Tuesday, 26 March 2013

Кто подставил агента IE6 ?


         При изучении нового видеокурса получил напоминание о том что у меня устаревший web-браузер. Это был Internet Explorer 8.0. Разумеется он не последний, но ведь так часто мы слышим призывы к кроссбраузерности контента, а тут такой пас. Конечно тут же было предложено перейти на новую 9-ю версию Internet Explorer-a либо перейти на альтернативный web-браузер Firefox, Opera или Chrome. Есть у меня все три альтернативы, 9-ку IE не поставлю потому как знаю что для этого понадобится и поменять ОС с Windows ХР на Windows 7. Я не против апдейта, но не в этом случае. 

            А так ли важна версия web-браузера в моем случае или автор курса просто в дань моде поднял планку при финальной сборке? Поскольку сообщение про устаревший web-бразуер версии 6.0 (хотя давно использую 8.0) при серфинге в инете получаю на сайтах периодически решил выяснить вопрос детально. Оказывается при использовании jQuery с версии 1.3 метод $.browser.version отдает неправильную версию для IE. Возможно сейчас этот баг исправлен, но претензии по поводу версии 6.0 случаются даже от youtube-a !  

Friday, 15 March 2013

Книга "Компьютерный инцидент – от теории к практике CLI Forensic Toolkit"


   Компьютерный инцидент. Вариант набора инструментальных средств исследователя (CLI Forensic Toolkit). Применение такого набора. Визуальный коррелятор данных. Обо всем этом моя новая книжка. Встречайте - представляю вам очередной бестселлер)  

"Компьютерный инцидент –
от теории к практике.
CLI Forensic Toolkit." 


  От теории компьютерных инцидентов к практике их исследования. Бесплатный инструментарий исследователя. Это может каждый!

      Уверен книга будет полезна многим! Ее можно прочесть онлайн в моей Библиотеке.
      Жду ваши отзывы.


Monday, 11 March 2013

Будем все SOPAать !

Всем привет!

Буквально годик назад был пост на тему SOPA. Тема была непростая. Захотел было изучить ее более глубоко, но меня опередил автор из портала Хакер-онлайн. Там 1-го марта появилась статья под красноречивым названием "История копирастии". А опередил в том смысле что многие его мысли являются отражением очевидных выводов. И выводов неутешительных.

Вообщем читайте и делайте выводы сами. Рекомендую!

Friday, 1 March 2013

Бесплатный коррелятор для администратора - MS Log Parser


   Как известно, сами по себе операционные логи в компьютерных системах доказательной силы по случаю выявления атаки не имеют. Доказательством атаки могут  служить только производные от этих логов, а именно:


        -      протокол осмотра пораженного атакой узла
-      заключение эксперта-специалиста по информационной безопасности
-      квалифицированная интерпретация логов.
Поддержка корректности и неизменности логов на этапе их жизненного цикла от генерации одной программой до интерпретации человеком или другой программой является обязательной.
При этом содержимое разных лог-файлов как с самого узла так и имеющих к инциденту отношение, но находящихся вне узла (на других узлах) может:
-  совпадать;
быть подмножеством другого;
-     частично пересекаться по времени или другому признаку;
-     дополнять друг друга по времени или другому признаку;
-     не совпадать.
Поэтому доказательная сила логов заключается в их корректной интерпретации. Следовательно основная работа эксперта во время интерпретации заключается в выявлении взаимосвязей между различными записями в лог-файлах, которые отражают те или иные события. Другими словами, специалист занимается ручной корреляцией событий.
К примеру если это сервер MS IIS то отслеживание событий web-сайта приходиться выполнять напрямую по следующим журналам:
-   системный
-      безопасность
-      приложения
-      служба каталогов
-      сервер IIS
-      служба репликации файлов
-      сервер DNS.
При этом сами типы корреляций могут быть следующие:
     локальная корреляция, осуществляемая непосредственно на защищаемом узле.
В этом процессе участвует система обнаружения и предотвращения атак уровня узла если таковая имеется, которая либо отражает атаку, о чем оповещает администратора безопасности, либо нет

     корреляция со сведениями об операционной системе. Если Windows-атака направлена на Unix-узел, то ее можно просто игнорировать. Если же ОС входит в список уязвимых для данной атаки, то в действие вступает следующий вариант корреляции

    корреляция атак и уязвимостей. Следуя определению атаки, она не может быть успешна, если атакуемый узел не содержит соответствующей уязвимости. Таким образом, сопоставляя данные об атаке с информацией об уязвимостях атакуемого узла, можно с уверенностью будет сказать, применима ли зафиксированная атака к вашей сети и, если да, то нанесет ли она вам какой-либо ущерб

  корреляция по времени наступления события. Корреляция позволяющая сопоставить разнородные события от разных источников в один момент времени и представить общую схему атаки

  корреляция по типу события. Некоторое событие повлекло или могло повлечь другое событие. Такую корреляцию довольно сложно реализовать простыми инструментами и поэтому в этом случае требуется вмешательство специалистов, которые расследуют инциденты.

Версия на печать

Популярное

Медиа облако