Старый 07.10.2014, 00:00   #1
m99
 
Аватар для m99
 
Регистрация: 25.09.2014
Сообщений: 27
Репутация: -2
По умолчанию Russia Security Newsline или новости о безопасности по-русски

Начинаем наполнять форум жизнью, а какая может быть жизнь без общения, новостей и статьей ?
Правильно, форум загнется.
И если с первым особых проблем нет, хоть и мало этого общения, то с новостями совсем уж нечего просмотреть (хотя достаточное ли кол-во читает их на форумах, обсосанные и не свежие?), будем исправлять.

Открываю Russia Security Newsline - ежедневная/недельная подборка только свежей и актуальной информации.

Последний раз редактировалось m99; 07.10.2014 в 00:03..
m99 вне форума   Ответить с цитированием
Старый 07.10.2014, 00:03   #2
m99
 
Аватар для m99
 
Регистрация: 25.09.2014
Сообщений: 27
Репутация: -2
По умолчанию

BadUSB ушел в массы
dl // 03.10.14 16:46
Цитата:
Атака, основанная на использовании контроллеров usb-устройств, теперь может быть использована кем угодно. По следам августовской демонстрации аналогичный анализ прошивок usb-контроллеров Phison провели Адам Кодилл (Adam Caudill) и Брэндон Уилсон (Brandon Wilson), но на этот раз они еще и выложили свой код на GitHub.

Целью обнародования традиционно названо желание привлечь внимание производителей. Проблема в том, что пока не вполне ясно, как вообще с этим бороться. Практически это означает возврат во времена незапрещенного автозапуска с флешек (и даже хуже, поскольку отлавливать это еще никто не научился, а для кучи уже выпущенных устройств вряд ли и научится).

Чуть успокаивает лишь то, что пока речь идет строго об одном контроллере для USB 3.0 одного производителя (хоть и весьма популярного).
Баг в Багзилле раскрывает массу уязвимостей
dl // 06.10.14 19:56
Цитата:
Уявимость в популярном багтрекере Bugzilla (используется многими производителями, заводящими там отдельные проекты) сделала возможным просмотр детальных отчетов о найденных уязвимостях. Как выяснилось, при регистрации нового пользователя вполне можно указать любой почтовый адрес, и если он счастливо совпадает с адресом администратора проекта, у вас окажется полный доступ к закрытой для посторонних информации. Например, admin@mozilla.org дает полный доступ к отчетам по уязвимостям в Firefox и других продуктах Mozilla.

Поиск zero-day уязвимостей еще никогда не был столь простым. Исправление ожидается уже сегодня.
Shellshock успешно использовали в атаке на Yahoo
dl // 06.10.14 23:38
Цитата:
Недавно обнародованная уязвимость в bash была использована для взлома по крайней мере двух серверов Yahoo Games. Представитель компании признал факт взлома нескольких серверов, использовавших старую версию bash. Пользовательские данные предположительно не пострадали.

Обнаруживший уязвимые серверы Джонатан Холл (Jonathan Hall) также заметил, что пока все в основном бросились искать уязвимые web-скрипты, он успешно взломал несколько OpenSSH и ftp-серверов, а заодно и сервер, обслуживающий биткойновый пул.
Проблемы с GitHub
dl // 02.10.14 21:16
Цитата:
Пользователи ряда провайдеров жалуются на проблемы с доступом к популярному сервису хостинга git-репозиториев GitHub. Судя по всему, его адрес был внесен в печально знаменитый реестр сайтов, содержащих информацию, запрещенную для распространения в РФ - в одном из репозиториев обнаружился текстовый файл с описанием различных добрых способов самоубийства (включая использование для этого ядерной бомбы).

С учетом популярности GitHub, этот текстовый файл может оказаться крайне эффективным способом блокировки огромного числа Open Source проектов отечественных программистов. Некую надежду пока внушает доступность GitHub из сетей Ростелекома, который обычно находится в первых рядах блокирующих доступ к ресурсам из реестра.

