Рубрика «Блог компании Positive Technologies» - 32

в 9:06, , рубрики: android, PHDays, SmartTV, ss7, wordpress, Блог компании Positive Technologies, информационная безопасность, метки: , , , , ,

image

Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции. Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV.Читать полностью »

в 11:23, , рубрики: telecom, Блог компании Positive Technologies, информационная безопасность, телеком, телефония, метки: ,

Backhaul network — это сеть для подключения базовых станций (в терминологии 3G — NodeB) к контроллерам радиосети (RNC).

image

Затраты на подключение базовых станций — одна из значительных составляющих расходов оператора, поэтому издержки, связанные с построением и эксплуатацией этих сетей, стараются снижать, в частности используя новые технологии. Эволюция прошла путь от ATM-подключений до SDH/SONET, DSL, IP/MPLS и metro Ethernet. Сегодня весь трафик ходит в IP-пакетах.Читать полностью »

в 10:09, , рубрики: PHDays, PHDays IV, positive hack days, Блог компании Positive Technologies, информационная безопасность, программа, метки: , , ,

image

Как создать вирус и ботнет для Android? Что можно узнать, купив жесткий диск на аукционе EBay? Чем угрожает SIM-карта своему владельцу? Как скопировать токен одноразовых паролей? 17 февраля стартовал заключительный этап Call For Papers (процедура подачи заявок от докладчиков), который продлится до 31 марта, а сейчас мы анонсируем выступления первой группы участников, попавших в основную техническую программу международного форума по практической безопасности Positive Hack Days IV.Читать полностью »

в 6:21, , рубрики: sip, безопасность, Блог компании Positive Technologies, информационная безопасность, телефония, метки: , ,

Интернет — прекрасная среда для общения. Общения при помощи писем, чата, голоса или видео. Если видеосвязь это достаточно ново, то телефоном люди пользуются уже сто лет. С прокладкой новых интернет-магистралей и развитием программ вроде интернета с воздушных шаров доступ в сеть будет в скором времени даже у пингвинов в Антарктиде. А раз есть такое покрытие, зачем использовать телефонные линии? Почему бы не пускать голос по интернет-каналам?

Одним из решений этой задачи является протокол SIP (Session Initiation Protocol). Это протокол с интересной историей, но сейчас мы коснемся только некоторых его особенностей. SIP — это протокол установления сеанса для последующей передачи данных; передает информацию в открытом виде. Среди данных могут присутствовать учетные данные абонента — логин, домен, пароль (в открытом или хешированном виде), а также многие другие интересные поля. Отметим, что в некоторых случаях аутентификация может отсутствовать вовсе (соединение настраивается на обоих сторонах как пара IP:port). Рассмотрим несколько угроз, возникающих при использовании протокола SIP, и способы эти угрозы реализовать.

imageЧитать полностью »

в 13:01, , рубрики: Google, Google API, Блог компании Positive Technologies, информационная безопасность, уязвимости, метки: , ,

История 1. О маленьком Content Type, который смог

Уязвимость была в сервисе под названием Feedburner. Сначала я создал фид и попробовал в него внедрить вредоносный код. Но на странице не появлялись внедренные данные — только безобидные ссылки. После нескольких безуспешных попыток я обнаружил множество сообщений на странице PodMedic. PodMedic просматривает каждую ссылку в фиде. Если была обнаружена проблема при создании вложения, PodMedic сообщает причину. В сообщениях говорилось, что ссылки некорректны: сервер отдает неправильный Content Type.

image

Хм. Хорошо. Бьюсь об заклад, что Content Type на этой странице не фильтруется. Простой скрипт для сервера:

<?php header('Content-Type: text/<img src=z onerror=alert(document.domain)>; charset=UTF-8'); ?>

И мы получили то, что хотели:Читать полностью »

в 13:42, , рубрики: PHDays, Блог компании Positive Technologies, информационная безопасность, соревнования по программированию, Спортивное программирование, метки: , ,

