WWWorld.ru · Темы дня · Разделы дня · Интересы дня · 2012 · Свежие новости

Уитфилд Диффи, один из пионеров криптографии с открытым ключом, выступил с докладом на на конференции Black Hat Europe. osp.ru »

Здравствуйте, уважаемые хабра-пользователи. Довольно давно я написал PHP скрипт — fork-бомбу и начал его тестировать на различных серверах/хостингах. На моё удивление, скрипт работал на 90% протестированных мною компаний. Я отписал об этой баге во многие компании, но прошло уже много времени, а она до сих пор актуальна. Читать дальше → habrahabr.ru »

Может быть и не настолько новое направление, но только сейчас было замечено такое. Сегодня был приятно удивлен тому, что меня заблокировали на одноклассниках. Никакого подозрения в мошенничестве не было. Причина блокирования: С Вашего ip замечена подозрительная активность. Возможно Ваш аккаунт пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта. И поле ввода телефона. Подозрений не было никаких, всё выглядело реалистично. И моя фотография и фото друзей и прочие что было присуще только моей странице. Читать дальше → habrahabr.ru »

Во вторник утром были арестованы ключевые участники хакерской группы, известной как LulzSec. В соответствии с информацией от Foxnews.com, властям помогал Гектор Ксавье, человек, который считается лидером группы. Были арестованы 5 членов группы — по двое из Лондона и Ирландии и один — из Чикаго. LulzSec является своеобразным «филиалом» тех самых Anonymous. Обе группировки обвинялись во взломе ресурсов ЦРУ, ФБР, Sony и правительственных сайтов Великобритании и Мексики. Гектор Ксавье Монсегур. Эксклюзивное фото Foxnews.com Читать дальше → habrahabr.ru »

На одном сайте на поддержке в js был обнаружен странный код, точнее было понятно что это зловред: аваст выдал предупреждение, а консоль показала что есть соединение с несколькими левыми сайтами. Как вредоносный код попал на сайт не так важно, предполагаемая дыра уже закрыта, но, прежде чем окончательно удалять код, я решил посмотреть что же он такого делает. Читать дальше → habrahabr.ru »

Несколько часов назад программист из Санкт-Петербурга Егор Хомяков сделал коммит в основную ветку Ruby on Rails (скриншот) В личном блоге Егор написал, что обнаруженная им уязвимость позволяет делать pull/commit/push в любом репозитории на Github. Свой поступок он объяснил раздражением от того, что мейнтейнеры Rails игнорировали баг, о котором он сообщил, и поэтому Егор теперь решил протестировать его на первом попавшемся проекте. habrahabr.ru »

Первый день весны ознаменовался крупной кражей биткоинов. Злоумышленники избрали своими жертвами владельцев биткоинов, хранивших свои кошельки в облачном хостинге Linode.com. Первым заметил следы атаки владелец одного из известных майнинг-пулов mining.bitcoin.cz Marek Palatinus, известный в bitcoin-кругах под ником slush. Как он пишет в своем блоге, рано утром он получил SMS о том, что баланс кошелька, используемого его пулом для выплаты намайненных монет, опустился ниже установленного порога. Читать дальше → habrahabr.ru »

Приветствую, коллеги. Вопрос автоматических сканеров безопасности стоит весьма остро на «корпоративном» рынке услуг. Конечно, кому же хочется проверять тысячи хостов вручную? Поскольку спрос рождает предложение, вы можете найти их на любой вкус, цвет и бюджет. Они призваны решать одни и те же цели: комплайнс-менеджмент. Тем самым сэкономить корпорации огромное количество денег при массовой стандартизации PCI DSS и подобным стандартам. Они все такие разные, но все же у них есть одна общая черта: полнейшая анархия и разброд в формате отчетов, результатов инвентаризации и контента для обновления. Как каждая группа программистов придумала, так и было сделано. Такая ситуация привод к тому, что сравнить сканеры безопасности становится чрезвычайно трудоемко. А разговора о том, что бы использовать накопившиеся за время использования продукта «А» данные при переходе на продукт «Б» не может быть и речи. Как же: куда не сунься, везде «коммерческая тайна» да «интеллектуальная собственность». Решение, уважаемый мой читатель, очевидно: стандартизация входных и выходных форматов на всех этапах деятельности сканера. Именно это и описано в стандарте Open Vulnerability and Assessment Language (OVAL®) Читать дальше → habrahabr.ru »

