SeoNews.com.ua - SEO & Search Engine News
Поисковая оптимизация
Популяризация токенов способна значительно повысить уровень безопасности в сфере электронной коммерции
Эксперты предлагают заменить передаваемые на торговые серверы финансовые данные электронными идентификаторами, не имеющими ценности для злоумышленников.

Как сообщает издание Network World со ссылкой на доклад одного из крупнейших производителей токенов безопасности, широкомасштабное внедрение такой меры, как дополнительные этапы идентификации, способно в значительной степени сократить количество успешных хакерских атак в сфере электронной коммерции.


Персональные данные граждан РФ будут храниться на российских серверах
Депутаты предлагают изменить дату вступления в силу закона «О персональных данных», согласно которому соцсети и сервисы электронной почты будут обязаны хранить личную информацию пользователей на российских серверах.

Как сообщает издание "Известия", депутаты Госдумы РФ выступили с предложением внести некоторые коррективы в закон «О персональных данных», согласно которому социальные сети и сервисы электронной почты будут обязаны сохранять информацию о конфиденциальных данных граждан РФ на серверах, которые располагаются на территории России. Указ был подписан В. Путиным в июле текущего года, и вступает в действие 1 сентября 2016 года. Тем не менее, госчиновники предлагают ускорить процесс и узаконить перенос личной информации пользователей уже с 1 января следующего года.

Пользователям Wi-Fi в московском метро скоро придется регистрироваться
По просьбе руководства столичного метрополитена компания «Максима Телеком» разработала программное обеспечение, посредством которого будет происходить аутентификация пользователей.

В скором времени все желающие воспользоваться услугами Wi-Fi в Московской подземке смогут сделать это только по регистрации. По просьбе администрации метро компания «Максима Телеком» разработала ПО для аутентификации пассажиров. Новая система будет распознавать посетителей подземки по IMEI-номерам их девайсов, пишут «Известия».

Зарубежным компаниям могут ограничить доступ к российским гостайнам
По предварительным данным, лишиться соответствующей лицензии могут четыре крупнейших аудитора - Deloitte, EY, KPMG и PwC.

Как сообщает издание «Ведомости» со ссылкой на собственных информаторов в двух компаниях из четверки крупнейших зарубежных аудиторов в РФ, отечественные силовые структуры усилили давление на компании и в перспективе могут лишить их возможности работать с данными, представляющими собой государственную тайну.
Началась последняя неделя льготной регистрации на конференцию CEE-SECR «Разработка ПО»
На конференции рассмотрят все аспекты разработки программного обеспечения.

Стартовала последняя неделя льготных летних цен на конференцию CEE-SECR «Разработка ПО» — одно из важнейших событий ИТ-индустрии в России.

До 31 августа регистрационный взнос будет ниже финальной цены на более чем 37%. Кроме того, продолжают действовать специальные предложения для студентов, аспирантов и групп от трех человек. Все скидки суммируются


Seo News
Facebook готовит исправление уязвимости, заставляющей iPhone совершать звонки
Разработчики социальной сети намерены устранить брешь в ближайшем обновлении мобильного приложения для iOS.

Как сообщают представители социальной сети

Facebook, разработчики компании намерены в ближайшее время выпустить обновление безопасности для своего мобильного приложения для iOS-устройств. Речь идет об опасной уязвимости, эксплуатация которой позволяет злоумышленникам удаленно совершать звонки со смартфонов iPhone, принадлежащих жертвам атаки. Для этого достаточно вынудить пользователя перейти по специально сформированной вредоносной ссылке.
95% электронных уведомлений от Facebook успешно шифруются

В Facebook отметили рост количества провайдеров, развертывающих шифрование с помощью STARTTLS.

95% посылаемых Facebook по электронной почте уведомлений, являются зашифрованными. Электронные письма шифруются с помощью свойства протоколов под названием «Совершенная прямая секретность» (Perfect Forward Secrecy, PFS) и строгой проверки подлинности сертификата. Об этом сообщил инженер Facebook Майкл Эдкинс (Michael Adkins), занимающийся вопросами неприкосновенности сообщений пользователей.

Microsoft представит Windows 9 в конце сентября

В ранней версии Windows 9 будет добавлено переработанное меню "Пуск" и, возможно, голосовой помощник Cortana.

В компании Microsoft планируют представить следующую версию ОС Windows во время специального события для прессы, которое состоится в конце сентября. Как сообщает издание The Verge, ссылаясь на собственные источники, в настоящее время представители корпорации собираются рассказать об изменениях в новой версии Windows, получившей кодовое наименование «Threshold» («Предел»), 30 сентября этого года. Напомним, что следующая версия Windows в настоящее время находится в разработке, и в Microsoft планируют выпустить предварительную версию ОС для разработчиков (Developer Preview) 30 сентября или позже.

