SeoNews.com.ua - SEO & Search Engine News
Поисковая оптимизация
Популяризация токенов способна значительно повысить уровень безопасности в сфере электронной коммерции
Эксперты предлагают заменить передаваемые на торговые серверы финансовые данные электронными идентификаторами, не имеющими ценности для злоумышленников.

Как сообщает издание Network World со ссылкой на доклад одного из крупнейших производителей токенов безопасности, широкомасштабное внедрение такой меры, как дополнительные этапы идентификации, способно в значительной степени сократить количество успешных хакерских атак в сфере электронной коммерции.


Персональные данные граждан РФ будут храниться на российских серверах
Депутаты предлагают изменить дату вступления в силу закона «О персональных данных», согласно которому соцсети и сервисы электронной почты будут обязаны хранить личную информацию пользователей на российских серверах.

Как сообщает издание "Известия", депутаты Госдумы РФ выступили с предложением внести некоторые коррективы в закон «О персональных данных», согласно которому социальные сети и сервисы электронной почты будут обязаны сохранять информацию о конфиденциальных данных граждан РФ на серверах, которые располагаются на территории России. Указ был подписан В. Путиным в июле текущего года, и вступает в действие 1 сентября 2016 года. Тем не менее, госчиновники предлагают ускорить процесс и узаконить перенос личной информации пользователей уже с 1 января следующего года.

Пользователям Wi-Fi в московском метро скоро придется регистрироваться
По просьбе руководства столичного метрополитена компания «Максима Телеком» разработала программное обеспечение, посредством которого будет происходить аутентификация пользователей.

В скором времени все желающие воспользоваться услугами Wi-Fi в Московской подземке смогут сделать это только по регистрации. По просьбе администрации метро компания «Максима Телеком» разработала ПО для аутентификации пассажиров. Новая система будет распознавать посетителей подземки по IMEI-номерам их девайсов, пишут «Известия».

Зарубежным компаниям могут ограничить доступ к российским гостайнам
По предварительным данным, лишиться соответствующей лицензии могут четыре крупнейших аудитора - Deloitte, EY, KPMG и PwC.

Как сообщает издание «Ведомости» со ссылкой на собственных информаторов в двух компаниях из четверки крупнейших зарубежных аудиторов в РФ, отечественные силовые структуры усилили давление на компании и в перспективе могут лишить их возможности работать с данными, представляющими собой государственную тайну.
Началась последняя неделя льготной регистрации на конференцию CEE-SECR «Разработка ПО»
На конференции рассмотрят все аспекты разработки программного обеспечения.

Стартовала последняя неделя льготных летних цен на конференцию CEE-SECR «Разработка ПО» — одно из важнейших событий ИТ-индустрии в России.

До 31 августа регистрационный взнос будет ниже финальной цены на более чем 37%. Кроме того, продолжают действовать специальные предложения для студентов, аспирантов и групп от трех человек. Все скидки суммируются


Seo News
Facebook готовит исправление уязвимости, заставляющей iPhone совершать звонки
Разработчики социальной сети намерены устранить брешь в ближайшем обновлении мобильного приложения для iOS.

Как сообщают представители социальной сети

Facebook, разработчики компании намерены в ближайшее время выпустить обновление безопасности для своего мобильного приложения для iOS-устройств. Речь идет об опасной уязвимости, эксплуатация которой позволяет злоумышленникам удаленно совершать звонки со смартфонов iPhone, принадлежащих жертвам атаки. Для этого достаточно вынудить пользователя перейти по специально сформированной вредоносной ссылке.
95% электронных уведомлений от Facebook успешно шифруются

В Facebook отметили рост количества провайдеров, развертывающих шифрование с помощью STARTTLS.

95% посылаемых Facebook по электронной почте уведомлений, являются зашифрованными. Электронные письма шифруются с помощью свойства протоколов под названием «Совершенная прямая секретность» (Perfect Forward Secrecy, PFS) и строгой проверки подлинности сертификата. Об этом сообщил инженер Facebook Майкл Эдкинс (Michael Adkins), занимающийся вопросами неприкосновенности сообщений пользователей.