Update: оперативно исключили, выдыхаем.
https://twitter.com/mksenzov/status/517731650642661376
советую при наличии 2 минут зайти в твиттер по последней новости, комменты могут повеселить : []
m99 вне форума   Ответить с цитированием
Старый 22.10.2014, 13:06   #3
m99
 
Аватар для m99
 
Регистрация: 25.09.2014
Сообщений: 27
Репутация: -2
По умолчанию

USB-токен для двухфакторной аутентификации Google

Google представила улучшенную схему двухфакторной аутентификации для Gmail и других своих сервисов. Новая схема предполагает использование маленького аппаратного USB-токена. Пока что токен работает только для сайтов Google, но может работать и с другими, если те реализуют поддержку стандарта Universal 2nd Factor (U2F). Одновременно технологию U2F желательно внедрить и в другие браузеры, кроме Chrome 38+.

Новая система Security Key призвана надёжно защитить аккаунт пользователя от постороннего доступа. Без ключа зайти в почтовый аккаунт будет невозможно. Токен проверяет аутентичность сайта Google, предотвращая фишинговые атаки и защищая от кражи куков (технология TLS Channel ID).

Устройство поддерживает спецификации Universal 2nd Factor (U2F), разработанные https://www.fidoalliance.org/

Сейчас в продаже на Amazon есть два токена с поддержкой FIDO U2F. Более дешёвый из них стоит $5,99. Вероятно, в будущем ассортимент расширится.



Google использует двухфакторную аутентификацию для Gmail около четырёх лет. Предусмотрена отправку кода на мобильный телефон в виде SMS или в специальное мобильное приложение. Код нужно ввести вместе с паролем, чтобы зайти в почтовый ящик. Однако, существуют некоторые техники, когда с помощью продвинутых фишинговых сайтов можно всё-таки принудить пользователя ввести код в постороннее поле на поддельном сайте, после чего зайти в аккаунт от его имени.

Преимущество токена ещё и в том, что он работает в отсутствие телефона. Например, если в аппарате сел аккумулятор, ты всё равно сможешь зайти в почтовый ящик.

источник http://xakep.ru/google-u2f/
m99 вне форума   Ответить с цитированием
Старый 04.12.2014, 16:51   #4
m99
 
Аватар для m99
 
Регистрация: 25.09.2014
Сообщений: 27
Репутация: -2
По умолчанию

Человечная система noCAPTCHA от Google

Компания Google представила новую версию системы reCAPTCHA, призванную отличать людей от роботов. В новой версии процесс значительно упрощён. Вместо того, чтобы угадывать искажённые буквы, пользователя прямо спрашивают, робот он или нет.

Нажимаешь кнопку «Я не робот» — и тест пройден.



С помощью программных интерфейсов новый тест от Google можно внедрить на сторонних сайтах.

Такое облегчение задачи сделано после того, как тесты показали, что боты успешно решают около 100% традиционных задач. Даже после модификации reCAPTCHA в этом году ситуация не слишком изменилась.

Новая версия reCAPTCHA переводит проверку на новый уровень. Система анализирует косвенные параметры, указывающие на возможное присутствие бота. Если таковые показатели отсутствуют, то человеку просто дают нажать на чекбокс «Я не робот». В противном случае будет демонстрироваться традиционная reCAPTCHA



Новую систему под названием noCAPTCHA уже внедрили на сайтах Snapchat, WordPress, Humble Bundle и др.

https://www.youtube.com/watch?feature=player_embedded&v=jwslDn3ImM0

источник: Хакер
P.S.: вчера видел новость о модификации буквенной капчи, сегодня уже такая, куда они торопятся то ?
m99 вне форума   Ответить с цитированием
Старый 22.01.2015, 13:05   #5
m99
 
Аватар для m99
 
Регистрация: 25.09.2014
Сообщений: 27
Репутация: -2
По умолчанию

Lets Encrypt планирует раздавать бесплатные SSL-сертификаты
dl // 19.11.14 01:08
Цитата:
Новый CA Lets Encrypt объявил о планах по раздаче бесплатных SSL-сертификатов начиная с лета 2015 года. Помимо собственно бесплатности обещается упрощение и автоматизация процесса. Инфраструктура проекта разрабатывается Internet Security Research Group, в рамках которой объединены усилия таких грандов как Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, IdenTrust, а также исследователей Мичиганского университета.
>источник<
m99 вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot