Технологии безопасности

Сайт посвященный вопросам безопасности

Globus: браузер для параноиков собирает деньги на IndieGoGo

Около трех недель назад разработчик браузера Globus Виталий Казаритский запустил стартап на сайте IndieGoGo с целью собрать $50,000. Разработчик заявляет, что его браузер будет одним из самых безопасных из всех имеющихся на данный момент.

Globus: браузер для параноиков собирает деньги на IndieGoGo — 1Globus: браузер для параноиков собирает деньги на IndieGoGo — 1
Continue reading

ЦБ РФ не собирается бороться с уязвимостями на сайтах комерческих банков

Прочитав замечательную новость о распоряжении ЦБ РФ (Банка России) об обязаности кредитных организаций по борьбе с уязвимостями на своих сайтах, я решил проверить, а так ли это? Проанализировав через www.ssllabs.com/ssltest/analyze.html сайты банков, чьим клиентом я являюсь, сразу нашел POODLE на двух из них. Так как переписывать с поддержкой банков был заведомый бесперспективняк, я сразу написал обращение с сайта ЦБ. Через месяц получил ответ на электронную почту от одного из них, из которого следовало, что сам ЦБ ничего рассматривать не стал, а, не разбираясь, спустил обращение вниз. Там же админы толи некомпитентны, толи водят за нос начальство, а заодно и ЦБ РФ. Второе обращение просто потеряли и никаких уведомлений по нему, кроме регистрации, не приходило. К сожалению, несмотря на штат в 72 тысячи сотрудников (против 20 тысяч в ФРС США) в ЦБ РФ нет никого, кто бы разбирался в информационной безопасности на уровне выше средней школы, поэтому вышеуказаное постановление имеет чисто декларативный смысл.
Continue reading

Как Мегафон помогает разводить вас на платные подписки

Вы что-то вбиваете в поиск google, нажимаете на одну из верхних ссылок, вас перенаправляет на сайт с партнерской программой (не хочу их рекламировать), где вам предлагают согласиться с тем, что «сайт может содержать шокирующие новости», вы нажимаете на кнопку, и открывается новостной сайт (их тоже не хочу рекламировать) с ненужной ерундой, никак не связанной с изначальным запросом. Знакомо?

Ожидаете ли вы, что нажав на эту кнопку, вы только что подписались на этот сайт, если вы не вводили свой номер телефона? Continue reading

Программа поиска уязвимостей в Spartan от Майкрософт

В Майкрософт не стали изобретать велосипед и вернулись к уже проверенной в ходе разработки Internet Explorer практике: для повышения уровня безопасности нового браузера Spartan компания запускает «Bug Bounty program», программу поощрения за сообщения о багах и уязвимостях. Браузер Spartan придет на смену Internet Explorer в новой ОС Windows 10, выход которой планируется уже этим летом.
Continue reading

Отчёт Евросоюза рекомендует OpenBSD и другой софт для защиты граждан

Отчёт Евросоюза рекомендует OpenBSD и другой софт для защиты граждан — 1Отчёт Евросоюза рекомендует OpenBSD и другой софт для защиты граждан — 1

Евросоюз должен финансировать инициативы open source, которые улучшают безопасность и обеспечивают защиту конфиденциальных данных. Кроме того, следует установить схемы сертификации для наиболее критичных инструментов open source. Таковы экспертные заключения в отчётах, составленных по заказу ЕС.

Первый отчёт составлен для комитета Европарламента по гражданским свободам, правосудию и внутренним делам. IT-эксперты рекомендуют помогать в разработке end-to-end программ шифрования с открытым кодом, чтобы они были простыми в использовании.
Continue reading

PayPal предлагает пользователям хранить логины и пароли внутри тела

PayPal предлагает пользователям хранить логины и пароли внутри тела — 1PayPal предлагает пользователям хранить логины и пароли внутри тела — 1

Инженеры отдела инноваций в PayPal уверены, что будущее авторизации – за средствами идентификации, которые можно встроить в тело, ввести внутрь тканей или проглотить. Презентация "Убить пароли" (Kill all Passwords) демонстрирует ненадёжность и неудобство существующей системы (например, по их данным, пароли 91% людей встречаются в списке 1000 самых популярных паролей), и продвигает идеи о будущем идентификации.

