Ваша безопасность - наша задача
нам 15 лет

Новости

Новости с тегом article

Пару слов о DDoS-атаках и защите
2015-02-17

На  Хабре вышла неплохая статья: Что не договаривают сервисы по защите от DDoS или почему защита не работает . Кратко выжимка:

Виды DDoS-атак:

— DDoS Layer 3&4 по модели OSI. Одна из характеристик данной атаки – большое количество пакетов, которыми атакуется ресурс. На данный момент средняя мощность атаки по миру – 9,7 Gb/s и 19 Mpps.
— DDoS Layer 7 по модели OSI, то есть атака на уровень приложений. Как правило, атака не содержит большое количество пакетов (на порядки ниже чем при DDoS L3&4), скорее характеризуется точечным ударом по слабому месту атакуемого сайта.

Подключение к сервисам защищающим от DDoS атак происходит следующим образом:
— Для защищаемого ресурса в DNS прописывается адрес защищающего;
— Клиент указывает, на какой ip адрес пересылать очищенный трафик (как правило, на тот же адрес, который и был до подключения к сервису). Возможно поднятие туннеля.

Что может сделать атакующий?

Посмотреть DNS history по атакуемому сайту и осуществлять атаку по найденному IP (а не по тому, что резолвится и защищается от DDoS).

Советы для повышения безопасности от DDoS-атак:

1) помимо сервиса, который защищает от атак, настроить свой http-сервер таким образом, что бы он принимал запросы только от ip-адресов защищающего (так вы точно снимите возможность атаки DDoS Layer 7) и сменить ip-адрес (защита от DDoS Layer 3&4)

2) настроить firewall так, что бы все лишние порты были закрыты и/или принимали соединения только от известных вам ip-адресов.

3) если серверов много, то в арендуемом ЦОДе вам необходимо сменить сетку, которую вам выдал провайдер, а также продумать как правильно разнести ваши сервисы по разным сетям или даже площадкам.

Взлом биткоин биржи на Rails
2015-01-27

Интересная статья про взлом bitcoin-биржи от эксперта в области информационной безопасности - homakov (компания sakurity), почитайте, интересно, хоть внутри и много технических подробностей:

http://habrahabr.ru/post/248887/

В статье упоминаются универсальные советы, с которыми бы я и хотел поделиться:

1. Никогда не добавляйте вход через соц.сети в важные сайты. В них есть слишком много идеологических изъянов, поэтому лучше вообще не связываться.
2. Если уж и решили делать двух-факторную авторизацию, делайте правильно с самого начала — четко проследите порядок действий для добавления нового метода и предотвратите брутофорс путем блокировки аккаунта после N попыток.
3. Создавайте отдельного Суперадмина с функцией вливания произвольного числа денег в систему. Он не должен иметь возможности читать тикеты и вообще этот аккаунт надо хранить как зеницу ока.