Microsoft представит Windows 9 в конце сентября

В ранней версии Windows 9 будет добавлено переработанное меню "Пуск" и, возможно, голосовой помощник Cortana.

В компании Microsoft планируют представить следующую версию ОС Windows во время специального события для прессы, которое состоится в конце сентября. Как сообщает издание The Verge, ссылаясь на собственные источники, в настоящее время представители корпорации собираются рассказать об изменениях в новой версии Windows, получившей кодовое наименование «Threshold» («Предел»), 30 сентября этого года. Напомним, что следующая версия Windows в настоящее время находится в разработке, и в Microsoft планируют выпустить предварительную версию ОС для разработчиков (Developer Preview) 30 сентября или позже.

Google AdWords забанит пейнтбольное и прочее оружие
Менее чем через месяц Google запретит рекламу оружия для страйкбола и пейнтбола, пневматических пистолетов, боеприпасов, обойм и портупей. Жалобы на такую рекламу ранее поступали в Google AdWords Help.

Google опубликовал предварительную версию изменения политики, которая в настоящее время позволяет рекламировать такие товары на AdWords.

Вот образец письма, отправленного рекламодателям AdWords:

«Уважаемый рекламодатель AdWords,

Мы извещаем вас об изменении правил размещения рекламы Google, которые могут повлиять на ваш аккаунт AdWords.


Уязвимость в Windows продолжает создавать опасность для пользователей
Наиболее часто уязвимость CVE-2010-2568 эксплуатировали на ОС Windows XP.

Согласно документу, опубликованному Лабораторией Касперского, злоумышленники продолжают эксплуатировать уязвимость CVE-2010-2568 , несмотря на “возраст” бреши. Недавно Лаборатория Касперского обнаружила десятки миллионов эксплоитов, направленных на устранение ошибки в период с ноября 2013 по июнь 2014 года, которые не устранили ее. Жертвами кибератаки стали 19 миллионов пользователей по всему миру.

Search Engine News
Подпишись на рассылку и будь всегда в курсе наших новостей.

Первые мастер-классы PHDays III: киберрасследования, атаки на SAP и Windows kernel

Первые мастер-классы PHDays III: киберрасследования, атаки на SAP и Windows kernel
Гостей форума Positive Hack Days III ждут не только интересные доклады, конкурсы и соревнования CTF, но и многочисленные мастер-классы.

Гостей форума Positive Hack Days III ждут не только интересные доклады, конкурсы и соревнования CTF, но и многочисленные мастер-классы. Hands-On Labs на PHDays — это практические занятия, проходящие под девизом «меньше слов, больше дела». Под руководством ИБ-гуру со всего мира слушатели глубоко погружаются в тему и своими руками решают практические задачи из области информационной безопасности. Чтобы принять участие в занятиях, нужно лишь иметь базовую подготовку, тягу к новым знаниям и принести с собой ноутбук.
ак разработать защищенное веб-приложение и не сойти при этом с ума?


Мастер-класс посвящен вопросам обеспечения защищенности веб-приложений на протяжении всего цикла их разработки. Во время занятия будут рассмотрены практические подходы к выявлению и устранению уязвимостей в коде, выработанные в соответствии с рекомендациями Microsoft Security Development Lifecycle. Практическое занятие будет интересно разработчикам веб-приложений и исследователям, желающим получить навыки конструирования защищенного кода и анализа защищенности сложных проектов методом белого ящика. Мастер-класс построен на основе Microsoft ASP.NET (Web Pages, Web Forms, MVC, Entity Framework, SignalR), однако содержит минимум специфики окружения и будет интересен специалистам, которые работают с другими стеками веб-технологий. Различные классы уязвимостей будут представлены на примерах уязвимостей нулевого дня в популярных продуктах, веб-движках и учебных веб-приложениях.

