Рубрика «уязвимости» - 31

Представляем аналитический отчёт об актуальных кибер-угрозах и новостях, который еженедельно готовится сотрудниками нашей компании.

Основные задачи отчёта — повышение осведомлённости специалистов об актуальных технологиях и тенденциях кибер-угроз и предложение рекомендаций по приоритизации операционных задач защиты информации.

Отчёт будет полезен в и рекомендуется к изучению специалистам и менеджерам по информационной безопасности, системным администраторам, инженерам, а также всем специалистам, кто должен быть всегда в курсе основных тенденций в области кибер-безопасности.

Сводка

Читать полностью »

image

C 26 июня Microsoft будет готова заплатить тем, кто найдет в ее продуктах новые уязвимости и техники эксплоитов определенных видов.

Направлений для творческого поиска будет сразу несколько:

  1. Mitigation Bypass Bounty — до $100,000 за нахождение нового способа эксплуатации уязвимостей защиты в последней версии ОС Windows 8.1 Preview.
  2. BlueHat Bonus for Defense — до $50,000 в качестве бонуса тем, кто предложит идеи для защиты от проникновений, обнаруженных в первой программе.
  3. Internet Explorer 11 Preview Bug Bounty — до $11,000 за найденную критическую уязвимость в Internet Explorer 11 Preview на Windows 8.1. Срок данного предложения — на время беты нового IE (c 16 июня по 16 июля).

Читать полностью »

Возможно я не прав, но я твердо придерживаюсь мнения, что некоторые ошибки бывают не менее интересны чем проекты в которых они произошли. Я хочу рассказать об одном проекте, в котором принял участие довольно давно. О том, как казалось-бы правильное применение криптографических средств, привело к возникновению уязвимости, лишившей всю остальную криптографию какого бы то ни было смысла.

Скажу сразу, что себя я квалифицированным специалистом в области криптографии не считаю. Я имел дело с криптоалгоритмами, когда ситуация не оставляла мне другого выбора. Безусловно, было-бы лучше, если-бы этими работами занимался кто-то более разбирающийся в вопросе, но так получилось, что заниматься ими пришлось мне. В любом случае, я надеюсь, что мой рассказ будет интересен.
Читать полностью »

Представляем аналитический отчёт об актуальных кибер-угрозах и новостях, который еженедельно готовится сотрудниками нашей компании.

Основные задачи отчёта — повышение осведомлённости специалистов об актуальных технологиях и тенденциях кибер-угроз и предложение рекомендаций по приоритизации операционных задач защиты информации.

Отчёт будет полезен в и рекомендуется к изучению специалистам и менеджерам по информационной безопасности, системным администраторам, инженерам, а также всем специалистам, кто должен быть всегда в курсе основных тенденций в области кибер-безопасности.

Сводка

Читать полностью »

Представляем первую общедоступную версию аналитического отчёта об актуальных кибер-угрозах и новостях, который еженедельно готовится сотрудниками нашей компании.

Основные задачи отчёта — повышение осведомлённости специалистов об актуальных технологиях и тенденциях кибер-угроз и предложение рекомендаций по приоритизации операционных задач защиты информации.

Отчёт будет полезен в и рекомендуется к изучению специалистам и менеджерам по информационной безопасности, системным администраторам, инженерам, а также всем специалистам, кто должен быть всегда в курсе основных тенденций в области кибер-безопасности.

Сводка

Читать полностью »

От переводчика: Хоть посыл статьи Ali Najaf, переведённой ниже, и носит слегка рекламный оттенок («оставьте криптографию нам, экспертам»), но описанные в ней примеры показались мне довольно интересными и заслуживающими внимания.
Кроме того, никогда не будет лишним повторить прописную истину: не придумывайте свою крипто-защиту. И эта статья отлично иллюстрирует почему.

