Системное администрирование → В комнате с белым потолком из песочницы
С вирусами стало сложно. С эксплойтами сложно. Антивиры помогают конечно, но машину грузят, да и надежность срабатывания не позволяет расслабиться. Но это еще ладно, вирусы это внешние факторы. А сама операционка? Раздел winsxs почистить невозможно (я нашел всего одну полурабочую тулзу) растет он по 1 гигу в месяц и размер его ввиду сплошных ссылок — сплошное же вранье. Реестр полон грязи от всевозможных левых, полулевых и очень даже правых программ. И качественно зачистить его тоже никто не может.
Однажды я понял, что лучше не будет, это технология. Регулярные чистки не помогают, антивирусы молчат. Пришлось искать другой выход. С год назад выход был установлен и опробован. Тоже, в общем технология, одним действием дело не ограничивается. Но один раз настроив — таки да можно реально расслабиться. Ничего принципиально нового, у меня просто хватило терпения довести дело до конца. Дальше — описание.
Однажды я понял, что лучше не будет, это технология. Регулярные чистки не помогают, антивирусы молчат. Пришлось искать другой выход. С год назад выход был установлен и опробован. Тоже, в общем технология, одним действием дело не ограничивается. Но один раз настроив — таки да можно реально расслабиться. Ничего принципиально нового, у меня просто хватило терпения довести дело до конца. Дальше — описание.
Блог компании Paysto → Безопасные платежи с помощью кодов ActivateTo (Часть I)
Онлайновая продажа товаров и удаленная работа, когда заказчик и исполнитель не встречаются лично, подразумевают некий риск. Даже при условии, что оплата произведена и продукт отправлен потребителю, средства или важные конфиденциальные данные могут перехватить или просто похитить с помощью фишинга, кардинга или фрода онлайновые мошенники. Безопасные и гарантированные платежи в закрытой среде необходимы, и в этом предпринимателям и потребителям их продуктов поможет услуга ActivateTo от PaySto.
Информационная безопасность → Идеи по увеличению безопасности авторизации из песочницы
Похоже, эта неделя пройдет под лозунгом «сделай авторизацию безопаснее». Уже было предложено много идей, но большинство из них в итоге оказалось неудачными. По тем или иным причинам я сейчас так же задумываюсь, как повысить безопасность авторизации на сайте. Тут — мои идеи, выкладки. Ничего более. Я замечательно понимаю, что для того, чтобы добиться хороших результатов, нужно проработать в этой области большой срок, заниматься криптографией и прочим. Тут же я хочу поделиться своими наработками, услышать их, надеюсь, конструктивную критику, возможно поддержку некоторых идей.
Необходимо обеспечить безопасную авторизацию для пользователя, однако при этом не заставлять его делать лишние движения либо вычисления. При этом основная задача — не позволить злоумышленнику зайти на сайт под каким-нибудь определенным логином. Так же ставится задача возможности записи какого-нибудь текста, который будет храниться в бд в шифрованном виде, и открыть его нельзя, не зная пароля.
Постановка задачи:
Необходимо обеспечить безопасную авторизацию для пользователя, однако при этом не заставлять его делать лишние движения либо вычисления. При этом основная задача — не позволить злоумышленнику зайти на сайт под каким-нибудь определенным логином. Так же ставится задача возможности записи какого-нибудь текста, который будет храниться в бд в шифрованном виде, и открыть его нельзя, не зная пароля.
Веб-разработка → Безопасная авторизация из песочницы
Доброго времени суток, уважаемые Хабражители!
Многие из Вас, кто занимается разработкой веб-сайтов, рано или поздно задумывались над безопасностью данных, которые передает пользователь на сервере, в частности над безопасностью передачи пароля.
Совсем недавно, при выполнении дипломного проекта (кстати на тему «Онлайн система управления обучением»), и я задумался над этим. Мне в голову пришла одна идея по улучшению защищенности пароля при авторизации. Идея не доскональная и продумана не до конца, поэтому я хочу поделиться ею со знающими людьми.
