Эти чертовы инкрементальные айдишники
Как программисту, принимавшему участие в разработке платежных систем, мне неоднократно приходилось анализировать на наличие уязвимостей различные платежные сервисы, хранящие персональные данные клиентов и я постоянно сталкиваюсь с одной очень распространенной проблемой. Имя этой проблеме —...
Apple исправляет уязвимости в iOS 7
Компания Apple выпустила iOS 7.1.2, исправив более 40 уязвимостей в таких компонентах iOS как CoreGraphics, Kernel, Lock Screen, Safari и др. Пользователи уже сейчас могут обновить свои iDevice (iPhone 4+, iPod Touch 5, iPad 2+) до самой последней версии iOS. Как обычно, обновление для устройств...
[Из песочницы] Web Application Firewall (ModSecurity) в действии
Атаки на уровень web-приложений одни из самых распространенных и часто крайне критичны. В данной статье хочу показать насколько способен WAF ModSecurity отражать данные угрозы. 1. Межсетевой экран уровня web-приложений Modsecurity 1.1 Проект ModSecurity ModSecurity создан Иваном Ристиком (Ivan...
Чарльз Херцфилд: директор DARPA и крестный отец ARPANET
“People are as important as ideas.” (Herzfeld 2005) Есть два Чарльза Херцфилда (Charles Herzfeld), один трудился над созданием фильмов «Черный лебедь», «Рестлер» и «Her», другой, будучи директором DARPA, принял персональное решение о создании ARPANET. Цели ARPANET: — проведение...
Application Porno или секреты мобильных приложений. Как их найти и унести всё
В новостной ленте я недавно обнаружил любопытное исследование, где ребята скачали и распарсили Android Playmarket, проанализировали сотни тысяч приложений на предмет наличия зашитых секретных токенов и паролей. То что результат их работы касался только анализа декомпилированного кода под Android,...
Yii 1.1.15 (исправление безопасности)
Вышел PHP-фреймворк Yii 1.1.15, исправляющий проблему безопасности, найденную в 1.1.14. Более ранние версии не затронуты. Если вы используете его, следует обновиться. 1.1.15 полностью совместим с 1.1.14. Уязвимость затрагивает `CDetailView`. Если ваше приложение берёт значение `value` от...
Опыт проверок Роскомнадзором операторов персональных данных за последний год
Указанное в заголовке ведомство в последнее время все чаще фигурирует на хабре в новостях, связанных какими-нибудь очередными черными списками и смешными блокировками, но в этой статье я хотел бы вспомнить об одной из не менее важных функций Роскомнадзора – надзор за выполнением законодательства в...
Как мне «помогли» в саппорте jabber
Доброго времени суток, хабр. Хочу в кратце поделиться тем, как сегодня обратился в тех. поддержку jabber.ru: support@conference.jabber.ru и что узнал. Года 3 назад искал я решение для общения с людьми из списка контактов моего маил ру аккаунта из под Убунты, нашел вариант привязки маил ру учетки к...
Как мне «помогли» в саппорте jabber
Доброго времени суток, хабр. Хочу в кратце поделиться тем, как сегодня обратился в тех. поддержку jabber.ru: support@conference.jabber.ru и что узнал. Года 3 назад искал я решение для общения с людьми из списка контактов моего маил ру аккаунта из под Убунты, нашел вариант привязки маил ру учетки к...
«Отмороженный» компьютер и полезный «Хрюкер»: чем удивит NeoQUEST-2014
Осталось меньше недели до NeoQUEST-2014, и мы еще раз выделим ключевые аспекты мероприятия, ради которых всем интересующимся информационной безопасностью стоит посетить нас! Тем более, что наш список докладов был расширен. Напомним, что NeoQUEST пройдет в Питере, и вход для всех...
Выбираем защищенный IM для Android
Решил я поискать какой-нибудь защищенный мессенджер, посмотреть, что сделали люди за все это время. Протестировал более 20 мессенджеров разной степени готовности. Интересовали только мессенджеры со «своим» протоколом, т.к. в XMPP-мире все нормально и ожидаемо. Меня, в основном, интересовали...
Дата судного дня или Microsoft наносит ответный удар
Решил проверить просрочку сертификатов ssl при изменении системного времени, переведя системные часы на 100 лет вперёд. Результат удивил… Читать дальше →...
Пароль от Wifi-сети центра обеспечения безопасности ЧМ 2014 транслировался на экран и попал на фото местной газеты
И снова курьезы. Как известно, в Бразилии сейчас идет чемпионат мира по футболу. За его безопасность отвечают различные службы, в частности центр мониторинга, занимающийся отслеживанием и обработкой данных с камер наблюдения (к слову, стоивший много миллионов и проектируемый иностранным...
Органам власти в Иркутской области запретили пользоваться Google
Согласно документам, полученным от источника в правительстве региона, министерствам и органам местного самоуправления в Иркутской области даны указания отказаться от использования интернет-сервисов зарубежной компании Google. Областным и муниципальным органам власти необходимо запретить...
ProtonMail или что же это на самом деле?
ProtonMail История ProtonMail, сервиса защищенной веб-почты, о котором уже было довольно много написано (в том числе и здесь), началась летом 2013 года, когда группа ученых из CERN (Европейская организация по ядерным исследованиям) объединила усилия в работе над улучшением ситуации с безопасностью...
Критическая уязвимость OpenVZ
Обход ограничений контейнера simfs OpenVZ — CVE-2014-3519. Существует возможность получить доступ к файлам за пределами своего контейнера. Функция open_by_handle_at () позволяет получить доступ к файлам на смонтированной файловой системе используя file_handle структуру. Это позволяет злоумышленнику...
Использование ключа КриптоПро c криптопровайдером Bouncy Castle для создания ЭЦП
Задача: реализовать протокол обмена данными с контрагентом на основе SOAP с подписью ГОСТ и ключом КриптоПро. Java, Linux. Скачиваю КриптоПро CSP. Устанавливаю. Перезагружаясь в черный экран, понимаю, что КриптоПро убил мою рабочую Win7. Пустяки, дело житейское. Пока восстанавливается система...
Приложение «Yo», попавшее в топ-10 приложений App Store в США, взломано студентами колледжа
Только вчера на Хабре публиковалась новость о простеньком приложении «Yo», которое внезапно стало популярным. Это приложение попало в топ-10 приложений App Store в США, плюс получило 1 млн долларов США инвестиций. Приложение отметил даже Элон Маск, назвавший его лучшим мессенджером (это сообщение...