Сейчас очень много говорят о методах статистического анализа кода на уязвимости. Мнений об этом явлении очень много: от рьяного отрицания эффективности способа до превознесения результативности до небес. Истина, как водится, где-то посередине. Поэтому давайте попробуем её найти, и заодно составить общее видение того, как должен выглядеть идеальный статический анализатор.
Читать полностью »
Рубрика «информационная безопасность» - 486
Статическое тестирование кода на уязвимости: каким должен быть идеальный анализатор?
2016-08-15 в 15:08, admin, рубрики: информационная безопасность, Тестирование IT-системАнализ трафика Android-приложений: обход certificate pinning без реверс-инжиниринга
2016-08-15 в 13:15, admin, рубрики: android, SSL, информационная безопасностьИногда нужно исследовать работу бэкенда мобильного приложения. Хорошо, если создатели приложения не заморачивались и все запросы уходят по «голому» HTTP. А что, если приложение для запросов использует HTTPS, и отказывается принимать сертификат вашего корневого удостоверяющего центра, который вы заботливо внедрили в хранилище операционной системы? Конечно, можно поискать запросы в декомпилированом приложении или с помощью реверс-инжиниринга вообще отключить применение шифрования, но хотелось бы способ попроще.
Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN
2016-08-15 в 10:30, admin, рубрики: HTTPS, vpn, windows, wpad, защита данных, информационная безопасность, операционные системы, метки: wpadИсследователи рекомендуют срочно отключить протокол WPAD на Windows
Web Proxy Auto-Discovery Protocol (WPAD) — это протокол автоматической настройки прокси, который используется клиентами (браузером) для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. При совершении запроса браузером вызывается функция FindProxyForURL из PAC-файла, куда передается URL и хост. Ожидаемый ответ — список прокси, через которые будет осуществляться выход на этот адрес.
WPAD включен по умолчанию в Windows, поддерживается он и другими операционными системами. Но этот протокол подвержен ряду уязвимостей, что показали специалисты по информационной безопасности Алекс Чапман (Alex Chapman) и Пол Стоун (Paul Stone) на Defcon. Злоумышленники, используя эти уязвимости, могут получить данные жертвы (история поиска, доступы к аккаунтам, фото, документы и т.п.), несмотря на HTTPS или VPS соединения. Тип атаки, который применяется в этом случае — man-in-the-middle.
Читать полностью »
Cистематическая уязвимость сайтов, созданных на CMS 1С-Битрикс
2016-08-15 в 6:27, admin, рубрики: 1С-Битрикс, xss, информационная безопасность, разработка сайтов, создание сайтов, уязвимости и их эксплуатацияНаписать о систематических уязвимостях сайтов, созданных на коммерческих CMS, подтолкнул пост, в котором были описаны риски взлома «защищенных» CMS.
В этой статье основное внимание уделяется компрометации ресурсов по причине «человеческого фактора», а тема эксплуатации уязвимостей сайтов и веб-атак была обойдена предположением существования «неуязвимых» CMS. Предположение о существовании «неуязвимых» CMS, возможно, имеет право на существование, как пример, безопасность готового интернет-магазина «из коробки» на CMS 1C-Битрикс очень высока, и найти более-менее серьезные уязвимости кода «коробочной версии» вряд ли удастся.
Другое дело безопасность конечного продукта, созданного на такой CMS, и самое главное, систематика проявления уязвимостей высокого уровня угроз у этих сайтов. Исходя из нашей практики по обеспечению безопасности сайтов (компания InSafety), а также статистики, которую мы собираем по уязвимостям платформ (CMS), не менее чем у пятидесяти процентов сайтов, созданных на платформе 1С-Битрикс c личными кабинетами пользователей, существует возможность эксплуатации хранимых XSS-атак.
Читать полностью »
ФСБ утвердила порядок получения ключей шифрования от интернет-сервисов
2016-08-14 в 6:12, admin, рубрики: информационная безопасность, ключи шифрования, криптография, магнитный барабан, регулирование интернета, ФСБ, шифрованиеКлючи следует предоставлять в ФСБ на магнитном носителе или по электронной почте
В чёрный день для России 7 июля 2016 года, вместе с подписанием пакета поправок Яровой, президент Путин поручил правительству обратить внимание на применение норм закона «об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети интернет несертифицированных средств кодирования (шифрования)», а также на «разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования».
