Привет! В этой статье я хочу рассказать о системе антиспама в Почте Mail.Ru и опыте работы с Tarantool в рамках этого проекта: в каких задачах мы используем эту СУБД, с какими трудностями и особенностями ее интеграции столкнулись, на какие грабли наступали, как набивали шишки и в итоге познали дзен.
Читать полностью »
— А не западло ли вам там в банке отвечать на анонимные вопросы?
— Нет, Владимир Петрович, не западло.
Один из крупнейших коммерческих банков Беларуси Приорбанк, входящий в австрийскую группу «Райффайзен», использует голосовые эталоны (или, как ещё говорят, голосовые «отпечатки») клиентов для подтверждения их личности при обращении по телефону. Это пока только второй случай на территории России и СНГ, когда банк официально заявил о факте использования такой технологии.
Про саму голосовую биометрию мы уже рассказывали (возможность «узнавания» и определения личности звонящего, например в контакт-центр абонента, даже если он использует другой телефон или представляется кем-то другим — это актуально для антифрода). Расскажу о том, какие особенности есть во внедрении голосовой биометрии на примере Приорбанка.Читать полностью »
Исследователями безопасности MY123 и Slipstream был найдена уязвимость в реализации механизма Secure Boot многих устройств, позволяющая полностью обойти требование наличия надлежащим образом подписанного исполняемого кода для запуска на этих устройствах. Это, в частности, означает, что владельцы планшетов с Windows RT смогут вновь получат возможность устанавливать альтернативную операционную систему. Но так же это означает, что и головной боли у системных администраторов прибавится, ведь уязвимость открывает новые возможности для установки руткитов.
Энтузиасты разместили подробную информацию на специальной страничке, оформленной в стиле демо-сцены.
QR-аутентификация не так безопасна, как принято считать
Мохамед Басет (Mohamed Baset) — специалист по информационной безопасности, разработавший метод атаки на пользователей интернет-мессенджеров. Метод этот основан на использовании QR-кодов. Сейчас QR-коды используются для аутентификации во многих приложениях, включая WeChat, Line и WhatsApp. SQRL (Secure QR Logins) считался вполне безопасным методом, но похоже, что это не так.
Метод, показанный Басетом, включает в себя как технологии, как и социальную инженерию. Такие гибридные методы атаки применяются злоумышленниками довольно часто. Для того, чтобы атаковать пользователя интернет-мессенджера, злоумышленник должен каким-либо образом заставить жертву просканировать специальный QR-код. Легче всего здесь использовать фишинг.
Читать полностью »
Google продолжает подталкивать технологию Flash (точнее, Flash Player) к могиле. Сейчас компания объявила об очередных шагах на этом пути.
С сентября 2016 года Chrome начнёт блокировать абсолютно любой контент Flash, в том числе размером 5×5 и менее или неопределённого размера, для которого сейчас установлены исключения при блокировке. По оценке Google, таким образом в фоне, часто незаметно для пользователей, загружается более 90% всего Flash-контента в интернете. Блокировать его начнёт браузер Chrome 53 (сейчас он в бета-версии).
Читать полностью »
В соответствии с пакетом поправок в законодательство Яровой, с 1 июля 2018 г. российские операторы связи и интернет-провайдеры будут обязаны до полугода (точный срок позже назовёт правительство) хранить весь трафик пользователей и три года хранить метаданные.
До вступления новых правил осталось ещё два года, но организации уже начали делить многомиллиардный рынок оборудования. По поручению президента, оборудование должно быть по возможности отечественного производства. Для поставки такого оборудования требуется специальная лицензия. Реестр лицензий на осуществление «деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации» ведёт ФСБ, но список лицензиатов получить не удалось.
Сейчас каждый оператор покупает оборудование для СОРМ (система оперативно-розыскных мероприятий) у «правильной» компании, которую ему называют в региональном управлении ФСБ. Любой интернет-провайдер обязан закупить оборудование в трёхмесячный срок после получения лицензии, иначе ему не подпишут бумаги на сдачу узла связи в эксплуатацию.
Читать полностью »
Встроенная защита в играх создавала проблемы пиратам последние полтора десятка лет. Из года в год производители и специалисты в области безопасности ПО создавали встроенную DRM-защиту от запуска без лицензионного ключа. Особенно актуально это для игр, делающих упор на одиночный режим.
Сейчас, в эпоху широкополосного интернета и доминирования сетевого жанра над single player-тайтлами, наличие защиты для разработчиков и издателей (особенно для издателей) было как никогда важно.
Последние громкие тайтлы, такие как Tomb Rider о новых похождениях Лары Крофт и DOOM от Bethesda, были оснащены именно защитой Denuvo.
Читать полностью »
Наверняка каждый из вас, кто сталкивался с сетью TOR, слышал о The Hidden Wiki. The Hidden Wiki — это основной каталог ресурсов .onion в самых разных областях. Что важно отмечено создателями — размещаемые ссылки в каталоге не проходят никакой цензуры, однако на самом деле это не так, но об этом позже. Многие, кто впервые начинают пользоваться сетью TOR, изначально обращаются к Hidden Wiki и начинают изучение сети Onion именно отсюда. В этой статье я расскажу, как Hidden Wiki обманывает пользователей и монетизирует весь свой трафик.
Читать полностью »
Пшемек Ярошевски демонстрирует QR-код, позволяющий ему получить доступ в VIP-зал аэропорта
Глава польского подразделения «Компьютерной группы реагирования на чрезвычайные ситуации» (computer emergency response team, CERT) Пшемек Ярошевски (Przemek Jaroszewski) очень часто отправляется в международные командировки. Обычно он летает самолетом, в среднем 50 — 80 раз в год. С такой частотой перелетов авиакомпании предоставляют клиенту множество бонусов, включая доступ в VIP-залы. Ярошевски по душе зал Turkish Airlines, где можно посмотреть кино, опробовать турецкую выпечку и даже получить сеанс бесплатного массажа.
В одном из полетов статус вип-клиента не был распознан системой при сканировании посадочного талона поляка. Ярошевски решил проблему, используя свои навыки специалиста по информационной безопасности. Он научился составлять для системы аэропорта QR-код, позволявший ему получить статус вип-клиента практически в любом из аэропортов Европы.
Читать полностью »
Так как системы дистанционного банковского обслуживания (ДБО) представляют собой общедоступные веб- и мобильные приложения, для них характерны все уязвимости, известные в сфере безопасности приложений, а также угрозы, связанные со спецификой банковской сферы: хищение денежных средств, несанкционированный доступ к данным платежных карт, персональным данным и банковской тайне, отказ в обслуживании и другие угрозы, реализация которых может привести к существенным финансовым и репутационным потерям.
Данный отчет содержит статистику, собранную в ходе работ по анализу защищенности систем ДБО, проведенных специалистами компании Positive Technologies в 2015 году, а также сравнение с результатами исследований прошлых лет.Читать полностью »
