Хабрахабр: Метки / безопасность http://habrahabr.ru/rss/tag/безопасность/ ru editor@habrahabr.ru habrahabr.ru Sat, 11 Feb 2012 23:27:46 GMT http://habrahabr.ru/ http://habrahabr.ru/i/logo.gif Хабрахабр <![CDATA[Системное администрирование / [Из песочницы] В комнате с белым потолком]]> http://habrahabr.ru/blogs/sysadm/137514/ http://habrahabr.ru/blogs/sysadm/137514/
Однажды я понял, что лучше не будет, это технология. Регулярные чистки не помогают, антивирусы молчат. Пришлось искать другой выход. С год назад выход был установлен и опробован. Тоже, в общем технология, одним действием дело не ограничивается. Но один раз настроив — таки да можно реально расслабиться. Ничего принципиально нового, у меня просто хватило терпения довести дело до конца. Дальше — описание.
Читать дальше →
]]> Thu, 02 Feb 2012 22:19:35 GMT slpdmn безопасностьадминистрирование <![CDATA[Блог компании Paysto / Безопасные платежи с помощью кодов ActivateTo (Часть I)]]> http://habrahabr.ru/company/paysto/blog/137062/ http://habrahabr.ru/company/paysto/blog/137062/ ActivateTo от PaySto.
Читать дальше →
]]> Thu, 26 Jan 2012 12:57:54 GMT paysto ActivateToPayStoплатежибезопасностькод активацииприем платежейгенерация кодаоплатаонлайнИнтернетинтернет-магазинэлектронная коммерция <![CDATA[Информационная безопасность / [Из песочницы] Идеи по увеличению безопасности авторизации]]> http://habrahabr.ru/blogs/infosecurity/136898/ http://habrahabr.ru/blogs/infosecurity/136898/
Постановка задачи:

Необходимо обеспечить безопасную авторизацию для пользователя, однако при этом не заставлять его делать лишние движения либо вычисления. При этом основная задача — не позволить злоумышленнику зайти на сайт под каким-нибудь определенным логином. Так же ставится задача возможности записи какого-нибудь текста, который будет храниться в бд в шифрованном виде, и открыть его нельзя, не зная пароля.

Читать дальше →
]]> Tue, 24 Jan 2012 11:32:19 GMT kahi4 безопасностьшифрование данныхпароль <![CDATA[Веб-разработка / [Из песочницы] Безопасная авторизация]]> http://habrahabr.ru/blogs/webdev/136809/ http://habrahabr.ru/blogs/webdev/136809/
Многие из Вас, кто занимается разработкой веб-сайтов, рано или поздно задумывались над безопасностью данных, которые передает пользователь на сервере, в частности над безопасностью передачи пароля.

Совсем недавно, при выполнении дипломного проекта (кстати на тему «Онлайн система управления обучением»), и я задумался над этим. Мне в голову пришла одна идея по улучшению защищенности пароля при авторизации. Идея не доскональная и продумана не до конца, поэтому я хочу поделиться ею со знающими людьми.
Как я хочу защитить пароль при передаче на сервер?
]]> Mon, 23 Jan 2012 10:56:54 GMT makzimko безопасностьавторизацияphpjavascriptпароль <![CDATA[Обработка изображений / Прототип Lane Departure Warning или как напомнить водителю о том, что жить ему осталось не очень долго]]> http://habrahabr.ru/blogs/image_processing/136294/ http://habrahabr.ru/blogs/image_processing/136294/
Почитал я немного про автовыставку в Детройте, про то, что Lane Departure Warning становится все более и более популярным и решил, что надо бы поделиться своим опытом изготовления прототипа этой системы из нехитрых компонентов в виде веб-камеры, Питона, OpenCV и пары дней усердной медитации:)

Историю создания прототипа можно почитать и посмотреть под катом… (там картинки, много...)
Читать дальше →
]]> Mon, 23 Jan 2012 05:16:59 GMT Akson87 автобезопасностьполосыдвижениетранспортстолкновениякамераобработка изображений <![CDATA[Информационная безопасность / «Не палимся» или конфигурация домашнего сервера анонимизации]]> http://habrahabr.ru/blogs/infosecurity/136699/ http://habrahabr.ru/blogs/infosecurity/136699/ Тем, кто часто пользуется сервисами анонимизации, а так же интересующимся, вероятно будет интересно узнать, как обычный бесхозный домашний нетбук превращается в локальный сервер анонимизации.

Под катом не только инструкции, но и немного моего опыта использования тех или иных систем анонимизации.
Читать дальше →
]]> Sat, 21 Jan 2012 01:10:13 GMT pentarh i2ptorбезопасностьанонимностьopennicnamecoinopenvpnvpnроутер <![CDATA[Блог компании Positive Technologies / HackQuest закончен?! HackQuest продолжается!]]> http://habrahabr.ru/company/pt/blog/135517/ http://habrahabr.ru/company/pt/blog/135517/

Ante Scriptum

До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).
Вступайте и компилируйте!


