×Закрыть
DevOps Engineer в Rallyware
  • Список хороших конференций

    Митапы DC8044 в контексте ивентов часто обсуждаются темы интересные для {Dev|Sec}Ops инженеров :)

    Поддержал: Yurii Rochniak
  • Information Security дайджест #13: Лллакинамбур

    Спасибо, что читаете :)

  • Information Security дайджест #9: Rabota.ua, NoNameCon, GDPR, Nintendo Switch

    Пару свежих новостей которые не успели войти в дайджест, но тоже могут быть интересны.

    — Уязвимость в Signal: twitter.com/...​status/995017143002509313
    — Критические уязвимости в PGP/GPG и S/MIME: twitter.com/...​s/995906576170053633?s=12

  • Программисты просто не думают о безопасности, или Зачем в кофеварке Wi-Fi

    Какой вопрос — такой ответ. Успехов.

    Поддержал: Михаил Кузьмин
  • Программисты просто не думают о безопасности, или Зачем в кофеварке Wi-Fi

    Даже если протокол общения высокого уровня между компонентами информационной системы с математически доказанной безопасностью, уязвимости могут быть на более низком уровне: операционная система, сетевое оборудование, физическое периметр, аппаратное обеспечение, и так далее, все зависит от общей сложности информационной системы.

    Поддержал: Max Mozok
  • Information Security дайджест #8: «Новая Почта», Memcached, PS4, Apple

    Думаю что можно сказать и так и так, зависит от контекста, но как правило когда говорят о проблемах конфигурации >= L4 используют слово «сервис».

  • Information Security дайджест #8: «Новая Почта», Memcached, PS4, Apple

    Ошибка в конфигурации сервиса, я не вижу не одного варианта использования memcached при котором понадобился публичный доступ к сервису, также использование UDP вместо TCP для работы с сервисом необходимо лишь в некоторых случаях.

  • Information Security дайджест #8: «Новая Почта», Memcached, PS4, Apple

    Опечатался, правки отправил в редакцию, спасибо.

  • Программисты просто не думают о безопасности, или Зачем в кофеварке Wi-Fi

    Все бы хорошо, но:

    Именно поэтому забота о безопасности должна начинаться с первого дня — это то, что называется «security in depth».

    Security-in-Depth\Defence-in-Depth эти термины в некоторой литературе и в правду обозначают разные процессы но о том что «безопасность с первого дня» является одним из них нигде не сказано. Эти термины обозначают построение эшелонированной обороны наслаивая разные механизмы безопасности друг на друга, например ASLR, DEP, CFG работая вместе гораздо более эффективно усложняют эксплуатацию чем по отдельности.

    Я предполагаю, большинство разработчиков знают, что такое buffer overflow и почему, когда пишешь на языке C, нельзя использовать функции стандартной библиотеки, которые форматируют строчку, не ограничивая ее длину. Просто потому что в сервисе с открытой регистрацией какой-нибудь пользователь попытается создать себе имя такой длины, которая переполнит буфер и заставит процессор выполнять уже не ваши, а его команды.

    Первое, переполнения буфера может происходить и без использования небезопасных функций из стандартной библиотеки.
    Второе, уязвимости форматирования строки это отдельный класс уязвимостей.
    Третье, это проблема не только С.
    Четвертое, я бы с удовольствием посмотрел как автор статьи в режиме Blackbox без наличия исходных кодов и бинарников будет писать эксплойт проходящий через ASLR, DEP и другие митигейшн.

    Это тема, казалось бы, заезжена. Об этой проблеме известно десятки лет, но на GitHub и сейчас можно найти какой-нибудь свежий opensource-проект, в котором первой же строчкой будет форматирование текста в не ограниченный по длине буфер

    Вообще-то проблема как раз в том что буфер ограничен (неожиданно). И если брать классический «Stack-Based Buffer Overflow», то перезапись адреса возврата хранящегося на стеке как раз и происходит по причине того что можно записать данных больше чем выделенный буфер.

    В Java такое слабое место, как buffer overflow, отсутствует как класс.

    А что делать с Java интерпретатором и компилятором в которых такие уязвимости могут быть ? Достаточно поднять историю эксплуатации браузеров через встроенную Java машину что бы понять что это не отвечает действительности, и программы которые написаны на Java также могут быть подвержены Buffer Overflow потому как уязвимость может находиться в самой Java машине.

    Подобные проблемы известны много лет, и в 2018 году не должно быть ни одной программы, которая позволяет этим воспользоваться.

    Вообще-то это, как бы так сказать, даже математически невозможно.

    Именно поэтому мне кажется важно обучать разработчиков безопасности. И самое главное, наверное, это как раз рассказывать им об «опасности»" — как обычно взламываются системы. Только с этим набором знаний они начинают видеть проблемы в своем коде.

    Самое главное, наверное, это нанять толкового специалиста по кибербезопасности, который компетентен в целевой области и слушать, и что не менее важно, выполнять его рекомендации.

    P.S.
    Дальше читать не осилил.

