God mode ВКонтакте

Автор: admin от Вчера, 17:35, посмотрело: 20

В ночь с 20 на 21 марта из-за ошибки в коде все пользователи ВКонтакте на четыре минуты получили служебные права. Мы закончили оценивать потери и отвечаем на злободневные вопросы.

Что случилось?


Случился фатально невнимательный merge ветки, в которой переделывали один из внутренних интерфейсов. В результате любой пользователь стал считаться сотрудником. В некоторых случаях — сотрудником со всеми существующими правами.

Категория: Информационная безопасность

 

Замена Oracle на PostgreSQL и возможности работы с секционированием внутри DLP-системы

Автор: admin от Вчера, 14:20, посмотрело: 24

Сегодня мы хотели бы затронуть очень важную для DLP-решений тему – выбор СУБД для хранения данных. Так исторически сложилось, что большинство российских DLP используют для этих целей Oracle Database. На заказчиков это накладывает определенные финансовые ограничения: стоимость лицензий Oracle закладывается в стоимость DLP-системы. Это создает определенный фильтр, сокращающий аудиторию пользователей продукта: СУБД Oracle могут позволить себе не все – как в техническом, так и в финансовом плане.

Теперь, когда импортозамещение шагает по стране, госсектор (и не только) формирует спрос на DLP, поддерживающие свободные СУБД. Это очень ощутимый импульс, но, метнувшись в сторону свободных СУБД, важно сохранить удобство, производительность и функциональные возможности продукта. В этой статье речь пойдет о том, как мы решали эту задачу, реализуя поддержку PostgreSQL и разрабатывая схему секционирования в Solar Dozor.

Замена Oracle на PostgreSQL и возможности работы с секционированием внутри DLP-системы

Категория: Информационная безопасность

 

GitHub внедрил систему обнаружения коллизий SHA-1

Автор: admin от Вчера, 09:00, посмотрело: 28

GitHub внедрил систему обнаружения коллизий SHA-1

С 20 марта 2017 года при вычислении хешей SHA-1 на GitHub определяется и отклоняется любой контент, который обладает признаками возможной атаки SHAttered на коллизию хешей SHA-1. Об этом компания написала в официальном блоге. Таким образом, никто не сможет размещать здесь файлы из пары с одинаковыми хешами, но разным контентом. Хотя пока на практике таких атак никто не проводил нигде, кроме торрентов, но GitHub решил перестраховаться на всякий случай.

Категория: Информационная безопасность

 

Весенние игры KIPS. Или осваиваем бюджет на ИБ в 250.000$

Автор: admin от 22-03-2017, 14:35, посмотрело: 39

Весенние игры KIPS. Или осваиваем бюджет на ИБ в 250.000$На днях завершились очередные кибер учения по информационной безопасности от Лаборатории Касперского. И хотя занять призовое место опять не получилось, впечатлений и эмоций получено море. Ну и не стоит забывать про хорошую встряску: «а так ли ты хорошо знаешь профессию, как думаешь?».

Категория: Информационная безопасность

 

Криптовалюта Ethereum: пишем эксплойт под уязвимый умный контракт и получаем токены

Автор: admin от 22-03-2017, 14:15, посмотрело: 30

Криптовалюта Ethereum: пишем эксплойт под уязвимый умный контракт и получаем токены Сколько копий уже сломано в разговорах о криптовалюте? Банки и государственные учреждения спорят о ее правовом статусе, а частные организации придумывают различные способы применения блокчейна. Мы же задумались о безопасности этой технологии и связанных с ней продуктов.

На примере задания NeoQUEST-2017 разбираемся с умными контрактами Ethereum – второй по популярности криптовалюты после Биткойна. Участникам соревнования предстояло написать эксплойт к уязвимому контракту. О том, как это сделать — читаем под катом!

Категория: Информационная безопасность

 

Sparta — комплекс для проведения тестирования на проникновение

Автор: admin от 22-03-2017, 12:40, посмотрело: 21

Sparta — комплекс для проведения тестирования на проникновение


При проведении тестирования на проникновение важным этапом является начальный сбор информации об объектах аудита и их взаимодействии. Для этого необходимо составить карту инфраструктуры, используя различные инструменты и утилиты, получая разрозненный материал для дальнейшего анализа. Сегодня я рассмотрю фреймворк Sparta, который объединяет в себе базовый инструментарий для сбора и анализа информации при проведении тестирования на проникновение.

