Рубрика «токены» - 2

в 7:49, , рубрики: информационная безопасность, платежные карты, платежные системы, такси, Тестирование веб-сервисов, Тестирование мобильных приложений, токены, уязвимости

После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим.

На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным.

Здесь инструменты те же: ПК, Fiddler, Android-смартфон – устанавливаем приложение и отслеживаем его запросы.

Я специально не рассматривал запросы и ответы при регистрации или логине (например, не стал проверять возможность перебора пароля), а перешёл к функциям, доступным после регистрации.

Так как у меня не было истории поездок с помощью данного сервиса, а проводить реальную поездку для тестирования мне не хотелось, мне нужны были данные кого-либо ещё из клиентов. Я решил спросить знакомых на наличие аккаунта в сервисе. Среди знакомых нашлись клиенты этого такси, но вызывали они его по-старинке – с помощью звонка.

Тогда я начал искать номера телефонов среди общедоступной в интернете информации – например, на официальном сайте и среди отзывов в соцсетях (зачастую недовольные клиенты, описывая жалобы, вместо отправки компании в личку своих контактов оставляют их в комментариях на всеобщее обозрение). В итоге я нашёл пару телефонов на одном из сайтов по поиску работы. Один из них я подставил в последующие запросы и получил информацию, которая не должна была быть доступна кому-либо извне.

Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса - 1
Читать полностью »

в 14:22, , рубрики: end2end, блокчейн, децентрализованные сети, криптовалюта, криптография, миксеры, Системы обмена сообщениями, токены

Привет!

Сегодня расскажу о том, как мы разрабатывали миксер транзакций для нашего мессенджера. Пока расскажу про концепт в целом; надеюсь, будет интересно и разработчикам, и тем, кто увлечен анонимностью, защитой данных и остальным шифропанком.

Краткая предыстория. Как вы уже знаете, наш мессенджер функционирует на собственном блокчейне, и в нем реализованы переводы нескольких криптовалют в чатах. Добавлю: связи между кошельками публичны. Поэтому факт переписки и перевода токенов доступен и подтвержден в блокчейне. А ведь иногда именно факт общения (или перевода средств) может быть компрометирующим! Все ведь помнят «Трех мушкетеров» и подвески королевы, да?

Как замести следы в блокчейне? Наш концепт миксера для транзакций - 1

Наши пользователи указали нам на то, что пора устранить эту «лазейку в приватности». Так что мы, во-первых, убрали транзакции сообщений и сервисные транзакции из нашего обозревателя блоков. Поэтому обычный пользователь уже сейчас не может установить факт переписки между двумя номерами.

Но транзакции по-прежнему сохраняются в блокчейне, и их метаданные можно извлечь с помощью API. Поэтому мы приняли решение создать миксер транзакций, который можно было бы подключать, если важно скрыть факт перевода или переписки.

Читать полностью »

в 12:54, , рубрики: аутентификация, аутентификация пользователей, Блог компании «Актив», двухфакторная аутентификация, двухэтапная аутентификация, информационная безопасность, смарт-карты, токены, управление персоналом, Управление продуктом

Герои двухфакторной аутентификации, или как «походить в чужих ботинках» - 1

Наверное скажу банальность, но люди устроены очень странно (а ИТ-шники вдвойне). Они живо интересуются маркетинговыми новинками и рвутся их внедрять, но при этом равнодушно проходят мимо технологий, которые на самом деле могут защитить их компании от реального вреда.

Возьмем для примера технологию двухфакторной аутентификации (2FA). Обычные пароли злоумышленник легко может подсмотреть и/или украсть (что очень часто и происходит), а затем войти в систему под правами легального пользователя. Причем сам пользователь скорее всего не догадается о факте кражи пароля до наступления неприятных (а иногда и весьма тяжелых) последствий.

И это при том, что практически ни для кого не является откровением тот факт, что использование методов двухфакторной аутентификации позволит сильно сократить, вероятность наступления каких-то тяжелых последствий, а то и полностью от них защититься.

Под катом мы расскажем как попытались представить себя на месте лиц принимающих решение о внедрении 2FA в организации, и поняли как их заинтересовать.
Читать полностью »

в 13:28, , рубрики: CrossOver, IT-службы, Блог компании Crossover, информационная безопасность, пароли, периметр, руководство, токены, управление персоналом

Руководители, хватит сбрасывать пользовательские пароли раз в месяц - 1
День смены паролей, офис в городе Энске, реконструкция, цвет

Если эта статья не проделала брешь в пространственно-временном континууме, то на дворе 2018 год, а в большинстве крупных организаций до сих пор меняют пароли каждые 30-90 дней. Тема того, что принудительная постоянная смена паролей лишь снижает секьюрность, но никак ее не повышает, поднималась на Хабре уже много раз (1, 2, 3), но в них, обычно, обсуждались частные случаи, а в комментариях пользователи активно делились опытом, как они защищают свои собственные учетные записи.

То что связка условного KeePass+токен, присыпанная двухфакторной аутентификацией намного надежнее, чем условная смена паролей раз в 30-90 дней, понятно и без объяснений. Но как метко заметил один из комментаторов в прошлых публикациях, зачастую инициатива на подобные «эффективные» меры исходит с самого верха организации, а спорить с генеральным директором без достойных аргументов себе дороже. Поэтому я решил попробовать доступно разложить, откуда растут ноги столь распространенной и одновременно неэффективной практики, какие им существуют альтернативы и с чем они сопряжены. Возможно, после прочтения этой статьи некоторыми руководителями, работать в отдельных компаниях станет немного лучше.

Чем опасна регулярная смена паролей

Пароль сам по себе — средство защиты не слишком стойкое ко взлому. Именно поэтому сейчас на рынке есть многочисленные средства двух или даже трехфакторной аутентификации, различные токены, флешки и прочие ухищрения, которые укрепляют периметр и снижают вероятность взлома и получения доступа к конфиденциальным данным или учетной записи. Одним из пропагандируемых способов «укрепления» этого самого периметра является, якобы, регулярная смена пароля пользователя, которая, по идее, должна уберечь от атаки вследствие слива БД и так далее. Все эти рекомендации упускают, в первую очередь, эффект шаблонизации, который я подробно описывал несколько лет назад.
Читать полностью »

в 13:25, , рубрики: amazon, Amazon Web Services, ARN, AWS, canarytoken, CrossOver, honeytoken, IAM, Блог компании Crossover, информационная безопасность, канарейки, облака, облачные сервисы, токены
Исследователи нашли способ обнаружения и обхода Honeytoken-ключей в ряде сервисов Amazon - 1

В современной парадигме информационной безопасности для масс прочно укрепилось мнение, что cyber security — это дорого, сложно, а для рядового пользователя фактически невозможно. Так что если вы хотите в полной мере защитить свои данные и персональную информацию, то заведите себе аккаунт у Google или Amazon, прибейте его гвоздями в плане идентификации владельца и периодически проверяйте тревожные оповещения, что большая и сильная компания пресекла очередную попытку входа.

Но люди, разбирающиеся в ИБ всегда знали: облачные сервисы намного более уязвимы, чем отдельная рабочая станция. Ведь в случае форс-мажорной ситуации ПК можно физически ограничить доступ в сеть, а там уже начинается гонка по смене явок и паролей на всех атакуемых направлениях. Облачная же инфраструктура огромна, зачастую децентрализована, а на одном и том же физическом носителе могут храниться данные нескольких клиентов, либо наоборот, данные одного клиента разнесены по пяти континентам, а объединяет их лишь учетная запись.

Короче говоря, когда интернет был сравнительно свеж и юн (а было это в 2003 году), тогдашние специалисты по информационной безопасности внимательно посмотрели на систему защиты от переполнения буфера 1997 года, и разродились технологией, которую сейчас мы называем Honeytoken или Canarytoken. И пятнадцать лет они исправно работали (и до сих пор работают), вот только последнее исследование говорит, что вместо последнего рубежа обороны в ряде сервисов AWS, Honeytoken превратился в зияющую дыру в ИБ из-за особенностей реализации на стороне Amazon.
Читать полностью »

в 20:46, , рубрики: 50Cycles, hashflare, Блог компании HashFlare, велосипеды, гаджеты, зож, Криптовалюты, спорт - это деньги, токены

Компания 50Cycles из Великобритании помогает зожникам становиться богаче. Как? Ее сотрудники разработали электровелосипед, который может майнить валюту.

Спорт делает людей богаче: покрутил педали — намайнил токенов - 1

Называется это транспортное средство Toba, а майнит оно не эфир или биткоины, а токены LoyalCoin (LYL). Они созданы для повышения лояльности пользователей к брендам. Мониторинг денежных поступлений ведется при помощи мобильного телефона с установленным приложением. Оригинальным образом организовано хранение приватных ключей, которые подтверждают право владения монетами: они хранятся в самом транспортном средстве.
Читать полностью »

в 9:25, , рубрики: Альфа-Банк, биткоин, Блог компании «Альфа-Банк», блокчейн, законодательство, Законодательство и IT-бизнес, Криптовалюты, криптография, налоги, США, токены, финансы в IT, финтех, чатботы, экономика

Прошедшая неделя традиционно была богатой на события в мире финтеха. Отличились многие – как компании, так и страны. Самое интересное мы выделили, представив в этом посте. И никаких апрельских шуток!

