Рубрика «security» - 10

в 11:52, , рубрики: Felix Krause, iOS, SDK, security, Блог компании JUG.ru Group, разработка мобильных приложений, разработка под iOS

Доверие к мобильным SDK - 1

Недавняя история о бэкдоре в популярнейшей NPM-библиотеке заставила многих задуматься о том, насколько мы доверяем стороннему коду и как смело используем его в своих проектах (потенциально подставляя тем самым пользователей наших продуктов).

Но ещё за месяцы до того, как «гром грянул», Феликс Краус (известный мобильным разработчикам как создатель Fastlane) говорил на нашей конференции Mobius 2018 Piter о похожем: доверии мобильных разработчиков к сторонним SDK. Если мы скачиваем популярный SDK от известной компании, то вот там-то всё хорошо, или тоже что-то может пойти не так? Где тут есть вектор атаки и о чём нам стоит задумываться в связи с этим?

А теперь мы расшифровали и перевели его доклад — так что под катом можете хоть посмотреть оригинальное видео, хоть прочитать русскоязычную текстовую версию. Поскольку Краус занимается iOS-разработкой, все примеры приведены тоже из iOS, но Android-разработчики могут абстрагироваться от конкретных примеров и тоже задуматься.
Читать полностью »

в 8:53, , рубрики: 802.11, FruityWifi, karma, mana toolkit, rogue ap, security, wi-fi, wifi phisher, wifi pumpkin, информационная безопасность

Это Karma, детка, или почему атака на беспроводные сети, которая должна была кануть в лету, все еще жива - 1

Сегодня беспроводные точки доступа окружают нас повсюду: в кафе, ресторанах, в торговых центрах и в транспорте. Это перестало быть чем-то необычным, и мы спокойно подключаемся к незащищенной сети или постоянно держим включенным режим поиска знакомых точек вокруг. Именно поэтому в последнее время количество атак, нацеленных на этот сегмент, неуклонно растет. Неудивительно, ведь получение доступа к трафику пользователя открывает огромное поле действий атакующему. Сегодня мне хотелось бы рассмотреть одну из таких атак под прозаичным названием Karma, придуманную еще в 2005 году, но в настоящий момент все еще актуальную.Читать полностью »

в 6:49, , рубрики: compiler, exploit mitigation, linker, linux, security, Блог компании «Digital Security», информационная безопасность, Разработка под Linux

ld -z separate-code - 1

Речь в этой статье пойдёт о небольшой security-фиче, добавленной в GNU ld к релизу 2.30 в декабре 2018 года. На русском языке это улучшение упоминалось на opennet с такой аннотацией:

режим "-z separate-code", повышающий защищённость исполняемых файлов ценой небольшого увеличения размера и потребления памяти

Давайте разберёмся. Чтобы объяснить, о какой проблеме безопасности идёт речь и в чём состоит решение, начнём с общих черт эксплойтов бинарных уязвимостей.

Читать полностью »

в 16:01, , рубрики: bugs, C, CVE, cwe, freeswitch, libidn, NcFTP, open source, OpenLDAP, pvs-studio, security, static code analysis, vulnerabilities, weaknesses, Блог компании PVS-Studio, информационная безопасность, Программирование, статический анализ кода, уязвимости

Стреляем в ногу, обрабатывая входные данные - 1

Связующее звено сегодняшней статьи отличается от обычного. Это не один проект, для которого был проведён анализ исходного кода, а ряд срабатываний одного и того же диагностического правила в нескольких разных проектах. В чём здесь интерес? В том, что некоторые из рассмотренных фрагментов кода содержат ошибки, воспроизводимые при работе с приложением, а другие – и вовсе уязвимости (CVE). Кроме того, в конце статьи немного порассуждаем на тему дефектов безопасности.
Читать полностью »

в 9:04, , рубрики: ctf, DefCamp, security, безопасность, Блог компании Перспективный мониторинг, бухарест, информационная безопасность, конференции, обмен опытом, Румыния

8-9 ноября 2018 в Бухаресте (Румыния) прошла восьмая международная конференция DefCamp 2018, посвящённая вопросам информационной безопасности и технологиям защиты информации. DefCamp является одной из успешных конференций по взлому и информационной безопасности в Центральной и Восточной Европе; среди прочих можно отметить Hacktivity (Венгрия) и CONFidence (Польша). Цель мероприятия —привлечь к общению о практических новейших исследованиях специалистов по безопасности, предпринимателей, научных, общественных и частных секторов.
DefCamp собрала более 1800 участников из Румынии и соседних стран, с разным знанием и опытом — от студентов до руководителей в различных отраслях, экспертов по информационной безопасности и исследователей.

