Яндекс.Метрика
    Поиск по тегу

    безопасность


    Найдено: 16 записей

    Android

    Перехват аккаунтов пользователей в Wi-Fi-сетях с Android

    imageВ сети стала появляться информация о сниффере под любой рутованный смартфон или планшет на Андроиде (от 2.1), позволяющий ходить под чужими аккаунтами многих веб-сайтов, в том числе Facebook и Vkontakte в общественных сетях Wi-Fi.
    Речь идет о программе DroidSheep.
    О механизме ее работы и использовании поговорим подробнее.

    Песочница

    Настройка функции HIPS в ESET NOD32 «5»

    В новой версии антивируса появилась такая технология как HIPS и в связи с этим постараюсь немного описать как можно защитить работу ОС с помощью этой функции.

    Язолъ

    Groupon и Payture.com — фишинг афера по-новому

    Всем привет!

    В очередной раз просматривая вечером свою почту, увидел интересное предложение от Groupon и решил им воспользоваться. Я очень настороженно ввожу куда-либо свои платёжные данные. Я никогда не вводил свои платёжные данные, так как я параноик. И толи любопытство взяло вверх, толи действительно я решился на это, но я нажал на оплату кредитной картой и меня перекинуло на адрес вида:

    https://secure.payture.com/apim/Pay?SessionId=[UUID]

    Меня ожидала вполне симпатичная страница с полями для ввода тех самых платежных данных.
    https://secure.payture.com
    Сразу же бросился в глаза логотип Альфа-Банка. И я решил почитать о сервисе подробнее, но с главной страницы меня перебросило на сайт Альфа-Банка. Появились мысли, что этот сервис может быть их эквайрингом, а им доверять можно — тем более, что свои счета я держу именно там.

    Насторожило то, что на сайте нет никаких контактов, оферт, соглашений, копирайтов — вообще никакой информации. Посмотрев whois домена, обнаружил, что сервис принадлежит компании Payture Ltd., зарегистрированной в оффшорах British Virgin Islands (страна с населением 25 000 человек:).

    В Альфа-Банке сказали, что этот сервис им не принадлежит и, что данные я ввожу на свой страх и риск. Конечно же, я не стал рисковать, закрыл страницу и забил на акцию Groupon’а. Если они считают нормальным работать с такими вот фишинг-сервисами — то пошли они куда подальше. Хотя есть подозрение, что Groupon может быть причастен к созданию Payture.

    Очень обидно, что компании такого масштаба позволяют так себя вести и такое вот разгильдяйство до сих пор остается безнаказанным.

    upd: что интересно — существует сервис PayTrue (paytrue — payture), который занимается также процессингом платежей. Странно всё это.

    humour

    Безопасность компьютера для параноика

    image Любой специалист по безопасности понимает, что стоимость атаки должна в разы превышать стоимость защищаемого объекта, иначе от системы защиты нет смысла. На «войне», или, что то же самое, в ситуации жесткой конкуренции, в формулу также включается стоимость самой защиты (потому что война за место под солнцем не выгодна обеим сторонам), но к домашнему/офисному пользователю это не относится, поэтому ограничимся пока простой формулой.

    Однако если атака рассчитана на миллионы пользователей, то ее стоимостью можно вообще пренебречь, поскольку в случае успеха выгода несоизмеримо высока. К таким атакам относятся всевозможные вирусы, трояны, программы-шпионы. Как же простому пользователю на 100% уберечь себя от всех этих напастей?

    Считается, что на 100% нельзя. На самом деле — можно, если подойти к проблеме, как настоящий параноик.

    Песочница

    Безопасность компьютера для параноика

    image Любой специалист по безопасности понимает, что стоимость атаки должна в разы превышать стоимость защищаемого объекта, иначе от системы защиты нет смысла. На «войне», или, что то же самое, в ситуации жесткой конкуренции, в формулу также включается стоимость самой защиты (потому что война за место под солнцем не выгодна обеим сторонам), но к домашнему/офисному пользователю это не относится, поэтому ограничимся пока простой формулой.

    Однако если атака рассчитана на миллионы пользователей, то ее стоимостью можно вообще пренебречь, поскольку в случае успеха выгода несоизмеримо высока. К таким атакам относятся всевозможные вирусы, трояны, программы-шпионы. Как же простому пользователю на 100% уберечь себя от всех этих напастей?

    Считается, что на 100% нельзя. На самом деле — можно, если подойти к проблеме, как настоящий параноик.

    Язолъ

    Comdi.Com: дыры в безопасности сервиса и безалаберность разработчиков

    Я тестировщик. Поэтому, я тестирую весь мир вокруг себя, это неизбежно, это карма, это стиль жизни. А ещё я тренер и провожу вебинары, поэтому работала со многими продуктами для проведения вебинаров.

    Раньше я пользовалась русским сервисом Comdi.com. У них очень понятный интерфейс, который нравится участникам вебинаров, поэтому я терпела их даже несмотря на обрывы связи и даже несмотря на их привычку накатывать нерабочие апдейты в пятницу вечером (Сложно передать количество гневных писем, написанных в шоке за выходные, на которые запланированы тренинги — но ответов я так и не получила даже в будни после фиксов).

    Но речь не об этом, а об огромной дыре в их безопасности. Записи всех вебинаров доступны по ссылкам типа:
    my.comdi.com/record/*****/, где последние 5 цифр можно указывать ручками, все вебинары нумеруются по порядку в момент создания встречи (доступны только те записи, которые не удалены с сервиса пользователями и срок оплаты которых не истёк). Эти записи доступны всем, для их просмотра не надо регистрироваться. Среди доступных к просмотру записей — дорогие платные вебинары, закрытые корпоративные совещания, ночные проверки сервиса в трусах, и прочая и прочая.

    Язолъ

    Доверяете ли вы своим системным администраторам? Или сага о Фросте, который поработит мир

    Существует только одна нравственность — это правда, только одна безнравственность — ложь. Фейхтерслебен Р.

    Введение в суть дела


    Недавно в Рунете разразился небольшой скандал, а именно — Максим Шапошников, бывший CTO компании Иннова Системс объявил, что Фрост — система защиты игр, разработанная в Иннове может использоваться для ДДОС атак, шпионажа и другой вредительской деятельности, в том числе спецслужбами иностранных государств. Помимо этого Шапошников обвинил компанию в незаконных увольнениях и привел заявления сотрудников (в электронном виде).

    Веб разработка

    Небезопасный код приостановленного проекта PHP Speedy для Wordpress

    Для решения задачи объединения множества CSS и JS файлов блога на Wordpress я не нашла ничего лучше, чем заброшенный проект PHP Speedy. (Web Optimizer не захотел устанавливаться из-за наличия конфликтующего плагина). Какого же было мое удивление, когда я случайно обнаружила вот такой небезопасный код:

    // action function for above hook
    function mt_add_pages() {
    add_options_page('php_speedy_wp.php', 'PHP Speedy', 0, $this->home_url, array(&$this, 'menu_system'));
    }

    стр. 568 исходного кода

    Обратите внимание на строку с функцией add_options_page(), которая отвечает за добавление пункта меню «PHP Speedy» в списке плагинов для его настройки. 3й параметр этой функции указывает уровень пользователя (от 0 до 10), которому будут доступны настройки плагина. И почему-то этот параметр 0, вместо 10. Это означает, что любой зарегистрированный пользователь вашего блога увидит в консоли этот пункт в меню, ну и конечно, сможет настроить плагин как угодно или даже деактивировать его.

    Так что, если вы еще используете этот плагин и у вас открыта регистрация, обязательно поправьте это недоразумение.

    Язолъ

    Блеск и нищета Читинского Афина-Софт

    «Система «Контур-Экстерн» гарантирует стабильную защищенную передачу электронной отчетности организаций и предпринимателей через Интернет в контролирующие органы России» (с официального сайта).

    «Афина-Софт» и ее продукт «Контур-Экстерн» — одни из лидеров российского рынка по шифрованию данных и отчетности, передаваемых между различными государственными и частными компаниями. Этим продуктом пользуются уже давно. И эти много лет, пока продукт существует, «Афина-Софт» бережет от посягательств важные, секретные и опасные данные своих клиентов. И они стоят на страже, защищаясь от злоумышленников уникальными методиками и системами шифрования…

    А на самом деле? Феерический бардак. Других слов не подобрать к тому, что творится в Афина-Софт, — по крайней мере, в той части, которая имеет дело с Забайкальским краем, с Читой. Представьте ситуацию: в бухгалтерии вдруг ломается Контур-Экстерн, ни с того, ни с сего. А потом начинается интересное.

    Песочница

    Аудит системных вызовов в Linux

    Теория


    Для работы auditd, необходимо что бы ядро было собрано с опциями AUDIT и AUDITSYSCALL
    $ grep AUDIT /boot/config-`uname -r`
    # CONFIG_AUDIT_ARCH is not set
    CONFIG_AUDIT=y
    CONFIG_AUDITSYSCALL=y
    CONFIG_AUDIT_TREE=y
    CONFIG_AUDIT_GENERIC=y

    AUDIT отвечает за общую подсистему аудита в ядре Linux, которую также использует SELinux. AUDITSYSCALL отвечает за инфраструктуру аудита системных вызовов, которая также используется в SELinux.
    Основные особенности системы аудита в ядре Linux:
    • Минимальный оверхед, как при активированном, так и при отключенном аудите
    • Фильтрация на уровня ядра, что бы обеспечить наименьшие издержки
    • Использование Netlink в пользовательских приложений

    Подсознание

    Предупреждающая смерть… или Ангел хранитель… или Смертометр

    Решил поделиться идеей, которую я опубликовал в своем ЖЖ почти 2 года назад. Но ЖЖ мой никто не читает, так что можно считать, что публикую в первый раз.

    Что это: Программа для GPS навигаторов, других устройств с GPS-навигацией, сервис.
    Название: Предупреждающая смерть… или Ангел хранитель… или Смертометр…
    Суть:
    На основании данных о текущем местоположении человека, времени суток, скорости передвижения, погоде программа должна выдавать прогноз вероятности смерти в данном месте при данных условиях. Т.к. входящие данные непрерывно меняются, то также для наглядности может рисоваться график. Также можно добавить предупреждения о критических уровнях о опасности, а также уведомление родителей, в случае если у ребенка критический уровень.

    Наиболее яркие случаи применения:
    1. Если вы разгоняетесь на трассе до 200км/ч то пусть программа предупредит о критическом уровне опасности умереть.
    2. Если вас занесло в горячую точку, то ясное дело уровень опасности будет выше.
    3. Да и просто забавно посмотреть как зависит вероятность смерти от времени суток, особенно когда идешь ночью в районе Битцевского лесопарка

    the_future_is_here

    Повседневное использование ID-карты в Эстонии

    Вчера я показывал, как проходит процедура электронного голосования с помощью id-карты. Сегодня я хочу рассказать о том, как ещё её можно использовать в повседневной жизни. К слову, Эстония — одна из 19 стран Евросоюза, где используются id-карты. Сейчас у нас они потихоньку меняются на новый вариант с биометрическими данными.
    ID-Card
    Немного технических данных из предыдущего топика:
    Технически — обычный X.509. Сертификат и приватный ключ хранятся на чипе ID карточки. Если интересно, то криптоблок RSA реализован с PKCS#1. На компьютер устанавливаются драйвера, которые позволяют на запрос сервера общаться с карточкой и запрашивать PIN коды. Еще есть certification authority (CA) на уровне государства. Сервер устанавливает SSL соединение + запрашивает сертификат клиента. После чего — сертификат проверяется через скаченные CRL списки или OCSP сервис. Если все ок — то, например, в коде можно будет получить доступ к java.security.cert.X509Certificate классу и доступ к различным личным данным, вроде имени/фамилии/персонального кода/номера пасспорта/гражданство.

    Основное предназначение id-карты — она служит официальным документом, удостоверяющим личность. Она имеет такую же силу, как паспорт и водительские права. Признаётся всеми странами Евросоюза, т.е. с ней можно свободно перемещаться по Европе.

    humour

    О хороших антивирусах и самопожертвовании

    Практически крик души.



    Спасибо Bezlik'у за скриншот.

    Подсознание

    Как новичку (и не только) защитить себя от спама и вирусов в интернете

    Эта статья была написана давно, но продолжает оставаться актуальной. Её назначение — роль некой «лечилки» для новичков, которые жалуются на обилие «опасностей интернета», им я ссылку на эту статью и отправляю. Оригинал статьи находится на моей домашней странице, по мере сил я стараюсь обновлять её.

    humour

    Кот взломал парольную защиту iBook

    В дискуссионных группах на сайте Apple появился новый топик, в котором человек поделился своей необычной проблемой. Дело в том, что его кот, любитель поспать на клавиатуре ноутбука iBook, каким-то образом ухитрился, не вводя пароль к экранной заставке, изменить имя жёсткого диска, поменять системные настройки, выполнить какой-то код и сохранить свёрнутые документы.

    В дискуссию, конечно же, набежали любители давать советы, с которыми автор время от времени вступает в перепалку и доказывает, что он не слабоумный идиот.

    via discussions.apple.com