В ходе практической части будут продемонстрированы наиболее интересные атаки, а также все рассмотренные приемы и методики работы с кодом.

Ведущий: Владимир Кочетков — эксперт исследовательского центра компании Positive Technologies. Специализируется на анализе исходного кода веб-приложений и исследованиях в области безопасности технологий компании Microsoft. Разработчик инструментов автоматизации задач анализа защищенности веб-приложений, входит в команду разработчиков PHDays HackQuest. В свободное от работы время принимает участие в проекте по разработке языка программирования Nemerle.

Sqlmap: под капотом


Участникам форума будет представлен углубленный анализ возможностей и внутренних механизмов sqlmap. В одном мастер-классе объединено рассмотрение функциональных особенностей, ставших результатом многих лет тяжелого труда и вдумчивой работы с запросами многочисленного пользовательского сообщества, и особенностей, скрытых от глаз, о существовании которых никто даже не задумывается.

Ведущий: Мирослав Штампар — профессиональный разработчик ПО и исследователь в области информационной безопасности. В настоящее время работает над докторской диссертацией на тему безопасности и организации параллельной обработки данных. Получил сертификат Microsoft Certified Solution Developer для Microsoft .NET в 2007 году и с тех пор работает в AVL (www.avl.com), крупнейшей в мире частной компании, занимающейся разработкой систем силовых передач с двигателями внутреннего сгорания, а также измерительной техники и систем диагностирования. В стремлении заниматься вопросами, связанными с безопасностью, стал одним из авторов известного открытого проекта sqlmap (www.sqlmap.org), посвященного автоматическому обнаружению и эксплуатации уязвимостей типа «Выполнение SQL-кода», и с декабря 2009 г. постоянно участвует в его развитии.

Киберрасследования: основы


Hands-On Lab по расследованию сетевых инцидентов:

расследование сетевых инцидентов с Xplico — демонстрация, практика;
расследование инцидентов с применением NetworkMiner;
задания для участников.

Hands-On Lab по расследованию инцидентов с использованием данных памяти:

расследование на работающем компьютере с использованием DumpIT и Memorize компании Mandiant;
расследование с изучением памяти выключенного компьютера (после завершения работы);
практикум.

Расследование с использованием образов дисков с помощью OSForensics (бесплатная версия) — демонстрация, решение задач.

Ведущий: Александр Свердлов — тренер-консультант по информационной безопасности. Разработал и успешно проводит пятидневный тренинг «Противодействие компьютерной преступности и мошенничеству» (Computer Crime and Fraud Prevention), посвященный использованию системы Moneybookers (Skrill), создал тренинг для ING Insurance (Болгария). Во время работы в HP Global Delivery Center EOOD участвовал в аудитах безопасности, координировал подготовку отчетов об обнаружении и устранении уязвимостей в серверах Microsoft Windows, Unix и в серверах баз данных. Имеет сертификаты CEH, CHFI, MCSE и MCTS. Автор ряда статей по различным проблемам информационной безопасности.

Мастер-класс по RFID


Добро пожаловать в мир технологии NFC (Near Field Communication). Основное внимание ведущий уделит высокочастотной идентификации, но будут рассмотрены и низкие радиочастоты, поскольку они очень часто используются при организации контроля доступа в помещения.

Диапазон рассматриваемых тем — от традиционных считывателей NFC (13,56 МГц), их API и проприетарного ПО до аппаратного обеспечения Proxmark3, ПО с открытым исходным кодом (LibNFC), от распространенных атак до оригинальных идей использования радиочастотной идентификации.

Часть мастер-класса будет посвящена технологии NXP MIFARE Classic, которая применяется во всем мире для микроплатежей, физической безопасности зданий, в общественном транспорте.Также будут рассмотрены некоторые случаи из практики, ведущий расскажет об извлеченных им из своего опыта уроках, связанных с обратной разработкой и социальной инженерией.

