Как стать автором
Поиск
Написать публикацию
Обновить
260
Карма
0
Рейтинг
Sergey Belov @BeLove

Пользователь

Отправить сообщение
Профиль Публикации 59Комментарии 747Закладки 386

Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет

Время на прочтение12 мин
Количество просмотров8.1K
Информационная безопасность*
Технотекст 2022

Одна из главных задач отдела Application Security - усложнить массовый захват аккаунтов и самое сложное в них это таргетированные атаки. И, как оказалось, если ваш сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц - вы попадаете в ловушку из-за отсутствия безопасных и доступных подходов аутентификации пользователей. Давайте обо всем по порядку - пройдемся по текущим механизмам, выделим их проблемы и сделаем предположение, как мы бы все-таки могли исправить текущую ситуацию.

Захват аккаунта может произойти на трех стадиях:

Читать далее
Всего голосов 22: ↑22 и ↓0+22
Комментарии33

Как багхантеры перехватывали письма в пневмопочте на ZeroNights

Время на прочтение4 мин
Количество просмотров7.3K
Блог компании VKИнформационная безопасность*


Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, на примере недавно прошедшей конференции по информационной безопасности ZeroNights, мы расскажем о том, каким образом можно привлекать хакеров к участию в поиске багов и уязвимостей через профильные мероприятия.
Всего голосов 37: ↑33 и ↓4+29
Комментарии1

Вознаграждаем за уязвимости четвёртый год подряд

Время на прочтение8 мин
Количество просмотров10K
Блог компании VKИнформационная безопасность*

Специалисты в IT-безопасности, которые умеют находить уязвимости и эксплуатировать их, всегда стоят перед выбором — что, в итоге, с этими знаниями и умениями делать? И надо признать, что довольно большое количество таких специалистов выбирает путь ответственного раскрытия информации о найденных проблемах и уязвимостях. Именно с такими людьми компании должны уметь и хотеть взаимодействовать. Речь идет о Bug Bounty — объявляемых компаниями программах поиска уязвимостей в их продуктах и сервисах за денежное вознаграждение.
Читать дальше →
Всего голосов 38: ↑36 и ↓2+34
Комментарии3

ZeroNights: анонс воркшопов и конкурсов

Время на прочтение6 мин
Количество просмотров3.9K
Блог компании Digital SecurityИнформационная безопасность*
image

Ручная работа – крутые воркшопы и конкурсы на ZeroNights!


Друзья, конференция ZeroNights – территория практиков в области ИБ. При этом, у нас есть зоны, в которых можно не только ознакомиться с результатами новейших исследований, узнать о необычных хакерских находках, но и научиться чему-то «на лету», поработать не только головой, но и руками. Во-первых, в рамках ZN пройдут традиционно хардкорные workshops. Специально для тех, кто не боится перейти от слов к делу и попробовать свои силы на практике под руководством известных спецов с классными темами. Во-вторых, мы предлагаем вам принять участие в крутейших конкурсах. Для тех, кто вообще ничего не боится
Читать дальше →
Всего голосов 19: ↑18 и ↓1+17
Комментарии3

Программа ZeroNights 2016 + анонс HackQuest

Время на прочтение14 мин
Количество просмотров5.9K
Блог компании Digital SecurityИнформационная безопасность*


По доброй традиции, мы делимся с вами новостями программы конференции ZeroNights, своими ожиданиями от мероприятия, предвкушаем новые темы и обсуждения, радуемся новым спикерам и участникам. Ниже мы представим новости программы и расскажем немного о каждом докладе, который вы будете иметь возможность услышать на ZN.

Основная программа


Ключевой Докладчик конференции — Михаэль Оссманн (Michael Ossmann)
Добро пожаловать на физический уровень

Каждая конференция ZeroNights – это новый мир со своими особенностями, возможностями для открытий и свершений. Исследовательская Вселенная не имеет границ.

Не случайно в качестве ключевого докладчика на ZN 2016 мы выбрали Михаэля Оссманна (Michael Ossmann), известного исследователя в области безопасности беспроводных систем, разработчика аппаратного обеспечения для высококвалифицированных ИТ-экспертов. Михаэль— исследователь в области безопасности беспроводных систем, разработчик аппаратного обеспечения для хакеров. Получивший известность благодаря проектам с открытым кодом HackRF, Ubertooth, и Daisho, Михаэль основал проект Great Scott Gadgets, чтобы исследователи могли использовать новые перспективные инструменты.
Читать дальше →
Всего голосов 26: ↑25 и ↓1+24
Комментарии3

SmartTV* — как создать небезопасное устройство в современном мире

Время на прочтение10 мин
Количество просмотров26K
Блог компании Digital SecurityИнформационная безопасность*
* — в статье пойдет речь только про Samsung SmartTV

image
Изображение с mnn.com

«Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party.»

