• Как багхантеры перехватывали письма в пневмопочте на ZeroNights



      Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, на примере недавно прошедшей конференции по информационной безопасности ZeroNights, мы расскажем о том, каким образом можно привлекать хакеров к участию в поиске багов и уязвимостей через профильные мероприятия.
      Читать дальше →
      • +29
      • 6,6k
      • 1
    • Вознаграждаем за уязвимости четвёртый год подряд


        Специалисты в IT-безопасности, которые умеют находить уязвимости и эксплуатировать их, всегда стоят перед выбором — что, в итоге, с этими знаниями и умениями делать? И надо признать, что довольно большое количество таких специалистов выбирает путь ответственного раскрытия информации о найденных проблемах и уязвимостях. Именно с такими людьми компании должны уметь и хотеть взаимодействовать. Речь идет о Bug Bounty — объявляемых компаниями программах поиска уязвимостей в их продуктах и сервисах за денежное вознаграждение.
        Читать дальше →
        • +34
        • 7,2k
        • 3
      • ZeroNights: анонс воркшопов и конкурсов

          image

          Ручная работа – крутые воркшопы и конкурсы на ZeroNights!


          Друзья, конференция ZeroNights – территория практиков в области ИБ. При этом, у нас есть зоны, в которых можно не только ознакомиться с результатами новейших исследований, узнать о необычных хакерских находках, но и научиться чему-то «на лету», поработать не только головой, но и руками. Во-первых, в рамках ZN пройдут традиционно хардкорные workshops. Специально для тех, кто не боится перейти от слов к делу и попробовать свои силы на практике под руководством известных спецов с классными темами. Во-вторых, мы предлагаем вам принять участие в крутейших конкурсах. Для тех, кто вообще ничего не боится
          Читать дальше →
        • Программа ZeroNights 2016 + анонс HackQuest



            По доброй традиции, мы делимся с вами новостями программы конференции ZeroNights, своими ожиданиями от мероприятия, предвкушаем новые темы и обсуждения, радуемся новым спикерам и участникам. Ниже мы представим новости программы и расскажем немного о каждом докладе, который вы будете иметь возможность услышать на ZN.

            Основная программа


            Ключевой Докладчик конференции — Михаэль Оссманн (Michael Ossmann)
            Добро пожаловать на физический уровень

            Каждая конференция ZeroNights – это новый мир со своими особенностями, возможностями для открытий и свершений. Исследовательская Вселенная не имеет границ.

            Не случайно в качестве ключевого докладчика на ZN 2016 мы выбрали Михаэля Оссманна (Michael Ossmann), известного исследователя в области безопасности беспроводных систем, разработчика аппаратного обеспечения для высококвалифицированных ИТ-экспертов. Михаэль— исследователь в области безопасности беспроводных систем, разработчик аппаратного обеспечения для хакеров. Получивший известность благодаря проектам с открытым кодом HackRF, Ubertooth, и Daisho, Михаэль основал проект Great Scott Gadgets, чтобы исследователи могли использовать новые перспективные инструменты.
            Читать дальше →
            • +24
            • 5,5k
            • 3
          • SmartTV* — как создать небезопасное устройство в современном мире

              * — в статье пойдет речь только про Samsung SmartTV

              image
              Изображение с mnn.com

              «Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party.»

              Соглашение о конфиденциальности Samsung SmartTV (до февраля 2015 года)

              The telescreen received and transmitted simultaneously. Any sound that Winston made, above the level of a very low whisper, would be picked up by it; moreover, so long as he remained within the field of vision which the metal plate commanded, he could be seen as well as heard. There was of course no way of knowing whether you were being watched at any given moment. How often, or on what system, the Thought Police plugged in on any individual wire was guesswork.

              «1984» — роман-антиутопия Джорджа Оруэлла, изданный в 1949 году

              Вступление


              Буквально на прошлой неделе прошла конференция ZeroNights, про которую мы так много писали на Хабре (еще не опубликован финальный отчет, надо дописать). И кроме всего прочего, там я прочитал доклад про Samsung SmartTV, рассказав, что может быть, если при проектировании подобных мультимедийных платформ руководствоваться интуитивно наиболее близкими и легкими решениями (раскроем эту тему это очень подробно). Формат повествования был выбран хронологический, т.е. как я и что смотрел и как прорабатывал решение, будь бы я инженером подобного устройства.
              Читать дальше →
            • ZeroNights — про прошедший hackquest и грядущий Hardware Village

                image

                Привет!


