Архив

Posts Tagged ‘обучение’

Совместный удаленный доступ к ДБО

Решил поделиться решением задачи по совместному удаленному доступу к ДБО, вдруг кому-то будет полезно.

Итак, дано:
Есть доступ в систему ДБО. Логин-пароль, вход подтверждается по SMS, вход возможен только при наличии eToken’а класса Aladdin Pro. Подпись документов, отправляемых в банк, происходит тоже с помощью ключей.

Требуется:
Организовать возможность доступа в систему ДБО в общем случае N удаленных людей.

Решение:
Вся инфраструктура в нашей локальной сети доступна удаленным пользователям через OpenVPN. В локальной сети поднимается виртуальная машина, в хост в USB вставляется eToken и подключается к виртуальной машине. На виртуальную машину устанавливается ПО USB over Network, которое позволяет подключить удаленное USB-устройство к локальной машине так же, как если бы оно было вставлено в локальный USB-порт. Далее eToken расшаривается для удаленного доступа, конечно с паролем.

Теперь SMS. Берется любой планшет или телефон на Android, ставится программа SMS Forwarder, в которой задается правило: все смс с такого-то номера отправлять на такие-то почтовые адреса. Android-устройство подключатся к WiFi-сети нашей инфраструктуры. Очевидно, в устройстве должна стоять та SIM-карта, на которую приходят одноразовые пароли.

Works like Charm.

p.s. Чего-то мне кажется, что всякие банковские трояны используют эту схему уже давно. Полагаю, спецы подтвердят.

Реклама

Как быстро искать научные статьи

Думаю, многим любителям академических работ будет полезно. Не претендуя на полноту, решил описать свой способ поиска новых статей в своей предметной области (web & application security).

Шаг 1. Берем статью 2010-2011 года близкой нам тематики из любого источника из списка ниже:
https://seclab.cs.ucsb.edu/academic/publishing/
http://www.iseclab.org/publications.html
http://www.ieee-security.org/TC/SP-Index.html
https://www.usenix.org/publications/proceedings
Пусть, например, мы выбрали статью про создание black-box сканера уязвимостей, который учитывает состояние веб-приложения: «Enemy of the State: A State-Aware Black-Box Web Vulnerability Scanner».

Шаг 2. Берем интересные нам статьи и ищем, кто за последние годы на них ссылался. Делается это так:
— либо ищем название статьи в Google Scholar и кликаем в выдаче «Cited By»; в нашем случае будет выдано 17 статей — http://scholar.google.com/scholar?cites=15644735933810005707
— либо ищем название статьи в portal.acm.org и переходим во вкладку «Cited By»; в нашем случае будет выдано 4 статьи — http://dl.acm.org/citation.cfm?id=2362793.2362819.

Шаг 3. Для каждой новой заинтересовавшей нас статьи из ссылающихся на исходную повторяем Шаг 2. Обычно рекурсия не заходит глубже второго уровня.

Шаг 4. Качаем выбранные статьи и читаем. Для тех, кто не в курсе, платные статьи можно скачать через http://sci-hub.org/.

Удачной охоты!

p.s. Буду благодарен за related типсы и триксы, если кто знает.

Налетай, не скупись, засылай рукопись!

Плохо иметь системное критическое мышление. Вместо того, чтобы радостно писать «новые» тулзы и каждый день придумывать инновационные методы, приходится маленькими шажками через reject’ы, скепсис коллег и неудачные гипотезы продвигаться вперед в любимой предметной области. Труден и тернист путь самурая от академии, ибо ждут его не только неудачи, но и искушения: высокие зарплаты в индустрии, удаленная работа фрилансером из Тайланда и (не к ночи будь помянуты) стартапы.

Но viam supervadet vadens. Любой же путь хорош привалами, на которых можно оглянуться назад, прикинуть, что впереди, поделиться с соратниками впечатлениями, послушать советов, пристроить путевые заметки в публикацию…

Вот уже в третий раз на форуме Positive Hack Days состоится огонёк для молодых ученых, Young School. Информацию по первому Young School можно найти вот тут, а по второму — вот тут.

В моем понимании, основной профит от участия в CFP, подобных нашему (т.е. с перекрестным анонимным рецензированием) — это _бесплатное_ получение квалифицированных рецензий на свою работу. Поверьте, чем раньше исследование попадает на оценку к непричастному человеку, тем лучше.

