидент) Conficker в полицейских видеокамерах
Киберинциденты, объединяющие IoT-риски, вторжение в систему поставок и могучего, но полузабытого сетевого червя, — большая редкость. Тем не менее именно с таким коктейлем столкнулся сервис-провайдер, купивший носимые видеокамеры, предназначенные для использования в полицейских подразделениях США.
20
Ноября
2015
» Неделя под знаком аудита ИБ АСУ ТП
В понедельник по приглашению Михаила Смирнова, ведущего преподавателя ИПК ТЭК, в рамках программы повышения ИБ АСУ ТП для ТЭК делился со слушателями курса опытом по теме аудита информационной безопасности АСУ ТП. Закрытый формат мероприятия и активность слушателей, задавших в общей сложности по моим подсчётам не мене двух десятков вопросов, позволили рассказать о некоторых кулуарных нюансах и поделиться конкретными непубличными примерами из личного опыта. К слову, Михаил создал в Facebook тематическую группу Обучение.Кибербезопасность - присоединяйтесь, если тема вам интересна. Вчера в рамках серии вебинаров УЦСБ ИБ АСУ ТП NON-STOP снова рассказывал о практике аудитов информационной безопасности промышленных систем автоматизации и управления (подготовка ТЗ на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, визуализация и представление итоговых результатов, выводы и дальнейшие шаги по итогам аудита). Выкладываю видеозапись и презентацию этого вебинара: ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безопасности АСУ ТП from Компания УЦСБ Кстати, полный список всех серий есть на сайте УЦСБ, а также на ZLONOV.ru в разделе с подборкой материалов по этой теме - ИБ АСУ ТП. Наконец, сегодня в рамках заседания Пермского CIO клуба буду рассказывать про обеспечение информационной безопасности АСУ ТП и тему аудита, естественно, снова затрону. Вот такая получилась неделя под знаком аудита ИБ АСУ ТП, хотя, конечно, справедливости ради стоит отметить, что у меня под этим знаком уже далеко не первая неделя и даже не месяц =)
17
Ноября
2015
» (уязвимость) Исследователи признали небезопасной кофемашину Smarter Coffee
Исследователи компании Pen Test Partners в конце октября рассказывали о способе взлома Wi-Fi сетей через «умный» чайник iKettle, созданный компанией Smarter. Теперь они обнаружили, что кофемашина Smarter Coffee, созданная тем же производителем, тоже представляет угрозу безопасности пользователей.
17
Ноября
2015
» (инцидент) ИГИЛ собирается осуществить разрушительные кибератаки на Великобританию
Если хакеры получат контроль над критической инфраструктурой, могут погибнуть ни в чем неповинные люди.
16
Ноября
2015
» (инцидент) Ошибки при вводе данных привели к тейлстрайку Qantas Boeing 737
Ошибки были допущены в процессе обработки эксплуатационных данных.
Два раза за прошлый год ИБ-исследователи зафиксировали наличие критических уязвимостей в шлюзах Modbus от Advantech, используемых для подключения устройств в системах управления производственными процессами к IP-сетям.