                До конференции ZeroNights, о которой мы уже не раз писали на Хабре, остаются считанные дни!

                Одним из последних наших постов был рассказ про HackQuest. Он успешно прошел и пришло время о заданиях и о том, как их решали. И конечно же — поздравить победителей!

                • 1 день, задание “Chocolate Factory” (web) — cdump и BlackFan
                • 2 день, задание “HSM V1.0” (web, crypto, hash cracking) — Abr1k0s
                • 3 день, задание “BAZAAR NG” (web) — AV1ct0r
                • 4 день, задание “ILLOGICAL PHOTOGALLERY” (web, oauth) — Beched
                • 5 день, задание “CRACKME” (reverse) — sysenter
                • 6 день, задание “BANK ROBBERY”, (phreaking, web) — dr.glukyne
                • 7 день, задание “BLINK2PWN”, (reverse, binary pwn) — mr_dawerty

                Читать дальше →
                • +11
                • 6,3k
                • 1
              • ZeroNights HackQuest 2015



                  В пятый юбилейный раз мы проводим конференцию по практической информационной безопасности (пройдет 25-26 ноября в Москве, 2015.zeronights.ru).

                  Традиционно мы проводим перед ней хакквест, предлагая всем желающим порешать задания связанные с reverse engineering'ом, веб-хакингом, пентестом, анализом протоколов и т.п. вещами.
                  Читать дальше →
                • (Не)безопасный frontend

                    Интро


                    Не так давно я выступал на конференции FrontendConf 2015 (РИТ++) с темой данной статьи. И при подготовке доклада начал искать информацию, а кто вообще выступал на данную тему и что есть в Сети на данный момент.

                    Оказалось, что информации совсем немного, более-менее можно было бы отметить доклад mikewest.org/2013/09/frontend-security-frontendconf-2013 от Mike West из компании Google, но какой-то «непентестерский» взгляд и уж совсем мало материала. И www.slideshare.net/eoftedal/web-application-security-in-front-end где тема раскрыта более детально, но выступление 2011 года. А за 4 года технологии и атаки на месте не стояли.

                    Долго и сложно выбирая темы, что же все-таки рассказать разработчикам фронтендов про безопасность, при этом минимум касаясь бекэнда (местами все-таки это неделимо), получился доклад, а здесь — его текстовый пересказ.

                    О чем вообще разговор?


                    А действительно, о чем тут вообще можно разговаривать? Говоря про взломы и безопасность невольно приходят в голову тезисы — слили базу, получили доступ к выполнению команд ОС на сервере, прочитали чужую переписку. Но это все — server side код. А что ж может «нагородить» фронтэндер? Главная опасность, конечно же, в обходе атакующим SOP — Same Origin Policy, главной политики безопасности браузеров, которая регулирует работу в разных Origin. Но не только, давайте разбираться.

                    Читать дальше →
                    • +62
                    • 54,4k
                    • 4
                  • Захватываем полный контроль над чужим облаком Digital Ocean (уязвимость в Doorkeeper)

                      Как и многие хабрапользователи, я пользуюсь «облачными» технологиями, в т.ч. арендую VPS (виртуальные сервера) в разных странах мира. Порядка двух лет я пользовался Амазоном и не сказать, чтобы был доволен, но хватало.

                      В сентябре прошлого года я наткнулся на очень агрессивную PR компанию от Digital Ocean (DO) и решил воспользоваться их услугами. С того момента я забросил Амазон (ни разу не реклама) и полностью перешел на DO.
                      image

                      И чем больше пользуешься каким-либо сервисом и чем больше доверяешь ему своих данных, тем более пристально смотришь, как он работает.
                      Читать дальше →
                    • Статья про нетипичную эксплуатацию SQL инъекции и про трюк в sqlmap. А еще — про Counter Strike

                        Очень давно не писал на Хабр и решил поделиться небольшой, произошедшей в свободное время, и забавной историей. Нет-нет, это статья не о том, что такое sqli и как от них защищаться, а про нетипичную «раскрутку» SQLi. Полезна будет скорее начинающим веб-пентестерам как обучение и, внезапно, некоторым админам мониторингов серверов Counter Strike.
                        А если заспойлерить для опытных
                        То статья о том, как менять параметры в sqlmap налету, для каждого запроса по нужному механизму (можно промотать в самый низ и сэкономить 5 минут).


