Проблемы с безопасностью в системах дистанционного банковского обслуживания (ДБО) ни для кого не секрет. Там где на кон поставлены деньги, информационная безопасность проверяется на прочность особенно часто. Основной вектор атаки в системах ДБО направлен на клиентское ПО, так как оно выполняется в небезопасной среде. Для защиты клиентского рабочего места в разное время применялись разные методы. Эволюцию средств нападения и средств защиты, используемых в ДБО, я попытаюсь описать в этом топике. В основном будут рассмотрены технические средства защиты клиентской части ДБО.

Этот пост призван собрать все материалы (приоритетно презентации) конференции «ZeroNights» проходившей 25 ноября в г. Санкт-Петербурге, до их «официальной» публикации на сайте конференции (кому невтерпёж, а может и поможет организаторам). Полезно тем, кто не был, и тем, кто хочет еще раз пересмотреть/перечитать материалы.

— все презентации в upd 2 ---

Ещё один бесплатный курс Стэнфордского университета: по компьютерной безопасности. Будут рассматриваться методы поиска уязвимостей в коде и принципы создания безопасных систем, которые по своей архитектуре минимизируют ущерб от потенциальных уязвимостей, на реальных примерах. Курс покрывает следующие темы:

• уязвимости доступа к памяти;
• техники и инструменты для поиска уязвимостей;
• песочница и изолирование;
• веб-безопасность;
• сетевая безопасность;
• распознавание вредоносных программ и защита;
• безопасность мобильных платформ.

Курс рассчитан на студентов, имеющих базовые навыки программирования на C и C++.

Вы наконец-то можете сделать кое-что со своим старым LCD монитором, который завалялся у Вас в гараже. Превратите его в шпионский монитор! Для всех вокруг он будет выглядеть просто белым экраном, но не для Вас, потому что у Вас будут специальные «волшебные» очки.

Всё что Вам нужно – это пара старых очков, нож для бумаги и растворитель для краски.

Двухфакторная аутентификация — предоставления информации от двух различных типов аутентификации информации [»]

Например, это могут быть последовательно введённые пароль и код, который выдаёт токен с кнопкой. Думаю, многие из вас такие девайсы видели, а кто-то даже их регулярно использует.



Это как если бы на дверь поставили второй замок. Ключ к первому — обычный пароль. Ко второму — действующий в течение 30 секунд одноразовый код. Попасть за дверь можно только если оба ключа окажутся правильными, а не один, как было раньше.

С некоторых пор Google сделала доступной двухфакторную аутентификацию в своих сервисах. Теперь токен переехал в ваш мобильный телефон с Android'ом! iPhone и Blackberry тоже сгодятся в такой роли. Очень удобно. Опробовав на Gmail, мне захотелось такую же штуку сделать у себя, тут-то я внезапно и нашёл libpam-google-authenticator.

Большинство системных администраторов в своей корпоративной среде для обеспечения системы идентификации и доступа своих пользователей к ресурсам предприятия используют доменные службы Active Directory, которые смело можно назвать сердцем всей инфраструктуры предприятия. Как многие из вас знают, структура доменных служб в организациях может включать в себя как один, так и несколько лесов (набор доменов, включающих описание сетевой конфигурации и единственный экземпляр каталога), в зависимости от таких факторов как ограничение области доверительных отношений, полное разделение сетевых данных, получение административной изоляции. В свою очередь, каждый большой лес для упрощения администрирования и репликации данных должен разделяться на домены. В каждом домене для управления доменными службами и выполнения таких задач как проверка подлинности, запуск службы «Центр распределения ключей Kerberos» и управления доступом используются контроллеры домена. А для управления сетевым трафиком между офисами разрабатываются сайты.

Система мандатного управления доступом доставляет много проблем начинающим разработчикам под МСВС. Типичная проблема — невозможность работы с файлами, доступ к которым закрыт мандатными метками. Обычно эту проблему объясняют глючностью МСВС. Хотя дело вовсе не в МСВС. Всё дело в неправильном применении мандатных меток. А неправильное использование меток связано с непониманием основных принципов мандатного управления доступом. В этой статье я изложу основные принципы мандатной модели — основы безопасного доступа к файлам в этой операционной системе. Я специально не стал описывать практическую сторону вопроса, чтобы сфокусировать внимание именно на основах модели.

Специалисты из немецкой компании Recurity Labs разработали JavaScript-реализацию стандарта OpenPGP (RFC 4880) для подписи и шифрования писем в почтовых веб-интерфейсах. Таким образом, PGP-криптография доступна прямо в браузере без установки дополнительного софта.



Модуль GPG4Browsers реализован в качестве расширения для Google Chrome и работает только с Gmail, но не должно стать проблемой переделать его для другого браузера и/или почтового сервиса, ведь исходные коды открыты.

Сразу оговоримся, не стоит воспринимать заголовок слишком буквально. Если звезды зажигают… и так далее.

Тем не менее, семейство протоколов Spannning Tree, если не отживает свой век в качестве основного инструмента резервирования в ethernet-сетях, то как минимум плавно перетекает в узкие и специфические ниши (само собой, их обсуждение выходит за всякие рамки этой статьи, но в приветствуется в комментариях).

И да, конечно, никто не отменял Spanning Tree как технологию защиты от человеческой ошибки.

Не так далеко как вчера
Прихожу с обеденного перерыва, а наш технолог плачет на взрыд.
Михалыч, тута у меня чето виндоус завис.

Пришел и возрадовался — Майкрософт уличила её (технолога) в просмотре гей-порно и требует выкуп на вебмани.

Так как избавился я от этой напасти быстро то решил для приличия проверить бесплатными антивирусами которые были под рукой а заодно и за сабмитить новый экземпляр.

Короткий «конспект» по проделанной работе под катом

Допустим мы имеем 100-150 клиентских машин (ну например информационных терминалов) и нам нужно периодически некоторой их части посылать команды на выполнение (обновление, очистка, перезагрузка и т.д.), можно использовать туннели l2tp, можно использовать ssh, но мы поступим проще! Будем использовать обычные get запросы к нашему серверу.


В данной статье мы рассмотрим самый просто пример реализации, но он легко доделывается и переделывается под личные нужды.

Предисловие

Об этом руководстве

Добро пожаловать в первую из четырех частей обучающего руководства по основам Linux, разработанного чтобы подготовить вас к сдаче экзамена Linux Professional Institute 101. В нем вы познакомитесь с bash (стандартной оболочкой командного интерпретатора в Linux), узнаете о большинстве возможностей таких стандартных команд Linux, как ls, cp и mv, разберетесь в инодах, жестких и символьных ссылках, и многом другом. К концу этого руководства у вас сформируется некий фундамент знаний, и вы будете готовы к изучению основ администрирования Linux. К концу всего курса (8 частей), у вас будет достаточно навыков, чтобы стать системным администратором Linux и пройти сертификацию LPIC Level 1 от Linux Professional Institute, если конечно захотите.

Данная первая часть руководства отлично подходит для новичков в Linux, а также для тех пользователей, кто хочет освежить или улучшить свое понимание фундаментальных концепций Linux, таких, как копирование и перемещение файлов, создание символических и жестких ссылок, а также стандартных команд обработки текста, включая конвейеры и перенаправления. По ходу мы также дадим множество советов, подсказок и трюков, что делает это руководство насыщенным и практичным, даже для тех, кто уже имеет солидный опыт работы с Linux. Для начинающих большая часть этого материала будет новой, но более продвинутые пользователи Linux найдут это руководство отличным средством, чтобы разложить свои фундаментальные навыки по полочкам у себя в голове.

Среди новых проектов, которые получили финансирование американского военного агентства DARPA, обнаружилась интересная разработка от компании Allure Security Technology под замысловатым названием «Обнаружение аномалий в различном масштабе» (Anomaly Detection At Multiple Scales), сокращённо — ADAMS.

Система ADAMS направлена на борьбу с утечками секретных документами, которые потом попадают в открытый доступ (например, на сайте Wikileaks). По мнению разработчиков, пример Wikileaks демонстрирует «новую системную угрозу просачивания и массового раскрытия государственной конфиденциальной информации». Противопоставить ей предлагают «техники и механизмы для идентификации опасных инсайдеров внутри организации путём применения автоматически сгенерированной правдоподобной дезинформации и современных систем сетевого мониторинга, таких как Data Leakage Prevention (DLP)».

Американские исследователи факультета компьютерных наук из университета Северной Каролины во главе с разработчиком Жаном-Майклом Фремом (Jan-Michael Frahm) представили новый способ шпионажа за пользователями современных гаджетов, причем без необходимости приближаться к устройству или принимать какие-то ухищрения для установки на него вредоносной программы-шпиона.

Суть способа — разработанное программное обеспечение iSpy, которое позволяет с 90%-й точностью распознавать набираемые владельцем гаджета символы по снимкам его экрана (адреса почты, номера кредитных карт и т.д.), которые могут быть сделаны обычным телефоном с расстояния около 3 метров. Причем, если злоумышленник обладает более качественной оптикой, то расстояние до смартфона жертвы можно свободно увеличить до 60 метров.

Таким образом, возник новый класс угроз, избежать которых сами авторы технологии предлагают при помощи защитных экранов или уменьшением размера шрифта набираемого текста.

Подробное описание технологии представлено в отчете здесь.

[Источник]

Немного Википедии: атака «человек посередине» (англ. Man in the middle, MitM-атака) — термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.
В этой статье будет рассмотрен прием пассивной атаки на http-соединение, без модификации проходящей информации. Итак, каким-то способом вы смогли вклиниться физически или удалённо в канал передачи данных, настроили bridge или просто получили root-управление шлюзом. Руткит поставили, базы с исходниками слили, вебшелл залили, в cron часовую бомбу заложили, и что теперь?

В марте 2011 года я писал о DLL HiJacking в VirtualBox. Тогда разработчики сообщили, что проблема не в их продукте, а в Qt, на котором основана их продукция.
Наконец, найдя время, я решил проверить так ли это. Оказалось, что так.

Мной были проверены:

• VirtualBox v.4.0.14
• qxml-edit v3.6
• smplayer v0.6.9

И они оказались уязвимы.


Видео демонстрация уязвимости (видео без звука):

Вчера я наконец-то выпустил первую публичную версию Lamer News, это одновременно и реальный пример использования Redis в виде сайта напободие Hacker News, и проект совершенно независимого сайта про новости из мира программирования.

Проект был хорошо принят сообществом, и был в топе HN в течение некоторого времени. Спасибо за обратную связь.

После релиза я получил несколько просьб об изменении хэш-функции, которую я использовал для того, чтобы хэшировать пароли в БД:

# Turn the password into an hashed one, using
# SHA1(salt|password).
def hash_password(password)
    Digest::SHA1.hexdigest(PasswordSalt+password)
end

Этот код использует SHA1 с солью. Как отметили читатели, это не самый безопасный выбор, поскольку есть способы вычислить SHA1 очень быстро. Через некоторое время люди хором начали твитить и писать в комментах одно и то же предложение: «используй BCrypt». Я предложил использовать вложенные SHA1 в цикле, чтобы избежать добавления новых зависимостей в коде (если вы проверите README, одной из целей является сделать код простым и с как можно меньшим количеством зависимостей). И тут это случилось: догма шифрования. Никаких рассуждений о криптопримитивах и их возможных применениях и комбинациях, просто тупо «используй BCrypt». В глазах этих товарищей программисты — просто тупые дроны, исполняющие гайдлайны, которые не могут ни в коем случае рассуждать о криптографии. Но об этом позже…

Давайте пока сделаем шаг назад и рассмотрим исходную проблему со всем этим, и насколько небезопасен этот код.

Год назад сотрудники факультета ВМК МГУ имени М. В. Ломоносова и компании Яндекс начали читать спецкурс по информационной безопасности, который растянулся на целый учебный год, и разбит на два тематических раздела: «Введение в информационную безопасность» и «Практические аспекты сетевой безопасности».

В порядке эксперимента курс сопровождала аудио- и видеозапись лекций, а также вики для размещения материалов по курсу. Закончив за лето обработку видеоматериалов, предлагаем получившийся видеокурс широкой публике, то есть вам. Все материалы опубликованы под лицензией CC-BY-SA 3.0.

Я.Видео: первая часть, вторая часть.

Иногда возникают такие ситуации, когда нужно прочитать QR код, а смартфона под рукой нет. Что же делать? В голову приходит лишь попробовать прочитать вручную. Если кто-нибудь сталкивался с такими ситуациями или кому просто интересно как же читается QR код машинами, то данная статья поможет вам разобраться в этой проблеме.

В статье рассмотрены базовые особенности QR кодов и методика дешифрирования информации без использования вычислительных машин.

Иллюстраций: 14, символов: 8 510.

В последнее время на Хабре появляется множество статей, посвящённых Гугловским системам идентификации по лицам. Если честно, то от многих из них так и несёт журналистикой и мягко говоря некомпетентностью. И захотелось мне написать хорошую статью по биометрии, оно же мне не в первой! Пара неплохих статей по биометрии на Хабре есть — но они достаточно короткие и неполные. Тут я попробую вкратце обрисовать общие принципы биометрической идентификации и современные достижения человечества в этом вопросе. В том числе и в идентификации по лицам.

У статьи есть продолжение, которое, по-сути, является её приквэлом.