Зараз існує ціла серія програмних сканерів безпеки які цілком якісно можуть провести діагностику захисту сервера. В більшості серверів сканер видає повідомлення про наявність(функціонування) методу trace. Чомусь прийнято вважати, що це діра в захисті і її можна використати для взламування. Це правда, але часково. Метод TRACE призначений для діагностики мережі. Принцип роботи приблизно наступний – клієнт відсилає серверу певну інформацію, а сервер у свою чергу відпраляє отриману інформацію назад. Якщо в результаті була отримана видозмінена інформація – що десь не спрацювало. Проте цей метод був використаний для здійснення XSS атак: в TRACE запиті на сервер передаються кукіси, якщо вони є. Тому можна запит перехватити і витягнути звідти все що потрібно.

Якось нещодавно довелось мені зустрітись із проблемою недовіри користувачам. Проблема є тривіальною, проте програмери роблять стільки помилок, що аж волосся випадає, при чому не тільки в мене. У даному випадку я наведу приклад від якого можна відштовхуватись і на його базі буде представлена концепція взаємодії з користувачами. А суть проста, як двері – не довіряти нікому, навіть якщо користувачем є рідна мама. Наприклад є така форма

1.form action=log.php method=GET
2.input maxlength=10 type=”input” name=”username”>Username /input
3./form

От ніби класична форма, яку завше використовують(тут ще повинні бути розставлені символи < та >, але фільтр it.ridne.net їх не пропускав, тому я їх видалив, скористайтесь фантазією і поставте їх де потрібно). Але вона містить потенційну вразливість. І полягає вона в обмеженні довжини до 10 символів(2-а стрічка). Справа в тому, що це обмеження спрацьовує на стороні клієнта, а не сервера. Це означає, що я можу : використати браузер який нехтує параметром maxlength , можу написати свій браузер який буде нехтувати цей параметр і зрештою направити наступний url :

Але перед тим як дати опис тої фігні хотілося б дати опис програм для пошуку точок входу у програму. Для застарілої Windows NT перелік засобів для перегляду реєстра і файлової системи розміщені за адресою http://www.sysinternals.com . Найбільш популярні програми це filemon та regmon. Інший тип програм це АРІ монітори. Ці програми підключаються до певних викликів АРІ і дозволяють визначити, які параметри передаються цим викликам.
Для зміни викликів функцій АРІ можна використати програму Failure Simulation Tool компанії Cigital. Програма FST працює між програмою і DLL за допомогою перезапису таблиці адрес переривань. Завдяки такому підходу видно, які функції АРІ викликаються і які параметри передаються. Програму можна використовувати для генерації рапорту про помилки в програмах. А якщо є помилки – то програма швидше ламається. Цей відступ був для загального розвитку, просто щось собі нагадалось.

У матеріалі мова йтиме про слабкості фільтрів вхідних даних при роботі з веб-серверами. Так наприклад, стрічки http://server/dir\..\..\..\winnt та http://server/dir/../../../winnt є еквівалентними. А це означає, що якщо проходить фільтрація символу «/» то я спокійно використаю символ «\» . А ще існує така річ як кодування url, utf-8, Unicode. Наприклад, стрічка, еквівалентна до попередньої прийме вигляд http://server/dir\..%5C..%5C..\winnt ( %5C те саме що і символ «\»). Багато фільтрів виконують пошук мета символів, але можуть пропустити деякі з них при наявності символу ESC . Він, зазвичай, встановлюється на початку керуючої послідовності символів. Без цього символу керуюча послідовність буде перетворена на інший символ:

Ще колись в давні часи постало питання виміру програмного забезпечення. І найкраще для цього підійшла одиниця – кількість стрічок коду. Відповідно до цього критерію ввели поняття кількості помилок на 1000 стрічок коду. Це значення повинне лежати в діапазоні від 5 до 50. Системи, що пройшли контроль якості (Quality Assurance) повинні містити не більше ніж 5 помилок на 1000 стрічок коду. Зараз програмне забезпечення тільки ускладнюється і значно зростає в об’ємі. Так наприклад, система Netscape містить 17 млн. стрічок коду, космічна станція – 40 млн., windows 95 – 5млн., windows xp – 40млн., Linux – 5млн. Для наведених систем частота помилок коливається від 5 до 50 на 1000 стрічок коду. Подивившись на цю статистику найбільш приємний той факт, що Linux потенційно стабільніший від windows xp у 8 разів.

