Информационный портал по безопасности » Облако тегов » Информационная безопасность » Страница 6

 

Настройка аутентификации в Citrix XenDesktop 7.x c использованием смарт-карт JaCarta PKI

Автор: admin от 28-07-2017, 13:35, посмотрело: 1 697

Настоящая статья описывает процесс настройки двухфакторной аутентификации с использованием смарт-карт JaCarta PKI разработки компании «Аладдин Р.Д.» в виртуальной среде Citrix XenDesktop версии 7.x.
->

Категория: Программирование / Системное администрирование / Информационная безопасность / Криптография

 

Как крупная курьерская компания персональные данные своих клиентов раздавала

Автор: admin от 28-07-2017, 13:35, посмотрело: 255

Как крупная курьерская компания персональные данные своих клиентов раздавала

Сразу хочу оговориться, что данная статья — не крик души, не бахвальство и, тем более, не попытка очернить чью-то там репутацию. Я просто призываю быть немного внимательнее пользователей услуг к сервисам компаний, которые их обслуживают, а сами компании — к сервисам, которые они предлагают своим клиентам. Иной раз такие сервисы ради удобства клиентов жертвуют их же, клиентов, конфиденциальностью. В каких пределах это происходило в моем случае — под катом.

Категория: Информационная безопасность

 

Как уязвимость платежной системы раскрывала данные кредитных карт

Автор: admin от 27-07-2017, 22:30, посмотрело: 287

Недавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили (maxkassa.ru).



Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом. ->

Категория: Веб-разработка / Информационная безопасность

 

Добавляем GPRS в домашнюю GSM сеть

Автор: admin от 27-07-2017, 13:45, посмотрело: 436

Третья статья из цикла покажет как исследовать работу пакетных данных в сетях GSM при помощи Osmocom. Другими словами мы будем раздавать интернет с ноутбука абонентам нашей домашней сети на основе двух osmocombb-совместимых телефонов и анализировать TCP/IP трафик.



Добавляем GPRS в домашнюю GSM сеть

->

Категория: Веб-разработка / Информационная безопасность

 

Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг

Автор: admin от 26-07-2017, 21:50, посмотрело: 560

Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг



И сразу дадим ответ – да, можно и нужно, только не отказаться, а дать гражданам и организациям возможность использовать и другие операционные системы, браузеры и средства криптографической защиты информации (СКЗИ). Ответим на вопрос и как – соблюдать стандарты и технологии. Почему бы для доступа в личные кабинеты не использовать авторизованный доступ по протоколу https? И тогда нет необходимости в использования только CSP а ля Микрософт с поддержкой российской криптографии. Тогда автоматом станут востребованы и токены PKCS#11 и как международный стандарт, так и стандарт, поддерживаемый ТК-26, стандарты PKCS#12 (тем же ТК-26), может что-то другое, но стандартное. В этом случае речь уже будет идти не об MS Windows, Interner Explorer и CSP, а о браузерах или других программ с поддержкой https с российскими шифрсьютами. Это может быть и Internet Explorer, и модификации того же Mozilla Firefox, наконец Google Chrome или прокси типа stunnel.
->

Категория: Информационная безопасность / Криптография

 

Tizen: подводим итоги

Автор: admin от 26-07-2017, 13:25, посмотрело: 687

Tizen: подводим итогиНаша команда написала три заметки, связанные с анализом кода операционной системы Tizen. Операционная система содержит много кода и поэтому является благодатной почвой для написания различных статей. Думаю, что к Tizen мы ещё вернёмся в будущем, но сейчас нас ждут другие интересные проекты. Поэтому я подведу некоторые итоги проделанной работы и отвечу на ряд вопросов, возникших после опубликованных ранее статей.


->

Категория: Веб-разработка / Информационная безопасность

 

Простейший кейлоггер и безопасность в KeePass

Автор: admin от 26-07-2017, 03:15, посмотрело: 549

Простейший кейлоггер и безопасность в KeePass


Для проверки безопасности вводимых паролей через KeePass я решил написать простейший кейлоггер с дополнительным захватом данных из буфера обмена. Весь код занял несколько строчек на FreePascal.



Пароли, без дополнительных мер защиты и правильной настройки KeePass, как оказалось, достаточно уязвимы.
->

Категория: Информационная безопасность

 

Кейсы JSOC

Автор: admin от 25-07-2017, 15:35, посмотрело: 842

Кейсы JSOC Для меня, как аналитика, самые полезные и интересные доклады и статьи – те, которые освещают практические аспекты информационной безопасности и дают конкретные примеры инцидентов и методов их выявления и расследования. Поэтому сегодняшняя статья посвящена нескольким интересным кейсам, с которыми мы в Solar JSOC сталкивались за последнее время. ->

Категория: Информационная безопасность

 

Секция безопасной разработки на PHDays VII: итоги встречи сообщества PDUG

Автор: admin от 25-07-2017, 15:25, посмотрело: 283

Секция безопасной разработки на PHDays VII: итоги встречи сообщества PDUG


24 мая на площадке форума PHDays VII прошло очередное мероприятие сообщества Positive Development User Group. Пока за стеной хакеры увлеченно (и весьма успешно) атаковали инфраструктуру вымышленного города, мы разговаривали о том, как разработчики могут сделать свои приложения неуязвимыми для взлома.



Что из этого вышло, смотрите под катом — там собраны презентации и видеозаписи докладов. ->

Категория: Программирование / Веб-разработка / Информационная безопасность

 

Эволюция атак на веб-приложения

Автор: admin от 25-07-2017, 14:05, посмотрело: 312

Эволюция атак на веб-приложения



Атаки на веб-приложения открывают широкие возможности для злоумышленников: это и хищение критичной информации или чувствительной информации; нарушение бизнес логики для извлечения финансовой выгоды; также, успешная атака веб-приложения может быть предвестником взлома корпоративной сети компании. В этой статье я расскажу об эволюции атак веб-приложений.

->

Категория: Программирование / Информационная безопасность