«Скрытые угрозы», тест по инцидентам в сфере кибербезопасности
Информационная безопасность — самая увлекательная и азартная сфера компьютерных технологий. В ИБ постоянно идет противоборство «меча и щита», средств атаки и защиты. Но даже самая мощная защита может быть неэффективна, если не уметь с ней обращаться. А учиться можно на громких провалах других...
Кардинг и «чёрные ящики»: как взламывают банкоматы сегодня
Стоящие на улицах города железные коробки с деньгами не могут не привлекать внимание любителей быстрой наживы. И если раньше для опустошения банкоматов применяли чисто физические методы, то теперь в ход идут все более искусные трюки, связанные с компьютерами. Сейчас наиболее актуальный из них — это...
Атаки по обходным каналам: теперь под ударом не только ПК, но и смартфоны (аналитический обзор)
Хотя мобильные устройства пользуются всё большим и большим спросом, а атаки на кэш-память по обходным каналам (далее по тексту – кэш-атаки) представляют собой мощнейший способ взлома современной микропроцессорной электроники, до 2016 года существовало лишь несколько публикаций о применимости этих...
От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)
В начале года мне написал сотрудник одной фирмы. Как я понял, в компании произошел небольшой конфликт. Из-за которого существовал риск компроментации системы каким-то из сотрудников. Решение провести аудит системы определенно было правильное. Ведь результаты проверки приятно удивили меня, и...
[Перевод] Фаззинг в стиле 2000 года на современных приложениях Windows 10
Рис. 1. Ушиблен, но не сломлен. Калькулятор Windows, чей код недавно опубликован на Github, оказался одним из двух протестированных приложений, которые не зависли и не упали в противостоянии с фаззером оконных сообщений разработки 2000 года. Размер окна специально увеличен, чтобы показать артефакты...
История одной НЕ уязвимости
Некоторое время назад мне предоставилась возможность поэксперементировать с настройками одного заурядного роутера. Дело в том, что первое апреля обязывало меня разыграть своих товарищей с университета. В университеть была Wi-Fi сеть. Мною было решено поднять на своем роутере поддельную есть (задать...
[Из песочницы] Внедрение LoRaWAN на сельскохозяйственном предприятии. Все о стройке, запуске и решениях
Добрый день! Сегодня, этим постом, начну серию рассказов о том, как я познакомился и построил свою первую сеть LoRaWAN. Расскажу о поставленных задачах, решениях, и победах над собой. Предстала однажды передо мной задача: Найти/реализовать охранную систему для дождевальных машин, типа «Фрегат»( для...
А ну его, ваш пентест
В области информационной безопасности постоянно что-то происходит — она развивается, появляются новые средства защиты, которые, если верить их описанию, умеют все. Ни один хакер не сможет прорваться сквозь них в вашу информационную систему и сделать свои темные хакерские делишки. Когда читаешь про...
Исповедь тестировщика: как я покопался в IDS конкурента
Ни один уважающий себя UTM-шлюз сетевой безопасности не обходится без системы обнаружения вторжений IDS (Intrusion Detection System). Другое дело, что опция зачастую указывается производителем для галочки, чтобы не отставать от конкурентов. Знаю по своему опыту тестировщика, как это бывает — вроде...
[Перевод] Разница между красными, синими и фиолетовыми командами
Здравствуйте, коллеги. Напоминаем, что не так давно у нас вышли две классные классические книги о хакинге и анализе вредоносного ПО. А также на подходе великолепная книга о дистрибутиве Kali Linux. Тем не менее, мы по-прежнему полагаем, что тема компьютерной безопасности у нас охвачена не полностью...
Epic fail of the month: rsync как «вектор» на утянуть данные
Изначально просто хотел бросить ссылкой к некоторым комментариям для первой ветки вот этой статьи, в качестве примера, почему торчать портами наружу (почём зря) — не есть хорошо. Ну и ответ вырос в простыню в эту статью, да и коммент увидит раз-два человека (а так возможно кому пригодится). Речь...
Двойка вам, или аудит со взломом
Как всегда без имен и названий, и так как я дополнительно связан подписью о неразглашении, еще и с немного видоизменённой историей (и опуская некоторые подробности, на публикацию которых я не получил разрешения). Ниже следует реальная история проникновения на компьютер сотрудника… ну скажем...
Дыра как инструмент безопасности – 2, или как ловить APT «на живца»
(за идею заголовка спасибо Sergey G. Brester sebres) Коллеги, целью данной статьи является желание поделиться опытом годичной тестовой эксплуатации нового класса IDS-решений на основе Deception-технологий. Читать дальше →...
[Перевод] HoleyBeep: объяснение и эксплоит
В былые времена люди использовали a для генерирования неприятных «гудков» из спикеров системных блоков. Это было особенно неудобно, если хотелось генерировать более сложные звуковые последовательности вроде 8-битной музыки. Поэтому Джонатан Найтингейл написал программу beep. Это была коротенькая и...
[Перевод] Zane Lackey: “Не следует инвестировать в безопасность, только чтобы соответствовать требованиям закона”
Роль руководителя по информационной безопасности постоянно повышается, переходя от традиционного «сторожа» к более универсальному общекорпоративному куратору вопросов безопасности. Сегодня наш гость – это Зейн Лаки (Zane Lackey), один из наиболее важных «белых» хакеров в мире, автор таких книг как...
О перехвате трафика: 4-10% зашифрованного HTTPS-трафика сегодня перехватывается
Совсем недавно довелось наткнуться на весьма любопытную заморскую статью. Хотелось бы сопоставить изложенные там факты с российским опытом. Смело делитесь своими мыслями в коментариях. Спойлер: шеф, все пропало! Читать дальше →...
[Из песочницы] Немного о безопасности терминалов в МФЦ
Всем привет! Недавно занесла меня нелёгкая в МФЦ (для тех, кто вдруг не в курсе, МФЦ — это многофункциональный центр по предоставлению государственных и муниципальных услуг, т. е. всевозможные бумажки делаются здесь). Пока ждал своей очереди, мозг усиленно искал какой-нибудь способ провести время с...
Для повышения надежности и безопасности банковского программного обеспечения используйте PVS-Studio
Среди наших клиентов постепенно начинают появляться организации, занимающиеся разработкой программного обеспечения в сфере финансов. У нас много статей, посвященных разным тематикам, но сферу финансов мы как-то незаслуженно обошли стороной. Попробуем исправиться и со временем написать ряд статей, а...