При аналізі та пошуку вразливих місць у програмах використовується кілька підходів. В даному випадку я наведу найпростіший. Схема роботи буде проста як двері. Компанія Rational створила програму Purify для динамічного дослідження програмного забезпечення. Ось її і будемо використовувати. За допомогою програми Hailstorm запускаємо процес внесення помилок у SQL Server 7 і за допомогою Purify будемо відслідковувати стан програми. Враховуючи, що у даному СУБД більше помилок, ніж стрічок з програмним кодом, використаємо хоча б одну з них. Наприклад, при внесенні некоректних даних в пакет протоколу SQL Server виникає проблема затирання даних в пам’яті. Збій проходить в результаті неправильної обробки даних.

За повідомленням компанії Calyptix Security у програмному забезпеченні мережних пристроїв багатьох відомих виробників віднайдена серйозна вразливість. Це вразливість, що дозволяє реалізацію CSRF атак. Суть атаки полягає у можливості контролювання атакуємий пристрій шляхом генерації запиту від імені авторизованого користувача. Для реалізації такої атаки на мережний пристрій потрібно заставити користувача, що має доступ до пристрою, під’єднатися через до пристрою через веб-інтерфейс і в цей момент відкрити в браузері сформований певним чином сайт.
Атакам такого типу можуть підлягати апаратні брандмауери, маршрутизатори, мережні принтери та ін. Через вразливість можна створювати нові облікові записи, змінювати паролі користувачів, налаштування. Найцікавіше тут, те що виробники мережних пристроїв чомусь не збираються виправляти помилки програмного забезпечення (крім Check Point Software Technologies, яка блискавично відреагувала на виявлення вразливості і відразу її ліквідувала ). Інші компанії намагаються відмовчатися.

У даному матеріалі буде розглянуто найновішу концепцію захисту інформації у банківській інформаційній системі.
Спочатку створюється база працівників банку. І відповідно кожному з них надається індивідуальний ідентифікатор та пароль(зазвичай це робить адміністратор). По цьому ідентифікатору визначаються права доступу у банківську мережу та привілеї роботи. Далі адміністратором визначається перелік можливих робочих місць користувача, при цьому мережний ідентифікатор та пароль користувачу не повідомляються. Натомість користувач отримує спеціальний ключ у вигляді елементу Touch Memory, де криптографічно записано паспорт ключа, мережний ідентифікатор та пароль, пароль входу у банківську систему. Для автентифікації користувача створена спеціальна програма, що контролює ввід пароля, читає елемент Touch Memory і здійснює криптографічний контроль вмісту пам’яті ключа, проводить ідентифікацію користувача, і надає доступ до мережі відповідно до прав та привілеїв. Передача даних по каналам зв’язку забезпечується комбінованою криптографічною системою. Платіжні документи клієнта, банк отримує виключно при наявності цифрового підпису( криптосистема з відкритим ключем). Захист пересилання файлу з платіжними документами забезпечується криптосистемою із закритим ключем. Ну а носієм закритого ключа клієнта банку є елемент Touch Memory.

А почну я із файлу /etc/inetd.conf. Звідти необхідно видалити все, що не використовується сервером( зокрема команди shell,exec,login). У файлах /etc/rc.* , /usr/local/etc/rc.d/ міститься весь перелік програм, що запускаються. Тому його потрібно проаналізувати і також забрати весь непотріб. У файлі /etc/rc.conf виставити параметр tcp_extensions=”NO” для запобігання DoS атакам. Хоча тут все залежить від версії ядра. У старіших версіях цей параметр прописувався при перекомпіляції ядра, у новіших – його винесли у вказаний файл. Для контролю за цілісністю сервера можна використовувати готові утиліти – tripwire, mtree . Мені ліньки їх описувати, тому детальніше про на лаштування і роботу цих демонів можна нарити в Інтернет.

Розглянуто методи ідентифікації особи за відбитками пальців. Приведено класичний підхід до проведення ідентифікації та на його основі здійснено аналіз модифікацій різних його частин. Виділено проблеми, які виникають на різних етапах у систем ідентифікації.

Вступ

Біометрія, як наука вивчення математичних або статистичних властивостей у фізіологічних і поведінкових людських характеристиках, широко використовується у сфері захисту інформації. Використання відбитків пальців в якості біометрії є одним з найстаріших методів автоматизоматизованої ідентифікації особи і водночас найбільш поширеною в наш час. До числа факторів, які сприяють поширенню використання систем такого типу можна віднести: незначні розміри та вартість апаратури для обробки зображень відбитків пальців, високопродуктивне апаратне забезпечення, степінь та швидкість розпізнавання, що відповідають вимогам програмного забезпечення, різкий ріст та розвиток мережних технологій та Інтернету, а також усвідомлення необхідності простих, базових методів захисту та безпеки інформації.

У даному матеріалі мова піде про загальні алгоритми проектування розподіленої обчислювальної мережі з повністю визначеною інформацією про її об’єкти. Метою написання матеріалу є виключення можливості роботи алгоритмів віддаленого пошуку.
Однією із причин успішної атаки на розподілену обчислювальну мережу (ОМ) є відсутність інформації про доступ до віддаленого об’єкту. І тому, якщо на початку створення ОМ таку інформацію повність визначити, то це може суттєво скоротити серію атак на цю мережу. Але при високій кількості таких об’єктів, таку мережу побудувати практично не реально.
Сцена поступово освічується місячним сяйвом. Так, що становиться видно перший алгоритм, що базується на використанні інформаційно-пошукового сервера, та другий із використанням широкомовного запиту. Раптом зверху падає кінець і по ньому швидко з’їжджає хакер і дає _____ другому алгоритму. Хакер:

Пригадується, ще за часів життя короля Косяка, саме того який віддав свою Маріхуанну-Прекрасну і півцарства за Івана-Наркомана, був тоді галімий Інтернет без DNS серверів. І означало се, що доводилось тоді користуватись 32-розрядними ІР-адресами. Але знайшлися мудреці, котрі створили текстовий файл із відповідністю імен комп’ютерів до їх ІР-адрес – так званий host file. І абгрейдився цей файл кожного разу і передавався він від одного компа до іншого і тільки заради того, щоб юзер міг собі замість 127.0.0.1 набрати у стрічці браузера чарівне слово localhost. Але мережа росла, наркомани розмножувались і постала тоді необхідність у створенні єдиного інформаційного сервісу котрий б здійснював перевід мнемонічно зрозумілих імен у ІР-адреси та навпаки. І постала тоді доменна служба імен DNS (Domain Name Server) зі своїм спеціяльно створеним протоколом. Тоді всі зібрались, ширку прийняли, димедрол ковтнули, траву скурили та й вирішили, що буде працювати тоді цей DNS та ще й за таким алгоритмом :

[13:31] ВОНО: піпл, дайте ай-пі якогось придурка!!
[13:32] Хтось: 127.0.0.1
[13:32] ВОНО: дякую!
[13:32] ВОНО: зараз він здохне
[13:33] ** ВОНО вийшло з чату
А щоб вияснити прізвище та ім’я ВОНО необхідно прочитати даний матеріал до кінця. Я наведу перелік простих сигнатур котрі залишаються в логах після спроб взлому веб-сервера. Вони охоплюють перелік поширених дір сервера apache, а також можуть використовуватись для аналізу захищеності веб-проектів.