Читать полностью »

Ни для кого не секрет, что многие действующие российские государственные стандарты (ГОСТ) по информационной безопасности на текущий момент морально устарели. Это очевидно по той причине, что большинство их них разрабатывались в 80–90 годы, когда большая часть современных информационных технологий не применялась так широко, как сейчас, или просто не существовала.

С недавнего времени российские государственные регуляторы начали обновлять нормативную базу, что само по себе не может не радовать. На этом пути было и есть много подводных камней, ярким примером служит эпопея с Федеральным Законом № 152-ФЗ «О персональных данных» и сопровождающими его приказами ФСТЭК и ФСБ. Много копий было сломано, несколько итераций приказов ФСТЭК были приняты, а затем заменены новыми версиями. И вот на днях, а именно 14 мая 2013 года Министерством Юстиции был зарегистрирован свежий приказ ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», который профессиональное сообщество приняло в целом с одобрением. Стоит отдельно сказать, что при разработке этого документа регулятор обращался в том числе к независимым экспертам отрасли.

Положительной тенденцией ФСТЭК стало то, что теперь при разработке новых норм регулятор спрашивает общество его мнение относительно разрабатываемых документов. И самым свежим примером являются недавно пришедшие к нам запросы.

Читать полностью »

Mail.Ru — The Ghost Question Bug!

Уязвимость была довольно серьёзной и по этому хотелось придумать звучное название.
Почему назвали именно так узнаете ниже.

На днях я решил заново взяться за базу примари на mail.ru и побрутить ящики по секретным вопросам. В 2011 году было снято несколько сотен ящиков и по этому встал вопрос: где взять актуальные ответы!?
Недолго думая я обратился к недавно найденной хитрости. С её помощью можно узнать имя и фамилию от любого зарегистрированного ящика в mail.ru. Для этого проходим по ссылке www.icq.com/download/webicq/ru, входим в аську и в поиске вбиваем желаемое мыло.
В ответе нам приходит имя и фамилия из информации о владельце ящика, дата рождения и город.
Читать полностью »

Конкурс уязвимостей, или Ломай меня полностью!19 марта мы объявили о начале месяца поиска уязвимостей «Проверь Badoo на прочность». Сегодня нам хочется подвести первые итоги и поделиться с вами промежуточными результатами, рассказать, как мы готовились к проверке на прочность, рассмотреть самые интересные уязвимости и сделать «фейспалм».

И для начала немного статистики:

  • за первые две недели участники прислали нам почти 500 заявок с потенциальными уязвимостями;
  • около 50 заявок оказались дубликатами;
  • каждая десятая заявка содержала в себе реальную уязвимость (самые опасные были исправлены в течение нескольких часов);
  • Более 150 заявок составили ошибки, не связанные с безопасностью сайта, и около 10% из них относятся к платформам, не участвующим в конкурсе.
  • большинство уязвимостей пришлось на самый главный компонент системы ― профиль (как только участники конкурса не издевались над аккаунтами пользователей: удаляли и загружали фотографии, манипулировали комментариями, интересами, личными данными и адресами электронной почты).
  • Более половины присланных уязвимостей ― различные CSRF, в основном затрагивающие загруженный или написанный пользователями контент (удаление и загрузка фото и комментариев, работа с чёрным списком, избранным и т.д.).

Читать полностью »

Когда дело касается мобильной безопасности, то мы чаще всего обсуждаем Android с его вирусами и троянами, живущими в основном за пределами Google Play Store. Однако новое исследование SourceFire легко показало, что у iPhone больше проблем с безопасностью, чем у Android, BlackBerry и Windows Phone вместе взятых.

Аналитики SourceFire проанализировали уязвимости, записанные в Common Vulnerabilities and Exposures (CVE) и National Vulnerability Database (NVD) за 25 лет. Ив Йунан, ведущий исследователь в Vulnerabilities Research Team компании и автор отчета, говорит, что результаты, касающиеся мобильных платформ, были «удивительными».

У iPhone больше уязвимостей, чем у Android, BlackBerry и Windows Phone вместе взятыхЧитать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js