Статьи

В настоящее время многие Web администраторы столкнулись с серьезными вторжениями в свои сервера, которые  часто заканчивались судебными исками. Первым очевидным свидетельством для обнаружения злоумышленников, конечно, являются  лог-файлы IIS. Однако в этом случае сразу же возникает вопрос о том, возможно ли использовать IIS лог-файлы в качестве свидетельских показаний в суде. Может ли представитель защиты заявить, что записи в этих файлах недостаточно достоверны и поэтому не могут считаться свидетельским показанием?

Это вторая часть статьи, в которой обсуждается использование компьютерной экспертизы в исследовании компьютеров с ОС Windows. В первой части мы обсудили юридические проблемы, возникающие при компьютерной экспертизе и пользу от предварительной подготовки к исследованиям. В этой части мы сосредоточимся на областях файловой системы Windows, которые могут представлять наибольший интерес для компьютерных исследователей и программах, которые могут использоваться в исследовании. 

Маловероятно, что IM-системы в ближайшее время вытеснят или хотя бы сравняются по распространенности с электронной почтой. Пока еще действия хакеров или червей, ориентированные именно на такие системы являются, скорее, оригинальными исключениями из правил. Но популярность IM-систем растет, и ситуация может со временем измениться. Уже сейчас появляются вирусы, черви и трояны именно для таких систем, причем число их неуклонно увеличивается.

Существует огромное число пользователей такой связи, у нее масса сторонников и даже своих идеологов, доказывающих, что использование мгновенной передачи сообщений на рабочем месте вместо традиционной электронной почты ведет к более эффективной и надежной связи рабочего места и, поэтому, к более высокой производительности труда сотрудников. В результате, IM быстро развивается и в профессиональных и в личных приложениях. Однако здесь имеется неприятная закономерность, выведенная для большинства Интернет-программ – увеличение скорости передачи информации ведет к связанному увеличению риску защиты.

Эта статья - третья в серии, предназначенная помочь читателям оценивать риск, которому могут подвергнуться их системы, связанные с Интернетом. В первой части мы установили причины для произведения технической оценки риска. Во второй части мы начали обсуждать методику, которой мы следуем при выполнении этой оценки. В этой части мы продолжим обсуждать методику. В частности, мы обсудим следующие темы: обзор уязвимостей и видимость.

Когда пользователи подозревают, что проблемы в системе вызваны злонамеренным программным обеспечением (malware), в 9 случаях из 10 они ошибаются. Существует множество причин для сбоев в системе. Однако, всегда предполагается, что сбой вызван каким-то внешним воздействием на систему, чем-то, что имеет намерение прервать нормальную работу системы, чем-то, имеющим отношение к вирусам, или malware. Однако, в большинстве случаев к сбоям системы malware не имеет никакого отношения.

На первый взгляд два метода обнаружения вторжения - анализ сигнатур и анализ протокола, кажутся весьма разными, но философское изучение проблемы показывает их некоторое сходство. В конце концов, эти инструменты безопасности исследуют форматированные данные об атаках и аномалиях. Эти два метода, первоначально казавшиеся несвязанными, постепенно объединяются в современных программных продуктах. Эксплуатация сильных сторон каждого подхода и удаление слабых приведет, похоже, к созданию нового продукта, превосходящего все имеющиеся.

Специалисты, исследующие и анализирующие инциденты, используют множество различных автоматических инструментов, с помощью которых можно детально проанализировать вторжение. Основным источником информации при расследовании инцидентов являются журналы регистрации. Аналитик обязан понимать и распознавать следы, которые оставляет после себя эксплоит в журналах регистрации. Идентификация этих сигнатур и их воздействие на журналы приложений позволяет определить, что происходило во время инцидента.

В ходе исследования Positive Technologies оценила степень защищенности компьютерных сетей организаций от возможных внешних сетевых атак. Другими словами, оценивалась "хакероустойчивость" корпоративных сетей, имеющих выход в Интернет. Как оказалось, в 25% проверенных организаций атакующий может получить полный контроль над ресурсами сети.

Экспертное исследование компьютерных систем – это интересная и полезная область, но она ограничена социальными и правовыми рамками, которые могут оказывать прямое воздействие на путь, которым должно проводиться исследование. Кроме того, подготовка к исследованию может повлиять на шансы удачи в последующем исследовании.

Эта статья - вторая в серии, предназначенной для того, чтобы помочь читателям оценить риск, которому подвергаются их системы, связанные с Интернетом. В первой части мы установили причины, по которым нужно делать техническую оценку риска. В этой части мы приступим к обсуждению методики, которой мы следуем при выполнении этого вида оценки.

Honeypots являются новой интересной технологией. Они позволяют нам брать инициативу в свои руки и изучать работу хакеров. В последние несколько лет растет интерес к этой технологии. Цель этой статьи – рассказать вам про honeypots и продемонстрировать их возможности. Мы начнем с обсуждения, что такое honeypots и как они работают, затем перейдем к OpenSource решению Honeyd.

Методы SQL инъекции в последнее время представляют опасную угрозу защите информации, хранящейся в базах данных Oracle. Хотя написано множество статей об SQL инъекции, тем не менее, очень редко описываются особенности их использования против базы данных ORACLE. В этой статье мы исследуем нападения SQL инъекции против базы данных ORACLE. Цель этой статьи состоит в том, чтобы объяснить пользователям ORACLE опасность SQL инъекции и предложить простые способы защиты против этого типа нападений.

Цель этой статьи – поделиться с Интернет сообществом данными, собранными с моего honeypot (дословно – горшок меда, по сути – компьютер, являющийся приманкой для атак). Существует множество статей, объясняющих, как установить honeypot и риск, связанный с их использованием. Хотя эта статья поверхностно затронет эти темы, написана она для людей, которые хотят понять, что же за данные предоставляет им honeypot. Она включает в себя разведку хакера, попытку маскировки и повод для атаки honeypot.

DDoS нападения – вызов Internet сообществу. В то время как существует большое количество программ для предотвращения DDoS атак, большинство из них не применимо для небольших сетей или провайдеров. В конечном счете, вы сами должны защитится от DDoS. Это значит, что вы должны четко знать, как реагировать на нападение - идентифицируя трафик, разрабатывая и осуществляя фильтры. Подготовка и планирование, безусловно, лучшие методы для того, чтобы смягчить будущие DDoS нападения.