А почну я мабуть із найбільш поширеної вразливості – переповнення буферу. При такій вразливості стрічка може мати вигляд : http://ip-host/cgi-bin/test?type= 1111111111(256 разів).

Якщо веб-сервер запущений під root то зловмисник може отримати повний доступ до системи. Тобто, якщо у логах знайдете стрічку такого типу, значить сервер тестувався на предмет переповнення буферу.
Використання «<?»
Передбачає спробу внесення РНР коду. Наприклад : http://ір-host/andr.php=<? passthru("id");?> , при чому запит може бути написаний у 16-й системі числення.

Використання «<» та « >»
Символи передбачають перенаправлення вводу-виводу у файл. Приклад : "http://ip-host/andr.php=Hello" . Це належить до атаки типу SSI (Server Side Include).

Використання «!». Може статися халепа, якщо користувач натисне на таке посилання http://ip-host1/andr.php= . У такому разі файли зільються докупи andr.php та andr-bad.php, стануть одним цілим. Це також SSI.
При такій стрічці : http://ір-host/andr.php= зловмисник запустить команду id . А при такій http://ip-host/andr.php= взагалі приєднає файл із паролями .htpasswd. За замовчуванням apache не повинен бачити і мати доступ до файлів, що починаються із .ht . Проте тут ситуація трохи інша і SSI обходить цю заборону.

Використання «|». В Юнікс ця команда передбачає виконання кількох команд одночасно. Команду можна використати, наприклад, так : http://ip-host/cgi-bin/andr.cgi?page=cat%20access_log|grep%20-i%20"andr"
Використання «%00»
Це є 16-ве представлення нульового байту. Використувається для емуляції запиту іншого файлу : http://ip-host/cgi-bin/andr.cgi?page=../../../../etc/motd%00.html . Вразливість використвується при дозволених запитах виду http://ip-host/cgi-bin/andr.cgi?page=index.html .
Використання «.» «..» «...»
Ця сигнатура використовується для зміни директорії на сайті. Її найчастіше використовують у CGI дірах. Наприклад http://ip-host/cgi-bin/andr.cgi?file=../../../../etc/mount

Більшість систем-аналізаторів запитів досліджує їх «прямо», пропускаючи семантичне навантаження. Тобто, якщо представити запит у 16-й системі числення то більшість IDS можуть такий запит пропустити. І в результаті получається як в тім анекдоті : «Один процесор іншому – Які ті люди є тупими. Бешкетуємо ми, а гримають вони по моніторам.»

Тобто при створенні веб-проектів не варто використовувати тільки засоби захисту, які пропонує сервер. Цей комплект необхідно доповнити ще й своєю системою захисту. І нехай connect буде з вами ...

В даній статті розглянемо методи захисту від такого типу вразливості Веб-додатків як XSS ін’єкція. Що ж таке XSS ін’єкція?

XSS - (англ. Сross Site Sсriрting) - міжсайтовий скриптинг, тип вразливості комп’ютерної системи. Особливістю даного типу атак є те, що замість безпосередньої атаки сервера, використовується вразливий сервер в якості засобу для атаки на клієнта.

Cross-site scripting - це одна з найбільш поширених вразливості Веб-додатків. При такому типу атаки, атакуючий розміщує шкідливий JavaScript або інший вміст на Веб-сторінці (наприклад повідомлення на форумі), який пізніше може бути виконаний цим Веб-додатком. Тут ми говоримо про скрипти, які можуть бути вставлені в HTML-код, і потім виконані браузером користувача.
Розрізняють п’ять найбільш поширених таких скриптів:

• <script>: часто використовується для вставки JavaScript або VBScript;
• <object>: часто використовується для вставки Flash, ActiveX-компонентів та ін;
• <applet>: використовується тільки для Java applets; все частіше замінюється на <object>;
• <iframe>: використовується для вставки фреймів;
• <embed>: використовується для програвання медіа файлів; все частіше замінюється на <object>;

Варто зазначити, що картинка обробляється браузером з використанням тегу <img>, і є особливою формою <object>, а отже теж може використовуватися для XSS-ін’єкції.

