В завершение темы информационной безопасности, мы приведем список факторов, которые делают хостинги разных стран более уязвимыми для киберпреступников, составленный экспертами компании G Data Software. Правительство охотится на хакеров.
Метка «безопасность» - 60
Часть 2. Прицел в мониторе
2012-03-28 в 7:44, admin, рубрики: безопасность, Блог компании MyAsterisk, правительство, хакеры, метки: безопасность, правительство, хакерыОперация «Глобальное отключение»
2012-03-27 в 12:48, admin, рубрики: anonymous, безопасность, Блог компании MyAsterisk, метки: anonymous, безопасностьВ преддверии Дня Дурака (1 апреля), когда вроде бы ничто не предвещало беды, мировые новости забили тревогу глобального масштаба.
Хактивисты движения Anonymous в рамках акции «Глобальное отключение» обещают 31 марта предпринять распределённую атаку на 13 корневых DNS-серверов, что приведет к тому, что пропадет возможность поиска доменных имен в Интернете по всему миру.
Простая и эффективная защита от дыр в PHP-скриптах
2012-03-19 в 23:02, admin, рубрики: php, remote code execution, безопасность, безопасность веб-приложений, системное администрирование, метки: PHP, remote code execution, безопасность, безопасность веб-приложенийВ общем-то такая простая, но эффективная защита основана на том предположении, что программисты того или иного софта достаточно адекватно оценивают необходимость шелл-вызовов непосредственно через веб-сервер и зачастую отказываются от такого не самого лучшего способа интерактива с операционной системой.
Практика показывает, что подобные операции часто или избегают или выносят их в задачи cron. А последние, как правило, запускаются через CLI (например, "/usr/bin/php /path/to/cron.php").
Следовательно, нужно отключить шелл-вызовы именно для веб-сервера, оставив их для CLI.
МТС и услуга Автоплатежа с банковской карты
2012-03-17 в 18:58, admin, рубрики: безопасность, информационная безопасность, МТС, метки: безопасность, МТСРугаюсь с МТС. Творится кромешный ад, о котором я просто не могу молчать.
История:
Был у меня федеральный номер. И была на нем подключена услуга Автоплатеж с банковской карты. И все было хорошо.
Но потребовался мне городской номер и безлимитный тариф. И пошел я в МТС. И сказали мне что мне нужно расторгнуть старый договор и заключить новый с новым номером и новым тарифом. И обещали мне перенести баланс на новый договор. Я написал нужные заявления и получил новую сим-карту.
Старый договор заметьте я расторг. Вход в личный кабинет по нему был немедленно заблокирован. Сим-карту у меня любезно отобрали и выкинули за меня.
Читать полностью »
AndroidLost: удалённое управление утерянным смартфоном
2012-03-17 в 18:32, admin, рубрики: android, безопасность, информационная безопасность, метки: android, безопасность Никто не застрахован от утери мобильного устройства, которое ценно не только собственной стоимостью, но и содержащейся на нём информацией.
В этой статье я опишу функционал программы, которой я пользуюсь вот уже год на двух своих устройствах на базе ОС Android.
Поводом к написанию данной статьи стал комментарий читателя Kapustos в статье Сотрудники Symantec потеряли 50 мобильников. Не находили?. Он просил посоветовать софт, функционал которого схож с описанным в статье. Подробности под хабракатом.
К вопросу о безопасности, или зачем вообще хранить пароли
2012-03-15 в 9:17, admin, рубрики: авторизация, Алгоритмы, безопасность, Веб-разработка, криптография, пароли, хеширование, метки: авторизация, безопасность, пароли, хеширование Переодически встречаю статьи про способы хранения паролей, например сегодня. И хочу предложить свой способ.
В статье используется MD5, можно взять любое другое хеширование.
