Технологии безопасности

Сайт посвященный вопросам безопасности

Краткая история хакерства. Рассказ от руководителя информационной безопасности Яндекса

Привет! Меня зовут Антон Карпов, в Яндексе я руковожу службой информационной безопасности. Недавно передо мной встала задача рассказать школьникам — студентам Малого ШАДа Яндекса — о профессии специалиста по безопасности. Я решил, что вместо скучной теории, которую и так можно прочитать в учебниках (да и что расскажешь за одну лекцию!), лучше рассказать историю компьютерной безопасности. На основе лекции я подготовил этот короткий рассказ.

Как ни крути, а информационная безопасность у многих прочно ассоциируется с хакерами. Поэтому и рассказать я хочу сегодня про хакеров и их историю. В наши дни под хакером понимается злоумышленник, который делает что-то нелегальное, взламывает какие-то системы с материальной выгодой для себя. Но это далеко не всегда было так.
Continue reading

Всемирный день информационной безопасности

Всемирный день информационной безопасности — 1Всемирный день информационной безопасности — 1

Сегодня мы с большой радостью поздравляем людей, стоящих на страже нашей с вами безопасности. Не тех, что в униформе с погонами, а повелителей эвристики, неутомимо борющихся с мировым злом в виде троянов, вирусов, эксплойтов и прочих зловредов. Мы поздравляем всех специалистов по информационной безопасности с их законным праздником!

Если бы не вы, информационные сети давно бы захлебнулись в эпидемиях всевозможной цифровой заразы. Вы ежедневно оберегаете мирное небо над головой наши компьютеры и всевозможные гаджеты от несметного числа троянов и вирусов. Благодаря вашим трудам, всемирная гидра сетевого криминала не может развернуться во всю ширь. Хотя и наворотила эта рептилия немало. Чем запомнился нам год, прошедший с прошлого Дня информационной безопасности? Увы, но за это время нам пришлось столкнуться с некоторыми очень серьёзными проблемами. Да и вообще список событий оказался весьма впечатляющий. Вот лишь некоторые из них.
Continue reading

Sync, share & secure – три в одном с помощью Acronis Access 7

Всё, что связано с корпоративной безопасностью, обычно противоречит удобству использования. Либо пользователи недовольны сложными схемами по защите контента, либо ИТ-служба – тем, что пользователи вот-вот разнесут важные данные по всему интернету через почтовые сервисы и Dropbox. Громкие утечки данных у многих на слуху. Про пикантные фотографии знаменитостей, украденные из iCloud, слышал каждый, но, когда речь идет о серьезном бизнес-контенте, в ходу более изощренные схемы. Так, недавно Касперский обнаружил случай, когда хакеры очень избирательно охотились за топ-менеджерами крупных компаний: заражали их девайсы через внешне безобидные обновления, которые загружались при подключении к wi-fi в дорогих отелях.

Sync, share & secure – три в одном с помощью Acronis Access 7 — 1Sync, share & secure – три в одном с помощью Acronis Access 7 — 1

Поскольку мы в Acronis заняты безопасностью данных, то у нас уже довольно давно есть продукт, позволяющий «убить сразу двух (и даже трёх) зайцев»:
Continue reading

84% сайтов на WordPress могут быть взломаны: что дальше?

84% сайтов на WordPress могут быть взломаны: что дальше? — 184% сайтов на WordPress могут быть взломаны: что дальше? — 1

Если вы часто читаете IT-новости, то наверняка уже устали от страшилок об очередной уязвимости, которая нашлась в популярной OS / СУБД / CMS / кофеварке. Поэтому данный пост посвящен не самой уязвимости, а наблюдению за тем, как люди регируют на неё.

Однако сначала — несколько слов о «виновнице торжества». Критическая уязвимость популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании с весёлым названием Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом. Continue reading

Клик фрод, ботнеты, слив бюджетов, как вас обманывает вся интернет реклама, включая контекст и РТБ и как поставить всех раком

Возможно этой статьей я похороню свою контору, а вместе с ней мечты о работе по CPS. Мечты о честной, прозрачной и понятной работе без вранья и обмана. Возможно, но не факт. Может быть, он станет определенным манифестом в отрасли, в которой я работаю.

