Ошибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы.
Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах.
Рубрика «безопасность» - 21
Как потерять аккаунт на Гос. услугах за 5 секунд
2020-12-03 в 13:30, admin, рубрики: безопасность, информационная безопасностьNFC на банкомате: небольшой ликбез
2020-11-27 в 7:04, admin, рубрики: EMV, Near field communication, NFC, банкомат, безопасность, Беспроводные технологии, Блог компании Сбер, информационная безопасность, платежные карты
Люди всё ещё продолжают вставлять карту в банкоматах, несмотря на то, что бесконтактное обслуживание имеет преимущества перед привычным всем способом. Постараюсь кратко рассказать историю вопроса.
В 2017 году мы начали внедрять NFC на банкоматах. Тогда у нас был большой парк банкоматов, на которых нельзя было прикладывать карту. Было принято решение о поддержке единства пользовательских привычек, и мы начали оснащать наш парк банкоматов NFC-модулями. То есть не устанавливать новые банкоматы и постепенно замещать ими старые по мере амортизации, а взяли почти все имеющиеся модели и добавили на них NFC.
С первых дней стало понятно, что пользовательские привычки ломаются долго и нас ещё много лет будет ждать постепенное отвыкание от желания вставлять карту.
Читать полностью »
Ваш компьютер на самом деле не ваш
2020-11-16 в 15:23, admin, рубрики: apple, apple m1, MacOS, безопасность, информационная безопасность, прослушка, телеметрия, трафик, утечка
Перевел статью целиком (дополняя ее по мере расширения оригинальной статьи) только из-за того, что текущий перевод вообще не соответствует уровню статей Хабра.
Мой вариант перевода одобрен Джеффри Пол.
Вот он. Наступил. Получите и распишитесь.
Речь, конечно, идет о мире, предсказанном Ричардом Столлманом в 1997 году. О мире, о котором нас Читать полностью »
Российские хакеры научились воровать телеграм-каналы, защищенные паролем, сразу после того, как пользователи попросили Дурова их защитить
2020-11-11 в 12:32, admin, рубрики: telegram, безопасность, Текучка, метки: безопасность, Текучка, телеграмАдминистратор русскоязычного канала с постами из Reddit потерял к каналу с 235 тысячами подписчиков доступ после того, как установил присланную ему программу. Связавшийся с ним пользователь сказал, что хочет разместить рекламу, и скинул архив с рекламным видео и программой. В переписке он отдельно отметил, что «Читать полностью »
Хакеры украли крупный телеграм-канал, предположительно защищенный двухфакторной авторизацией
2020-11-11 в 12:32, admin, рубрики: telegram, безопасность, Текучка, метки: безопасность, Текучка, телеграмАдминистратор русскоязычного канала с постами из Reddit потерял к каналу с 235 тысячами подписчиков доступ после того, как установил присланную ему программу. Связавшийся с ним пользователь сказал, что хочет разместить рекламу, и скинул архив с рекламным видео и программой. В переписке он отдельно отметил, что «Читать полностью »
Системы защиты Linux
2020-10-18 в 9:12, admin, рубрики: linux, безопасность, безопасность linux, Блог компании RUVDS.com, информационная безопасность, Настройка Linux, системное администрированиеОдна из причин грандиозного успеха Linux ОС на встроенных, мобильных устройствах и серверах состоит в достаточно высокой степени безопасности ядра, сопутствующих служб и приложений. Но если присмотреться внимательно к архитектуре ядра Linux, то нельзя в нем найти квадратик отвечающий за безопасность, как таковую. Где же прячется подсистема безопасности Linux и из чего она состоит?
Предыстория Linux Security Modules и SELinux
Security Enhanced Linux представляет собой набор правил и механизмом доступа, основанный на моделях мандатного и ролевого доступа, для защиты систем Linux от потенциальных угроз и исправления недостатков Discretionary Access Control (DAC) — традиционной системы безопасности Unix. Проект зародился в недрах Агентства Национальной Безопасности США, непосредственно разработкой занимались, в основном, подрядчики Secure Computing Corporation и MITRE, а также ряд исследовательских лабораторий.
