воскресенье, 2 ноября 2008 г.
суббота, 9 августа 2008 г.
мысли
Если вы пишете какой то код, и вам все время кажется что его можно сократить и сделать эффективнее, то ... это так.
вторник, 15 июля 2008 г.
Практическая стегонография
Под стегонографией понимается процесс передачи информации при котором скрывается факт передачи. Наверно все знают примеры про рабов, которых брили, писали на голове секретные послания, ждали когда волосы отрастут, посылали получателю сообщения, который также сбривал волосы рабу и читал секретное послание. Современные примеры тоже известны - передача сообщения в картинке, за счет невидимых человеческому глазу 8-х битов в электронном представлении картинки, пробелы в html документе. Технологии скрытого туннелирования (н.р. в DNS), типа тех что предлагаются в http://thomer.com/howtos/nstx.html/ также хороший пример стегонографии.
При хранении (замечу, что хранение информации, можно рассматривать как частный случай передачи, только во времени, и самому себе, чаще всего) тоже интересно, как можно быстро организовать стегонографию. Про TrueCrypt и его скрытые диски говорить не буду, хочу поделиться более приземленными примерами.
И еще куча способов...
При хранении (замечу, что хранение информации, можно рассматривать как частный случай передачи, только во времени, и самому себе, чаще всего) тоже интересно, как можно быстро организовать стегонографию. Про TrueCrypt и его скрытые диски говорить не буду, хочу поделиться более приземленными примерами.
- Как спрятать текст в MS Word? Способ 1. Метасвойства документа.
- Как спрятать текст в MS Excel? Способ 1. Макросы, метасвойства.
Способ 2. Выделяем текст, делаем его самым маленьким шрифтом и помечаем как скрытый.
Способ 3. Макросы...
Способ 2. Берем лист, и называем его скрытым.
Способ 3. Скрытый лист можно легко обнаружить, для чего у листа есть свойство листа в xlSheetVeryHidden, теперь его уже даже в Формат->Лист->Отобразить его не будет.
И еще куча способов...
суббота, 28 июня 2008 г.
Зачем нужна ИБ?
В настоящее время очень много говорят об информационной безопасности, при этом многие забывают (надеюсь, что именно забывают, а не не знают) зачем она нужна. Произносят максимы типа:
- Стоимость системы защиты информации должна быть не выше стоимости защищаемой информации.
- Информационная безопасность нужна затем же, зачем машине тормоза,чтобы быстрее ехать.
воскресенье, 22 июня 2008 г.
О неожиданных каналах утечки...
Из баша:
a: Прикинь, у сотрудницы на компе стоит скринсейвер, который крутит картинки в режиме слайд-шоу. В общем, он, похоже, добрался до сканированных финансовых документов. Так занятно выглядит.
---
Так то мысль очень интересная, в ISO 27002 написано, что де пользователям рекомендуется "завершать активные сеансы по окончании работы, если отсутствует механизм блокировки,
например, хранитель экрана, защищенный паролем" (11.3.2). Но, так то, этот же хранитель экрана может оказаться каналом утечки конфиденциальной информации... Может нужен стандарт на безопасные хранители экранов? Я уж не говорю, что в программе хранителия экрана потенциально могут существовать уязвимости...
a: Прикинь, у сотрудницы на компе стоит скринсейвер, который крутит картинки в режиме слайд-шоу. В общем, он, похоже, добрался до сканированных финансовых документов. Так занятно выглядит.
---
Так то мысль очень интересная, в ISO 27002 написано, что де пользователям рекомендуется "завершать активные сеансы по окончании работы, если отсутствует механизм блокировки,
например, хранитель экрана, защищенный паролем" (11.3.2). Но, так то, этот же хранитель экрана может оказаться каналом утечки конфиденциальной информации... Может нужен стандарт на безопасные хранители экранов? Я уж не говорю, что в программе хранителия экрана потенциально могут существовать уязвимости...
воскресенье, 1 июня 2008 г.
В программе-минимум кандидатского экзамена по специальности 05.13.19 «Методы и системы защиты информации. Информационная безопасность» в разделе методы и системы защиты информации есть шикарный вопрос:"Средства защиты, управляемые модемом, надежность средств защиты."
Шикарно, правда?
Тема стоит последней в разделе после "Организационно-правовой статус службы информационной безопасности; организационно-технические и режимные меры; политика безопасности: организация секретного делопроизводства и мероприятий по защите информации; программно-технические методы и средства защиты информации; программно-аппаратные методы и средства ограничения доступа к компонентам компьютера; типы несанкционированного доступа и условия работы средств защиты; вариант защиты от локального несанкционированного доступа и от удаленного ИСД".
Очень важная для безопасности тема, умеют у нас вопросы составлять. Я уж молчу, что в следующем блоке есть вопрос про СКЗИ "КРИПТОН" - согласитесь, без этого знания в кандидаты наук никак.
Шикарно, правда?
Тема стоит последней в разделе после "Организационно-правовой статус службы информационной безопасности; организационно-технические и режимные меры; политика безопасности: организация секретного делопроизводства и мероприятий по защите информации; программно-технические методы и средства защиты информации; программно-аппаратные методы и средства ограничения доступа к компонентам компьютера; типы несанкционированного доступа и условия работы средств защиты; вариант защиты от локального несанкционированного доступа и от удаленного ИСД".
Очень важная для безопасности тема, умеют у нас вопросы составлять. Я уж молчу, что в следующем блоке есть вопрос про СКЗИ "КРИПТОН" - согласитесь, без этого знания в кандидаты наук никак.
суббота, 31 мая 2008 г.
Подписаться на:
Сообщения (Atom)