В середине сентября, когда в очередной раз актуализировал список личных блогов по информационной безопасности, запустил опрос о том, нужен ли какой-то рейтинг блогов и, если нужен, на чём он должен быть основан. Статистика этого опроса открыта и доступна здесь. На момент размещения данного поста всего проголосовало 50 человек (вопросы возможного повторного голосования оставим на совести самого сервиса WebAnketa ), так что можно подвести некоторые итоги, благо при таком общем числе проголосовавших считать проценты - милое дело =) Итак, основные результаты: 86% опрошенных считают, что рейтинг блогов всё-таки нужен По поводу критерия определения позиции в рейтинге: 44% предлагают учитывать статистику посещений; 32% высказались за проведение голосования; только 8% согласны, что рейтинг должен строиться на числе подписчиков; 16% предложили другой вариант. Что же предлагают в качестве альтернативы: количество ссылок в статьях СМИ; уникальность контента; кастомный счётчик посещений; полезность публикуемой информации + частота появления записей; статистика посещений и итоги голосования одновременно; число посещений постов исключительно по теме ИБ; рейтинг просто по числу постов. Другие комментарии и пожелания (не всегда добрые =) ) можете прочитать по уже приведённой ссылке. Кстати, опрос остаётся открытым, можно тоже высказать своё мнение. Заключительным пунктом в анкете указан вопрос о принадлежности отвечающего к авторам или читателям блогов. Так вот, 42% (21 человек) из всех ответивших указали, что они как раз авторы. Пожалуй, основных выводов можно сделать два: Как таковая тема рейтинга интересна прежде всего самим блогерам. Всё же читателей (по идее, по крайней мере) существенно больше авторов, а в опросе пропорция почти равная. Самым оптимальным по итогам опроса представляется смешанный рейтинг на основе статистики и голосования (например, для участия в итоговом голосовании необходимо преодолеть некий порог по числу просмотров в месяц или что-то подобное). Правда, объективных данных по статистике без участия самих блогеров не собрать (тот же счётчик надо установить, а его результаты сделать доступными публично), поэтому если кто-то откажется, то рейтинг уже будет нерелевантным. Ну, и честное голосование, как показывает опыт некоторых таких попыток, организовать не так просто. В общем, без консолидированных усилий ИБ-блогер-сообщества можно получить только априори предвзятый взгляд конкретного составителя такого рейтинга и вопрос доверия к рейтингу будет исключительно делом личным, основанным на доверии к самому составителю. Алексей Лукацкий, например, планирует сделать свой рейтинг с шахматами и поэтессами и к его мнению точно прислушаются. Кстати, очень правильная мысль у Алексея, что интереснее оценивать контент, а не число подписчиков или посещаемость. Посты некоторых блогеров, на которых подписан, я, например, почти не читаю, заранее зная, что ничего стоящего там не будет. Так, просматриваю заголовки, чтобы в курсе быть. Критерием качества контента (помимо личного мнения) может, например, служить тИЦ Яндекса. Возможно, к списку личных блогов по ИБ помимо колонки с числом подписчиков при следующем обновлении добавлю и колонку с тИЦ. Любые другие инициативы с составлением рейтинга тоже готов поддержать.
Система управления SmartLink содержала бреши, позволяющие осуществить MITM-атаку.
Могут быть перехвачены уведомления об координатах, которые постоянно транслируют транспортные средства.
eToken - хорошо известный на российском рынке бренд, ставший стандартом де-факто среди решений для строгой двухфакторной аутентификации пользователей. За годы существования на российском рынке различных eToken уже продано несколько миллионов штук (например, во втором квартале 2011 года объём поставок только в финансовые организации составил более 154 000 штук) и продажи не прекращаются и по сей день, что в совокупности с учётом длительного срока службы eToken означает ещё довольно длительную жизнь этого продукта в качестве флагманского. Думаю, что если провести среди ИБ-специалистов опрос об известных им моделях eToken, то старожилы могут вспомнить eToken R2, а большинство назовут, конечно, eToken PRO. Его текущее полное наименование - eToken PRO 72K (Java), и, кроме как в форм-факторе USB-ключа, он выпускается также и в виде смарт-карты eToken PRO SC, в которую при желании можно имплантировать RFID-метку (вернее, это как раз в пластик с RFID-меткой имплантируется чип