Рубрика «информационная безопасность»

Данный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления МФТИ (ГУ). Полностью учебник доступен на github (см. также draft releases). На хабре я же планирую выкладывать новые «большие» куски, во-первых, чтобы собрать полезные комментарии и замечания, во-вторых, дать сообществу больше обзорного материала по полезным и интересным темам.

Задача распространения ключей является одной из множества задач построения надёжной сети общения многих абонентов. Задача состоит в получении в нужный момент времени двумя легальными абонентами сети секретного сессионного ключа шифрования (и аутентификации сообщений). Хорошим решением данной задачи будем считать такой протокол распространения ключей, который удовлетворяет следующим условиям.

  • В результате работы протокола должен между двумя абонентами должны быть сформирован секретный сессионный ключ.
  • Успешное окончание работы протокола распространение ключей должно означать успешную взаимную аутентификацию абонентов. Не должно быть такого, что протокол успешно завершился с точки зрения одной из сторон, а вторая сторона при этом представлена злоумышленником.
  • К участию в работе протокола должны допускаться только легальные пользователи сети. Внешний пользователь не должен иметь возможность получить общий сессионный ключ с кем-либо из абонентов.
  • Добавление нового абонента в сеть (или исключение из неё) не должно требовать уведомления всех участников сети.

Читать полностью »

В частности, сообщается, что уязвимы следующие версии: 2.7.0 — 2.7.37, 2.8.0 — 2.8.30, 3.2.0 -3.2.13, и 3.3.0 — 3.3.12. Интересный факт: в остальных версиях эти уязвимости также могут присутствовать, но исправлений для них нет (по причине того что исправления есть только в поддерживаемых версиях).

Для исправления уязвимостей необходимо обновиться до версий 2.7.38, 2.8.31, 3.2.14, 3.3.13, 3.4-BETA5, или 4.0-BETA5.

SensioLabs закрыла множественные уязвимости во всех поддерживаемых версиях Symfony - 1

И немного подробнее о самих уязвимостях:
Читать полностью »

Switch PRIMES и его лидер Роб Рой - 1

Исследовательская компания IDC предоставила данные, согласно которым количество дата-центров по всему миру достигло отметки 8 миллионов еще в прошлом 2016 году. Что интересно, спрос на услуги серверных ферм стремительно растет пропорционально увеличению объема данных и мультимедийного контента. Мировые компании-лидеры неустанно продолжают укреплять свои позиции на ЦОД рынке. Компания Switch со штаб-квартирой в Лас-Вегасе, Невада, проектирует, строит и управляет дата-центрами по всему миру. Среди ее клиентов — компании с мировым именем такие как Amazon.com Inc, eBay, PayPal и другие. Только за 2016 год чистая прибыль компании составила 31,4 млн долларов.
Читать полностью »

Сайты фейковых новостей предоставляются в аренду - 1

Новости, которые во множестве публикуются ежедневно — мягко говоря, не всегда правдивы. В некоторых случаях это непроверенная информация, которая может использоваться в качестве инструмента для достижения самых разных целей, политических и коммерческих. Этим инструментом пользуются как отдельные личности, так и крупные корпорации.

Фейковые новости широко используются в качестве политической и идеологической пропаганды, публикуемой для широкого круга читателей. Материалы публикуются на специализированных ресурсах, которых немало. И они, как оказалось, могут даже сдаваться в аренду.
Читать полностью »

Уязвимость в API угрожает сливом конфиденциальных данных Twilio и Amazon S3

Новость на русском, Отчет appthority

Заборы из стеклянных кирпичей, заговор онлайн-переводчиков, удаленный взлом «Боинга» - 1Сложно объяснить, почему разработчики Twilio решили сделать так, чтобы в код приложений, использующих их Rest API и SDK, было необходимо жестко «зашить» учетные данные для доступа к БД. Но сделали они именно так. И это несмотря на то, что собственные политики безопасности Twilio такие фортели запрещают.