Палата представителей США опубликовала любопытный отчёт, который приоткрывает то, как в одной из наиболее солидных и находящихся на переднем краю науки организаций в мире, относятся к безопасности данных. Итак, в течении двух лет (в 2010-2011 годах) в Национальном управлении по воздухоплаванию и исследованию космического пространства США было зафиксировано 5408 компьютерных инцидентов, связанных с безопасностью данных — сюда включены не только атаки хакеров, а также и обнаружение злонамеренного программного обеспечения (другими словами, около 7 проблем в день). Среди этих инцидентов генеральный инспектор НАСА Пол Мартин (Paul K. Martin) признал, что за последний год его организация столкнулась с 47 реальными угрозами хакеров (advanced persistent threats), которые осуществлялись как отдельными людьми, так и целыми группами злоумышленников, которые осуществляли атаку с целью кражи или порчи данных. Более конкретно, 13 таких атак оказались успешными — к данным, как минимум, был получен доступ и их достоверность поставлена под сомнение. Для количественной оценки величин угроз надо отметить, что число сотрудников НАСА составляет «сотни тысяч сотрудников по всему миру», а само агентство насчитывает около 550 различных информационных и управляющих компьютерных систем. При этом ежегодно на компьютерную инфраструктуру НАСА тратится 1.5 $ млрд, из них на вопросы безопасности данных тратится 58 $ млн. Узнать подробности habrahabr.ru »

Никто никогда не может на все 100% гарантировать, что в его сервисе нету дыр или каких-либо лазеек. А если и могут — не нужно верить этим людям, они не компетентны в таких вопросах. Даже на таких крупных проектах, как Яндекс.Деньги и то бывали дыры. Так что чего уж говорить о небольшом сервисе для покупок за границей — eBayToday.ru (рефссылка). Дело это было вечером, делать, как говорится, мне было нечего… и решил я тогда чисто ради интереса посмотреть — а есть ли дыры на сайте, через который я сделал столько покупок? Может быть в один прекрасный момент я закажу себе новенький iPad 3, а через день зайду и узнаю, что аккаунт у меня угнали, адрес поменяли, да и вообще iPad уже давно в чужих руках… Читать дальше → habrahabr.ru »

Аннотация Данная статья содержит описание метода графического тестирования случайных последовательностей, на соответствия критериям истинно случайным последовательностям. В статье приводиться обзор метода «Приблизительной энтропии» входящего в состав пакета тестирования NIST, также приводятся сравнительный анализ последовательностей полученных при помощи ГПСЧ описанных в статье Ocelot Генерация случайных чисел на микроконтроллерах. Читать дальше → habrahabr.ru »

В ответ на недавние аресты, Anonymous вывели из строя сайт интерпола. Для этого было произведено 2 попытки взлома, после первой сайт восстановился в течении пары минут, но последняя вывела его со строя и в таком состоянии он находится до сих пор. Соответствующие сообщения были опубликованы в популярном среди Anonymous твитере @AnonOps. В данный момент (6:16 по МСК) производятся попытки произвести аналогичную операцию с сайтом испанской полиции policia.es. Читать дальше → habrahabr.ru »

Полиция Чили, Аргентины, Колумбии и Испании задержала 25 активистов хакерской группы Anonymous, сообщается на сайте BBC News. Арестованным от 17 до 40 лет, у них изъято более 250 единиц сетевого и мобильного оборудования. Как сообщили в МВД Испании, испанские правоохранительные органы задержали в Мадриде и в Малаге четырех человек. Двое из них, в том числе несовершеннолетний, были позже отпущены под залог. По данным испанской полиции, один из оставшихся под арестом является координатором атак Anonymous в Испании и Латинской Америке. Всю операцию координировал Интерпол. Поводом к ней стали кибератаки на чилийские и колумбийские правительственные интернет-ресурсы. В частности, была парализована работа сайтов президента и министерства обороны Колумбии и национальной библиотеки Чили. habrahabr.ru »

Корпорация Google является одной из первых компаний, если не первой, кто предложил сторонним разработчикам вознаграждение за найденные уязвимости в своем программном обеспечении. При этом за короткий срок, благодаря такой системе, удалось закрыть несколько критичных багов. В плюсе оказались и разработчики, нашедшие баги, и компания, чей продукт стал еще лучше. Система «деньги за найденный баг» оказалась настолько успешной, что теперь сразу несколько компаний воспользовалась опытом «Корпорации Добра». Что касается последней, то денежный фонд для сторонних разработчиков еще больше увеличился. Теперь он составляет 1 миллион долларов. Читать дальше → habrahabr.ru »

У многих людей, как-либо связанных с безопасностью, периодически возникает желание заняться pentest'ом, то есть тестом на проникновение. И чаще всего начинают все с pentest'а веб-приложений. Порог вхождения довольно мал (простейшая sqli определяется добавлением кавычки в параметр и эксплуатируется не особо сложнее), но при этом встречаются и довольно сложные задания, которые заставляют потратить пару-тройку дней на ковыряние. Но возникает вопрос — где применять теоретические знания, без страха внезапного появления маски-шоу? Под катом проведу небольшой обзор полигонов для экспериментов по pentest'у. Читать дальше → habrahabr.ru »

Американская компания Imperva, которая занимается разработкой решений для защиты данных, опубликовала свой 17-страничный отчёт, посвященный исследованию работы известной группы хактивистов Anonymous. Нельзя сказать, что отчёт вскрывает страшные тайны подпольной организации злоумышленников, но, тем не менее, в качестве систематизированной картины он весьма удобен. Итак, согласно отчёту, Anonymous — это не группа сверхгениальных хакеров, способных в считанные часы или дни взломать любой сервер и украсть любую информацию. Хотя и имели место прецеденты с успешными атаками на столь солидные организации как StratFor и ряд других, успешность атаки объясняется скорее безалаберностью администраторов ресурсов, а не какой-либо сверхизобретательной технике злоумышленников. Так исследователи считают, что хотя у Anonymous и имеются некоторые специфические приёмы, тем не менее, группа предпочитает широко известные методы — прежде всего, это SQL-инъекции и DDOS-атаки, причём, Anonymous, как правило, сначала пробуют украсть данные, а потом, если это не увенчивается успехом, организуют DDOS на ресурс жертвы. Узнать подробности habrahabr.ru »

WikiLeaks объявил о начале публикации пяти миллионов писем американской частной разведывательной компании Stratfor, которую называют «теневым ЦРУ». Компания занимается сбором и анализом информации о событиях в мире, на основании которой составляются экономические и геополитические прогнозы. 25 декабря 2011 года база данных Stratfor уже была взломана группировкой Anonymous. Вскоре часть данных была выложена в открытый доступ. В новых сообщениях от WikiLeaks, относящихся к периоду с июля 2009 года по декабрь 2011-го, содержится информация об осведомителях Stratfor, системе выплат и психологических методах ее работы. Письма так же показывают, как разведывательная компания берет в разработку людей в интересах частных клиентов. Читать дальше → habrahabr.ru »

Европейский парламент сейчас готовится принять Директиву об атаках на информационные системы (Directive on Attacks Against Information Systems, pdf), в связи с этим Фонд электронных рубежей выступил с обращением к парламентариям — предусмотреть нормы для защиты исследователей в области компьютерной безопасности, которые публикуют информацию о новых уязвимостях, эксплойты и так далее. По мнению EFF, в Америке после принятия DMCA и CFAA (Computer Fraud and Abuse Act) сложилась неоднозначная ситуация относительно легальности работы таких специалистов, что в своё время привело даже к аресту российского программиста Дмитрия Склярова, который неудачно съездил в Америку. Аналогичные юридические сложности для работы исследователей создаёт международная Конвенция о киберпреступности (Convention on Cybercrime). По мнению EFF, Европейской комиссии стоит ещё раз хорошо подумать о необходимости принятия новой директивы, поскольку она во много дублирует Конвенцию о киберпреступности, которая сама по себе создаёт проблемы. Но если же Европа не откажется от своих планов, то EFF просит улучшить новый проект в нескольких аспектах. Читать дальше → habrahabr.ru »

Сегодня обнаружил новые задания в cron-е, на одном из серваков, что и заставило меня начать разбиратся и гуглить на эту тему. Поискав, нашел только одно упоминание на официальном форуме Parallels. Уже несколько дней как люди начали жаловаться, тех-поддержка сначала отнекивалась, а теперь вообще замолкла. Обнаружив троян, выложил его исходный код на pastebin. Довольно интересный скрипт, часть ботнета. Скрипт сам себя прописывает в крон, таким образом: `echo '* * * * * $^X $script_path detach >/dev/null 2>&1' > /tmp/cron.d; crontab /tmp/cron.d ; rm /tmp/cron.d`; Читать дальше → habrahabr.ru »

В 2006 году между Департаментом Национальной безопасности США и частной компанией Coverity, производящей решение для автоматизированного тестирования качества кода, был заключён договор об крупнейшем аудите исходного кода открытого и проприетарного программного обеспечения. Несколько дней назад отчёт компании был опубликован и его выводы кратко приведены ниже: Было проверено 37 млн строк программного кода сорока пяти наиболее активных Open Source-проектов, причём средний размер тестируемых проектов составлял 832 000 строк. Был рассчитан показатель "Средняя плотность дефектов" как число ошибок на тысячу строк кода, который составил в среднем 0.45. Было проверено 300 миллионов строк проприетарного кода, произведённого сорока одной анонимной компанией. Средний размер проекта — 7.5 млн строк кода, средняя плотность дефектов составила 0.64. Узнать подробности habrahabr.ru »

Среди пользователей Mac очень распространено программное обеспечение, которое позволяет легко и быстро заливать файлы на облачный сервис и передать ссылку для просмотра или скачивания. http://getcloudapp.com/ является одним из самых популярных сервисов, который не просто позволяет передавать любые файлы, но и формирует для них специальные короткие ссылки типа cl.ly/abcd (в целях безопасности приведен пример с несуществующей ссылкой). Я очень часто получал эти ссылки от высококвалифицированных IT специалистов, которые работают над рядом крупных IT проектов. До сегодняшнего дня, безопасность этих ресурсов меня не волновала по двум причинам: 1. Там не передавалось ничего конфиденциального и важного для меня и моих проектов. 2. Все друзья были ответственные и квалифицированные пользователи. Сегодня я столкнулся с беспечностью специалистов, которые легко без доп. защиты передавали мне достаточно важные данные. Не втягиваясь в долгие споры и дискуссии я решил провести эксперимент. Читать дальше → habrahabr.ru »

Среди пользователей Mac очень распространено программное обеспечение, которое позволяет легко и быстро заливать файлы на облачный сервис и передать ссылку для просмотра или скачивания. http://getcloudapp.com/ является одним из самых популярных сервисов, который не просто позволяет передавать любые файлы, но и формирует для них специальные короткие ссылки типа cl.ly/abcd (в целях безопасности приведен пример с несуществующей ссылкой). Я очень часто получал эти ссылки от высококвалифицированных IT специалистов, которые работают над рядом крупных IT проектов. До сегодняшнего дня, безопасность этих ресурсов меня не волновала по двум причинам: 1. Там не передавалось ничего конфиденциального и важного для меня и моих проектов. 2. Все друзья были ответственные и квалифицированные пользователи. Сегодня я столкнулся с беспечностью специалистов, которые легко без доп. защиты передавали мне достаточно важные данные. Не втягиваясь в долгие споры и дискуссии я решил провести эксперимент. Читать дальше → habrahabr.ru »

Скандалы, постигшие Google на этой неделе, когда поисковому гиганту пришлось отвечать на обвинения в использовании нестандартных манипуляций с cookie в Safari и Internet Explorer, привели к тому, что компания в лице её вице-президента Susan Wojcicki пообещала к концу этого года внедрить с Chrome функциональность «Do not track». Механизм «Do not track» для предотвращения отслеживания пользователей в сети был изначально предложен сообществом Mozilla и впервые реализован в web-браузере Firefox 4. Немногим после, этот же механизм появился и в Internet Explorer 9; Safari имеет его с версии 5.1. В Mozilla не остановились и в недавней версии Firefox 9, кроме HTTP-заголовка DNT и соответствующего блока настроек, добавили DOM-интерфейс для проверки и управления работой «Do not track» из JavaScript. Только Google, бизнес которой основан на таргетированной рекламе и изучении предпочтений пользователей, медлила. (Opera две недели назад выпустила экспериментальный билд с Do not track). Узнать подробности habrahabr.ru »

Бывшие на слуху в последнее время скандалы, преследовавшие Google, и связанные с тем, что поисковый гигант применял специальные «трюки» с cookie для обхода настроек безопасности браузеров Safari и Internet Explorer, а также инцидент с социальным сервисом Path, который без разрешения пользователей копировал всё содержимое адресной книги смартфона к себе на серверы, получили логическое следствие и, по-видимому, завершение. Ещё в августе 2011 года генеральный прокурор штата Калифорния Камала Харрис (Kamala Harris) начала контакты с Apple, Google, Microsoft, RIM, Amazon и Hewlett Packard относительно соблюдения этими компаниями Online Privacy Protection Act, который применялся неизвестно как или вообще не применялся в практике работы этими компаниями с мобильными приложениями. Теперь же, очевидно, вследствие возникших скандалов с одним из крупнейших игроков рынка и опосредованно Apple, которой придётся даже давать официальные объяснения Конгрессу США, перечисленные выше компании приняли соглашение согласно которому, компании обязуются требовать от разработчиков включения в их приложения политик приватности, которые пользователь должен иметь возможность прочитать перед покупкой приложения. Узнать подробности habrahabr.ru »

