По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Вопросы безопасности преследовали Интернет вещей (Internet of Things) с самого момента изобретения. Все, от поставщиков до корпоративных пользователей и потребителей, обеспокоены тем, что их модные новые устройства и системы IoT могут быть скомпрометированы. Проблема на самом деле еще хуже, поскольку уязвимые устройства IoT могут быть взломаны и использованы в гигантских ботнетах, которые угрожают даже правильно защищенным сетям. Но каких именно проблем и уязвимостей следует избегать при создании, развертывании или управлении системами IoT? И, что более важно, что мы можем сделать, чтобы смягчить эти проблемы? Именно здесь вступает в действие OWASP (Open Web Application Security Project) - проект обеспечения безопасности открытых веб-приложений. По его собственным словам, «Проект Интернета вещей OWASP призван помочь производителям, разработчикам и потребителям лучше понять проблемы безопасности, связанные с Интернетом вещей, и позволяют пользователям в любом контексте принимать более обоснованные решения в области безопасности при создании, развертывании или оценке технологий IoT». Давайте рассмотрим топ 10 уязвимостей интернета вещей. 1.Слабые, угадываемые или жестко заданные пароли Использование легко взламываемых, общедоступных или неизменяемых учетных данных, включая бэкдоры во встроенном программном обеспечении или клиентском программном обеспечении, которое предоставляет несанкционированный доступ к развернутым системам. Эта проблема настолько очевидна, что трудно поверить, что это все еще то, о чем мы должны думать. 2. Небезопасные сетевые сервисы Ненужные или небезопасные сетевые службы, работающие на самом устройстве, особенно те, которые подключены к Интернету, которые ставят под угрозу конфиденциальность, целостность или подлинность или доступность информации или допускают несанкционированное удаленное управление. 3. Небезопасные экосистемные интерфейсы Небезопасный веб-интерфейс, API бэкэнда, облачные или мобильные интерфейсы в экосистеме вне устройства, что позволяет компрометировать устройство или связанные с ним компоненты. Общие проблемы включают в себя отсутствие аутентификации или авторизации, отсутствие или слабое шифрование, а также отсутствие фильтрации ввода и вывода. 4. Отсутствие безопасных механизмов обновления Отсутствие возможности безопасного обновления устройства. Это включает в себя отсутствие проверки прошивки на устройстве, отсутствие безопасной доставки (без шифрования при передаче), отсутствие механизмов предотвращения отката и отсутствие уведомлений об изменениях безопасности из-за обновлений. Это постоянная проблема для приложений IoT, так как многие производители и предприятия не заботятся о будущем своих устройств и реализаций. Кроме того, это не всегда технологическая проблема. В некоторых случаях физическое расположение устройств IoT делает обновление - и ремонт или замену - серьезной проблемой. 5. Использование небезопасных или устаревших компонентов Использование устаревших или небезопасных программных компонентов или библиотек, которые могут позволить скомпрометировать устройство. Это включает небезопасную настройку платформ операционной системы и использование сторонних программных или аппаратных компонентов из скомпрометированной цепочки поставок. 6. Недостаточная защита конфиденциальности Личная информация пользователя, хранящаяся на устройстве или в экосистеме, которая используется небезопасно, ненадлежащим образом или без разрешения. Очевидно, что с личной информацией нужно обращаться соответствующим образом. Но ключом здесь является «разрешение». Вы почти ничего не делаете с личной информацией, если у вас нет на это разрешения. 7. Небезопасная передача и хранение данных Отсутствие шифрования или контроля доступа к конфиденциальным данным в любой точке экосистемы, в том числе в состоянии покоя, передачи или во время обработки. В то время как многие поставщики IoT обращают внимание на безопасное хранение, обеспечение безопасности данных во время передачи слишком часто игнорируется. 8. Ограниченное управление устройством Отсутствие поддержки безопасности на устройствах, развернутых в производстве, включая управление активами, управление обновлениями, безопасный вывод из эксплуатации, мониторинг систем и возможности реагирования. Устройства IoT могут быть небольшими, недорогими и развернутыми в большом количестве, но это не означает, что вам не нужно ими управлять. Фактически, это делает управление ими более важным, чем когда-либо. Даже если это не всегда легко, дешево или удобно. 9. Небезопасные настройки по умолчанию Устройства или системы поставляются с небезопасными настройками по умолчанию или не имеют возможности сделать систему более безопасной, ограничивая операторов от изменения конфигурации. 10. Отсутствие физического доступа Отсутствие мер по физической защите, позволяющих потенциальным злоумышленникам получать конфиденциальную информацию, которая может помочь в будущей удаленной атаке или получить локальный контроль над устройством. Что из этого следует? Интернет вещей уже давно стал частью реальности, и с ним нельзя забывать о безопасности. И вопросы безопасности должны ложиться не только на плечи производителей, но и на плечи администраторов и обычных пользователей.
