Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 79 След.
как опубликовать информацию о уязвимости
 
http://www.securitylab.ru/lab/

"Эксперты Positive Technologies Research Team и команда SecurityLab готовы оказывать содействие независимым исследователям в анализе обнаруженных ими уязвимостей, контактах с производителем программного обеспечения и последующим резервированием номера CVE. В дальнейшем уязвимости будут опубликованы в разделах "Лаборатория" и PT-advisory, при этом авторство исследователя будет сохранено."
Обсуждение уязвимости: Отравление DNS кеша в ISC BIND?
 
Тип обращения: Сообщить о наличии исправления
Подмена DNS-записей в кэше ISC BIND?
Вакансии для ИТ и ИБ специалистов в Positive Technologies
 
см. исходное сообщение. там все контакты.
[ Закрыто] Сравнительный анализ решений по внешнему сканированию PCI DSS 2009г. PCI DSS VULNERABILITY SCANNING., ЗАО «Анализ защищенности» публикует результаты сравнения решений по внешнему сканированию PCI DSS на правах соавторства
 
Г-н Никитенко. Видимо я чем то вас обидел и у вас есть повод, чтобы называть меня Г :). В этом случае приношу извинения. Хотя...
Сергей Владимирович меня вполне устроит. И естественно, все что я здесь пишу - мое личное мнение. Кстати, ваша привычка ссылаться на "личное мнение" хуже для вас персонально. Потому что "личное мнение" это УК 129, а мнение компании это 135-ФЗ.

"не должно быть ложных срабатываний " голословно заявил offtopic.

Коллега, я отсылаю вас к первоисточнику https://www.pcisecuritystandards.org/pdfs/pci_dss_technical_and_operational_requirements_for_­approved_scanning_vendors_ASVs_v1-1.pdf.

Позволю себе цитату


False Positives Management
The customer may point out to the ASV that vulnerabilities identified in the
scanning report are false positives. In this case, the following is required:
•  The ASV must assess the relevance of the customer statement and make
a determination of adequacy. The report should be amended by the ASV
as necessary  
•  The customer must not be permitted to edit the scanning report
•  The ASV scan must not reduce the search space of any scan by
discarding any previously reported false positives


Думаю, что большая часть участников дискуссии в достаточной мере владеет английским, чтобы понять, что после того как Заказчик ... нажимает "кнопку" после чего информация обрабатывается экспертами (во всех 3-х случаях). ложные срабатывания должны уйти. Или "обрабатывающие эксперты" немного недообрабатывали :)

В списке ASV ищите нашего партнера Qualys он предоставляет сервис, а мы его представители в России.

Даже буду партнером, вы не можете предоставлять сервис ASV пока вас нет в этом списке.

offtopic, Вы тоже сертифицированный специалист Qualys?

Г-н Никитенко, вы не являетесь сертифицированным специалистом по MaxPatrol, потому, как вы не прошли тестовые экзамены. Присутствие вас на курсах, конечно похвально. Но хорошо бы при этом вынести от туда что-то. Например понимание того, что "уязвимости с вопросиком" в MaxPatrol и XSpider и есть "потенциальные уязвимости".

MaxPatrol не участвовал в сравнении.

Почитайте отчет наконец-то, там четко указан список решений

Естественно. Ведь MaxPatrol это не сервис, а продукт, решение. Решения и продукты не стратифицируются по PCI DSS.
Сервис на основе наших продуктов сертифицированные ASV, умеющие обрабатывать ложные срабатывания, имеют право называть как угодно.

Я пытаюсь быть предельно корректным к Вам и Вашему решению, которое, к сожалению, не приняло участие в сравнении. Милости просим к участи в следующем сравнении.

Это хорошо. Однако, либо вы добросовестно заблуждаетесь и не понимаете разницу между продуктом, с помощью которого можно проводить ASV-сканирование и сертифицированным сервисом ASV, либо вы, простите, передергиваете. Но мы не ASV и туда не стремимся.

Более того, я думаю Владимиру стоит в следующий раз быть аккуратнее и не приглашать к участию в сравнении аффилированных лиц.
[ Закрыто] Сравнительный анализ решений по внешнему сканированию PCI DSS 2009г. PCI DSS VULNERABILITY SCANNING., ЗАО «Анализ защищенности» публикует результаты сравнения решений по внешнему сканированию PCI DSS на правах соавторства
 
Мальчики, я кончено мало, что понимаю в разных там сравнениях.

Это очень плохо, когда вы сами понимая свою некомпетентность пытаетесь обсуждать то, в чем не компетентны.
Я как-то наоборот, разбираюсь в этом вопросе и участвовал в разработке методики, используемой Владимиром.

Какие ваши решения участвовали в этом сравнении?

Мы собственно производитель систем, но наши решения использует российские ASV. Просто некоторые об этом пишут, а некоторые нет.
Кстати, не нашел ЗАО «Анализ защищенности» в списке ASV https://www.pcisecuritystandards.org/pdfs/asv_report.html. Опять некомпетентность?


Дело в том, что Qualys единственное решение среди сравниваемых решений показывало потенциальные уязвимости. «Потенциальные уязвимости» это уязвимости, наличие которых устанавливается по косвенным признакам.

Коллега, сравнивались не решения а сервис ASV. "Решения" не сертифицируются по PCI DSS. Так вот, если говорить о сервисе, то Qualys показал себя плохо, более того, он провалил бы "зачет" по PCI DSS ASV, поскольку не выполнил одну из задач ASV, а именованно "False Positives Management". Т.е. в итоговом отчете не должно быть ложных срабатываний вне зависимости от того, что там выдал сканер. Таким образом, как сервис ASV задача обработки ложных срабатываний была переложена на заказчика, что крайне и крайне плохо...

Еще немного о единственное решение показывало потенциальные уязвимости. Боюсь, вы лишний раз продемонстрировали свою осведомленность в обсуждаемом вопросе. Угадайте, что "значит вопросик" в приведенном скриншоте MaxPatrol?




к. при создании методики Владимир и я не учли, что

Мы общались в Владимиром по этому вопросу, и я высказывал свое мнение (см. выше) которое совпадет с мнение любого практикующего аудитора :)
[ Закрыто] Сравнительный анализ решений по внешнему сканированию PCI DSS 2009г. PCI DSS VULNERABILITY SCANNING., ЗАО «Анализ защищенности» публикует результаты сравнения решений по внешнему сканированию PCI DSS на правах соавторства
 
Дим, не кипятись. Qualys вылез исключительно из-за nmap'овского фигерпринта Cisco и потому что в сравниваемой системе не было Web (точнее был один с последним Bitrix). И по ложным срабатываниям Qualys тоже "победил". Набрал больше всех :) Потому что он "лучший".
Ищу человека
 
http://sgordey.blogspot.com/2009/11/blog-post.html
Первый родной комп!!!, Хотелось бы узнать кто с чем работал И для чего он был( игры, работа)
 
И холиворы тогда были - БК vs Спектрум
- а у нас 16ть разрядов, а у вас 8...
а у нас, а у нас - графика, звук и Элита!
Первый родной комп!!!, Хотелось бы узнать кто с чем работал И для чего он был( игры, работа)
 
БК 0010-01

Магнитофон Соната 213

Телевизор Юность 40

Со временем прикрутил принтер УПЗ (устройство противно [печатное] звенящее [знакогенерирующще]) и floppy

Втакал в Фокал, ASM, Basic (а больше и не было ничего)

Играл - "Звездные войны"!!!!, "Десантник", "Лабиринт", "Load Runner", "Шериф" ...
Вакансии для системных и сетевых инженеров в компании Positive Technologies
 
Специалист (инженер) по внедрению

Компания Positive Technologies, одна из ведущих российских компаний рынка информационной безопасности, занимается разработкой программного обеспечения (XSpider, MaxPatrol) и аудитом информационной безопасности.
Компания приглашает на работу специалиста (инженера) по внедрению системы мониторинга MaxPatrol.

Функциональные обязанности:

- проведение работ по внедрению системы мониторинга информационной безопасности MaxPatrol;
- участие в консалтинговых проектах компании (внедрение систем мониторинга ИБ, тесты на проникновение, аудиты информационной безопасности);

Требования:
- знания Windows систем на уровне системного инженера/администратора;
- понимание стека TCP/IP, основных сетевых протоколов;
- желательно наличие навыков программирования на скриптовых языках (jscript, vbscript, shell, perl, wmi)
- работа в ИТ или ИБ области от года;
- желание повышать компетенцию в области информационной безопасности.

Приветствуются инженеры и специалисты ИТ и ИБ направлений, желающие повысить собственную компетенцию в области информационной безопасности. Возможен быстрый переход на экспертные должности.

Зарплата (~ 50000) по результатам собеседования.

-----------------------------------------------------------------------------------------------

Работа в Positive Technologies — это:

* Интересная работа в молодом, демократичном коллективе профессионалов.
* Уникальные задачи, напрямую связаны с практической безопасностью.
* Обучение и сертификация.
* Достойное вознаграждение, "белая" заработная плата.
* Возможности профессионального и карьерного роста.
* Оформление по ТК.
* Оплачиваемые отпуска и больничные.

Контакты:

tguseva@ptsecurity.ru
http://www.ptsecurity.ru/

Дополнительные ссылки:

http://www.securitylab.ru/lab/
http://www.ptsecurity.ru/analytics.asp
http://sgordey.blogspot.com/
Вакансии для Unix-специалистов в Positive Technologies
 
Специалист (инженер) по безопасности Unix-систем

Компания Positive Technologies одна из ведущих российских компаний рынка информационной безопасности, занимается разработкой программного обеспечения (XSpider, MaxPatrol) и аудитом информационной безопасности.
Компания приглашает на работу специалиста (инженера) по безопасности Unix-систем.

Функциональные обязанности:

- развитие системы мониторинга информационной безопасности MaxPatrol (XSpider) в части анализа безопасности СУБД;
- проведение исследовательских и аналитических работ;
- участие в консалтинговых проектах компании (внедрение систем мониторинга ИБ, тесты на проникновение, аудиты информационной безопасности);


Требования:
- уверенные знания коммерческих Unix (Solaris, AIX, HP-UX) и Unix-like систем (Linux, FreeBSD) на уровне системного администратора или программиста;
- знание shell, скриптовых языков (perl, python) ;
- понимание подходов и реализаций функций безопасности Unix-систем;
- направленность на экспертную, аналитическую работу;
- работа в ИТ или ИБ области от года;
- желание повышать компетенцию в области информационной безопасности.

Приветствуются инженеры, программисты и специалисты ИТ и ИБ направлений, желающие повысить собственную компетенцию в области информационной безопасности. Возможен быстрый переход на экспертные должности.

Зарплата (~ 50000) по результатам собеседования.

-----------------------------------------------------------------------------------------------

Эксперт по безопасности Unix-систем

Компания Positive Technologies, одна из ведущих российских компаний рынка информационной безопасности, занимается разработкой программного обеспечения (XSpider, MaxPatrol) и аудитом информационной безопасности.
Компания приглашает на работу эксперта по безопасности Unix-систем.

Функциональные обязанности:

- развитие системы мониторинга информационной безопасности MaxPatrol (XSpider) в части анализа безопасности Unix-систем;
- проведение исследовательских и аналитических работ;
- участие в консалтинговых проектах компании (внедрение систем мониторинга ИБ, тесты на проникновение, аудиты информационной безопасности);

Требования:
- экспертные знания коммерческих Unix (Solaris, AIX, HP-UX) и Unix-like систем (Linux, FreeBSD);
- знание shell, скриптовых языков (perl, python) ;
- понимание подходов и реализаций функций безопасности Unix-систем;
- знание основных стандартов по безопасной настройке систем (NIST, CIS, DoD), практический опыт настройки и аудитов безопасности;
- направленность на экспертную, аналитическую работу.

Зарплата по результатам собеседования.

-----------------------------------------------------------------------------------------------

Работа в Positive Technologies — это:

* Интересная работа в молодом, демократичном коллективе профессионалов.
* Уникальные задачи, напрямую связаны с практической безопасностью.
* Обучение и сертификация.
* Достойное вознаграждение, "белая" заработная плата.
* Возможности профессионального и карьерного роста.
* Оформление по ТК.
* Оплачиваемые отпуска и больничные.

