Рубрика «информационная безопасность» - 100

в 8:14, , рубрики: информационная безопасность, инциденты, инциденты безопасности, утечка данных

Как опять написали в «Ленте», в сеть в очередной раз утекла база данных с личными данными клиентов сети российских гипермаркетов «Лента».

По словам продавца, в базе содержится 90 тысяч строк с персональными данными клиентов из Москвы и Московской области. В нее входят идентификатор клиента, фамилия, имя, отчество, а также телефон.

«Нам известно о появившейся информации», — добавил представитель торговой сети. Роскомнадзор сообщил ТАСС, что направит запрос в «Ленту» для получения пояснений по ситуации.

Читать полностью »

в 2:24, , рубрики: ldaps, VMware, windows, информационная безопасность

В первых строках хочу заметить, что новость это уже во первых старая, во вторых мало кому на самом деле интересная.

Тем не менее, возможно кому то будет интересно узнать, что в марте 2020 года, примерно через месяц, всем использующим MS LDAP может стать немножко больно и обидно, может сломаться вход на ряд сервисов.
Странно, что в поиске по сайту этой новости (про 2020 LDAP channel binding and LDAP signing requirement for Windows) не нашлось.
TLDR: В мартовском патче ожидается изменение поведения по умолчанию. Если вы не относитесь к техническому персоналу и(или) не ставите патчи, то пост можно смело пропускать.
Что затронет: Все, что использует LDAP / LDAPS — Windows, Vmware, IPMI, и прочие Windows авторизации — например веб-сервисы с windows авторизацией (но не все).
Кому быть готовыми: Всем, у кого команда по «всему Microsoft» отделена от команд по VMware и железу.
Покайтесь, ибо грядет LDAP Channel Binding & Signing - 1

Читать полностью »

в 20:04, , рубрики: id-карта, документы, Законодательство в IT, информационная безопасность, паспорт, Тестирование IT-систем, Тестирование веб-сервисов, электронный документ, Электронный паспорт
image

Электронный паспорт

Буквально неделю назад опять пошли разговоры о том, что в 2020 или 21-ом году в РФ начнут выдавать электронные паспорта, сначала добровольно, потом к 23-ему перестанут выдавать бумажные, а уже к 2028 гос-во собирается заменить все паспорта граждан на электронные.

В этой статье я попытаюсь объяснить, какие документы предлагается перенести в электронный паспорт и какие страхи по поводу «цифры» существуют сейчас.
Читать полностью »

в 18:20, , рубрики: ctf, HTB, Metasploit Framework, msfvenom, pentest, ralf_rt, информационная безопасность
image

Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье намучаемся с нагрузками metasрloit и msfvenom, сделаем Office документ с нагрукой msvenom, рассмотрим поиск пути повышения привилегий с PowerSploit и украдем и токен для доступа к шифрованному файлу.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)

Организационная информация

Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

  • PWN;
  • криптография (Crypto);
  • cетевые технологии (Network);
  • реверс (Reverse Engineering);
  • стеганография (Stegano);
  • поиск и эксплуатация WEB-уязвимостей.

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Читать полностью »

в 18:20, , рубрики: ctf, xss-инъекции, информационная безопасность, решение задач

Привет! С 29 по 31 марта проходил отборочный тур VolgaCTF.

Организаторы подготовили большое количество заданий в разных категориях (кстати, в том числе была представлена новая — fake, задания на поиск дезинформации).

Цель задания HeadHunter, как и всех остальных — получение секретного ключа. Приступая к заданию получаем файл WEB.py и ссылку на сайт.

Volga CTF 2019 Qualifier: Задание HeadHunter - 1

Читать полностью »

в 4:38, , рубрики: catboost, lsb, python, RabbitMQ, информационная безопасность, криптография, машинное обучение, Стеганография

Привет.

Хочу представить вам небольшой проект, который я написал вместо во время сессии.

Суть такова: это классификатор, определяющий наличие стеганографии в изображении. Сразу стоит отметить, что классификатор получился довольно простым: он работает с методом LSB, где заменяется один последний бит 8-битного RGB изображения, и проверялся только на полностью заполненных стегоконтейнерах.
Поиграть с тем, что получилось, можно тут. Примеры картинок (кстати, принимаются только png) есть здесь.