Проблема в том, что чем ты честней на этом рынке – тем ты более бедный. К сожалению, я не исключение и передо мной стал выбор. Либо стать в общую очередь за распилом бюджетов, сливая ботовый трафик и сваливая неудачи на рекламодателя, либо попробовать что-то изменить. Жить за счет обмана и быть постоянно по уши в говне, которое низвергает на тебя рекламодатель, после очередного «эффективного» размещения – есть сомнительное удовольствие от работы.

Недавно ко мне пришел один стартапер, приятель, к которому я хорошо отношусь и спросил где, ему рекламироваться лучше всего и за не очень дорого. На что мой ответ был таким: «Дружище, прости, но после 3 лет в рекламе я могу честно ответить, что я не знаю. Попробуй в социалках, там вроде не накручивают, хотя я в этом тоже не уверен».
Continue reading

Хакер отделался штрафом в $10 тысяч вместо 440 лет тюрьмы

Хакер в Южном округе Техаса, подозреваемый в связи с Anonymous, признал себя виновным в компьютерном мошенничестве и заплатил штраф в 10000 долларов. Эта новость была бы слишком скучной, если бы не один факт: несколько месяцев назад 28-летнего Фиделя Салинаса обвинили в 44 киберпреступлениях, за каждое из которых он мог бы получить по 10 лет тюрьмы, то есть сесть на 440 лет.

Хакер отделался штрафом в $10 тысяч вместо 440 лет тюрьмы — 1Хакер отделался штрафом в $10 тысяч вместо 440 лет тюрьмы — 1
Continue reading

Как я поборол вмешательство билайна в пользовательский трафик

Как я поборол вмешательство билайна в пользовательский трафик — 1Как я поборол вмешательство билайна в пользовательский трафик — 1
Эта небольшая история для меня закончилась благополучно(Но только для меня, а не для всех остальных абонентов билайна.), и надеюсь, что больше оно не всплывет.

Читал я как-то за обедом новостные ресурсы с мобильного телефона. И заметил, что на всех страницах справа присутствует новый элемент. Элемент этот, раскрашенный в желто-четные полосы явно инородный: Continue reading

Мои правила составления паролей

Отступление «раз»: я ни в коей мере не претендую на звание «истины в последней инстанции» и могу с легкостью сойти за «КО»;
Отступление «два»: аудиторией данного поста в большей части являются недавно «прибившиеся» к сети или «прибившиеся» давно, но к защите своей информации ещё не привыкшие;
Отступление «три»: всегда, отходя от компьютера на «совещание/покурить/налить чаю» лочьте свой компьютер. Это защита не от «злоумышленников» (они, если захотят информацию снимут), а от «дураков» и «кошек».

Приступим?
Continue reading

Атака на банкомат с помощью Raspberry Pi

Атака на банкомат с помощью Raspberry Pi — 1Атака на банкомат с помощью Raspberry Pi — 1

Что только не делают с банкоматами: их выдирают из стены, привязав тросом к автомобилю, сверлят, взрывают и режут (иной раз в здании Госдумы). По статистике EAST, преступники стали реже использовать скимминг, предпочитая траппинг и физические диверсии. Немало хлопот специалистам по безопасности доставляет и еще один новый тренд — вирусные атаки на банкоматы. Тут и Trojan.Skimer, и Backdoor.Ploutus, и совсем свежий зловред Tyupkin, и другие «приложения», известные и не очень. Малварь загружается в компьютер банкомата, как правило с внешних носителей, и используется для несанкционированной выдачи денег или перехвата карточных данных. Еще один способ атаки описали эксперты Positive Technologies Ольга Кочетова и Алексей Осипов на конференции по компьютерной безопасности Black Hat Europe 2014, проходившей в октябре в Амстердаме. Continue reading

PIN-код при оплате картой — точки над i

Всем доброго дня!

После прочтения нескольких статей на хабре о пластиковых картах, POS терминалах и сопутствующих вещах, мне показалось, что эта тема довольно интересна сообществу. В данной небольшой публикации я хочу окончательно разобрать тему ввода PIN–кода на POS терминалах и ответить, наконец, в меру своих знаний, на вопрос: почему же в одних случаях требуется ввод PIN, а в других — нет?
Continue reading