безопасность
Найдено: 16 записей
Android →
Перехват аккаунтов пользователей в Wi-Fi-сетях с Android
В сети стала появляться информация о сниффере под любой рутованный смартфон или планшет на Андроиде (от 2.1), позволяющий ходить под чужими аккаунтами многих веб-сайтов, в том числе Facebook и Vkontakte в общественных сетях Wi-Fi.
Речь идет о программе DroidSheep.
О механизме ее работы и использовании поговорим подробнее.
Речь идет о программе DroidSheep.
О механизме ее работы и использовании поговорим подробнее.
12.02.2012 17:15+0400
Песочница →
Настройка функции HIPS в ESET NOD32 «5»
В новой версии антивируса появилась такая технология как HIPS и в связи с этим постараюсь немного описать как можно защитить работу ОС с помощью этой функции.
21.10.2011 23:53+0400
Язолъ →
Groupon и Payture.com — фишинг афера по-новому
Всем привет!
В очередной раз просматривая вечером свою почту, увидел интересное предложение от Groupon и решил им воспользоваться.Я очень настороженно ввожу куда-либо свои платёжные данные. Я никогда не вводил свои платёжные данные, так как я параноик. И толи любопытство взяло вверх, толи действительно я решился на это, но я нажал на оплату кредитной картой и меня перекинуло на адрес вида:
Меня ожидала вполне симпатичная страница с полями для ввода тех самых платежных данных.
Сразу же бросился в глаза логотип Альфа-Банка. И я решил почитать о сервисе подробнее, но с главной страницы меня перебросило на сайт Альфа-Банка. Появились мысли, что этот сервис может быть их эквайрингом, а им доверять можно — тем более, что свои счета я держу именно там.
Насторожило то, что на сайте нет никаких контактов, оферт, соглашений, копирайтов — вообще никакой информации. Посмотрев whois домена, обнаружил, что сервис принадлежит компании Payture Ltd., зарегистрированной в оффшорах British Virgin Islands (страна с населением 25 000 человек:).
В Альфа-Банке сказали, что этот сервис им не принадлежит и, что данные я ввожу на свой страх и риск. Конечно же, я не стал рисковать, закрыл страницу и забил на акцию Groupon’а. Если они считают нормальным работать с такими вот фишинг-сервисами — то пошли они куда подальше. Хотя есть подозрение, что Groupon может быть причастен к созданию Payture.
Очень обидно, что компании такого масштаба позволяют так себя вести и такое вот разгильдяйство до сих пор остается безнаказанным.
upd: что интересно — существует сервис PayTrue (paytrue — payture), который занимается также процессингом платежей. Странно всё это.
В очередной раз просматривая вечером свою почту, увидел интересное предложение от Groupon и решил им воспользоваться.
https://secure.payture.com/apim/Pay?SessionId=[UUID]
Меня ожидала вполне симпатичная страница с полями для ввода тех самых платежных данных.
Сразу же бросился в глаза логотип Альфа-Банка. И я решил почитать о сервисе подробнее, но с главной страницы меня перебросило на сайт Альфа-Банка. Появились мысли, что этот сервис может быть их эквайрингом, а им доверять можно — тем более, что свои счета я держу именно там.
Насторожило то, что на сайте нет никаких контактов, оферт, соглашений, копирайтов — вообще никакой информации. Посмотрев whois домена, обнаружил, что сервис принадлежит компании Payture Ltd., зарегистрированной в оффшорах British Virgin Islands (страна с населением 25 000 человек:).
В Альфа-Банке сказали, что этот сервис им не принадлежит и, что данные я ввожу на свой страх и риск. Конечно же, я не стал рисковать, закрыл страницу и забил на акцию Groupon’а. Если они считают нормальным работать с такими вот фишинг-сервисами — то пошли они куда подальше. Хотя есть подозрение, что Groupon может быть причастен к созданию Payture.
