How to become an author
Search
Profile
Pull to refresh
19
Karma
0
Rating
Anton Karpov @tokza

User

Profile Posts 6 Comments 24 Bookmarks

Краткая история хакерства. Рассказ от руководителя информационной безопасности Яндекса

Да, это очень красочная страничка в истории, спасибо что вспомнил.
This comment wasn’t rated yet 0
Look

Время менять пароли

Это разные вещи, они оба — правда. В логах веб-сервера действительно не остается следов атаки. Однако, если бы массовый взлом учетных записей имел место, наши механизмы контроля подозрительной активности в рамках пользовательских сессий могли бы его обнаружить. Именно это мы и тщательно проверяли, о чем сказано в блоге. Допускаю, что из формулировки это может быть не сразу понятно. Но так иногда бывает, когда с технического языка переводишь на человеческий :).
This comment wasn’t rated yet 0
Look

Время менять пароли

«использовалась старая версия OpenSSL, пароли в безопасности» звучит сюрреалистично :)

Старая версия OpenSSL не поддерживает TLS 1.1 и TLS 1.2, а также имеет целую пачку уязимостей: web.nvd.nist.gov/view/vuln/search-results?adv_search=true&cves=on&cve_id=&query=&cwe_id=&cpe_vendor=openssl&cpe_product=cpe%3A%2F%3Aopenssl%3Aopenssl&cpe_version=cpe%3A%2F%3Aopenssl%3Aopenssl%3A1.0.0&pub_date_start_month=-1&pub_date_start_year=-1&pub_date_end_month=-1&pub_date_end_year=-1&mod_date_start_month=-1&mod_date_start_year=-1&mod_date_end_month=-1&mod_date_end_year=-1&cvss_sev_base=MEDIUM_HIGH&cvss_av=&cvss_ac=&cvss_au=&cvss_c=&cvss_i=&cvss_a=
Total votes 4: ↑3 and ↓1 +2
Look

Время менять пароли

Комикс хороший, но в нем не учитывается наличие защиты от перебора паролей :).
Total votes 13: ↑12 and ↓1 +11
Look

Время менять пароли

На данный момент нету подтверждений, что с марта 2012 года об уязвимости знало большое количество людей или организаций. Массовая эксплуатация стала возможна после появления PoC «запусти и получи результат» (где-то спустя часа три после публикации об уязвимости). Анализ рисков приводит нас к простому выводу: наиболее высок шанс компрометации учетных записей, заходивших после публикации PoC. За вредоносной активностью в их сессия, как я отметил в посте, мы следим _особо_. Но это не значит, что мы не следим за вредоносной активностью в сессиях _всех_ наших пользователей.
Total votes 8: ↑8 and ↓0 +8
Look

Яндекс открывает программу по поиску уязвимостей

Гугль не является пионером подобного подхода
Total votes 11: ↑10 and ↓1 +9
Look

Яндекс.Пробки. А туда ли вы едете?

Может будет.
Total votes 7: ↑1 and ↓6 -5
Look

Яндекс.Пробки. А туда ли вы едете?

Автор только забыл добавить, что все описанное происходило более года назад. Так что это не свежая уязвимость.
Total votes 9: ↑8 and ↓1 +7
Look

Лебедев выпустил новый «Оптимус»

«Увижувсекнопкинахус»
Total votes 10: ↑9 and ↓1 +8
Look

Месяц поиска уязвимостей Яндекса

Остались :)
Total votes 1: ↑1 and ↓0 +1
Look

Месяц поиска уязвимостей Яндекса

Испортить людям соревнование — это как раз пример того, как действовать не надо. Лучше направить силы на конкурс и выиграть приз. А тот «хакер» получит лучи позора :)
Total votes 1: ↑1 and ↓0 +1
Look

Месяц поиска уязвимостей Яндекса

> И это действительно отговорка, потому что есть положительные опыты других компаний, которые делали совершенно по-другому.

В России такого опыта пока что ни у кого нет, извините.
Total votes 3: ↑2 and ↓1 +1
Look

Месяц поиска уязвимостей Яндекса

Дорогой aig,

Позволь в твоем лице ответить всем людям, которые задают подобный вопрос.

Да, конечно, мы понимаем, что хорошим тоном считается платить за любую обнаруженную уязвимость, всем людям, ее обнаружившим. Но мы также понимаем, что это поле довольно новое для нас, так как до этого в России никто подобного мероприятия не объявлял. Мы сделали конкурс как первый, пробный подход к снаряду. А у конкурса может быть много участников, но должен быть один победитель. Надеюсь, это понятно.

Конечно, мы всегда благодарили тех, кто пишем нам об обнаруженных уязвимостях. Мы никогда не игнорировали таких людей и конкурс — не повод начать их ингорировать. Мы оставляем за собой право премировать их и в рамках данного конкурса — сувенирами ли, деньгами, или приглашением на конференцию — это неважно.

Важно то, что от результатов ближайшего месяца во многом зависит, ступим ли мы плотно на дорогу, протоптанную Мозиллой, Гуглом и Фейсбуком, или пока еще потопчемся как есть.

Спасибо за понимание.
Total votes 6: ↑6 and ↓0 +6
Look

Месяц поиска уязвимостей Яндекса

Футболками и сувенирами мы поощряли всегда. Сейчас — первая попытка выйти на новый уровень.
Total votes 2: ↑2 and ↓0 +2
Look

Месяц поиска уязвимостей Яндекса

Это конкурс. Первый пробный подход к снаряду. Если опыт окажется удачным, вполне можем запустить оплату на постоянной основе.
Total votes 1: ↑1 and ↓0 +1
Look

Месяц поиска уязвимостей Яндекса

Просто пропустили случайно. Конечно, оно тоже входит в зону конкурса.
Total votes 2: ↑2 and ↓0 +2
Look

Месяц поиска уязвимостей Яндекса

Решили начать с конкурса — что в этом плохого? На западе Гугл оплату уязвимостей практикует, на Фейсбук. В России это сравнительно новая тема.
Total votes 9: ↑9 and ↓0 +9
Look

BlackHat 2009: взломаны сервера известных экспертов в области ИБ

Ну какбэ у него есть свой mitnicksecurity.com/ где он предлагает услуги по ИБ. Разумеется, он сам лично в основном имя продает свое, и более ничего :)
Total votes 2: ↑2 and ↓0 +2
Look

Безопасность web-приложений

Раньше такие статьи публиковали в «Хакере». Хабр поднял упавшее знамя :)
This comment wasn’t rated yet 0
Look

Беспечность

В этом году «стена позора» будет более продвинутая. В тот раз пришлось лепить ее буквально на коленке.
Total votes 1: ↑1 and ↓0 +1
Look
1
2

Information

Rating
Does not participate
Location
Россия
Works in
Date of birth
Registered
Activity

Your account

Sections

Information

Services

Support Return to old version
© 2006–2023, Habr