Linux Security Modules
Читать полностью »
Взлом ESP32 путём обхода Secure Boot и Flash Encryption (CVE-2020-13629)
2020-10-05 в 13:15, admin, рубрики: esp32, безопасность, Блог компании RUVDS.com, информационная безопасностьМы провели исследование микроконтроллера Espressif ESP32 на предмет устойчивости к атакам, выполняемым методом внесения сбоев в работу чипов (Fault Injection). Мы постепенно шли к тому, чтобы найти уязвимости, которые позволят нам обойти механизмы защищённой загрузки (Secure Boot) и шифрования флеш-памяти (Flash Encryption) посредством всего одного сбоя, вызванного электромагнитным полем. Более того, мы, успешно проведя атаку, не только смогли выполнить произвольный код, но и получили данные флеш-памяти в расшифрованном виде.
Компания Espressif зарегистрировала эту уязвимость в базе данных CVE под кодом CVE-2020-13629. Знакомясь с атакой, описанной в этой статье, учитывайте то, что она применима к чипам ESP32 ревизий 0 и 1. Более новые ESP32 V3 поддерживают функционал отключения загрузчика UART, который использован в этой атаке.
Читать полностью »
А давайте заставим пользователя использовать безопасный пароль
2020-10-01 в 9:15, admin, рубрики: ASCII, безопасность, Блог компании RUVDS.com, вход в систему, информационная безопасность, пароль, пользователи, Серверное администрирование, системное администрирование
Когда-то для защиты пароля было достаточно иметь злую бабушку на входе в машинный зал
Давным давно, во времена ранних мейнфреймов, была отличная двухфакторная аутентификация. Перед тем как ввести свой персональный пароль в терминале было необходимо пройти будку с охранником. Все это автоматически сужало поверхность атаки до нескольких людей, физически имевших доступ к терминалу. Это потом появились модемы, хеширование и прочие радости современного мира, когда пароли регулярно утекают миллионами.
Если у вас есть пользователи и они авторизуются по паролю, я предлагаю еще раз посмотреть на свежие рекомендации от таких организаций как National Institute of Standards and Technologies и National Cyber Security Centre.
В частности, требовать ротации паролей уже не модно. И требовать определенных символов в лучших традициях анекдота про «1ГРЕБАНАЯрозоваяроза» тоже. Давайте пробежимся по основным тезисам и попробуем сделать пользователям удобнее и безопаснее.
Читать полностью »
Безопасник из Петербурга рассказал, как ФСБ расшифровывает переписку в Telegram
2020-09-10 в 9:33, admin, рубрики: telegram, безопасность, Госвеб, Текучка, ФСБ, метки: безопасность, Госвеб, Текучка, телеграм, ФСБУ проекта «Цифровая журналистика» вышло видео с подзаголовком «Компания из Санкт-Петербурга научилась расшифровывать переписку пользователей мессенджера Telegram». В нём Игорь Бедеров, владелец компании «Интернет-розыск», рассказывает, как расшифровывают сообщения российские спецслужбы. Сначала нужно идентифицировать пользователя,Читать полностью »
Безопасность npm-проектов, часть 2
2020-09-10 в 8:01, admin, рубрики: checksum, javascript, Node, node.js, nodejs, npm, npm-audit, pgp, pgp-signature, security, security audit, security reports, безопасность, Блог компании ДомКлик, информационная безопасность, Разработка веб-сайтов
Всем привет! В прошлых постах мы поговорили о том, как команда npm обеспечивает безопасность, а также начали рассматривать инструменты, помогающие нам повысить безопасность проектов. Я хочу продолжить разговор и рассмотреть следующий набор полезных инструментов.