Метка «информационная безопасность» - 2

«Безумный дом» на PHDays: киберугрозы обычной квартиры

2014-06-23 в 11:16, admin, рубрики: PHDays, positive hack days, Блог компании Positive Technologies, информационная безопасность, умный дом, метки: phdays, positive hack days, информационная безопасность, умный дом

Окружающие нас предметы становятся все функциональнее и удобнее. Сегодня интернет есть уже не только в автомобилях, но и в некоторых микроволновках и холодильниках, а по прогнозу аналитической компании Gartner, к 2020 году количество бытовых устройств, подключенных к Сети, превысит 26 млрд при объеме рынка в 300 млрд долларов.

При этом мало кто из пользователей отдает себе отчет в том, что, как и обычные компьютеры с доступом в интернет, гаджеты, образующие так называемый интернет вещей, могут быть атакованы злоумышленниками. Чтобы продемонстрировать возможные последствия такой атаки, организаторы PHDays создали копию реальной квартиры, оборудованной различными электронными приборами и системой «умного дома». По легенде конкурса, из-за сбоя дом «сошел с ума» и стал настоящей ловушкой для своего хозяина, освободить которого и должны были участники соревнования.Читать полностью »

Прослушка украинских мобильников: как это сделано и как защититься

2014-06-20 в 12:11, admin, рубрики: ss7, Блог компании Positive Technologies, информационная безопасность, мобильная связь, прослушка, телеком, телефония, метки: ss7, информационная безопасность, мобильная связь, прослушка, телеком

В лентах новостных сайтов вы уже не раз читали о том, как спецслужбы разных стран отслеживают переговоры и передачу данных обычных граждан. Сейчас набирает обороты новый скандал с прослушкой украинских абонентов, осуществляемой, якобы, с территории России.

Мы периодически писали о том, какие угрозы существуют в мире мобильной связи и сегодня хотим еще раз озвучить один из векторов атак, направленный на мобильных абонентов.

Если коротко, схема такая. Атакующий внедряется в сеть сигнализации SS7, в каналах которой отправляет служебное сообщение Send Routing Info For SM (SRI4SM), указывая в качестве параметра телефонный номер атакуемого абонента А. В ответ домашняя сеть абонента А посылает атакующему некоторую техническую информацию: IMSI (международный идентификатор абонента) и адрес коммутатора MSC, который в настоящий момент обслуживает абонента.

Далее атакующий с помощью сообщения Insert Subscriber Data (ISD) внедряет в базу данных VLR обновленный профиль абонента, изменяя в нем адрес биллинговой системы на адрес своей, псевдобиллинговой системы. Читать полностью »

Оказалось, что Xbox One включается, когда слышит свою рекламу по телевизору

2014-06-16 в 10:13, admin, рубрики: xbox one, голосовое управление, Игровые приставки, интерфейсы, информационная безопасность, метки: xbox one, голосовое управление, информационная безопасность

Понедельник, он же почти как пятница, поэтому он тоже достоин веселых новостей. Итак, игровая приставка Xbox One умеет распознавать голосовые команды (причем настолько хорошо, что в некоторых играх игрока могут оштрафовать за мат, но это другая история). Так вот, если рядом с приставкой произнести «Xbox On», она включится. Очень, надо сказать, удобно.

Оказалось, что Xbox One включается, когда слышит свою рекламу по телевизору

Теперь представьте развитие ситуации: вы смотрите телевизор. Во время рекламной паузы на экране появляется Аарон Пол (актер, игравший в «Во все тяжкие»). И, рекламируя приставку, Аарон показывает, как она включается по команде. Угадайте, что произойдет с вашей домашней консолью, которая в это время спит в пол уха? Правильно, она тут же влючится. И будет периодически пытаться это сделать, когда соответствующая реклама будет звучать по телевизору.Читать полностью »

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

2014-06-04 в 10:19, admin, рубрики: pentestit, Блог компании PentestIT, информационная безопасность, корпоративные лаборатории, Учебный процесс в IT, метки: pentestit, информационная безопасность, корпоративные лаборатории

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что нет.

