Дежа вю. Год назад я уже писал о событии, ударная волна которого, несколько раз обогнув земной шар, коснулась каждого, кто так или иначе имеет отношение к индустрии информационной безопасности. Так, например, организаторы культовой хакерской конференции Defcon, находящиеся на той стороне планеты, приняли решение приютить на своих соревнованиях CTF финалистов PHD CTF.
RST/GHC/UKT – аббревиатуры, о многом говорящие тем, кто следил за хак-сценой в далеких 2000-х годах. Команда хакеров Rush Security Team (она же – RST) трясла Интернет и оставила свой след на территории информационной безопасности. Кстати говоря, сама индустрия ИБ в то время была еще в зачаточном состоянии. Мне посчастливилось пообщаться с человеком, который, как оказалось, является не только талантливым пентестером в одной из крупных ИБ-компании, но и хакером-ветераном, который уверенными шагами вышел на свет и прикоснулся (а может не только прикоснулся, но и значительным образом «потоптался») к истории российской хак-сцены.
Материалы данного интервью опубликованы на официальном веб-ресурсе журнала “Хакер”
В процессе разработки распределенной информационной системы, от корректности функционирования которой напрямую зависит доступность других информационных систем, встала задача обеспечения доступа к компонентам ее администрирования. Организация обмена данными между узлами осуществлялась с использованием зоопарка технологий, которые предоставляет Windows Communication Foundation, входящий в состав .NET Framework. Веб-сервисы, XML-сообщения, SOAP, web.config WCF-клиента с установленным элементом “security” – все это было бы отличным фундаментом для решения поставленных задач с учетом аспектов безопасности доступа к административной части, но факт существования техники “Padding Oracle Attack” ставит под сомнения концепцию и заставляет задуматься над конкретной реализацией.
Февраль-март 2012 года принимает в список своих бумажных изданий очередной номер аккредитованного Высшей Аттестационной Комиссией журнала «Безопасность информационных технологий» (второе название – «БИТ»), где наряду с блестящими научными публикациями выходит в свет моя работа на тему автоматизации процесса аудита по стандарту PCI DSS.