Аудит безопасности

Есть потребность провести аудит безопасности в “Сервисе БРС”. Есть план аудита, который по понятным соображениям, я здесь публиковать не буду. Требуется человек, желающий провести такой аудит. В связи с наличием направления “Защита информации”, полагаю, такие студенты могут быть найдены, и на этом форуме в том числе.

Честно говоря, не понимаю “понятных соображений”. Чем более открыт этот вопрос для желающих, тем больше возможностей для пентеста. А баги пусть бы сюда и складывали.

1 лайк

И кстати. Студенты защиты информации отдалены от реального взлома софта на столько же, насколько математики - от написания драйверов под Linux. У нас, по крайней мере. Если мне память не изменяет - информационной безопасности у нас нет.

Есть направление информационной безопасности в Таганроге, тоже ЮФУ.

Я про мехмат…

Поясню. Время исправления ошибок у нас слишком велико. И не хотелось бы давать кому-то возможность, читая этот форум, портить жизнь другим людям.

Вы сильно ошибаетесь. У нас же была очень приличная команда по CF. И я слышал какие-то истории о “их помощи нашим админам” от С.А. Гуды.

Так понятнее.

Команда эта, если я не ошибаюсь, существовала совершенно независимо от “защиты информации”. Местная защита информации - действительно, очень далека от реальных задач по обеспечению безопасности[на веб-серверах и сайтах, о коих идет речь]. Это раз. Во-вторых - она существовала исключительно на силах самих студентов, никто их сей деятельности не учил. Студенты, конечно, были мехматовские, но руководствоваться только этим в поиске новых студентов с такими способностями не совсем логично. Плюс, ошибался бы я сильно, если бы группа была действующей. О том, что было когда-то, можно сказать “давно и неправда”. Я посещал их лекции на 1 курсе, пока они были. Потом их не стало.

Кстати, что мешает обратиться за помощью в этом деле к админам ЮГИНФО? Они, пожалуй, гораздо ближе к подобной деятельности + с реальными серверами и сайтами работают.

Не будите лихо :smiley: Там такие занятые люди, что письма в саппорт иногда приходится сопровождать служебками проректору.

Хочу подчеркнуть, что любые (не только студенты) умельцы приветствуются.

Ну так, если эта система уже введена на уровне мехмата официально, может, проректор и такую служебку поддержит :smile: Был же разговор, чтоб расширить ее использование на весь университет, или я ошибаюсь? :smile:

Некоторые факультеты уже активно используют, но, емнип, по своей инициативе в основном.

А то что у нас перестал существовать интерес к ctf у студентов это не здорово, да. Интересно, кстати, насколько whitehat-инициатива может уложиться в рамки научной работы в рамках курсовых и выпускных работ.

Если я правильно понимаю - никак. Если есть что показать на уровне выпускной работы - значит, было найдено несколько критических уязвимостей, что плохо говорит о разработчиках проекта. Соответственно, желания это афишировать ни у кого не будет. А если нечего - то о какой работе идет речь?

Да бросьте. Разработчики проекта не мнят себя мастерами компьютерной безопасности. Кроме того, любой проект содержит ошибки и к этому лично я отношусь философски.

Опять же аудит - это процесс. Т.е. исследование и тут есть о чем рассказать даже, если уязвимостей нет.

А вот научный руководитель для такого проекта - это вопрос …

Пользуясь случаем, …

Учебник юного хакера.

Книжка, конечно, диковата, но в условиях 9-10 класса школы это смотрелось чуть ли не с благоговением :smile:

Плюс, тут же достаточно много информации об истории взлома с самых давних времен - вплоть до вирусов в MSDOS и Win95. Интересно.