Рубрика «информационная безопасность» - 928

в 8:15, , рубрики: 0day, blackhat, dsecrg, Lotus, Блог компании «Digital Security», информационная безопасность, метки: , , ,

Эксплуатация уязвимостей сервиса Lotus Domino Controller

В последнее время я часто рассказываю истории о том, как на обыкновенном пен-тесте удается выявить 0-day уязвимость в популярном ПО или разработать приватный эксплойт. На самом деле такого рода задачи решаются при пен-тесте редко и выборочно, и на это есть свои причины.

И всё же я хочу поделиться историей (ага, байкой) о том, как при решении именно таких задач пен-тест выходит за рамки монотонного сканирования, брутфорса и запихивания кавычек в параметры веб-приложения. А именно, в этом посте будет рассказано о простой баге в Lotus Domino Server Controller, о том, как был создан приватный эксплойт, а также найдена проблема нулевого дня, актуальная и на сегодняшний день.

Проникновение в Lotus Domino

Читать полностью »

в 20:10, , рубрики: csrf, Егор Хомяков, информационная безопасность, уязвимости, метки: , ,

Известный по инциденту с Github российский веб-разработчик Егор Хомяков (Chikey) отличился ещё раз. На этот раз он решил не мелочиться и ударил сразу по десятку известных сервисов, в том числе Moneybookers, Formspring, SlideShare, YFrog, Bitbucket, Lockerz, Github, KinoPoisk, Badoo, Odesk, Dailymotion, Vimeo, About.me, Posterous, Hulu, Booking.com, Heroku.

Феерический пост с подборкой хаков для вышеперечисленных сайтов можно посмотреть здесь. Отметим только, что самый главный баг с переводом денег через Moneybookers он предварительно зарепортил разработчикам и дождался, пока те закроют уязвимость, прежде чем публиковать информацию.

Егор говорит, что это лишь крошечная часть уязвимостей в самых популярных сервисах, не говоря уже о сайтах среднего и малого размера. Егор принципиально не публикует критические уязвимости, потому что «тюрьма не подходит для уютной жизни», по его мнению.

На этой неделе Хомяков планирует опубликовать уязвимость в Webkit, позже — советы по безопасности JSONP, фреймам, обходу правила ограничения домена, CSRF, а также ещё один лёгкий хак Rails (и PHP), сейчас подбираются сайты для демонстрации уязвимости.
Читать полностью »

в 9:53, , рубрики: citrix xenapp, digital security, pci dss, sap, VMware, асу тп, бизнес-приложения, Блог компании «Digital Security», вебинары, дбо, информационная безопасность, мобильные приложения, метки: , , , , , , , , , ,

Компания Digital Security проводит цикл технических вебинаров по безопасности бизнес-приложений. Первый вебинар пройдёт 19 апреля 2012 года.

Мы осветим темы безопасности ДБО и мобильного банкинга, защиты систем SAP, безопасности АСУ ТП, а также систем виртуализации, таких как VMware и Citrix XenApp. Вы узнаете о брешах в безопасности, о которых вам не расскажут разработчики.

К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.

Также совместно с порталом PCIDSS.ru проводится цикл вебинаров по особенностям внедрения стандарта безопасности платежных карт PCI DSS. Первый вебинар пройдёт 18 апреля 2012 года.

Мы расскажем о том, как соответствовать стандарту не только на бумаге, но и на практике, и как надежно взять под контроль самые сложные и деликатные элементы защиты критичных данных. Будут освещены аспекты соответствия PCI DSS, которые чаще всего вызывают затруднения у финансовых организаций, поставивших перед собой задачу обеспечения своим клиентам безопасности и конфиденциальности.

Приглашаются специалисты по IT, по информационной безопасности, сотрудники финансовых организаций и все, кому интересна тематика защиты платежных данных и соответствия стандарту PCI DSS.

Каждый вебинар проходит с 16:00 до 17:00 по московскому времени.

Читать полностью »

в 0:30, , рубрики: безопасность, информационная безопасность, метки: ,

Бесконтактные карты в киевском метро начали вводить в 2007 году (информация на сайте метро, укр), но широкое распространение и внедрение они получили только к концу 2008 года. На сегодняшний день существуют два основных типа проездных билетов: проездные со сроком действия, и проездные на количеств поездок. В проездных используются бесконтактные карты MIFARE Classic 1K.

Что записано внутри бесконтактных карт Киевского метрополитена?
Фото — Metromuseum.net

Об уязвимостях чипов MIFARE Classic стало известно в 2007 году. Подробную историю открытия уязвимостей можно почитать в статье. Статья хоть и 2008 года, но до сих пор актуальна, и в ней перечислены основные этапы нахождения уязвимостей. Совместив эти знания можно посмотреть, что же записывается в карты киевского метро на примере проездного на количество поездок.

Дисклаймер: Все действия и информация, описанные ниже, приведены исключительно для расширения личного кругозора, и не преследуют цели личной выгоды.

Читать полностью »

в 22:49, , рубрики: iphone, информационная безопасность, метки:

imageНедавно на кикстартере появился любопытный проект, собравший необходимую сумму для запуска буквально за пару дней.

