Давеча слушал различные выступления на внутренней конференции Cisco SecCon. Собственно, задача данной конференции рассказать сотрудникам Cisco о тенденциях в области хакинга и о том, как им противостоять, как правильно писать защищенные программы, ну и т.д. Вторая часть интересна только нашим программистам, т.к. там изучаются такие темы как
Слушать их было интересно и... страшно... для меня, как гражданина России. По их словам вся угроза киберпространству идет из России ;-( Особенно интересно было слушать спецагента US Secret Service, который рассказывал про реальные случаи ведения и задержания русских (там и граждане Эстонии были, но их упорно называли русскими) хакеров. Познавательный доклад ;-) Кстати, Секретная Служба США - основной орган по расследованию "электронных" инцидентов Америке (в моем курсе про это чуть более подробно).
Отличный рассказ от эксперта CERT/CC по тому, как писать защищенные программы, какие ошибки обычно делают программисты, какие практики должны быть внедрены для реализации SDL, какие инициативы запущены CERT/CC для решения этой задачи. Хоть я уже и давно не программист, но было интересно. Кстати, недавно обновили SAMATE - свободно доступный онлайн-инструмент, содержащий классические ошибки при написании кода на Java, C и C++. 175 категорий, 60000 специфических ошибок!
Уже от наших спецов была классная презентация по сертификации по требованиям ИБ. В целом идея с оценкой соответствия правильная; вопрос только в реализации. В презентации как раз рассматривались различные схемы сертификации (преимущественно американские) - "Общие критерии", FIPS, DoD UC ACL, I3MP, их особенности, требования, подводные камни. Если бы у нас был бы более грамотный подход к сертификации, то и вопросов бы к ФСТЭК и ФСБ было бы гораздо меньше.
ЗЫ. Из забавного - в презентациях как минимум 5 выступающих встречалась вот эта, ставшая уже классикой, иллюстрация.
- Защищенное программирование на C/C++
- Защищенное программирование для Java/Web
- Фундаментальные основы тестирования ПО с точки зрения ИБ
- Расширенное тестирования ПО с точки зрения ИБ: Fuzzing
- Тестирование приложений с точки зрения ИБ
- Статический и динамический анализ кода
- И т.д.
Слушать их было интересно и... страшно... для меня, как гражданина России. По их словам вся угроза киберпространству идет из России ;-( Особенно интересно было слушать спецагента US Secret Service, который рассказывал про реальные случаи ведения и задержания русских (там и граждане Эстонии были, но их упорно называли русскими) хакеров. Познавательный доклад ;-) Кстати, Секретная Служба США - основной орган по расследованию "электронных" инцидентов Америке (в моем курсе про это чуть более подробно).
Отличный рассказ от эксперта CERT/CC по тому, как писать защищенные программы, какие ошибки обычно делают программисты, какие практики должны быть внедрены для реализации SDL, какие инициативы запущены CERT/CC для решения этой задачи. Хоть я уже и давно не программист, но было интересно. Кстати, недавно обновили SAMATE - свободно доступный онлайн-инструмент, содержащий классические ошибки при написании кода на Java, C и C++. 175 категорий, 60000 специфических ошибок!
Уже от наших спецов была классная презентация по сертификации по требованиям ИБ. В целом идея с оценкой соответствия правильная; вопрос только в реализации. В презентации как раз рассматривались различные схемы сертификации (преимущественно американские) - "Общие критерии", FIPS, DoD UC ACL, I3MP, их особенности, требования, подводные камни. Если бы у нас был бы более грамотный подход к сертификации, то и вопросов бы к ФСТЭК и ФСБ было бы гораздо меньше.
ЗЫ. Из забавного - в презентациях как минимум 5 выступающих встречалась вот эта, ставшая уже классикой, иллюстрация.
А как же эта картинка:
ОтветитьУдалитьhttp://qwey.ru/uploads/images/00/00/01/2011/01/19/e8bdd474e7.jpg
:)
А я такой и не видел раньше
ОтветитьУдалить