Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Вебинар «Грозовые облака: риски безопасности облачных сервисов»

Информационная безопасность *Облачные сервисы


Идея облачных вычислений впервые прозвучала в далёких 1960-х, но уже позже, с распространением интернета облачные технологии получили настоящее развитие. В 2006 году мир увидел первый IaaS сервис – Amazon Web Services. В 2010 появился Azure от Microsoft, и Google Compute Engine в 2012.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 1.2K
Комментарии 4

Summ3r of h4ck 2020. Летняя обучающая программа в Digital Security

Информационная безопасность *


Мы открываем набор на «Summ3r 0f h4ck», традиционную летнюю обучающую программу от Digital Security. Она пройдет c 3 по 31 августа в нашем офисе в Санкт-Петербурге. Прием заявок продлится до 7 июня включительно.

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.4K
Комментарии 0

Вебинар «Палитра современного пентеста: Purple Team VS Red Team»

Информационная безопасность *Тестирование IT-систем *IT-компании


28 мая в 11:00 (МСК) приглашаем на вебинар Digital Security «Палитра современного пентеста: Purple Team VS Red Team». Расскажем про пентест во всех красках: сравним подходы, посоветуем, как выбрать наиболее целесообразный тип тестирования.
Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 679
Комментарии 0

Вебинар «Secure SDLC: безопасность как фундаментальный аспект разработки»

Информационная безопасность *Управление разработкой *IT-компании


28 июля в 11:00 (МСК) приглашаем на вебинар Digital Security, где рассмотрим процесс Secure SDLC со всех сторон.
Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 406
Комментарии 1

Вебинары от Digital Security

Блог компании Digital Security
Компания Digital Security проводит цикл технических вебинаров по безопасности бизнес-приложений. Мы осветим темы безопасности ДБО и мобильного банкинга, защиты систем SAP, безопасности АСУ ТП, а также систем виртуализации, таких как VMware и Citrix XenApp. Вы узнаете о брешах в безопасности, о которых вам не расскажут разработчики.

К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.

Темы и краткое описание вебинаров
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 4.7K
Комментарии 0

Яндекс.Пробки. А туда ли вы едете?

Блог компании Digital Security Информационная безопасность *
В прошлой статье была затронута тема информационной безопасности такой крупной компании, как Google.
Настало время посмотреть в сторону отечественного производителя, а именно, компании Яндекс и её сервиса карт.
С чего все началось. Стоял я, значит, как-то в пробке и думал, что заставляет всех людей ездить теми или иными маршрутами. Ответ очевиден: много чего.
Однако не последнюю роль определенно играет наличие пробок и разного рода дорожных ситуаций (ДТП, ремонт полотна, камеры).
Кроме того, эти факторы учитывают и все современные навигаторы при прокладке маршрута.
Что ж, попробуем повлиять на дорожную обстановку, хотя бы виртуально…


Читать дальше →
Всего голосов 230: ↑214 и ↓16 +198
Просмотры 55K
Комментарии 77

Русские хакеры в Польше, или CONFidence 2012

Блог компании Digital Security Информационная безопасность *


Привет всем! Сегодня нам хотелось бы рассказать о нашей поездке на конференцию по информационной безопасности CONFidence, которая проходила в Польше 23–24 мая, в городе Краков. Данная конференция проводилась в этом году уже в 10-й раз. Данный отчет о поездке на конференцию будет достаточно необычным, потому что мы писали его вчетвером и частично прямо во время конференции. Но обо всем по порядку.
Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Просмотры 7.4K
Комментарии 8

Безопасность SAP в цифрах

Блог компании Digital Security ERP-системы *
Примечания

Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патча. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако примеры эксплуатации всех упомянутых уязвимостей, доказывающие, что они действительно существуют, можно найти на видеозаписях с конференций, а также на erpscan.ru и dsec.ru.

Также необходимо отметить, что наши исследования в области безопасности SAP вообще и сбора статистики в частности не заканчиваются на данном отчете. Мы планируем публиковать новые статистические данные как минимум ежегодно либо по мере появления новых методов атаки. Последние обновления статистики SAP-систем, присутствующих в Интернете, можно найти на sapscan.com.

1. Введение

Ядро каждой крупной компании – это ERP-система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. Вся информация, хранящаяся в ERP-cистемах, имеет огромное значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в период с 2006 по 2010 годы потери организаций от внутреннего фрода составили порядка 7 процентов от ежегодной выручки (!). Вот почему мы решили провести детальное исследование в области безопасности SAP с использованием ERPScan – разработанной Digital Security системы мониторинга защищенности SAP-систем.

Читать дальше →
Всего голосов 27: ↑25 и ↓2 +23
Просмотры 18K
Комментарии 7

Открыт CFP на ZeroNights 2012

Блог компании Digital Security


ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах и защите от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.
Место и время проведения: Россия, Москва, 19–20 ноября 2012 года.

Если вы желаете поделиться своим опытом, знаниями и умениями, то делается это легко: пришлите нам описание вашей темы и желаемый формат. Наш программный комитет (DCG#7812) рассмотрит его и примет решение. CFP продлится до 10.10.12. При этом публикация и отбор будет проходить в несколько раундов, так что в течение всего периода CFP мы будем публиковать информацию о тех докладах, что были приняты.

Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 1.5K
Комментарии 0

Последние новости безопасности SAP

Блог компании Digital Security Информационная безопасность *
За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.

Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon. Мы (специалисты исследовательской лаборатории Digital Security) участвовали в обоих мероприятиях: с докладом о SAP на BlackHat и с докладом о VMware на Defcon. Я упоминаю здесь доклад о VMware, так как это выступление подтверждает, что защита SAP-систем заключается не только в безопасности самих приложений SAP, но и остальной инфраструктуры.

Читать дальше →
Всего голосов 20: ↑14 и ↓6 +8
Просмотры 5.9K
Комментарии 7

Технологии, методики, атаки и исследования на ZeroNights 2012

Блог компании Digital Security Информационная безопасность *
image

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах и защите от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.

Место и время проведения: Россия, Москва, 19–20 ноября 2012 года.

Эта конференция – для технических специалистов, администраторов, руководителей и сотрудников службы ИБ, пентестеров, программистов и всех тех, кто интересуется прикладными аспектами отрасли.

Наше мероприятие — уникальное, неповторимое событие в мире ИБ России. Гости со всего мира, технические хакерские доклады и мастер-классы — без воды и рекламы, только технологии, методики, атаки и исследования!

Напоминаем вам, что Call for Papers продлится до 10.10.2012. Уже сейчас мы можем рассказать о некоторых докладчиках:
Читать дальше →
Всего голосов 25: ↑22 и ↓3 +19
Просмотры 6.9K
Комментарии 13

ZeroNights 2012: вы хотели хардкора?

Блог компании Digital Security Информационная безопасность *
image

ZeroNights 2012, как и в прошлом году, проходит при поддержке и участии Яндекса. Мы очень рады вновь сотрудничать с такой знаменитой компанией. На днях компания «Яндекс» открыла программу по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками». С гордостью отметим, что это первый разработчик ПО на постсоветском пространстве, который столь ответственно отнесся к безопасности своих продуктов. Первые результаты программы будут объявлены на ZeroNights 2012, которая, как и раньше, сосредоточит в себе все самое интересное и актуальное из мира ИБ в России.

Также мы с удовольствием сообщаем, что сеть хостелов Bear Hostels предоставляет посетителям конференции 10-процентную скидку. Мы ждем вас в гости, в каком бы городе вы ни жили!

Еще одна хорошая новость: благодаря тому, что нам удалось несколько оптимизировать бюджет конференции, стоимость билетов для физических лиц теперь составляет 7000 рублей. Участники RISSPA и DEFCON Group имеют право на 10-процентную скидку.

Мы также сняли ограничение на количество регистраций по студенческому тарифу. Напомним, что с 1 октября стоимость участия для студентов и аспирантов составляет 1900 рублей. В студенческий пакет входит посещение конференции, включая все workshops, участие в конкурсах с призами, а также кофе-брейки.

Новые доклады и воркшопы
Всего голосов 30: ↑24 и ↓6 +18
Просмотры 6.7K
Комментарии 5

На ZeroNights – бесплатно!

Блог компании Digital Security Информационная безопасность *
CFP для основной программы конференции ZeroNights закрыт, и программный комитет заканчивает отбор докладов на конференцию. А вот CFP на Fast Track продолжается.

Сегодня я поделюсь с вами небольшим секретом о том, как бесплатно посетить конференцию ZeroNights 2012 в ноябре в столице нашей родины. Для тех, кто забыл или не в курсе – это самое ожидаемое событие для исследователей информационной безопасности, место, где нет маркетинговых докладов, а только реальные исследования от мировых рисёчеров и самые полезные тренинги, где вы, например, научитесь писать эксплойты под уязвимости в браузерах, чтобы сорвать в следующем году приз на PWN2OWN. Уже сейчас подтверждено участие таких экспертов, как: Grugq – знаменитый тусовщик на все конференциях, FX – лидер культовой хак-тимы Phoenolit, Miaubiz – хардкорный исследователь из Финляндии, J00ru – автор кучи исследований в области низкоуровневого потрошения Windows Kernel ,Michele Orru из TrustWave, Rick Flores из Rapid7 (MetaSploit), joernchen из Phenoelit, Alexey Sintsov – основатель DCG#7812, автор этого поста и множество других исследователей.

Итак, в чём же секрет?
Всего голосов 21: ↑16 и ↓5 +11
Просмотры 5.4K
Комментарии 9

ZeroNights: последние штрихи

Блог компании Digital Security Информационная безопасность *
Recovery mode
image

Поздравляем победителей ZeroNights HackQuest! За смекалку и хакерские навыки победившие команды вознаграждаются бесплатными билетами на ZeroNights и футболками от ONsec.

1 место: ReallyNonamesFor
2 место: RDot.Org
3 место: Raz0r

Корпорация Intel, а именно Intel’s Security Center of Excellence, решила поддержать мероприятие и стать нашим серебряным спонсором. Мы приветствуем Intel в рядах компаний, готовых вкладываться в миссию ZeroNights — распространение принципов и техник информационной безопасности как среди состоявшихся специалистов в самых разных областях, так и среди молодого поколения.

Другая хорошая новость: на круглом столе «Security Researchers vs. Developers» намечается поистине эпическая битва разработчиков с хакерами. Против исследователей безопасности выступят специалисты из ViaForensics, Nokia, Yandex и Google.

По многочисленным просьбам выкладываем все наши козыри. На сайте уже доступна первая версия программы.

Мы с гордостью объявляем темы ключевых докладов:

  1. The Grugq (Таиланд) выступит с речью, посвященной принципам практической боевой безопасности анонимных хакеров — OPSEC. «Черные шляпы» в зале сохраняют каменные лица!
  2. Felix ‘FX’ Lindner (Германия) выступит с презентацией под названием «Стремись быть собой».

И последняя порция докладов и воркшопов
Всего голосов 18: ↑14 и ↓4 +10
Просмотры 3.1K
Комментарии 5

Результаты работы исследовательской лаборатории Digital Security за 5 лет

Блог компании Digital Security
С момента официального открытия исследовательской лаборатории компании Digital Security (известной как Digital Security Research Group или DSecRG) прошло более пяти лет, и мы решили подвести промежуточные итоги деятельности подразделения в цифрах, а также отметить ряд наиболее значимых для нас достижений.

В 2013 году руководителем лаборатории стал Дмитрий Евдокимов, зарекомендовавший себя как отличный специалист с глубоким подходом к изучению проблем безопасности, автор большого числа известных на рынке исследований.

Digital Security Research Group в цифрах


1-й исследовательский центр в России
2-е место в топ-10 техник web-атак 2012 года
3 года участия в международных конференциях
4 выступления на BlackHat в 4 географических точках
5 лет публичной работы
6 сотрудников выступали на международных конференциях с собственными докладами
7 дней в неделю
8 сотрудников получили благодарности от крупнейших компаний за найденные уязвимости
9 основных участников
10 – попали в топ-10 докладов BlackHat USA в 2012 году

Участвовали в проведении 15 встреч Defсon Russia
Выступили более чем в 20 странах
Более 30 выступлений на международных технических конференциях
Более 40 исследований
Почти 100 опубликованных уязвимостей в SAP
Почти 200 уязвимостей опубликовано в общем
Боле 300 уязвимостей обнаружено

Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 4.7K
Комментарии 6

Где моя повозка, сударь? Безопасность GPS-трекинга

Блог компании Digital Security Информационная безопасность *
Добрый день. В стране вот-вот начнется новогоднее настроение, а значит, пора отпусков, салатов и легкого ненапряжного ресеча.
Мне очень нравится обращать внимание на информационную безопасность вещей, которые окружают человека в повседневной жизни. Что ж, давайте поговорим об одной из таких вещей. GPS-трекер, дамы и господа!


