Преподаватель из Петербурга собрал тренажер по поиску уязвимостей

Олеся Афанасьева 14 Декабря 2022 - 16:43

...

Преподаватель из Петербурга собрал тренажер по поиску уязвимостей

ИТ-эксперт из Петербурга открыл на GitHub страничку, где можно потренироваться в поиске уязвимостей. Эксперту надоели старые учебные кейсы, он придумал свои задачи. Сервис будет дополняться.

Платформа, где можно обучать ИБ-специалистов, называется PDMWA.

Сервис собрал один из специалистов компании “Газинформсервис” Сергей Полунин. Эксперт работает в учебном центре ГИС и проводит там занятия по безопасности прикладных систем.

“Мы долгое время разбирали типовые уязвимости на таких сервисах, как DVWA и OWASP Mutillidae II, — рассказывает Полунин Anti-Malware.ru. — С одной стороны, это проверенные рабочие инструменты, но с другой – эти лабораторные работы уже многократно разобраны, и решения находятся в открытом доступе”.

Эксперт решил разработать свой набор заданий в виде единого веб-приложения. Сервис будет полезен тем, кто отвечает в компании за безопасность веб-сайтов, веб-порталов и подобных ресурсов.

По ссылке представлены 10 самых частых уязвимостей.

Полунин обещает добавлять новые задания со спецификой финансовых учреждений и логистических компаний.

Добавим, Сергей Полунин возглавляет группу расследования инцидентов Газинформсервиса, их ИБ-команда была участником Blue Team на прошедшем Standoff 10. На Anti-Malware.ru скоро выйдет интервью с экспертом. Следить за анонсами удобно, подписавшись на наш Telegram-канал.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 31 Марта 2023 - 18:42

Общее Защита персональных данных

Система MLS утверждена в качестве стандарта сквозного шифрования

Рабочая группа по стандартизации / развитию интернет-технологий (IETF) санкционировала публикацию документа Messaging Layer Security (MLS) в последней редакции. Новый стандарт диктует использование сквозного шифрования для защиты обмена сообщениями и призван упростить реализацию таких механизмов в веб-приложениях.

Целью разработки являлась унификация процедуры согласования ключей, аутентификации и обеспечения конфиденциальности. Участники, по словам IETF, постарались учесть все прежние достижения в области защиты передачи данных.

Так, MLS-система, как и Double Ratchet (алгоритм управления ключами, используемый в iMessage, Viber, WhatsApp, Signal), может работать в асинхронном режиме, а также обеспечивает защиту пользовательских данных после компрометации криптоключа (Post-Compromise Security, PCS).

С TLS 1.3 новый стандарт роднит надежность аутентификации; параметры безопасности в обоих случаях были подтверждены формальным анализом. Создатели MLS также предусмотрели возможность масштабирования: коллективный обмен можно распространить на тысячи устройств без поражения в безопасности.

За основу спецификаций взяты созданные в IETF черновые варианты мессенджера с MLS-защитой и протокола согласования ключей по MLS. Последний призван решить следующие задачи:

Конфиденциальность — сообщения могут читать только участники группы.
Целостность и достоверность данных — каждое сообщение отправляется аутентифицированным пользователем и не может быть изменено в ходе пересылки.
Аутентичность состава группы — каждый участник может проверить подлинность других собеседников.
Работа в асинхронном режиме — согласование ключей не требует одномоментного присутствия сторон онлайн.
Прямая секретность (Forward Secrecy) — компрометация одного из участников не раскроет сообщения, ранее отправленные в группу.
PCS — компрометация одного из участников не позволит аутсайдеру получить доступ к дальнейшему обмену в группе.
Масштабируемость — учет потребления ресурсов при изменении величины группы.

В настоящее время MLS используют Webex и RingCentral. Переход на MLS также запланирован для Wire, Wickr и Matrix.