Для организаций, заинтересованных в профессиональной подготовке сотрудников в области практической безопасности, мы разрабатываем корпоративные лаборатории тестирования на проникновение — эксклюзивная услуга на российском рынке ИБ от компании PentestIT.

Уникальность корпоративных лабораторий:

Корпоративные лаборатории — это целая система подготовки специалистов, включающая:

удобный режим обучения — все занятия проходят удаленно на специализированной интернет-площадке;
уникальные курсы-вебинары, основанные на многолетнем опыте работы сотрудников компании в области ИБ и этичного хакинга;
максимальное взаимодействие с инструктором в режиме онлайн на протяжении всей программы обучения;
эффективную практическую подготовку в лаборатории, структура которой максимально приближена к реальной сети компаний;
современные методы атак и инструменты защиты, эксклюзивные векторы и распространенные уязвимости;
обязательное итоговое тестирование, подтверждающее получение знаний в полном объеме.

Слушатели, прошедшие обучение в лабораториях, готовы в полном объеме подтвердить полученные навыки на практике, что отличает программу обучения в корпоративных лабораториях от стандартных курсов по ИБ.
Читать полностью »

Подмена (встраивание) спам-ссылок на страницы сайта плагинами браузеров, cpatext, Content-Security-Policy

2014-05-31 в 19:51, admin, рубрики: content security policy, kidsreview.ru, Блог компании KidsReview.ru, браузеры, информационная безопасность, плагины, спам, метки: content security policy, http-заголовки, kidsreview.ru, браузеры, информационная безопасность, плагины, спам

В конце января в логах нашей внутренней системы анализа пользовательских кликов на сайте kidsreview.ru появились сотни переходов по странным линкам вида:

compareiseries.in/goto.php?url=aHR0cDovL24uYWN0aW9ucGF5LnJ1L2NsaWNrLzUyZDhmODY2ZmQzZjViMjYxYTAwNDFjNS82OTIzMy81MDI1OS9zdWJhY2NvdW50

Читать полностью »

PHDays IV: Открыта регистрация на онлайн-конкурсы «Конкурентная разведка» и Hash Runner

2014-05-08 в 13:00, admin, рубрики: PHDays, Блог компании Positive Technologies, информационная безопасность, конкурентная разведка, Спортивное программирование, метки: phdays, информационная безопасность, конкурентная разведка

Конкурентная разведка

Со времени проведения последнего конкурса «Конкурентная разведка» многое поменялось в информационном пространстве. Сноуден разоблачил АНБ, и оказалось, что следят за гражданами в интернете не только любопытные домохозяйки, но и профессионалы в дорогих костюмах не без помощи математиков из Массачусетса. Безопасность различных криптографических протоколов, как проприетарных, так и свободных, оказалась совсем не такой высокой, как хотелось бы. Математические алгоритмы для работы с большими данными в облачных решениях позволяют отследить взаимосвязи транзакций казалось бы надежных и анонимных Bitcoin-переводов…

Три победителя — те, кто справится с заданиями лучше и быстрее всех, — получат приглашения на PHDays IV, где мы вручим им ценные призы. Приз за первое место — iPad. Сам конкурс будет проходить за неделю до форума и продлится два дня — 15 и 16 мая.Читать полностью »

Что происходит, где торренты? Куда катится интернет?

2014-04-15 в 19:27, admin, рубрики: Peer-to-Peer, великий российский фаервол, Восстановление данных, информационная безопасность, конфиденциальность, обмен файлами, хранение данных, метки: великий российский фаервол, информационная безопасность, конфиденциальность, обмен файлами, хранение данных

Как то вдруг все удивились почему некоторые торрент-трекеры начали закрываться (например, Проффторрент), а некоторые скрывать/удалять видео например Киношек, Террабитс. Я так понимаю это произошло из-за боязни ответить по закону за нарушение авторского права. В общем, например, кто не успел с торрента скачать образ операционной системы Windows, то там ее Вы уже не скачаете. Да не беда, есть еще Линукс, скажут некоторые программисты, но это уже так скажем «из другой оперы».

