Digital Security, одна из крупнейших консалтинговых компаний в области ИБ, приглашает на программу летней стажировки «Summ3r 0f h4ck» в Санкт-Петербурге. Summ3r 0f h4ck пройдёт с 15 июля по 15 августа 2019 года. Приём заявок продлится до 30 мая (включительно). Количество мест ограничено.
Рубрика «Блог компании «Digital Security»»
Summ3r 0f h4ck: стажировка Digital Security 2019
2019-04-30 в 7:00, admin, рубрики: Блог компании «Digital Security», информационная безопасность, стажировка, стажировка иб
Network tools, или с чего начать пентестеру?
2019-04-18 в 2:00, admin, рубрики: hacking, tools, Блог компании «Digital Security», информационная безопасность, Сетевые технологииToolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
Обман нейронной сети для начинающих
2019-03-28 в 6:01, admin, рубрики: adversarial attacks, digital security, machine learning, python, Блог компании «Digital Security», информационная безопасность, машинное обучение
В рамках ежегодного контеста ZeroNights HackQuest 2018 участникам предлагалось попробовать силы в целом ряде нетривиальных заданий и конкурсов. Часть одного из них была связана с генерированием adversarial-примера для нейронной сети. В наших статьях мы уже уделяли внимание методам атаки и защиты алгоритмов машинного обучения. В рамках же этой публикации мы разберем пример того, как можно было решить задание с ZeroNights Hackquest при помощи библиотеки foolbox.
Change your password: тестирование парольных политик веб-сервисов
2019-02-14 в 2:00, admin, рубрики: Блог компании «Digital Security», информационная безопасность, пароли, человеческий фактор
В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. И вот, спустя 4 года, мы решили обновить и расширить это исследование. В исследовании 2019 года мы проверили 157 сервисов, разделенных на 14 категорий в зависимости от их назначения. Если вам интересно как к парольным политикам подходят такие крупные ресурсы, как Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub и многие другие, добро пожаловать под кат!
Зоопарк AFL фазеров
2019-01-30 в 7:00, admin, рубрики: afl, fuzzing, security, Блог компании «Digital Security», информационная безопасность
На Хабре уже пару раз появлялись статьи, поднимающие тему American Fuzzy Lop (AFL) (1,2). Но в данной статье речь пойдет не о классическом AFL, а о вспомогательных утилитах для него и его модификациях, которые, на наш взгляд, могут значительно улучшить качество фаззинга. Если вам интересно узнать, как можно прокачать AFL и искать быстрее и больше уязвимостей, то добро пожаловать под кат!
Читать полностью »
Безопасность алгоритмов машинного обучения. Атаки с использованием Python
2019-01-24 в 7:00, admin, рубрики: digital security, machine learning, python, security, Блог компании «Digital Security», информационная безопасность, машинное обучение
Машинное обучение активно применяется во многих областях нашей жизни. Алгоритмы помогают распознавать знаки дорожного движения, фильтровать спам, распознавать лица наших друзей на facebook, даже помогают торговать на фондовых биржах. Алгоритм принимает важные решения, поэтому необходимо быть уверенным, что его нельзя обмануть.
В этой статье, которая является первой из цикла, мы познакомим вас с проблемой безопасности алгоритмов машинного обучения. Это не требует от читателя высокого уровня знаний машинного обучения, достаточно иметь общее представление о данной области.
ld -z separate-code
2019-01-14 в 6:49, admin, рубрики: compiler, exploit mitigation, linker, linux, security, Блог компании «Digital Security», информационная безопасность, Разработка под Linux
Речь в этой статье пойдёт о небольшой security-фиче, добавленной в GNU ld к релизу 2.30 в декабре 2018 года. На русском языке это улучшение упоминалось на opennet с такой аннотацией:
режим "-z separate-code", повышающий защищённость исполняемых файлов ценой небольшого увеличения размера и потребления памяти
Давайте разберёмся. Чтобы объяснить, о какой проблеме безопасности идёт речь и в чём состоит решение, начнём с общих черт эксплойтов бинарных уязвимостей.
Уязвимости EOS Blockchain на ZeroNights 2018
2018-12-19 в 7:04, admin, рубрики: blockchain, c++, Cpp, digitalsecurity, eos, eosio, security, smartcontract, zeronights, Блог компании «Digital Security», информационная безопасность
В рамках данной статьи будут рассмотрены несколько реальных уязвимостей в EOS blockchain (одном из конкурентов Etherum) и то, как они были встроены в конкурс New-Generation Secure Slot Machine на ZeroNights 2018. Если вам интересно познакомиться с тем, как обстоят дела с безопасностью в этой сети blockchain, то welcome под кат.
Читать полностью »
Клонируем бесконтактную карту с помощью мобильного приложения
2018-11-19 в 2:00, admin, рубрики: EMV, magstripe, NFC, payment cards, security, Беспроводные технологии, Блог компании «Digital Security», информационная безопасность, платежные системы, Разработка под androidВсегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом по бесконтактному интерфейсу, с использованием своих команд и подробным разбором запросов и ответов. А также попробовать реализовать способ клонирования карт MasterCard в режиме MagStripe.
В этой статье я постараюсь описать, что такое EMV-карта, как она работает и как используя Android можно попытаться клонировать вашу MasterCard карту.
«There are some things money can't buy. For everything else, there's MasterCard»
Что такое EMV карта?
EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия Europay + MasterCard + VISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу. Читать полностью »
Безопасность Microsoft Office: встраиваемые объекты
2018-11-07 в 7:01, admin, рубрики: activex, microsoft office, OLE, Блог компании «Digital Security», информационная безопасность
Изначально архитектура Microsoft Office строилась на основе концепции составных документов, они же документы OLE, активно продвигаемой Microsoft на заре 32-разрядных Windows. В те времена идея «бесшовного» объединения в одном документе данных самых разных форматов казалась заманчивой и увлекательной, и до выявления первых проблем успела прочно врасти во многие масштабные продукты.
«Плохая новость» заключалась в том, что универсальный способ добавления в документы данных (и кода обработки этих данных) стал универсальным путем появления в продукте уязвимостей, который и сегодня постоянно преподносит приятные сюрпризы создателям malware исследователям безопасности.Читать полностью »