Читать дальше →
Всего голосов 105: ↑103 и ↓2 +101
Просмотры 38K
Комментарии 32

Порталы нежити в Android

Блог компании Digital Security Информационная безопасность *


Новостями и исследованиями о новых зловредах для мобильной операционной системы Android сегодня уже никого не удивить. Но компания Google делает определенные шаги для улучшения безопасности платформы (кстати, из-за принятой модели безопасности ОС и большой фрагментированности версий ОС это сделать очень тяжело). И это, в свою очередь, заставляет вирусописателей идти на новые шаги для распространения своих детищ.
В данной статье я рассмотрю существующие и использующиеся уже сейчас векторы распространения вредоносов для ОС Android. Если интересно, то прошу под кат.

Читать дальше →
Всего голосов 40: ↑37 и ↓3 +34
Просмотры 26K
Комментарии 7

Конференция ZeroNights 2014 — как все было

Блог компании Digital Security Информационная безопасность *
Вот уже в четвертый раз в Москве прошла конференция, посвященная информационной безопасности — ZeroNights 2014.

image

Как и в прошлом году, для того, чтобы попасть на ZeroNights, нужно было либо купить билет на мероприятие, либо выиграть его в HackQuest. О HackQuest мы объявляли на Хабре, и, как и ожидалось, задания оказались достаточно высокой сложности. Вместо отведенных 24 часов на каждое задание, некоторые висели по трое суток без решения, зато с кучей подсказок. Как вам, например, взламывать программу, написанную на языке Limbo, которая выполняется в эмуляторе ОС Inferno, или написать прошивку для устройства на языке Verilog, которое подключено в качестве человека посередине между двумя другими устройствами, которые передают зашифрованные данные друг-другу? На 5 из 8 заданий участники опубликовали райтапы, с которыми вы можете ознакомиться чуть ниже.

Конференция проводилась два дня: 13 и 14 ноября. Одновременно можно было посещать два трека, в которых читались доклады, либо же участвовать в воркшопах, в которых рассказывали и показывали крутые технические трюки, и, таким образом, учили вас. Также, все два дня работал Hardware Village — стенд с радио, RFID, NFC и проводным оборудованием для проведения атак.
Помимо основной программы, были еще Fast Track — короткие 15-минутные доклады обо всем и Defensive Track — 20-минутые доклады о безопасности в какой-либо среде.
Воркшопы были на самые разные темы: от how-to по инструментам и стандартным небезопасным настройкам роутеров, до взлома ключа AES-128-ECB через показания потребленной электроэнергии.
Читать дальше →
Всего голосов 31: ↑29 и ↓2 +27
Просмотры 15K
Комментарии 6

Принцип Доверия (Trust) в HTTPS

Информационная безопасность *Криптография *
Из песочницы

Сейчас уже, наверное, больше половины серверов перебрались с http на https протокол. Зачем? Ну, это мол круто, секъюрно.


В чем же заключается эта секъюрность? На эту тему уже написана куча статей, в том числе и на Хабре. Но я бы хотел добавить еще одну.


Почему решил написать


Я, вообще, по специальности Android разработчик, и не особо шарю в криптографии и протоколах защиты информации. Поэтому когда мне пришлось столкнуться с этим непосредственно, я был немного в шоке от размера пропасти в моих теоретических знаниях.


Я начал рыться в разных источниках, и оказалось, что в этой теме не так просто разобраться, и тут недостаточно просто прочитать пару статей на Хабре или Вики, при чем я нигде не встретил абсолютно исчерпывающего и понятного источника, чтобы сослаться и сказать — "Вот это Библия". Поэтому у меня это "немного разобраться" заняло кучу времени. Так вот, разобравшись, я решил поделиться этим, и написать статью для таких же новичков, как и я, или просто для людей, которым интересно зачем в строке URL иногда стоит https, а не http.

Читать дальше →
Всего голосов 32: ↑22 и ↓10 +12
Просмотры 29K
Комментарии 42

[СПб, Анонс] Встреча CodeFreeze с Александром Чепурным про блокчейн для разработчиков

Блог компании JUG Ru Group Информационная безопасность *Криптография *
image
В четверг, 15 декабря, в 20:00 в офисе компании SEMrush состоится встреча с Александром Чепурным, сотрудником IOHK Research. Тема встречи — блокчейн для разработчиков. В данной сессии будет рассказано все о технологии: от самых основ до деталей различных проблем и атак.
Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 3.6K
Комментарии 0
1