Администратор русскоязычного канала с постами из Reddit потерял к каналу с 235 тысячами подписчиков доступ после того, как установил присланную ему программу. Связавшийся с ним пользователь сказал, что хочет разместить рекламу, и скинул архив с рекламным видео и программой. В переписке он отдельно отметил, что «Читать полностью »
Рубрика «безопасность» - 13
Хакеры украли крупный телеграм-канал, предположительно защищенный двухфакторной авторизацией
2020-11-11 в 12:32, admin, рубрики: telegram, безопасность, Текучка, метки: безопасность, Текучка, телеграмСистемы защиты Linux
2020-10-18 в 9:12, admin, рубрики: linux, безопасность, безопасность linux, Блог компании RUVDS.com, информационная безопасность, Настройка Linux, системное администрированиеОдна из причин грандиозного успеха Linux ОС на встроенных, мобильных устройствах и серверах состоит в достаточно высокой степени безопасности ядра, сопутствующих служб и приложений. Но если присмотреться внимательно к архитектуре ядра Linux, то нельзя в нем найти квадратик отвечающий за безопасность, как таковую. Где же прячется подсистема безопасности Linux и из чего она состоит?
Предыстория Linux Security Modules и SELinux
Security Enhanced Linux представляет собой набор правил и механизмом доступа, основанный на моделях мандатного и ролевого доступа, для защиты систем Linux от потенциальных угроз и исправления недостатков Discretionary Access Control (DAC) — традиционной системы безопасности Unix. Проект зародился в недрах Агентства Национальной Безопасности США, непосредственно разработкой занимались, в основном, подрядчики Secure Computing Corporation и MITRE, а также ряд исследовательских лабораторий.
Linux Security Modules
Читать полностью »
Взлом ESP32 путём обхода Secure Boot и Flash Encryption (CVE-2020-13629)
2020-10-05 в 13:15, admin, рубрики: esp32, безопасность, Блог компании RUVDS.com, информационная безопасностьМы провели исследование микроконтроллера Espressif ESP32 на предмет устойчивости к атакам, выполняемым методом внесения сбоев в работу чипов (Fault Injection). Мы постепенно шли к тому, чтобы найти уязвимости, которые позволят нам обойти механизмы защищённой загрузки (Secure Boot) и шифрования флеш-памяти (Flash Encryption) посредством всего одного сбоя, вызванного электромагнитным полем. Более того, мы, успешно проведя атаку, не только смогли выполнить произвольный код, но и получили данные флеш-памяти в расшифрованном виде.
Компания Espressif зарегистрировала эту уязвимость в базе данных CVE под кодом CVE-2020-13629. Знакомясь с атакой, описанной в этой статье, учитывайте то, что она применима к чипам ESP32 ревизий 0 и 1. Более новые ESP32 V3 поддерживают функционал отключения загрузчика UART, который использован в этой атаке.
Читать полностью »
А давайте заставим пользователя использовать безопасный пароль
2020-10-01 в 9:15, admin, рубрики: ASCII, безопасность, Блог компании RUVDS.com, вход в систему, информационная безопасность, пароль, пользователи, Серверное администрирование, системное администрирование
Когда-то для защиты пароля было достаточно иметь злую бабушку на входе в машинный зал
Давным давно, во времена ранних мейнфреймов, была отличная двухфакторная аутентификация. Перед тем как ввести свой персональный пароль в терминале было необходимо пройти будку с охранником. Все это автоматически сужало поверхность атаки до нескольких людей, физически имевших доступ к терминалу. Это потом появились модемы, хеширование и прочие радости современного мира, когда пароли регулярно утекают миллионами.
Если у вас есть пользователи и они авторизуются по паролю, я предлагаю еще раз посмотреть на свежие рекомендации от таких организаций как National Institute of Standards and Technologies и National Cyber Security Centre.
В частности, требовать ротации паролей уже не модно. И требовать определенных символов в лучших традициях анекдота про «1ГРЕБАНАЯрозоваяроза» тоже. Давайте пробежимся по основным тезисам и попробуем сделать пользователям удобнее и безопаснее.
