Pull to refresh
260
0
Sergey Belov @BeLove

Пользователь

Send message

Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет

Reading time 12 min
Views 8K

Одна из главных задач отдела Application Security - усложнить массовый захват аккаунтов и самое сложное в них это таргетированные атаки. И, как оказалось, если ваш сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц - вы попадаете в ловушку из-за отсутствия безопасных и доступных подходов аутентификации пользователей. Давайте обо всем по порядку - пройдемся по текущим механизмам, выделим их проблемы и сделаем предположение, как мы бы все-таки могли исправить текущую ситуацию.

Захват аккаунта может произойти на трех стадиях:

Читать далее
Total votes 22: ↑22 and ↓0 +22
Comments 33

Как багхантеры перехватывали письма в пневмопочте на ZeroNights

Reading time 4 min
Views 7.3K


Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, на примере недавно прошедшей конференции по информационной безопасности ZeroNights, мы расскажем о том, каким образом можно привлекать хакеров к участию в поиске багов и уязвимостей через профильные мероприятия.
Total votes 37: ↑33 and ↓4 +29
Comments 1

Вознаграждаем за уязвимости четвёртый год подряд

Reading time 8 min
Views 10K

Специалисты в IT-безопасности, которые умеют находить уязвимости и эксплуатировать их, всегда стоят перед выбором — что, в итоге, с этими знаниями и умениями делать? И надо признать, что довольно большое количество таких специалистов выбирает путь ответственного раскрытия информации о найденных проблемах и уязвимостях. Именно с такими людьми компании должны уметь и хотеть взаимодействовать. Речь идет о Bug Bounty — объявляемых компаниями программах поиска уязвимостей в их продуктах и сервисах за денежное вознаграждение.
Читать дальше →
Total votes 38: ↑36 and ↓2 +34
Comments 3

ZeroNights: анонс воркшопов и конкурсов

Reading time 6 min
Views 3.9K
image

Ручная работа – крутые воркшопы и конкурсы на ZeroNights!


Друзья, конференция ZeroNights – территория практиков в области ИБ. При этом, у нас есть зоны, в которых можно не только ознакомиться с результатами новейших исследований, узнать о необычных хакерских находках, но и научиться чему-то «на лету», поработать не только головой, но и руками. Во-первых, в рамках ZN пройдут традиционно хардкорные workshops. Специально для тех, кто не боится перейти от слов к делу и попробовать свои силы на практике под руководством известных спецов с классными темами. Во-вторых, мы предлагаем вам принять участие в крутейших конкурсах. Для тех, кто вообще ничего не боится
Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Comments 3

Программа ZeroNights 2016 + анонс HackQuest

Reading time 14 min
Views 5.9K


По доброй традиции, мы делимся с вами новостями программы конференции ZeroNights, своими ожиданиями от мероприятия, предвкушаем новые темы и обсуждения, радуемся новым спикерам и участникам. Ниже мы представим новости программы и расскажем немного о каждом докладе, который вы будете иметь возможность услышать на ZN.

Основная программа


Ключевой Докладчик конференции — Михаэль Оссманн (Michael Ossmann)
Добро пожаловать на физический уровень

Каждая конференция ZeroNights – это новый мир со своими особенностями, возможностями для открытий и свершений. Исследовательская Вселенная не имеет границ.

Не случайно в качестве ключевого докладчика на ZN 2016 мы выбрали Михаэля Оссманна (Michael Ossmann), известного исследователя в области безопасности беспроводных систем, разработчика аппаратного обеспечения для высококвалифицированных ИТ-экспертов. Михаэль— исследователь в области безопасности беспроводных систем, разработчик аппаратного обеспечения для хакеров. Получивший известность благодаря проектам с открытым кодом HackRF, Ubertooth, и Daisho, Михаэль основал проект Great Scott Gadgets, чтобы исследователи могли использовать новые перспективные инструменты.
Читать дальше →
Total votes 26: ↑25 and ↓1 +24
Comments 3

SmartTV* — как создать небезопасное устройство в современном мире

Reading time 10 min
Views 26K
* — в статье пойдет речь только про Samsung SmartTV

image
Изображение с mnn.com

«Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party.»