Соглашение о конфиденциальности Samsung SmartTV (до февраля 2015 года)

The telescreen received and transmitted simultaneously. Any sound that Winston made, above the level of a very low whisper, would be picked up by it; moreover, so long as he remained within the field of vision which the metal plate commanded, he could be seen as well as heard. There was of course no way of knowing whether you were being watched at any given moment. How often, or on what system, the Thought Police plugged in on any individual wire was guesswork.

«1984» — роман-антиутопия Джорджа Оруэлла, изданный в 1949 году

Вступление


Буквально на прошлой неделе прошла конференция ZeroNights, про которую мы так много писали на Хабре (еще не опубликован финальный отчет, надо дописать). И кроме всего прочего, там я прочитал доклад про Samsung SmartTV, рассказав, что может быть, если при проектировании подобных мультимедийных платформ руководствоваться интуитивно наиболее близкими и легкими решениями (раскроем эту тему это очень подробно). Формат повествования был выбран хронологический, т.е. как я и что смотрел и как прорабатывал решение, будь бы я инженером подобного устройства.
Читать дальше →
Всего голосов 29: ↑27 и ↓2+25
Комментарии20

ZeroNights — про прошедший hackquest и грядущий Hardware Village

Время на прочтение11 мин
Количество просмотров6.7K
Блог компании Digital SecurityИнформационная безопасность*
image

Привет!


До конференции ZeroNights, о которой мы уже не раз писали на Хабре, остаются считанные дни!

Одним из последних наших постов был рассказ про HackQuest. Он успешно прошел и пришло время о заданиях и о том, как их решали. И конечно же — поздравить победителей!

  • 1 день, задание “Chocolate Factory” (web) — cdump и BlackFan
  • 2 день, задание “HSM V1.0” (web, crypto, hash cracking) — Abr1k0s
  • 3 день, задание “BAZAAR NG” (web) — AV1ct0r
  • 4 день, задание “ILLOGICAL PHOTOGALLERY” (web, oauth) — Beched
  • 5 день, задание “CRACKME” (reverse) — sysenter
  • 6 день, задание “BANK ROBBERY”, (phreaking, web) — dr.glukyne
  • 7 день, задание “BLINK2PWN”, (reverse, binary pwn) — mr_dawerty

Читать дальше →
Всего голосов 13: ↑12 и ↓1+11
Комментарии1

ZeroNights HackQuest 2015

Время на прочтение1 мин
Количество просмотров9.4K
Блог компании Digital SecurityИнформационная безопасность*


В пятый юбилейный раз мы проводим конференцию по практической информационной безопасности (пройдет 25-26 ноября в Москве, 2015.zeronights.ru).

Традиционно мы проводим перед ней хакквест, предлагая всем желающим порешать задания связанные с reverse engineering'ом, веб-хакингом, пентестом, анализом протоколов и т.п. вещами.
Читать дальше →
Всего голосов 18: ↑15 и ↓3+12
Комментарии0

(Не)безопасный frontend

Время на прочтение13 мин
Количество просмотров60K
Блог компании Digital SecurityИнформационная безопасность*

Интро


Не так давно я выступал на конференции FrontendConf 2015 (РИТ++) с темой данной статьи. И при подготовке доклада начал искать информацию, а кто вообще выступал на данную тему и что есть в Сети на данный момент.

Оказалось, что информации совсем немного, более-менее можно было бы отметить доклад mikewest.org/2013/09/frontend-security-frontendconf-2013 от Mike West из компании Google, но какой-то «непентестерский» взгляд и уж совсем мало материала. И www.slideshare.net/eoftedal/web-application-security-in-front-end где тема раскрыта более детально, но выступление 2011 года. А за 4 года технологии и атаки на месте не стояли.

Долго и сложно выбирая темы, что же все-таки рассказать разработчикам фронтендов про безопасность, при этом минимум касаясь бекэнда (местами все-таки это неделимо), получился доклад, а здесь — его текстовый пересказ.

О чем вообще разговор?


А действительно, о чем тут вообще можно разговаривать? Говоря про взломы и безопасность невольно приходят в голову тезисы — слили базу, получили доступ к выполнению команд ОС на сервере, прочитали чужую переписку. Но это все — server side код. А что ж может «нагородить» фронтэндер? Главная опасность, конечно же, в обходе атакующим SOP — Same Origin Policy, главной политики безопасности браузеров, которая регулирует работу в разных Origin. Но не только, давайте разбираться.

Читать дальше →
Всего голосов 64: ↑63 и ↓1+62
Комментарии4

Doorkeeper CSRF — CVE-2014-8144

Время на прочтение4 мин
Количество просмотров51K
Информационная безопасность*
Как и многие хабрапользователи, я пользуюсь «облачными» технологиями, в т.ч. арендую VPS (виртуальные сервера) в разных странах мира. Порядка двух лет я пользовался Амазоном и не сказать, чтобы был доволен, но хватало.

