Метка «безопасность» - 38

в 9:22, , рубрики: безопасность, информационная безопасность, персональные данные, уязвимости, метки: , ,

Как программисту, принимавшему участие в разработке платежных систем, мне неоднократно приходилось анализировать на наличие уязвимостей различные платежные сервисы, хранящие персональные данные клиентов и я постоянно сталкиваюсь с одной очень распространенной проблемой. Имя этой проблеме — инкрементальные айдишники.

Пример №1.
Сайт крупнейшего агрегатора платежных методов в России, обслуживает лидера онлайн-игр. После оплаты заказа переадресовывает клиента на урл вида http://aggregator-domain/ok.php?payment_id=123456, который в свою очередь переадресовывает на сайт онлайн-игры с адресом вида (декодировал для читабельности) https://online-game-domain/shop/?...amount=32.86...&currency=RUB...&user=user_email@gmail.com...&item_name=1 день премиум аккаунта...
Перебирая значения параметра payment_id, мы можем видеть логины юзеров в онлайн-игре, покупки, которые они совершали, их сумму.
Эти чертовы инкрементальные айдишники
Читать полностью »

в 11:25, , рубрики: Darpa, IT-Биографии, безопасность, информационная безопасность, История ИТ, метки: , ,

“People are as important as ideas.” (Herzfeld 2005)

Есть два Чарльза Херцфилда (Charles Herzfeld), один трудился над созданием фильмов «Черный лебедь», «Рестлер» и «Her», другой, будучи директором DARPA, принял персональное решение о создании ARPANET.

Цели ARPANET:
— проведение экспериментов в области компьютерных коммуникаций;
— объединение научного потенциала исследовательских учреждений;
— изучение способов поддержания устойчивой связи в условиях ядерного нападения;
— разработка концепции распределённого управления военными и гражданскими структурами в период ведения войны.

Сам Чарльз говорил следующее: «The ARPANET was not started to create a Command and Control System that would survive a nuclear attack, as many now claim. To build such a system was, clearly, a major military need, but it was not ARPA's mission to do this; in fact, we would have been severely criticized had we tried. Rather, the ARPANET came out of our frustration that there were only a limited number of large, powerful research computers in the country, and that many research investigators, who should have access to them, were geographically separated from them.»

Короткая биография под катом
Читать полностью »

в 6:04, , рубрики: yii, безопасность, информационная безопасность, метки: ,

Вышел PHP-фреймворк Yii 1.1.15, исправляющий проблему безопасности, найденную в 1.1.14. Более ранние версии не затронуты. Если вы используете его, следует обновиться. 1.1.15 полностью совместим с 1.1.14.

Уязвимость затрагивает `CDetailView`. Если ваше приложение берёт значение `value` от пользователя, то атакующий имеет возможность выполнить произвольный PHP скрипт на вашем сервере. Мы не раскрываем подробностей сразу чтобы дать время обновиться. По нашим данным детали пока известны только основной команде разработчиков фреймворка.

Уязвимости присвоен номер CVE-2014-4672.

Забрать дистрибутив можно, как обычно, Читать полностью »

в 11:43, , рубрики: email, ProtonMail, безопасность, информационная безопасность, криптография, почта, метки: , , , ,

ProtonMail

ProtonMail или что же это на самом деле?

История ProtonMail, сервиса защищенной электронной почты, о котором уже было довольно много написано (в том числе и здесь http://habrahabr.ru/post/223809/), началась летом 2013 года, когда группа ученых из CERN (Европейская организация по ядерным исследованиям) объединила усилия в работе над улучшением ситуации с безопасностью в интернет. Их стартап ProtonMail вышел в полуфинал 2014 MIT 100K. С этого момента и началось очень бурное развитие проекта. Именно данная победа послужила серьезным шагом в том, чтобы о них заговорили по всему миру.
Читать полностью »

в 5:05, , рубрики: andorro-новости, безопасность, Научно-популярное, метки: ,

Новый чип с микроскопическими химическими сенсорами способен учуять взрывчатку в воздухе при концентрации порядка молекулы на квадриллион, что в миллион раз чувствительнее современных сенсоров. Статья об этой разработке была опубликована в журнале Nature Communications.

Израильтяне разработали чип, который улавливает взрывчатку в воздухе на расстоянии до пяти метров
Читать полностью »

в 12:51, , рубрики: SaaS / S+S, безопасность, Блог компании Инновационные поисковые технологии, госзаказ, госзакупки, информационная безопасность, редирект, тендеры, метки: , , , ,

Здравствуй!

Год назад мы столкнулись с проблемой. Если в двух словах — нас взломали. Взломали творчески, так, что мы не сразу поняли, что вообще происходит. В процессе решения проблемы получилось овладеть полезными навыками: составлять abuse-обращения и результативно общаться с хостерами, в т.ч. — зарубежными, больше радеть о безопасности нашего ресурса, постоянно мониторить наличие нашего сайта в индексе Яндекс и Google, и внимательно относиться к мелочам. В описываемом случае обычный символ «-» (тире) сыграл с нами злую шутку.

Мы столкнулись с проблемой взлома впервые, возможно, какие-то вещи с самого начала были очевидны, а мы их не видели, или наши шаги в поисках решения вызовут улыбку, или непонимание у профи. А может, наш опыт станет полезным для тех, кто сталкивается с проблемами в сфере информационной безопасности.

Читать полностью »

в 13:30, , рубрики: Cisco, security, snmp, безопасность, информационная безопасность, метки: , , ,

Добрый день всем,

По работе столкнулся с интересным всплеском сетевой активности в интернете в последние дни. Работаю я в Cisco TAC, поэтому и статья об этом.
А именно кто-то в интернете запустил глобальное сканирование сетевых устройств на предмет лекго-подбираемых доступных для записи snmp community и при успехе стирает с устройств таблицу роутинга.
Очевидно, это ведет к внезапному прекращению корректной работы устройства (чаще всего это пограничные роутеры) и открытию излишнего количества кейсов в техподдержку.
Конечно же Cisco как всегда рекомендует тщательно следить за snmp, особенно за такой частью как имена community доступных для записи, использовать access list'ы и напоминает что community по дизайну это ни что иное как пароль, и он вообще-то должен быть сложным.

Тем не менее в результате этой атаки выявилось несколько поразительных моментов:
— сам по себе вектор атаки направленный на такой участок дает неограниченные возможности по управлению устройствами при очевидной простоте исполнения
— что еще более ее усугубляет — IOS устройства не логируют изменение конфигурации по SNMP, что ведет к совершенно непонятным причинам проблем. Это поведение будет исправлено и по этому поводу уже заведен баг.
Читать полностью »

в 15:49, , рубрики: diy или сделай сам, NFC, RFID, безопасность, Гаджеты. Устройства для гиков, контроль доступа, метки: , , , ,

Картинка для привлечения внимания Доступ в моё общежитие, как и во многие здания, осуществляется с помощью proximity-карт. Многие просто прикладывают рюкзаки к турникету в надежде, что пропуск никуда не завалился, и турникет его определит. Мне так не везло и частенько приходилось рыться в сумке в поиск этой дурацкой карточки. Не раз приходили мысли просто пришить пропуск, но останавливало то, что «студент обязан предъявлять пропуск по первому требованию охраны», да и постоянное перекладывание при проходах без рюкзака радости не доставляло. Поэтому в один зимний день я заказал себе самый простой Reader & Writer с Ali (угадав частоту и стандарт) с десятком расходников. Связка China Post и почты России доставила посылку до Питера за пару недель. После возни с китайским софтом три клона моего пропуска были приклеены к рюкзаку, две карты отложены про запас, а пять брелоков отправились на полку (заблокированы на запись).

Читать полностью »

в 14:41, , рубрики: android, Android OS, безопасность, информационная безопасность, Разработка под android, метки: ,

Вступление

После небольшого перерыва я продолжаю объяснять базовые принципы как обеспечивается безопасность в операционной системе Android. Сегодня я начну описывать безопасность на уровне Application Framework. Но чтобы понять данную тему, вначале необходимо рассмотреть как в Android реализован механизм межпроцессного взаимодействия (Inter-Process Communication (IPC)). Этот механизм называется Binder IPC, и сегодня мы будем рассматривать его особенности. Все, кому интересно, добро пожаловать!
Читать полностью »

в 12:43, , рубрики: безопасность, взлом, Вирусы (и антивирусы), информационная безопасность, фейл, форум, метки: , , , ,

Форум avast! подвергся взломуКак сообщается в блоге avast!, их форум подвергся взлому.
Злоумышленникам стали доступны имена пользователей, электронные адреса, логины и пароли (в зашифрованном виде). Атака затронула только форум поддержки, лицензии и финансовые данные не были затронуты.
Читать полностью »

1...1020...373839...5060...61
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js