смарт-карты, но не суть). Возможно, кто-то припомнит гибридный eToken с интегрированной флэш-памятью - eToken NG-FLASH (поддержка прекращена в сентябре 2015), ну а любители одноразовых паролей (OTP) точно упомянут eToken NG-OTP и eToken PASS. Существует ещё eToken, для работы которого в современных операционных системах Windows не требуется установка дополнительного программного обеспечения, это eToken PRO Anywhere. Более того, при его подключении автоматически запускается браузер и открывается преднастроенная web-страница. Наконец, обязательно надо упомянуть eToken ГОСТ с аппаратной (java-апплет Криптотокен загружен в микроконтроллер) реализацией отечественных алгоритмов. Вот, пожалуй, и все модели eToken, которые сейчас на слуху. Так уж вышло (начало истории можно почитать здесь, только осторожно! пост от 2010 года), что компания Аладдин Р.Д., долгое время активно занимавшаяся продвижением eToken, сейчас переключилась на иные решения. Однако, владелец бренда eToken компания SafeNet, даже несмотря на сделку с Gemalto (сейчас SafeNet - часть Gemalto), продолжает его активно развивать и пользователям сегодня доступен гораздо более широкий модельный ряд ключей и смарт-карт eToken, чем это даже было раньше. Вот только в отличие от уже упомянутых выше моделей мало кто про них слышал. Посчитал правильным исправить ситуацию и поэтому представляю вашему вниманию обзор актуального модельного ряда ключей и смарт-карт eToken. В качестве официального источника информации о доступных в настоящее время моделях буду использовать апрельский документ “Product Availability and Support Status Gemalto SafeNet Authentication” из базы знаний SafeNet. На самом деле, в нём есть информация и о других продуктах текущего портфеля (с SafeNet связана целая череда слияний и поглощений), но сегодня речь исключительно про eToken. Итак, в настоящее время доступны и полностью поддерживаются следующие модели: USB-ключи eToken PRO 72K (Java) eToken PRO Anywhere SafeNet eToken 5100/5105 SafeNet eToken 5200/5205 Смарт-карты eToken Pro SC 72K (Java) SafeNet eToken 3400/3410 (OTP) SafeNet eToken 4100 SC 72K OTP-генераторы eToken PASS Гибридные eToken eToken NG-OTP 72K (Java) SafeNet eToken 7300 Согласитесь, из данного списка хорошо известны не только лишь все eToken, мало какие известны =) [caption id=”attachment_7769” align=”aligncenter” width=”300”] SafeNet eToken 5100/5105[/caption] Начнём с eToken 5100 и eToken 5105. Фактически, это преемники классического eToken PRO со схожим позиционированием и функционалом, а детальное изучение характеристик показывает, что данные модели поддерживают расширенное число алгоритмов (дополнительно доступны SHA256, AES128, AES192, AES256). Кроме того, у eToken этой серии есть две модификации - длинной 40.2 мм (eToken 5100 - мини) и 53.6 мм (eToken 5105 - миди). Для сравнения: длина eToken PRO - 52 мм, а остальные два измерения у eToken 5100/5105 практически такие же, как у eToken PRO - 16.4 мм и 8.4 мм. [caption id=”attachment_7771” align=”aligncenter” width=”300”] SafeNet eToken 5200/5205[/caption] Внешне идентичные (кроме номера модели на корпусе) eToken 5200 и eToken 5205 в свою очередь являются продолжателями традиций eToken PRO Anywhere, тоже доступны в двух таких же отличающихся размерами вариантах и работают без установки дополнительного программного обеспечения (драйверов). [caption id=”attachment_7801” align=”aligncenter” width=”300”] SafeNet eToken 5200/5205 сценарий использования[/caption] Дополнительно производитель обещает, что сразу после закрытия браузера на компьютере вообще не остаётся никаких следов работы пользователя. [caption id=”attachment_7773” align=”aligncenter” width=”300”] SafeNet eToken 7300[/caption] Гибридный eToken 7300 имеет весь функционал eToken 5200 (соответственно и eToken PRO) и дополнительно оснащён встроенной флэш-памятью объёмом от 4 ГБ до 64 ГБ, за счёт чего устройство чуть больше по размерам - 68 мм x 18.60 мм x 8.2 мм. Концепция похожа на уже снятый с продаж eToken NG-FLASH (у него максимальный объём памяти был только 16 ГБ), но у eToken 7300 флэш-память шифруется встроенными средствами (поддерживается AES 256), что, конечно, гораздо удобнее, чем просто два устройства в одном корпусе, как это было у eToken NG-FLASH. С устройства можно загружаться и получать тем самым доверенное рабочее место практически где угодно. [caption id=”attachment_7787” align=”aligncenter” width=”300”] SafeNet eToken 4100[/caption] Смарт-карта