В сентябре прошлого года я наткнулся на очень агрессивную PR компанию от Digital Ocean (DO) и решил воспользоваться их услугами. С того момента я забросил Амазон (ни разу не реклама) и полностью перешел на DO.
image

И чем больше пользуешься каким-либо сервисом и чем больше доверяешь ему своих данных, тем более пристально смотришь, как он работает.
Читать дальше →
Всего голосов 84: ↑81 и ↓3+78
Комментарии10

Статья про нетипичную эксплуатацию SQL инъекции и про трюк в sqlmap. А еще — про Counter Strike

Время на прочтение3 мин
Количество просмотров42K
Информационная безопасность*
Очень давно не писал на Хабр и решил поделиться небольшой, произошедшей в свободное время, и забавной историей. Нет-нет, это статья не о том, что такое sqli и как от них защищаться, а про нетипичную «раскрутку» SQLi. Полезна будет скорее начинающим веб-пентестерам как обучение и, внезапно, некоторым админам мониторингов серверов Counter Strike.
А если заспойлерить для опытных
То статья о том, как менять параметры в sqlmap налету, для каждого запроса по нужному механизму (можно промотать в самый низ и сэкономить 5 минут).


Давайте по-порядку.
Читать дальше →
Всего голосов 51: ↑46 и ↓5+41
Комментарии24

ZeroNights 2014 — hackquest

Время на прочтение1 мин
Количество просмотров12K
Блог компании Digital SecurityИнформационная безопасность*
image

ZeroNights — это конференция по практической информационной безопасности, которую мы проводим в этом году уже в четвертый раз! Мы не раз о ней рассказывали, а многие хабрахабровцы принимали в ней участие.

И есть у нас традиция — перед самой конференцией проводить хакквест, предлагая участникам различные задания (поломать веб, отреверсить, проанализировать, написать эксплойт для бинарщины — в общем практика). За победу мы даем приглашение на конференцию и с прошлого года вносим в «зал славы». Правила таковы:

  • Квест идёт 7 дней, стартует 1 октября в 20:00 и заканчивается 8 октября в 20:00 (по Москве);
  • Каждый день — одно задание. Длительность каждого задания — 24 часа;
  • Всего заданий — 7;
  • Кто первый решает задание — получает инвайт (всего инвайтов: 7);
  • В некоторых ситуациях мы можем попросить участника рассказать как было решено задание (не стоит пытаться нас обмануть, мы за честные и равные соревнования!)

Читать дальше →
Всего голосов 28: ↑25 и ↓3+22
Комментарии33

Большой рассказ про BlackHat USA'2014

Время на прочтение5 мин
Количество просмотров11K
Блог компании Digital SecurityИнформационная безопасность*


Буквально на днях (2-7 августа) прошла самая известная конференция в мире по безопасности — BlackHat USA'2014 в которой мы приняли участие во всех её секциях: тренинги, выступления с докладами и участие как спонсоры со стойкой в бизнес зале. Много интересного, личные впечатления да и в в целом — подробно про конфу под катом!
Читать дальше →
Всего голосов 30: ↑29 и ↓1+28
Комментарии10

Тестирование безопасности клиент-серверного API

Время на прочтение6 мин
Количество просмотров40K
Блог компании Digital SecurityИнформационная безопасность*
2 года назад я выступал на конференции CodeFest с темой «Пентест на стероидах. Автоматизируем процесс» и делал пересказ выступления в качестве статьи. В этом году я с большим удовольствием снова принял участие в конференции и выступил с темой «BlackBox тестирование безопасности клиент-серверного API» и, видимо уже в качестве традиции, также делаю пересказ выступления.



Уязвимости в API встречаются. Правда.

О чем разговор?


Разговор про API, но API бывает разным — API операционной системы, сайта, десктопной программы, да хоть чего. Вкратце — API это обращение к методам чего-либо (например в случае ОС — запись в файл) через определенный метод. И запуск какого-нибудь файла с т.ч. зрения разработки произойдет схожим образом (тоже через API метод ОС), хотя результат выполнения команды совершенно разный. В веб-технологиях многие тоже реализуют API к своим проектам, и если на пальцах: можно отправить сообщение в соц. сети зайдя на сайт, а можно — сформировав специальный HTTP запрос. И при реализации подобного альтернативного использования функционала допускаются (как и везде) ошибки в безопасности. Статья как раз о специфичных ошибках при реализации подобного функционала в веб-проектах.
Читать дальше →
Всего голосов 68: ↑66 и ↓2+64
Комментарии16

