А ты хто такой? Эволюция протоколов аутентификации MySQL и MariaDB в лицах
В далекие времена, до фейсбука и гугла, когда 32 мегабайта RAM было дофига как много, security была тоже… немножко наивной. Вирусы выдвигали лоток CD-ROM-а и играли Янки Дудль. Статья «Smashing the stack for fun and profit» уже была задумана, но еще не написана. Все пользовались telnet и ftp, и...
Отчет с OWASP Russia Meetup #6: видео и презентации докладов
На прошлой неделе в московском офисе Positive Technologies состоялась первая в 2017 году встреча российского отделения OWASP (международного сообщества специалистов по информационной безопасности). Сегодня мы публикуем отчет об этом митапе, а также видео и презентации представленных на нем...
Отчет с OWASP Russia Meetup #6: видео и презентации докладов
На прошлой неделе в московском офисе Positive Technologies состоялась первая в 2017 году встреча российского отделения OWASP (международного сообщества специалистов по информационной безопасности). Сегодня мы публикуем отчет об этом митапе, а также видео и презентации представленных на нем...
Построение демилитаризованной зоны DMZ в системах АСУ ТП с помощью протоколов Modbus и МЭК-60870-5-104
Всем здравствуйте! Статься предназначена для специалистов в области АСУ ТП. Остальным она может оказаться непонятной из-за обилия специфических терминов. Как правило в АСУ ТП реализация демилитаризованной зоны выглядит следующим образом: В сети №1 есть OPC-сервер от которого должен получать данные...
[Перевод] Требования к паролям — полная чушь
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности. «Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать». Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после...
[Перевод] Требования к паролям — полная чушь
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности. «Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать». Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после...
Корпоративные лаборатории — учебный процесс
Корпоративные лаборатории Pentestit — уникальные по своему формату и содержанию курсы практической ИБ-подготовки, разработанные на основе лучших практик тестирования на проникновение и анализа защищенности, по уровню содержания сравнимые с материалами хакерских конференций. Читать дальше →...
Корпоративные лаборатории — учебный процесс
Корпоративные лаборатории Pentestit — уникальные по своему формату и содержанию курсы практической ИБ-подготовки, разработанные на основе лучших практик тестирования на проникновение и анализа защищенности, по уровню содержания сравнимые с материалами хакерских конференций. Читать дальше →...
[Из песочницы] NeoQuest 2017: Выбираемся из додекаэдра, не запуская ничего в qemu
«Затерянные в додекаэдре» На Земле – египетские пирамиды, а на этой планете – один (зато какой!) гигантский додекаэдр, левитирующий в воздухе на высоте порядка десяти метров. Должно быть, именно в нём и кроется вся загадка этой планеты. Сама фигура как бы приглашает исследовать ее – одна из граней...
[NeoQuest2017] «В поиске землян» и не только…
Пару дней назад завершился очередной отборочный online-этап ежегодного соревнования по кибербезопасности — NeoQuest2017. Выражаю особую благодарность организаторам: с каждым годом история всё увлекательнее, а задания сложнее! А эта статья будет посвящена разбору девятого задания: PARADISOS...
Надёжная авторизация для веб-сервиса за один вечер
Предыстория Осень 2015-ого. Примерно полтора года назад, когда мне случилось стать участником разработки проекта, где пользователей существенно больше пары десятков человек, я наконец-то впервые в своей жизни задумался о надёжности авторизации. По сути, авторизация — это то, с чего начинается...
Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен
Сначала новость, потом мои рассуждения на эту тему. Новость Помните прошлогодние утечки об уязвимостях в Cisco и Fotrinet (раз, два, три)? Тенденция сохраняется. 7 марта СМИ опубликовали информацию про очередные секретные данные о наработках спецслужб США в области сетевых технологий — Vault 7....
Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен
Сначала новость, потом мои рассуждения на эту тему. Новость Помните прошлогодние утечки об уязвимостях в Cisco и Fotrinet (раз, два, три)? Тенденция сохраняется. 7 марта СМИ опубликовали информацию про очередные секретные данные о наработках спецслужб США в области сетевых технологий — Vault 7....
NeoQuest 2017: Реверс андроид приложения в задании «Почини вождя!»
Всем доброго времени суток, сегодня, 10 марта закончился онлайн этап NeoQuest 2017. Пока жюри подводят итоги и рассылают пригласительные на финал, предлагаю ознакомиться с райтапом одного из заданий: Greenoid за который судя по таблице рейтинга, можно было получить до 85 очков. Читать дальше →...
Security Week 10: удаленное управление по DNS, как Google капчу свою обманул, дыра в плагине к Wordpress
Не перевелись еще виртуозы на темной стороне. Какие-то ушлые ребята нашли очередное вредоносное применение многострадальному протоколу DNS. Помните, лет десять назад вошли в моду DDoS-атаки типа DNS Amplification? Так они до сих пор в тренде. Еще тогда ддосеры додумались использовать замечательные...
Security Week 10: удаленное управление по DNS, как Google капчу свою обманул, дыра в плагине к Wordpress
Не перевелись еще виртуозы на темной стороне. Какие-то ушлые ребята нашли очередное вредоносное применение многострадальному протоколу DNS. Помните, лет десять назад вошли в моду DDoS-атаки типа DNS Amplification? Так они до сих пор в тренде. Еще тогда ддосеры додумались использовать замечательные...
Хакер выставил на продажу 640 тысяч украденных аккаунтов пользователей PlayStation
Пользователь одного из хакерских форумов в даркнете под ником SunTzu583 выставил на продажу 640 тысяч аккаунтов пользователей PlayStation. Дамп данных содержит электронные адреса и незашифрованные пароли пользователей. Стоимость «товара» составляет всего $35,71 (0,0292 биткойна), источник утечки...
Хакер выставил на продажу 640 тысяч украденных аккаунтов пользователей PlayStation
Пользователь одного из хакерских форумов в даркнете под ником SunTzu583 выставил на продажу 640 тысяч аккаунтов пользователей PlayStation. Дамп данных содержит электронные адреса и незашифрованные пароли пользователей. Стоимость «товара» составляет всего $35,71 (0,0292 биткойна), источник утечки...