Концепция логинов и паролей уже давно подвергается критике со стороны провайдеров услуг. Их обвиняют в недостаточной защищённости сервисов, а они, в свою очередь, обвиняют пользователей в недостаточной осторожности. Предпринимаются различные попытки заменить авторизацию по паролю другими методами – отпечатки пальцев и распознавание лица уже не являются экзотикой.
Continue reading

Взломан сайт Tesla + twitter-аккаунты Tesla Motors и Илона Маска

Сегодня стало известно о том, что сайт компании Tesla Motors, а также twitter-аккаунт Илона Маска были взломаны. Кроме того, был взломан и twitter-аккаунт Tesla Motors. В самом начале злоумышленники получили контроль над аккаунтом Tesla в Twitter, после чего здесь начали появляться несколько странные сообщения, к примеру, предлагался бесплатный электромобиль, который можно получить, позвонив по определенному телефонному номеру. Сам аккаунт был переименован в #RIPPRGANG.

Взломан сайт Tesla + twitter-аккаунты Tesla Motors и Илона Маска — 1Взломан сайт Tesla + twitter-аккаунты Tesla Motors и Илона Маска — 1

После этого на сайте Tesla появился очень странный коллаж, если это можно так назвать.

Взломан сайт Tesla + twitter-аккаунты Tesla Motors и Илона Маска — 2Взломан сайт Tesla + twitter-аккаунты Tesla Motors и Илона Маска — 2
Continue reading

Крупнейший производитель платежных терминалов не менял дефолтные пароли с 90-х годов

Крупнейший производитель платежных терминалов не менял дефолтные пароли с 90-х годов — 1Крупнейший производитель платежных терминалов не менял дефолтные пароли с 90-х годов — 1

Пока специалисты по информационной безопасности разбираются со случаями утечки данных десятков миллионов кредитных карт, на конференции RSA Conference в Сан-Франциско раскрываются некоторые детали, которые имеют отношение к крупнейшим производителям платежных терминалов. Точнее, об одном из производителей, который поставляет сотни тысяч терминалов в год, не меняя дефолтных паролей.

Специалисты (Девид Бурне и Чарльз Хендерсон), сделавшие доклад на конференции не называют имя компании, однако, пароль назван: 166816. Поиск в Google по этому паролю показывает нам имя компании, о которой идет речь. Это Verifone, компания, поставившая на рынок около 27 миллионов платежных терминалов, которые работают в 150 странах мира.
Continue reading

Команда Hemlis объявила о закрытии проекта

Команда Hemlis объявила о закрытии проекта — 1Команда Hemlis объявила о закрытии проекта — 1

2 года назад на Хабре появился радужный пост о том, как скоро будет запущен первый полностью защищенный мессенджер от создателей пиратской бухты. Прошло время, вышел Telegram, Whatsapp обзавёлся шифрованием, а Hemlis так и не появился в онлайн-магазинах для мобильных платформ. Разработчики по началу исправно кормили завтраками в твиттере, переодически выкладывали отчёты в своём блоге, и тратили пожертвования на сумму $100 000, собранные в первые 36 часов.
Continue reading

CCTV на OS X

Проживая в тайге среди белок и змей я задумался о безопасности того микропоселения где так люблю отдыхать. Начать решил с организации видеонаблюдения с какой-либо простенькой аналитикой и системой уведомления. Так как проект бюджетный и в стране кризис решил использовать как сервер iMac 27" 2010 + 4x Hikvision HiWatch DS-N201 + Yota.

Видеонаблюдение было организованно без затруднений так как Hikvision HiWatch DS-n201 прекрасно сделанные камеры, каждая такая камера может работать самостоятельно нужен только storage, но для централизации нужен сервер а для сервера ПО (CCTV). ПО Hikvision iVMS 4200 для Mac OS X не смогло удовлетворить мои требования так как это всего лишь клиент. Я обратил свой взор на другие системы — не привязанные к производителю, достойных внимания систем мне удалось найти 3 штуки:
1. Xeoma
2. SecuritySpy
3. EvoCam;
Continue reading