Технологии безопасности

Сайт посвященный вопросам безопасности

Британские власти вводят уголовное наказание компаниям за уведомления о правительственной слежке

Компания Yahoo на прошлой неделе сообщила, что будет предупреждать пользователей о подозрениях в слежке со стороны правительственных служб. Twitter, Facebook и Google сделали это раньше. Властям Великобритании эта инициатива не нравится: они рассматривают законопроект, по которому глава компании, предупреждающей о слежке со стороны британских агентств, может сесть в тюрьму на два года.


Пример уведомления от Facebook на аккаунт
Continue reading

Безопасность веб-ресурсов банков России

В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами.

Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие (общие для всех) советы, которым мало следует, некоторые best practices, которые или просто повышают общий уровень защищенности системы (например — применение CSP), или действительно позволяют предотвратить атаку.

Введение

Как известно, уровень безопасности системы определяется надежностью её самого слабого узла. На практике, после проведения анализа защищенности, основываясь на перечне найденных уязвимостей, выбирается одна брешь или целая цепочка и определяется наиболее проблемное звено. Сразу можно сказать, что зачастую правильно настроенная система может нивелировать риски существующей уязвимости. В ходе исследования мы выяснили, какие потенциальные векторы атак могут быть доступны злоумышленникам. Например, легко ли похитить сессионные данные пользователя при наличии уязвимости межсайтового скриптинга. Также нам было интересно посмотреть, насколько просто реализовать фишинговую атаку на пользователей банка. Пройдясь по этим пунктам и условно проставив “галочки”, злоумышленник может выстроить векторы дальнейших атак на банк и его пользователей.
Continue reading

Почему важно не выдавать пользователям простой пароль

В начале года во всех (ну почти) школах Москвы ввели новый электронный дневник. Его использование было обязательно. Разработчиком этого «великолепного» творения был Департамент ИТ города Москвы. Хоть и красивый дизайн, который доступен пользователям Chrome, внушал, что журнал хорош, на деле было наоборот. Фронтенд был написан на Angular, который, используя API дневника, получал все пользовательские данные. Из-за большой нагрузки со всех школ Москвы или плохой оптимизации, скорость работы дневника была низкой и иногда он даже не был доступен. Учителя жаловались о том, что оценки не выставляются и домашнее задание не сохраняется. Ученики и их родители были не довольны кривым отображением расписания и сообщений от учителей. По поводу отсутствия кроссбраузерности и поддержки мобильных девайсов на фоне всего не очень сильно переживали. Также кроме багов и медленной скорости работы была и «особенность».
Continue reading

От ИИ и наук о данных до криптографии: исследователи Microsoft дают 16 предсказаний на 2016 год

В прошлом месяце Microsoft выпустила книгу “Future Visions” – антологию небольших историй, написанных некоторыми современными научными фантастами, основываясь на общении с исследователями Microsoft и посещения их лабораторий. Электронная версия книги доступна бесплатно на Amazon и других сайтах.

Сегодня мы рады предложить вам антологию другого рода. Это коллекция предсказаний от 16 лидеров и мыслителей внутри нашей технологической и исследовательской организации.

Про прошествии года с тех пор, как мы вошли в эпоху, названную Питером Ли (Peter Lee), корпоративным вице-президентом Microsoft Research NExT, новым Золотым веком технологических преимуществ, мы решили, что было бы полезным получить понимание не только того, что нас ждет в следующем году, но также и на горизонте 10 лет.

В Microsoft Research работает более 1000 ученых и инженеров, занимающихся самыми разными дисциплинами в сотрудничестве со множеством лабораторий по всему миру, поэтому этот список не может быть исчерпывающим, но мы надеемся, что вы сможете почерпнуть из него важные сведения.

2016 год – это своеобразная отчетная точка для исследовательского подразделения Microsoft. MSR будет праздновать 25-летний юбилей с момента основания Нейтаном Мирвольдом (Nathan Myhrvold) в 1991 году, который в своем 21-страничном документе, отправленном Биллу Гейтсу, доказывал, что Microsoft «необходимо инвестировать в будущее, больше занимаясь исследованиями и созданием технологий».

Эти инвестиции принесли значительные результаты, причем как для Microsoft, так и для индустрии и общества. Пожалуй, именно сейчас, когда Рафаэль Райф (Rafael Reif), президент MIT, говорит, что «мы оставляем слишком много инновационного кетчупа в бутылке», инвестиции компании в исследования важны как никогда раньше.
Continue reading

И еще раз о необходимости закрывать базы

DataBreaches.net сообщает о найденной базе персональных данных 191 млн избирателей США. Сайт на данный момент лежит под хабраэффектами, google cache.

Исследователь Chris Vickery, ранее уже находивший не защищенные как следует многомиллионные базы аккаунтов, рассказал о наличии неограниченного доступа к 300-гигабайтной базе зарегистрированных избирателей, включающей: имена/фамилии, почтовые и электронные адреса, телефоны, даты рождения и пр.


Continue reading

«ВКонтакте» не только не платит пользователям за найденные уязвимости, но и не рассматривает их

По моему скромному мнению, баги из разряда банальных SQL инъекций в GET параметрах и выполнение команд через пайп уходят в далёкое прошлое. Различные фреймворки разрабатывающиеся десятками и сотнями людей, автоматизированное тестирование и лучшие практики программирования практически не оставляют шансов на то, что в начале двухтысячных являлось обыденностью. На мой взгляд, текущее время это пора гонок условий, логических багов, мисконфигураций и конечно же XSS. Которые приводят, к различным серьёзным последствиям.

Не отрицая факт наличия простых критический уязвимостей и по сей день, что подтверждается на практике, хотел бы рассказать об одном интересном и в тоже время простом логическом баге в социальной сети VK.com.

Continue reading

Принятый в Китае закон обязывает провайдеров предоставлять доступ к зашифрованным аккаунтам пользователей

Новый антитеррористический закон был принят китайскими властями несмотря на сопротивление большого количества крупнейших телекоммуникационных компаний и противодействие Вашингтона. Среди прочих требований, закон обязывает телекоммуникационные компании «предоставлять техническую поддержку и помощь, включая дешифрование». китайским властям. Как сообщается, сделано это для того, чтобы помочь Китаю вовремя локализовать и обезвреживать группы террористов.

Этот закон не обязывает компании предоставлять ключи шифрования властям. Но доступ к аккаунтам пользователей и всей переписке пользователей, в случае подачи соответствующего запроса — да. Такая «помощь» со стороны компаний рассматривается властями, как один из методов борьбы с терроризмом.
Continue reading

Великая борьба с программами-обертками

Не секрет, что в современном мире проблема нежелательного и вредоносного ПО встает все более и более остро. Ботнеты различного назначения, локеры, adware…
Разумеется, многие пытаются с этим бороться. Я работаю на одного регионального провайдера, и мы тоже проводим политику пассивного предупреждения пользователей, продвигаем антивирусы и культуру использования интернета. В конце концов нам же лучше, если у клиента все работает быстро и адекватно.
С недавних пор к этому подключились и поисковики. Под катом занимательная история о том, как мы стали жертвой этой борьбы, а также повод задуматься, к чему это все может привести.
Continue reading

РАЭК описала ключевые признаки и представила показательный список из сотни пиратских сайтов

Российская ассоциация электронных коммуникаций (РАЭК), давно и упорно борющаяся с интернет-пиратством, представила свой взгляд на рекламный аспект этого вопроса. В опубликованном заявлении ассоциации указывается, что сайты, определённым, как пиратские, не имеют права заниматься рекламной деятельностью наравне с остальными. Кроме этого, в заявлении указываются признаки пиратского сайта, по собственной классификации РАЭК, и приводится показательный список из 100 сайтов, попадающих под это определение.

РАЭК — некоммерческая организация, объединяющая крупнейших игроков российской интернет-отрасли, В неё входят такие компании, как 1С-Битрикс, Google, HeadHunter, Mail.ru, Microsoft, OZON, RU-CENTER, Бегун, Лаборатория Касперского и другие известные организации. Отраслевая ассоциация организовывает различного рода комиссии – по правовым вопросам, информационной безопасности, веб-разработке и т.д., и проводит отраслевые мероприятия и форумы.

Одна из инициатив, продвигаемых РАЭК – межотраслевое взаимодействие при поддержке и участии государства в целях перекрытия источников дохода пиратских сайтов.
Continue reading

Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 28. «Carder Court»

Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».

В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.

Квест по переводу книги начался летом в ИТшном лагере для старшеклассников — «Шкворень: школьники переводят книгу про хакеров», затем к переводу подключились и читатели и даже немного редакция.

Глава 28. Суд кардеров

(за перевод спасибо drak0sha )

Кейт Муларски был изможден.

Сначала он переговорил с агентом в филиале Секретной службы на другом конце города. «Мне кажется тебе грозят некоторые неприятности». Один из бесчисленных информаторов слышал, что Iceman обнаружил неопровержимые доказательства, что Мастер Сплинтр был либо стукачом, шпионом корпоративной безопасности, либо федеральным агентом. Iceman временно объединился со своим бывшим врагом Silo и готовил подробную презентацию для руководства Carders Market и Dark Market-а. Iceman и Silo явно хотели засудить Мастера Сплинтра.

Все началось с кода Silo. Известность Мастера Сплинтра как спамера и программиста сделала его специалистом в области обзоров вредоносного кода DarkMarket-а. Это было одним из преимуществ его тайной операции: Муларски сможет оценить последние версии секретного атакующего кода и передать их CERT, который, в свою очередь, отправит их всем антивирусным компаниям. Вредоносный код можно будет обнаружить еще до того, как он окажется на черном рынке.

В этот раз Муларски поручил код в качестве тренировочного задания одному из студентов CMU проходящих стажировку в NCFTA. Согласно стандартной процедуре студент запустил программу в изолированном режиме на виртуальной машине — своего рода программная чаша Петри, которую после можно вычистить. Но он забыл о флешке в USB-порте. На нее были загружены пустая отчетная форма о вредоносной программе с логотипом NCFTA и основные цели исследования. Прежде чем студент осознал, что произошло, документ оказался в руках Silo.

Шесть администраторов и модераторов DarkMarket получили копию кода Silo. Теперь канадцы знали, что один из них был федеральным агентом.
Continue reading