Контакты:

tguseva@ptsecurity.ru
http://www.ptsecurity.ru/

Дополнительные ссылки:

http://www.securitylab.ru/lab/
http://www.ptsecurity.ru/analytics.asp
http://sgordey.blogspot.com/
Вакансии для ИТ и ИБ специалистов в Positive Technologies
 
>А демократия при выборе директора присутствует? )))))

Нет. У нас анархическая монархия. И не надо путать демократию и либераство :)

>И какое право голоса имеет уборщица в "суверенной" демократии ПТ Секурити

Это внешний ресурс, но в сфере своей компетенции власть огромная. Назначает ежедневные совещания. Она приходит - все встают и уходят :)
Вакансии для ИТ и ИБ специалистов в Positive Technologies
 
Коллеги.
Positive Technologies (как всегда) предлагает интересную работу в молодом, демократичном коллективе профессионалов.
Вакансии - в первом посте.
[ Закрыто] Встроенный фаерволл в Windows 7, Дропнутый пакет пролез в систему?
 
Боюсь напугать Мансура, но 445 порт у него наверняка открыт службой Server.
ICMP/RST/SYN+ACK в ответ нет, значит до стека не дошло.
создаётся сырой сокет - сырой сокет ловит весь трафик долетевший до узла выше NDIS. На то он и сырой.

RU_LIDS-  +1
Максуру - RTFM
Outpost - нормальный продукт
Тему закрываю - ибо бред.
SQL injection в программе для Win, Возможно ли
 
А вот чеклист.
http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Еще очень полезные ссылки:

http://www.securitylab.ru/analytics/241826.php
http://www.securitylab.ru/lab/
http://www.securitylab.ru/lab/disclosure-policy.php
Открытые гостинничные Wi-Fi сети, хотелось бы узнать
 
RTFM Captive Portal:

http://en.wikipedia.org/wiki/Captive_portal

Причем это может быть сделано непосредственно на точке доступа под OpenWRT или Kamikadze:

http://forum.openwrt.org/viewtopic.php?id=11536

Если хочется чего-то защищенного, то у MS есть  Wireless Provisioning Services:

http://support.microsoft.com/kb/890156
IIS & SNMP, помогитре разобраться...
 
Папка pickup используется SMTP-сервером для "подхватывания" почтовых сообщений и передачи далее. Сваливать их туда может либо другой SMTP сервер либо какой-то процесс, например IIS. В вашем случае наиболее вероятно, что на сервере есть Web-форма для отправки почты, которую активно спамят, но дальше сообщения не уходят, потому как SMTP отключен.

Найти "виноватого" можно с использованием аудита Windows (Доступ к объектам и Аудит процессо)
http://www.osp.ru/win2000/2001/05/174875/.
Если действительно IIS - тогда можно поискать "виноватый" скрипт, что-то типа (за синтаксис не ручаюсь):

findstr /S *.asp "pickup"

Доп. ссылочки:
http://www.windowsitlibrary.com/Content/141/09/1.html
http://support.microsoft.com/kb/297700
История SecurtyLab, типа "винни пух и все-все-все" =)
 
Цитата
например, перевод.

По рыночным расценкам для технического перевода. Сколько-то чего-то за 1 страницу (1,8 Килобукв).
По подробностям - к Антипычу, из его бюджета.
История SecurtyLab, типа "винни пух и все-все-все" =)
 
>Сколько денег то?

За что?

За ссылку на интересную новость :)?
История SecurtyLab, типа "винни пух и все-все-все" =)
 
Народ, если есть контент - просто кидайте Антипову или Теклорду. Мы через свою кухню пропустим и опубликуем (или нет :) и кинем ссылку. Вот собственно и все.

ЗЫ. Авторство или переводство указывайте на свой вкус.
ЗЗЫ. Если перепечатка - нужна ссылка на оригинал.
ЗЗЗЫ.  Плагиат в аналитике режем жестко.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 79 След.