Неплохая статья про безопасную разработку (DevSecOps)

В журнале JetInfo (https://www.jetinfo.ru/) опубликована неплохая статья Анастасии Дитенковой и Антона Гаврилова "Безопасная разработка: адаптивная эволюция".

В статье вы узнаете:

 Какие проблемы возникают при интеграции процессов разработки, ИТ и ИБ? 

 Как правильно сформировать ИБ-команду для DevSecOps? 

 Как выбрать инструменты для автоматизации процесса безопасной разработки?

Основные выводы авторов: 

"Главное — не браться за все и сразу. Нужно идти постепенно и выбирать то, что необходимо именно вам и именно сейчас по трем направлениям: процессы, люди и технологии.

Мошенники некоего "Росконтроля" рассылают письма предпринимателям с предложением закрыть проблемы с персональными данными

 Недавно мне позвонил знакомый предприниматель и сказал, что ему на фирму пришло письмо от Росконтроля, что он нарушает закон о персональных данных и ему нужно срочно подготовить комплект документов по обработке персональных данных у них в организации и зарегистрироваться в качеств оператора персональных данных. Я попросил переслать мне это письмо. Вот оно:

Что можно сказать по поводу этого письма. Налицо все признаки фишингового письма, но это не совсем фишинг. Человека запугивают штрафами со ссылкой на российское законодательство, Настоятельно "рекомендуют" в течении 1 (одного) дня обратиться на некий сайт, в названии которого присутствует "rkn" (что даёт намёк на сайт Роскомнадзора) и получить там "бесплатную" консультацию.

Немного смущает то, что предприниматель работает в Севастополе, а угроза штрафов и проверок исходит от организации из Санкт-Петербурга.

Что же предлагает нам названия с громким названием Федеральный центр защиты персональных данных Система сертификации "Росконтроль" (rkn.moscow он же rkn.expert и т.п.).

Для начала вас снова напугают штрафом в 6 млн.рублей и попросят пройти проверку на наличие у вас нарушений в части обработки персональных данных. Всего то нужно ввести ИНН вашей организации и получить отчёт.

И снова про оптимальную длину пароля. 22 символа! Кто больше?

В безопасном сообществе продолжается обсуждение темы того, какой длины и сложности должны быть пароли, чтобы противостоять злоумышленникам. Я уже писал своё мнение на тему актуальности требований парольной защиты (здесь).

Сегодня компания Домклик опубликовала в своём блоге на Habr статью "Какова оптимальная длина пароля?", в которой обосновывает оптимальный размер пароля и требования к его составу.

Цитирую вывод: "Пароли должны быть сильными, даже если вы не используете одни и те же сочетания в разных местах. Сила пароля измеряется энтропией, и нужно стремиться к значению в 128 бит. Для этого достаточно паролей длиной 22 символа, состоящих из прописных и строчных букв, а также цифр".

О защите домашнего роутера

В последнее время опять появились сообщения о росте атак на домашние роутеры. Например =, публикация "Trend Micro фиксирует взрывной рост атак на домашние роутеры"  (https://www.securitylab.ru/news/510370.php). 

В начале 2019 года насчитывалось 9-10 млн попыток взлома в месяц, а в сентябре – 23 млн, в октябре же число атак достигло почти 100 млн. В декабре был зафиксирован пик – почти 250 млн попыток.

Это во многом обусловлено тем, что не многие простые пользователи вообще представляют как настраивается роутер, как войти в его настройки и какие настройки можно применить для повышения защищенности как роутера, так и всей домашней сети.

Признаки того, что ваш роутер взломан можно почитать в статье "Как узнать, что Ваша Wi-Fi сеть была взломана" (https://www.securitylab.ru/blog/company/PandaSecurityRus/324181.php).

Для каждого роутера интерфейс настройки разный и скриншоты экранов настройки и просмотра протоколов работы роутера будут разными.

Попробуем проверить установлен на вашем роутере заводской пароль или при настройке роутера вам пароль администратора сменили и таким образом повысили защищенность роутера.

Для этого откройте любой браузер и наберите в нём адрес http://192.168.1.1/. При этом ваш компьютер должен быть подключен к роутеру или проводом или через Wi-Fi.

У вас должен появиться запрос логина и пароля администратора для доступа к настройкам роутера.

Заводской (дефолтный) логин  и пароль для каждого роутера разные. Иногда логин и пароль напечатаны на табличке на роутере. Найти их также можно немного погуглив или сразу поискать на сайте https://portscaner.ru/router-password-default. В строке поиска на этой странице введите наименование производителя своего роутера.

Например, для моего роутера фирмы ASUS это логин - admin, пароль - admin.

Если логин и пароль подошли, значит у вас на роутере установлены заводские настройки и злоумышленники легко могут подключиться к вашему роутеру, изменить его настройки, возможно установить вредоносное программное обеспечение и т.п.

Для изменения пароля администратора нужно войти в соответствующий раздел настроек роутера и поменять пароль. 

Например в моём ASUS это выглядит так:

Не забудьте куда-нибудь записать логин и пароль. Они вам пригодятся про изменении настроек роутера.

Если уж вы вошли в режим настройки роутера, то можно посмотреть сколько и каких устройств подключено к вашему роутеру и нет ли посторонних подключений

подключено 3 устройства

Если обнаружите посторонние подключения найдите раздел смены пароля для Wi-FI подключений и измените пароль.

Кроме того, для защиты всех внутренних подключений в домашней сети специалисты рекомендуют изменить настройки так называемого DNS-cервера, который определяет по имени сайта его IP-адрес. Для защиты от мошеннических сайтов рекомендуют подключить DNS-сервера службы Яндекс.DNS (https://dns.yandex.ru/#wifi).

У меня в настройках ASUS это делается в разделе настроек глобальной сети WAN:

Безопасной вам работы!

UPD: дополнительные советы по защите роутера можно посмотреть в "Безопасках" от 14.08.2020