Интерактивные соревнования по защите информации PHDays CTF Quals проходили на протяжении 48 часов с 12:00 25 января до 12:00 27 января. Победителями сенсационно стали участники польской команды Dragon Sector, второе и третье место заняли PPP (США) и More Smoked Leet Chicken (Россия).

image

Главным отличием нынешних отборочных соревнований от всех предыдущих CTF Quals стал специальный квест, который участники должны были выполнить, чтобы заработать баллы. Эти баллы можно было использовать, чтобы открывать сами задания CTF, за выполнение которых начислялись уже итоговые очки. Сюжет квеста стал продолжением легенды финальных соревнований PHDays III CTF. На этот раз участникам предстояло в составе оперативной группы Golem расследовать инцидент, связанный с распространением червя Detcelfer.Читать полностью »

в 9:41, , рубрики: PHDays, Блог компании Positive Technologies, информационная безопасность, метки: ,

Как попасть на PHDays IV CTF? Участвовать в CTF Quals!PHDays IV все ближе: началась продажа билетов, в самом разгаре Call For Papers и прием работ на конкурс молодых ученых Young School. Но это еще не все! Уже совсем скоро стартует CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF, финал которых состоится 21 и 22 мая 2014 года в московском техноцентре Digital October во время форума Positive Hack Days.

Правила

Отборочные соревнования PHDays CTF Quals будут проходить на протяжении двух дней 25 и 26 января. По их итогам лучшие команды выйдут в финальную часть турнира. В ходе CTF Quals участники столкнутся с множеством интересных заданий: для их решения одновременно понадобятся глубокие теоритические знания современных технологий и развитые практические навыки. Читать полностью »

в 7:00, , рубрики: scada, асу тп, Блог компании Positive Technologies, информационная безопасность, метки: , ,

image

Chaos Communication Congress является одним из крупнейших в Европе мероприятий, которое посещают тысячи хакеров каждый год. В этот раз в Гамбурге собралось более 9000 человек. В их числе были и эксперты Positive Technologies, которые представили свои исследования в области безопасности АСУ ТП, провели мастер-класс, посвященный тестам на проникновение SCADA-систем, и рассказали о подготовке «Лабиринта» — одного из самых зрелищных соревнований форума PHDays III.Читать полностью »

в 10:59, , рубрики: Блог компании Positive Technologies, информационная безопасность, исследование, статистика, метки: , ,

Хотя проблемы информационной безопасности довольно широко обсуждаются в последние годы и все больше людей узнает об их важности, корпоративные системы многих компаний до сих пор недостаточно защищены. Более того, как показало статистическое исследование, проведенное специалистами Positive Technologies, эти системы зачастую может взломать даже не особенно квалифицированный киберпреступник.

Данные для исследования

При проведении исследования были использованы данные работ по тестированию на проникновение, проведенных в 2011 и 2012 годах (по 10 систем для каждого года). Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»).

image

Попавшие в отчет корпоративные системы насчитывают тысячи узлов, зачастую распределены территориально и имеют десятки филиалов.Читать полностью »

в 16:08, , рубрики: http, load testing, nginx, proxy, автоматизация, Блог компании Positive Technologies, нагрузка, тестирование, яндекс, яндекс.танк, метки: , , , , , ,

Яндекс.Танк и автоматизация нагрузочного тестированияВ ходе тестирования некоторых продуктов компании Positive Technologies возникла необходимость проведения быстрых стресс-тестов одного веб-сервиса. Эти тесты должны были быть простыми и быстрыми в разработке, нетребовательными к аппаратным ресурсам и одновременно с этим давать значительную нагрузку однотипными HTTP-запросами, а также предоставлять статистические данные для анализа системы под нагрузкой.

Для их реализации мы исследовали и опробовали некоторое количество инструментов, среди которых были Apache JMeter и написанный нами на Python скрипт LogSniper, который выполнял реплей заранее подготовленных серверных логов с HTTP-запросами на цель.Читать полностью »

1...1020...313233...40...43
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js