  • Как без высшего образования сделать карьеру в ІТ — опыт 23-летнего тимлида

    А если бы еще смог скачать OllyDBG, загрузить туда helloworld.exe и сделать пару «step in» что бы тогда началось...

  • Information Security дайджест #7: насколько вы доверяете вендорам?

    Я понимаю о чем Вы, меня больше интересует вопрос: «Зачем ?». Не смеха же ради ?
    Про одни и те же события\факты можно написать совершенно по-разному. И если выбирать между вариантов:

    1. Кто-то слил необходимую информацию журналистам для разгона ситуации в своих целях.
    2. Журналисты каким-то образом все разузнали и не в даваясь в детали сделали публикацию.
    3. Мискомуникация между всеми участниками\некомпетентность\стечение обстоятельств.
    4. Комбинация вышеперечисленных пунктов.

    Сделал бы ставку на первый вариант.

  • Information Security дайджест #7: насколько вы доверяете вендорам?

    Возможно так, возможно это можно объяснить «бритвой Хэнлона», но честно говоря мне в это слабо верится.

  • Information Security дайджест #7: насколько вы доверяете вендорам?

    Если я правильно понимаю, то о проблеме знали достаточно давно как сотрудники Intel так и ребята с Microsoft и Apple, так например Apple выкатила MacOS 10.13.2 6.12.17 числа (публикация Spectre & Meltdown 1.3.18) который уже содержал фикс. Но с другой стороны возможно что ситуация разгонялась искусственно с целью махинаций на бирже. В любом случае всей правды мы так и не узнаем :)

  • Information Security дайджест #7: насколько вы доверяете вендорам?

    Мимо не прошел, но я решил не упоминать так как «D-Link DNS-320» и «WD MyCloud» имеют одинаковый бэкдор, что уже само по себе наводит на определенные мысли(странное появления бэкдора D-Link ~4х летней давности в продуктах WD), решил не развивать эту тему, но с другой стороны Вы правы и стоило включить инцидент с WD и написать пару тезисов. Спасибо !

    Поддержал: Sergiy Fakas
  • Information Security дайджест #7: насколько вы доверяете вендорам?

    Спасибо! Держите.

    Поддержал: Mykhailo Smereka
  • Information Security дайджест #6: F*ck Responsible Disclosure

  • Information Security дайджест #6: F*ck Responsible Disclosure

  • Кибербезопасность по-украински: о давлении силовиков, белых и черных хакерах и ценности диванных экспертов

    Спасибо за Ваше мнение, но у меня и так все в порядке с общением, жаль что вас смущают образы которые я использовал в тексте и поэтому (так ли ?) Вы не смогли конструктивно ответить и увели разговор в другую тему. В любом случае спасибо, было приятно с Вами пообщаться. Надеюсь что другие «дискуссии с диванными экспертами» более конструктивны (хотя очень в этом сомневаюсь).

  • Кибербезопасность по-украински: о давлении силовиков, белых и черных хакерах и ценности диванных экспертов

    Вы совершенно правы, но мне непонятен один момент, позвольте уточнить, я правильно понимаю что Вы все-таки обучали сотрудников силовых структур ? В моем понимании есть связь между «учителем и учеником» (точно как в ЗВ) и соответственно в том что было принято определенное решение есть и часть Вашей заслуги, или обучение не было успешным ? Уверен что Егор думал о чем-то схожем.

    Поддержал: Gene Chechel
  • Кибербезопасность по-украински: о давлении силовиков, белых и черных хакерах и ценности диванных экспертов

    Никита, позвольте Вас исправить, «Язык падонкаф» и «Leet» — совершенно разные стили написания. Основное отличие это в первом случае это «альтернативное правописание с сохранением фонетического образа», во втором «замена букв на похожие символы и цифры» да и собственно история возникновения совершенно разная. В моем комментарии использовался «Leet», соответственно весь Ваш дальнейший панч с «повзрослей» — вообще не в тему, но ладно. Я могу Вам посоветовать(Вы же просили совет?) все-таки потратить время на ознакомление с базовой терминологией которую Вы используете.
    По поводу деанонимизации — proof || gtfo и желательно без историй уровня «в целях безопасности мы скрыли 90% технической информации и придумали красивую сказку о том чего не было».

    Я рад что Вы смогли уделить время на ответ к моему комментарию и поэтому все-таки прошу вас ответить на мой вопрос:

    Мне не совсем понятно зачем нужен этот тампон в виде «г4спадина с0ветнка» между реальными специалистами a.k.a. «диванными экспертами» и людьми которые принимают решения на уровне государства, может тогда уже проще собрать экспертную комиссию (из именитых специалистов к которым вышеупомянутый «с4ветник», IMHO, отношения никакого не имеет) по вопросам «Информационной Безопасности» и вести конструктивный диалог на прямую без «сломанного телефона» ?

    Надеюсь что Вас не смущает резкая формулировка вопроса, cпасибо.

← Сtrl 1234 Ctrl →