Соглашение о конфиденциальности Samsung SmartTV (до февраля 2015 года)

The telescreen received and transmitted simultaneously. Any sound that Winston made, above the level of a very low whisper, would be picked up by it; moreover, so long as he remained within the field of vision which the metal plate commanded, he could be seen as well as heard. There was of course no way of knowing whether you were being watched at any given moment. How often, or on what system, the Thought Police plugged in on any individual wire was guesswork.

«1984» — роман-антиутопия Джорджа Оруэлла, изданный в 1949 году

Вступление


Буквально на прошлой неделе прошла конференция ZeroNights, про которую мы так много писали на Хабре (еще не опубликован финальный отчет, надо дописать). И кроме всего прочего, там я прочитал доклад про Samsung SmartTV, рассказав, что может быть, если при проектировании подобных мультимедийных платформ руководствоваться интуитивно наиболее близкими и легкими решениями (раскроем эту тему это очень подробно). Формат повествования был выбран хронологический, т.е. как я и что смотрел и как прорабатывал решение, будь бы я инженером подобного устройства.
Читать дальше →
Total votes 29: ↑27 and ↓2 +25
Comments 20

ZeroNights — про прошедший hackquest и грядущий Hardware Village

Reading time 11 min
Views 6.7K
image

Привет!


До конференции ZeroNights, о которой мы уже не раз писали на Хабре, остаются считанные дни!

Одним из последних наших постов был рассказ про HackQuest. Он успешно прошел и пришло время о заданиях и о том, как их решали. И конечно же — поздравить победителей!

  • 1 день, задание “Chocolate Factory” (web) — cdump и BlackFan
  • 2 день, задание “HSM V1.0” (web, crypto, hash cracking) — Abr1k0s
  • 3 день, задание “BAZAAR NG” (web) — AV1ct0r
  • 4 день, задание “ILLOGICAL PHOTOGALLERY” (web, oauth) — Beched
  • 5 день, задание “CRACKME” (reverse) — sysenter
  • 6 день, задание “BANK ROBBERY”, (phreaking, web) — dr.glukyne
  • 7 день, задание “BLINK2PWN”, (reverse, binary pwn) — mr_dawerty

Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Comments 1

ZeroNights HackQuest 2015

Reading time 1 min
Views 9.4K


В пятый юбилейный раз мы проводим конференцию по практической информационной безопасности (пройдет 25-26 ноября в Москве, 2015.zeronights.ru).

Традиционно мы проводим перед ней хакквест, предлагая всем желающим порешать задания связанные с reverse engineering'ом, веб-хакингом, пентестом, анализом протоколов и т.п. вещами.
Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Comments 0

(Не)безопасный frontend

Reading time 13 min
Views 60K

Интро


Не так давно я выступал на конференции FrontendConf 2015 (РИТ++) с темой данной статьи. И при подготовке доклада начал искать информацию, а кто вообще выступал на данную тему и что есть в Сети на данный момент.

Оказалось, что информации совсем немного, более-менее можно было бы отметить доклад mikewest.org/2013/09/frontend-security-frontendconf-2013 от Mike West из компании Google, но какой-то «непентестерский» взгляд и уж совсем мало материала. И www.slideshare.net/eoftedal/web-application-security-in-front-end где тема раскрыта более детально, но выступление 2011 года. А за 4 года технологии и атаки на месте не стояли.

Долго и сложно выбирая темы, что же все-таки рассказать разработчикам фронтендов про безопасность, при этом минимум касаясь бекэнда (местами все-таки это неделимо), получился доклад, а здесь — его текстовый пересказ.

О чем вообще разговор?


А действительно, о чем тут вообще можно разговаривать? Говоря про взломы и безопасность невольно приходят в голову тезисы — слили базу, получили доступ к выполнению команд ОС на сервере, прочитали чужую переписку. Но это все — server side код. А что ж может «нагородить» фронтэндер? Главная опасность, конечно же, в обходе атакующим SOP — Same Origin Policy, главной политики безопасности браузеров, которая регулирует работу в разных Origin. Но не только, давайте разбираться.

Читать дальше →
Total votes 64: ↑63 and ↓1 +62
Comments 4

Doorkeeper CSRF — CVE-2014-8144

Reading time 4 min
Views 51K
Как и многие хабрапользователи, я пользуюсь «облачными» технологиями, в т.ч. арендую VPS (виртуальные сервера) в разных странах мира. Порядка двух лет я пользовался Амазоном и не сказать, чтобы был доволен, но хватало.