На сьогодні виділяють 3 базові класи для роботи із відбитками пальців. Перший клас базується на порівнянні візерунку відбитків. Алгоритм працює за наступною схемою. Відскановане зображення розбивається на множину секцій ( чим менша секція, тим вища точність). Місцезнаходження папіляру у цій секції описується певною синусоїдою ( початковий зсув фази, напрям поширення). Потім порівнюються хвильове представлення відповідних секцій шаблону та відсканованого зображення.
Другим класом є кореляційне порівняння. Коли два відбитки накладаються один на інший та проводиться розрахунок кореляції між відповідними пікселями. Зображення можна зміщати та повертати.

Цього разу я спробую провести короткий огляд біометричних систем.

На перше місце я б поставив сканери сітківки ока. Інфрачервоний промінь малої інтенсивності скеровується на зіницю для фотографування малюнку, який утворюють кровоносні судини. Коштує така цяця біля 500 дол. Сканери такого типу вважаються найкращими. З цього ж класу можна придбати трохи таньші системи (десь 300 дол), але менш надійніші. Такі системи записують картинку плям та прожилок поверхні ока. Вони є менш надійними. Якщо зробити фотографію ока з високим розширенням, то такий сканер можна обійти. Пригадується, як у якомусь фільмі для того, щоб обійти сканер злочинцю довелось виколупати очі авторизованій особі.

Ціль яку ставить автор висвітлюючи даний матеріал полягає у організації кращого захисту розроблених веб проектів, а не способів їх взлому .
Це вразливість, яка існує через недосконалість чи відсутність механізму провірки даних отриманих від користувача. Наприклад, маючи наступну адресу http://site.ua/site.php?id=01 повинна завантажитись якась сторінка. Але якщо після знаку рівності користувач вкаже будь-які символи (наприклад ...php?id= test, .php?id=01’, .php?id=10 …) і в результаті все одно завантажиться дана сторінка, то сайт на 90% може бути взломаний через sql ін’єкцію, оскільки не проводиться фільтрування отриманого від користувача параметру. В гіршому випадку отримаєте повідомлення про помилку, в кращому - пустий результат. Наприклад, .php?id=10 – повинно би повернути пустий sql запит, а .php?id=10” – помилку. В основному, ціль яка ставиться при використанні sql ін’єкції полягає у отриманні доступу до бази даних (зазвичай це MYSQL, безкоштовна для не комерційних проектів та надійна СУБД). Для розуміння наступних дій необхідні деякі знання із побудови запитів до БД. Так для визначення який номер стовпця виводить на сторінку інформацію достатньо виконати запит типу /test.php?id=10+union+select+’test’,null,null/* чи /test.php?id=10+union+select+null,’test’,null/*. Якщо з бази читається кілька параметрів то необхідно знайти той, що має тип text . А ці запити потрібно виконувати доки не побачимо слово test у потрібному місці. Одною із цікавих властивостей MYSQL є перетворення числового типу даних до будь-якого іншого, без породження при цьому помилки. Це майже як у РНР, змінній не присвоюється певний тип даних, що можна можна використати при взломі сайту, простим перевизначенням цієї змінної ( наприклад, присвоїти їй якусь адресу скрипта) . Цю властивість можна використати при такому запиті, де лапки можуть фільтруватися .php?id=10+union+select+1,2,3/* . Ім’я таблиці можна отримати наступним запитом .php?id=01+union+select+null,null,null+from+table1/* . Так можна часом знайти таблицю з ім’ям users, passwords etc і працювати вже безпосереньо з нею. Назви стовпців в таблиці вичисляються так .php?id=10+union+select+null,row1,null+from+table1/* . Якщо користувач має права на select то в результаті запиту .php?id=10+union+select+null,mysql.user.password,null+from+mysql.user/* можна отримати хеш пароля, який потім розшифровується.

