Главная » Архив меток: Информационная безопасность

Архив меток: Информационная безопасность

Клонируем бесконтактную карту с помощью мобильного приложения

Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом ...

Читать далее »

Головоломка «Test My Patience» от Check Point Security Academy

Я несколько раз упоминал на Хабре программу «Check Point Security Academy»: суть её в том, что фирма Check Point летом объявила конкурс в формате «Capture the Flag», где не важен прошлый опыт участника, а важны только его способности к распутыванию кибер-головоломок. По результатам этого конкурса фирма набрала двадцать участников на трёхмесячный профессиональный курс по кибер-безопасности, и все участники с самого ...

Читать далее »

[Перевод] Введение в ptrace или инъекция кода в sshd ради веселья

Конечно, это несколько искусственная задача, так как есть множество других, более эффективных, способов достичь желаемого (и с гораздо меньшей вероятностью получить SEGV), однако, мне показалось клёвым сделать именно так. Цель, которой я задался, была весьма проста: узнать введённый в sshd пароль, используя ptrace. Те, кто знаком с инъекциями в Windows, наверняка знают функции VirtualAllocEx(), WriteProcessMemory(), ReadProcessMemory() и CreateRemoteThread(). Эти вызовы ...

Читать далее »

[Перевод] Враг внутри: как я попался на инсайдерском редтиминге

Я уже был внутри сети. У меня были все преимущества. Но они обнаружили мой взлом, выкинули из сети… и выследили физически.Многие тестирования на проникновение начинаются снаружи, чтобы проверить, как можно преодолеть периметр. Я был вне подозрений. Разве они могли бы остановить меня, если я уже был в сети? На этот раз заказчик хотел посмотреть, насколько далеко может зайти атакующий, который ...

Читать далее »

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 18: «Частный просмотр интернета», часть 1

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую ...

Читать далее »

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 17: «Аутентификация пользователя», часть 3

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую ...

Читать далее »

Утечка персональных данных из московских МФЦ

Все СМИ уже успели раструбить о страшной утечке персональных данных из московских многофункциональных центров предоставления государственных и муниципальных услуг (МФЦ) «Мои Документы». Давайте попробуем разобраться в ситуации… В каждом МФЦ есть компьютер общего пользования, подключенный к сканеру. Издание Коммерсантъ, обнаружившее утечку пишет: Как выяснил “Ъ”, местом утечки персональных данных вполне могут стать многофункциональные центры (МФЦ). Сотрудники “Ъ” проверили ряд МФЦ ...

Читать далее »

[Из песочницы] Настолько ли стар твой Windows?

Как показывает бурное обсуждение последних статей на Хабре, посвященных Windows системам, большое количество продвинутых и не очень пользователей отдает свое предпочтение «устаревшей» Windows 7 и не торопится переходить на Windows 10. Причины бывают очень разные — от недовольства политикой конфиденциальности и большим объемом телеметрии до банальной привычки и нежелания идти на поводу у маркетологов Microsoft. Не секрет, что в корпоративном ...

Читать далее »

Что мы узнали о безопасности Intel ME за последние годы: 7 фактов о таинственной подсистеме

Изображение: Unsplash Эту технологию окружает ореол таинственности – несмотря на то, что она имеет доступ практически ко всем данным на компьютере и ее компрометация позволяет захватить полный контроль над машиной, официальной документации и руководств по работе с ней от производителя просто не существует. В последние пару лет технология Intel ME находится под пристальным вниманием исследователей. Поэтому исследователям со всего мира ...

Читать далее »

Как я чуть не подхватил вирус, пытаясь продать сапоги

В Москве это не сложно: ограничиваешься маршрутом от дома до офиса и обратно. Я из тех людей, кто с наступлением осени старается проводить на улице меньше времени. Чтобы не впасть в хандру, этой осенью я обновил гардероб. Однако промозглая погода может причинить дискомфорт и в помещении, особенно если ваше рабочее место, как и моё, находится у окна, а каждый второй ...

Читать далее »