В сентябре прошлого года я наткнулся на очень агрессивную PR компанию от Digital Ocean (DO) и решил воспользоваться их услугами. С того момента я забросил Амазон (ни разу не реклама) и полностью перешел на DO.
image

И чем больше пользуешься каким-либо сервисом и чем больше доверяешь ему своих данных, тем более пристально смотришь, как он работает.
Читать дальше →
Total votes 84: ↑81 and ↓3 +78
Comments 10

Статья про нетипичную эксплуатацию SQL инъекции и про трюк в sqlmap. А еще — про Counter Strike

Reading time 3 min
Views 42K
Очень давно не писал на Хабр и решил поделиться небольшой, произошедшей в свободное время, и забавной историей. Нет-нет, это статья не о том, что такое sqli и как от них защищаться, а про нетипичную «раскрутку» SQLi. Полезна будет скорее начинающим веб-пентестерам как обучение и, внезапно, некоторым админам мониторингов серверов Counter Strike.
А если заспойлерить для опытных
То статья о том, как менять параметры в sqlmap налету, для каждого запроса по нужному механизму (можно промотать в самый низ и сэкономить 5 минут).


Давайте по-порядку.
Читать дальше →
Total votes 51: ↑46 and ↓5 +41
Comments 24

ZeroNights 2014 — hackquest

Reading time 1 min
Views 12K
image

ZeroNights — это конференция по практической информационной безопасности, которую мы проводим в этом году уже в четвертый раз! Мы не раз о ней рассказывали, а многие хабрахабровцы принимали в ней участие.

И есть у нас традиция — перед самой конференцией проводить хакквест, предлагая участникам различные задания (поломать веб, отреверсить, проанализировать, написать эксплойт для бинарщины — в общем практика). За победу мы даем приглашение на конференцию и с прошлого года вносим в «зал славы». Правила таковы:

  • Квест идёт 7 дней, стартует 1 октября в 20:00 и заканчивается 8 октября в 20:00 (по Москве);
  • Каждый день — одно задание. Длительность каждого задания — 24 часа;
  • Всего заданий — 7;
  • Кто первый решает задание — получает инвайт (всего инвайтов: 7);
  • В некоторых ситуациях мы можем попросить участника рассказать как было решено задание (не стоит пытаться нас обмануть, мы за честные и равные соревнования!)

Читать дальше →
Total votes 28: ↑25 and ↓3 +22
Comments 33

Большой рассказ про BlackHat USA'2014

Reading time 5 min
Views 11K


Буквально на днях (2-7 августа) прошла самая известная конференция в мире по безопасности — BlackHat USA'2014 в которой мы приняли участие во всех её секциях: тренинги, выступления с докладами и участие как спонсоры со стойкой в бизнес зале. Много интересного, личные впечатления да и в в целом — подробно про конфу под катом!
Читать дальше →
Total votes 30: ↑29 and ↓1 +28
Comments 10

Тестирование безопасности клиент-серверного API

Reading time 6 min
Views 40K
2 года назад я выступал на конференции CodeFest с темой «Пентест на стероидах. Автоматизируем процесс» и делал пересказ выступления в качестве статьи. В этом году я с большим удовольствием снова принял участие в конференции и выступил с темой «BlackBox тестирование безопасности клиент-серверного API» и, видимо уже в качестве традиции, также делаю пересказ выступления.



Уязвимости в API встречаются. Правда.

О чем разговор?


Разговор про API, но API бывает разным — API операционной системы, сайта, десктопной программы, да хоть чего. Вкратце — API это обращение к методам чего-либо (например в случае ОС — запись в файл) через определенный метод. И запуск какого-нибудь файла с т.ч. зрения разработки произойдет схожим образом (тоже через API метод ОС), хотя результат выполнения команды совершенно разный. В веб-технологиях многие тоже реализуют API к своим проектам, и если на пальцах: можно отправить сообщение в соц. сети зайдя на сайт, а можно — сформировав специальный HTTP запрос. И при реализации подобного альтернативного использования функционала допускаются (как и везде) ошибки в безопасности. Статья как раз о специфичных ошибках при реализации подобного функционала в веб-проектах.
Читать дальше →
Total votes 68: ↑66 and ↓2 +64
Comments 16

