WWWorld.ru · Темы дня · Разделы дня · Интересы дня · 2012 · Свежие новости

In the wake of 24 million customer passwords getting stolen in the Zappos.com hack, the IT security world is warning enterprises not to be lax about breaches of any kind. It's a black eye for the Amazon-owned property, and it may point to a new round of malicious hack attacks. So far, Zappos is being tight-lipped about the root cause of the attack. Zappos has yet to disclose whether the breach was internal via a backdoor left open by an IT employee or malware installed intentionally or unintentionally by an employee. Zappos didn't hint, either, as to whether or not the data breach was due to known, unpatched application vulnerability or a zero-day vulnerability. For all that is not known about the Zappos hack, what is known is that Zappos is PCI compliant, and that all transactions are authenticated and encrypted using SSL. Ron Meyran, director of security at Radware, said PCI compliance is a minimum requirement. Beyond PCI Compliance "Invest in education to minimize the internal threat: Regularly educate employees about data breaches risks and be aware not to install any unauthorized software which may be disguised as malware," Meyran said. He suggested deploying intrusion prevention and behavioral analysis tools that can alert on abnormal user or application behavior, as well as a security event information system that collects event logs from all security tools to maintain forensics. As Meyran sees it, the wide use of SSL to secure transactions between users and applications may be creating a false sense of security: Attackers get sophisticated and deploy attacks over SSL encrypted channels. They can scan applications for vulnerabilities through the SSL channels and launch a Web application attack over SSL. Attacks may result with no traces as most security tools cannot inspect SSL encrypted traffic. "The bottom line: PCI-DSS compliance is only the first... newsfactor.com »

WASHINGTON (Reuters) - Suspicion is growing that operatives in China, rather than India, were behind the hacking of emails of an official commission that monitors relations between the United States and China, U.S. officials said. Reuters: Internet News »

Автор Глеб Грицай, Positive Technologies Ноутбук — взломай и уноси Одним из самых ожидаемых конкурсов на Positive Hack Days был «Ноутбук – взломай и уноси», похожий на популярный pwn2own проводимый в рамках CanSecWest ZDI (Zero Day Initiative). Участникам необходимо проэксплуатировать уязвимость в одном из популярных браузеров и выполнить свою или просто показательную нагрузку для демонстрации факта успешного удаленного исполнения кода. По условиям конкурса, каждый из участников получал три возможности для проведения атаки, каждая попытка должна быть осуществлена на один из указанных браузеров за раунд. В качестве платформ для браузеров были предоставлены Windows 7 и Windows XP. Среди браузеров были Opera, Internet Explorer, Firefox, Chrome и Safari. Призовой фонд конкурса составлял 100 тысяч рублей в дополнение к призовым ноутбукам. Перед конкурсом осуществлялся отбор кандидатов и проверка достоверности предоставленной информации об уязвимости. Таким образом, допускались только те специалисты, которые заранее прошли предварительную регистрацию и доказали наличие 0-day. Примечательно то, что на предварительном отборе кандидаты присылали в качестве 0-day уязвимостей давно известные и уже устраненные проблемы. Читать дальше → habrahabr.ru »

LONDON (Reuters) - A British student, who hacked into Facebook's internal network risking "disastrous" consequences for the website, was jailed for eight months on Friday in what prosecutors described as the most serious case of its kind they had seen. Reuters: Internet News »

Все меньше времени остается до Positive Hack Days 2012, в разгаре онлайн-конкурсы, в которых разыгрываются инвайты. Однако на самой площадке форума в техноцентре Digital October тоже будет происходить много всего интересного. Одним из гвоздей конкурсной программы станет легендарный конкурс Hack2Own. В 2011 году, продемонстрировав уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows, призерами соревнования Hack2Own стали Никита Тараканов и Александр Бажанюк — представители компании CISSRT, которые и получили главный приз — ноутбук и 50 тыс. руб. В этом году бюджет конкурса значительно увеличен и составит более 20 000 $. Победителям будет чем заполнить новенькие кейсы :) Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра. Под катом подробные правила участия в соревновании. Читать дальше → habrahabr.ru »