Рубрика «безопасность» - 22

3D Secure, или что скрывают механизмы безопасности онлайн-платежей

2020-09-04 в 12:28, admin, рубрики: безопасность, информационная безопасность, платежные системы, уязвимости и их эксплуатация

3D Secure, или что скрывают механизмы безопасности онлайн-платежей - 1

Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.

Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.

Читать полностью »

Ввоз немецких урановых хвостов в Россию. Часть 3: Риски и опасности при обращении с ОГФУ

2020-09-02 в 6:33, admin, рубрики: аварии, атомная энергетика, безопасность, Научно-популярное, Росатом, уран, физика, химия, экология

Это третья статья из серии моих публикаций, посвященных проблеме ввоза обедненного гексафторида урана (ОГФУ) из Европы в Россию. Напомню, что осенью прошлого года начались акции протеста против ввоза ОГФУ в Россию, активные выступления Гринпис и других экологических активистов против ввоза в СМИ, Росатом начал ответную разъяснительную кампанию — встречи с экологами, в том числе с участием главы Росатома, техтуры на предприятия, встречи в регионах. Я тоже стал разбираться в проблеме, встречался со специалистами и с активистами, в т.ч. с противниками ввоза, посетил крупнейший завод по обогащению урана в Новоуральске.

В итоге я опубликовал на Хабре две статьи. Первая была посвящена технологиям обогащения урана в России и мире. Вторая — истории контрактов на обогащение урана, экономике вопроса и тому зачем же к нам ввозят ОГФУ. Перед чтением этого поста рекомендую сначала ознакомиться с ними. Следующие части я обещал посвятить вопросам безопасности обращения с ОГФУ и тому что же делают с остающимся после дообогащения в России дважды обедненным ураном. Однако статьи эти немного подзадержались. В дисклеймере под катом я поясню как так получилось и что произошло за это время. Ну и там же — обещанное продолжение темы. Итак, поехали.

Ввоз немецких урановых хвостов в Россию. Часть 3: Риски и опасности при обращении с ОГФУ - 1
Фото крупнейшей аварии при транспортировке ОГФУ. Источник
Читать полностью »

Как использовать простую утилиту для поиска уязвимостей в программном коде

2020-09-01 в 6:00, admin, рубрики: DAST, devops, DevSecOps, Graudit, IAST, SAST, безопасность, Блог компании VDSina.ru — хостинг серверов, информационная безопасность, тестирование, Тестирование веб-сервисов, управление разработкой

Graudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки.

Как использовать простую утилиту для поиска уязвимостей в программном коде - 1
^{Источник: Unsplash (Markus Spiske)}

Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много видов тестирования, каждый из них решает свою задачу. Сегодня я хочу поговорить о поиске проблем безопасности в коде.

Очевидно, что в современных реалиях разработки программного обеспечения важно обеспечить безопасность процессов. В своё время был даже введён специальный термин DevSecOps. Под этим термином понимают ряд процедур, направленных на выявление и устранение уязвимостей в приложении. Существуют специализированные open source решения для проверки уязвимостей в соответствии со стандартами OWASP, которые описывают различные типы и поведение уязвимостей в исходном коде.
Читать полностью »

Зачем Google инвестирует $450 млн в компанию-разработчика систем домашней безопасности ADT

2020-08-22 в 16:55, admin, рубрики: adt, Google, акции, безопасность, Блог компании ITI Capital, умный дом, финансы, финансы в IT

Зачем Google инвестирует $450 млн в компанию-разработчика систем домашней безопасности ADT - 1

В начале августа издание Bloomberg объявило о сделке – входящий в холдинг Alphabet поисковик Google купит 6,6% акций компании ADT за $450 млн. ADT занимается разработкой систем домашней безопасности. Зачем это Google? Разбираемся в нашей новой статье.Читать полностью »

История одного взлома или учитесь на чужих ошибках

2020-08-04 в 8:00, admin, рубрики: антивирусная защита, безопасность, Блог компании VDSina.ru — хостинг серверов, взлом, информационная безопасность, инфраструктура

История одного взлома или учитесь на чужих ошибках - 1

Тут должна быть затёртая цитата из Ницше про силу, но мы не стали её писать.