В качестве побочного эффекта от получения положительных рецензий на свои работы у авторов появится возможность побывать и выступить на самом форуме, при этом их расходы за проезд и проживание будут полностью компенсированы организаторами мероприятия (Positive Technologies). Кстати, такого нет ни на одной известной мне академической конференции.

И еще кое-что немаловажное. В этом году мы также принимаем тезисы на английском языке. Приглашения уже разосланы нашим друзьям за океан, в свободную Европу и тоталитарный Китай. Вот и посмотрим, где сильнее Свободный Академический ДухЪ.

Правила конкурса опубликованы на офисайте форума. По всем вопросам можно смело писать на секретный ящик youngschool@phdays.com или задавать тут.

[Константин Безносов @ МГУ] Вопросы безопасности и конфиденциальности в современных социальных сетях

Приглашаем всех желающих посетить лекцию Константина Безносова из Университета Британской Колумбии по теме «Security and Privacy in Online Social Networks», которая состоится на факультете ВМК МГУ 25 июня в 12:00.

Аннотация. Каждый месяц Фейсбуком пользуются больше людей чем жителей любой страны мира, за исключением Китая и Индии. Более того, эти пользователи проводят там порядка получаса каждый день, просматривая чужие или обновляя свои статусы, или просто «тусясь». Поэтому не удивительно, что социальные сети привлекают огромное внимание широкой и разносортной публики. К примеру, в 2011 активисты «Арабской весны» использовали социальные сети как средство коммуникаций, а в 2012 году американский президент Обама во время перевыборных собрал $690 миллионов через социальные сети. Не обошли стороной социальные сети и разного рода организации (коммерческие и правовые), которые, законно и не очень «проталкивают» свои услуги и товары, или собирают информацию по интересующих им пользователям. Такое множество заинтересованных лиц остро ставит интригующий и спорный вопрос безопасности и конфиденциальности в современных социальных сетях. В данной лекции будет проведён обзор международных исследований по этому вопросу, опубликованных за последние 5 лет. Материал лекции предназначен для широкой аудитории. Лекция будет на английском языке, вопросы и ответы могут быть на русском.

О лекторе:
Konstantin Beznosov, Associate Professor in Laboratory for Education and Research in Secure Systems Engineering, Department of Electrical and Computer Engineering, University of British Columbia

Био: http://konstantin.beznosov.net/professional/bio

Как обычно, для прохода в МГУ понадобится пропуск МГУ, либо можно пройти по паспорту, прислав предварительно мне (petandr на gmail.com) или Денису Гамаюнову (gamajun на cs.msu.su) полные фамилию, имя и отчество.

Безопасность веб-приложений: starter edition

В минувший четверг в рамках инициативы проведения вебинаров RISSPA провел первую часть обучающего вебинара по безопасности веб-приложений.
Материалы (видео, презентация, ролик по использованию Browser Exploitation Framework) доступны на сайте RISSPA.

Буду рад выслушать от профи хинты по методике введения в безопасность веб-приложений. Вот уже 4 года пытаюсь найти что-то оптимальное — пока остановился вот на таком подходе. Ну и пожелания по темам следующей части можно также оставить здесь.

Для удобства подключу их и сюда.

Трансляция:

Презентация:

 

Ролик по использованию Browser Exploitation Framework (смотреть в HD):

The Tangled Web

Являясь давним поклонником таланта Михаила Залевского, постоянно слежу за тем, что же делает гуру безопасности. Из его последних полезных проектов можно отметить:

И вот очередной релиз — книга "The tangled web". Лично я, ознакомившись с содержанием, уже сделал предзаказ. Кроме того, думаю сделать эту книгу базовой для студентов, которые приходят на веб-безопасность в нашу лабу. Кстати, издатель недавно выложил одну из глав новой книги, которая доступна вот тут.

Ну и в заключении список наиболее интересных постов Михаила с моей скромной точки зрения:

Lessons learned: как надо и как не надо сравнивать сканеры

Уже не первый год мне интересна тема сравнения сканеров уязвимостей (посты по теме — раз, два и три). В небольшой серии постов под названием «Lessons learned» я поделюсь своим видением проблемы — надеюсь, кому-то это окажется полезным в систематизации его миропредставления.
Первая тема — это критерии сравнения сканеров. Тег «Далее»