img
Техническое собеседование – это один из важнейших этапов в процессе поиска работы. Это не просто шанс продемонстрировать, насколько ваши навыки и опыт соответствуют должности, на которую вы претендуете, но и возможность узнать больше о вашем потенциальном работодателе и команде, с которой вы будете работать. В процессе технического собеседования на должность специалиста по обеспечению качества (QA-специалиста) вам могут задавать вопросы, связанные с разработкой программного обеспечения, чтобы проверить ваши знания. Вопросы, связанные с тестированием программного обеспечения, различными инструментами, которые используются для контроля качества, и тем, как выявлять проблемы в жизненном цикле разработки - все это может быть. Для того, чтобы помочь вам подготовиться, ниже представлен список из 15 наиболее распространенных вопросов, которые задают на собеседовании на должность QA-специалиста, а также советы о том, как на них лучше отвечать. 1. QA – это то же самое, что и тестирование программного обеспечение? Ваш ответ на вопрос такого типа должен включать тот факт, что QA больше фокусируется на анализе процесса разработки программного обеспечения, в то время как тестирование программного обеспечения больше связано с изучением того, как функционируют отдельные элементы приложения. 2. Объясните разницу между терминами «сборка» и «релиз». В контексте тестирования качества эти два термина, как правило, относятся к числам, которые используются для обозначения программного обеспечения. Номер сборки предоставляется группой разработчиков группе тестировщиков для маркировки программного обеспечения. Номер релиза предоставляется заказчику либо командой разработчиков, либо командой тестировщиков. 3. Что означает термин «тестовое обеспечение» или testware? Этот термин используется многими отделами тестирования программного обеспечения, поэтому таких вопросов стоит ожидать. Ваш ответ должен содержать тот факт, что тестовое обеспечение – это артефакты, которые люди используют для создания и запуска тестов, такие как тестовые случаи, планы тестирования и тестовые данные. 4. Что означают термины «утечка багов» (bug leakage) и «релиз багов» (bug release)? Релиз багов – это преднамеренное действие, а утечка багов – случайное. Релиз багов подразумевает, что при отправке приложения команде тестировщиков разработчики знали, что оно содержит ошибки. Но они могут быть не критичными, поэтому можно проводить релиз. Утечка багов подразумевает, что группа тестировщиков не выявила ошибку, и конечный пользователь получает приложение с ошибкой. 5. Что означает «тестирование на основе данных»? Это не самый простой вопрос, так как тестирование на основе данных в контексте контроля качества означает нечто иное. Тестирование на основе данных относится к среде автоматического тестирования, которая проверяет результаты на основе различных входных значений. Эти значения считываются непосредственно из файлов с данными – Excel, файлов CSV, баз данных и других. 6. Что входит в стратегию тестирования? Правильный ответ на данный вопрос продемонстрирует ваше знание концепций высокоуровневого тестирования. При ответе на этот вопрос убедитесь, что вы не забыли упомянуть, что стратегия тестирования включает в себя формирования обзора, составление набора ресурсов, определение области применения и составление графика вашего тестирования и задействованных инструментов. 7. Какие существуют типы тестирования программного обеспечения? При ответе на этот вопрос вы можете упомянуть несколько из следующих классов тестирований, чтобы продемонстрировать, что вы всесторонне понимаете, что такое тестирование программного обеспечение: Интеграционное тестирование. Понимание того, как различные компоненты приложения работают вместе. Регрессионное тестирование. Оценка того, как новые функции влияют на функциональность приложения. Функциональное тестирование. Использование реальных сценариев для того, чтобы проверить, насколько хорошо приложение выполняет то, для чего оно предназначено. Стресс-тестирование. Цель стресс-теста – выяснить, сколько может выдержать приложение, прежде чем сломается, независимо от того, реалистичен сценарий или нет. Тестирование производительности. То же, что и стресс-тест, но отличие в том, что мы пытаемся выяснить, с чем приложение может справиться в реальной ситуации. Юнит-тестирование. Тестирование наименьшей единицы приложения, которую вы можете протестировать. Тестирование белого ящик.а Изучение того, как функционируют внутренние структуры приложения. Тестирование черного ящика. Тестирование без изучения внутренних функций приложения. Smoke-тестирование. Набор предварительных тестов для оценки базовой функциональности, часто проводится перед выпуском или более всесторонним тестированием. 8. Что включают в себя термины «тестирование ветвей» (branch testing) и «граничные испытания» (boundary testing)? Хоть тестирование ветвей и граничные испытания могут показаться чем-то одинаковым, они все же затрагивают разные аспекты тестирования приложений. При тестировании ветвей вы тестируете разные ветви кода. А граничные испытания подразумевают тестирование предельных условий приложения. 