Многие из Вас, кто занимается разработкой веб-сайтов, рано или поздно задумывались над безопасностью данных, которые передает пользователь на сервере, в частности над безопасностью передачи пароля.
Совсем недавно, при выполнении дипломного проекта (кстати на тему «Онлайн система управления обучением»), и я задумался над этим. Мне в голову пришла одна идея по улучшению защищенности пароля при авторизации. Идея не доскональная и продумана не до конца, поэтому я хочу поделиться ею со знающими людьми.
Обработка изображений → Прототип Lane Departure Warning или как напомнить водителю о том, что жить ему осталось не очень долго
Почитал я немного про автовыставку в Детройте, про то, что Lane Departure Warning становится все более и более популярным и решил, что надо бы поделиться своим опытом изготовления прототипа этой системы из нехитрых компонентов в виде веб-камеры, Питона, OpenCV и пары дней усердной медитации:)
Историю создания прототипа можно почитать и посмотреть под катом… (там картинки, много...)
Информационная безопасность → «Не палимся» или конфигурация домашнего сервера анонимизации
Тем, кто часто пользуется сервисами анонимизации, а так же интересующимся, вероятно будет интересно узнать, как обычный бесхозный домашний нетбук превращается в локальный сервер анонимизации.
Под катом не только инструкции, но и немного моего опыта использования тех или иных систем анонимизации.
Блог компании Positive Technologies → HackQuest закончен?! HackQuest продолжается!
Ante Scriptum
До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).
Вступайте и компилируйте!
Scriptum
26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.
Информационная безопасность → Использование USB ключей YubiKey с двухэтапным алгоритмом аутентификации для доступа к Gmail из песочницы
В данной статье описывается личный опыт по использованию ключа Yubikey версии 2.2 с двухэтапным алгоритмом аутентификации для доступа почтовому ящику на Gmail.com
Вам понадобится:
— Аккаунт на Gmail
— Программа YubiTOTP
— Динамическая таблица (или другой метод) для преобразования секретного кода Base32, используемого Google, в шестнадцатеричные данные
— Инструмент персонализации ключей Yubikey
— Yubikey версии 2.2 (или выше) с пустой конфигурацией слота 2
Вышеупомянутое ПО можно найти на сайте TOTP, перейдя по следующей ссылке: yubico.com/totp
Вам понадобится:
— Аккаунт на Gmail
— Программа YubiTOTP
— Динамическая таблица (или другой метод) для преобразования секретного кода Base32, используемого Google, в шестнадцатеричные данные
— Инструмент персонализации ключей Yubikey
— Yubikey версии 2.2 (или выше) с пустой конфигурацией слота 2
Вышеупомянутое ПО можно найти на сайте TOTP, перейдя по следующей ссылке: yubico.com/totp
Системное администрирование → Аутентификация на сетевых устройствах CISCO средствами Active Directory из песочницы
Интеграция CISCO AAA и Microsoft Active Directory
Наверняка многие системные администраторы рано или поздно сталкиваются с проблемой аутентификации на сетевых устройствах. Если руководствоваться best-practices, то учетные записи должны быть персонифицированными, пароли должны отвечать критериям устойчивости, время жизни паролей должно быть ограничено. Также не будем забывать о разграничении уровней доступа в соответствии с выполняемыми задачами и поддержке актуальности базы пользователей, связанной с изменениями в штате сотрудников. При соблюдении этих требований ведении базы пользователей на каждом устройстве становится трудоемкой и нетривиальной задачей, а на практике часто просто игнорируется, администраторы ограничиваются заданием паролей на физическую и виртуальную консоль и заданием пароля суперпользователя (enable). Логичным решением этой проблемы является ведение единой базы пользователей с контролем выдвигаемых к учетным записям требований. Если у нас есть Active Directory, почему бы не использовать его?
Рис.1 Топология системы
Блог компании Positive Technologies → Восстановление пароля – хакеры, welcome!
Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.
Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.
Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.
Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».