Метка «безопасность» - 59

Stringer Java Obfuscation Toolkit - Android ProtectionУважаемое Хабр-сообщество, хотел бы рассказать об одном из продуктов, который мы разрабатываем — Stringer Java Obfuscation Toolkit (https://jfxstore.com/stringer). Думаю многим Android и Java-разработчикам будет интересно, особенно, в свете подобных публикаций: habrahabr.ru/post/141522/.

Сразу скажу, что решение коммерческое, чтобы сэкономить кому-то, из читающих этот пост, время.

За прошлый, почти полный, год, мы сделали довольно много интересных вещей:

Любопытная ситуация сложилась за последние несколько дней вокруг нескольких флагманских продуктов компании Adobe.

Многие знают, что недавно была выпущена последняя версия пакета Creative Suite 6, включающего Photoshop, Illustrator, DreamWeaver и другие программы, который, кстати, отныне сможет работать по подписке, исключая необходимость покупать программу «навсегда». Незадолго до этого Adobe выпустила ряд исправлений безопасности, который самой компанией был помечен как критический; при этом оказалось, что патчи фактически обновляют старый Creative Suite 5.x до актуальной шестой версии и, чтобы получить безопасный продукт, пользователям следует заплатить за исправления. В частности, стоимость обновления для Photoshop CS6 составила $199, для Illustrator CS6 — $249, для Flash Professional CS6 — $99. Правда, Shockwave Player предлагалось обновить бесплатно.

Любопытно, что в Adobe заявили, что Photoshop не является излюбленной мишенью для хакеров и проблема "...if exploited would allow malicious native-code to execute" не должна никого особо взволновать.

Вероятно, возмущённые отклики пользователей на странную политику компании относительно обеспечения безопасности своих продуктов, не оставили руководство не тронутым. В Adobe не стали настаивать на своём и изменили решение — компания объявила, что все пользователи Creative Suite 5.x, которых не устраивает фактическая покупка новой версии программ под видом обновлений безопасности, всё-таки получат их бесплатно — именно для своей версии пакета.

Было ли это ленью программистов или просто желанием Adobe пересадить побольше пользователей за новую версию своего пакета, заодно заработав на этом, сказать трудно, однако факт того, что компания с мировым именем чутко прислушивается к мнению аудитории своих продуктов по крайней мере является примечательным.

Читать полностью »

Введение

В это посте я попробую расписать по шагам о том, как построить защищённую систему для безопасного приёма, передачи, хранения и обработки конфиденциальных и иных опасных данных. Ни для кого не секрет, что сейчас различные лица и организации пытаются удушить свободу как самого интернета, так и его пользователей, и зачастую им это удаётся. Поэтому сейчас мы попробуем соорудить небольшую, но прочную крепость внутри нашего компьютера.

На провокации вида «при помощи такой системы можно слить гостайну врагу» я отвечаю сразу: при помощи ядерных ракет можно не только устроить конец света, но и отогнать или расколоть угрожающий нашей планете астероид.

Постановка задачи

Задачи нашей системы будут сформулированы следующим образом:

  • обеспечить маскировку внешнего IP-адреса;
  • защитить целостность и конфиденциальность при приёме и передаче данных;
  • обеспечить конфиденциальность хранимых на жёстком диске данных.

Читать полностью »

Хеш-функция—преобразование текста произвольной длинны в текст фиксированной длинны.
H=hash(P);
P—пароль ( открытый текст), длинна P от 0 до бесконечности;
H—хеш-значение (хешированный текст), длинна H=N бит (при условии что функция hash возвращает хеш-значение длинной N бит).
Хеш-функция используется в любом алгоритме шифрования. Ее функция заключается в следующем—при вводе пользователем пароля произвольной длинны, хеш-функция преобразует этот пароль в хеш-значение фиксированной длинны (ключ).
Читать полностью »

image
15 апреля завершился отборочный этап соревнований в области информационной безопасности VolgaCTF-2012, в котором принимали участие 29 команд из различных городов Приволжского Федерального округа. Командам давалось 48 часов, на решение задач в областях:

  • Crypto –криптографические задачи;
  • Web – разнообразные веб-уязвимости;
  • Reverse engineering –обратная разработка программ;
  • StegaSic (Steganography & Forensic) – стеганография и исследования в области компьютерных преступлений;
  • PPC (Professional programming and coding) – различные задачи на программирование;
  • Joy – задачи на общую эрудицию в области информационной безопасности;
  • Blackbox Admin – задачи на администрирование сетей;

Хочется поделиться с вами своими впечатлениями и написать как выглядят такие соревнования именно со стороны участника.Читать полностью »

Cегодня директор ICANN по техническим вопросам Акрам Аталлах сообщил, что в системе регистрации и отправки заявок на новые gTLD (TAS) обнаружена ошибка, которая повлекла за собой утечку информации о заявках на новые домены.Читать полностью »

После публикации статьи о модуле nginx, предназначенном для борьбы с ботами я получил множество откликов, в которых люди спрашивали о поддержке Flash.
Я был уверен, что при должных усилиях желающие могли реализовать эти функции самостоятельно, как сторонние приложения, без изменения кода самого модуля, но никто этого не сделал, поэтому пришлось мне сделать PoC.
Читать полностью »

Доброго времени суток. Хочу рассказать вам о полезности ssh-логгеров.
В качестве серверной системы я предпочитаю использовать FreeBSD. И, как правило, устанавливаю termlog – системная утилита для логгирования ssh-сессий всех пользователей. К сожалению, сейчас в 9 версии termlog помечен как broken, потому что utmp был признан устаревшим и заменен на utmpx, поэтому termlog работает максимум только на 8 версии с небольшой правкой исходников:
Файл fileops.c, функция snp_setup

+       logname[rindex(logname,'/')-logname] = 'D';
         sm->fp= fopen(logname, "w");

Будем все же надеяться, что termlog перепишут для 9-й версии, потому что это очень полезная утилита. И вот почему. Однажды на тестовом сервере, который имел dyndns адрес и использовался для экспериментов, я установил termlog и создал пользователя test с паролем test, на котором проверял работу termlog, после чего благополучно забыл об этом пользователе. Спустя некоторое время, я обнаружил записанную ssh-сессию пользователя test, о котором кроме меня никто не знал:
Читать полностью »

Бесконтактные карты в киевском метро начали вводить в 2007 году (информация на сайте метро, укр), но широкое распространение и внедрение они получили только к концу 2008 года. На сегодняшний день существуют два основных типа проездных билетов: проездные со сроком действия, и проездные на количеств поездок. В проездных используются бесконтактные карты MIFARE Classic 1K.

Что записано внутри бесконтактных карт Киевского метрополитена?
Фото — Metromuseum.net

Об уязвимостях чипов MIFARE Classic стало известно в 2007 году. Подробную историю открытия уязвимостей можно почитать в статье. Статья хоть и 2008 года, но до сих пор актуальна, и в ней перечислены основные этапы нахождения уязвимостей. Совместив эти знания можно посмотреть, что же записывается в карты киевского метро на примере проездного на количество поездок.

Дисклаймер: Все действия и информация, описанные ниже, приведены исключительно для расширения личного кругозора, и не преследуют цели личной выгоды.

Читать полностью »

Основано на реальных событиях.

Представьте себе, что у вас есть крупный проект, для которого необходимо собирать софт. А ещё у вас есть желание замутить сборочную ферму, на которой ваши подчинённые будут собирать нужный софт. А ещё это всё происходит под Linux-ом, и каждому надо организовать «чистое» окружение с минимумом затрат. Как это сделать?

В зале подняли руки несколько человек и воскликнули «chroot!». Вы согласились, что это просто, быстро и каждый получает полностью ресурсы хостовой машины. Все заапплодировали, решение принято.

А через неделю после интеграции этого решения и после увольнения сотрудника «икс» вы просыпаетесь — а на сервере девственно чистый жёсткий диск. Злодей уничтожил труды разработчиков, работа встала.

Почему же он сумел удалить всё, если был в «защищённом» «запертом» чруте?
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js