Читать полностью »
Безопасник из Петербурга рассказал, как ФСБ расшифровывает переписку в Telegram
2020-09-10 в 9:33, admin, рубрики: telegram, безопасность, Госвеб, Текучка, ФСБ, метки: безопасность, Госвеб, Текучка, телеграм, ФСБУ проекта «Цифровая журналистика» вышло видео с подзаголовком «Компания из Санкт-Петербурга научилась расшифровывать переписку пользователей мессенджера Telegram». В нём Игорь Бедеров, владелец компании «Интернет-розыск», рассказывает, как расшифровывают сообщения российские спецслужбы. Сначала нужно идентифицировать пользователя,Читать полностью »
Безопасность npm-проектов, часть 2
2020-09-10 в 8:01, admin, рубрики: checksum, javascript, Node, node.js, nodejs, npm, npm-audit, pgp, pgp-signature, security, security audit, security reports, безопасность, Блог компании ДомКлик, информационная безопасность, Разработка веб-сайтов
Всем привет! В прошлых постах мы поговорили о том, как команда npm обеспечивает безопасность, а также начали рассматривать инструменты, помогающие нам повысить безопасность проектов. Я хочу продолжить разговор и рассмотреть следующий набор полезных инструментов.
3D Secure, или что скрывают механизмы безопасности онлайн-платежей
2020-09-04 в 12:28, admin, рубрики: безопасность, информационная безопасность, платежные системы, уязвимости и их эксплуатация
Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.
Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.
Ввоз немецких урановых хвостов в Россию. Часть 3: Риски и опасности при обращении с ОГФУ
2020-09-02 в 6:33, admin, рубрики: аварии, атомная энергетика, безопасность, Научно-популярное, Росатом, уран, физика, химия, экологияЭто третья статья из серии моих публикаций, посвященных проблеме ввоза обедненного гексафторида урана (ОГФУ) из Европы в Россию. Напомню, что осенью прошлого года начались акции протеста против ввоза ОГФУ в Россию, активные выступления Гринпис и других экологических активистов против ввоза в СМИ, Росатом начал ответную разъяснительную кампанию — встречи с экологами, в том числе с участием главы Росатома, техтуры на предприятия, встречи в регионах. Я тоже стал разбираться в проблеме, встречался со специалистами и с активистами, в т.ч. с противниками ввоза, посетил крупнейший завод по обогащению урана в Новоуральске.
В итоге я опубликовал на Хабре две статьи. Первая была посвящена технологиям обогащения урана в России и мире. Вторая — истории контрактов на обогащение урана, экономике вопроса и тому зачем же к нам ввозят ОГФУ. Перед чтением этого поста рекомендую сначала ознакомиться с ними. Следующие части я обещал посвятить вопросам безопасности обращения с ОГФУ и тому что же делают с остающимся после дообогащения в России дважды обедненным ураном. Однако статьи эти немного подзадержались. В дисклеймере под катом я поясню как так получилось и что произошло за это время. Ну и там же — обещанное продолжение темы. Итак, поехали.
Фото крупнейшей аварии при транспортировке ОГФУ. Источник
Читать полностью »
Как использовать простую утилиту для поиска уязвимостей в программном коде
2020-09-01 в 6:00, admin, рубрики: DAST, devops, DevSecOps, Graudit, IAST, SAST, безопасность, Блог компании VDSina.ru — хостинг серверов, информационная безопасность, тестирование, Тестирование веб-сервисов, управление разработкойGraudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки.
Источник: Unsplash (Markus Spiske)
Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много видов тестирования, каждый из них решает свою задачу. Сегодня я хочу поговорить о поиске проблем безопасности в коде.
Очевидно, что в современных реалиях разработки программного обеспечения важно обеспечить безопасность процессов. В своё время был даже введён специальный термин DevSecOps. Под этим термином понимают ряд процедур, направленных на выявление и устранение уязвимостей в приложении. Существуют специализированные open source решения для проверки уязвимостей в соответствии со стандартами OWASP, которые описывают различные типы и поведение уязвимостей в исходном коде.
Читать полностью »
Зачем Google инвестирует $450 млн в компанию-разработчика систем домашней безопасности ADT
2020-08-22 в 16:55, admin, рубрики: adt, Google, акции, безопасность, Блог компании ITI Capital, умный дом, финансы, финансы в IT
В начале августа издание Bloomberg объявило о сделке – входящий в холдинг Alphabet поисковик Google купит 6,6% акций компании ADT за $450 млн. ADT занимается разработкой систем домашней безопасности. Зачем это Google? Разбираемся в нашей новой статье.Читать полностью »