Очень обидно, что компании такого масштаба позволяют так себя вести и такое вот разгильдяйство до сих пор остается безнаказанным.
upd: что интересно — существует сервис PayTrue (paytrue — payture), который занимается также процессингом платежей. Странно всё это.
03.10.2011 02:17+0400
humour →
Безопасность компьютера для параноика
Любой специалист по безопасности понимает, что стоимость атаки должна в разы превышать стоимость защищаемого объекта, иначе от системы защиты нет смысла. На «войне», или, что то же самое, в ситуации жесткой конкуренции, в формулу также включается стоимость самой защиты (потому что война за место под солнцем не выгодна обеим сторонам), но к домашнему/офисному пользователю это не относится, поэтому ограничимся пока простой формулой.
Однако если атака рассчитана на миллионы пользователей, то ее стоимостью можно вообще пренебречь, поскольку в случае успеха выгода несоизмеримо высока. К таким атакам относятся всевозможные вирусы, трояны, программы-шпионы. Как же простому пользователю на 100% уберечь себя от всех этих напастей?
Считается, что на 100% нельзя. На самом деле — можно, если подойти к проблеме, как настоящий параноик.
Однако если атака рассчитана на миллионы пользователей, то ее стоимостью можно вообще пренебречь, поскольку в случае успеха выгода несоизмеримо высока. К таким атакам относятся всевозможные вирусы, трояны, программы-шпионы. Как же простому пользователю на 100% уберечь себя от всех этих напастей?
Считается, что на 100% нельзя. На самом деле — можно, если подойти к проблеме, как настоящий параноик.
05.09.2011 18:24+0400
Песочница →
Безопасность компьютера для параноика
Любой специалист по безопасности понимает, что стоимость атаки должна в разы превышать стоимость защищаемого объекта, иначе от системы защиты нет смысла. На «войне», или, что то же самое, в ситуации жесткой конкуренции, в формулу также включается стоимость самой защиты (потому что война за место под солнцем не выгодна обеим сторонам), но к домашнему/офисному пользователю это не относится, поэтому ограничимся пока простой формулой.
Однако если атака рассчитана на миллионы пользователей, то ее стоимостью можно вообще пренебречь, поскольку в случае успеха выгода несоизмеримо высока. К таким атакам относятся всевозможные вирусы, трояны, программы-шпионы. Как же простому пользователю на 100% уберечь себя от всех этих напастей?
Считается, что на 100% нельзя. На самом деле — можно, если подойти к проблеме, как настоящий параноик.
Однако если атака рассчитана на миллионы пользователей, то ее стоимостью можно вообще пренебречь, поскольку в случае успеха выгода несоизмеримо высока. К таким атакам относятся всевозможные вирусы, трояны, программы-шпионы. Как же простому пользователю на 100% уберечь себя от всех этих напастей?
Считается, что на 100% нельзя. На самом деле — можно, если подойти к проблеме, как настоящий параноик.
05.09.2011 18:24+0400
Язолъ →
Comdi.Com: дыры в безопасности сервиса и безалаберность разработчиков
Я тестировщик. Поэтому, я тестирую весь мир вокруг себя, это неизбежно, это карма, это стиль жизни. А ещё я тренер и провожу вебинары, поэтому работала со многими продуктами для проведения вебинаров.
Раньше я пользовалась русским сервисом Comdi.com. У них очень понятный интерфейс, который нравится участникам вебинаров, поэтому я терпела их даже несмотря на обрывы связи и даже несмотря на их привычку накатывать нерабочие апдейты в пятницу вечером (Сложно передать количество гневных писем, написанных в шоке за выходные, на которые запланированы тренинги — но ответов я так и не получила даже в будни после фиксов).
Но речь не об этом, а об огромной дыре в их безопасности. Записи всех вебинаров доступны по ссылкам типа:
my.comdi.com/record/*****/, где последние 5 цифр можно указывать ручками, все вебинары нумеруются по порядку в момент создания встречи (доступны только те записи, которые не удалены с сервиса пользователями и срок оплаты которых не истёк). Эти записи доступны всем, для их просмотра не надо регистрироваться. Среди доступных к просмотру записей — дорогие платные вебинары, закрытые корпоративные совещания, ночные проверки сервиса в трусах, и прочая и прочая.
Раньше я пользовалась русским сервисом Comdi.com. У них очень понятный интерфейс, который нравится участникам вебинаров, поэтому я терпела их даже несмотря на обрывы связи и даже несмотря на их привычку накатывать нерабочие апдейты в пятницу вечером (Сложно передать количество гневных писем, написанных в шоке за выходные, на которые запланированы тренинги — но ответов я так и не получила даже в будни после фиксов).
Но речь не об этом, а об огромной дыре в их безопасности. Записи всех вебинаров доступны по ссылкам типа:
my.comdi.com/record/*****/, где последние 5 цифр можно указывать ручками, все вебинары нумеруются по порядку в момент создания встречи (доступны только те записи, которые не удалены с сервиса пользователями и срок оплаты которых не истёк). Эти записи доступны всем, для их просмотра не надо регистрироваться. Среди доступных к просмотру записей — дорогие платные вебинары, закрытые корпоративные совещания, ночные проверки сервиса в трусах, и прочая и прочая.
07.08.2011 10:30+0400
Язолъ →
Доверяете ли вы своим системным администраторам? Или сага о Фросте, который поработит мир
Существует только одна нравственность — это правда, только одна безнравственность — ложь. Фейхтерслебен Р.
Недавно в Рунете разразился небольшой скандал, а именно — Максим Шапошников, бывший CTO компании Иннова Системс объявил, что Фрост — система защиты игр, разработанная в Иннове может использоваться для ДДОС атак, шпионажа и другой вредительской деятельности, в том числе спецслужбами иностранных государств. Помимо этого Шапошников обвинил компанию в незаконных увольнениях и привел заявления сотрудников (в электронном виде).
Введение в суть дела
Недавно в Рунете разразился небольшой скандал, а именно — Максим Шапошников, бывший CTO компании Иннова Системс объявил, что Фрост — система защиты игр, разработанная в Иннове может использоваться для ДДОС атак, шпионажа и другой вредительской деятельности, в том числе спецслужбами иностранных государств. Помимо этого Шапошников обвинил компанию в незаконных увольнениях и привел заявления сотрудников (в электронном виде).
03.07.2011 23:55+0400
Веб разработка →
Небезопасный код приостановленного проекта PHP Speedy для Wordpress
Для решения задачи объединения множества CSS и JS файлов блога на Wordpress я не нашла ничего лучше, чем заброшенный проект PHP Speedy. (Web Optimizer не захотел устанавливаться из-за наличия конфликтующего плагина). Какого же было мое удивление, когда я случайно обнаружила вот такой небезопасный код:
стр. 568 исходного кода
Обратите внимание на строку с функцией
Так что, если вы еще используете этот плагин и у вас открыта регистрация, обязательно поправьте это недоразумение.
// action function for above hook
function mt_add_pages() {
add_options_page('php_speedy_wp.php', 'PHP Speedy', 0, $this->home_url, array(&$this, 'menu_system'));
}
стр. 568 исходного кода
Обратите внимание на строку с функцией
add_options_page()
, которая отвечает за добавление пункта меню «PHP Speedy» в списке плагинов для его настройки. 3й параметр этой функции указывает уровень пользователя (от 0 до 10), которому будут доступны настройки плагина. И почему-то этот параметр 0, вместо 10. Это означает, что любой зарегистрированный пользователь вашего блога увидит в консоли этот пункт в меню, ну и конечно, сможет настроить плагин как угодно или даже деактивировать его.Так что, если вы еще используете этот плагин и у вас открыта регистрация, обязательно поправьте это недоразумение.
