У коллег это была короткая новостная публикация в дайджесте, а мы сделали подробный разбор оригинального исследования в двух частях, своего рода deep dive. Скоро выпустим вторую часть)
В статье как раз и проверяется это допущение — что перед продажей всё стирают «правильным» методом. Как видите, в реальности максимум жмут «форматировать», а иногда и этого не делают.
не встречал компанию, которая бы строила ИБ- стратегию на много лет вперед
Тут вы правы, это скорее энтерпрайзу свойственно. Но стратегия — это же не обязательно 200-страничный документ на десятилетия. Её можно воспринимать как набор ориентиров, которые со временем будут корректироваться. И выбирать метод, исходя из текущего горизонта планирования и масштаба хотелок. Тот же SMART, например, больше подходит тем, кто хочет зафиксировать понятные цели на ближайший этап, не пытаясь предсказать 2035 год.
Мы наслышаны о проблемах MIFARE Classic :) В этой статье разбирали и нюансы аутентификации через Crypto1, и то, какие сценарии реально работают «за секунды». Правда вектор атаки там другой — через бэкдор (скрытый мастер-ключ в карте FM11RF08S).
Спасибо за интерес к теме! В рамках этой статьи мы сознательно сосредоточились на том, как устроен теневой рынок данных после утечки. Возврат контроля над данными — это уже следующий пласт, который вполне заслуживает отдельной публикации. Обязательно рассмотрим эту идею)
ISO-стандарта по Wiegand нет. В США принята спецификация SIA AC-01-1996.10, на нее обычно и ссылаются. Правда, стоит учитывать, что даже в самих Штатах она используется как рекомендательный стандарт — де-юре это не то же самое, что ISO или ГОСТ. В России, уж тем более, никто формально не обязан ей следовать.
Ценное наблюдение, спасибо! Прямо весь зоопарк «надежды на физическую изоляцию» в одном списке — I2C, UART, CAN… Раньше все, что внутри корпуса, считалось безопасным по умолчанию — никто не подберется. Теперь это слабое звено, потому что меняется модель угроз, а железо так и проектируется «по старинке».
Век живи — век учись. Спасибо большое за библиотеку: их столько, что за всеми не угонишься)
Мы в статье преследовали цель не просто пройтись галопом в духе «кликни сюда, потом сюда, и будет тебе счастье», а показать, как все работает под капотом и почему именно так работает.
Да, пульты от кондиционеров в этом плане достаточно уникальны. В моделях Funai, например, для каждого состояния используется отдельный код, зависящий от «начальной» точки. Постарались по максимуму собрать эти коды, насколько хватило сил. Результаты можно найти ветке Funai на Git.
Здесь можно посмотреть статистику за первую половину 2024 года с разбивкой по видам приговоров (см. первую табличку, строчка про статьи 272–274.2 УК). Вот такая же статистика за первую половину 2023 года. Выводы делайте сами)
Первая часть обзора: https://habr.com/ru/companies/bastion/articles/1003260/
Как обещали, вот вторая часть :)
Спасибо за фидбек!
Спасибо, что оценили наши усилия!
У коллег это была короткая новостная публикация в дайджесте, а мы сделали подробный разбор оригинального исследования в двух частях, своего рода deep dive. Скоро выпустим вторую часть)
В статье как раз и проверяется это допущение — что перед продажей всё стирают «правильным» методом. Как видите, в реальности максимум жмут «форматировать», а иногда и этого не делают.
Тут вы правы, это скорее энтерпрайзу свойственно. Но стратегия — это же не обязательно 200-страничный документ на десятилетия. Её можно воспринимать как набор ориентиров, которые со временем будут корректироваться. И выбирать метод, исходя из текущего горизонта планирования и масштаба хотелок. Тот же SMART, например, больше подходит тем, кто хочет зафиксировать понятные цели на ближайший этап, не пытаясь предсказать 2035 год.
Мы наслышаны о проблемах MIFARE Classic :) В этой статье разбирали и нюансы аутентификации через Crypto1, и то, какие сценарии реально работают «за секунды». Правда вектор атаки там другой — через бэкдор (скрытый мастер-ключ в карте FM11RF08S).
Это вторая часть, продолжение той истории. В начале текста об этом упоминается.
Да, есть похожая UAF-уязвимость для Андроид, вот статья
Спасибо за интерес к теме! В рамках этой статьи мы сознательно сосредоточились на том, как устроен теневой рынок данных после утечки. Возврат контроля над данными — это уже следующий пласт, который вполне заслуживает отдельной публикации. Обязательно рассмотрим эту идею)
А что неоднозначно? Ответ ведь отрицательный при любой интерпретации
ISO-стандарта по Wiegand нет. В США принята спецификация SIA AC-01-1996.10, на нее обычно и ссылаются. Правда, стоит учитывать, что даже в самих Штатах она используется как рекомендательный стандарт — де-юре это не то же самое, что ISO или ГОСТ. В России, уж тем более, никто формально не обязан ей следовать.
Ценное наблюдение, спасибо! Прямо весь зоопарк «надежды на физическую изоляцию» в одном списке — I2C, UART, CAN… Раньше все, что внутри корпуса, считалось безопасным по умолчанию — никто не подберется. Теперь это слабое звено, потому что меняется модель угроз, а железо так и проектируется «по старинке».
О да, Wiegand — это прям привет из аналоговой эры. И что поразительно — до сих пор в ходу, даже на объектах с серьезными требованиями к ИБ.
Век живи — век учись. Спасибо большое за библиотеку: их столько, что за всеми не угонишься)
Мы в статье преследовали цель не просто пройтись галопом в духе «кликни сюда, потом сюда, и будет тебе счастье», а показать, как все работает под капотом и почему именно так работает.
Да, пульты от кондиционеров в этом плане достаточно уникальны. В моделях Funai, например, для каждого состояния используется отдельный код, зависящий от «начальной» точки. Постарались по максимуму собрать эти коды, насколько хватило сил. Результаты можно найти ветке Funai на Git.
Здесь можно посмотреть статистику за первую половину 2024 года с разбивкой по видам приговоров (см. первую табличку, строчка про статьи 272–274.2 УК). Вот такая же статистика за первую половину 2023 года. Выводы делайте сами)
Поздравляю, вы нашли пасхалку) Листинги взяты из семейств вредоносного ПО, которые часто используются в атаках на российские компании.