Метка «security»

в 14:50, , рубрики: информационная безопасность, метки: ,

Microsoft добавит новые меры безопасности UEFI в Windows 10 - 1 В прошлых публикациях, посвященных улучшениям безопасности Windows 10 [1,2,3,4], я неоднократно хвалил Microsoft за эти полезные нововведения. Новые механизмы безопасности помогают более эффективно бороться с эксплойтами. Пока очевидно, что Microsoft все больше делает ставку на новые технологии защиты от эксплойтов, основанные на виртуализации Virtualization Based Security, при этом добавляя более современные метрики безопасности и вынося выполнение критических по безопасности операций в отдельные виртуальные машины с высоким уровнем привилегий.

На сей раз речь пойдет о безопасности прошивок UEFI. Известный гуру внутреннего устройства Windows Alex Ionescu опубликовал у себя в твиттере скриншот дополнительных требований безопасности UEFI, которые должны поддерживаться прошивками начиная с Windows 10 1703. Как известно, эта версия Windows 10 и может получить название очередного существенного обновления Redstone 2.

Читать полностью »

в 0:38, , рубрики: Песочница, метки: , ,

Управление доступом является одной из основных частей безопасности веб-приложения. Контроль доступа гарантирует, что только аутентифицированные и авторизированные лица могут иметь доступ к конфиденциальной информации, и только пользователь с допустимой ролью может выполнять предоставленные ему действия. Формирование ролей призвано определить чёткие и понятные для пользователей информационной системы правила разграничения доступа. Ролевое разделение позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования приложения правила разграничения доступа[1].

Рассмотрим несколько способов реализации системы управления доступом в корпоративном Java-приложении.
Читать полностью »

в 1:59, , рубрики: Песочница, метки: , , , ,

Недавно возникла необходимость защитить сохранения игроков во избежание накрутки рекордов и игровой валюты. Прошерстив форумы в интернете, я нашел либо платные плагины (хоть цена и была невысокой, внутренний жлоб требовал продолжать поиски), либо «тяжелые» способы защиты — сохранения приходилось часто сверять, из-за этого во время сверки были заметны «тормоза» на компьютере и, уж тем более, на телефоне.

Почитав пару статеек о способах шифрования и испробовав еще столько же в игре, я подумал, что неплохим вариантом является DES Encryption. Сказано — сделано. В итоге сохранения в памяти решил представить следующим образом:

key: md5(key)
value: encrypt(value)

Где в подсчете хэша участвует секретный код, устанавливаемый разработчиком и уникальный идентификатор устройства (на случай переноса сохранений из другого), а значение шифруется через алгоритм DES.
Читать полностью »

в 17:43, , рубрики: DNS, DynDNS, Malware, microsoft, noip, security, информационная безопасность, метки: , , , ,

Как-то прошло мимо Хабра, но на днях Microsoft добилась судебной блокировки около 20000 субдоменов NoIP. Однако что-то пошло не так и «по-техническим» причинам, предроложительно, заблокировали миллионы пользователей.
Читать полностью »

в 13:30, , рубрики: Cisco, security, snmp, безопасность, информационная безопасность, метки: , , ,

Добрый день всем,

По работе столкнулся с интересным всплеском сетевой активности в интернете в последние дни. Работаю я в Cisco TAC, поэтому и статья об этом.
А именно кто-то в интернете запустил глобальное сканирование сетевых устройств на предмет лекго-подбираемых доступных для записи snmp community и при успехе стирает с устройств таблицу роутинга.
Очевидно, это ведет к внезапному прекращению корректной работы устройства (чаще всего это пограничные роутеры) и открытию излишнего количества кейсов в техподдержку.
Конечно же Cisco как всегда рекомендует тщательно следить за snmp, особенно за такой частью как имена community доступных для записи, использовать access list'ы и напоминает что community по дизайну это ни что иное как пароль, и он вообще-то должен быть сложным.

Тем не менее в результате этой атаки выявилось несколько поразительных моментов:
— сам по себе вектор атаки направленный на такой участок дает неограниченные возможности по управлению устройствами при очевидной простоте исполнения
— что еще более ее усугубляет — IOS устройства не логируют изменение конфигурации по SNMP, что ведет к совершенно непонятным причинам проблем. Это поведение будет исправлено и по этому поводу уже заведен баг.
Читать полностью »

в 8:08, , рубрики: Competition, data leakage prevention, ios app, ios development, password security, security, security research, Блог компании ИнфоТеКС, метки: , , , , , ,

«ИнфоТеКС Академия» объявляет о запуске конкурса «Прозрачная безопасность» в рамках формата «Соревнование», который направлен на разработку программного кода, осуществляющего механизм модификации (repackage) iOS-приложения и статического контроля кода. Конкурс продлится до 10 ноября, заявки на участие принимаются уже сегодня после регистрации в личном кабинете на сайте проекта.

ИнфоТеКС Академия запускает конкурс «Прозрачная безопасность»
За картинку спасибо AdExchanger!

Многие из нас сегодня пользуются смартфонами и планшетами, ведь это так удобно забронировать отель или билет на самолет через приложение, оплатить мобильный, использовать мобильный онлайн-банкинг или оплачивать кофе. Кстати о кофе! Наверное, многие также слышали об исследовании Даниела Вуда (Daniel Wood) уязвимостей приложения Starbucks для iOS, согласно которому имена пользователей клиентов, адреса электронной почты, пароли и данные о местоположении становятся доступными через специальное программное обеспечение для краш-аналитики в лог-файлах.

Сколько ещё приложений не очевидным образом хранит данные и/или обещает их защиту, которой фактически не оказывается? Мы предлагаем разобраться в этом вопросе подробнее в рамках конкурса.
Читать полностью »

в 14:14, , рубрики: drupal, Heartbleed, openssl, security, метки: , , ,

Наверняка все знают, что 8 апреля 2014 Сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.
Подробнее об этой уязвимости уже писали на хабре, а тут мы рассмотрим как обезопасить свой Drupal сайт.
Читать полностью »

в 9:53, , рубрики: security, безопасность, Блог компании «Digital Security», Индия, информационная безопасность, конференции, метки: , , ,

В последнее время зачастил в Индию. Видимо, такая карма у моих усов: любят меня индусы, да и мне, в целом, Индия тоже по душе. Сегодня поговорим о том, чем богат мир информационной безопасности этой страны, какие конференции проходят в основных городах, и, по традиции, не обойдемся без маленьких зарисовок из повседневной жизни.

Священная корова, карма и усы: как и почему индусы неравнодушны к ИБ

Читать полностью »

в 16:32, , рубрики: android, iOS, mobile development, security, Блог компании CodeFreeze, Разработка под android, разработка под iOS, метки: , , ,

Привет!

Четыре из 13 докладов в программе конференции Mobius, так или иначе, связаны с проблемами безопасности мобильных приложений.

Тема горячая и поэтому мы решили еще более усилить эту тему на конференции!
Мы вынесли некоторые вопросы безопасности, не затрагиваемые в докладах, на обсуждение на круглый стол по защите мобильных приложений

Защита от тёмных искусств, Эпизод I

Читать полностью »

в 10:59, , рубрики: bug bounty, pentest, security, xss, информационная безопасность, метки: , , , , ,

В этой статье я хочу поделиться своим опытом участия в программе поощрения от Yahoo (и не только). Расскажу, какие уязвимости нашёл, на какие трудности напоролся и на сколько щедрым оказалось Yahoo. Жду вас под катом!

Yahoo Bug Bounty
Читать полностью »

123...9
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js