И тут подумал, а где бы мог я сохранить свои файлы (типа RePack)? Чтобы надолго и без влезания в мою частную жизнь, так сказать, кого-либо…
Тут же начал перебирать варианты:
Читать полностью »

С конкурсного сервера CloudFlare был успешно украден SSL-ключ

2014-04-12 в 3:44, admin, рубрики: CloudFlare, Heartbleed, mitm, nginx, SSL, асимметричная криптография, информационная безопасность, метки: CloudFlare, Heartbleed, SSL, информационная безопасность

С конкурсного сервера CloudFlare был успешно украден SSL ключ 11 апреля исследователи компании CloudFlare опубликовали в своём блоге статью «Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?», в которой они задались вопросом, возможно ли извлечь приватные ключи, используя нашумевшую уязвимость Heartbleed. Попытка извлечь из оперативной памяти сервера приватный ключ не увенчалась успехом. В итоге исследователи пришли к выводу, что кража SSL-сертификатов с помощью Heartbleed маловероятна:

Мы считаем, что кража приватных ключей на большинстве серверов NGINX по крайней мере крайне затруднительна и, вероятно, невозможна. Мы уверены, что даже при использовании Apache, который, как мы считаем, может быть чуть более уязвимым, и который мы в CloudFlare не используем, вероятность раскрытия SSL-ключей с помощью уязвимости Heartbleed крайне мала. Это одна из немногих хороших новостей за эту неделю.

Ряд интернет-СМИ уже процитировали это исследование (пример) и на его основе уверенно заявили, что кража приватных ключей с помощью Heartbleed невозможна. Как оказалось, исследователи CloudFlare оказались неправы.
Читать полностью »

Национальная платёжная система: что это значит для вас, и когда конкретно паниковать

2014-03-31 в 5:28, admin, рубрики: банки, Блог компании КРОК, защита персональных данных, информационная безопасность, национальная платежная система, метки: nps, банки, защита персональных данных, информационная безопасность, национальная платежная система

Возможно, вы уже слышали про национальную платёжную систему. Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей, которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись. Читать полностью »

Новое на PHDays IV: как взломать Gmail, шпионить через телевизор, подслушать любой телефонный разговор и уронить WordPress

2014-03-19 в 9:06, admin, рубрики: android, PHDays, SmartTV, ss7, wordpress, Блог компании Positive Technologies, информационная безопасность, метки: android, phdays, smarttv, ss7, wordpress, информационная безопасность

Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции. Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV.Читать полностью »

Информация

Статьи из архивов

Обсуждаемое

Рекомендуем

Метка «информационная безопасность» - 2

«Безумный дом» на PHDays: киберугрозы обычной квартиры

Прослушка украинских мобильников: как это сделано и как защититься

Оказалось, что Xbox One включается, когда слышит свою рекламу по телевизору

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

Уникальность корпоративных лабораторий:

Подмена (встраивание) спам-ссылок на страницы сайта плагинами браузеров, cpatext, Content-Security-Policy

PHDays IV: Открыта регистрация на онлайн-конкурсы «Конкурентная разведка» и Hash Runner

Конкурентная разведка

Что происходит, где торренты? Куда катится интернет?

С конкурсного сервера CloudFlare был успешно украден SSL-ключ

Национальная платёжная система: что это значит для вас, и когда конкретно паниковать

Новое на PHDays IV: как взломать Gmail, шпионить через телевизор, подслушать любой телефонный разговор и уронить WordPress

Архив

Информация

Статьи из архивов

Обсуждаемое

Рекомендуем

Метка «информационная безопасность» - 2

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

Уникальность корпоративных лабораторий:

Конкурентная разведка

Новости

Актуальные темы

Архив