Рубрика «security» - 40

Продолжение первой части:

Во второй части обзора будет приведена информация об SQL Databases, физической безопасности, средствах обеспечения безопасности, которыми может воспользоваться клиент, сертификации платформы и рекомендациях по обеспечению безопасности.

Читать полностью »

Добрый день, уважаемые коллеги.

В этом обзоре я постарался максимально просто рассказать о том, как обеспечиваются различные аспекты безопасности на платформе Windows Azure. Обзор состоит из двух частей. В первой части будет раскрыта основная информация — конфиденциальность, управление личностью, изолированность, шифрование, целостность и доступность на самой платформе Windows Azure. Во второй части обзора будет приведена информация об SQL Databases, физической безопасности, средствах обеспечения безопасности, которыми может воспользоваться клиент, сертификации платформы и рекомендациях по обеспечению безопасности.

Читать полностью »

Ни для кого не секрет что сервера приложений существуют для того чтобы снять некоторую часть работы с разработчика и возложить её на уже готовые механизмы. В частности механизм аутентификации в сервере приложений Glassfish можно организовать с помощью так называемых Security Realms. Существуют несколько встроенных вариантов, такие как аутентификация через СУБД, LDAP, PAM, Certificate и обычное чтение из файла. Однако они могут нас не устроить ввиду своей ограниченности (LDAP, например, может работать только с одним наперед заданным доменом). Поэтому мы и рассмотрим создание собственного security realm’а.
Читать полностью »

Добрый день уважаемое сообщество.

В рамках подготовки к сдаче экзамена SECURE (642-637) хотелось бы поговорить о технологии uRPF (Unicast Reverse Path Forwarding).

Эта технология является средством антиспуфинга (antispoofing) на третьем уровне модели OSI, и используется как одна из технологий при защите data plane. Точнее, она позволяет бороться с подделкой IP адреса отправителя в пакетах, которые приходят на интерфейсы маршрутизатора. Ведь злоумышленник может использовать в отправляемых пакетах «похищенный с другой сети» IP адрес, либо некорректный IP адрес из отведённых для специфического использования диапазонов, например 127.0.0.0/8.

uRPF (антиспуфинг защита data plane)
Читать полностью »

Одна строка HTML кода может удалить данные или перезагрузить телефоны SamsungНа конференции по безопасности продемонстрировали, как одной строкой HTML кода можно удаленно удалить данные с Samsung Galaxy S III. Хуже всего: это, кажется, работает на многих смартфонах Samsung с TouchWiz
Читать полностью »

Потоки в OS X: как получить CPU usage всех потоков в чужой программе?Добрый день, уважаемыее-маководы!

В [Mac] OS X имеется замечательный встроенный инструмент — Activity Monitor, который легко покажет занимаемую процессом память и процессорное время. Что ж, это очень хорошо, но иногда хочется странного. Например, посмотреть, сколько у процесса потоков (threads) и сколько CPU кушает каждый из них. Тут уже Activity Monitor нам никак не может помочь, увы, а файловой системы procfs здесь бывалый линуксоид не найдёт. Придётся решать эту проблему своими силами.

Сегодня я поведаю вам о том, как написать маленькую консольную программку, которая будет на вход принимать PID процесса и на выходе давать информацию о CPU usage каждого потока этой программы (а так же общий usage).

Писать будем на чистом C, у нас будет всего один файл исходников, и я решил не использовать Xcode для такого мелкого проекта, пусть будет обычный Makefile.
Читать полностью »

В последнее время тема Wi-Fi на Хабре набирает популярность, что не может не радовать. Однако некоторые важные аспекты, в частности, безопасность, все еще освещены довольно однобоко, что очень хошоро заметно по комментариям. Пару лет назад сокращенная версия нижеизложенного материала была опубликована в журнале "Компьютерное Обозрение". Думаю, читателям Хабра будет интересно и полезно с ним ознакомиться, тем более в полной и актуализированной версии. В первой статье обсуждаются основные угрозы. Во второй обсудим способы реализации защиты на основе WIPS

Введение

Популярность беспроводных локальных сетей уже прошла стадию взрывного роста и дошла до состояния «привычной всем» технологии. Домашние точки доступа и мини-роутеры Wi-Fi недороги и широкодоступны, хотспоты встречаются достаточно часто, ноутбук без Wi-Fi – анахронизм. Как и множество других инновационных технологий, использование беспроводных сетей влечет не только новые выгоды, но и новые риски. Бум Wi-Fi породил целое новое поколение хакеров, специализирующихся на изобретении всё новых и новых способов взлома беспроводки и атаки пользователей и корпоративной инфраструктуры. Ещё с 2004 года Gartner предупреждали, что безопасность WLAN будет одной из основных проблем – и прогноз оправдывается.

Беспроводная связь и мобильность, которую она дает, интересны и выгодны многим. Однако, до тех пор, пока вопрос беспроводной безопасности остается не до конца ясным, мнения разнятся кардинально: некоторые (например, операторы складов) уже сейчас не боятся завязывать на Wi-Fi свои ключевые бизнес-процессы, другие – наоборот баррикадируются и запрещают использование беспроводных элементов в своих сетях. Кто из них выбрал правильную стратегию? Является запрет Wi-Fi гарантией защиты от беспроводных угроз? И вообще – так ли опасен и ненадежен этот Wi-Fi, как о нем говорят? Ответ далеко не очевиден!

В данной статье мы рассмотрим:

  • в чем заключаются важные особенности беспроводной связи с точки зрения безопасности,
  • почему «неиспользование» или запрет Wi-Fi не спасает от беспроводных угроз,
  • какие новые риски следует рассматривать.

Читать полностью »

image

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах и защите от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.

Место и время проведения: Россия, Москва, 19–20 ноября 2012 года.

Эта конференция – для технических специалистов, администраторов, руководителей и сотрудников службы ИБ, пентестеров, программистов и всех тех, кто интересуется прикладными аспектами отрасли.

Наше мероприятие — уникальное, неповторимое событие в мире ИБ России. Гости со всего мира, технические хакерские доклады и мастер-классы — без воды и рекламы, только технологии, методики, атаки и исследования!

Напоминаем вам, что Call for Papers продлится до 10.10.2012. Уже сейчас мы можем рассказать о некоторых докладчиках:
Читать полностью »

В статье описано установка под Ubuntu. Используется приложение от Google.
Читать полностью »

За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.

Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon. Мы (специалисты исследовательской лаборатории Digital Security) участвовали в обоих мероприятиях: с докладом о SAP на BlackHat и с докладом о VMware на Defcon. Я упоминаю здесь доклад о VMware, так как это выступление подтверждает, что защита SAP-систем заключается не только в безопасности самих приложений SAP, но и остальной инфраструктуры.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js