Апрель 14

Статья о статическом анализе кода для менеджеров, которую не стоит читать программистам

Что нам делать с ошибками?
Если вы считаете себя хорошим программистом, ну, скажем так, вы оцениваете свой уровень выше среднего, прошу не читать эту статью. Эта статья предназначена для менеджеров программных проектов. С ними я хочу обсудить хотя и важные, но скучные для программистов вопросы, связанные с методологией статического анализа кода.
Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи Статья о статическом анализе кода для менеджеров, которую не стоит читать программистам отключены
Апрель 13

Онлайн-конкурсы PHDays: да будет CTF

image

Отличная возможность настроиться на нужную волну перед Positive Hack Days и продемонстрировать практические навыки в области безопасности — участвовать в онлайн-конкурсах. В начале мая в рамках подготовки к форуму пройдут CTF, HackQuest от Wallarm и «Конкурентная разведка». На кону памятные призы и бесплатные приглашения на PHDays. Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи Онлайн-конкурсы PHDays: да будет CTF отключены
Апрель 13

Подделываем письма от крупнейших российских банков

Однажды я просматривал электронную почту и наткнулся на спам от БинБанка. Это было особенно странно, так как мне предлагали не банковские услуги, а что-то на уровне «Доход 70000 рублей за день». Похоже, спамеры начали отправлять письма от имени разных компаний (вероятно, чтобы обходить какие-то фильтры). Если вам интересно почитать о подделке писем от крупнейших российских банков и полном игнорировании проблем со стороны службы безопасности, то добро пожаловать под кат.


Достаточно простой пример поддельного письма
Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи Подделываем письма от крупнейших российских банков отключены
Апрель 13

Методы обхода защитных средств веб-приложений при эксплуатации SQL-инъекций

image

 
При разработке современных веб-приложений необходимо использовать защитные средства. Тем не менее, стоит понимать, как они работают, эффективно их применять и осознавать, что они не являются панацеей от хакерских атак. В статье будут рассмотрены способы обхода средств фильтрации и защиты веб-приложений при эксплуатации sql-инъекций.

Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи Методы обхода защитных средств веб-приложений при эксплуатации SQL-инъекций отключены
Апрель 13

Безопасность OAuth в эпоху мобильных приложений, или о чем молчит интернет

image

«В API ВКонтакте для получения ключа доступа используется открытый протокол OAuth 2.0. При этом пользователь не передает логин и пароль приложению, поэтому его аккаунт не может быть скомпрометирован»документация VK API.

«ОАuth — это открытый протокол, предоставляющий простой и безопасный способ авторизации для мобильных, десктопных и веб приложений» — вольный перевод слогана oauth.net.

К сожалению, во многих случаях эти утверждения являются ложными. О том как сделать работу через OAuth более безопасной, как с точки зрения конечного пользователя, так и при реализации собственного OAuth провайдера — читайте под катом. Будут рассмотрены такие аспекты безопасности, которым на текущий момент уделено незаслуженно мало внимания в открытых публикациях.

Материал насыщен специфической терминологией и рассчитан на подготовленного читателя.
Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи Безопасность OAuth в эпоху мобильных приложений, или о чем молчит интернет отключены
Апрель 12

Lazarus вездесущий

Взлом Sony Entertainment, ограбление центробанка Бангладеш и дерзкие атаки на систему SWIFT по всему миру, уничтожение данных южнокорейских медиа- и финансовых компаний. Казалось бы, между этим акциями нет ничего общего. И каждый раз это были одни и те же ребята из группы Lazarus.

Впечатляют и масштаб кампаний, и разнообразие, и объем затрат – только наши исследователи смогли увязать с Lazarus более 150 вредоносных инструментов! Фактически для каждой атаки хакеры писали новые инструменты – от эксплойтов до стирателей. Код был новый, но не полностью, что в конечном итоге их и выдало. Подробный отчет об известной деятельности Lazarus содержит 58 страниц, здесь же я приведу наиболее любопытные моменты.
Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи Lazarus вездесущий отключены
Апрель 12

В канадском аэропорту обнаружили устройства для слежки за смартфонами

Изображение: Jorge Díaz, Flickr

Расследование репортеров Radio-Canada выявило использование в аэропорту Пьер Эллиот Трюдо в Монреале специализированных шпионских устройств (IMSI-catcher). Ранее журналисты нашли такие же устройства в непосредственной близости от канадского парламента и посольств иностранных государств в Оттаве.

Устройства, которые также называют StingRay, выдают себя за базовые станции мобильной связи — смартфоны подключаются к ней, что позволяет злоумышленникам получать данные об уникальных идентификаторах телефонов (IMSI). Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи В канадском аэропорту обнаружили устройства для слежки за смартфонами отключены
Апрель 12

OWASP Top 10 2017 RC

Обновился список Топ-10 уязвимостей от OWASP — наиболее критичных рисков безопасности веб-приложений.
На проект OWASP Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других. OWASP Топ-10 является признанной методологией оценки уязвимостей веб-приложений во всем мире. Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи OWASP Top 10 2017 RC отключены
Апрель 11

[Перевод] Cloud-AI – искусственный интеллект в облаке, нашедший 10 уязвимостей LinkedIn

В 2015 году команда проекта CloudSek задалась целью разработки системы искусственного интеллекта, которая сможет взаимодействовать с интернетом как разумный человек. Первый прототип системы был представлен публике в марте 2016 года на конференции NullCon. С тех пор в проекте было несколько прорывных открытий, о которых мы хотим сегодня рассказать.

Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи [Перевод] Cloud-AI – искусственный интеллект в облаке, нашедший 10 уязвимостей LinkedIn отключены
Апрель 11

Продвинутое туннелирование: атакуем внутренние узлы корпоративной сети


 
В этой статье будет рассмотрены сценарии атаки защищенных сегментов корпоративной сети с помощью pivoting-техник, metasploit framework и proxychains.
Читать дальше →

Раздел: Информационная безопасность | Комментарии к записи Продвинутое туннелирование: атакуем внутренние узлы корпоративной сети отключены