TechCave

Описание сайта

Основная информация

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Рейтинг: 1
Создана 4 года назад
Владелец root

Стена группы

Загрузка...
Den
1 год назад
#

Uber скрыл мощную кибератаку с кражей данных 57 млн клиентов и водителей





На этой неделе руководство сервиса Uber заявило о краже киберпреступниками данных 57 млн водителей и клиентов компании. Именно такое число аккаунтов оказалось скомпрометированным. Взлом был произведен не сейчас, а около года назад. Злоумышленники, которые взломали сервера компании, еще и получили от нее $100 000.

Это, как
оказалось, была своего рода сделка между службой безопасности компании и взломщиками. Сделка проводилась главой отдела сетевой безопасности Uber Джо Салливаном, а за ее исполнением присматривал экс-глава компании Трэвис Каланик. Детали этой истории раскрыли сотрудники Uber, пожелавшие остаться неизвестными.

Источник
1 год назад
#

Intel устранила найденную экспертами Positive Technologies уязвимость в подсистеме Management Engine



image

Компания Intel опубликовала
бюллетень безопасности, в котором сообщила о выпуске патча для устранения уязвимости в подсистеме Intel ME, которая была обнаружена экспертами Positive Technologies Марком Ермоловым и Максимом Горячим. Также компания Intel опубликовала специальный инструмент, который поможет администраторам Windows и Linux-систем узнать о том, уязвимо ли их оборудование.

Intel Management Engine — это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Через PCH осуществляется почти все общение процессора с внешними устройствами, поэтому Intel ME имеет доступ практически ко всем данным на компьютере. Исследователям удалось найти ошибку, которая позволяет выполнять неподписанный код внутри PCH на любой материнской плате для процессоров семейства Skylake и выше.

Источник
1 год назад
#

Когда хакеры быстрее антивирусов



FinCERT, структурное подразделение ЦБ по информбезопасности, в своем свежем отчете назвал группу Cobalt главной угрозой для банков, а ее атаки — основным трендом. Cobalt, действительно, сейчас одна из самых активных и агрессивных преступных групп. За год — подсчитали эксперты — она совершила не менее 50 успешных атак по всему миру, постоянно тестируя новые инструменты, изменяя векторы атак и цели. Помимо бесконтактных атак на банкоматы, Cobalt старается получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. В этой статье мы покажем, почему традиционные средства защиты не могут спасти от хакерских атак подобных групп. И что делать, чтобы защитить свой бизнес от финансовых и репутационных потерь.

Источник
1 год назад
#

Программирование под ARM TrustZone. Часть 1: Secure Monitor



Продолжаем наш цикл статей, посвященный столетию Великой Октябрьской… ARM TrustZone.

Сегодня мы разберемся, что такое Secure World, Normal World, как на программном уровне взаимодействуют две ОС – доверенная (TEE) и гостевая. Узнаем, для чего нужен и как работает Secure Monitor, как обрабатываются прерывания от устройств.

Если готовы – добро пожаловать под кат.

Источник
1 год назад
#

Как IaaS-провайдер работает с ИБ: угрозы и защита



По статистике Apiumhub, у
70% компаний как минимум одно приложение работает в облаке. Миграция в облачную среду влечёт за собой ряд
преимуществ, но
многие предприятия обеспокоены вопросами безопасности данных. Однако мнение о том, что облачная инфраструктура слабо защищена —
миф, поскольку провайдер специализируется на «обороне периметра».

В сегодняшнем материале мы отметим некоторые из наиболее крупных угроз безопасности и поговорим о том, как IaaS-провайдеры защищают данные клиентов.



Источник
1 год назад
#

Исследование: более 400 крупных популярных сайтов записывают пользовательские сессии





На большинстве популярных и посещаемых сайтов есть сторонние аналитические скрипты, которые записывают, на какие страницы заходит пользователь и какие запросы он вводит в поисковую строку. Но прогресс не стоит на месте, и некоторые компании стали использовать на своих сайтах скрипты, которые записывают нажатия клавиш, движения мыши и даже направление прокрутки вместе со всем содержимым страниц, а потом отправляют эти данные на сторонние серверы.

В отличие от обычных аналитических сервисов, которые предоставляют общую статистику, эти скрипты записывают и воспроизводят отдельные сеансы просмотра так, будто за поведением пользователя наблюдают через его плечо. На некоторых сайтах с высокой нагрузкой выполняется ПО, которое записывает момент нажатия и каждое введенное слово. Такие скрипты получили название скриптов повторного сеанса.

Заявленная цель сбора таких данных — поиск ответа на вопрос, как пользователи взаимодействуют с веб-страницами, а также нахождение криво работающих страниц. Однако объем данных, собираемый такими скриптами, куда выше того, что можно было бы ожидать от оговариваемого пользовательским соглашением. Например, если перейти на сайт и начать заполнять форму, а затем отказаться от нее, введенная информация все равно будет записана. Случайно вставленное содержимое буфера обмена тоже запишется.

Источник
1 год назад
#

Квадратичные арифметические программы: из грязи в князи (перевод)



Продолжая серию статей про технологию zk-SNARKs изучаем очень интересную статью Виталика Бутерина "Quadratic Arithmetic Programs: from Zero to Hero"



Предыдущая статья: Введение в zk-SNARKs с примерами (перевод)



В последнее время интерес к технологии zk-SNARKs очень вырос, и люди все чаще пытаются демистифицировать то, что многие стали называть «лунной математикой» из-за своей достаточно неразборчивой сложности. zk-SNARKs действительно довольно сложно понять, особенно из-за большого количества составных частей, которые нужно собрать вместе, чтобы все это работало, но если мы разберем технологию по частям, то осмыслить ее станет гораздо проще...