][отите размять мозг и пальчики? Хак-квест от коллег из Питера! Прессрелиз NeoQUEST – многоэтапное соревнование в области защиты информации. В процессе выполнения задания участникам предстоит работать с множеством аспектов ИБ, таких как безопасность операционных систем Windows и Linux, web hacking, reverse engineering, криптоанализ, стеганография, защищенность SCADA-систем, дизассемблирование программ и многое другое. При создании квеста мы ориентировались на людей, умеющих мыслить нешаблонно и придумывать свои пути решения задач, поэтому мы считаем, что он будет интересен как опытным профессионалам, так и тем, кто только начинает работать в области информационной безопасности. В первую очередь цель NeoQUEST-а – мониторинг ситуации в сфере защиты информации в России. Мы предлагаем актуальные задачи, с которыми часто сталкиваются в своей работе специалисты по ИБ и хотим оценить уровень тех, кто задействован в этой профессии и знает толк в решении сложных проблем. Если вы из их числа — присоединяйтесь! Для самых активных участников NeoQUEST станет возможностью получить море удовольствия от безнаказанного взлома, подтвердить свое мастерство, и выиграть главный приз нашего конкурса — ноутбук MacBook Pro!» Читать дальше → habrahabr.ru »

На оригинальном ресурсе обсуждается проблема обнаруженная на широко известном в узких кругах сайте youporn.com. Поскольку ссылку подкинул коллега из Швеции, то оригинал на Шведском, я перевел только самую суть. По адресу «chat.youporn.com/tmp/» доступны логи, которые содержат незашифрованные пароли, имена пользователей заходивших на сайт и их адреса электронной почты. На самом Yoporn.com доступность логов проверить не удается, а вот на WayBack machine эти данные сохранены и доступны для просмотра тут. habrahabr.ru »

В статье описываются недостатки существующей структуры DNS, полный процесс внедрения DNSSEC на примере доменов .com и .org, процедура создания валидного самоподписанного SSL-сертификата подписанного с помощью DNSSEC. Читать дальше → habrahabr.ru »

Чем дальше развиваются технологии виртуализации, тем больше разнообразных «грандов ИТ технологий» выходит на рынок. Несмотря на то, что проект Xen как таковой довольно давно существует в виде open source решения, такая операционная система с интегрированным гипервизором как Citrix XenServer относительно недавно привлекла внимание клиентов Enterprise уровня. Изначально ОС была ориентирована на low/mid-end предприятия и предназначалась для решения проблем минимизации затрат на мультисерверную архитектуру. Но в процессе развития, компания Citrix интегрировала в свой гипервизор такие жизненно важные вещи как High Availability и Likewise интеграцию c Active Directory. Таким образом, на данный момент существуют коммерческие версии Citrix XenServer позиционирующиеся как реальная альтернатива VMWare ESX/ESXi. Но, как известно, к гипервизорам предъявляются особые требования безопасности. Это обусловлено тем, что при захвате гипервизора наиболее вероятно, что компания потеряет не только его, но и все виртуальные машины. Читать дальше → habrahabr.ru »

Власти Великобритании оштрафовали компании, владеющие twtter.com и wikapedia.com. Главные страницы этих сайтов очень похожи на twitter или wikipedia, недавно на них использовались те же цвета и шрифты. Пользователя, зашедшего на фальшивый ресурс, ждет новость о выигрыше iPad или MacBook, и предлагается оставить номер мобильного телефона и e-mail. Однако чтобы «получить» свой приз, пользователь должен пройти опрос, за каждый следующий ответ в котором со счета жертвы списывается полтора фунта. Как сообщается на сайте службы, регулирующей индустрию платных телефонных сервисов Великобритании, мошенниками оказались две голландские компании — R&D Media Europe и Unavalley BV. Если на киберсквоттеров периодически находят управу, то случаи, когда тайпсквоттеров штрафовали на большие суммы, можно пересчитать по пальцам. Теперь, по крайней мере в Британии, ситуация может измениться. habrahabr.ru »

Команда европейских и американских математиков проанализировала свыше 11 000 000 сертификатов, пренадлежащих различным сайтам и обнаружила, что в среднем на тысячу из них приходится около 2х со слабыми параметрами, позволяющими восстановить секретный ключ. Читать дальше → habrahabr.ru »