SafeNet eToken 4100 SC 72K - это реинкарнация в ином форм-факторе USB-ключа eToken 5100/5105. eToken 4100 по сути является преемником смарт-карты eToken PRO SC и тоже поддерживает более расширенный перечень алгоритмов. Данная смарт-карта имеет все традиционные для такого типа устройств дополнительные опции - нанесение логотипа, печать фотографии, интеграция с RFID-метками и магнитной полосой. [caption id=”attachment_7792” align=”aligncenter” width=”300”] SafeNet eToken 3400/3410[/caption] Самый же интересный, на мой взгляд, представитель сегодняшнего обзора - это eToken 3400. Размер как у стандартной карточки (разве что чуть толще - 0.8 мм), защита от влаги (относительная влажность 90% при температуре 40°C в течение 240 часов), встроенный экран на 6 цифр и кнопка с пьезоэлементом, позволяющим обходиться без батареек. Одноразовый пароль генерируется как раз при нажатии на эту кнопку, если выбрана синхронизация по событию (eToken 3400), а при синхронизации по времени (eToken 3410) текущий одноразовый пароль при нажатии кнопки высвечивается на экране. Классические карточные размеры eToken 3400 позволяют интегрировать RFID-метку, имплантировать чип смарт-карты (например, eToken 4100), печатать на ней произвольное изображение и т.п. Что ж, eToken, ставший синонимом качественного токена, всё также доступен на российском рынке и даже спектр доступных моделей сейчас существенно шире. Если стоите перед выбором токена для решения каких-либо задач, присмотритесь к этой линейке, мне кажется, подходящий вариант вполне можно выбрать. Из российских же альтернатив, конечно, наиболее предпочтительным остаётся Rutoken (компания Актив), сильными сторонами которого, ровно как и у eToken, являются - многолетний опыт вендора в разработке, отлаженное производство, стабильное качество как аппаратной, так и программной частей и обкатанный значительным числом пользователей функционал. В заключение повторюсь, что помимо непосредственно eToken в продуктовом портфеле у SafeNet (Gemalto) есть и другие интересные решения, на официальном сайте доступен их каталог на русском языке: http://ru.safenet-inc.com/data-protection/
Киберинциденты, объединяющие IoT-риски, вторжение в систему поставок и могучего, но полузабытого сетевого червя, — большая редкость. Тем не менее именно с таким коктейлем столкнулся сервис-провайдер, купивший носимые видеокамеры, предназначенные для использования в полицейских подразделениях США.
В понедельник по приглашению Михаила Смирнова, ведущего преподавателя ИПК ТЭК, в рамках программы повышения ИБ АСУ ТП для ТЭК делился со слушателями курса опытом по теме аудита информационной безопасности АСУ ТП. Закрытый формат мероприятия и активность слушателей, задавших в общей сложности по моим подсчётам не мене двух десятков вопросов, позволили рассказать о некоторых кулуарных нюансах и поделиться конкретными непубличными примерами из личного опыта. К слову, Михаил создал в Facebook тематическую группу Обучение.Кибербезопасность - присоединяйтесь, если тема вам интересна. Вчера в рамках серии вебинаров УЦСБ ИБ АСУ ТП NON-STOP снова рассказывал о практике аудитов информационной безопасности промышленных систем автоматизации и управления (подготовка ТЗ на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, визуализация и представление итоговых результатов, выводы и дальнейшие шаги по итогам аудита). Выкладываю видеозапись и презентацию этого вебинара: ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безопасности АСУ ТП from Компания УЦСБ Кстати, полный список всех серий есть на сайте УЦСБ, а также на ZLONOV.ru в разделе с подборкой материалов по этой теме - ИБ АСУ ТП. Наконец, сегодня в рамках заседания Пермского CIO клуба буду рассказывать про обеспечение информационной безопасности АСУ ТП и тему аудита, естественно, снова затрону. Вот такая получилась неделя под знаком аудита ИБ АСУ ТП, хотя, конечно, справедливости ради стоит отметить, что у меня под этим знаком уже далеко не первая неделя и даже не месяц =)
Исследователи компании Pen Test Partners в конце октября рассказывали о способе взлома Wi-Fi сетей через «умный» чайник iKettle, созданный компанией Smarter. Теперь они обнаружили, что кофемашина Smarter Coffee, созданная тем же производителем, тоже представляет угрозу безопасности пользователей.
Если хакеры получат контроль над критической инфраструктурой, могут погибнуть ни в чем неповинные люди.
Ошибки были допущены в процессе обработки эксплуатационных данных.