Без комментариев.
пятница, 30 июля 2010 г.
вторник, 27 июля 2010 г.
WPA2 взломали?
Интересная заметка появилась о потенциальном взломе WPA2.
http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html
http://www.securitylab.ru/news/396094.php
Судя по описаниям - опять вмешался ARP + ключи групповой рассылки.
Особых деталей нет, и кстати - непонятен риск. Кроме DoS со стороны аутентифицированного пользователя заявлен некий "snoop", что далеко не sniff.
Т.е. по предварительным данным CVSS Base Score невысокий, где-то 3.8.
http://nvd.nist.gov/cvss.cfm?name=&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:C)&version=2
Ждем Defcon, подробности и код.
пятница, 23 июля 2010 г.
Новая схема защиты пароля требует новой схемы защиты схемы защиты пароля :)
Специалисты Microsoft предлагают новый способ защиты от взлома паролей
http://www.securitylab.ru/news/395967.php
Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.
Собственно - мысль здравая, но учитывая, что идентификатор пользователя секретом не является, такая схема предлагает злоумышленнику интересный способ подбора паролей - путем попытки смены его на словарные значения. Если изменение пароля запрещено, то пароль у кого-то используется. В словарик его. А дальше с ним по списку аккаунтов.
http://www.securitylab.ru/news/395967.php
Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.
Собственно - мысль здравая, но учитывая, что идентификатор пользователя секретом не является, такая схема предлагает злоумышленнику интересный способ подбора паролей - путем попытки смены его на словарные значения. Если изменение пароля запрещено, то пароль у кого-то используется. В словарик его. А дальше с ним по списку аккаунтов.
Таким образом, придется вводить новый параметр безопасности - "Количество неудачных изменений пароля в единицу времени". Естественно при наличии минимального срока жизни пароля, что редкость в online сервисах, поддерживающих процедуру сброса.
PS.
"Ошибка! Этот пароль уже использует пользователь Masha."
вторник, 20 июля 2010 г.
Вирус для SCADA
_практически_ первый публичный вирус для SCADA/АСУТП
ESET: новый червь атакует промышленные компании
Siemens: New virus targets industrial secrets
Кстати, он еще и подписан.
ESET: новый червь атакует промышленные компании
Siemens: New virus targets industrial secrets
Кстати, он еще и подписан.
Еще один 0-day в Microsoft Windows или Stuxnet атакует
Интересный обзор уязвимости при обработке ярлыков в Windows разместил Валерий Марчук.
http://www.securitylab.ru/blog/personal/tecklord/12729.php
Рекомендую ознакомится всем связанным с безопасностью Windows.
http://www.securitylab.ru/blog/personal/tecklord/12729.php
Рекомендую ознакомится всем связанным с безопасностью Windows.
вторник, 13 июля 2010 г.
100% Virus Free Podcast #15
Недавно забегал в новый офис Eset, по пути меня проинтервьюировал Александр Матросов.
- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF
Другие выпуски подкаста:
http://esetnod32.ru/.company/podcast/
- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF
Другие выпуски подкаста:
http://esetnod32.ru/.company/podcast/
четверг, 8 июля 2010 г.
понедельник, 5 июля 2010 г.
Compliance & Risks
Недавно компелировл в презентацию поток мыслей по управлению рисками.
Возможно кому-то пригодиться.
Возможно кому-то пригодиться.
Gordey - risk vs compliance
View more presentations from qqlan.
Подписаться на:
Сообщения (Atom)