Страницы

понедельник, 28 августа 2017 г.

Выключаем Intel ME 11, используя недокументированный режим


В ходе исследования внутренней архитектуры Intel Management Engine (ME) 11-й версии был обнаружен механизм, отключающий эту технологию после инициализации оборудования и запуска основного процессора. О том, как мы нашли этот недокументированный режим, и о его связи с государственной программой построения доверительной платформы High Assurance Platform (HAP) мы расскажем в этой статье.

Авторы предупреждают, что использование данных знаний на практике может повлечь за собой повреждение вычислительной техники, и не несут за это никакой ответственности, а также не гарантируют работоспособность или неработоспособность чего-либо и не рекомендуют экспериментировать без наличия SPI-программатора.

пятница, 25 августа 2017 г.

Блокирование двойного освобождения памяти в ядре Linux

7 августа эксперт Positive Technologies Александр Попов выступил на хакерском фестивале SHA2017 (Still Hacking Anyway). Запись его выступления:



В своем докладе Александр рассказал о уязвимости CVE-2017-2636 в ядре Linux и технике ее эксплуатации для локального повышения привилегий. Многое из его доклада уже было описано в статьях журнала Хакер и в нашем блоге.

В данной статье описаны новые результаты его исследования, затронутые в
выступлении на SHA2017.

четверг, 24 августа 2017 г.

Как на самом деле будет исполняться закон о запрете анонимайзеров и VPN


С ноября 2017 года в России начнут блокировать анонимайзеры и VPN-сервисы, владельцы которых откажутся закрыть доступ к запрещенным в стране ресурсам. Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies, объясняет, чем все это может грозить Рунету.

вторник, 8 августа 2017 г.

Уязвимости веб-приложений: пора анализировать исходный код

Введение

Сфера применения веб-технологий расширяется из года в год. Практически каждая компания использует в своей деятельности веб-приложения — как для работы с клиентами, так и для обеспечения внутренних бизнес-процессов. И если функциональности веб-приложений уделяется значительное внимание, то вопросы их безопасности зачастую решаются в последнюю очередь, что негативным образом сказывается на уровне защищенности всего предприятия.

Уязвимости веб-приложений предоставляют злоумышленникам широкий простор для действий. Ошибки проектирования и администрирования позволяют атакующим получать важную информацию, а также нарушать функционирование веб-приложения, осуществлять атаки на отказ в обслуживании, проводить атаки на пользователей, проникать во внутреннюю сеть компании и получать доступ к критически значимым ресурсам.

В данном отчете представлена статистика, полученная экспертами Positive Technologies в ходе работ по анализу защищенности веб-приложений в 2016 году, а также ее сравнение с результатами предыдущих лет.

Представленное исследование позволяет понять, на какие недостатки защиты следует обратить внимание при разработке и эксплуатации приложений, какие угрозы несут в себе те или иные уязвимости и какие методы исследования безопасности наиболее эффективны. Также приводится оценка общего уровня защищенности веб-приложений и его динамика в последние годы.