Scriptum

26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.

Итак, как это было.
]]> Thu, 29 Dec 2011 20:16:41 GMT ptsecurity PHdaysPositive Hack DaysHackQuestCTFинформационная безопасностьвзломреверсингхакерствобезопасность веб-приложенийбезопасность <![CDATA[Информационная безопасность / [Из песочницы] Использование USB ключей YubiKey с двухэтапным алгоритмом аутентификации для доступа к Gmail]]> http://habrahabr.ru/blogs/infosecurity/135506/ http://habrahabr.ru/blogs/infosecurity/135506/
Вам понадобится:
— Аккаунт на Gmail
— Программа YubiTOTP
— Динамическая таблица (или другой метод) для преобразования секретного кода Base32, используемого Google, в шестнадцатеричные данные
— Инструмент персонализации ключей Yubikey
— Yubikey версии 2.2 (или выше) с пустой конфигурацией слота 2

Вышеупомянутое ПО можно найти на сайте TOTP, перейдя по следующей ссылке: yubico.com/totp
Читать дальше →
]]> Thu, 29 Dec 2011 14:52:46 GMT yubico аунтентификацияавторизация доступабезопасностьusb ключизащищенный доступ <![CDATA[Системное администрирование / [Из песочницы] Аутентификация на сетевых устройствах CISCO средствами Active Directory]]> http://habrahabr.ru/blogs/sysadm/135419/ http://habrahabr.ru/blogs/sysadm/135419/ Интеграция CISCO AAA и Microsoft Active Directory
Наверняка многие системные администраторы рано или поздно сталкиваются с проблемой аутентификации на сетевых устройствах. Если руководствоваться best-practices, то учетные записи должны быть персонифицированными, пароли должны отвечать критериям устойчивости, время жизни паролей должно быть ограничено. Также не будем забывать о разграничении уровней доступа в соответствии с выполняемыми задачами и поддержке актуальности базы пользователей, связанной с изменениями в штате сотрудников. При соблюдении этих требований ведении базы пользователей на каждом устройстве становится трудоемкой и нетривиальной задачей, а на практике часто просто игнорируется, администраторы ограничиваются заданием паролей на физическую и виртуальную консоль и заданием пароля суперпользователя (enable). Логичным решением этой проблемы является ведение единой базы пользователей с контролем выдвигаемых к учетным записям требований. Если у нас есть Active Directory, почему бы не использовать его?

image
Рис.1 Топология системы

Читать дальше →
]]> Wed, 28 Dec 2011 11:04:46 GMT ser9ey ciscoaaaADActive DirectoryldapradiusIASmicrosoftwindowssecurityбезопасностьаутентификацияLANWANInternetIntranetrouterswitchcommunicationsтелекоммуникациикомпьютерные сети <![CDATA[Блог компании Positive Technologies / Восстановление пароля – хакеры, welcome!]]> http://habrahabr.ru/company/pt/blog/135056/ http://habrahabr.ru/company/pt/blog/135056/

Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.

Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.

Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.

Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».
Читать дальше →
]]> Wed, 21 Dec 2011 14:29:35 GMT ptsecurity безопасностьсоциальная инженериясоциальные сетиисследованиезащита информацииGooglemail.ruFacebookВконтактеЯндексхакерство <![CDATA[Блог компании Microsoft / Как создавать безопасные системы. Краткое введение в SDL]]> http://habrahabr.ru/company/microsoft/blog/134464/ http://habrahabr.ru/company/microsoft/blog/134464/ При разработке любой программной системы, будь это простой вебсайт, десктоп-приложение или сложный трехзвенный комплекс, рано или поздно возникают вопросы безопасности. Нельзя исключить, что та система, которую вы разрабатываете, будет каким-то образом атакована. Причем, в зависимости от типа системы, ее сложности, применяемых технологических решений, векторы атак и их последствия могут иметь самый разный характер. Возможно, время от времени кто-то в команде проводит анализ безопасности разрабатываемой системы, проводится моделирование. Куда хуже если эти вопросы оставляются на потом. Результаты могут быть весьма плачевными, если вашу систему взламывают в режиме коммерческой эксплуатации и вам приходится впопыхах создавать исправления для обнаруженной бреши. Очевидно, что вопросы, связанные с безопасностью лучше решать, начиная с самых ранних этапов создания системы, таких как анализ требований и архитектурного моделирования. Но лучше всего это делать на всем жизненном цикле системы, интегрировав в процесс разработки специальные шаги, предназначенные для решения этих вопросов. Одним из таких процессов является Security Development Lifecycle – набор практик направленных на повышение безопасности разрабатываемых систем.
Читать дальше →
]]> Mon, 12 Dec 2011 12:11:24 GMT dmandreev sdlбезопасность <![CDATA[Информационная безопасность / MySQL: Взламываем черный ящик]]> http://habrahabr.ru/blogs/infosecurity/134372/ http://habrahabr.ru/blogs/infosecurity/134372/ О чем пойдет речь: забавный и экстравагантный способ «взлома» веб-сайта, у которого «всего-лишь» не экранируются кавычки одного из параметров. При этом пропустим рассуждения о том, почему все не экранируется на стороне самого языка программирования или ORM.

Вводная: веб-сайт, у которого не экранируется один из параметров в простом SELECT запросе. При этом все ошибки перехватываются, обрабатываются и выводится скромное «Нет данных» или «Произошла ошибка».

Казалось бы: не велика беда. Обновление или изменение данных в него втереть, данные наружу не открываются, все сводится к «Извините, нет данных» — черный ящик.

Но, что на самом деле можно сделать в данной ситуации?
Читать дальше →
]]> Sat, 10 Dec 2011 20:27:03 GMT youngest mysqlбезопасностьэкранирование <![CDATA[Информационная безопасность / Уязвимость Skype позволяет определить IP-адрес конкретного пользователя]]> http://habrahabr.ru/blogs/infosecurity/133963/ http://habrahabr.ru/blogs/infosecurity/133963/
Обнаруженная дыра в безопасности Skype позволяет определить IP-адрес пользователя не просто во время звонка, а даже в том случае, если тот не отвечает на вызов и установление связи не происходит.

Автор исследования — профессор информатики Кейт Росс (Keith Ross) политехнического института университета Нью-Йорка — объясняет суть уязвимости в возможности установки прямой связи (P2P) между атакуемыми компьютерами и компьютером хакера, что и позволяет помимо такой информации как Skype ID получить и IP-адрес пользователя.

Для проверки своего наблюдения группа специалистов инициировала около 10 тысяч видеозвонков случайным пользователям Skype, после чего было установлено, что данные о пользователе можно получить даже в том случае, если тот не отвечает на вызов и установление связи не происходит.

Интересным является то, что исследование по безопасности, установившее наличие бреши, было выполнено профессором Россом еще в 2010 году и тогда же о ней была поставлена в известность сама Skype.Тем не менее, говорит профессор, никакого ответа он до сих пор не получил, хотя "… провести выявление IP-адреса абонента Skype может «любой хакер уровня колледжа».

На запрос издания, сообщившего о бреши публично, представитель Skype все-таки пообещал принять меры по поводу проблемы как можно скорее.

[Источник]]]> Sun, 04 Dec 2011 11:06:12 GMT jeston skypeбезопасностьip-адресслежка <![CDATA[Блог компании Яндекс / Предупреждаем о заражении в письменном виде]]> http://habrahabr.ru/company/yandex/blog/133802/ http://habrahabr.ru/company/yandex/blog/133802/
Владельцы сайтов не всегда вовремя узнают о том, что на их сайте размещён вредоносный код. По нашей статистике, в 27% случаев такой код остаётся на сайте более полугода. Из-за этого сайт теряет аудиторию и существенную часть трафика, а компьютеры посетителей — заражаются вирусами.

Яндекс проверяет более 21 миллиона страниц в сутки и ежедневно находит вредоносный код примерно на трёх тысячах сайтов, на которых его раньше не было. Всего в базе Безопасного поиска Яндекса более 430 тысяч заражённых сайтов, 4.4 миллиона страниц. Мы предупреждаем людей об опасных сайтах как в результатах поиска, так и в Опере и Firefox с Яндекс.Баром. Не менее важная задача для нас — помочь вебмастеру как можно скорее удалить со своего сайта вредоносный код и предотвратить повторное заражение.

Адреса доставки уведомлений – указанные в whois или стандартные общепринятые технические адреса (например, webmaster@, admin@, support@). Кроме того, при заражении сайта с доменом третьего или более высокого уровня, уведомление будет отправлено также контактам домена второго уровня. В зависимости от принадлежности домена, уведомления рассылаются на тех языках, которые понятны для получателей.

Каждое письмо содержит ссылку на отписку от уведомлений. В дальнейшем, на уведомления можно подписаться снова — как по специальной ссылке из письма, так и добавив сайт в сервис Яндекс.Вебмастер.

Читать дальше →
]]> Thu, 01 Dec 2011 13:55:59 GMT paperchild безопасностьвирусыяндекс <![CDATA[Информационная безопасность / [Из песочницы] О большой глупости маленьких компаний]]> http://habrahabr.ru/blogs/infosecurity/133547/ http://habrahabr.ru/blogs/infosecurity/133547/ Например с тех.поддержкой которая не знает, как работает поддерживаемый продукт.
Но с таким знакомы все и никого этим не удивишь. Расскажу о совершенно вопиющем случае.

