Страницы

понедельник, 26 ноября 2012 г.

Удар по Mongo DB

На состоявшейся недавно в Москве конференции ZeroNights 2012 эксперт компании Positive Technologies Михаил Фирстов рассказал о возможностях для проведения атаки на популярную СУБД MongoDB.

Под катом — презентация и видеоматериалы с демонстрацией атак.

четверг, 22 ноября 2012 г.

Случайные числа. Take Two

Эксперты Positive Technologies Арсений Реутов, Тимур Юнусов и Дмитрий Нагибин  провели мастер-класс «Случайные числа. Take Two» на ZeroNights 2012.

Под катом - презентация и программа для перебора PHPSESSID и предугадывания псведослучайных чисел в PHP

четверг, 15 ноября 2012 г.

XML Data Retrieval

Язык XML потихоньку становится все более популярным, все чаще встречается в анализируемых веб-приложениях. И поэтому глубокие исследования в алгоритмах работы этого языка и создание новых способов атаки на него также становятся популярными: сейчас изучены техники, позволяющие читать данные с файловой системы с помощью ошибок (error-based attack), посимвольно перебирать содержимое XML-файлов с помощью XSD-схем (blind attack)...

Ничего не напоминает? :)

вторник, 13 ноября 2012 г.

Google Chrome для Android: уязвимость UXSS и раскрытие учетных данных

Итак, начнем. В июле 2011 года Roee Hay и Yair Amit из IBM Research Group обнаружили UXSS-уязвимость в используемом по умолчанию браузере Android. Эта ошибка позволяет вредоносному приложению внедрить JavaScript-код в контекст произвольного домена и захватить файлы Cookies или произвести другие вредоносные действия. Эта уязвимость была устранена в версии Android 2.3.5.

21 июня 2012 года для Android был выпущен Google Chrome. Я смог найти в нем весьма интересные ошибки. Взгляните сами.

воскресенье, 11 ноября 2012 г.

Управление инцидентами в ИБ: формальность или необходимость?

В нашей недавней серии статей про SIEM системы упоминалась, среди прочего, встроенная в некоторые продукты возможность управления инцидентами (incident management). Сегодня мы расскажем о некоторых аспектах этого процесса.

вторник, 6 ноября 2012 г.

Безопасность SCADA в цифрах

Атомные и гидроэлектростанции, нефте- и газопроводы, заводы, транспортные сети (метро и скоростные поезда), а также многие другие жизненно важные для человечества системы управляются с помощью различных компьютерных технологий.

Широкий интерес к защищенности промышленных систем возник после серии инцидентов с вирусами Flame и Stuxnet, которые стали первыми ласточками эпохи кибервойн. В России же есть еще один повод обратить внимание на защищенность подобных систем — новые требования регуляторов, направленные на повышение безопасности АСУ ТП (ICS/SCADA/PLC).

Для выбора адекватных мер безопасности необходимо понимать, какими возможностями обладает киберпреступник и какие векторы нападения он может использовать. Чтобы ответить на эти вопросы эксперты Positive Technologies провели исследование безопасности АСУ ТП (ICS/SCADA). Результаты под катом.