Финтех-дайджест: 70 россиян обучат цифровой экономике за 650 млн рублей, налоговая США и криптовалюты, чатботы умнеют - 1

Обучение, конечно, стоит нынче недешево. Но 650 млн рублей для 70 человек?

Начнем с цифровой экономики в России. Правительство собирается потратить около 50 млрд руб. на реализацию исследований и разработок в области цифровой экономики. В частности, на разработку стратегий цифровой трансформации компаний планируется потратить около 1,37 млрд рублей. Но самое интересное даже не это, а то, что 650 млн рублей будет потрачено на обучение 70 россиян цифровой экономике за границей.

Счастливчики, входящие в команду «финтех-студентов», после завершения своего курса будут обязаны вернуться в Россию, для чего будут предусмотрены специальные пункты в нормативной базе. Читать полностью »

в 7:18, , рубрики: hardware-продукт, Блог компании «Актив», токены, Управление продуктом

Управление hardware-продуктом: путь тяжелых компромиссов - 1

За последние несколько лет в России появилась и оформилась новая профессия – менеджер по продукту. Конечно, 10 лет назад были специалисты, которые выполняли обязанности менеджера по продукту или эти обязанности были распределены между несколькими людьми. Теперь же на рынке есть немало готовых специалистов, спрос на них, а также масса различных курсов по подготовке, статей на эту тему и так далее.

К сожалению, 99.9% всех этих полезных материалов и курсов относятся к управлению программными продуктами. Более того, большая часть из них сосредоточена на онлайн-сервисах и мобильных приложениях. Они обсуждают MAU и прочие метрики, а также инструменты, которые помогают с ними работать. К сожалению, большая часть этих метрик не работает для корпоративных продуктов или для hardware-продуктов.

Информации по управлению hardware-продуктами очень мало, попробую это исправить. Начнем с небольшой статьи об отличиях управления hardware-продуктами от управления программными продуктами.
Читать полностью »

в 8:44, , рубрики: cobalt, paypal, Блог компании «Альфа-Банк», Законодательство и IT-бизнес, китай, Криптовалюты, криптография, майнинг, токены, финансы, финансы в IT, финтех

Всем привет. В конце марта мир финтеха радует нас разнообразными новостями. Ньюсмейкеры – PayPal, российские банки, создатель зловреда Cobalt, который причинил убытков на $1 млрд, и другие организации и частные лица.

Финтех-дайджест: россияне смогут брать кредит по тембру голоса, PayPal идет в Китай, арест лидера Cobalt - 1

Начнем, пожалуй, с PayPal. Дело в том, что эта компания начинает экспансию в Китай. Поднебесная, несмотря на относительную закрытость своего финансового рынка, позволит иностранным компаниям получить доступ к своей инфраструктуре электронных платежей.Читать полностью »

в 10:20, , рубрики: hamster marketplace, альтернатива, биткоин, Блог компании Hamster Marketplace, коины, краудсейл, криптография, токены, финансы в IT

Пока хайп вокруг биткоина набирает немыслимые высоты, всё сильнее напоминая современную лихорадку по современному же золоту, самое время заглянуть в будущее: что может прийти на смену уже самому биткоину? Правильный ответ на этот вопрос — это покупка токенов, то есть второй по привлекательности путь к обогащению на криптовалютах, само собой, после изобретения машины времени и путешествия в прошлое за биткоинами по несколько центов.

Когда биткоин перестанет расти: токены — настоящая альтернатива коинам - 1

Не биткоином единым

Глава «Сбербанка» Герман Греф не так давно заявлял, что в своё время закупал биткоины. Сам «Сбербанк» изучает потенциал криптовалют и блокчейна уже несколько лет и видит за криптой (не путать с «крипотой») большое будущее. Близнецы Уинклвосс, прославившиеся тяжбой с Марком Цукербергом за права на Facebook, стали миллиардерами благодаря криптовалюте. Несколько лет назад они потратили $11 млн на покупку биткоинов (тогда они стоили около $120 за монету, воу), которые с тех пор многократно возросли в цене по отношению к доллару, а 2000 биткоинов Павла Дурова теперь оцениваются в $35 млн.
Читать полностью »

123...6
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js