Рубрика «информационная безопасность»

Внимание — это фривольный перевод заметки о том, как именно Jonathan Bouman нашёл публичный AWS S3, который использовался на одном из поддоменнов apple.com. Плюс заметка хороша тем, что наглядно демонстрирует пользу от нескольких маленьких утилит в совокупности с терпением.

Unrestricted File Upload at Apple.com - 1
Читать полностью »

В рамках данной статьи мы поговорим о концепции MAST и ее применении в протоколе Биткоин. Мы рассмотрим свойства, которых позволяет добиться MAST, а также пользу от его применения. Статья будет интересна читателям, которые увлекаются протоколом Биткоина и другими инновационными платежными системами. Этой теме также посвящена отдельная лекция в рамках онлайн-курса по Blockchain “MAST в Биткоине”.

Концепция MAST подразумевает использование деревьев Меркла и абстрактных синтаксических деревьев, чтобы задавать условия траты монет на выходах транзакций. Рассмотрим по порядку, как это устроено.
Читать полностью »

image

Атака позволяет злоумышленникам осуществлять любое количество попыток ввода пароля на заблокированном устройстве Apple без риска, что сработает защитный механизм, стирающий все данные.
Читать полностью »

image

В этом году на PHDays впервые проходил конкурс под названием EtherHack. Участники искали уязвимости в смарт-контрактах на скорость. В этой статье мы расскажем вам о заданиях конкурса и возможных способах их решения.Читать полностью »

Всем привет, сегодня я хочу рассказать вам историю о том как я обнаружил уязвимость в ICQ, которая позволяла подключиться абсолютно к любому чату по его chat.agent`y.

Уязвимость была в api.icq.com.
Уязвимым метод: добавление людей в чат.

mchat/AddChat

Читать полностью »

Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.

Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.
Читать полностью »

Разрешаем доступ к веб-серверу только через CloudFlare (iptables) - 1
Cloudflare — отличная штука для защиты сайтов от разных компьютерных жуликов — хацкеров. Однако, если они всё же узнали как-то оригинальный IP веб-сервера, на котором расположен сайт, они как минимум будут пробовать атаковать его по IP, минуя прокси. Можно городить редиректы, слать NGINX-ом ресеты кодом 444 при попытке зайти на несуществующие домены, но самый железный выход из ситуации такой: открыть http/https трафик на сервер только для IP адресов нашей защитной прокси.
Читать полностью »

Продолжаем рассказывать о том, как действовать на каждом этапе внедрения IdM, чтобы система управления правами доступа работала максимально эффективно именно в вашей компании. В предыдущих статьях больше внимания я уделяла тому, что нужно делать самим в своей компании (в дальнейшем также буду это делать). Но в какой-то момент пора «выйти в свет», и сегодня поговорим об этом.

На рынке могу выделить три типа компаний консультанты, интеграторы и вендоры. У каждого своя зона ответственности и компетенции.

К кому из них идти именно вам?

image
Читать полностью »

SSH — очень мощный и гибкий инструмент, но, как показывает практика, не все понимают, как он работает и правильно его используют. Слово Secure входит в аббревиатуру SSH и является одним из ключевых аспектов протокола, но, часто именно безопасности уделяется недостаточное внимание. В этой статье я хочу рассказать о нескольких типичных ошибках при работе с SSH, а также, о моментах, о которых часто забывают.

image

Читать полностью »

При звонке в службу спасения часть времени разговора занимает определение места, куда нужно выехать медикам, пожарным или полиции. Автоматическая отправка геолокационных данных позволит сократить время разговора. В США в скорую звонят 25 миллионов человек в год, а ускорение реакции спасателей на одну минуту может привести к спасению более десяти тысяч жизней за этот период. В выходящей осенью этого года iOS 12 появится функция отправки координат при звонке в 911.

IPhone будет автоматически передавать координаты при звонке в 911 - 1
Читать полностью »