![[recovery mode] Против лома нет приёма: OpenJDK hack vs. Class Encryption](https://www.pvsm.ru/images/-recovery-mode-protiv-loma-net-priyoma-OpenJDK-hack-vs-Class-Encryption.png "[recovery mode] Против лома нет приёма: OpenJDK hack vs. Class Encryption")
Цель этой статьи предостеречь разработчиков от использования обфускаторов с функцией шифрования class-файлов для защиты своих приложений и от бессмысленной траты денег на них.
Вопросы защиты байт-кода от реверс-инжиниринга и обхода этой защиты подробно рассмотрены в фундаментальной работе Дмитрия Лескова — Protect Your Java Code — Through Obfuscators And Beyond.
Механизм шифрования class-файлов предполагает, что содержимое классов хранится в зашифрованном виде, а при старте приложения через специализированный СlassLoader или JVMTI-интерфейс, расшифрованный байт-код грузится в виртуальную машину Java.
Читать полностью »
Рубрика «информационная безопасность» - 923
[recovery mode] Против лома нет приёма: OpenJDK hack vs. Class Encryption
2012-05-31 в 10:46, admin, рубрики: java, obfuscator, информационная безопасность, обфускатор, метки: java, obfuscator, обфускаторЕще раз о безопасности систем ДБО
2012-05-31 в 8:16, admin, рубрики: online hackquest, PHDays, безопасность дбо, Блог компании Positive Technologies, информационная безопасность, метки: ctf, online hackquest, phdays, безопасность дбо 
На форуме по информационной безопасности Positive Hack Days, проходящем в эти дни в техноцентре Digital October, представлена отдельная секция под названием «Как защищают деньги?», в рамках которой ведущие российские и зарубежные эксперты рассматривают проблемы, стоящие перед индустрией банковской безопасности.
Для одного из конкурсов («Большой ку$h») мы с нуля разработали свою собственную систему ДБО, содержащую типичные уязвимости, выявленные экспертами компании Positive Technologies во время работ по анализу защищенности подобных систем.
Читать полностью »
[recovery mode] Банки. Ошибки и уязвимости
2012-05-30 в 14:53, admin, рубрики: xss, банк, информационная безопасность, ошибки, Русский стандарт, метки: xss, банк, ошибки, Русский стандарт Решил ради интереса посветить день обзору сайтов банков.
Первый из таких стал официальный сайт Россельхос Банка (реклама дала о себе знать :) ), следующий Русский стандарт банк, далее Альфа-Банк.
Целью было не взломать или добиться вывода какой-либо секретной информации, а просто проверить на сколько хорошо сделаны официальные сайты банков.
Читать полностью »
[recovery mode] Hack ВУЗа или как я выбирал университет
2012-05-30 в 13:04, admin, рубрики: hack, md5, shell, взлом, вуз, информационная безопасность, метки: hack, MD5, shell, sql-инъекция, взлом, вузТак как я абитуриент в этом году, мне пришлось просмотреть несколько сайтов российских ВУЗов и определиться, куда поступать.
Примечание: ВУЗ, о котором пойдет речь, я упоминать не буду, ибо ошибки пока не устранены, хотя письма администраторам информирующие их об уязвимостях разосланы.
Через некоторое время, когда сайты были осмотрены, тексты с зазываниями по типу «какой у нас классный ВУЗ» прочитаны, и решение было принято, я решил проверить, как у выбранного университета с безопасностью.
Полазив по сайту, получив порцию информации, по разглядывая фотографии, я заметил, что все ссылки имеют одинаковый формат: xxx.ru/?id=46&group=xxxx. По старой привычке подставив кавычку в параметры я ничего толком не обнаружил, новость/статья/контент как выводились, так и выводятся. Никакой SQL инъекции в радиусе сайта не наблюдалось. Очень неплохо.
И тут я уже было хотел покинуть сие чудо дизайнерской мысли, как вдруг мне стало интересно, а что же с другими сайтами университета?
Все ли так хорошо у них? Я предполагал всего-лишь небольшой аудит безопасности, а вышло нечто большее.
Phorm
2012-05-30 в 12:20, admin, рубрики: dpi, Privacy, безопасность, информационная безопасность, метки: dpi, Privacy, безопасность, Мегафонпо следам публикации Мегафон вмешивается в трафик до юзера
В 2008 году компания Phorm UK Inc подписала соглашение об установке своей рекламной системы с тремя крупнейшими ISP в Великобритании — BT, Virgin Media и TalkTalk. Стоимость акций компаний сильно выросла, так как инвесторы предполагали, что Phorm станет главным конкурентом Google. Эти предположения основывались на том, что при помощи технологии Deep Packet Inspection (DPI) Phorm сможет легко перехватывать и анализировать все web-страницы посещаемые пользователями обозначенных провайдеров.
Читать полностью »
Akismet отсеял уже 50 миллиардов спам-комментов в блогах WordPress
2012-05-30 в 9:48, admin, рубрики: akismet, wordpress, информационная безопасность, спам, метки: akismet, wordpress, спам 
Помню, после первой в своей жизни установки WordPress (примерно 2007-й год), мне очень понравилась возможность добавлять разного рода плагины в эту CMS. После того, как сайт на WordPress проиндексировался, через некоторое время начали появляться комментарии, причем несколько странного вида, однотипные, что-то вроде «Пиши еще» и «Автор молодец». Через пару дней я понял, что это спам (совсем зеленый новичок был, да). Сразу же поставил один из рекомендованных плагинов для борьбы со спамом — Akismet. До сих пор я не поменял данный плагин, несмотря на большое количество альтернативных фильтров, появившихся в последнее время. Вчера этот спасательный круг в море спама, если так можно выразиться, отметил своеобразный юбилей: Akismet отсеял 50-миллиардный спам-коммент.
Akismet отсеивает 700 спам-комментариев в секунду на WordPress-блогах
2012-05-30 в 9:48, admin, рубрики: akismet, wordpress, информационная безопасность, спам, метки: akismet, wordpress, спам 
Помню, после первой в своей жизни установки WordPress (примерно 2007-й год), мне очень понравилась возможность добавлять разного рода плагины в эту CMS. После того, как сайт на WordPress проиндексировался, через некоторое время начали появляться комментарии, причем несколько странного вида, однотипные, что-то вроде «Пиши еще» и «Автор молодец». Через пару дней я понял, что это спам (совсем зеленый новичок был, да). Сразу же поставил один из рекомендованных плагинов для борьбы со спамом — Akismet. До сих пор я не поменял данный плагин, несмотря на большое количество альтернативных фильтров, появившихся в последнее время. Вчера этот спасательный круг в море спама, если так можно выразиться, отметил своеобразный юбилей: Akismet отсеял 50-миллиардный спам-коммент.
Верховный суд Британии отклонил апелляцию основателя WikiLeaks
2012-05-30 в 8:59, admin, рубрики: WikiLeaks, ассанж, информационная безопасность, Медиа, метки: WikiLeaks, ассанж 
Апелляция основателя WikiLeaks была отклонена Верховным судом Британии, передает BBC.
Основателя скандального интернет-ресурса WikiLeaks Джулиана Ассанжа экстрадируют в Швецию, где он обвиняется в изнасиловании и сексуальных домогательствах.
Ранее два суда низший инстанции постановили, что основателя WikiLeaks надо выдать шведским властям, которые выписали ордер на его арест, отмечает Local.se.
Теперь у защитников Ассанжа есть 14 дней для оценки судебного решения, в течение которых они должны определиться, есть ли у них основания потребовать нового рассмотрения дела. Юридические возможности для этого все еще остаются.
Сам Ассанж, который уже 540 дней находится в Британии под домашним арестом, намерен подать апелляцию в Европейский суд по правам человека.
Ассанжа экстрадируют в Швецию
2012-05-30 в 8:59, admin, рубрики: WikiLeaks, ассанж, информационная безопасность, Медиа, метки: WikiLeaks, ассанж 
Верховный суд Британии отклонил апелляцию основателя WikiLeaks
Основателя скандального интернет-ресурса WikiLeaks Джулиана Ассанжа экстрадируют в Швецию, где он обвиняется в изнасиловании и сексуальных домогательствах.
Верховный суд Британии отклонил апелляцию Ассанжа, передает BBC.
Ранее два суда низший инстанции постановили, что основателя WikiLeaks надо выдать шведским властям, которые выписали ордер на его арест, отмечает Local.se.
Сам Ассанж, который уже 540 дней находится в Британии под домашним арестом, намерен подать апелляцию в Европейский суд по правам человека.
Читать полностью »
Кто будет зарабатывать на Eye-Tracking завтра?
2012-05-30 в 6:42, admin, рубрики: eyetracking, информационная безопасность, метки: eyetracking, информационная безопасность 
Технология Eye-Tracking позволяет отслеживать положения глаз пользователя на экране компьютера с помощью одной или нескольких камер. Первые упоминания об исследованиях в этом направлении относятся к началу XX века. Исследователи с помощью фотопленки и бликов на глазном яблоке пытались отслеживать направление взгляда. Уже в конце прошлого века подобная технология использовалась в системах наведения боевых самолетов и вертолетов. В настоящее время отслеживание взгляда человека эффективно используется для обеспечения взаимодействия инвалидов с компьютерами, а так же в различных игровых приложениях. Еще с помощью этой технологии проводят исследования юзабилити интерфейсов и эффективность размещения рекламы. Что еще может дать эта технология и кому?
Читать полностью »