API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.
Читать полностью »

Блокчейн на страже малого бизнеса: как защититься от пиратов и производителей контрафакта - 1

У крупных корпораций есть армии юристов и лоббистов, политическое влияние и связи в правоохранительных органах. Они нанимают тысячи сотрудников, занимающихся поиском информации о правонарушениях и их пресечением. А что делать малому бизнесу, не имеющему больших финансовых ресурсов? Как защитить себя? Ответ на эти вопросы дает проект StopTheFakes.io, построивший блокчейн-систему для борьбы с контрафактом в глобальном масштабе.

Читать полностью »

Горбачев звонит Рейгану:
— Примите наши соболезнования по поводу гибели шаттла «Challenger».
— «Challenger» еще не взлетел, пуск через два часа.
— Ах, черт, простите! Проклятая разница во времени. (Анекдот 1986 года)

Вашингтон на горячей связи - 1

Безусловно, гибель шаттла с экипажем на борту не должна быть предметом шуток, даже злых. Анекдот важен в свете статьи, так как противоречит фактам. В 1986 году Горбачев не мог позвонить в Белый дом, ведь телефонная связь была установлена позже. Михаил Сергеевич мог лишь написать об этом по специальному каналу экстренной связи, известному как «горячая линия».
Читать полностью »

От переводчика

В данном исследовании авторы раскрывают интересную технику эксплуатации переполнения памяти кучи. Разумеется, данная уязвимость давно исправлена, но сама представленная техника очень интересна, а процесс переполнения довольно детально расписан.
Если вам интересна информационная безопасность и вы хотели бы понять как происходят переполнения, которые то и дело мелькают в сводках новостей, исследование вам понравится.

Предисловие

В этой статье представлен новый метод эксплуатации переполнения кучи (heap
overflows) в интерпретаторах JavaScript. Вкратце, для получения heap
overflow можно использовать команды JavaScript для обеспечения надежного отображения указателя функции сразу после переполнения буфера. В данном учебном исследовании используется техника для Safari, которую авторы использовали для победы в конкурсе CanSecWest 2008 Pwn2Own.
Читать полностью »

Эксплуатация криптоуязвимости ROCA может быть проще, чем предполагалось - 1

В нашем блоге на Хабре мы уже писали о том, что международная группа ИБ-исследователей обнаружила критическую уязвимость ROCA (Return of Coppersmith’s Attack) в популярной библиотеке шифрования RSA Library v1.02.013 от Infineon. Ошибка CVE-2017-15361 в алгоритме для генерации простых чисел RSA, делает сгенерированные с помощью библиотеки Infineon ключи шифрования подверженными факторизации — это позволяет злоумышленникам раскрывать секретную часть ключа.

И если вскоре после анонса уязвимости исследователи утверждали, что ее использование для массовых атак будет невыгодно злоумышленникам с экономической точки зрения, то теперь другие независимые эксперты Дэниэл Бернштейн (Daniel J. Bernstein) и Таня Лэнж (Tanja Lange) опубликовали детальное исследование, согласно которому, эксплуатация ROCA на практике может оказаться дешевле и проще, чем предполагалось изначально.Читать полностью »

Привет!

Мы тут часто пишем о том, что работа центра мониторинга и противодействия кибератакам невозможна без определенных процессов (мониторинг, реагирование, расследование инцидентов и т.д.) и, конечно, без систем защиты (AV, WAF, IPS и т.д.).

То же самое мы объясняем заказчикам, но они, быстро пересчитывая деньги в кармане, иногда в ответ спрашивают: "А можно нам SOC в базовой комплектации?"

Предлагаем вам представить себя на месте такого заказчика. Под катом 26 аббревиатур и терминов. Проверьте, насколько вы понимаете принципы мониторинга и противодействия кибератакам и выберите всего 5 буквосочетаний, которые смогут надежно защитить компанию.

Внимание! Среди вариантов возможны honeypots.

imageЧитать полностью »