«Да, мы ... гордимся тем, что нас, Сбербанк, ни разу не взломали. Вы произнесли очень важный термин, ... у нас очень нелюбимый, — это “социальный инжиниринг”. Честный ответ: наши клиенты не защищены. Делаем ли мы достаточно для того, чтобы наши клиенты были защищены? Нет, не достаточно ... из недели в неделю повторяются одни и те же цифры: 96-97% решенных вопросов по киберпреступности, 3-4% — это то, когда киберпреступники достигли своей цели. Не против нас. ... Легче ли нам от того, что проникли не в наши системы, а проникли в кошелек наших клиентов? Конечно, не легче», — Читать полностью »
Рубрика «безопасность» - 38
Герман Греф: 3-4% хакеров достигают целей при атаке на клиентов Сбербанка
2018-07-06 в 13:18, admin, рубрики: банки, безопасность, взлом, Госвеб, кейсы, Сбербанк, статистика, Текучка, метки: банки, безопасность, взлом, Госвеб, кейсы, Сбербанк, статистика, ТекучкаАнализ применения цифровой подписи: 10 из 15 топовых криптовалют не подписывают ПО
2018-07-02 в 16:54, admin, рубрики: pgp, безопасность, информационная безопасность, Криптовалюты, криптография, Программирование, цифровая подпись
Читая новость о внедрении в инфраструктуру одного из проектов, я задался вопросом: как вообще обстоят дела с применением цифровой подписи в оплоте финтех революции. Собственно одним лишь любопытством дело не закончилось. Тотально низкая безопасность в криптосфере – оксюморон и факт, поэтому, чтобы данная статья не превратилась в избиение лежачего, я взял криптовалюты из ТОП-15 сайта CoinMarketCap вышедшие в релиз и проанализировал на корректность процедуру подписания кода в этих проектах. Результаты под катом.
ВК халява или обмен пароля на стикеры
2018-06-26 в 11:39, admin, рубрики: безопасность, Вконтакте, информационная безопасность, слив данных, Социальные сети и сообществаПривет! Все вы знаете о такой абстрактной вещи как "халява". Возможность получить какую-то вещь бесплатно, пусть даже ненужную, собирает в интернете целые форумы единомышленников. Часть из этих предложений требуют неких активных действий, таких как регистрация, прохождение тестов, ввод данных. И по большей части это взаимовыгодный обмен как для фирмы (получение данных о целевой аудитории), так и для человека (бесплатная безделушка). Но в некоторых случаях люди предоставляют многие личные данные взамен на магнитик/кружку/блокнотик. И этими данными могут воспользоваться.
Стикеры ВК — занятная вещь, не правда ли? Красивые односложные ответы, оформленные в виде картинок, которыми можно отвечать в диалогах. Многие тратят деньги за возможность получить стикеры а некоторые получают их бесплатно, и именно возможность получить стикеры (то чем ты редко будешь пользоваться будешь ли?) бесплатно подкупает.
Читать полностью »
Слабости HTTPS. Часть 2
2018-06-04 в 9:36, admin, рубрики: HTTPS, security, SSL, безопасность, информационная безопасностьЛюбая система имеет свои слабые и сильные стороны. Первая часть о слабостях HTTPS вызвала неоднозначную реакцию, что «это не слабости, так было задумано». В первой части говорилось:
- О невозможности обеспечить полную конфиденциальность и privacy пользователям (все ещё можно отслеживать и банить ресурсы, которые человек посещает)
- О том, что сертификаты передаются по открытому каналу и содержат чаще больше информации, чем текущий ресурс (например, сертификат bing.com содержит информацию о 72 дополнительных ресурсах, включая дев, тест, бета среды)
Продолжу называть это «слабостями» дизайна. В этой статье поговорим о ещё одной слабой стороне — централизованности.
HTTPS базируется на SSL и TLS протоколах (для простоты будем называть просто SSL – хотя SSL и TLS работают на разных уровнях OSI стека). Поэтому говоря о слабости, мы будем иметь ввиду централизованность SSL протокола.
Теория
Начать стоит с теории протоколов шифрования. Проблема современной криптографии состоит не в самом шифровании, а в том, что делать с ключами: как их хранить, передавать, создавать и уничтожать безопасно.
Основой SSL является ассиметричное шифрование, которое определяется наличием двух ключей – если одним зашировать, то расшировать можно только вторым, и наоборот.
Основной функцией ассиметричного шифрования является аутентификация, отнюдь не шифрование – это достаточно ресурсоемкая и дорогая операция для данного алгоритма. Быстрое и эффективное шифрование – это прерогатива симметричных алгоритмов, которые используют один и тот же ключ как для шифровки, так и для дешифровки.Читать полностью »
Microsoft расширяет инструменты обеспечения конфиденциальности данных перед ВВП
2018-05-29 в 4:43, admin, рубрики: безопасность 
Microsoft объявила, что расширит свои инструменты обеспечения конфиденциальности данных для отдельных пользователей продуктов и услуг компании по всему миру.