Однажды это может случится с каждым системным администратором – он придёт утром на работу, станет проверять работу инфраструктуры и обнаружит, что на файловом сервере вместо данных пользователей лежит архив и текстовый файл с требованием выкупа. Что делать, как жить дальше и как предотвратить повтор разбираемся в этой статье.
Читать полностью »

Локальное хранилище или куки? Безопасное хранение JWT на клиенте

2020-08-02 в 13:16, admin, рубрики: безопасность, Блог компании RUVDS.com, информационная безопасность, разработка, Разработка веб-сайтов

JWT (JSON Web Token) — это замечательный стандарт, основанный на формате JSON, позволяющий создавать токены доступа, обычно используемые для аутентификации в клиент-серверных приложениях. При использовании этих токенов возникает вопрос о том, как безопасно хранить их во фронтенд-части приложения. Этот вопрос нужно решить сразу же после того, как токен сгенерирован на сервере и передан клиентской части приложения.

Материал, перевод которого мы сегодня публикуем, посвящён разбору плюсов и минусов использования локального хранилища браузера (localStorage) и куки-файлов для хранения JWT.
Читать полностью »

Прочность «цифровых дверей»

2020-07-23 в 13:06, admin, рубрики: безопасность, Блог компании VDSina.ru — хостинг серверов, взлом, информационная безопасность, Научно-популярное, хакерство, хакеры

В мире интернета, как и в обычной жизни, не всегда открытая дверь означает, что всё, что за ней вынесут, а закрытая не всегда гарантия от спокойствия.

Прочность «цифровых дверей» - 1

Наш сегодняшний рассказ про несколько крупных утечек данных и финансовых краж в истории Всемирного интернета.
Читать полностью »

Как найти скрытую камеру в съемной квартире или номере отеля

2020-07-20 в 15:01, admin, рубрики: безопасность, Блог компании Selectel, видеонаблюдение, гаджеты, информационная безопасность, Компьютерное железо, Лайфхаки для гиков, оборудование, путешествия, шпионские камеры

Airbnb и его аналоги решают множество проблем со съемом жилья. Но такая аренда также включает и некоторые риски. Например, недобропорядочные собственники могут устанавливать скрытые камеры в квартирах, комнатах и домах и не сообщать о съемке своим постояльцам, тем самым нарушая закон.Аналогичным образом поступают и отели, хотя и гораздо реже, чем собственники жилья.

Случаев, когда постояльцы обнаруживают в своих комнатах и номерах скрытые камеры, становится все больше. Согласно результатам исследования, скрытые камеры находит 1 из 10 пользователей Airbnb. Не меньше таких устройств в отелях и хостелах. Представим масштабы проблемы, если учесть, что постояльцы обнаруживают далеко не все камеры, а только те, что установлены небрежно. Как обезопасить себя от шпионажа? Как минимум можно внимательно обследовать помещение, прежде чем поселиться в нем. В статье мы расскажем, что, где и как искать.
Читать полностью »

Реализация ARP-спуфинга на Python

2020-07-18 в 10:44, admin, рубрики: arp-spoofing, netbuster, open source, python, безопасность, информационная безопасность, метки не читают, Сетевые технологии

Введение

В данной статье я бы хотел продемонстрировать то, как можно реализовать собственную программу ARP-спуфинга на Python. Реализаций уже тысячи, но почти все они с использованием библиотеки Scapy и пары методов. Возможно данную библиотеку использовать эффективнее, не спорю, но мне было интересно реализовать самому с помощью сокетов и я бы хотел поведать читателям о том, как это делается.

Предполагается, что Вы уже знакомы с тем, как работает ARP-протокол и его недостатком, если нет, то советую прочитать вот эту статью.

Я не являюсь высококвалифицированным специалистом Информационной Безопасности, поэтому прошу тапками не кидать, а любые неточности оговорить в комментариях.Читать полностью »

Когда дело не только в уязвимости в Kubernetes…

2020-06-26 в 7:36, admin, рубрики: golang, kubernetes, безопасность, Блог компании Флант, информационная безопасность, системное администрирование, уязвимость

Прим. перев.: авторы этой статьи в подробностях рассказывают о том, как им удалось обнаружить уязвимость CVE-2020–8555 в Kubernetes. Хотя изначально она и выглядела не очень опасной, в сочетании с другими факторами её критичность у некоторых облачных провайдеров оказалась максимальной. За проведённую работу специалистов щедро вознаградили сразу несколько организаций.

Когда дело не только в уязвимости в Kubernetes… - 1

Кто мы такие

Мы — два французских исследователя в области безопасности, которые совместно обнаружили уязвимость в Kubernetes. Нас зовут Brice Augras и Christophe Hauquiert, но на многих Bug Bounty-платформах мы известны как Reeverzax и Hach соответственно:

Brice Augras — Groupe Asten Company;
Christophe Hauquiert — архитектор Kubernetes в Nokia.