image

Непосредственным организатором мероприятия выступает неправительственная организация — Научно-исследовательский центр кибербезопасности Румынии / Cyber Security Research Center from Romania. По их словам, в этом году количество стран участников составило 35, включая Европу, США, Индию и ОАЭ, 60 докладчиков и 400 компаний.
Читать полностью »

в 7:04, , рубрики: blockchain, c++, Cpp, digitalsecurity, eos, eosio, security, smartcontract, zeronights, Блог компании «Digital Security», информационная безопасность

image

В рамках данной статьи будут рассмотрены несколько реальных уязвимостей в EOS blockchain (одном из конкурентов Etherum) и то, как они были встроены в конкурс New-Generation Secure Slot Machine на ZeroNights 2018. Если вам интересно познакомиться с тем, как обстоят дела с безопасностью в этой сети blockchain, то welcome под кат.
Читать полностью »

в 11:56, , рубрики: edisonsoftware, HTTPS, security, web, web security, Блог компании Edison, браузеры, веб-дизайн, информационная безопасность, Разработка веб-сайтов

HTTP — вещь прекрасная: протокол, который просуществовал более 20 лет без особых изменений.

image

Это вторая часть серии по веб-безопасности: первая часть была «Как работают браузеры».

Как мы видели в предыдущей статье, браузеры взаимодействуют с веб-приложениями по протоколу HTTP, и это главная причина, по которой мы углубляемся в эту тему. Если пользователи введут данные своей кредитной карты на веб-сайте, а злоумышленник сможет перехватить данные до того, как они попадут на сервер, у нас наверняка будут проблемы.

Понимание того, как работает HTTP, как мы можем защитить связь между клиентами и серверами и какие функции, связанные с безопасностью, предлагает протокол, является первым шагом на пути к улучшению нашей безопасности.

При обсуждении HTTP, тем не менее, мы всегда должны различать семантику и техническую реализацию, поскольку это два совершенно разных аспекта работы HTTP.
Читать полностью »

в 22:53, , рубрики: browsers, edisonsoftware, security, Блог компании Edison, браузеры, веб-дизайн, информационная безопасность, Разработка веб-сайтов

Давайте начнем серию статей по безопасности веб-приложений с объяснением того, что делают браузеры и как именно они это делают. Поскольку большинство ваших клиентов будут взаимодействовать с вашим веб-приложением через браузеры, необходимо понимать основы функционирования этих замечательных программ.

image
Chrome и lynx

Браузер — это движок рендеринга. Его работа заключается в том, чтобы загрузить веб-страницу и представить её в понятном для человека виде.

Хоть это и почти преступное упрощение, но пока это все, что нам нужно знать на данный момент.

  • Пользователь вводит адрес в строке ввода браузера.
  • Браузер загружает «документ» по этому URL и отображает его.

Читать полностью »

в 12:46, , рубрики: dlp, security, StaffCop, StaffCop Enterprise, безопасность, Блог компании Softline, информационная безопасность

Здравствуйте! Меня зовут Роман Франк, я являюсь специалистом в области информационной безопасности. Еще недавно я работал в крупной компании в отделе безопасности (техническая защита). У меня было 2 проблемы: не было нормальных современных технических средств защиты и денег на безопасность в бюджете. Зато у меня было свободное время на изучение программных решений, об одном из них — StaffCop Enterprise — я хочу сегодня подробно рассказать.

Опыт мне показал, что 90% времени, которое я тратил на выявление и расследование утечек информации самостоятельно, с программой решается за несколько минут. Я настолько углубился в технические детали решения, что в итоге уволился из той компании и теперь работаю в StaffCop на позиции специалиста технической поддержки.

Расследование инцидентов ИБ со StaffCop Enterprise 4.4 - 1

Читать полностью »

в 8:31, , рубрики: artificial intelligence, Privacy, security, technology, искусственный интеллект, машинное обучение

Привет! Представляю вашему вниманию перевод статьи "Here's how an AI lie detector can tell when you're fibbing" автора Rob Verger.

AI детектор лжи может определить, когда человек врет - 1

Сегодня искусственный интеллект встречается повсюду – он определяет, что находится на фотографиях еды (на таких сайтах, как Yelp), помогает исследователям в попытках ускорения процесса МРТ и даже может искать признаки депрессии в голосе человека. Но вот об использовании искусственного интеллекта как детектора лжи вряд ли многие задумывались.Читать полностью »

1...91011...2030...42
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js