Ведущий: Науэль Грисолия — двадцатисемилетний исследователь из Аргентины. Специализируется на безопасности веб-приложений и взломе аппаратного обеспечения. Обнаружил уязвимости в McAfee Ironmail, VMware и Manage Engine Service Desk Plus, а также в ряде проектов, посвященных разработке свободного ПО (Achievo, Cacti, OSSIM, Dolibarr и osTicket).

Проводил мастер-классы на международных конференциях BugCON (Мексика), H2HC (Бразилия), Ekoparty (Аргентина), на мероприятиях OWASP (Аргентина) и других. Кроме того, занимается проектированием информационных систем, имеет сертификат CEH (Certified Ethical Hacker) и является сертифицированным частным пилотом.

Осваиваем шелл-код


В мастер-классе будут рассмотрены основы построения шелл-кода под процессоры семейства x86, основные задачи при построении шелл-кода и способы их решения. Основное внимание будет уделено построению минимальных по размеру шелл-кодов. Ведущий представит примеры оптимизации шелл-кода и предложит участникам самостоятельно оптимизировать участок шелл-кода для практического закрепления материала.

Ведущий: Антон Дорфман — исследователь, реверсер и фанат ассемблера. С 2001 года преподает в СамГТУ, занимается научными и практическими исследованиями в области программной защиты информации, опубликовал более 50 научных статей. Разработал и читает уникальные учебные курсы, посвященные обратной разработке. С 2009 года организатор и играющий тренер студенческих команд СамГТУ, участвующих в соревнованиях по компьютерной безопасности CTF.

Windows kernel: краткий курс молодого бойца


План мастер-класса:

общая физическая подготовка (настройка ОС и инструментов отладки);
инструкция по использованию оружия (навыки работы с WinDBG);
ориентирование на местности (сбор информации в ядре);
знай врага в лицо (механизмы защиты ядра ОС);
тактика боя (особенности эксплуатации);
тренировка (пример эксплуатации уязвимости в компоненте ядра).

Ведущий: Артем Шишкин — специалист по информационной безопасности компании Positive Technologies. Начав с системного программирования и получив сертификат MCTS: Windows Internals, по сей день занимается исследованием ОС Windows, ее устройства и уязвимостей. Восхищается ядром, повреждениями пула и синхронизацией. Не любит Intel SMEP, обходит его стороной.

Безопасность приложений на платформе Android


Лабораторный практикум помогает освоить основные приемы анализа защищенности приложений и криминалистического анализа мобильных платформ на базе Google Android. В рамках работ по анализу защищенности будут продемонстрированы типичные уязвимости, обнаруживаемые экспертами Positive Technologies, включая недавно устраненные Google уязвимости в Chrome для Android, а также уязвимости нулевого дня.

Ведущий: Артем Чайкин — ведущий специалист группы анализа защищенности веб-приложений в компании Positive Technologies.

Методология атаки на SAP


Реализация атаки на SAP ABAP

Определение доступных сервисов SAP (по диапазону IP-адресов)
Подключение к Oracle без аутентификации
Подбор паролей для служебных пользователей в Oracle
Поиск учетных записей (метод из курса CEH)
Перехват паролей с использованием Wireshark
Подбор паролей, полученных из USR02
Запуск программ с уровня ОС
Анализ RFC-соединений (хранение авторизационных данных)

Эксплуатация уязвимостей SAP NetWeaver 7.0

Поиск запущенных сервисов Java
Получение информации путем анализа журналов событий в Java-апплете SAP (без авторизации)<
Получение и анализ журналов событий авторизованным пользователем с минимальными привилегиями (Java)
Подмена HTTP-запросов к Java-сервисам SAP
Получение доступа к ОС путем использования уязвимостей в сервисах
Анализ Java Secure Storage

Эксплуатация уязвимостей транспортной системы

Особенности ландшафта SAP и транспортной подсистемы
Создание учетной записи с административными привилегиями при помощи подделки транспортного запроса

Ведущий: Вячеслав Мавлянов — эксперт по информационной безопасности компании Positive Technologies.