Читать полностью »
Петиция за отмену пакета Яровой набрала нужное количество голосов + опрос
2016-08-13 в 20:31, admin, рубрики: информационная безопасность, пакет Яровой, метки: пакет яровой
Спустя месяц (и пару дней) петиция за отмену пакета законов Яровой набрала нужное количество голосов на roi.ru
Пакет яровой — набор резонансных законов которые вызвали широкое обусждение в сми и в интернете, одно из ключевх требований данного пакета —
хранение трафика всех пользователей сети в течении долгого времени, причем за деньги провайдера. Читать полностью »
DiskFiltration: необычный способ похищения информации с изолированного HDD
2016-08-13 в 10:39, admin, рубрики: данные, Железо, защита данных, изолированные пк, информационная безопасностьДанные можно считывать, анализируя звуки, издаваемые жестким диском компьютера жертвы
Группа израильских ученых разработала новую технологию похищения данных с ПК, которые изолированы от интернета и локальных сетей с низким уровнем безопасности. Такой способ защиты компьютерных систем называется «воздушным зазором» (air-gap) и заключается в физической изоляции. «Зазором» считаются разного рода криптографические устройства, которые обеспечивают передачу данных по отдельному каналу связи или метод передачи информации на различных накопителях вместо передачи по сети.
Схожие методы ранее уже предлагались экспертами по информационной безопасности. Например, технология AirHopper, предполагает использование FM-модуля мобильного устройства для перехвата и анализа электромагнитного излучения графического адаптера ПК. Даже обычные кулеры могут стать источником утечки данных с ПК (метод Fansmitter). Метод получения закрытой информации, предложенный израильскими специалистами, получил название DiskFiltration.
Читать полностью »
Данные с изолированного компьютера научились передавать по шуму жёсткого диска
2016-08-13 в 10:39, admin, рубрики: данные, Железо, защита данных, изолированные пк, информационная безопасностьЭтот метод позволяет получать информацию небольшого объема. Например, криптографические ключи
Группа израильских ученых разработала новую технологию похищения данных с ПК, которые изолированы от интернета и локальных сетей с низким уровнем безопасности. Такой способ защиты компьютерных систем называется «воздушным зазором» (air-gap) и заключается в физической изоляции. «Зазором» считаются разного рода криптографические устройства, которые обеспечивают передачу данных по отдельному каналу связи или метод передачи информации на различных накопителях вместо передачи по сети.
Схожие методы ранее уже предлагались экспертами по информационной безопасности. Например, технология AirHopper, предполагает использование FM-модуля мобильного устройства для перехвата и анализа электромагнитного излучения графического адаптера ПК. Даже обычные кулеры могут стать источником утечки данных с ПК (метод Fansmitter). Метод получения закрытой информации, предложенный израильскими специалистами, получил название DiskFiltration.
Читать полностью »
Security Week 32: проект Саурон, уязвимость в iOS, червь в PLC
2016-08-12 в 15:49, admin, рубрики: apt, iOS, klsw, plc, projectsauron, rce, siemens, Блог компании «Лаборатория Касперского», информационная безопасность
Между тем уютным секьюрити дайджестам исполнился годик. Как быстро летит время! В выпуске за 32-ю неделю прошлого года я писал о дыре в Android, уязвимости в автомобилях концерна Fiat Chrysler и концепции Do Not Track 2.0. Что изменилось? Недостатка в новостях о безопасности я по-прежнему не испытываю, даже наоборот. Изменения к лучшему есть, но не везде, что как раз можно увидеть на примере этих трех давних сообщений.
Stagefright. С момента обнаружения уязвимости было выявлено еще несколько связанных с обработкой медиа, а недавно к ним добавились серьезные дыры, затрагивающие в основном устройства на платформе Qualcomm. Такая большая работа над ошибками — хороший знак, тем более что в течение года начала решаться проблема доставкой патчей. Не на все устройства, и с переменным успехом у разных вендоров, но положительные сдвиги имеются.
Автобезопасность остается сложной темой. С одной стороны откровений уровня прошлогодней новости о беспроводном взломе авто не появилось, с другой — отсутствие громких разоблачений не говорит о безопасности. Скорее причина в закрытости автоиндустрии по отношению к независимым исследователям. Хорошая история по теме произошла на этой неделе: исследователи из университета Бирмингема раскрыли детали уязвимости штатной противоугонной системы, которая устанавливается на автомобили концерна Volkswagen аж с 1995 года. Перехватывать сигналы с беспроводного брелка такой системы оказалось весьма просто. Важно, что все данные были на руках у исследователей уже в 2013 году, но VW притормозил публикацию отчета судебным иском. Их тоже можно понять, но судя по косвенным данным, об уязвимости сигнализации не знала только общественность, а вот преступники пользуются ей уже давно. В таком раскладе владельцу авто лучше все-таки знать о потенциальной небезопасности штатной системы.
Читать полностью »
Tinkoff скомпрометировал данные о балансе карт своих клиентов
2016-08-11 в 18:09, admin, рубрики: банки, информационная безопасность, уязвимостиНачалось все с того, что в один прекрасный вечер попросил меня друг закинуть ему денег на карточку. Всегда решал такие проблемы либо через интернет-банк, либо через мобильное приложение, но поскольку с недавних пор у них интернет-банк превратился в дикого монстра, на этот раз решил воспользоваться их сервисом card2card.
Заполняю себе спокойно поля, и тут случается неожиданное:
