Завершились конкурсы, в которых разыгрывались инвайты на форум Positive Hack Days 2012. Победители получили свои приглашения, и уже совсем скоро мы встретимся с ними на площадке московского техноцентра Digital October. Если вы не успели принять участие в этих соревнованиях или не смогли добиться победы — у вас есть шанс выиграть кучу призов в ходе онлайн-сражений, которые начнутся одновременно со стартом форума (регистрация доступна в личном кабинете пользователя на сайте PHDays). Под катом описание конкурсов и условия участия.Читать полностью »
Рубрика «информационная безопасность» - 925
Началась регистрация на онлайн-конкурсы PHDays 2012
2012-05-28 в 13:03, admin, рубрики: hackquest, PHDays, waf, Блог компании Positive Technologies, информационная безопасность, реверс-инженеринг, метки: hackquest, phdays, waf, реверс-инженерингпограничный контроль биометрических паспортов
2012-05-28 в 12:50, admin, рубрики: идентификация личности, информационная безопасность, обработка изображений, метки: идентификация личностиВ аэропорту Шереметьево опробуют недавно разработанную Российскими специалистами автоматическую систему паспортного контроля на границе.
Как сообщил заместитель руководителя Пограничной службы ФСБ России генерал-полковник Николай Рыбалкин: «одной из особенностей активно вводимых сейчас «биометрических» загранпаспортов является «наличие на электронном носителе цветной фотографии высокого разрешения, которая позволяет проводить автоматическую верификацию владельца документа».
Ой, шеф, а я вас слышу!
2012-05-28 в 10:52, admin, рубрики: информационная безопасность, Песочница, прослушка, метки: информационная безопасность, прослушкаЗаранее хочется отметить. В статью не впихуется и десятой части того, о чем рассказать можно и о чем хочется. Большая часть технических подробностей опущена, чтобы не перегружать читателя. За ними — в соответствующую литературу.
Радиоканал общий для всех, и слушать, что в нем творится, может кто угодно, был бы приемник. Поэтому над безопасностью беспроводных коммуникаций думали сразу. И поэтому для прослушки потребуется затратить большие усилия. В первую очередь задуматься — так ли нужно снимать информацию из радиотракта?
Читать полностью »
Разработка и применение модуля PAM для аутентификации в Astra Linux с использованием Рутокен ЭЦП и Рутокен S
2012-05-28 в 10:35, admin, рубрики: linux, open source, openssl, pam, rsa, Блог компании Компания «Актив», информационная безопасность, рутокен, рутокен эцп, эцп, метки: linux, open source, openssl, pam, rsa, рутокен, рутокен эцп, эцп 
В этой статье мне бы хотелось рассказать о том, как приложения в Linux могут использовать систему Подключаемых Модулей Безопасности (Pluggable Authentication Modules) для прозрачной аутентификации пользователей. Мы немного покопаемся в истории развития механизмов аутентификации в Linux, разберемся с системой настроек PAM и разберем исходный код модуля аутентификации pam_p11, который позволяет проводить аутентификацию пользователей по смарт-картам.
В конце статьи мы рассмотрим на практике настройку и работу модуля аутентификации в сертифицированном по 3 классу защищенности СВТ и 2 уровню контроля отсутствия недекларированных возможностей дистрибутиве Astra Linux для аутентификации по USB-токенам Рутокен ЭЦП и Рутокен S. Учитывая то, что Рутокен S имеет сертификаты ФСТЭК по НДВ 3, а Рутокен ЭЦП по НДВ 4, это решение может применяться в информационных системах, обрабатывающих конфиденциальную информацию, вплоть до информации с грифом «С».
Читать полностью »
.DOC с сюрпризом
2012-05-28 в 9:55, admin, рубрики: информационная безопасность, Песочница, метки: информационная безопасность В современном мире, client side атаки и социальная инженерия занимают верхушку рейтинга целенаправленных атак. Чаще всего жертвами таких атак становятся различные юридические лица, а целью таких атак является корпоративная информация, за которую заказчики готовы выложить хорошую сумму. Каждая уважающая себя компания тратит немалые средства на защиту своей инфраструктуры от несанкционированных проникновений. Но даже если админ параноик, и целыми днями мониторит сеть на наличие подозрительнй активности, это не является панацеей, ведь самым слабым звеном в этой цепочке является офисный планктон
Читать полностью »
Эксплоитация PHP CGI
2012-05-28 в 9:31, admin, рубрики: php, взлом, информационная безопасность, метки: PHP, взломХроника событий:
В ходе конкурса NUllcon CTF который проходил в январе этого года, участниками была обнаружена новая уязвимость в PHP, связанная с работой интерпретатора в режиме CGI. Explot-db пополнился эксплойтом к данной уязвимости 5 мая. Уязвимость позоляет атакующему, выполнить произвольный код на стороне сервера, тем самым получив полный контроль на ним.
Поиск и взлом SIP шлюзов
2012-05-28 в 9:17, admin, рубрики: sip, брутфорс, взлом, информационная безопасность, метки: sip, брутфорс, взлом Со времен введения стандарта SIP (Session Initiation Protocol) разработанногo Хенингом Шулзри и Марком Хэндли в 1996 году, инфраструктура SIP разрослась и опутала весь мир своей сетью. SIP — один из протоколов, лежащих в основе VOIP.
SIP используется для передачи как голоса так и видео. Основные клиенты это физические, юридические лица и корпорации, которые испоьзуют SIP как для звонков по миру так и для внутренней связи. Синхронизация элементов SIP сети происходит на 5060 порту, либо на 5061 с использованием шифрования. SIP хост работает как прокси сервер, он принимает запросы от клиентов, обрабатывает и выполняет соответствующие действия. Для авторизации на SIP сервере используется пара логин/пароль, которые обычно имеют цифровое значение. А сам SIP хост выглядит как IP:5060
Чтобы воспользоватся прелестями этого протокола, вам необходимо обнаружить и хакнуть парочку шлюзов. Для этого вам понадобится пакет SIPVicious и интерпретатор Python. Либо дистрибутив Backrack в котором эти утилиты уже установлены.
Читать полностью »
Использование Sandbox на Mac OS X Server для изоляции пользовательских веб-приложений
2012-05-28 в 5:49, admin, рубрики: mac os x, nginx, ruby, sandbox, thin, информационная безопасность, метки: nginx, ruby, sandbox, thinНебольшое лирическое введение
Появился как-то у меня заказчик, который захотел странного, а именно простой в управлении хостинг, который позволил бы пользователям загружать и изолированно запускать веб-приложения на базе микрофреймворка Camping. И я ему сделал его на предложенном виртуальном сервере под управлением FreeBSD 9.0 с помощью nginx, thin server, и ezjail как средства управления jail'ами (все довольно тривиально, но если будет кому-нибудь интересно — опишу). А через неделю заказчик признался мне, что он вообще-то поклонник решений от Apple и хотел бы видеть ту же систему работающей на его основном сервере под управлением Mac OS X. И я с радостью согласился адаптировать решение, так как раньше не имел удовольствия соприкоснуться с этой системой и хотел ее хоть немного изучить. Было только одно «но» — на MacOS X Server нет jail(8). Так вот, в поисках решения для максимально безопасного запуска загружаемого пользователем приложения (я не мог и не хотел использовать chroot по ряду причин) я нашел чрезвычайно гибкий и прекрасно интегрированный в систему инструмент — Sandbox.
Построение основы для хостинга
Защита ajax-приложения от Cross Site Request атак (CSRF)
2012-05-28 в 5:33, admin, рубрики: ajax, csrf, jquery, php, token, информационная безопасность, метки: ajax, csrf, jquery, PHP, tokenСовсем недавно у меня появилась задача защитить web-приложение полностью построенное на ajax от CSRF-атак.
Каков же механизм такой атаки? Суть заключается в выполнении запроса с другого сайта под авторизационными данными пользователя. Например, у нас есть действие удаления своего аккаунта example.com/login/dropme. Если защиты от CSRF атаки нет, мы можем на нужном нам сайте разместить тег:
<img src="http://example.com/login/dropme">
Сразу после того как пользователь зайдет на приготовленную нами страницу и подгрузит содержимое img, его аккаунт на example.com будет удален. О защите от этого я расскажу под катом.
Хранимая, фрагментированная XSS на ustream.tv
2012-05-27 в 15:18, admin, рубрики: ustream.tv, xss, безопасность, Веб-разработка, информационная безопасность 
XSS (Сross-site scripting) уязвимости увы далеко не редкость и встречаются куда чаще остальных, но интересные случаи связанные с ними можно пересчитать на пальцах двух рук. Я хочу рассказать об одном случае с фрагментированной XSS в теге meta у ресурса ustream.tv и искренне убежден, что это как раз тот самый интересный и далеко не частый случай. Всех кому интересно, прошу под кат;) Читать полностью »