Двухфакторная аутентификация для SSH

«Безопасная оболочка» SSH — сетевой протокол для установления защищённого соединения между хостами, стандартно по порту 22 (который лучше поменять). SSH-клиенты и SSH-серверы доступны для большинства ОС. Внутри SSH работает практически любой другой сетевой протокол, то есть можно удалённо работать на другом компьютере, передавать по шифрованному каналу звуковой поток или видео и т.д. Кроме того, через SOCKS-прокси на удалённом хосте можно подключаться к другим хостам уже от имени этого удалённого хоста. Аутентификация происходит по паролю, но разработчики и системные администраторы традиционно применяют SSH-ключи. Проблема в том, что секретный ключ могут украсть. Добавление парольной фразы теоретически защищает от кражи секретного ключа, но…

Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence

Изображение: Knownsec 404 Team Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить возможность выполнения любых команд на сервере Confluence и загрузки вредоносного ПО. Вскоре после публикации эксплоита к уязвимости, эксперты эксперты PT ESC обнаружили массовые попытке ее эксплуатации. Рассказываем, в чем проблема и как защититься. Читать дальше → …

Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence

[Перевод] Разрабатывать приложения под Android — словно быть (демонетизированным) ютубером

Как известно, некоторые авторы на YouTube крайне недовольны условиями, которые предлагает эта платформа. Аналогичное сражение сейчас ведут разработчики Android-приложений на платформе Google Play. Попытаюсь за 20 минут объяснить, что не так с Android. Когда-то Android считался лучшей мобильной платформой: контроль, настраиваемость, продвинутые функции, реальная многозадачность, поддержка даже редких случаев использования и свобода разработчиков. Это была лучшая платформа для науки и образования: во-первых, инструменты разработки свободны и кросс-платформенны, во-вторых, Android был очень гибкой ОС, которая не мешала экспериментировать с инновационными концепциями и возиться с оборудованием. Теперь всё это быстро исчезает. Раньше основные релизы Android приносили новые функции, которые радовали и…

F5 покупает NGINX

Компания F5 приобретает NGINX для объединения NetOps и DevOps и предоставления клиентам согласованных сервисов приложений во всех средах. Сумма сделки оценивается приблизительно $670 млн. Команда разработки, в том числе Игорь Сысоев и Максим Коновалов, продолжит развивать его уже в составе F5. Читать дальше → …

F5 покупает NGINX

Хакеры страшнее, чем их малюют или как защитить веб-приложения

В последние годы правительственные структуры и коммерческие организации стали все больше использовать веб-приложения. Но с ростом количества веб-приложений выросли и киберугрозы, направленные на них. Компании стали уделять все больше внимания информационной безопасности. Читать дальше → …

Хакеры страшнее, чем их малюют или как защитить веб-приложения

Центробанк опубликовал рекомендации по криптографической защите ЕБС

ЕБС. Справа внизу — сканер отпечатков пальцев Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк» рапортовал о том, что обеспечил сбор биометрических данных в 20% своих отделений. Хотя процесс сбора, обработки и передачи биометрических данных в ЕБС давно регламентирован, но Центробанк только 14 февраля 2019 года опубликовал методические рекомендации по защите этой информации. Читать дальше → …

Центробанк опубликовал рекомендации по криптографической защите ЕБС

[recovery mode] А нужны ли чиновники? Идея социального краудфандинга

Привыкла за века наша власть широко черпать русский народ, да плескаться им горстями — а вот будет ли завтра, откуда зачерпнуть?Пелевин В. “Зенитные кодексы Аль-Эфесби” Нужны ли налоги и чиновники? Оправдывает ли себя раздувшийся бюрократический аппарат? Моя попытка ответа на вопрос — под катом. Читать дальше → …

[recovery mode] А нужны ли чиновники? Идея социального краудфандинга

Статистика по типам файлов в облачной песочнице Wildfire

Хорошо, мы увидели сколько приложений переносит файлы. А какие это файлы и какие из них вредоносные? Следующая статистика собрана уже по типам файлов. Видно, что большинство файлов, которые идут на проверку — это PDF, однако большинство типов файлов, которые содержат вредоносный код — это EXE. Совершенно не значит, что нужно защищаться только от EXE, ведь вам может хватить одного вредоносного файла для MacOS, чтобы потерять все данные. Читать дальше → …

Статистика по типам файлов в облачной песочнице Wildfire

Опубликован приказ Минкомсвязи о централизованных закупках офисных приложений и ПО для информационной безопасности