Читать полностью »

в 19:40, , рубрики: Firefox, Google Chrome, Mozilla Firefox, браузеры, информационная безопасность, расширения chrome, расширения firefox, расширения браузеров, Расширения для браузеров

image

Mozilla и Google принимают меры по борьбе с вредоносными расширениями для браузеров Firefox и Chrome. Такие шаги предприняты в ответ на недавнее обнаружение надстроек, нарушающих политику производителей браузеров.

За последний месяц Mozilla удалила почти 200 расширений. Большинство из них — 129 — были разработаны 2Ring, производителем программного обеспечения для бизнеса. Нет никаких доказательств того, что расширения были вредоносными, но чиновники Mozilla обнаружили, что они выполняли код, размещенный на удаленном сервере, в нарушение политики Mozilla. Представитель компании добавил, что текущие установки не затрагиваются, и пользователи, которые хотят установить расширение, могут сделать это вручную. Читать полностью »

в 14:05, , рубрики: Raspberry Pi, vpn, wireguard, информационная безопасность, криптография, Настройка Linux, Разработка на Raspberry Pi, Софт

Поскольку WireGuard станет частью будущего ядра Linux 5.6, я решил посмотреть, как лучше всего интегрировать этот VPN с моим LTE-маршрутизатором/точкой доступа на Raspberry Pi.

Оборудование

  • Raspberry Pi 3 с модулем LTE и публичным IP-адресом. Здесь будет VPN-сервер (далее в тексте он называется edgewalker)
  • Телефон на Android, который должен использовать VPN для всех коммуникаций
  • Ноутбук Linux, который должен использовать VPN только внутри сети

Каждое устройство, которое подключается к VPN, должно иметь возможность подключаться ко всем другим устройствам. Например, телефон должен иметь возможность подключаться к веб-серверу на ноутбуке, если оба устройства являются частью сети VPN. Если настройка получится достаточно простой, то можно подумать о подключении к VPN и десктопа (по Ethernet).
Читать полностью »

в 9:05, , рубрики: ctf, ctfzone, security, Блог компании BI.ZONE, информационная безопасность

Это райтап об одном из заданий, которое мы приготовили для отборочного этапа CTFZone, прошедшего в конце ноября. О процессе подготовки к квалификации можно прочитать здесь.

Вы начинаете с двумя файлами: decrypt_flag.py и ntfs_volume.raw. Давайте взглянем на скрипт. Он открывает файл c именем key.bin, а затем при помощи цикла пробует взять из каждого смещения внутри файла бинарную строку размером 34 байта, которая затем используется в качестве входных данных для функции PBKDF2. Каждый возвращенный ключ используется в качестве XOR-ключа для расшифровывания вшитой в код зашифрованной строки. Если в расшифрованной форме ее хеш MD5 совпадает с заранее определенным значением, скрипт использует полученные данные, чтобы сформировать и напечатать флаг.
Читать полностью »

в 11:55, , рубрики: Facebook, Законодательство в IT, Иллинойс, информационная безопасность, нарушение прав, обработка изображений, распознавание лиц, Социальные сети и сообщества

Facebook заплатит $550 млн за распознавание лиц на фотографиях без разрешения пользователей - 1

Адвокаты Facebook заявили, что корпорация согласна заплатить $550 млн компенсации, чтобы урегулировать коллективный иск по поводу распознавания лиц на фотографиях, которые пользователи загружают на сайт. По законам штата Иллинойс это считается незаконным сбором биометрических данных. Эксперты считают, что это крупная победа в битве за приватность, которая сейчас разгорается именно вокруг технологии распознавания лиц.

Судебный иск подан в связи с функциональностью сервиса Tag Suggestions, который использует программное обеспечение для распознавания лиц, чтобы предложить пользователю подходящие имена людей на фотографиях. В иске сказано, что компания нарушила закон о конфиденциальности биометрической информации штата Иллинойс. Для работы функции Tag Suggestions нелегально производилось распознавание лиц миллионов жителей штата Иллинойс без их разрешения и без уведомления, как долго будут храниться эти данные. Facebook заявил, что эти обвинения не имеют под собой оснований, но компенсацию заплатил.
Читать полностью »

1...1020...99100101...110120...931
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js