Рубрика «безопасность» - 135

в 14:41, , рубрики: android, Android OS, безопасность, информационная безопасность, Разработка под android, метки: ,

Вступление

После небольшого перерыва я продолжаю объяснять базовые принципы как обеспечивается безопасность в операционной системе Android. Сегодня я начну описывать безопасность на уровне Application Framework. Но чтобы понять данную тему, вначале необходимо рассмотреть как в Android реализован механизм межпроцессного взаимодействия (Inter-Process Communication (IPC)). Этот механизм называется Binder IPC, и сегодня мы будем рассматривать его особенности. Все, кому интересно, добро пожаловать!
Читать полностью »

в 12:43, , рубрики: безопасность, взлом, Вирусы (и антивирусы), информационная безопасность, фейл, форум, метки: , , , ,

Форум avast! подвергся взломуКак сообщается в блоге avast!, их форум подвергся взлому.
Злоумышленникам стали доступны имена пользователей, электронные адреса, логины и пароли (в зашифрованном виде). Атака затронула только форум поддержки, лицензии и финансовые данные не были затронуты.
Читать полностью »

в 6:49, , рубрики: безопасность, ИБ, информационная безопасность, метки: ,

Здравствуйте уважаемые читатели, недавно думал на тему применимости различных услуг в области ИБ и вот что получилось.

В настоящее время многие разработчики предлагают централизованные решения по контролю состояния информационной безопасности и выявлению вредоносной (хакерской) активности в информационных системах компаний и организаций следующего характера:

  • у потребителя услуги устанавливается устройства, выступающее в роли агента, собирающего информацию обо всех событиях в информационной системе (полностью или выборочно, зависит от решения) компании, по мере необходимости устройства могут быть дополнены программными агентами устанавливающимися непосредственно на компоненты ИТ-инфраструктуры;
  • полученная информация передается на сервера компании, предоставляющей услугу;
  • на серверах компании, используя базу знаний организации и опыт ее специалистов, из всего объема информации выделяется вредоносная (хакерская) активность, а так же события, которые могут вызвать негативные последствия для компании потребителя услуги, затем производится разбор этих инцидентов;
  • потребителю в реальном времени оказываются услуги по ликвидации последствий или противодействию выявленным угрозам.

Подобного рода продукты имеются у Cisco (Sourcefire), Check Point, Palo Alto Networks и Symantec.
Читать полностью »

в 5:33, , рубрики: Heartbleed, безопасность, информационная безопасность, Серверное администрирование, Сетевые технологии, уязвимости
Статус «Кровоточащего сердца»: обновление до «Разбитого»

Для сведения: Во многих упоминаниях данной статьи авторы ошибочно называют меня сотрудником Opera Software. На самом деле я ушёл из Opera больше года назад и сегодня работаю в новой компании — Vivaldi Technologies AS

Предыстория

Как я уже рассказывал в моей предыдущей статье, несколько недель назад в библиотеке OpenSSL была обнаружена уязвимость (CVE-2014-0160), получившая громкое название "Heartbleed". Данная уязвимость позволяла злоумышленникам добывать такую важную информацию, как, например, пользовательские пароли или закрытые ключи шифрования сайтов, проникая на уязвимые «защищённые» веб-серверы (поясняющий комикс).

В результате, все затронутые данной напастью веб-сайты должны были пропатчить свои серверы, а также выполнить другие действия, чтобы обезопасить своих пользователей. Стоит отметить, что уровень опасности значительно возрос после того, как информация об уязвимости разлетелась по сети (было зафиксировано несколько серьёзных происшествий и как минимум один человек, пытавшийся использовать Heartbleed в корыстных целях, оказался под арестом).
Читать полностью »

в 19:04, , рубрики: Heartbleed, openssl, анб, банковские карты, безопасность, информационная безопасность, паранойя, платежный шлюз, уязвимости, шапочка из фольги, метки: , , , , , , , ,

imageМногие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Об одном из таких я и расскажу.Читать полностью »

в 8:15, , рубрики: authentication, azure, cloud, windows azure, безопасность, Блог компании Microsoft, информационная безопасность, метки: , , ,

В систему безопасности Microsoft (тогда еще Windows) Azure недавно была внедрена новая функциональность – мультифакторная проверка подлинности. МПП, понятное дело, нужна для того, чтобы выстроить дополнительный контур защиты вокруг учетной записи либо облачных сервисов как Microsoft, так и решений сторонних компаний или приложений и сервисов, которые используют в качестве системы аутентификации сервис Microsoft Azure Active Directory. Можно защищать и локальную инфраструктуру – например, наш Multifactor Authentication Server можно интегрировать в контур RADIUS. Интересно? Под катом – описание решения ситуации, когда нам нужно защитить доступ в подписку Azure не только логином и паролем, и немного про то, куда идти за более сложными вещами.
Читать полностью »