Приказ Минкомсвязи от 19.12.2018 №725 «Об утверждении формы и порядка представления в 2019 году информации о потребности, формирования потребности в осуществлении централизованных закупок офисного программного обеспечения и программного обеспечения в сфере информационной безопасности» опубликован в среду на официальном портале правовой информации.
Он определяет состав, сроки и процедуры представления (уточнения) федеральными органами исполнительной власти (ФОИВ) информации о потребности в офисном ПО и ПО для обеспечения ИБ. Эта информация необходима Минкомсвязи для «формирования потребности для осуществления централизованных закупок офисного ПО и ПО в сфере информационной безопасности».
Напомним, последний вариант проекта приказа был опубликован министерством 28 ноября 2018 года.
По сравнению с проектом, подписанный приказ распространяется только…

Опубликован приказ Минкомсвязи о централизованных закупках офисных приложений и ПО для информационной безопасности

Преимущества анализа приложений 7 уровня в межсетевых экранах. Часть 2. Безопасность

Новое поколение межсетевых экранов удобнее и безопаснее, благодаря новой архитектуре движка и новой идеологии управления сетевыми потоками. Почему появилась эта статья? Неоднократно приходил к коллегам-безопасникам, которые пользуются межсетевым экраном нового поколения и видел, что они продолжают писать правила по номерам портов. На мое предложение перейти писать по имени приложений, слышал «А вдруг так не заработает?». Если вам тоже «страшно» или непонятно зачем писать правила по приложениям, от эта статья для вас. Читать дальше → …

Преимущества анализа приложений 7 уровня в межсетевых экранах. Часть 2. Безопасность

[Перевод] Изюминка Zircon: vDSO (virtual Dynamic Shared Object)

Zircon? Что это? В августе 2016 года, без каких-либо официальных объявлений со стороны Google, были обнаружены исходники новой операционной системы Fuchsia. Эта ОС основана на микроядре под названием Zircon, которое в свою очередь основано на LK (Little Kernel). Fuchsia is not Linux Примечания переводчикаЯ не настоящий сварщик являюсь разработчиком и/или экспертом Zircon. Тест под катом является компиляцией частичных переводов: официальной документации Zircon vDSO и статьи Admiring the Zircon Part 1: Understanding Minimal Process Creation от @depletionmode, куда было добавлено немного отсебятины (которая убрана под спойлеры). Поэтому конструктивные предложения по улучшению статьи, как и всегда, приветствуются. О чем пойдет речь в…

[Перевод] Изюминка Zircon: vDSO (virtual Dynamic Shared Object)

Amazon отослала 1700 аудиозаписей пользователя Alexa случайному человеку

Право на частную жизнь, защита приватной информации с каждым годом становятся все более важными аспектами нашей жизни. Появляются инструменты для защиты частных данных, постепенно они становятся все более сложными и надежными. Тем не менее, они не всегда помогают, случаются ситуации, которые делают все меры защиты бесполезными. И речь не о злобных киберпреступниках, которые в состоянии преодолеть любые преграды. Иногда данные интернет-пользователей становятся доступны случайным людям по ошибке. Именно так случилось с 1700 аудиозаписей с Alexa-устройств, принадлежащих одному пользователю, которые компания Amazon отослала стороннему человеку. Речь идет об аудиофайлах одного пользователя, которые попали (случайным образом) в руки другого….

Amazon отослала 1700 аудиозаписей пользователя Alexa случайному человеку

[Перевод] Как безопасно избавиться от своих электронных устройств

Как освободить ящик от старых телефонов, ноутбуков и жёстких дисков, не беспокоясь по поводу того, что ваши данные попадут кому-то в руки Быстрое развитие технологий в последние годы напрямую влияет на продолжительность жизни пользовательской электроники. Укорачивать жизненный цикл продуктов производителей устройств вынуждают не только экономические причины, но и энтузиасты технологий, желающие иметь самые последние и крутые гаджеты. Замена телефонов и ноутбуков раз в пару лет увеличивает риски, связанные с личными данными и безопасностью потребителей, поскольку многие из них не стирают со своих устройств данные должным образом перед тем, как продать или выбросить их. И не стоит излишне винить…

[Перевод] Как безопасно избавиться от своих электронных устройств

Security Week 46: давайте что-нибудь обновим

Рано или поздно это происходит: вы открываете на мобильном телефоне YouTube, но вместо пачки видеороликов получаете предложение срочно обновиться. Или наконец-то находите время поиграть в Playstation, но тут как раз прилетели апдейты, вы их полчаса качаете и устанавливаете, потом выключаете приставку. Или заходите в админку WordPress, чтобы написать гениальный пост, но пора обновлять и сам WordPress, и плагины.

Сегодняшний выпуск — про апдейты операционной системы Android, патчи для двух плагинов в WordPress, короче, про то, чем придется заняться, если у вас есть смартфон или сайт. Апдейты для плагинов Wordpress интересны тем, что показывают, что будет, если все же не потратить время…

Security Week 46: давайте что-нибудь обновим

[Перевод] Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 2

Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 1

Мэтт Йохансон: сейчас я покажу, как вводить этот код. Существует множество рекламных сетей, но мы выбрали эту, потому что она позволяет нам делать то, что мы хотим.

Вы можете выбрать изображение баннера достаточно большого размера, вставить его сюда и присвоить ему URL, так, чтобы после нажатия на баннер пользователь переходил на нужный сайт. Владельцы этой рекламной сети предоставляют опцию HTML JavaScript, это звучит очень хорошо.
Мы начали с того, что показано в верхней части слайда и должны были пойти через весь процесс утверждения, что было, наверное, самое сложное в нашем исследовании….

[Перевод] Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 2

Уязвимость в PlayStation 4 — набор символов в сообщении для пользователя удаленно превращает приставку в почти «кирпич»

Если Ваша PlayStation 4 получит сообщение с определённым набором символов, то консоль просто отключится.

Причём, похоже, для этого даже не обязательно самому пользователю открывать и читать полученное сообщение. Если включены уведомления и символы появятся в превью, то приставка также отключится. Читать дальше → …

Уязвимость в PlayStation 4 — набор символов в сообщении для пользователя удаленно превращает приставку в почти «кирпич»

Глава Apple заявил, что китайские шпионские чипы в серверах Supermicro — выдумка

«Шпионский чип», о котором рассказывалось в материале Boomberg, выглядит, по словам журналистов СМИ, именно так

На прошлой неделе издание Bloomberg Businessweek опубликовало развернутую статью о китайском шпионском микрочипе, который тайно устанавливался на материнские платы серверов Supermicro. При помощи этого чипа заинтересованная сторона (читаем — китайцы) получала возможность удаленно контролировать любой сервер, подключенный к интернету. Также журналисты Bloomberg заявили, что жертвами этого хитрого трюка стали 30 крупных американских компаний, среди которых — Apple.

Несмотря на то, что производитель серверов все отрицает, акции компании Supermicro упали в цене на 50%. Четверг на прошлой неделе стал для Supermicro худшим днем за все время пребывания компании на…

Глава Apple заявил, что китайские шпионские чипы в серверах Supermicro — выдумка

Intel ME Manufacturing Mode — скрытая угроза, или что стоит за уязвимостью CVE-2018-4251 в MacBook

Принцип «безопасность через неясность» не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписания соглашений о неразглашении для получения технической документации. Ситуация ухудшается из-за возрастающей сложности микросхем и интеграции в них различных проприетарных прошивок. Это фактически делает невозможным анализ таких платформ для независимых исследователей, что ставит под удар как обычных пользователей, так и производителей оборудования.

Примером может служить технология Intel Management Engine (Intel ME), а также ее версии для серверных (Intel SPS) и мобильных (Intel TXE) платформ (подробнее об этой технологии см. [5], [6]. В этой статье мы расскажем, как используя недокументированные команды…

Intel ME Manufacturing Mode — скрытая угроза, или что стоит за уязвимостью CVE-2018-4251 в MacBook

Модернизация IDA Pro. Исправляем косяки процессорных модулей

Привет всем,
Спустя довольно-таки продолжительное время с момента написания первой статьи я всё-таки решил, пусть и по чуть-чуть, но писать статьи на тему модификации/улучшения IDA Pro.
В этой статье пойдёт речь о том, как правильно исправлять косяки в тех процессорных модулях, исходников которых у вас нет, а косяки прям-таки жить не дают. К сожалению, не все указанные ниже проблемы можно отнести к косякам, поэтому разработчики вряд ли станут их реализовывать. Читать дальше → …

Модернизация IDA Pro. Исправляем косяки процессорных модулей

[Перевод] Актуальна ли проблема инъекций в JavaScript?

В былые времена, когда веб разработка строилась на том, что серверные приложения направляли запросы в реляционные базы данных и выдавали на выходе HTML, часто встречался такой код:

// ВНИМАНИЕ: Плохой пример!
function popup(msg: string): string { return “<p class=\”popup\”>” + msg + “</p>”;
}
или такой:

// ВНИМАНИЕ: Плохой пример!
function getName(login: string): string { return “SELECT name FROM users WHERE login = \”” + login + “\””;
}
С тех пор мы научились использовать более безопасные подходы.

Широкое применение получили такие инструменты, как шаблонизаторы и привязка параметров. Сегодня редко можно встретить опасную конкатенацию строк.

В этой статье я хотел бы поделиться своими соображениями об атаках путем внедрения кода. По всей…

[Перевод] Актуальна ли проблема инъекций в JavaScript?