Google AdWords забанит пейнтбольное и прочее оружие
Менее чем через месяц Google запретит рекламу оружия для страйкбола и пейнтбола, пневматических пистолетов, боеприпасов, обойм и портупей. Жалобы на такую рекламу ранее поступали в Google AdWords Help.

Google опубликовал предварительную версию изменения политики, которая в настоящее время позволяет рекламировать такие товары на AdWords.

Вот образец письма, отправленного рекламодателям AdWords:

«Уважаемый рекламодатель AdWords,

Мы извещаем вас об изменении правил размещения рекламы Google, которые могут повлиять на ваш аккаунт AdWords.


Уязвимость в Windows продолжает создавать опасность для пользователей
Наиболее часто уязвимость CVE-2010-2568 эксплуатировали на ОС Windows XP.

Согласно документу, опубликованному Лабораторией Касперского, злоумышленники продолжают эксплуатировать уязвимость CVE-2010-2568 , несмотря на “возраст” бреши. Недавно Лаборатория Касперского обнаружила десятки миллионов эксплоитов, направленных на устранение ошибки в период с ноября 2013 по июнь 2014 года, которые не устранили ее. Жертвами кибератаки стали 19 миллионов пользователей по всему миру.

Search Engine News
Подпишись на рассылку и будь всегда в курсе наших новостей.

О чем расскажут на PHDays IV: трояны на SIM-карте и куда бежать при киберналете

О чем расскажут на PHDays IV: трояны на SIM-карте и куда бежать при киберналете
17 февраля стартовал заключительный этап Call For Papers (процедура подачи заявок от докладчиков), который продлится до 31 марта, а сейчас мы анонсируем выступления первой группы участников, попавших в основную техническую программу международного форума по практической безопасности Positive Hack Days IV.

Как создать вирус и ботнет для Android? Что можно узнать, купив жесткий диск на аукционе EBay? Чем угрожает SIM-карта своему владельцу? Как скопировать токен одноразовых паролей? 17 февраля стартовал заключительный этап Call For Papers (процедура подачи заявок от докладчиков), который продлится до 31 марта, а сейчас мы анонсируем выступления первой группы участников, попавших в основную техническую программу международного форума по практической безопасности Positive Hack Days IV.
Кибероружие против мобильных сетей

В идеале мобильные сети должны защищать пользователей сразу по нескольким фронтам: звонки нужно шифровать, данные пользователя защищать, а SIM-карты спасать от вредоносного ПО. Однако многие компании очень неохотно внедряют средства защиты. И даже те, кто предпринимает шаги в этом направлении, зачастую не могут полностью отразить атаки: их меры нацелены на устранение симптомов, а не на решение проблем. В этом докладе будут под микроскопом рассмотрены наиболее изощренные атаки на мобильные сети и SIM-карты, позволяющие обойти традиционные меры защиты.

Карстен Ноль (Karsten Nohl) — специалист в области шифрования и безопасности данных. Он проводит тестирование систем собственной разработки на наличие проблем безопасности — и обычно умудряется их взламывать.

Изготовление зловредов под знаком зеленого робота

Google теперь не только лидер в области мобильных платформ, но и создатель самой уязвимой ОС. Несмотря на все усилия Корпорации добра, троянские программы атакуют миллионы пользователей Android — отсылают SMS на короткие номера, крадут деньги с банковских карт, похищают личные данные, ведут скрытую съемку. Понаблюдать за кухней, на которой готовятся вредоносные программы для Android, можно будет в ходе четырехчасового hands-on-lab «Эксплуатация Android».

Занятие проведет Адитья Гупта (Aditya Gupta) — основатель компании Attify и член индийского сообщества Null. Он рассмотрит такие темы, как обратная разработка и исследование вредоносных программ для Android, тестирование приложений вручную и при помощи автоматизированных средств, использование Dex и Smali, написание эксплойтов для Webkit и ARM.

Киберкопание в киберпомойках

Каждый день мы слышим о хакерских «подвигах»: они взламывают сайты крупных компаний, базы данных правительства, миллионы аккаунтов частных лиц. Но настоящая опасность кроется не в нападающих, а в защитниках: для получения приватной информации, как правило, не надо быть компьютерным гением. В ходе своего доклада, названного «Отдайте мне свои данные!», Дейв Кронистер (Dave Chronister) намерен доказать, что критические данные часто хранятся настолько безалаберно, что достаточно просто протянуть за ними руку. В процессе эксперимента автор не будет ничего взламывать, а получит все необходимые сведения легальным путем. Он продемонстрирует самые разные методы получения информации — от покупки гаджетов через Facebook и жестких дисков на аукционах EBay до отслеживания публичных файлообменников. Результаты его экспериментов впечатляют!

Дейв является основателем и одним из управляющих партнеров компании Parameter Security. Он вырос в 80-е, когда интернет только начинал развиваться, и с самого начала наблюдал за хакерами и изучал их методы. Занимается аудитом, расследованиями инцидентов и обучением клиентов по всему миру. Его успехи отмечали многие крупные СМИ — CNBC, CNN Headline News, ABC World News Tonight, Bloomberg TV, CBS, FOX Business News, Computer World, Popular Science, Information Security Magazine.

Многоразовые токены одноразовых паролей

Анализ сторонних каналов (Side Channel Attack) — весьма мощный инструмент для получения скрытых и зашифрованных данных при помощи изучения физических свойств целевого устройства (например, уровня потребляемой электроэнергии). Дэвид Освальд (David Oswald) расскажет о технологии SCA и связанных с ней методах. Слушателей доклада ожидает демонстрация использования SCA на двух примерах: во-первых, исследователь покажет, как можно использовать SCA для обхода IP-защиты в FPGA (bitstream-шифрование), а во-вторых — как получить AES-ключи для токенов одноразовых паролей.

Дэвид Освальд (David Oswald) получил степень PhD в области информационных технологий в 2013 году и сейчас работает в Рурском университете города Бохума, на кафедре Embedded Security. Является также одним из основателей компании Kasper & Oswald.

Ваши принтеры нравятся «человеку посередине»

Решения для печати, которые могут обеспечить надежное шифрование, учет данных и контроль доступа к ним, необходимы крупным корпорациям и финансовым учреждениям. Для целей исследования на многофункциональные устройства (МФУ) со встраиваемым ПО от популярных вендоров была проведена атака типа «человек посередине» (англ. Man in the middle; MitM-attack). Результаты оказались шокирующими: во многих программах были найдены уязвимости, которые позволяют обойти шифрование, собрать с сервера любые отправленные на печать данные, а также делают возможной несанкционированную печать.

Якуб Калужны (Jakub Kałużny), который представит доклад на форуме, работает специалистом по информационной безопасности в SecuRing, где проводит тесты на проникновение, анализ уязвимостей, моделирование угроз безопасности веб-приложений и сетевой среды. В 2013 году вошел в «Зал славы» Google.

Обнаружение и эксплуатация уязвимостей бизнес-логики

Логические уязвимости — наименее изученный класс, зачастую игнорируемый исследователями и пентестерами. Причин много: отсутствие средств автоматизации их обнаружения и эксплуатации, устоявшихся методик тестирования, внятной теоретической базы, которая облегчила бы классификацию. При этом задачи анализа защищенности бизнес-приложений делают логические уязвимости приоритетной целью пентестеров, поскольку атаки на логику зачастую влекут риски, сравнимые с рисками удаленного выполнения произвольного кода. В ходе доклада будут описаны теоретические особенности бизнес-приложений, лежащие в основе логических уязвимостей, а также методика частичного моделирования предметной области, позволяющая быстро определить потенциально проблемные места бизнес-логики и выявить возможные пути развития атак. Практическое применение данной методики будет рассмотрено на примере ряда логических уязвимостей в реальных приложениях.

Владимир Кочетков (Vladimir Kochetkov) — эксперт исследовательского центра компании Positive Technologies. Он специализируется на анализе защищенности исходного кода веб-приложений и исследованиях в области теоретических основ безопасности информационных систем. Участник проекта SCADA Strangelove и команды разработчиков анализатора PT Application Inspector. Уделяет много внимания поддержке проектов с открытом кодом, в том числе rsdn.ru.

Как вести себя во время атаки

Реагирование на ИБ-инциденты часто бывает хаотичным, и в панике люди уничтожают важные доказательства. Четырехчасовой мастер-класс «Реагирование на инциденты и расследование кибератак» нацелен на практическое изучение принципов расследования инцидентов и освоение навыков быстрого и спокойного реагирования, включая сбор улик, анализ системных журналов, памяти и дисков, поиск следов киберпреступлений. Участники получат специальные учебные материалы, виртуальные машины для анализа и на примере симуляций различных инцидентов познакомятся с эффективными сценариями реагирования.