Как я ломал сайты

Оговорюсь сразу: Я знаю о правилах хорошего тона в интернете и о том что нужно сообщать владельцам ресурсов или хостингов о найденных уязвимостях. В данном случае я этого делать НЕ стал, ввиду отсутствия уязвимости и наличия непристойной глупости.

Одним прекрасным утром появилась у меня необходимость проверить, как будет работать сайт одной фирмы на другой площадке, в виду возможного переезда.

Выяснилось, что сайт хостится компанией, которая его и раскручивает. Для управления служит программа DBedit, найти которую на сайте компании оказалось уже проблемой. Успешно справившись я приступил к подключению CMS к сайту. У меня был подробный мануал, созданный для людей совершенно разной компьютерной грамотности. При чтении сего манускрипта у меня и закрались первые сомнения в адекватности компании хостера.
Читать дальше →
]]> Mon, 28 Nov 2011 15:29:27 GMT frutonyanya Хостингбезопасностьпароли <![CDATA[Блог компании Opera Software / Как вернуть свои деньги]]> http://habrahabr.ru/company/opera/blog/133539/ http://habrahabr.ru/company/opera/blog/133539/
Многие уже в курсе, что мошенничество, связанное с распространением «новых» версий Opera Mini или «обновлений» для этого самого популярного в мире мобильного браузера, в последнее время приняло просто неприличные масштабы. Жулики уже перестали бояться, пишут о своих «схемах монетизации трафика» практически в открытую, при этом нередко считают, что занимаются вполне легальным бизнесом. Причины такого роста преступности каждый видит разные: кто-то обижается на компанию Opera (мол — бездействуем), кто-то — на своего оператора, а кто-то просто махнул рукой и посчитал, что сам виноват.
Читать дальше →
]]> Mon, 28 Nov 2011 13:17:54 GMT Shpankov operaminimobileбезопасность <![CDATA[Блог компании ВымпелКом (Билайн) / Ковыряемся в SIM-карте: процессор, память, файловая система + I/O]]> http://habrahabr.ru/company/beeline/blog/133388/ http://habrahabr.ru/company/beeline/blog/133388/

SIM-карта — это та же процессорная кредитка, но в профиль


SIM-карта на самом деле одна из разновидностей более общей сущности – процессорной «умной карты» (Smart Card).


Процессор в теле SIM-карты

Такие «умные карты» могут использоваться в различных целях:
  • Идентификации абонентов мобильной связи.
  • Предоставления доступа к зашифрованному контенту различных платных систем, например, телевидения.
  • Как банковские карты
  • Для идентификация пользователя, которому предоставляется доступ к корпоративным сетям и т.п.
Читать дальше →
]]> Fri, 25 Nov 2011 12:21:38 GMT Serviceman SIMсим-картамобильная связьбезопасностьсотовый телефонустройствоанализ протоколов обмена <![CDATA[Информационная безопасность / Сказ о том как вредно может быть ставить компоненты из коробки]]> http://habrahabr.ru/blogs/infosecurity/133345/ http://habrahabr.ru/blogs/infosecurity/133345/
Собственно сам продукт ничем по себе не интересен и полезен только администраторам сайта, т.к. позволяет редактировать наглядно страницы на сайте. Но меня он заинтересовал с точки зрения — на сколько безопасно его внедрение в CMS, особенно в связи с тем что он обладает набором функционала по UPLOAD'у картинок на сайты.

И о чудо, разработчики CMS на ровном месте совершили сразу несколько критических ошибок, сразу предоставив доступ к выполнению исходного кода на сайте!

Итак, что они же натворили?
Читать дальше →
]]> Thu, 24 Nov 2011 19:41:27 GMT cat_crash fckeditorбезопасностьдыраepic fail <![CDATA[Информационная безопасность / Злоумышленники получили удаленный контроль над системой водоочистки одной из водоочистных станций США]]> http://habrahabr.ru/blogs/infosecurity/132888/ http://habrahabr.ru/blogs/infosecurity/132888/
Читать дальше →
]]> Fri, 18 Nov 2011 08:16:50 GMT marks взломбезопасностьСША <![CDATA[Информационная безопасность / Steam взломан]]> http://habrahabr.ru/blogs/infosecurity/132384/ http://habrahabr.ru/blogs/infosecurity/132384/ вся база данных пользователей steam, включая все личные данные.
Официальное обращение от Valve:
Читать дальше →
]]> Fri, 11 Nov 2011 00:41:46 GMT splatt steamвзломбезопасностьатака