9. Что входит в формирование тестовых случаев (тест-кейсов) и планов тестирований? Это важная тема, на которой следует сосредоточится при подготовке к собеседованию на должность QA-специалиста, поскольку то, как вы понимаете эту тему, показывает, насколько вы понимаете принципы, лежащие в основе этой работы. В своем ответе вы должны упомянуть следующее: Цели Сфера применения Контекст Тестирование фрейма Причины проведения тестирования Факторы риска Ожидаемые результаты Критерии для начала/завершения 10. Что подразумевается под Agile-тестированием? Agile – один из недавних терминов, которые стали использовать разработчики по всему миру. Agile-тестирование – это тестирование, в котором используются методологии Agile. Одно из главных отличий – вы не ждете, пока ваша команда разработчиков закончит писать код. Здесь процессы написания программного кода и тестирования проходят одновременно, что предполагает, что тестировщики должны взаимодействовать с несколькими разными членами команды и клиентами. 11. Что означает термин «тест-кейс»? Тест-кейс – это один из основных строительных блоков процесса обеспечения качества. Это касается шагов, сред применения, результатов и предварительных условий, связанных со средой тестирования. 12. Что означает термин «аудит качества»? Аудит качества – это систематическая оценка эффективности системы контроля качества. Иными словами, аудит качества – это проверка того, насколько хорошо качество поддерживается на протяжении всего процесса разработки. 13. Какие инструменты обычно используют тестировщики? Инструменты, которые использует тестировщик для своей работы, могут различаться в зависимости от типа проекта, над которым он работает. Но вот некоторые инструменты, которые вы можете упомянуть в своем ответе: Firebug, OpenSGTA, панель инструментов веб-разработчика для Firefox, Selenium, Postman, WinSCP и YSlow для Firebug. 14. Что такое сценарий использования (use case)? Сценарий использования или юзкейс – это еще один центральный элемент процесса контроля качества, поэтому важно быть готовым к ответу на этот вопрос. Сценарий использования – это документ, в котором описываются действия, которые должен предпринять пользователь, и реакции системы. Он используется для изучения того, как работает конкретный элемент приложения. 15. Что означает термин «свободное тестирование»? Свободное тестирование – это популярный метод тестирования, который используют многие команды контроля качества, даже несмотря на то, что они используют его не всегда. При таком методе тестировщик пытается сломать систему, случайным образом выполняя различные функции.
img
Что такое Kali? Kali Linux является одним из лучших инструментов для проверки вашей системы на защищенность и очень знаменитым инструментом для этичного хакинга. И мало того, что уже после установки в нем доступно огромное количество инструментов, так еще есть и большое сообщество людей, которые постоянно развивают экосистему этого проекта. У нас до этого была небольшая статья, где мы подробно разбирали что такое пентестинг и зачем он делается. В 2015 году Kali начали двигаться в сторону Agile подхода, для того, чтобы компоненты операционной системы и приложения обновлялись гораздо чаще и имели меньшее число зависимостей, и старый тип перестал поддерживаться 15 апреля 2016 года. Если вы любите тестировать свои системы и приложения на проникновения, то частый ритм обновлений инструментов для взлома вам подойдет лучше всего: сейчас в Kali находятся самые последние версии таких знаменитых инструментов как Metasploit, Kismet и aircrack-ng. Кроме того, сам Debian Linux, на котором Kali всегда базировался тоже будет обновляться гораздо чаще. Нужно больше инструментов Не все знают, что когда вы скачиваете ISO файл для установки Kali Linux, вы получаете далеко не весь доступный инструментарий для тестирования на проникновение – разработчики пытаются найти золотую середину между необходимым набором приложений и постоянно увеличивающимся размером образа. Кроме того, есть такие вещи как инструменты для брутфорса с аппаратным графическим ускорением – они будут работать только на определенных конфигурациях компьютеров, поэтому совершенно точно их не имеет смысла добавлять в образ системы, который скачивают большинство людей. Но хорошей новостью является то, что получить весь набор инструментов – совершенно тривиальная задача. Чтобы этого добиться, нужно совершить ряд примитивных шагов. Сначала необходимо открыть терминал и проверить, что вы находитесь в системе, используя права суперпользователя. Для этого введите команду su или просто введите sudo перед командой apt-get updateдля обновления всех имеющихся пакетов. После завершения процесса, вам останется ввести команду apt-get install kali-linux-all - и она позволит установить вам все возможные тулзы для пентеста – это более чем 430 дополнительных инструментов. Как видите, потребовалось всего лишь две команды! Но, конечно, есть и обратная сторона медали – ваш Kali Linux начнет занимать гораздо больше места чем прежде, как минимум на 5 Гб больше. Это может быть важным, если вы установили Kali на что-то вроде Raspberry Pi с небольшой картой памяти. Хотелось бы напомнить, что не стоит использоваться Kali Linux для совершения различных «темных» дел – это совершенно неэтично и в РФ уголовно наказуемо. Правда, не надо – лучше побалуйтесь на своих виртуалках, поймите, где могут находится типичные дыры, которые присущи большинству информационных систем и избавьтесь от них в своей организации – так будет спокойнее спать ночью и снизится шанс того, что ваши данные или данные вашей организации будут в сохранности. Надеемся, статья была вам полезна.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59