Права субъекта данных Microsoft включают право знать о данных, собираемых компанией, а также о возможности исправления данных, их удаление или перемещенея в другое место.
Исследование: мошеннические ICO привлекли больше $1 млрд
2018-05-25 в 9:37, admin, рубрики: безопасность, Блог компании ITI Capital, инвестиции, исследования, Криптовалюты, финансы
Журналисты Wall Street Journal провели собственное исследование рынка ICO, и пришли к выводу, что количество мошеннических краудфандинговых кампаний значительно превышает ранее звучавшие в прессе цифры. По оценке исследователей, держатели криптовалют потеряли более $1 млрд. Читать полностью »
ФСБ завершила расследование дела о госизмене сотрудников службы и «Лаборатории Касперского»
2018-05-23 в 17:33, admin, рубрики: безопасность, Госвеб, лаборатория касперского, Руслан Стоянов, Сергей Михайлов, США, Текучка, ФСБ, шпионаж, метки: безопасность, Госвеб, лаборатория касперского, Руслан Стоянов, Сергей Михайлов, США, Текучка, ФСБ, шпионажВ уголовном деле бывших сотрудников Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова и Дмитрия Докучаева, остался всего один преступный эпизод, пишет «Коммерсантъ». Среди фигурантов также — руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов и предприниматель Георгий Фомченков, Читать полностью »
Ошибка веб-сайта Xfinity выявила домашние адреса и пароли Wi-Fi
2018-05-22 в 19:23, admin, рубрики: безопасность 
На этой неделе издание ZDNet сообщило, что сайт Comcast, используемый для активации маршрутизаторов Xfinity, пропускал личные данные, включая домашний адрес пользователя, имя сети Wi-Fi и пароль. Эта ошибка была впервые обнаружена двумя исследователями Каран Саини и Райаном Стивенсоном.
Сайни и Стивенсон обнаружили, что им нужен только идентификатор клиента и номер дома или квартиры, чтобы заставить веб-сайт предоставлять информацию.
Не так страшен чёрт, как его описывают, или как я сдавал экзамен на CISSP
2018-05-16 в 14:01, admin, рубрики: CISSP, IT-стандарты, security, безопасность, информационная безопасность, Карьера в IT-индустрииCISSP (Certified Information Security Systems Professional) относится к “золотому стандарту” в индустрии безопасности и давно входит в топы IT сертификаций.
Сложность сертификации
Изначальные требования для прохождения сертификации достаточно высоки, возможно, поэтому это многих отпугивает: минимум 5 лет подтвержденного опыта в области безопасности как минимум в 2 из 8 доменов, которые покрывает CISSP (о доменах ниже).
Экзамен действительно сложный. До этого у меня было 12 Майкрософт сертификаций, которые рядом не стояли по сложности и требованию к уровню знаний. CISSP требует достаточно широких знаний безопасности, от физической защиты активов до управления безопасностью на предприятии уровня enterprise.
Все эти сложности сказываются на качестве и ценности самой сертификации.
У нас всё ещё смотрят «сквозь пальцы» на подобные сертификаты, хотя за рубежом это часто является необходимым условием для высокой технической должности. Возможно, сервисная модель ведения бизнеса подпортила отношение к сертификации, как к постоянному росту — новые функциональные формы часто предпочтительнее нефункциональных атрибутов систем, включая безопасность.
Читать полностью »
Безопасный каршеринг: составляющие, основные проблемы и конкурс Яндекса
2018-05-16 в 8:00, admin, рубрики: bug bounty, Анализ и проектирование систем, безопасность, безопасность автотранспорта, беспилотные автомобили, Блог компании Яндекс, информационная безопасность, каршеринг, конкурсы разработчиковЗапущенный в феврале Яндекс.Драйв, как и любой сервис каршеринга, работает благодаря комплексу уникальных систем — в автомобиле, в телефоне пользователя и на сервере. Система, которая ещё недавно была в новинку для IT-сообщества, расположена в самой машине. Она включает в себя несколько девайсов — блок телематики, CAN-шину и мультимедийное оборудование. Подробнее о том, как всё это коммуницирует между собой, я и хочу вам рассказать. Кроме того, я объясню, почему именно сейчас компании и эксперты по безопасности должны уделять максимум внимания защите каршеринговых сервисов. Дело в том, что это не просто yet another приложения в вашем телефоне, а целая взлётная полоса для автомобильной индустрии завтрашнего дня.
Мы стремимся построить самую защищённую инфраструктуру для каршеринга, и рассчитываем, что вы тоже поучаствуете в этом процессе. До 27 мая у вас есть возможность изучить Яндекс.Драйв на предмет уязвимостей. Попробуйте изменить логику работы сервиса, снизить цену поездки, получить доступ к информации о пользователях или, например, открыть машину, когда сервис это запрещает.
Те, кто обнаружит самую серьезную проблему, получат от Яндекса полмиллиона рублей. Приз за второе место — 300 000 рублей, за третье — 200 000 рублей. О деталях я расскажу чуть ниже, а пока вернёмся к устройству каршеринга.
Читать полностью »