Спуфинг расширения в winrar

Reading time 1 min
Views 38K
Топик одним предложением — есть техническая возможность заменить отображаемое имя файла в Winrar. И какой-нибудь image.jpeg успешно выполнится как .exe файл :) Я не буду делать полный перевод оригинального топика, но перескажу суть под катом.
Читать дальше →
Total votes 91: ↑84 and ↓7 +77
Comments 67

Атаки на отказ в обслуживании: практика тестирования

Reading time 4 min
Views 32K

Пост — резюме


Думаю, начать стоит с того, что в последнее время все больше заказчиков обращаются не только за тестированием на проникновение, но и за проверкой устойчивости их сервисов к атакам на отказ в обслуживании, чаще всего — веб-сайтов. И на нашей практике пока не было ни одного случая, чтобы реальный работающий сайт (не заранее подготовленная площадка) не вышел из строя, в т.ч. находящийся под разными защитными системами. И этот пост — резюмирование текущего опыта (D)DoS тестирования разными методами совершенно разных инфраструктур (от банков до типичных корпоративных сайтов).
Читать дальше →
Total votes 64: ↑61 and ↓3 +58
Comments 15

Атаки на банковские системы

Reading time 4 min
Views 54K
Не припоминаю я на Хабре статьи про атаки на банки. Никакой теории и фантазии, реальная практика и скрины

Немного введения. Не так давно я выступал на VI уральском форуме по информационной безопасности банков, где много внимания было уделено новому стандарту ЦБ РФ об обеспечении информационной безопасности банковских систем, на эту же тему был и мой доклад. В стандарте выделено 7 этапов жизни банковских систем (ПО), от написания ТЗ до снятия с эксплуатации. И схема моего доклада была следующей — рассказать некоторые реальные истории атак, проецируя их на новый стандарт от ЦБ, и показывая, как бы он (стандарт) мог «сломать» эти вектора, если бы банки его применяли. А на Хабре я опубликую пересказ своего выступления (осторожно, картинки!). Ах и да — вся информация предоставлена исключительно с целью ознакомления и ни в коем случае не является руководством к действию.
Читать дальше →
Total votes 98: ↑90 and ↓8 +82
Comments 54

Про переводы на Хабрахабре

Reading time 1 min
Views 5.5K
Я не профессиональный переводчик, да и вообще не переводчик. Но я все чаще, как пользователь Хабрахабра, встречаю статьи с пометкой «Перевод» которые отражают скорее личное мнение автора с использованием некоторого материала из оригинальной статьи, чем перевод. Еще хуже случаи, когда автор статью переводит, а некоторые слова – подменяет на совершенно другие по смыслу (нет, не адаптация перевода, а вообще изменение контекста).

Пожалуйста, если делаете перевод – делайте перевод. Если решили сделать пересказ – то просто укажите в конце список литературы или так и напишите – мое мнение о такой-то статье. Про качество перевода молчу, у всех разный скилл, но грамматика – уважайте читателей, проверяйте хотя бы в ворде, спасибо.
Total votes 165: ↑116 and ↓49 +67
Comments 25

Подборка трюков при анализе защищенности веб приложений

Reading time 5 min
Views 35K
Всем привет! Этот топик посвящен разным трюкам при анализе защищенности (пентесте) веб приложений. Периодически сталкиваешься с ситуацией, когда надо обойти какую-нибудь защиту, выкрутиться в данных ограничениях или просто протестировать какое-то неочевидное место. И этот пост как раз об этом! Добро пожаловать под кат.
Читать дальше →
Total votes 87: ↑81 and ↓6 +75
Comments 16

Результаты исследования методов аутентификации и некоторых механизмов защиты от WEB-атак на примере Google, VK и других

Reading time 5 min
Views 46K

О чем топик?


В этой статье я расскажу о реализациях разного функционала (преимущественно, на веб-сервисах) для обеспечения безопасности пользователей на примере «гигантов» современной IT индустрии. Данный материал будет полезен разработчикам, архитекторам, тим-лидам и менеджерам при постановке задач схожего функционала. Реализации в статье разработаны командами профессионалов, проверены временем и сотнями миллионами пользователей (а также большим количеством хакеров), хоть и никаких гарантий, что именно данный вариант реализации — абсолютно правильный и 100% безопасный, конечно же нет. Информация основана на личном анализе этих ресурсов.
Читать дальше →
Total votes 83: ↑71 and ↓12 +59
Comments 30

Information

Rating
Does not participate
Registered
Activity