Речь идет об электронном органайзере для ваших кредитных и скидочных карточек.

Устройство называется «Geode» и представляет собой чехол для iPhone, включающий в себя сканнер карт, перезаписываемую карту и e-ink дисплей для отображения штрих-кодов.

Суть проста — вы сканируете все свои кредитки, скидочные и членские карточки и оставляете их дома. Когда вы приходите в магазин и вам нужна ваша кредитка, вы с помощью приложения для айфона копируете данные необходимой карты на перезаписываемую (хранящуюся в той же приставке-чехле) и с помощью этой карты-клона уже расплачиваетесь.

Ниже, в видео-презентации все наглядно показано:

Идея, конечно, — отличная. Не нужно таскать с собой пачку карт…
Читать полностью »

в 20:16, , рубрики: backup, авария, Блог компании Symantec, бэкап, Восстановление данных, защита данных, информационная безопасность, ит-инфраструктура, непрерывность бизнеса, праздник, метки: , , , , , , ,

Ответ на вопрос, чем заняться в международный день бэкапа (который приходится на 31 марта, то есть сегодня), напрашивается сам собой — конечно бэкапом своих данных!

Чем заняться в международный день бэкапа?Посвятите этот день установке и настройке систем резервного копирования, утвердите SLA по восстановлению информации в случае аварий, передайте свежие резервные копии по сети в соседний офис на случай пожара. А если вы до сих пор не делаете бэкап — тогда мы идем к вам самое время его сделать!

По нашим данным, немногие айтишники поставят на кон свою зарплату в споре о том, что в случае сбоя смогут восстановить свои данные из резервных копий. 2/3 этого делать не станут.
Читать полностью »

в 11:58, , рубрики: citrix xenserver, security guide, xen, xenserver, Блог компании Positive Technologies, виртуализация, информационная безопасность, метки: , , ,

Приветствую, коллеги!
Многие из вас работают с операционной системой Citrix XenServer 5.6.
Компания Citrix предлагает весьма ограниченный набор документов по безопасной настройке системы. Он состоит из Common Criteria Documents и User Security Guide. Полноценные же Security Guide или CIS Benchmark отсутствуют.

Чтобы решить эту проблему, специалисты исследовательского центра Positive Research провели анализ операционной системы Citrix XenServer 5.6. Результатом работы стал документ «Positive Technologies: Citrix XenServer 5.6 Free/Advanced Hardening Guide (Public Beta)». Надеюсь, он заполнит пробел в документации по данной операционной системе в сфере информационной безопасности.
Читать полностью »

в 17:22, , рубрики: chroot, linux, безопасность, информационная безопасность, метки: , ,

Основано на реальных событиях.

Представьте себе, что у вас есть крупный проект, для которого необходимо собирать софт. А ещё у вас есть желание замутить сборочную ферму, на которой ваши подчинённые будут собирать нужный софт. А ещё это всё происходит под Linux-ом, и каждому надо организовать «чистое» окружение с минимумом затрат. Как это сделать?

В зале подняли руки несколько человек и воскликнули «chroot!». Вы согласились, что это просто, быстро и каждый получает полностью ресурсы хостовой машины. Все заапплодировали, решение принято.

А через неделю после интеграции этого решения и после увольнения сотрудника «икс» вы просыпаетесь — а на сервере девственно чистый жёсткий диск. Злодей уничтожил труды разработчиков, работа встала.

Почему же он сумел удалить всё, если был в «защищённом» «запертом» чруте?
Читать полностью »

в 14:22, , рубрики: dlp, информационная безопасность, метки: ,

image
Добрый день, уважаемое читатели! Не так давно перед нашей компанией встал вопрос, какую из систем защиты от утечек данных выбрать. Под катом собственные мысли по данному вопросу, а также сравнительная таблица с описанием возможностей систем. Читать полностью »

в 9:51, , рубрики: free-lance.ru, бан, дыра безопасности, информационная безопасность, фриланс, метки: , ,

Так уж исторически получилось, что у меня были два аккаунта на Free-lance.ru. Один я заводил когда-то сам, а другой заводил мой наёмный сотрудник. Ни один из аккаунтов по назначению так и не был использован, просто они были когда-то давно заведены, частично заполнены и заброшены, с бывшим сотрудником я давно уже расстался, но доступ к обоим аккаунтам остался.
Сегодня приходит от сервиса очередное письмо с текстом:

Приглашаем вас вновь посетить Free-lance.ru
Мы заметили, что вы давно не заходили на Free-lance.ru. Тем временем, на сайте публикуется около 40 000 проектов в месяц, а средняя стоимость проекта составляет 20 000 рублей. Наверняка, многие из этих проектов будут вам интересны.

Надо сказать они приходят периодически и отключить их вероятно нельзя никак (игра с комбинацией флажков в разделе настройки уведомлений аккаунта нужно эффекта не принесла). Сегодня захотелось это наконец прекратить. Я видел два варианта действий:

  1. Сменить почту на несуществующую в природе (или чужую) и забыть.
  2. Честно выпилить аккаунты на сервисе.

Я решил попробовать действовать честно.Читать полностью »

1...1020...927928929...934
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js