Лекция в университете. Опыт начинающего преподавателя

Первый опыт преподавательской деятельности получился сродни блину из поговорки. В эту субботу, 08.12.2018, в рамках подготовки подрастающего поколения к участию к соревнованиях по информационной безопасности "QCTF Starter2018.2" я прочитал в Сыктывкарском Государственном Университете лекцию на тему "Сетевая безопасность. Защита IP-сетей".

Если быть точным, то опыт чтения лекций не совсем первый, потому что в 2013м я уже читал одну лекцию в МГУ на тему "Практические особенности построения инфраструктуры обеспечения ИТ-безопасности". Но там была совсем другая история.

Техника информационной безопасности при обращении с мобильными устройствами

Хотя направление Consumer Security в информационной безопасности - не мое, но недавно пришлось систематизировать рекомендации о том, на что обращать внимание при работе с мобильных устройств, чтобы при этом минимизировать риск утери/утечки корпоративной информации и очень личных данных. Почему бы и со всеми не поделиться?

Утечка информации, особенно той, которую не хотелось бы афишировать - событие неприятное, и последствия могут быть разнообразными, в зависимости от того, с чем эта информация связана (очень личный материал, коммерческая тайна, параметры доступа к банковскому счету и другим сервисам...).

Protect yourself from Cisco Smart Install Attack and others. ToDo list

I can see a lot of publications about Cisco Smart Install attack on Aprl 6, 2018. Vedor and researchers started some interesting war of words as rap battle. Let's try to be independent side in this battle. I want to share my experience how to protect your infrastructure from such attacks.

On March 28, 2018 Cisco published 2 Smart Install vulnerabilities:

• Denial of Service (DoS) CVE-2018-0156.
• Remote code execution (RCE) CVE-2018-0171.

But community forgot another vulnerabilities from March 28, 2018:

• RCE of QoS service CVE-2018-0151. 
• Unauthenticated attacker can login to device using default username "cisco" CVE-2018-0150. 

Exploit is not published for free yet but it is not a reason to ignore these vulnerabilities. Some people have this exploit, one can be sure. And you must protect your devices now because it is not too late yet.

Атака Cisco Smart Install и другие - порядок действий для защиты

Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.

28 марта опубликованы 2 уязвимости Smart Install:

• Отказа в обслуживании CVE-2018-0156.
• Выполнения произвольного кода CVE-2018-0171.

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

• Выполнения произвольного кода сервиса QoS CVE-2018-0151. 
• Получения несанкционированного привилегированного доступа к интерфейсу управления устройством с использованием учетной записи по умолчанию CVE-2018-0150. 

То, что еще не опубликован и не используется массово эксплоит - не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.

WAF: Open Source vs Proprietary

В четверг, 29 марта 2018, выступал в Краснодаре на конференции "Код ИБ" с докладом на тему "Технические аспекты внедрения WAF". Тема не то, чтобы очень новая, но для меня когда-то была очень актуальной. 5 лет назад ни вендор, ни интегратор не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили "vendor-recommended design". В итоге пришлось делать все самому. Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим.

На конференции в Краснодаре у меня спросили:
- примеры open source WAF
- сравнивал ли я производительность коммерческих и open source решений WAF.

Третий кит информационной безопасности - доступность. Когда кластеризация бессильна

В прошлой заметке я описывал, на что стоит обратить внимание при организации отказоустойчивой резервируемой системы, независимо от того, это ИБ, ИТ или телеком. Но даже при соблюдении этих правил можно испытать фиаско. 

В каких случаях кластеризация не спасёт от потери сервиса.

Актуальные вопросы ИБ в искусстве. Форсаж 8

Несмотря на несомненный интерес, этот фильм я посмотрел только неделю назад. Как и прошлые части, "Форсаж 8" был построен на элементах спецэффектов и супергеройства. Если не обращать внимание на многие откровенные ляпы в оборонке и неиссякаемый запас везения главных героев, то получилось даже интересно. Но критиковать ляпы - много умения не нужно. Интереснее было наблюдать за относительно новыми, либо не слишком популярными акцентами в кинематографе. Возможно, они были всегда, просто я только со временем начал обращать внимание на эти нюансы. Итак, начнём.

Третий кит информационной безопасности - доступность. Checklist

Конфиденциальность, целостность, доступность - этот набор слов знаком каждому, кто крутится около ИБ, независимо от глубины погружения. И если с первыми двумя все понятно, то третье часто отодвигается в сторону функционала ИТ/телеком. 

При внедрении практически каждого ИТ-/ИБ-/телеком-решения поднимается вопрос отказоустойчивости. Особенно в случае, если решение обрабатывает продуктивный трафик, либо предоставляет востребованный внутренними/внешними клиентами сервис. Так что же нужно сделать, чтобы ее обеспечить? Статей на этот счет написано немало, так что не буду и я исключением.

Высокая доступность обеспечивается совокупностью следующих факторов:

Работа мечты для технического специалиста

Нет, я не буду в этом посте рассказывать о вакансиях моего отдела, хотя пересечение существенное. Лучше расскажу о том, что узнал на NZNOG18.

Наверное, каждый задавал себе вопрос: "А что такое для меня - работа мечты?". Возможно, многие даже составляли признаки идеальности. Наиболее лаконичное определение я услышал в 2011 году от Евгения Касперского:

"Больше всего я люблю 2 вещи: делать богоугодное дело и зарабатывать деньги. Особенно если это совпадает".

То есть, у работы, по сути, 2 критерия для сотрудника: моральное удовлетворение и деньги. И оба критерия абсолютно индивидуальны.

Можно составить своеобразный квадрат а ля Гартнер, в котором будет 4 сектора:

- за еду

- за идею

- за деньги

- за счастье

О богоугодном деле и рассказывал один из докладчиков конференции NZNOG18 Крейг Уинтерс (видеозапись выступления), член команды IT&Telecommunications Emergency Response Unit (ITT ERU) новозеландского отделения Международного Комитета Красного Креста. Чем эта организация занимается, рассказывать не нужно, а о том, каким образом тема Красного Креста попала на конференцию по Интернет-технологиям и сетевой безопасности - стоит прояснить.

NZNOG18: Protect yourselves and others from DDoS

Видеозапись моего выступления на заморской конференции NZNOG18.
Картинка в теле видна, но по требованию правообладателя встроенное видео не воспроизводится. Придется перейти на YouTube (начало моего выступления на 28й минуте, но послушать Geoff Huston тоже не помешает).
===
My lecture video streaming on NZNOG18.
You have to be redirected to YouTube because embedded video is not allowed by organizer. My slides start is on 28th minute but Geoff Huston presentation is also interesting.

Firefox fix for Meltdown and Spectre

If you believe Firefox "it’s fast. Really fast. It’s over twice as fast as Firefox from 6 months ago". 

It will be as fast as any browser soon.

But the main feature is fix for Meltdown (CVE-2017-5754) and Spectre (CVE-2017-5753, CVE-2017-5715):

See in deed. This post is written with Firefox 57.0.4...

Firefox vs Meltdown&Spectre

Если верить Firefox, он стал еще быстрее, и скоро сможет конкурировать с любым браузером по скорости.

А самое главное - в новой версии 57.0.4 реализован некоторый фикс к Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753, CVE-2017-5715):

Посмотрим, как пойдет. Заметку написал с Firefox 57.0.4...