                        Давайте по-порядку.
                        Читать дальше →
                      • ZeroNights 2014 — hackquest

                          image

                          ZeroNights — это конференция по практической информационной безопасности, которую мы проводим в этом году уже в четвертый раз! Мы не раз о ней рассказывали, а многие хабрахабровцы принимали в ней участие.

                          И есть у нас традиция — перед самой конференцией проводить хакквест, предлагая участникам различные задания (поломать веб, отреверсить, проанализировать, написать эксплойт для бинарщины — в общем практика). За победу мы даем приглашение на конференцию и с прошлого года вносим в «зал славы». Правила таковы:

                          • Квест идёт 7 дней, стартует 1 октября в 20:00 и заканчивается 8 октября в 20:00 (по Москве);
                          • Каждый день — одно задание. Длительность каждого задания — 24 часа;
                          • Всего заданий — 7;
                          • Кто первый решает задание — получает инвайт (всего инвайтов: 7);
                          • В некоторых ситуациях мы можем попросить участника рассказать как было решено задание (не стоит пытаться нас обмануть, мы за честные и равные соревнования!)

                          Читать дальше →
                        • Большой рассказ про BlackHat USA'2014



                            Буквально на днях (2-7 августа) прошла самая известная конференция в мире по безопасности — BlackHat USA'2014 в которой мы приняли участие во всех её секциях: тренинги, выступления с докладами и участие как спонсоры со стойкой в бизнес зале. Много интересного, личные впечатления да и в в целом — подробно про конфу под катом!
                            Читать дальше →
                          • Get & Check — доставляем контент и шлём push уведомления на мобильные устройства

                              Вступление


                              Давным давно, когда я администрировал сервер WoW (эмулятор), была у меня идея — доставлять информацию о сервере на мобильные устройства игрокам. А еще было бы круто им слать push уведомления. Все закончилось тогда на развернутом окружении для разработки под android. А еще и про iOS разработку почитал, что там не все так просто.
                              Года идут, сервер WoW давно закрыт, случилась другая ситуация — организация конференции. И раз конфа — надо расписание на мобильные устройства. Из плюсов — что сейчас уже появилось множество средств для того, чтобы это приложение сделать со знанием только js/html/css. Но опять — публикация в сторах, заморочки, модерация и т.п. Да и факт — push уведомления то слать хочется!
                              И я все искал сервис — где бы просто «запушать» свой контент (html/js/css), который бы просто кэшировался & рендерился на разных устройствах у пользователей. Да, push уведомления все также бы хотелось слать. Так ничего и не найдя — родился сервис http://getandcheck.com, в т.ч. благодаря моим друзьям со студенческой скамьи, которые написали клиенты-приложения для iOS (Андрей Ковалев), Android (Иван Лебедев) и WinPhone coming soon (Андрей Поляков)
                              Читать дальше →
                            • Тестирование безопасности клиент-серверного API

                                2 года назад я выступал на конференции CodeFest с темой «Пентест на стероидах. Автоматизируем процесс» и делал пересказ выступления в качестве статьи. В этом году я с большим удовольствием снова принял участие в конференции и выступил с темой «BlackBox тестирование безопасности клиент-серверного API» и, видимо уже в качестве традиции, также делаю пересказ выступления.



                                Уязвимости в API встречаются. Правда.

                                О чем разговор?


