Уязвимости онлайн-банков 2016: лидируют проблемы авторизации
Так как системы дистанционного банковского обслуживания (ДБО) представляют собой общедоступные веб- и мобильные приложения, для них характерны все уязвимости, известные в сфере безопасности приложений, а также угрозы, связанные со спецификой банковской сферы: хищение денежных средств,...
Уязвимости онлайн-банков 2016: лидируют проблемы авторизации
Так как системы дистанционного банковского обслуживания (ДБО) представляют собой общедоступные веб- и мобильные приложения, для них характерны все уязвимости, известные в сфере безопасности приложений, а также угрозы, связанные со спецификой банковской сферы: хищение денежных средств,...
Об охоте на «насекомых»: программа bug bounty в Одноклассниках
Как известно, bug bounty — это программа вознаграждения за информацию о проблемах с безопасностью в продукте. С помощью вознаграждений разработчик стимулирует сообщать о найденных уязвимостях ему, а не продавать информацию на черном рынке, и выигрывает время на исправление проблемы прежде чем о ней...
Об охоте на «насекомых»: программа bug bounty в Одноклассниках
Как известно, bug bounty — это программа вознаграждения за информацию о проблемах с безопасностью в продукте. С помощью вознаграждений разработчик стимулирует сообщать о найденных уязвимостях ему, а не продавать информацию на черном рынке, и выигрывает время на исправление проблемы прежде чем о ней...
ProjectSauron: кибершпионское ПО, взламывающее зашифрованные каналы связи госорганизаций
ProjectSauron пять лет маскировался под фильтр паролей для систем Windows, оставаясь незамеченным «Лаборатория Касперского» обнаружила мощный специализированный вирус, работавший незамеченным в сетях разных госорганизаций с 2011 года. Действия вируса были направлены на взлом зашифрованных каналов...
ProjectSauron: кибершпионское ПО, взламывающее зашифрованные каналы связи госорганизаций
ProjectSauron пять лет маскировался под фильтр паролей для систем Windows, оставаясь незамеченным «Лаборатория Касперского» обнаружила мощный специализированный вирус, работавший незамеченным в сетях разных госорганизаций с 2011 года. Действия вируса были направлены на взлом зашифрованных каналов...
Летний дедлайн: Топ-10 курсов Microsoft Virtual Academy
Это последняя статья из серии материалов для прокачки скиллов в виртуальной академии Microsoft MVA. Предыдущие две можно найти здесь и здесь. В ней подобраны must-have курсы для подготовленных специалистов: виртуализация ЦОД с помощью Windows Server 2012 R2 и System Center 2012 R2, безопасность...
[Перевод] Multigrain: особенности вредоносной программы для PoS-терминалов
Multigrain – это вредоносная программа для PoS-терминалов, которая специализируется на краже информации с банковских карт при использовании техник RAM-Scraping (она напрямую обращается к ОЗУ из определенных процессов для получения информации о картах). Это стало очень популярным методом, т.к....
[Перевод] Multigrain: особенности вредоносной программы для PoS-терминалов
Multigrain – это вредоносная программа для PoS-терминалов, которая специализируется на краже информации с банковских карт при использовании техник RAM-Scraping (она напрямую обращается к ОЗУ из определенных процессов для получения информации о картах). Это стало очень популярным методом, т.к....
Security Week 31: новости с Blackhat
Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей....
Security Week 31: новости с Blackhat
Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей....
NIST: SMS нельзя использовать в качестве средства аутентификации
Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью...
NIST: SMS нельзя использовать в качестве средства аутентификации
Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью...
[Из песочницы] Грамотный аудит безопасности сайта
Безопасность веб-приложений всегда была больной темой. Говорят о ней много, но общая картина от этого практически не меняется – хакерских атак по-прежнему немало, и зачастую они весьма успешны для злоумышленников и затраты для пострадавших. С серьезной проблемой столкнулись владельцы южнокорейской...
[Из песочницы] Грамотный аудит безопасности сайта
Безопасность веб-приложений всегда была больной темой. Говорят о ней много, но общая картина от этого практически не меняется – хакерских атак по-прежнему немало, и зачастую они весьма успешны для злоумышленников и затраты для пострадавших. С серьезной проблемой столкнулись владельцы южнокорейской...
[Перевод] Сказки Ransomwhere: Cerber на подъеме
Cerber – это относительно новое семейство шифровальщиков, от которого сильно страдают в последние несколько месяцев. В этой статье мы хотим взглянуть на некоторые техники, которые используются для заражения своих жертв. Глава 2: Cerber Читать дальше →...
[Перевод] Сказки Ransomwhere: Cerber на подъеме
Cerber – это относительно новое семейство шифровальщиков, от которого сильно страдают в последние несколько месяцев. В этой статье мы хотим взглянуть на некоторые техники, которые используются для заражения своих жертв. Глава 2: Cerber Читать дальше →...
Есть ли жизнь после отказа популярных браузеров от поддержки архитектуры NPAPI
Задачи строгой двухфакторной аутентификации и усиленной электронной подписи традиционно решаются с использованием средств криптографической защиты информации, выполненных в виде токенов. Для усиленной защиты от киберпреступников при работе пользователя в потенциально уязвимой среде дополнительно...