Рубрика «информационная безопасность» - 566

в 11:11, , рубрики: Git, gitlab, issue, open source, информационная безопасность, Системы управления версиями

При эксплуатации системы GitLab CE на своем предприятии (имеющему большую филиальную структуру), была обнаружена уязвимость, которая может привести к получению полного доступа к аккаунту любого пользователя системы администраторами филиалов предприятия.

Проблема выявлена в подсистеме LDAP-аутентификации пользователей. Дело в том, что основной сущностью, с использованием которой происходит авторизация в GitLab является E-Mail пользователя. Однако при входе пользователей в GitLab с использованием LDAP процесс аутентификации/авторизации происходит следующим образом:

  • Пользователь вводит на странице Sign-In системы свои имя/пароль из службы каталогов LDAP (Active Directory).
  • GitLab, используя введенные данные аккаунта производит аутентификацию пользователя в LDAP.
  • В случае успешной аутентификации GitLab считывает из атрибута MAIL аутентифицированного аккаунта адрес электронной почты и авторизует по нему в GitLab без всяких дополнительных проверок

.
В результате, например, «нехороший» системный администратор «филиала A», может используя свои полномочия, к примеру в Active Directory, создать в своем OU «Филиал А» любого пользователя (например hackuser) и записать в его LDAP-атрибут MAIL адрес электронной почты пользователя любого другого филиала, на который даже не распространяются полномочия этого администратора. После этого «нехороший» администратор «Филиала А» может авторизоваться пользователем hackuser в системе GitLab, при этом в результате авторизации будет получен полный доступ к аккаунту пользователя, имеющего адрес электронной почты установленный «нехорошим» администратором для hackuser.
Читать полностью »

в 8:58, , рубрики: бесплатно, Блог компании Innopolis University, грант, Иннополис, информационная безопасность, Нидерланды, образование, платежные системы, Сетевые технологии, Тестирование IT-систем, метки:

Всем привет! Меня зовут Марат Нигматуллин. Я — студент Университета Иннополис, который готовит специалистов по информационным технологиям. Вуз активно сотрудничает в вузами-партнерами из числа лучших университетов мира с целью адаптации лучших практик. Сейчас я нахожусь как раз в одном из таких — в Университете Амстердама и обучаюсь по программе System and Network Engineering, с будущего учебного года эта программа будет предлагаться уже самим Университетом Иннополис. История, которую я хочу рассказать, достаточно простая, но от этого не менее интересная. Нюансы обучения за рубежом, сходство нидерландского и русского языков, интересные практические задания, университетская комиссия по этике и ещё много других подробностей под катом.
Взлом банковских карт, автомобилей и мессенджеров и др. особенности обучения на лучшей магистратуре Нидерландов - 1
Читать полностью »

в 8:01, , рубрики: SSL, Блог компании 1cloud.ru, Веб-разработка, информационная безопасность

Что веб-разработчикам следует знать о SSL - 1

В нашем блоге на Хабре мы пишем о развитии облачного сервиса 1cloud (по ссылке можно найти список статей о наших разработках). Также мы рассматриваем интересные вопросы, связанные с технологиями для создания ИТ-проектов. Ранее мы уже рассказывали о масштабировании приложений на Ruby, ускорении загрузки страниц и борьбе с DDoS-атаками с помощью NGINX.

Сегодня речь пойдет о еще об одной важной для любого веб-разработчика теме — работе с SSL. Команда проекта CertSimple в своем блоге опубликовала материал с разбором часто встречающихся вопросов по использованию этой технологии. Мы выбрали основные моменты этой статьи.Читать полностью »

в 7:33, , рубрики: 3-D Secure, FULL 3DS, payonline, безопасность, Блог компании PayOnline, Двухступенчатый 3DS, информационная безопасность, конверсия, Минимальный 3DS, настройка протокола, платежные системы, метки: ,

imageРоссийский рынок e-commerce живет в условиях кризиса, сейчас то время, когда одной из ключевых задач для успешного «выживания» является настройка всех «винтиков» механизма вашего сайта. Один из таких «винтиков» — это сервис приема онлайн-платежей на сайте. При правильном подходе он может стать фактором успеха, а при неверном использовании — привести к серьезным проблемам. В данном выпуске, первом из серии «9 секретов онлайн-платежей», содержащей восьмилетний опыт работы команды PayOnline, мы поделимся правилами настройки протокола 3-D Secure для успешной обработке платежей на вашем сайте.

Краткий экскурс в историю вопроса

Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.
Читать полностью »

в 7:29, , рубрики: google drive, Блог компании КиберСофт, защита информации, информационная безопасность, хранение данных, шифрование

Нужно зашифровать важные фотографии и другие документы, поместить их в облако в зашифрованном виде и синхронизировать с другим Android-устройством? Вам кажется, что все это довольно сложно, а работать с зашифрованными данными будет неудобно. Это не так. В этой статье будет показано, как реализовать данный сценарий всего за две минуты.

Шифрование фотографий в Google Диск - 1

Читать полностью »

в 21:34, , рубрики: Tor, анонимность в сети, визуализация данных, информационная безопасность

Работа инфраструктуры Tor: подробная визуализация в проекте TorFlow - 1

Для инструмента, который должен обеспечивать анонимность пользователя в сети, Tor удивительно «прозрачен». Как известно, c помощью Tor пользователи могут сохранять анонимность в интернете при посещении сайтов, ведении блогов, отправке мгновенных и почтовых сообщений, а также при работе с другими приложениями, использующими протокол TCP. Анонимизация трафика обеспечивается за счёт использования распределённой сети серверов — узлов. Технология Tor также обеспечивает защиту от механизмов анализа трафика, которые ставят под угрозу не только приватность в интернете, но также конфиденциальность коммерческих тайн, деловых контактов и тайну связи в целом.

Компания, которая занимается визуализацией данных, сейчас собрала доступную в Сети информацию о размещении узлов Tor, обслуживающих серверах, пропускной способности некоторых сетей и дата-центров, задействованных в системе Tor. Эту информацию визуализировали и представили в доступном для понимания виде.
Читать полностью »

в 18:14, , рубрики: security, windows, Блог компании ESET NOD32, информационная безопасность

Компания анонсировала в своем блоге информацию, согласно которой владельцы компьютеров с микропроцессором современной архитектуры Intel Core Skylake и установленной на них Windows 7 или Windows 8.1 досрочно лишаться возможности получать необходимые обновления. Пользователям таких ОС на микропроцессорах указанной архитектуры предлагается обновиться до Windows 10 в течение 18 месяцев. После июля 2017 г. не перешедшие на эту ОС пользователи будут лишены возможности получать обновления в полном объеме.

Microsoft заставит перейти на Windows 10 владельцев новых микропроцессоров - 1

Microsoft указывает, что устройства на архитектуре Skylake под управлением Windows 10 работают гораздо эффективнее чем указанные версии Windows. Возможно, это стало одной из причин того, что компания досрочно прекратит их поддержку (т. н. best supported Windows experience) и, таким образом, будет стимулировать пользователей к переходу на новую ОС. После июля 2017 г. критические и прочие обновления для Windows 7 и 8.1 на Skylake будут доставляться только в том случае, если компания сможет обеспечить их «полную совместимость и надежность» с другими архитектурами.

Читать полностью »

в 13:40, , рубрики: linux, ботнет, информационная безопасность, Серверное администрирование

Для чистоты эксперимента предлагаю перейти по ссылке и выполнить по указанной инструкции «установку полезных пакетов». Инструкция для владельцев Ubuntu.
По ссылке всего лишь «демонстрация» данного вида атаки, но в любом случае данные действия лучше производить на полигоне виртуалке.
Ниже описание того, что случилось, в том случае, если вы не поленились произвести указанные выше действия.
Читать полностью »

в 22:03, , рубрики: indistinguishability obfuscation, информационная безопасность, криптография, обфускация, обфускация неразличимости

В июле 2013 года мир криптографии взволновали две научные работы. Их опубликовали с разницей в несколько дней в онлайн-архиве, и вместе они описали новый, сильный метод, позволяющий скрывать секреты в компьютерных программах.

Метод назвали «обфускация неразличимости» [indistinguishability obfuscation], или IO. Авторы разрекламировали его как «основное ядро» криптографии – универсальную основу, на которой можно реконструировать такие известные инструменты, как публичные ключи и выборочно безопасные подписи. Также в работах демонстрировался математический аппарат, стоящий за IO.

Исследования привлекли очень много внимания, но за два года работы с ними специалисты встретились с довольно большим количеством практических трудностей, препятствующих внедрению IO. Например, IO слишком медленная. Задержки на обфускацию программ измеряются на современных компьютерах годами. Кроме того, оказалось, что метод не так безопасен математически, как того хотелось бы.

Но за последние несколько месяцев появились работы, в которых демонстрируются очень важные подвижки со времён изначального анонса 2013 года. Некоторые исследователи считают, что рабочую версию системы можно будет сделать лет через десять, или даже раньше. «Сейчас всё выглядит так, будто никаких серьёзных ограничений нет,- говорит Амит Сахай, программист из Калифорнийского университета, соавтор обеих научных работ. – IO – мощная система, и может сделать всё, что нам нужно». Кроме того, исследователи считают, что даже квантовые компьютеры не смогут его взломать.
Читать полностью »

в 12:41, , рубрики: d-link, dual_ec_drbg, hackingteam, internet explorer, juniper, klsw, silverlight, tyupkin, Блог компании «Лаборатория Касперского», бэкдор, информационная безопасность

Security Week 02: уязвимые вебкамеры, продолжение истории с Juniper, Zero-Day в Silverlight и как его нашли - 1На этой неделе одной из самых обсуждаемых новостей стало окончание поддержки Microsoft Internet Explorer 8, 9 и 10. Данные версии браузеров перестанут получать обновления даже в случае обнаружения серьезных уязвимостей. Новость достаточно очевидная, чтобы не тратить на нее много места в дайджесте, но она наводит меня на еще одну мысль. Тем, кто пользуется IE 8, уже давно пора обновиться, и возможно прекращение поддержки их наконец-то подтолкнет к этому шагу. Обновиться достаточно просто, хотя кому-то придется для этого купить новый компьютер, но и это — не большая проблема.

Проблемы начнутся, когда «компьютеров» с аналогичным подходом к разработке и развитию, когда типичный софт и железо устаревают максимум за 2-3 года, будет несколько десятков в каждой отдельно взятой квартире — от счетчика электроэнергии до чайника и электроплиты. Заметный упор в сторону «умных» бытовых приборов на CES (пока в основном довольно странных и безумно дорогих холодильников и стиральных машин) показывает, что это произойдет довольно скоро. В нынешнем виде такие устройства могут работать десятилетиями. А в будущем? Представьте себе экосистему Android, распространенную на утюги и кофемолки. Получатся небезопасные устройства, которые надо обновлять, небезопасные устройства, которые не поддерживаются производителем, небезопасные устройства, о которых даже сам производитель не знает, что они небезопасные.

Какая-то не очень радужная перспектива, но пока я не вижу других вариантов развития. Производителям «умных вещей», увы, придется набить те же шишки на лбу, которые для производителей «больших» операционных систем давно пройденный этап. Все выпуски дайджеста — тут.
Читать полностью »

1...1020...565566567...570580...927
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js