Категория: Информационная безопасность

 

Вконтакте совершил очередной прорыв. На короткое время все пользователи соцсети получили права модераторов

Автор: admin от 21-03-2017, 05:40, посмотрело: 43

Вконтакте в очередной раз решил порадовать всех своих пользователей, приоткрыв завесу секретности: каждый из пользователей получил возможность увидеть вк глазами админов. Баг пофиксили в течение достаточно быстрого времени, но у многих остались вопросы. Особенно по поводу возможности посмотреть скрытые фото пользователей.

Какой-то хороший человек успел записать видео с возможностями, которые есть у модераторов (система не давала читать сообщения или просматривать скрытые фото из-за ошибки доступа, но у реальных модераторов такой доступ, судя по всему есть).


Подробнее под катом

Категория: Информационная безопасность

 

Биометрия: искусство узнавания. Перспективы биометрических систем на примере платформы Id-Me от компании RecFaces

Автор: admin от 20-03-2017, 17:10, посмотрело: 36

Биометрия: искусство узнавания. Перспективы биометрических систем на примере платформы Id-Me от компании RecFaces

Многие читатели Хабра, вероятно, уже знакомы с биометрическими технологиями. Они сейчас распространены повсеместно. В общем смысле биометрия – это система распознавания людей по одной либо нескольким физическим (или поведенческим) характеристикам. В сфере информационных технологий биометрические данные используются в качестве одной из форм управления идентификаторами доступа и контроля доступа. Обычно режим работы биометрических систем сводится к двум основным типам.

Первый называется верификацией, это сравнение результата теста с биометрическим шаблоном. Этот вариант помогает проверить, тот ли это человек, за кого он себя выдает. Верификация может осуществляться различными способами, включая смарт-карту, имя пользователя или же его номер. Второй режим – это идентификация. После получения определенного образца система сверяется с базой биометрических данных для определения личности. Здесь есть один важный момент – для этого режима работы биометрический образец должен быть в базе данных, а сравнение осуществляться по принципу «один со многими». В целом, у биометрических технологий огромный потенциал, который пока не реализован в полной мере. В каком состоянии сегодня находятся биометрические технологии в России и мире?

Категория: Информационная безопасность

 

Как и почему статические анализаторы борятся с ложными срабатываниями

Автор: admin от 20-03-2017, 13:25, посмотрело: 34

Как и почему статические анализаторы борятся с ложными срабатываниями
В своей предыдущей статье я писал, что мне не нравится подход, при котором статические анализаторы кода оцениваются с помощью синтетических тестов. В статье приводился пример, воспринимаемый анализатором как особый случай, на который сознательно не выдаётся предупреждение. Если честно, я не ожидал такого всплеска комментариев на тему того, что анализатор может очень редко, но не выдать предупреждение на ошибку из-за реализованных в нём механизмов отсечения ложных срабатываний. Борьба с ложными срабатываниями настолько большая составляющая любого статического анализатора, что как-то даже не понятно, что тут собственно обсуждать. Это надо делать и всё. Такие механизмы существуют не только в нашем анализаторе, но и в других анализаторах/компиляторах. Тем не менее, раз этот момент вызвал столь бурное обсуждение, я думаю, стоит уделить ему внимание, поэтому и написал эту поясняющую статью.

Категория: Информационная безопасность

 

[NeoQuest2017] 6 планета или «Слишком много всего…»

Автор: admin от 20-03-2017, 12:50, посмотрело: 26

Есть мнение, что после драки кулаками не машут.
Но первый в моей жизни ctf NeoQuest2017 показал, что бумажная ИБ от практической отличается достаточно сильно и с ходу флаги взять не получится. Хотя, как оказалось, подобрался я к флагу в плотную.
Итак:
«СЛИШКОМ МНОГО ВСЕГО…»
Эта планета напоминает тропики… Невероятное количество разнообразной флоры и фауны! Наши рюкзаки все заполнялись и заполнялись образцами, а журналы наблюдений – описаниями, а ведь мы только начали исследование планеты! Оглядевшись вокруг, мы поняли, что гораздо эффективнее будет заносить все сведения удаленно сразу в бортовой журнал. Вот только передача данных очень медленная, поэтому нужно грамотно расставить приоритеты.

Категория: Информационная безопасность

 
Назад Вперед