Компанія Digital Security (www.dsec.ru) представила Digital Security ScreenSaver. Цей програмний продукт (скачати: www.dsec.ru/downloads/ds_screensaver_demo.zip, 1,2 Mb) це періодично обновлювальна серія скрінсейверів, що допомагає користувачам закріпити деякі правила з області інформаційної безпеки. Пропонується 3 версії програми : стандартна – сюжет та дизайн універсальні, логотип компанії заміняється на логотип вашої компанії; корпоративний дизайн – сюжет універсальний, дизайн за замовленням; корпоративна – сюжет та дизайн за замовленням.
В сумі кожен випуск містить 10 різних сюжетів, а обновлення відбувається один раз на два місяці. Програма дуже нагадує звичайнісіньку презентацію.
Річ ця звісно хороша, проте на мою думку – малоефективна. Скрінсейвер вмикається коли користувач зазвичай відходить від свого комп’ютера і інформацію, яка з’являється на моніторі можуть побачити хіба інші особи. Форма представлення такої важливої інформації, мені здається – занадто дитяча. Слід зауважити, що я оцінюю демо-версію. Наведу живий приклад. Я не користуюсь антивірусними програмами, хоч і мій комп’ютер-клієнт працює в локалці на 150 компів під’єднаних до Інтернет (зовсім віднедавна. Слава адміну!!!). І в цьому скрінсейвері з’являється картинка із малим щеням і внизу написано, що так беззахисно виглядає мій комп’ютер без антивірусного програмного забезпечення. І навіть після побаченого я не встановив навіть Касперского. Можливо було б ефективніше, якби мені показали ілюзію краху операційки та внизу написали, що таку каку може зробити мені вірус і обов’язково треба захищатися. Антивірус від побаченого я б все одно собі не поставив, але це могло б спонукати до більш рішучіших дій користувачів. Доки їх не настрашиш – не перехрестяться. А настрашити вірусами їх треба так, щоб вночі не спали і думали якби то від них відбитися.

З чим я всіх і вітаю. Свято засноване у 1988 році і підтримує його 50 країн. Для того щоб правильно його відсвяткувати і потім зранку ще й вийти на роботу майже з світлою головою можна скористатись лінком http://www.computersecurityday.org/. Тільки наперед кажу, що ця адреса від похмілля не рятує (але якщо хтось знає таку, обов’язково дайте знати).

www.securitylab.ru чемно нам повідомляє про вихід російського перекладу британського стандарту BS 7799-3:2006 “Системы управления информационной безопасностью – Часть 3: Руководство по управлению рисками информационной безопасности”. Експерти передбачають, що до кінця наступного року даний стандарт ISO затвердить як міжнародний з індексом 27005 . Стандарт містить інформацію про основні фактори ризику, процеси керування ризиками, описує взаємозв’язок між ризиками інформаційної безпеки та іншими ризиками, вимоги та рекомендації щодо вибору методології та інструментів для оцінки ризиків. Зараз проводиться робота над стандартами по застосуванню та вимірюванню ефективності систем керування інформаційною безпекою які повинні отримати індекси 27003 та 27004. Їх випуск запланований на 2007 рік. Буде доступною і російськомовна версія.

За повідомленням www.lenta.ru у Скотланд-Ярд виникли проблеми. 16 листопада було викрадено 3 лептопи у яких містилась інформація про банківські реквізити, номера соціальних страхівок, адреси проживання та розмір зарполатні 15 тис. сівробітників Скотланд-Ярду. Керівництво закладу наказало своїм працівникам прослідковувати стан своїх рахунків і про несанкціоновані зміни відразу повідомляти.
Перше, що мене здивувало так це чому така інформація зберігалась на лептопах, які не були захищені відповідним чином (хоч би до стіни цвяхами поприбивали). Така подія може свідчити про недотримання (незнання, небажання дотримуватись) політики безпеки. Адже тільки коплекс фізичних та програмних засобів захисту може гарантувати збереження такого роду інформації. Вони просто повинні були передбачити можливість підкупу працівників, випадок ядерної війни і що найгірше – планового відключення електроенергії. І на кожен з випадків повинна існувати інструкція по протидії цьому. Не спрацювала служба безпеки Служби безпеки. А може то хтось із трудоголіків-працівників просто взяв ці комп’ютери додому, щоб трохи більше попрацювати і забув про це сказати ...

SANS Institute (SysAdmin, Audit, Networking and Security) опублікувала щорічний список 20 програмних продуктів, що є улюбленими цілями хакерів (Top 20 Security Targets). І як завжди на першому місці продукти Microsoft: Internet Explorer, Office, Windows Libraries.
Ця ж організація виявила 45 вразливостей Microsoft Office, які попали у категорію критичних, серйозних. Десять з них дають можливості до zero-day атак ( коли атака здійснюється раніше, ніж розробник випустить відповідну заплатку). І мені як прихильнику та шанувальнику FreeBSD напрочуд приємно читати такі факти. З нетерпінням очікую вихід Windows Vista там буде про що писати.
У веб ресурсах найбільш поширені атаки типу SQL injection (введення спеціального коду для отримання доступу до бази даних) та cross-site-scripting (використання скритого коду в вікні браузера користувача). Це може свідчити про безграмотність розробників ПЗ, оскільки вже давно є готові скрипти для запобігання атак такого типу. А у мови PHP є навіть вбудовані функції для фільтрування введеного тексту, так невже так складно їх використати.

Для початку визначимо що ми будемо розуміти під терміном ризику. Ризик це певна подія, що здатна вплинути на хід проекту. Основна його характеристика – ймовірність виникнення. Ризик, який реалізувався будемо розуміти під проблемою. Слід розрізняти поняття – вирішення проблеми та вирішення задачі.
В більшості випадків керівники проектів (розглянемо розробку програмного проекту) не враховують ризик через те, що виявлений ризик він сприймає як недолік його роботи. Але ж значно простіше внести зміни у проект у процесі відладки, ніж після його здачі. І продукт буде працювати стабільніше.
Ризик виникає із зародженням проекту. Він виникає за наступних умов: неправильно оцінений розмір та складність задач розробки, необхідні ресурси; використовуються недосконалі інструменти розробки проекту; проект розробляють не фахівці; визначення строків закінчення проекту проходить без врахування структури проекту та його складності; існування сильної залежності від конкретних людей; постійно змінюються вимоги до розробки; розміри проекту не відповідають його бюджету.

На ринку з’явився шлюз інформаційної безпеки D-Link DFL-M510 . Про його характеристики можна прочитати за адресою http://www.ritm-it.ru/protection/d-link/dlink-firewalls/m90464/7730.htm . Він підключається між міжмережевим екраном та локальною мережею. Пристрій дозволяє заблокувати роботу програм чи їх окремих функцій, коли він виявить в них шкідливий код, обмежити роботу із поштовими службами, програмами-завантажувачами(GetRight та ін.), обмежити пропускну здатність каналу, блокування несанкціонованого трафіка, керування передачею Р2/Р-сервісів, захищає від більшості атак DOS/DDOS. Якщо атака йде із середини мережі, то використовується технологія Zone Defense і пристрій може заблокувати порт комутатора до якого під’єднаний хакер.

На сторінці 73 журналу “Компьютерное обозрение” №41(560) за 31 жовтня – 6 листопада 2006р розміщена стаття Евгения Куценко “Знание правил не гарантирует их выполнение”. Автор повідомляє про проведення глобального соціологічного дослідження.
Було опитано більше 1000 чоловік із 10 країн. Ціль проведення такого дослідження полягала у вивченні такого питання як – на скільки користувачі інформаційної системи створюють додаткову загрозу для своєї інформаційної безпеки. По отриманим відповідям було виділено окрему категорію – віддалені працівники. Дві третини респондентів відмітили що віддалена робота потребує підвищеної обережності, проте вони це ігнорують. Більше 21% учасників дозволяють особам що не мають відношення до роботи використовувати свій комп’ютер для доступу в Інтернет. Кожен четвертий заявив що в процесі роботи за службовим комп’ютером відкриває електронні листи від невідомих адресатів. Крім цього 29% опитаних призналися у використанні службових комп’ютерів у приватних цілях, 40% використовують для проведення закупів в Інтернет. За словами Jeff Platon віце-президента компанії Cisco, необережне поводження 11 віддалених працівників компанії зі штатом у 100 чоловік може повністю вивести з ладу корпоративну мережу, викликати витік конфіденційної інформації та персональних даних. До цього може призвести всього одна вразливість у системі захисту.

Я вже тривалий час з тривогою очікую появи нових системних атак, які будуть провадитися через Інтернет і носити комплексний характер – експлуатуватимуть різні вразливості серверів та комп'ютерів користувачів.
Тобто у найпростішому описі така атака може виглядати як:
- початкове інфікування багатьох авторитетних сайтів (через вразливе серверне ПЗ);
- подальше розміщення на інфікованих серверах коду, який вражатиме комп'ютери користувачів (не обов'язково через дірки – значна частина користувачів може сама встановити шкідливий код зі сайтів, котрим вони довіряли);
- Уже комп'ютери користувачів можуть стати площадками подальших атак (зокрема захоплення нових серверів).

В мережі опубліковані Підсумкові документи Всесвітнього саміту з питань інформаційного суспільства (ВСІС)

• Підсумкові документи ВСІС (перекладені з англійської) та англо-український словник термінів, ужитих при перекладі

Впевнений, що ця робота сприятиме:

• розробці й обґрунтуванню законодавчих актів, а також загальнонаціональних, галузевих та регіональних програм і прое�ктів, пов’язаних з інформатизацією та побудовою інформаційного суспільства;
• розвиткові та усталенню української термінології у сфері інформаційно-комунікаційних технологій;

Надійне завірення документів які створені у електронній формі і не мають паперового аналогу може спростити життя для багатьох користувачів фінансових послуг та різних видів бізнесу. Для завірення (підписування) документів у електронній формі використовують механізм електронного цифрового підпису (ЕЦП).

Робота з ЕЦП в Україні грунтується на ряді законів ("Про електронний цифровий підпис",

У законодавстві України з'явилось наступне визначення:

Спам - не замовлені попередньо споживачами електронні повідомлення, які або є масовими, або в яких не наведено достовірні відомості про повну назву, власну поштову чи електронну адресу замовника чи відправника цих повідомлень, або подальше отримання яких споживач не може припинити шляхом інформування про це замовника чи відправника.

Визначення введено у постанові Кабінету міністрів України від 9 серпня 2005 р. N 720 "Про затвердження Правил надання та отримання телекомунікаційних послуг"

Операційна система MS Windows XP Professional корпорації Microsoft® з пакетом оновлення Service Pack 2 та пакетом підтримки української мови отримала експертний висновок СБУ.

Згідно з наданим висновком сервіси безпеки операційної системи Microsoft Windows XP Professional відповідають з рівнем гарантій Г-2 вимогам нормативних документів системи технічного захисту інформації в Україні в обсязі функцій, зазначених у документі “Державна експертиза з технічного захисту інформації операційної системи Windows XP Professional SP2. Технічні вимоги”. Відповідно до НД ТЗІ 2.5-004-99 сукупність функцій захисту визначається функціональним профілем КД-2, КО-1, КВ-2, ЦД-1, ЦО-1, ЦВ-2, ДР-1, ДЗ-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1, НА-1, НП-1.