Источник
1 год назад
#

GitHub предупредит разработчиков об уязвимостях в их проектах





Платформа для разработчиков
запустила функцию под названием Dependency Graph, которая оповещает разработчиков в том случае, если их код содержит известные уязвимости. Система анализирует зависимости и модули, использующиеся в проекте, и выводит информацию о содержащихся в них ошибках безопасности. Инициатива направлена на повышение уровня безопасности проектов с открытым исходным кодом.

Источник
1 год назад
#

SensioLabs закрыла множественные уязвимости во всех поддерживаемых версиях Symfony



В частности, сообщается, что уязвимы следующие версии: 2.7.0 — 2.7.37, 2.8.0 — 2.8.30, 3.2.0 -3.2.13, и 3.3.0 — 3.3.12. Интересный факт: в остальных версиях эти уязвимости также могут присутствовать, но исправлений для них нет (по причине того что исправления есть только в поддерживаемых версиях).

Для исправления уязвимостей необходимо обновиться до версий 2.7.38, 2.8.31, 3.2.14, 3.3.13, 3.4-BETA5, или 4.0-BETA5.



И немного подробнее о самих уязвимостях:

Источник
1 год назад
#

Заборы из стеклянных кирпичей, заговор онлайн-переводчиков, удаленный взлом «Боинга»



Уязвимость в API угрожает сливом конфиденциальных данных Twilio и Amazon S3

Новость на русском,
Отчет appthority

Сложно объяснить, почему разработчики Twilio решили сделать так, чтобы в код приложений, использующих их Rest API и SDK, было необходимо жестко «зашить» учетные данные для доступа к БД. Но сделали они именно так. И это несмотря на то, что собственные политики безопасности Twilio такие фортели запрещают.

API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.

Источник
1 год назад
#

Вашингтон на горячей связи



Горбачев звонит Рейгану:

— Примите наши соболезнования по поводу гибели шаттла «Challenger».

— «Challenger» еще не взлетел, пуск через два часа.

— Ах, черт, простите! Проклятая разница во времени. (Анекдот 1986 года)



Безусловно, гибель шаттла с экипажем на борту не должна быть предметом шуток, даже злых. Анекдот важен в свете статьи, так как противоречит фактам. В 1986 году Горбачев не мог позвонить в Белый дом, ведь телефонная связь была установлена позже. Михаил Сергеевич мог лишь написать об этом по специальному каналу экстренной связи, известному как «горячая линия».

Источник
Den
1 год назад
#

Эксплуатация Heap Overflow с использованием JavaScript



От переводчика

В данном исследовании авторы раскрывают интересную технику эксплуатации переполнения памяти кучи. Разумеется, данная уязвимость давно исправлена, но сама представленная техника очень интересна, а процесс переполнения довольно детально расписан.

Если вам интересна информационная безопасность и вы хотели бы понять как происходят переполнения, которые то и дело мелькают в сводках новостей, исследование вам понравится.

Предисловие

В этой статье представлен новый метод эксплуатации переполнения кучи (heap

overflows) в интерпретаторах JavaScript. Вкратце, для получения heap

overflow можно использовать команды JavaScript для обеспечения надежного отображения указателя функции сразу после переполнения буфера. В данном учебном исследовании используется техника для Safari, которую авторы использовали для победы в конкурсе CanSecWest 2008 Pwn2Own.

Источник
1 год назад
#

5 факторов успеха эффективного внедрения сервисов верификации учетных записей



Мошеннические действия с использованием личных данных (ID fraud) представляют собой серьезную проблему для операторов мобильных сетей (Mobile Network Operators, MNO), учитывая что в мире уже насчитывается примерно 200 видов таких мошенничеств, а 35% всего фрода на мобильных устройствах связано с подписками. И это та проблема, на которую нельзя закрывать глаза, – для многих операторов сотовых сетей она приводит к чрезмерно большим издержкам. Более того, помимо убытков для операторов из-за упущенной выгоды, подобные мошеннические действия наносят ущерб и потребителям, затрудняя принятие и развитие новых сервисов. Как можно развивать инновации, если компании вынуждены постоянно выделять значительные средства и ресурсы на то, чтобы минимизировать эффект от мошеннических действий?



Источник
1 год назад
#

WeChat. Сериализуем объект — получаем СМС



Предыдущая статья.

В продолжение темы WeChat. В данной статье мы покажем как сериализуются и десериализуются объекты, а так же зашифруем сообщение и получим СМС с кодом подтверждения. Кроме того мы приведем весь необходимый код на PHP, чтобы вы могли попробовать и убедиться что все работает

Источник
Den
1 год назад
#

Храните свои сбережения…в бункере



Не все хранилища данных одинаково надежны и прочны. Наводнения, ураганы, торнадо, военные атаки, ядерные взрывы — как в таких условиях сохранить важнейшие данные и инфраструктуры знают компании-провайдеры подземных серверных хранилищ, созданных с максимальным уровнем защиты от любых угроз.



Подземные объекты, окруженные скалой привлекают повышенным уровнем надежности, они достаточно прочны и могут выдержать ядерную атаку. Чаще всего такие дата-центры обладают всего одним входом. Под землей нужный температурный режим регулируется естественным образом, затраты на охлаждение минимальные, что позволяет предоставлять корпоративным клиентам предложения по выгодным ценам. Да и строительство таких серверных ферм зачастую обходится дешевле: перестраивается уже готовый объект, оснащается необходимой инфраструктурой для обеспечения функционирования, а не возводится с нуля.

Источник
40 41 43 44

Авторизация

Войти с помощью

Пользователи

GeekBrains

КАРКАМ

Нетология