Microsoft брендирует ядро Windows 10
По информации известных изданий The Verge и Ars Technica, Microsoft пошла на беспрецедентный для себя шаг. Компания хочет изменить внутреннюю нумерацию версии ядра Windows. На одном из китайских сайтов был размещен скриншот новейшей версии Windows 10 TP, на которой видно, что MS отказалась от...
[Из песочницы] Мои правила составления паролей
Отступление «раз»: я ни в коей мере не претендую на звание «истины в последней инстанции» и могу с легкостью сойти за «КО»; Отступление «два»: аудиторией данного поста в большей части являются недавно «прибившиеся» к сети или «прибившиеся» давно, но к защите своей информации ещё не привыкшие;...
[Из песочницы] Мои правила составления паролей
Отступление «раз»: я ни в коей мере не претендую на звание «истины в последней инстанции» и могу с легкостью сойти за «КО»; Отступление «два»: аудиторией данного поста в большей части являются недавно «прибившиеся» к сети или «прибившиеся» давно, но к защите своей информации ещё не привыкшие;...
Атака на банкомат с помощью Raspberry Pi
Что только не делают с банкоматами: их выдирают из стены, привязав тросом к автомобилю, сверлят, взрывают и режут (иной раз в здании Госдумы). По статистике EAST, преступники стали реже использовать скимминг, предпочитая траппинг и физические диверсии. Немало хлопот специалистам по безопасности...
Обходим защиту iOS клиента Dropbox
Что в первую очередь сделает iOS разработчик, если перед ним встанет задача спрятать пользовательские данные от любопытных глаз? Конечно же, встроит экран парольной защиты. Особо хитрый разработчик даже не будет хранить установленный пользователем пароль в NSUserDefaults, а аккуратно спрячет его в...
Злоумышленники используют CVE-2014-6332
Недавно мы писали про новую опасную уязвимость CVE-2014-6332 в Windows, которая присутствовала (MS14-064) в библиотеке OleAut32.dll, а точнее, в функции OleAut32!SafeArrayRedim. Эта функция используется движком VBScript (vbscript.dll) для run-time изменения размера массива в формате SAFEARRAY. В...
[Из песочницы] PIN-код при оплате картой — точки над i
Всем доброго дня! После прочтения нескольких статей на хабре о пластиковых картах, POS терминалах и сопутствующих вещах, мне показалось, что эта тема довольно интересна сообществу. В данной небольшой публикации я хочу окончательно разобрать тему ввода PIN–кода на POS терминалах и ответить, наконец,...
Сертификация доступа: уменьшаем риски, вооружившись актуальными данными
Внутренняя политика и правила предприятия требуют от менеджеров постоянно следить за актуальностью уровня доступа сотрудников. Для организаций сферы здравоохранения, государственных ведомств, финансовых учреждений, любых акционерных обществ и предприятий, принимающих к оплате кредитные карты, это...
PentestIT. Практическая информационная безопасность: итоги 2014 года, часть II
Привет всем нашим читателям и просто людям, интересующимся информационной безопасностью. В предыдущей статье мы начали подведение итогов 2014 года и рассказали о на наших уникальных программах обучения. В этой статье мы попытаемся кратко рассказать о публичной жизни нашей компании и ее результатах....
Троян Regin: кто шпионит за GSM через Windows?
В нескольких последних публикациях нашего блога мы рассказывали об уязвимостях сетей мобильной связи, а также о возможностях прослушки на основе таких уязвимостей. При этом читатели в комментариях не раз выражали сомнение в том, что можно вот так легко попасть во внутреннюю технологическую сеть...
[Из песочницы] SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным
Как ранее сообщалось на GeekTimes, EFF при поддержке Mozilla, Cisco, Akamai, IdenTrust и исследователей из Мичиганского университета (University of Michigan) создали новый некоммерческий центр сертификации (Certificate Authority) Let's Encrypt [1]. Целью проекта является ускорение перехода...
[Из песочницы] Защита .net приложения от посторонних глаз
«Как защитить код своего .net приложение?» – один из тех вопросов, который можно часто услышать на различных форумах. Самый распространённый вариант – обфускация. С одной стороны — прост в использовании, а с другой — не достаточно надёжно прячет исходники. Предложу свой вариант, хорошо подходящий...
[Из песочницы] CryptSync и GnuPG — возможности кастомизации и невозможность использования
Недавно прочитал интересную для себя статью о криптографической защите данных, хранимых в облачных сервисах: «Обзор вариантов шифрования данных в облаках для Windows». Очень интересной показалась программа CryptSync — простая и самодостаточная. Программа синхронизирует 2 каталога, шифруя при этом...
Вебинар — «Дозор-Джет: управление лояльностью сотрудников»
Дата проведения: 03 декабря 2014 года Время проведения: с 12:00 до 13:00 (время московское) Место проведения: online Приглашаем вас к участию в вебинаре, во время которого вы: увидите способы решения проблем контроля лояльностью сотрудников; познакомитесь с новой версией «Дозор-Джет» 5.0.4;...
[Перевод] Развертывание IBM Security Network Protection в Open vSwitch
Всем хаброжителям доброго времени суток! В этой статье вы сможете узнать, как настроить IBM Security Network Protection (XGS5100) в основанной на Open vSwitch программно-конфигурируемой сети(SDN), и защитить-таки все ваши виртуальные активы. Open vSwitch — это виртуальный коммутатор на основе...
Статья про нетипичную эксплуатацию SQL инъекции и про трюк в sqlmap. А еще — про Counter Strike
Очень давно не писал на Хабр и решил поделиться небольшой, произошедшей в свободное время, и забавной историей. Нет-нет, это статья не о том, что такое sqli и как от них защищаться, а про нетипичную «раскрутку» SQLi. Полезна будет скорее начинающим веб-пентестерам как обучение и, внезапно,...
[Перевод] Безопасность Виртуализации. Часть 2
Продолжение перевода статьи «Virtualization Security» за авторством Terry Komperda. Часть 2. 7. РЕКОМЕНДАЦИИ И ОПТИМАЛЬНЫЕ МЕТОДЫ ПО БЕЗОПАСНОЙ ВИРТУАЛИЗАЦИИ 7.1 Доступ Администратора и Разделение Обязанностей Предоставьте администраторам серверов права на включение/выключение только своего...
[Перевод] Безопасность Виртуализации. Часть 2
Продолжение перевода статьи «Virtualization Security» за авторством Terry Komperda. Часть 2. 7. РЕКОМЕНДАЦИИ И ОПТИМАЛЬНЫЕ МЕТОДЫ ПО БЕЗОПАСНОЙ ВИРТУАЛИЗАЦИИ 7.1 Доступ Администратора и Разделение Обязанностей Предоставьте администраторам серверов права на включение/выключение только своего...