в 14:24, , рубрики: безопасность, информационная безопасность, криптография, шифрование, Энигма, метки: , ,

        В данном сообществе я нашел много статей про известную шифровальную машинку «Enigma», но нигде из них не описывался подробный алгоритм ее работы. Наверняка многие скажут, что это не нуждается в афишировании, — я же надеюсь, что кому-нибудь да будет полезно об этом узнать. Читать полностью »

в 7:26, , рубрики: Алгоритмы, безопасность, информационная безопасность, криптоанализ, криптография, метки: , , , ,

Первую статью на хабр хотел написать совершенно о другом, но в один прекрасный день коллега по работе решил заморочиться и сделать защиту от «Атаки по времени» (Timing attack). Не долго разбираясь в различных материалах на эту тему, Я загорелся и решил написать свой велосипед и покататься на нем по лаборатории поэкспериментировать.

Атаки по времени — сказка или реальная угроза?

Результат этого небольшого эксперимента под катом.
Читать полностью »

в 11:13, , рубрики: jabber, xmpp, безопасность, информационная безопасность, метки: , ,

19 мая 2014 года состоится полный переход сети Jabber на полное шифрование. Шифроваться будет как соединение от клиента к серверу (C2S), так и между серверами (S2S). Об этом договорились представители крупнейших джаббер-серверов и участники XSF – XMPP Standards Foundation. Теперь использование Jabber будет на 99% безопасным для конечного пользователя

Понимая современные проблемы безопасности и приватности, сеть Jabber переключается на полностью защищённый режим работы. Договорённость зафиксирована в Манифесте о безопасности XMPP-протокола, расположенном на Github:
«Мир меняется, интернет меняется. И с каждым месяцем, годом люди все больше и больше задумываются о приватности информации, передаваемой ими в сеть. Никто не хочет, чтобы его переписка с другомлюбимымколлегойработодателем была прочтена кем-либо другим.
Протокол XMPP поддерживает шифрование by design, как на уровне большинства клиентов так и на уровне практически всех реализаций сервера, но далеко не все пользователи осведомлены об этом, и далеко не все администраторы корректно сконфигурировали программное обеспечение сервера. Данный манифест фактически призван формально укрепить шифрование в сети XMPP, объединив операторов серверов, которые хотят обеспечить приватность и безопасность для своих пользователей. Так же он подразумевает информирование пользователей о шифровании данных, о настройке их программного обеспечения».

Jabber Logo Сеть Jabber – это множество серверов в интернете, работающих по протоколу XMPP и поддерживающих межсерверное общение между собой. Любой пользователь одного сервера может написать пользователю на любом сервере.
XMPP Logo Протокол XMPP – открытый свободный протокол для передачи данных (сообщения, звук, видео и прочие), который может использоваться как в публичной сети (Jabber), так и в локальной сети (интранет, локальные чаты предприятий, провайдеров и т.д), а также в проприетарных сервисах (WhatsApp, Facebook, Одноклассники)

В субботу, 22 марта 2014 — пройдёт третий тестовый день. На один день многие сервера перейдут на полное шифрование, а связь с серверами, которые не поддерживают шифрование, будет отключена. В частности, будет потеряна связь с Gmail, который не поддерживает межсерверное шифрование. Это предпоследний шанс проверить готовность джаббер-серверов (перед окончательным переходом будет ещё один), а в русскоговорящей среде об этом никто и в ус не дует.
Сколько таких серверов? Как подготовиться к переходу на полное шифрование юзеру, а как — админу? Мне нужно многое вам рассказать. Под катом ответы на эти вопросы и следствия:.
Читать полностью »

в 11:49, , рубрики: badoo, LoveQA, qa, безопасность, Блог компании Badoo, нагрузочное тестирование, тестирование, тестировщики, Учебный процесс в IT, метки: , , , , ,

С радостью делимся второй частью докладов с конференции для тестировщиков LoveQA, которую мы проводили в середине февраля. Первую часть докладов можно посмотреть по ССЫЛКЕ.

Доклады

«Selenium тесты. От RC и одного пользователя к WebDriver, Page Object и пулу пользователей».
Виталий Котов, Badoo.

«Как мы разгоняли тесты — от баш-скриптов до облака».
Илья Relz Кудинов, Badoo.

Читать полностью »

1...1020...134135136...140150...159
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js