29.04.2011 11:40+0400
Язолъ →
Блеск и нищета Читинского Афина-Софт
«Система «Контур-Экстерн» гарантирует стабильную защищенную передачу электронной отчетности организаций и предпринимателей через Интернет в контролирующие органы России» (с официального сайта).
«Афина-Софт» и ее продукт «Контур-Экстерн» — одни из лидеров российского рынка по шифрованию данных и отчетности, передаваемых между различными государственными и частными компаниями. Этим продуктом пользуются уже давно. И эти много лет, пока продукт существует, «Афина-Софт» бережет от посягательств важные, секретные и опасные данные своих клиентов. И они стоят на страже, защищаясь от злоумышленников уникальными методиками и системами шифрования…
А на самом деле? Феерический бардак. Других слов не подобрать к тому, что творится в Афина-Софт, — по крайней мере, в той части, которая имеет дело с Забайкальским краем, с Читой. Представьте ситуацию: в бухгалтерии вдруг ломается Контур-Экстерн, ни с того, ни с сего. А потом начинается интересное.
«Афина-Софт» и ее продукт «Контур-Экстерн» — одни из лидеров российского рынка по шифрованию данных и отчетности, передаваемых между различными государственными и частными компаниями. Этим продуктом пользуются уже давно. И эти много лет, пока продукт существует, «Афина-Софт» бережет от посягательств важные, секретные и опасные данные своих клиентов. И они стоят на страже, защищаясь от злоумышленников уникальными методиками и системами шифрования…
А на самом деле? Феерический бардак. Других слов не подобрать к тому, что творится в Афина-Софт, — по крайней мере, в той части, которая имеет дело с Забайкальским краем, с Читой. Представьте ситуацию: в бухгалтерии вдруг ломается Контур-Экстерн, ни с того, ни с сего. А потом начинается интересное.
11.03.2011 04:47+0300
Песочница →
Аудит системных вызовов в Linux
Теория
Для работы auditd, необходимо что бы ядро было собрано с опциями AUDIT и AUDITSYSCALL
$ grep AUDIT /boot/config-`uname -r`
# CONFIG_AUDIT_ARCH is not set
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_TREE=y
CONFIG_AUDIT_GENERIC=y
AUDIT отвечает за общую подсистему аудита в ядре Linux, которую также использует SELinux. AUDITSYSCALL отвечает за инфраструктуру аудита системных вызовов, которая также используется в SELinux.
Основные особенности системы аудита в ядре Linux:
- Минимальный оверхед, как при активированном, так и при отключенном аудите
- Фильтрация на уровня ядра, что бы обеспечить наименьшие издержки
- Использование Netlink в пользовательских приложений
16.01.2011 21:09+0300
Подсознание →
Предупреждающая смерть… или Ангел хранитель… или Смертометр
Решил поделиться идеей, которую я опубликовал в своем ЖЖ почти 2 года назад. Но ЖЖ мой никто не читает, так что можно считать, что публикую в первый раз.
Что это: Программа для GPS навигаторов, других устройств с GPS-навигацией, сервис.
Название: Предупреждающая смерть… или Ангел хранитель… или Смертометр…
Суть:
На основании данных о текущем местоположении человека, времени суток, скорости передвижения, погоде программа должна выдавать прогноз вероятности смерти в данном месте при данных условиях. Т.к. входящие данные непрерывно меняются, то также для наглядности может рисоваться график. Также можно добавить предупреждения о критических уровнях о опасности, а также уведомление родителей, в случае если у ребенка критический уровень.
Наиболее яркие случаи применения:
1. Если вы разгоняетесь на трассе до 200км/ч то пусть программа предупредит о критическом уровне опасности умереть.
2. Если вас занесло в горячую точку, то ясное дело уровень опасности будет выше.
3. Да и просто забавно посмотреть как зависит вероятность смерти от времени суток, особенно когда идешь ночью в районе Битцевского лесопарка
Что это: Программа для GPS навигаторов, других устройств с GPS-навигацией, сервис.
Название: Предупреждающая смерть… или Ангел хранитель… или Смертометр…
Суть:
На основании данных о текущем местоположении человека, времени суток, скорости передвижения, погоде программа должна выдавать прогноз вероятности смерти в данном месте при данных условиях. Т.к. входящие данные непрерывно меняются, то также для наглядности может рисоваться график. Также можно добавить предупреждения о критических уровнях о опасности, а также уведомление родителей, в случае если у ребенка критический уровень.
Наиболее яркие случаи применения:
1. Если вы разгоняетесь на трассе до 200км/ч то пусть программа предупредит о критическом уровне опасности умереть.
2. Если вас занесло в горячую точку, то ясное дело уровень опасности будет выше.
3. Да и просто забавно посмотреть как зависит вероятность смерти от времени суток, особенно когда идешь ночью в районе Битцевского лесопарка
18.06.2009 13:03+0400
the_future_is_here →
Повседневное использование ID-карты в Эстонии
Вчера я показывал, как проходит процедура электронного голосования с помощью id-карты. Сегодня я хочу рассказать о том, как ещё её можно использовать в повседневной жизни. К слову, Эстония — одна из 19 стран Евросоюза, где используются id-карты. Сейчас у нас они потихоньку меняются на новый вариант с биометрическими данными.
Немного технических данных из предыдущего топика:
Основное предназначение id-карты — она служит официальным документом, удостоверяющим личность. Она имеет такую же силу, как паспорт и водительские права. Признаётся всеми странами Евросоюза, т.е. с ней можно свободно перемещаться по Европе.
Немного технических данных из предыдущего топика:
Технически — обычный X.509. Сертификат и приватный ключ хранятся на чипе ID карточки. Если интересно, то криптоблок RSA реализован с PKCS#1. На компьютер устанавливаются драйвера, которые позволяют на запрос сервера общаться с карточкой и запрашивать PIN коды. Еще есть certification authority (CA) на уровне государства. Сервер устанавливает SSL соединение + запрашивает сертификат клиента. После чего — сертификат проверяется через скаченные CRL списки или OCSP сервис. Если все ок — то, например, в коде можно будет получить доступ к java.security.cert.X509Certificate классу и доступ к различным личным данным, вроде имени/фамилии/персонального кода/номера пасспорта/гражданство.
Основное предназначение id-карты — она служит официальным документом, удостоверяющим личность. Она имеет такую же силу, как паспорт и водительские права. Признаётся всеми странами Евросоюза, т.е. с ней можно свободно перемещаться по Европе.
29.05.2009 17:27+0400
humour →
Безопасность
02.02.2009 12:53+0300
humour →
О хороших антивирусах и самопожертвовании
25.04.2008 23:37+0400
Подсознание →
Как новичку (и не только) защитить себя от спама и вирусов в интернете
Эта статья была написана давно, но продолжает оставаться актуальной. Её назначение — роль некой «лечилки» для новичков, которые жалуются на обилие «опасностей интернета», им я ссылку на эту статью и отправляю. Оригинал статьи находится на моей домашней странице, по мере сил я стараюсь обновлять её.
05.04.2007 13:23+0400
humour →
Кот взломал парольную защиту iBook
В дискуссионных группах на сайте Apple появился новый топик, в котором человек поделился своей необычной проблемой. Дело в том, что его кот, любитель поспать на клавиатуре ноутбука iBook, каким-то образом ухитрился, не вводя пароль к экранной заставке, изменить имя жёсткого диска, поменять системные настройки, выполнить какой-то код и сохранить свёрнутые документы.
В дискуссию, конечно же, набежали любители давать советы, с которыми автор время от времени вступает в перепалку и доказывает, что он не слабоумный идиот.
via discussions.apple.com
В дискуссию, конечно же, набежали любители давать советы, с которыми автор время от времени вступает в перепалку и доказывает, что он не слабоумный идиот.
via discussions.apple.com
26.03.2007 13:07+0400