Дежа вю. Год назад я уже писал о событии, ударная волна которого, несколько раз обогнув земной шар, коснулась каждого, кто так или иначе имеет отношение к индустрии информационной безопасности. Так, например, организаторы культовой хакерской конференции Defcon, находящиеся на той стороне планеты, приняли решение приютить на своих соревнованиях CTF финалистов PHD CTF.
RST/GHC/UKT – аббревиатуры, о многом говорящие тем, кто следил за хак-сценой в далеких 2000-х годах. Команда хакеров Rush Security Team (она же – RST) трясла Интернет и оставила свой след на территории информационной безопасности. Кстати говоря, сама индустрия ИБ в то время была еще в зачаточном состоянии. Мне посчастливилось пообщаться с человеком, который, как оказалось, является не только талантливым пентестером в одной из крупных ИБ-компании, но и хакером-ветераном, который уверенными шагами вышел на свет и прикоснулся (а может не только прикоснулся, но и значительным образом «потоптался») к истории российской хак-сцены.
Материалы данного интервью опубликованы на официальном веб-ресурсе журнала “Хакер”
Оценка соответствия инфраструктуры, в которой хранятся, обрабатываются и передаются данные о держателях платежных карт, требованиям Стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) позволяет выявить причины, создающие благоприятные условия для нарушения аспектов безопасности рассматриваемой информационной системы и, как следствие, компрометации критичных данных.
В процессе разработки распределенной информационной системы, от корректности функционирования которой напрямую зависит доступность других информационных систем, встала задача обеспечения доступа к компонентам ее администрирования. Организация обмена данными между узлами осуществлялась с использованием зоопарка технологий, которые предоставляет Windows Communication Foundation, входящий в состав .NET Framework. Веб-сервисы, XML-сообщения, SOAP, web.config WCF-клиента с установленным элементом “security” – все это было бы отличным фундаментом для решения поставленных задач с учетом аспектов безопасности доступа к административной части, но факт существования техники “Padding Oracle Attack” ставит под сомнения концепцию и заставляет задуматься над конкретной реализацией.
Февраль-март 2012 года принимает в список своих бумажных изданий очередной номер аккредитованного Высшей Аттестационной Комиссией журнала «Безопасность информационных технологий» (второе название – «БИТ»), где наряду с блестящими научными публикациями выходит в свет моя работа на тему автоматизации процесса аудита по стандарту PCI DSS.