Ведущий мастер-класса — болгарский специалист Александр Свердлов (Alexander Sverdlov), работающий в должности IT Security Officer в ProCredit Bank Bulgaria. Александр на PHDays не первый раз: в прошлом году он выступал с мастер-классом по cyber forensics.

Intercepter-NG: сниффер нового поколения

Доклад посвящен нетривиальному инструменту Intercepter-NG. На сегодняшний день это самый прогрессивный сниффер для пентестера, обладающий большим набором функций.

Как ни парадоксально, он более известен за рубежом, чем в России. Помимо обзора основных особенностей утилиты, авторы подробно рассмотрят несколько практических примеров атаки с ее применением. Примеры: недавно засветившаяся на Сhaos Сonstructions MySQL LOAD DATA LOCAL injection и малоизвестная, но достаточно эффективная атака DNS over ICMP.

Работу представит Александр Дмитренко (Alexander Dmitrenko) из Чернигова, руководитель отдела обучения компании PentestIT, постоянный автор статей в техноблоге «Хабрахабр» и в журнале «Хакер». Компанию ему составит Арес — эксперт компании PentestIT, который и является создателем Intercepter-NG.

Анализ сторонних каналов: практика и немного теории

Данная тема нечасто обсуждается на конференциях по компьютерной безопасности, поэтому мы решили рассмотреть две точки зрения. Помимо Дэвида Освальда с исследованием Side Channel Attack выступит Илья Кижватов. Он предоставит общие сведения о сторонних каналах, расскажет об актуальных проблемах и приведет примеры из практики. Слушатели узнают, как определить, существует ли для данного устройства риск атаки по сторонним каналам, как противостоять такому типу атак, научатся самостоятельно проводить анализ сторонних каналов.

Илья Кижватов (Ilya Kizhvatov) — старший аналитик голландской компании Riscure. Имея шесть лет опыта работы со встраиваемыми системами безопасности (три года в аспирантуре и три в разработке), специализируется на атаках по сторонним каналам, основанных на уязвимостях в реализации криптосистемы.

Случайностей не бывает?

Современные приложения широко используют последовательности случайных чисел для решения задач, связанных с безопасностью (ключи шифрования, идентификаторы сессии, капчи, пароли). Взломоустойчивость таких программ сильно зависит от качества генераторов случайных последовательностей. Исследователи расскажут об уязвимостях, обнаруженных в Java-приложениях, которые используют генераторы псевдослучайных чисел. Помимо сценариев успешных атак на такие приложения, авторы продемонстрируют инструмент, который позволяющий получить внутренний статус генератора (так называемый seed), а также предыдущее и последующее значения. Кроме того, мы покажем, как использовать этот инструмент для атаки на реально существующие Java-приложения.

Михаил Егоров (Mikhail Egorov) является независимым исследователем и квалифицированным программистом (Java, Python), специализируется на фаззинге, обратной разработке, безопасности веб-приложений и сетевой безопасности. Сергей Солдатов более 10 лет занимается практической сетевой безопасностью и участвует в различных проектах, связанных с ISP.

Как правильно реверсить драйверы OS X

Принято считать, что MacBook и Mac гораздо лучше защищены, нежели компьютеры, работающие под Windows. Однако недавние громкие истории, включая случаи беспрепятственного подключения к встроенным камерам iSight, заставляют в этом усомниться. В своем выступлении «Обратная разработка драйверов OS X» на PHDays IV Егор Федосеев (Egor Fedoseev) расскажет о методах анализа драйверов OS X, сопутствующих сложностях и способах минимизировать трудозатраты. Слушатели познакомятся с особенностями драйверов под Mac, инструментарием для их анализа, существующими проблемами реверсинга в дизассемблере IDA и возможными путями их решения. Доклад представляет интерес для вирусных аналитиков и исследователей безопасности OS X.

Егор Федосеев живет в Екатеринбурге и работает в Уральском федеральном университете имени первого Президента России Б. Н. Ельцина. Является руководителем студенческой группы « Хакердом », которая была сформирована осенью 2005 года на математико-механическом факультете УрФУ. Реверсингом занимается с 2004 года.

Напоминаем, что у вас еще есть время — до 31 марта — представить свое исследование и выступить на PHDays IV перед несколькими тысячами ведущих мировых экспертов в области информационной безопасности. Кроме того, есть и другие способы попасть в число участников. Полный список выступлений, которые пройдут 21 и 22 мая 2014 года на Positive Hack Days, будет опубликован в апреле на официальном сайте форума.