Общие рассуждения
Когда передо мной встала задача авторизации пользователей, я пришел к выводу что хранение паролей, в любом виде, недопустимо. Ни в открытом виде, ни в виде хеша, кроме того недопустима передача пароля в открытом или хешированном виде по сети, при авторизации пользователя на сайте. Причины просты:
- передачу пароля можно перехватить (троян, обезьяна в середине)
- базу с паролями могут украсть, и расшифровать
Немного о хэшах и безопасном хранении паролей
2012-03-14 в 15:06, admin, рубрики: cryptography, php, безопасность, пароли, Программирование, хэш-функция, хэши, хэширование, метки: cryptography, PHP, безопасность, пароли, Программирование, хэш-функция, хэши, хэшированиеПривет! Сегодня процессе разработки системы авторизации для своего проекта передо мной встал выбор — в каком виде хранить пароли пользователей в базе данных? В голову приходит множество вариантов. Самые очевидные:
- Хранить пароли в БД в открытом виде.
- Использовать обычные хэши crc32, md5, sha1
- Использовать функцию crypt()
- Использовать статическую «соль», конструкции вида md5(md5($pass))
- Использовать уникальную «соль» для каждого пользователя.
Модуль nginx для борьбы с DDoS
2012-03-14 в 11:32, admin, рубрики: ddos, nginx, безопасность, защита, информационная безопасность, метки: ddos, nginx, безопасность, защитаМногие сталкивались с таким явлением как DDoS атака методом HTTP флуда. Нет, это не очередной туториал по настройке nginx, хочу представить свой модуль, работающий как быстрый фильтр между ботами и бэкэндом во время L7 DDoS атаки и позволяющий отсеивать мусорные запросы.Читать полностью »
Защищаем сайт от атак на примере ХабраХабра
2012-03-14 в 11:13, admin, рубрики: безопасность, взлом хабры, защита, информационная безопасность, метки: безопасность, взлом хабры, защита
Рано утром Хабр «выкатил» своё новое обновление, и я с чистой совестью достаю эту статью из черновиков.
Вчера у меня случился epic fail и этот топик частично, включая строчку об апдейте выше, попал в паблик на пару секунд. За эти секунды топик успело плюсануть несколько человек.
Ещё раз, теперь публично, прошу прощения у администрации!
Совет остальным — НИКОГДА не храните в черновиках информацию вроде этой.
В последнее время в сети Интернет можно найти очень много пособий для «Начинающих хакеров», в которых подробно описываются все основные методы взлома сайтов. Думаете, веб-разработчики стали от этого умнее и предприняли все возможные методы для защиты? Я так не думаю.
В настоящей статье я хочу ещё раз поведать разработчикам о том, как ломают сайты, а чтобы вам не было скучно, я попутно буду ломать Хабр и подробно описывать, как я это делал. Мы рассмотрим такие интересные штучки, как «Активная XSS в профиле», «Бесконечное обнуление кармы», «Публикация топиков со значком 'Из песочницы'», «CSRF через Flash и дыру в Internet Explorer 6» и многое другое.
Все уязвимости уже исправлены. Ну или почти все. Поэтому, если вы найдёте очередную дыру, то пишите на support@habrahabr.ru — миф о том, что эту почту никто не читает всего лишь миф.
Читать полностью »
eBay / [Из песочницы] Как обезопасить себя при покупки дорогого товара на Ebay
2012-02-29 в 14:48, admin, рубрики: ebay, безопасность, покупка на ebay, покупки из-за рубежа, метки: ebay, безопасность, покупка на ebay, покупки из-за рубежаНаверное, большинство читателей знают, как покупать и, главное, как правильно покупать. Но все-же думаю, кому-то статья будет полезной.
Прочитал статью habrahabr.ru/blogs/ebay/138876/, там автор все правильно сказал, но бывают и трудности с возвращением денег через PayPal.
Например: купили телефон, когда он пришел на почте забрали посылочку, которая с первого взгляда была вполне нормальной посылкой, даже без видимых повреждений. Пришли домой отрыли, а там стопка порезанной бумаги или кирпич вместо телефона. Может у людей, кто не знает или не читал про проблемы почтовых пересылок будет шокЧитать полностью »