В этой статье я хочу привести пример выбора оборудования для щитка в квартире, условное продолжение предыдущей статьи (некоторые теоретические моменты были там рассказаны более полно). Потому такой подзаголовок.
Читать полностью »
Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.
В этой статье я хочу поделиться с вами знаниями об атаках на мобильный OAuth 2.0, о методах защиты и безопасной реализации этого протокола. Все необходимые компоненты защиты, о которых я расскажу ниже, реализованы в последней версии SDK для мобильных клиентов Почты Mail.Ru.
Читать полностью »
Последнее время мне довольно часто стали задавать вопрос о том, насколько безопасно использовать различные готовые расширения, т.е. пакеты, написанные для языка R, есть ли вероятность того, что рекламный аккаунт попадёт в чужие руки
В этой статье я подробно расскажу о том, как устроен механизм авторизации внутри большинства пакетов и API интерфейсов рекламных сервисов, и о том, как использовать приведённые в статье пакеты максимально безопасно.
Мой старый друг Myetherwallet давно и неустанно мне напоминает, как неправильно я, дядя Егор, бутерброд ем, заходя на него через браузер по приватному ключу. Использование веб-кошельков — один из рискованных способов доступа к криптоактивам наряду с их хранением на криптобирже. Давно было пора изучить альтернативные варианты. Общественное мнение, разумеется, было за «железные» аппаратные кошельки. Но я особо не торопился: защита от хакеров — это, конечно, аргумент. Но оффлайн-угрозы тоже пока никто не отменял — и в жизни что-нибудь терять случается гораздо чаще. И внешние ассоциации с флэшками уверенности не добавляли.
Так что предложение Madrobots взять на тест аппаратный кошелёк Ledger Nano S пришлось довольно кстати. Как и то, что обзор получился как раз под Чёрную пятницу — когда биткоин падает, то скидки особенно в тему.
Читать полностью »
Продолжительное время в Интернете регулярно появляются статьи об уязвимости маршрутизаторов для SOHO сегмента. Я тоже публиковал статью как обнаружить, что Ваш Микротик взломан. Резкий рост участников нашего канала в Телеграм показал, что проблема крайне остра.
Но проблема стоит глобальней.
Подавляющее большинство пользователей, покупающих маршрутизатор для дома, не понимают как эта «чёрная коробочка» работает. Они тыкают по кнопочкам в соответствии с инструкцией «quick start». А кто-то чисто методом «научного тыка» настраивает. Интернет появляется.
Дальше устройство начинает жить своей жизнью. И злоумышленникам не представляет труда использовать роутер для своих целей. Готовых инструментов для поиска таких железок в Интернете — полно.
Но!
Лёд тронулся, господа присяжные заседатели! (С) «Великий комбинатор»
В Германии выпустили документ с рекомендациями и минимальными стандартами, которым должны соответствовать маршрутизатор для конечных потребителей.
Читать полностью »
«Игорь, у него ДВА сердца!!!»
Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В прошлой статье она рассказала о плюсах и минусах решения КИБ SearchInform. Сегодня, как и было обещано, поговорим про линейку продуктов InfoWatch. Только давайте сразу определимся, что на объективное сравнение мы не претендуем.
Цель, которой я задался, была весьма проста: узнать введённый в sshd пароль, используя ptrace. Конечно, это несколько искусственная задача, так как есть множество других, более эффективных, способов достичь желаемого (и с гораздо меньшей вероятностью получить SEGV), однако, мне показалось клёвым сделать именно так.
Читать полностью »
Designed by fanjianhua / Freepik
В статье «Как авиакатастрофа может улучшить разбор факапов в ИТ» автор поднял интересную тему методов и средств организации безопасности полётов. В частности были перечислены принципы solution without blame, SWOB («решение без обвинений»). В дополнение к этой статье я хотел бы привести отрывок из книги профессора И.С. Шумилова «Авиационные происшествия. Причины возникновения и возможности предотвращения», в котором автор ссылается на т.н. «10 заповедей безопасности полётов» и комментирует каждую из них.
Под катом цитата из книги.
Читать полностью »
Одна из проблем, которая возникает перед WEB-ресурсами имеющими персональные кабинеты — атака перебором. Да, простой перебор всех вариантов пароля для конкретной учетки. Тупо? Возможно, но такая атака может сильно нагрузить ресурс. К тому же, если контроля сложности пароля пользователя при регистрации нет, она может оказаться еще и успешной.
Чаще всего, вопрос решается относительно просто. Если пользователь ввел несколько раз неправильно пароль, его учетка блокируется на какое-то время. Альтернативное решение — выводить капчу. Сразу, или после нескольких неудачных попыток. Ну, и не забудем про 2F авторизацию, которая почти неуязвима. Казалось бы — профит! Но, не все так радужно…
Читать полностью »
Здесь часто возникает тема защиты оборудования в домашней электросети, но очень часть при описании базовых параметров устройств защиты информация не соответствует действительности или же, в лучшем случае, основана на отдельных примерах. Потому далее будет своеобразный ликбез о том, как правильно сделать вводный электрощиток.
Это не столько инструкция, сколько объяснение, что должно быть сделано, так как каждое подключение по сути индивидуально. В любом случае необходима консультация с учетом реальной ситуации.
Читать полностью »
