Технологии безопасности

Сайт посвященный вопросам безопасности

В Сбербанк онлайн уязвимостей нет

(adsbygoogle = window.adsbygoogle || []).push({});

Позавчера на GeekTimes вышла статья, в которой на видео демонстрируется якобы существующая уязвимость веб-версии Сбербанк Онлайн. Мы расскажем, почему ваши данные находятся в безопасности и что на самом деле показано на этом видео.

Уверены, что читателям GeekTimes не нужно рассказывать, что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями. Мы используем их в Сбербанк Онлайн для сбора статистики о переходах клиентов между страницами, чтобы оптимизировать и повысить качество наших онлайн-сервисов. Анонимность собираемой информации гарантируется политиками безопасности и конфиденциальности компаний Яндекс и Google. Подробнее о них: пользовательское соглашение Яндекс.Метрики, пользовательское соглашение Google Analytics. Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Continue reading

Анонимность в Tor: что нельзя делать

(adsbygoogle = window.adsbygoogle || []).push({});

Посещать собственный сайт в анонимном режиме

«Интересно, как выглядит мой сайт, когда я анонимный?» [1]

Лучше избегать посещения персональных сайтов, к которым прикреплены реальные имена или псевдонимы, особенно если к ним когда-либо подключались не через Tor / с реальным IP-адресом. Вероятно, очень немногие люди посещают ваш личный сайт через Tor. Это значит, что пользователь может быть единственным уникальным клиентом Tor, который сделает это.

Такое поведение ведёт к утечке анонимности, поскольку после посещения веб-сайта вся схема Tor становится «грязной». Если сайт малопопулярен и не получает много трафика, то выходные узлы Tor могут быть почти уверены, что посетитель этого сайта — владелец сайта. С этого момента разумно предположить, что последующие соединения с этого выходного узла Tor тоже идут с компьютера этого пользователя.

Источник: [2]
Continue reading

Как Сбербанк Онлайн сливает данные пользователей

(adsbygoogle = window.adsbygoogle || []).push({});

В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.

Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).
Continue reading

Подкаст Noise Security Bit #0x16 (о FriedAppleTeam и джейлбрейках)

(adsbygoogle = window.adsbygoogle || []).push({});

В этот раз у нас в гостях FriedAppleTeam (@in7egral @mbazaliy @getorix) и мы обсуждаем джейлбейк технологии для продукции замечательной компании Apple. Запись этого подкаста состоялась в последней день конференции Black Hat Asia 2017 в Сингапуре. Записывали прямо из номера гостиницы Marina Bay Sands.


Continue reading

Двухфакторная аутентификация при монтировании зашифрованного раздела LUKS с помощью Yubikey 4

(adsbygoogle = window.adsbygoogle || []).push({});

Часть 3: Yubikey 4 и LUKS

Введение

В статье рассматривается реализация двухфакторной аутентификации с помощью ключа Yubikey 4 для монтирования зашифрованного раздела LUKS.

Процесс реализации двухфакторной аутентификации с помощью ключа Yubikey 4 для монтирования зашифрованного раздела LUKS можно разбить на три части:

1. Подготовка LUKS раздела.
2. Подготовка к использованию ключа Yubikey 4 в операционной системе.
3. Непосредственно использование ключа Yubikey 4 для двухфакторной аутентификации.

Начальные условия:

Linux Mint 18 Sarah 64-bit
Yubikey 4

Continue reading

Завершение 11-й всероссийской конференции IT & Security Forum

(adsbygoogle = window.adsbygoogle || []).push({});

26 мая в г.Казань завершилась работа 11й всероссийской конференции «IT & Security Forum». Конференция проходила в отеле «Корстон». Конференция собрала более 900 участников из 80 городов России. На конференции прозвучало 60 докладов, в демозоне представлено большое число тематических стендов.

Continue reading

Уязвимость в Web API Lycamobile позволяет управлять любым номером оператора

(adsbygoogle = window.adsbygoogle || []).push({});


Доброго времени суток. Меня зовут Алексей. Я занимаюсь разработкой под .NET, pentesting и reverse engineering Android apps.
В марте от одного уважаемого человека мне поступил заказ на исследование приложения play.google.com/store/apps/details?id=com.lycamobile.myaccounts и описание его private API. После непродолжительных манипуляций я понял логику запросов и уж было приступил к описанию, но заметил что при смене номера телефона в запросе сервер продолжает отдавать данные. Оказалось что сервер просто не проверяет авторизованы ли мы и вся авторизация в приложении не более чем формальность.
Немного цифр. Lycamobile работает в 21 стране мира, капитализация €1.6 billion.
Данная уязвимость работает в uk, de, usa. Для остальных стран было лень проверять.
Команды API можно узнать там же на сервере по адресу Continue reading

Казахстанская команда «Царка» победила на международном форуме по практической безопасности Positive Hack Days 2017

(adsbygoogle = window.adsbygoogle || []).push({});

С 23 по 24 мая в Москве прошел форум Positive Hack Days по практической безопасности.

Кратко о форуме:

Международный форум по практической безопасности Positive Hack Days проходит каждую весну в Москве. Конференция, организованная компанией Positive Technologies, на два дня собирает вместе ведущих безопасников и хакеров со всего мира, представителей госструктур и крупных бизнесменов, молодых ученых и журналистов.

Главные принципы PHDays — минимум рекламы и максимум полезных знаний в докладах и на семинарах, неформальное общение «пиджаков» и «футболок» на круглых столах, множество захватывающих конкурсов и энергичная атмосфера исследовательского полигона. В 2016 году PHDays VI посетило рекордное число участников — 4200 человек из разных стран.

→ Информация с официального сайта

Победителем по итогам стала Казахстанская команда «ЦАРКА», с отрывом по набранным очкам практически в два раза.
Continue reading

QR-коды — проблемы безопасности: не поторопились ли мы

(adsbygoogle = window.adsbygoogle || []).push({});

QR-код — хаотично расположенные маленькие черные квадраты на белом фоне — не так прост, как кажется. QR-коды более совершенны, чем одномерный штрих-код, — они имеют более высокую емкость хранилища и могут хранить различные типы символов. По сути, эти коды похожи на физические гиперссылки, поскольку при их сканировании пользователь переходит на внешнюю ссылку или сайт. Их также часто относят к модели ведения бизнеса O2O (оффлайн-для-онлайн).

Изначально созданные в 1994 году компанией Denso Wave (дочерняя компания Toyota) для использования в японской автомобильной промышленности, QR-коды постепенно начинают использоваться разными компаниями по всему миру.

Самый популярный и самый прибыльный вариант использования QR-кодов — в индустрии платежей. Финансовые учреждения долго искали способ повысить качество обслуживания клиентов и увеличить показатель «простоты использования» своих платежных процессов. Революция смартфонов в конце 2000-х годов стимулировала развитие цифровых и мобильных платежей. Появление QR-кодов стало настоящим чудом, так как теперь любой пользователь смартфона может совершить платеж по мановению руки. В наше время, когда смартфоны широко распространены в обществе, QR-коды нашли свое место в большинстве розничных магазинов, электронной коммерции, оплате счетов и всевозможных встроенных мобильных платежах.
Continue reading

Индустриальный митап #3: в фокусе – безопасная автоматизация техпроцессов

(adsbygoogle = window.adsbygoogle || []).push({});

1 июня в московском офисе «Лаборатории Касперского» в рамках платформы CoLaboratory пройдет третья встреча, посвященная индустриальной безопасности, а именно — защите АСУ ТП. Мы обсудим особенности и технологии ИБ-процессов на производстве, начиная от общих советов по поиску дыр в системе и заканчивая методами машинного обучения для обнаружения аномалий. Отдельное внимание будет уделено специальному проекту, выявляющему уязвимости за вас. Наших гостей ждут три доклада.
Continue reading