Спуфинг расширения в winrar

Время на прочтение1 мин
Количество просмотров38K
Информационная безопасность*
Топик одним предложением — есть техническая возможность заменить отображаемое имя файла в Winrar. И какой-нибудь image.jpeg успешно выполнится как .exe файл :) Я не буду делать полный перевод оригинального топика, но перескажу суть под катом.
Читать дальше →
Всего голосов 91: ↑84 и ↓7+77
Комментарии67

Атаки на отказ в обслуживании: практика тестирования

Время на прочтение4 мин
Количество просмотров32K
Блог компании Digital SecurityИнформационная безопасность*

Пост — резюме


Думаю, начать стоит с того, что в последнее время все больше заказчиков обращаются не только за тестированием на проникновение, но и за проверкой устойчивости их сервисов к атакам на отказ в обслуживании, чаще всего — веб-сайтов. И на нашей практике пока не было ни одного случая, чтобы реальный работающий сайт (не заранее подготовленная площадка) не вышел из строя, в т.ч. находящийся под разными защитными системами. И этот пост — резюмирование текущего опыта (D)DoS тестирования разными методами совершенно разных инфраструктур (от банков до типичных корпоративных сайтов).
Читать дальше →
Всего голосов 64: ↑61 и ↓3+58
Комментарии15

Атаки на банковские системы

Время на прочтение4 мин
Количество просмотров54K
Информационная безопасность*
Не припоминаю я на Хабре статьи про атаки на банки. Никакой теории и фантазии, реальная практика и скрины

Немного введения. Не так давно я выступал на VI уральском форуме по информационной безопасности банков, где много внимания было уделено новому стандарту ЦБ РФ об обеспечении информационной безопасности банковских систем, на эту же тему был и мой доклад. В стандарте выделено 7 этапов жизни банковских систем (ПО), от написания ТЗ до снятия с эксплуатации. И схема моего доклада была следующей — рассказать некоторые реальные истории атак, проецируя их на новый стандарт от ЦБ, и показывая, как бы он (стандарт) мог «сломать» эти вектора, если бы банки его применяли. А на Хабре я опубликую пересказ своего выступления (осторожно, картинки!). Ах и да — вся информация предоставлена исключительно с целью ознакомления и ни в коем случае не является руководством к действию.
Читать дальше →
Всего голосов 98: ↑90 и ↓8+82
Комментарии54

Про переводы на Хабрахабре

Время на прочтение1 мин
Количество просмотров5.5K
Habr
Я не профессиональный переводчик, да и вообще не переводчик. Но я все чаще, как пользователь Хабрахабра, встречаю статьи с пометкой «Перевод» которые отражают скорее личное мнение автора с использованием некоторого материала из оригинальной статьи, чем перевод. Еще хуже случаи, когда автор статью переводит, а некоторые слова – подменяет на совершенно другие по смыслу (нет, не адаптация перевода, а вообще изменение контекста).

Пожалуйста, если делаете перевод – делайте перевод. Если решили сделать пересказ – то просто укажите в конце список литературы или так и напишите – мое мнение о такой-то статье. Про качество перевода молчу, у всех разный скилл, но грамматика – уважайте читателей, проверяйте хотя бы в ворде, спасибо.
Всего голосов 165: ↑116 и ↓49+67
Комментарии25

Подборка трюков при анализе защищенности веб приложений

Время на прочтение5 мин
Количество просмотров35K
Блог компании Digital SecurityИнформационная безопасность*
Всем привет! Этот топик посвящен разным трюкам при анализе защищенности (пентесте) веб приложений. Периодически сталкиваешься с ситуацией, когда надо обойти какую-нибудь защиту, выкрутиться в данных ограничениях или просто протестировать какое-то неочевидное место. И этот пост как раз об этом! Добро пожаловать под кат.
Читать дальше →
Всего голосов 87: ↑81 и ↓6+75
Комментарии16

Результаты исследования методов аутентификации и некоторых механизмов защиты от WEB-атак на примере Google, VK и других

Время на прочтение5 мин
Количество просмотров46K
Блог компании Digital SecurityИнформационная безопасность*

О чем топик?


В этой статье я расскажу о реализациях разного функционала (преимущественно, на веб-сервисах) для обеспечения безопасности пользователей на примере «гигантов» современной IT индустрии. Данный материал будет полезен разработчикам, архитекторам, тим-лидам и менеджерам при постановке задач схожего функционала. Реализации в статье разработаны командами профессионалов, проверены временем и сотнями миллионами пользователей (а также большим количеством хакеров), хоть и никаких гарантий, что именно данный вариант реализации — абсолютно правильный и 100% безопасный, конечно же нет. Информация основана на личном анализе этих ресурсов.
Читать дальше →
Всего голосов 83: ↑71 и ↓12+59
Комментарии30
НазадСюда
1
23

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr