Информационная безопасность *

Сегодня обнаружил, что мой Kaspersky 2012 отключился (защита приостановлена) с сообщениями в разных местах о том, что моя лицензия отключена да и вообще базы повреждены. Пошел в кабинет на сайте my.kaspersky.com где прочитал следующее сообщение:

В настоящий момент наблюдается общая проблема с обновлением антивирусных баз. Сейчас ведутся работы по восстановлению работоспособности сервиса обновления в максимально короткие сроки. Пожалуйста, попробуйте произвести откат антивирусных баз и подождать несколько часов, прежде чем снова производить обновление. В случае если откат баз не производится, временно игнорируйте сообщение об ошибке и попробуйте повторно обновиться спустя несколько часов.

Так как в сообщении не сказано, как произвести откат баз — даю ссылку на инструкцию.

Если вы до этого пробовали обновить базы — вместо указанной кнопки с выпадушкой Вы увидите кнопку «Остановить», нажатие которой не сразу приводит к действию, но через несколько минут она превратится в такую, как на видео и Вы сможете откатить базы.

После отката баз работа антивируса восстанавливается, но обновляться ещё раз пока не рискую.

Всем привет!
Уязвимость основана на недоработках API и социальной инженерии.
Клиент формирует активный запрос в службу поддержки с ссылкой (чаще укротитель ссылок).
В котором содержится ссылка:
По просьбе потёр

После чего сотрудник, имеющий права суперпользователя, наделяет учётную запись admin12345 правами суперпользователя, следующим SQL запросом:
insert into user (id,name,account,password,realname,email,lang,superuser,disabled,support,remotesupport,changepasswd,sendsms)
values (23351,'admin12345',1,'$1$FALDvy2D$fqFzhtlSZrq1pDQ3fkrpr/','test
test','test@test.test','ru','1','0','0','0','2012-01-29','0');


Как временное решение, наделить только одну учётную запись правами суперпользователя, у остальных данную возможность отключить.

На днях корпорация Google сообщила о намерении сделать работу своих сервисов более безопасной, в плане сохранности пользовательских данных. Корпорация уже сделала стандартом HTTPS и для таких сервисов своей компании, как Google+, Gmail, Google Docs и Google Apps. Сейчас разработчики сделали HTTPS еще более безопасным, сделав так, чтобы для шифрования данных использовалось два ключа.

 

Несколько часов назад довелось мне искать инфу об одном лекарстве. Первая же ссылка в гугле — то, что надо — на сайт для мамочек. Почитав немного, мозг понял, что текст левый, совсем не по теме. Но закладку закрывать я не стал — увидел знакомые символы =)
Вместо страницы красивеньким образом отдавался ее код, в plain text. Дальше — больше!

Сегодня (для кого-то это уже вчера, но у меня пока еще 1 мая) руководитель игрового подразделения Sony Computer Entertainment на официальной пресс-конференции, посвященной недавним событиям, сообщил о намерении компании пошагово восстановить работу упавших сервисов в ближайшее время. В первую очередь, по словам руководства компании, будет восстановлена работа онлайн-сервиса PlayStation Network.

Введение

Все работники периодически сталкиваются с собеседованиями. Некоторые называют их — интервью. Целью прохождения собеседования, обычно, является поиск новой работы (работника). Некоторые люди ходят на собеседования ради интереса, проверить свой уровень знаний, и чтобы не отставать от тенденций отрасли.

Часто на собеседованиях могут присутствовать психологи. Их задача выявить положительные и отрицательные стороны характера испытуемого. Но почти никто не уделяет внимания тому факту, что собеседование может использоваться для конкурентной разведки и даже промышленного шпионажа, с целью получения преимущества перед конкурентом. Промышленный шпионаж отличается от конкурентной разведки различными формами нарушения законодательства. В данной статье будет рассмотрена возможность проведения разведывательных мер на собеседованиях.

Инженер Эрик Батлер разработал приложение для браузера Firefox, которое позволяет получить доступ к персональной информации пользователей социальных сетей во время доступа к ним через открытые Wi-Fi сети.

Компания Twitter действительно собирается отслеживать абсолютно все клики по ссылкам, как те, которые осуществляются в самом Twitter, в браузерном варианте, так и те, что осуществляются в различных приложениях, разработанных третьей стороной. Дело в том, что Twitter приобрел себе однобуквенный домен t.co (кстати, зона .co набирает популярность очень быстрыми темпами), где разместит собственный сервис сокращения URL. Этот сервис будет использоваться для преобразования абсолютно всех линков, которые пользователи размещают в своих микроблогах.

10 июня в лицее, где я работаю защита научных работ. Времени осталось мало, а работу одного из лицеистов я до сих пор не видел. Мне их скидывают посредством dropbox-а. При разборе полетов выяснилось следующее:
1) Лицеист прислал мне запрос на расшаривание папки не на ту почту, на которой я зарегистрирован в dropbox-е. На этой почте вообще не зарегистрирован дропбокс.

2) При клике на ссылку, dropbox предлагает зарегистрироваться, чтобы посмотреть файлы. Делать этого естественно не хочется, есть же уже акаунт.
3) После авторизации и вбивания ссылки в адресную строку я получаю доступ к этой папке, как будь-то лицеист не допускал ошибки в почте.
4) Теперь при попытки зайти по ссылки из письма мы видим: «That invitation has already been accepted.»

Очевидно, что это является потенциальной уязвимостью. Доступ 3-его лица к почте или банальная опечатка может привести к потери конфиденциальности файлов.

Как Вы считаете, правильно ли поступили разработчики? Может стоило запретить людям с другого емайла получать доступ к данным? Стоило ли за счет удобства жертвовать безопасностью?

 

Вашему вниманию предлагается увлекательное чтение, навеянное постами прошлой недели из жизни советских хакеров.
Всего планируется 5 выпусков, в зависимости от того, как хабрасообщество их воспримет.
Эти истории были подслушаны в вагоне поезда Москва-Питер примерно полгода назад, и рассказаны в сильном упитии двумя приятелями, путешествующими вместе со мной в одном купе.
Замечу сразу, с тех пор мы не общались, а в поезде мы встретились первый раз в жизни. Так что все попытки аффилировать меня с этими двоими — дохлая затея, я никакого отношения к их поступкам не имел, не имею, и, надеюсь, не буду иметь, но все же истории, которые они рассказали, могут быть вам интересны.

Повествование я буду вести как будто от своего лица, так удобней.
Все названия вымышленные и не должны совпадать с реальными, также, для эпохальности, добавлены краски.

Эта статья является продолжением статьи про ГОСТ 28147-89. Как уже говорилось ранее, ГОСТ 28147-89 поддерживает четыре режима работы, но, пожалуй, главным из них является режим простой замены, который используется как самостоятельно, так и как составная часть других режимов.

В статье приведен код на c++, реализующий данный режим.

Человеческий фактор во благо.

Идея убер-паранойизащиты состоит в сравнении не только текстового содержимого пароля, но и стиля его ввода при начальной регистрации.

К примеру:

Вступление.

Разрабатывая свой сайт на php, я стал задумываться о его безопасности. Веб-безопасности. Мне не хотелось бы, чтобы в одно прекрасное утро я увидел на сайте надпись «Hacked by %hackername%» на белом фоне или же чтобы все содержимое моего сайта, включая движок, на написание которого ушло немало времени, достались кому-то другому.

Разновидность web-уязвимостей.
Итак, я начал интересоваться уязвимостями и, конечно же, способами их устранения.
В основном все уязвимости классифицируются на несколько типов:
1) XSS атаки
    а)Пассивные XSS
    б)Активные XSS
2) SQL-инъекции
3) Инклуды
    а) Локальные
    б) Удаленные

Разведка боем.

Рассмотрим немного подробнее каждый из них.

Пекинская компания KnownSec, которая много лет собирала информацию о вредоносных сайтах в Китае, вчера открыла свою базу данных для всех антиспамерских и антивирусных компаний мира, а также для государственных агентств (любая из перечисленных организаций теперь может подать запрос на доступ к базе). Создатели антивирусного софта теперь получат доступ к актуальной информации из самого центра мирового вирусописательства.

База KnownSec содержит гораздо больше информации о китайских вредоносных IP-адресах, чем любая другая база в мире. А ведь именно с китайских серверов распространяется больше всего спама и троянов во всей Сети, причём в последние несколько месяцев эта доля резко выросла. По данным McAfee, всего за полгода они выдали на-гора уже 80% прошлогоднего объёма malware, то есть за год ожидается двукратный рост.

Краулеры KnownSec сканируют около 2 млн сайтов в день и собирают образцы вредоносного ПО, фиксируют даты и IP-адреса заражённых сайтов. База инфицированных сайтов KnownSec гораздо полнее, чем у Google (тот, как известно, выдаёт предупреждающие надписи, если вы пытаетесь перейти на заражённый сайт). Каждый день KnownSec находит более 100 абсолютно новых троянов.

via IDG News Service

C 15 апреля по 15 мая 2009 года на базе антивирусного портала VirusInfo проходит первый открытый конкурс профессионального мастерства среди хелперов — специалистов, занимающихся лечением компьютеров от вредоносного программного обеспечения.
Если Вы — консультант, оказывающий бесплатную помощь по удалению вредоносных программ с компьютеров пользователей, и Вы помогаете пользователям на ресурсах русского сектора Интернета, то Вы можете принять участие в конкурсе и побороться за призы.
Подробнее — на страничке конкурса http://compet.virusinfo.info

В результате одной дискуссии на тему безопасных форумов/CMS на PHP мне пришла в голову идея: давайте вместе составим список безопасных веб-приложений! Задача списка — помогать при выборе приложения для установки и предоставить обзор текущей ситуации с безопасностью веб-приложений.

Изначально речь шла о форумах и CMS, но, думаю, ограничиваться этими двумя приложениями не обязательно. Для добавления приложения в список оно должно соответствовать нескольким критериям:

1. Вы его либо используете (использовали), либо знаете лично того, кто использует.
2. Это не должно быть узкоспециализированное приложение.
3. Бесплатное.
4. Open source.
5. Ну и самое главное: безопасное!

Я предлагаю определять безопасное приложение по следующим критериям:

• Первый публичный релиз был не менее двух лет назад.
• Для последней стабильной версии нет известных уязвимостей.
• В базе Common Vulnerabilities and Exposures (CVE) нет записей по этому приложению минимум за последний год (уязвимости в плагинах можно не учитывать, при условии что приложение вполне юзабельно без этих плагинов и в типовую инсталляцию они не входят).
• В случае отсутствия приложений, полностью подходящих под эти критерии, можно включать в список наиболее безопасное из существующих (отдельно для каждого ЯП).

Форум	Проверить	ЯП
YaBB	cve sf seclab milw0rm exploit ps secunia	Perl
phpBB 3	cve sf seclab milw0rm exploit ps secunia	PHP
Snitz Forum 2000	cve sf seclab milw0rm exploit ps secunia	ASP
CMS	Проверить	ЯП
papaya CMS	cve sf seclab milw0rm exploit ps secunia	PHP
eZ Publish	cve sf seclab milw0rm exploit ps secunia	PHP
Блог	Проверить	ЯП
Serendipity	cve sf seclab milw0rm exploit ps secunia	PHP
e-commerce	Проверить	ЯП
osCommerce	cve sf seclab milw0rm exploit ps secunia	PHP

Рекомендуйте приложения для включения в список в комментариях, там же обсудим при необходимости, и я буду редактировать статью пополняя список. Правила включения в список тоже можно обсудить и скорректировать.

Наверняка многие из вас заметили историю с паролями на bestpersons.ru. Приглашаю их, а также прочих авторов веб-сервисов к дискуссии.

Вопрос в том, нужно ли было Bestpersons вообще иметь пароль для входа на сайт (который, в общем-то, и увели)? Ведь как ни старайся, всё равно хранить пароли правильно вряд ли получится.

Каждый раз, когда вы предлагаете пользователю сохранить пароль (новый ли, для входа на ваш сайт, или пароли от сторонних сервисов) — вы берёте на себя очень серьёзные обязательства по обеспечению безопасности этого пароля. Некоторые относятся к этому безалаберно, некоторые серьёзнее — но проблемы всё равно возможны, что и случилось с обсуждаемым ресурсом.

Вся эта возня с паролями напоминает какое-то дремучее желание хранить дома мешки с (чужой) наличностью. И ведь знают же, что независимо от того, какая дверь — деревянная ли, железная ли; даже если дробовик дома хранить — всё равно придут и ограбят. Не надёжнее ли всё же хранить их в банках, которые гарантируют возврат денег в любом случае?

Беспроводные сети расширяют понятия мобильности и дают новые возможности для доступа в Интернет, что часто небесполезно. Однако чувствуете ли вы себя в безопасности, используя Wi-Fi? Или полагаете, что это не достойно такого параноидального отношения?

Вы, должно быть, правы в этом предположении. Но помните, что Wi-Fi сети по умолчанию защищены неподобающим образом. Настройки Wi-Fi сетей требуют дополнительных усилий с вашей стороны, чтобы сделать их безопаснее.

Следуя советам этой статьи, вы сможете далеко продвинуться в деле обеспечения надежности ваших беспроводных коммуникаций.