Метка «security»

Microsoft добавит новые меры безопасности UEFI в Windows 10 - 1 В прошлых публикациях, посвященных улучшениям безопасности Windows 10 [1,2,3,4], я неоднократно хвалил Microsoft за эти полезные нововведения. Новые механизмы безопасности помогают более эффективно бороться с эксплойтами. Пока очевидно, что Microsoft все больше делает ставку на новые технологии защиты от эксплойтов, основанные на виртуализации Virtualization Based Security, при этом добавляя более современные метрики безопасности и вынося выполнение критических по безопасности операций в отдельные виртуальные машины с высоким уровнем привилегий.

На сей раз речь пойдет о безопасности прошивок UEFI. Известный гуру внутреннего устройства Windows Alex Ionescu опубликовал у себя в твиттере скриншот дополнительных требований безопасности UEFI, которые должны поддерживаться прошивками начиная с Windows 10 1703. Как известно, эта версия Windows 10 и может получить название очередного существенного обновления Redstone 2.

Читать полностью »

Управление доступом является одной из основных частей безопасности веб-приложения. Контроль доступа гарантирует, что только аутентифицированные и авторизированные лица могут иметь доступ к конфиденциальной информации, и только пользователь с допустимой ролью может выполнять предоставленные ему действия. Формирование ролей призвано определить чёткие и понятные для пользователей информационной системы правила разграничения доступа. Ролевое разделение позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования приложения правила разграничения доступа[1].

Рассмотрим несколько способов реализации системы управления доступом в корпоративном Java-приложении.
Читать полностью »

Недавно возникла необходимость защитить сохранения игроков во избежание накрутки рекордов и игровой валюты. Прошерстив форумы в интернете, я нашел либо платные плагины (хоть цена и была невысокой, внутренний жлоб требовал продолжать поиски), либо «тяжелые» способы защиты — сохранения приходилось часто сверять, из-за этого во время сверки были заметны «тормоза» на компьютере и, уж тем более, на телефоне.

Почитав пару статеек о способах шифрования и испробовав еще столько же в игре, я подумал, что неплохим вариантом является DES Encryption. Сказано — сделано. В итоге сохранения в памяти решил представить следующим образом:

key: md5(key)
value: encrypt(value)

Где в подсчете хэша участвует секретный код, устанавливаемый разработчиком и уникальный идентификатор устройства (на случай переноса сохранений из другого), а значение шифруется через алгоритм DES.
Читать полностью »

Как-то прошло мимо Хабра, но на днях Microsoft добилась судебной блокировки около 20000 субдоменов NoIP. Однако что-то пошло не так и «по-техническим» причинам, предроложительно, заблокировали миллионы пользователей.
Читать полностью »

Добрый день всем,

По работе столкнулся с интересным всплеском сетевой активности в интернете в последние дни. Работаю я в Cisco TAC, поэтому и статья об этом.
А именно кто-то в интернете запустил глобальное сканирование сетевых устройств на предмет лекго-подбираемых доступных для записи snmp community и при успехе стирает с устройств таблицу роутинга.
Очевидно, это ведет к внезапному прекращению корректной работы устройства (чаще всего это пограничные роутеры) и открытию излишнего количества кейсов в техподдержку.
Конечно же Cisco как всегда рекомендует тщательно следить за snmp, особенно за такой частью как имена community доступных для записи, использовать access list'ы и напоминает что community по дизайну это ни что иное как пароль, и он вообще-то должен быть сложным.

Тем не менее в результате этой атаки выявилось несколько поразительных моментов:
— сам по себе вектор атаки направленный на такой участок дает неограниченные возможности по управлению устройствами при очевидной простоте исполнения
— что еще более ее усугубляет — IOS устройства не логируют изменение конфигурации по SNMP, что ведет к совершенно непонятным причинам проблем. Это поведение будет исправлено и по этому поводу уже заведен баг.
Читать полностью »

«ИнфоТеКС Академия» объявляет о запуске конкурса «Прозрачная безопасность» в рамках формата «Соревнование», который направлен на разработку программного кода, осуществляющего механизм модификации (repackage) iOS-приложения и статического контроля кода. Конкурс продлится до 10 ноября, заявки на участие принимаются уже сегодня после регистрации в личном кабинете на сайте проекта.

ИнфоТеКС Академия запускает конкурс «Прозрачная безопасность»
За картинку спасибо AdExchanger!

Многие из нас сегодня пользуются смартфонами и планшетами, ведь это так удобно забронировать отель или билет на самолет через приложение, оплатить мобильный, использовать мобильный онлайн-банкинг или оплачивать кофе. Кстати о кофе! Наверное, многие также слышали об исследовании Даниела Вуда (Daniel Wood) уязвимостей приложения Starbucks для iOS, согласно которому имена пользователей клиентов, адреса электронной почты, пароли и данные о местоположении становятся доступными через специальное программное обеспечение для краш-аналитики в лог-файлах.

Сколько ещё приложений не очевидным образом хранит данные и/или обещает их защиту, которой фактически не оказывается? Мы предлагаем разобраться в этом вопросе подробнее в рамках конкурса.
Читать полностью »

Наверняка все знают, что 8 апреля 2014 Сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.
Подробнее об этой уязвимости уже писали на хабре, а тут мы рассмотрим как обезопасить свой Drupal сайт.
Читать полностью »

В последнее время зачастил в Индию. Видимо, такая карма у моих усов: любят меня индусы, да и мне, в целом, Индия тоже по душе. Сегодня поговорим о том, чем богат мир информационной безопасности этой страны, какие конференции проходят в основных городах, и, по традиции, не обойдемся без маленьких зарисовок из повседневной жизни.

Священная корова, карма и усы: как и почему индусы неравнодушны к ИБ

Читать полностью »

Привет!

Четыре из 13 докладов в программе конференции Mobius, так или иначе, связаны с проблемами безопасности мобильных приложений.

Тема горячая и поэтому мы решили еще более усилить эту тему на конференции!
Мы вынесли некоторые вопросы безопасности, не затрагиваемые в докладах, на обсуждение на круглый стол по защите мобильных приложений

Защита от тёмных искусств, Эпизод I

Читать полностью »

В этой статье я хочу поделиться своим опытом участия в программе поощрения от Yahoo (и не только). Расскажу, какие уязвимости нашёл, на какие трудности напоролся и на сколько щедрым оказалось Yahoo. Жду вас под катом!

Yahoo Bug Bounty
Читать полностью »