                                Разговор про API, но API бывает разным — API операционной системы, сайта, десктопной программы, да хоть чего. Вкратце — API это обращение к методам чего-либо (например в случае ОС — запись в файл) через определенный метод. И запуск какого-нибудь файла с т.ч. зрения разработки произойдет схожим образом (тоже через API метод ОС), хотя результат выполнения команды совершенно разный. В веб-технологиях многие тоже реализуют API к своим проектам, и если на пальцах: можно отправить сообщение в соц. сети зайдя на сайт, а можно — сформировав специальный HTTP запрос. И при реализации подобного альтернативного использования функционала допускаются (как и везде) ошибки в безопасности. Статья как раз о специфичных ошибках при реализации подобного функционала в веб-проектах.
                                Читать дальше →
                              • Спуфинг расширения в winrar

                                  Топик одним предложением — есть техническая возможность заменить отображаемое имя файла в Winrar. И какой-нибудь image.jpeg успешно выполнится как .exe файл :) Я не буду делать полный перевод оригинального топика, но перескажу суть под катом.
                                  Читать дальше →
                                • Атаки на отказ в обслуживании: практика тестирования

                                    Пост — резюме


                                    Думаю, начать стоит с того, что в последнее время все больше заказчиков обращаются не только за тестированием на проникновение, но и за проверкой устойчивости их сервисов к атакам на отказ в обслуживании, чаще всего — веб-сайтов. И на нашей практике пока не было ни одного случая, чтобы реальный работающий сайт (не заранее подготовленная площадка) не вышел из строя, в т.ч. находящийся под разными защитными системами. И этот пост — резюмирование текущего опыта (D)DoS тестирования разными методами совершенно разных инфраструктур (от банков до типичных корпоративных сайтов).
                                    Читать дальше →
                                  • Атаки на банковские системы

                                      Не припоминаю я на Хабре статьи про атаки на банки. Никакой теории и фантазии, реальная практика и скрины

                                      Немного введения. Не так давно я выступал на VI уральском форуме по информационной безопасности банков, где много внимания было уделено новому стандарту ЦБ РФ об обеспечении информационной безопасности банковских систем, на эту же тему был и мой доклад. В стандарте выделено 7 этапов жизни банковских систем (ПО), от написания ТЗ до снятия с эксплуатации. И схема моего доклада была следующей — рассказать некоторые реальные истории атак, проецируя их на новый стандарт от ЦБ, и показывая, как бы он (стандарт) мог «сломать» эти вектора, если бы банки его применяли. А на Хабре я опубликую пересказ своего выступления (осторожно, картинки!). Ах и да — вся информация предоставлена исключительно с целью ознакомления и ни в коем случае не является руководством к действию.
                                      Читать дальше →
                                    • Про переводы на Хабрахабре

                                        Я не профессиональный переводчик, да и вообще не переводчик. Но я все чаще, как пользователь Хабрахабра, встречаю статьи с пометкой «Перевод» которые отражают скорее личное мнение автора с использованием некоторого материала из оригинальной статьи, чем перевод. Еще хуже случаи, когда автор статью переводит, а некоторые слова – подменяет на совершенно другие по смыслу (нет, не адаптация перевода, а вообще изменение контекста).

                                        Пожалуйста, если делаете перевод – делайте перевод. Если решили сделать пересказ – то просто укажите в конце список литературы или так и напишите – мое мнение о такой-то статье. Про качество перевода молчу, у всех разный скилл, но грамматика – уважайте читателей, проверяйте хотя бы в ворде, спасибо.
                                      • Подборка трюков при анализе защищенности веб приложений

                                          Всем привет! Этот топик посвящен разным трюкам при анализе защищенности (пентесте) веб приложений. Периодически сталкиваешься с ситуацией, когда надо обойти какую-нибудь защиту, выкрутиться в данных ограничениях или просто протестировать какое-то неочевидное место. И этот пост как раз об этом! Добро пожаловать под кат.
                                          Читать дальше →
                                        • Результаты исследования методов аутентификации и некоторых механизмов защиты от WEB-атак на примере Google, VK и других

                                            О чем топик?


                                            В этой статье я расскажу о реализациях разного функционала (преимущественно, на веб-сервисах) для обеспечения безопасности пользователей на примере «гигантов» современной IT индустрии. Данный материал будет полезен разработчикам, архитекторам, тим-лидам и менеджерам при постановке задач схожего функционала. Реализации в статье разработаны командами профессионалов, проверены временем и сотнями миллионами пользователей (а также большим количеством хакеров), хоть и никаких гарантий, что именно данный вариант реализации — абсолютно правильный и 100% безопасный, конечно же нет. Информация основана на личном анализе этих ресурсов.
                                            Читать дальше →