Метка «информационная безопасность»

В очередной раз, вспоминая о том, какие прогнозы сбылись в уходящем году, мы задумываемся о том, что ждет нас в следующем. В 2015 г. было очевидно только то, что технологии не показывают никаких признаков замедления в развитии. Распространение систем бесконтактных платежей в общем и Apple Pay в частности, появились первые «умные» часы, а 3D-принтеры стали более доступными для приобретения – вот лишь некоторые из инноваций.

Но также все чаще стали появляться новости про утечки корпоративных данных и взломы компьютеров компаний в различных отраслях… Лидеры бизнеса пришли к единому мнению, что ни одна компания, организация или даже государство не могут быть в полной безопасности, и пользователи проявляют все большую озабоченность в связи с риском потери персональной информации.

Итак, что 2016 г. готовит миру технологий? Я считаю, что особое внимание будет уделяться отдельным пользователям, а не компаниям. Значительные средства были инвестированы в создание технологий, которые открывает новые возможности для бизнеса, но сейчас пришло время сосредоточиться на потребностях обычных пользователей. Новые технологии и программное обеспечение будет только частью общей картины, но они создадут основу для будущих инноваций. Вот, что может нас ждать в 2016 г.: Читать полностью »

Никто не застрахован от кражи смартфонов и другой техники, но сегодня речь пойдет о том, как «угоняют» вашу яблочную технику окончательно и бесповоротно и, возможно, вы сами отдадите в руки злоумышленникам вашу учетную запись, и никто не поможет.

Как «угнать» iPhone, которого у вас уже нет - 1
Читать полностью »

Как только был запущен первый персонифицированный сайт, посвященный только одному конкретному программному решению, и на него пошли посетители – к нам сайта сразу свалилось несколько звонков, притом у нас даже не было необходимости уточнять, откуда пришел клиент, так как они сами при первичном обращении указывали название компании. Что самое забавное, в большинстве случае заказчик искренне считал, что общается напрямую с разработчиком. Справедливости ради необходимо заметить, что в подобных случаях всегда объясняли, что мы только представитель разработчика, а сам вендор конечным пользователям решения не продает, так что проще иметь дело с нами. В девяносто девяти процентах случаев это вообще не вызывало никаких вопросов. Так что результат был полностью достигнут. (Сразу замечу, что нижеследующий эпизод из длиной истории имел место быть в некотором обозримом прошлом.)
Читать полностью »

Обходим идентификацию при анонимных платежах, теперь 90 рублей - 1

По мотивам публикации «Яндекс Деньги: «Дело не в тебе, дело во мне, извини, мы не можем быть вместе»».
Как мы все знаем 16 мая вступил в силу закон выпиливающий ограничивающий анонимные платежи в интернете. Вскоре QIWI и Яндекс.Деньги ввели ограничения на все переводы и платежи для анонимных пользователей.

А ведь иногда бывают нужны действительно анонимные платежные средства. Да, Bitcion подойдет, но как его купить и остаться незамеченным? Об этом и поговорим.
Читать полностью »

Прочитав новость об утечке базы паролей «Яндекса» и официальное заявление «Яндекса» вместе с комментариями, стало понятно, что ситуация запутанная и некоторые думают, что база утекла из самого «Яндекса».

Увидев недоверие пользователей, я решил сопоставить все факты и логически выявить наиболее вероятный вариант появления базы:

1. Брутфорс;
2. Фишинг;
3. Кросс-чек;
4. Утечка с компьютеров пользователей;
5. Утечка из Яндекса;
6. Утечка из спецслужб;
7. База составлена за долгое время из разных источников;
8. Через мобильных операторов (если привязан телефон).
Читать полностью »

И снова курьезы. Как известно, в Бразилии сейчас идет чемпионат мира по футболу. За его безопасность отвечают различные службы, в частности центр мониторинга, занимающийся отслеживанием и обработкой данных с камер наблюдения (к слову, стоивший много миллионов и проектируемый иностранным подрядчиком).

Все бы замечательно, если бы только глава этого центра Луис Краво Дореа, позируя перед местными журналистами, случайно не засветил бы пароль от своей Wi-Fi сети.

Пароль от Wifi сети центра обеспечения безопасности ЧМ 2014 транслировался на экран и попал на фото местной газетыЧитать полностью »

В своём подкасте мы не могли не осветить такое событие, как Positive Hack Days, прошедшее в Москве в конце мая. На нём от лица компании Pentestit с докладом выступал Александр Sinister — гость 8-го выпуска.

Pentestit — компания молодая, даже очень молодая, не имеющая практически аналогов ни в России, ни даже за рубежом. Роман Романов — директор Pentestit — был в гостях подкаста полгода назад в 8-м выпуске вместе с Александром и рассказывал о своих лабораториях. В этот раз Максим Майоровский — руководитель отдела разработки лабораторий на проникновение Pentestit — продолжает рассказ о развитии компании и о том, как они готовили лабу для PHD.

Александр расскажет в подкасте о форуме Positive Hack Days в целом, а также о двух докладах, затрагивающих сети связи.
Один из них, с которым собственно он выступал, посвящен Intercepter-NG — мощному инструменту, позволяющему прослушивать трафик и организовывать атаки MITM в автоматическом режиме. С этим приложением связана одна таинственная история, о которой поведал Александр на PHD и нам в подкасте. Видеозапись презентации можно посмотреть по ссылке.
Второй доклад на довольно животрепещущую тему — атаки на сети мобильных операторов посредством протокола SS7. Такого рода угрозы изучались и проверялись на практике специалистами компании Positive Technologies — Сергеем Пузанковым и Дмитрием Курбатовым.
Злоумышленник, попав в технологическую сеть, может совершить жуткие вещи, начиная от перенаправления SMS и заканчивая прослушиванием звонка из любого конца планеты.
Видеозапись презентации можно посмотреть по ссылке.

В качестве новостей мы предлагаем вам:

  1. Запустили новое зеркало корневого сервера DNS l-root (link)
  2. Cisco приобрела стартап за $175M (link)
  3. Новый стандарт Wi-Fi от Huawei(link)
  4. Comcast открыл внешний доступ к 50 000 клиентских Wi-Fi-маршрутизаторов (link
  5. Обновление старых тем:
    Nokia и SK-Telecom объединили полосы, выделенные под FDD и TDD LTE и достигли скорости 3,78 Гбит/с (link)
    Google провёл успешные испытания предоставления доступа в Интернет с помощью аэростатов (link)

Скачать файл подкаста.

Читать полностью »

Программа профессиональной подготовки в области практической ИБ: Корпоративные лаборатории PentestIT

Программа профессиональной подготовки в области практической ИБ: Корпоративные лаборатории PentestIT

Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что нет.

Для организаций, заинтересованных в профессиональной подготовке сотрудников в области практической безопасности, мы разрабатываем корпоративные лаборатории тестирования на проникновение — эксклюзивная услуга на российском рынке ИБ от компании PentestIT.

Уникальность корпоративных лабораторий:

Корпоративные лаборатории — это целая система подготовки специалистов, включающая:

  • удобный режим обучения — все занятия проходят удаленно на специализированной интернет-площадке;
  • уникальные курсы-вебинары, основанные на многолетнем опыте работы сотрудников компании в области ИБ и этичного хакинга;
  • максимальное взаимодействие с инструктором в режиме онлайн на протяжении всей программы обучения;
  • эффективную практическую подготовку в лаборатории, структура которой максимально приближена к реальной сети компаний;
  • современные методы атак и инструменты защиты, эксклюзивные векторы и распространенные уязвимости;
  • обязательное итоговое тестирование, подтверждающее получение знаний в полном объеме.

Слушатели, прошедшие обучение в лабораториях, готовы в полном объеме подтвердить полученные навыки на практике, что отличает программу обучения в корпоративных лабораториях от стандартных курсов по ИБ.
Читать полностью »

Окружающие нас предметы становятся все функциональнее и удобнее. Сегодня интернет есть уже не только в автомобилях, но и в некоторых микроволновках и холодильниках, а по прогнозу аналитической компании Gartner, к 2020 году количество бытовых устройств, подключенных к Сети, превысит 26 млрд при объеме рынка в 300 млрд долларов.

image

При этом мало кто из пользователей отдает себе отчет в том, что, как и обычные компьютеры с доступом в интернет, гаджеты, образующие так называемый интернет вещей, могут быть атакованы злоумышленниками. Чтобы продемонстрировать возможные последствия такой атаки, организаторы PHDays создали копию реальной квартиры, оборудованной различными электронными приборами и системой «умного дома». По легенде конкурса, из-за сбоя дом «сошел с ума» и стал настоящей ловушкой для своего хозяина, освободить которого и должны были участники соревнования.Читать полностью »

В лентах новостных сайтов вы уже не раз читали о том, как спецслужбы разных стран отслеживают переговоры и передачу данных обычных граждан. Сейчас набирает обороты новый скандал с прослушкой украинских абонентов, осуществляемой, якобы, с территории России.

Мы периодически писали о том, какие угрозы существуют в мире мобильной связи и сегодня хотим еще раз озвучить один из векторов атак, направленный на мобильных абонентов.

Если коротко, схема такая. Атакующий внедряется в сеть сигнализации SS7, в каналах которой отправляет служебное сообщение Send Routing Info For SM (SRI4SM), указывая в качестве параметра телефонный номер атакуемого абонента А. В ответ домашняя сеть абонента А посылает атакующему некоторую техническую информацию: IMSI (международный идентификатор абонента) и адрес коммутатора MSC, который в настоящий момент обслуживает абонента.

image

Далее атакующий с помощью сообщения Insert Subscriber Data (ISD) внедряет в базу данных VLR обновленный профиль абонента, изменяя в нем адрес биллинговой системы на адрес своей, псевдобиллинговой системы. Читать полностью »