arekusux security blog

Уязвимость в системе FrequentLine

noreply@blogger.com (Alexey Babenko) — Tue, 17 Jan 2012 06:32:00 +0000

FrequentLine — система повышения лояльности клиентов авиакомпаний.

Аутентификация пользователей производится на основании пары: номер карты + пин-код.

Номера карты размером в 13 цифр генерируются по алгоритму Луна, с большой долей вероятности последовательно.

Уязвимость заключается в реализации системы восстановления пароля. Если к номеру привязан адрес электронной почты (что истинно скорее для 90% номеров), то восстановление осуществляется при введении номера карты, путем отправки нового пароля. Пароль одинаковый для всех пользователей.

Страница пользователя содержит — персональные данные (в том числе паспортные), информацию о перелетах.

Все естественно лишь догадки автора, публикуется для информации.

Безналичная безопасность

noreply@blogger.com (Alexey Babenko) — Tue, 29 Nov 2011 05:31:00 +0000

Платежные карты уже прочно вошли в нашу повседневную жизнь и стали удобной альтернативой классическим наличным платежам. Преимущества безналичных средств очевидны — удобство расчетов, простота конвертации в валюту и безопасность владения. Но с исчезновение необходимости в хранении больших сумм наличных, тем самым существенно снижая риски кражи наличных средств, использование платежных карт несет в себе новые виды угроз — компрометацию данных карт, также ведущую к прямым финансовым потерям.

Читайте далее на bankir.ru

CTF news

noreply@blogger.com (Alexey Babenko) — Fri, 25 Nov 2011 09:20:00 +0000

Прошел RuCTFe ставший одним из самых масштабных из классических CTF (99 команд участников, 68 команд набравших очки). SiBears уступив 2-м немецким командам заняла 3-е место.

* * *

Начало декабря обещает быть интересным:
2 декабря: iCTF - одни из первых CTF соревнования организуемые товарищем Giovanni Vigna.
4 декабря: SchoolCTF 2011 - школьные соревнования по защите компьютерной безопасности на базе BlackBox от SiBears. Все кто старше приглашаются участвовать вне зачета.
10-11 декабря: PHD CTF Quals - отборочный этап PHD CTF. Позитивное мероприятие.

* * *

Кстати о BlackBox:
1. Проект стал 2-х язычным, задачи теперь можно добавлять на русском и английском языках, BB сам определит кому что показать.
2. Каждый участник теперь может создавать свои собственные соревнования на базе BB.
3. Проект осоциалился, теперь новость, задачу, соревнования можно порекомендовать в популярных социальных сетях.

Конкурс на взлом CmStick

noreply@blogger.com (Alexey Babenko) — Thu, 10 Nov 2011 08:21:00 +0000

Компания WIBU-SYSTEMS организует конкурс на нахождение способа использования программного обеспечения, защищённого аппаратным ключом CmStick собственного производства.
По моему хорошая CTF задачка за неплохой куш.

Конференция «Разработка ПО: Банки»

noreply@blogger.com (Alexey Babenko) — Tue, 01 Nov 2011 07:06:00 +0000

Вчера выступал на конференции CEE-SECR 2011 «Разработка ПО: Банки»

Презентация с выступления:

Безопасность и сертификация банковского ПО

View more presentations from Alex Babenko

Из реплик из зала понравился комментарий к выступлению Алексея Синцова: "т.е. вы предъявляете требования к разработчикам на уровне выступающего на Defcon или уровне участника RuCTF!". Хакердом, это уже популярность :)

on-line конференция «дистанционное банковское обслуживание»

noreply@blogger.com (Alexey Babenko) — Wed, 26 Oct 2011 07:10:00 +0000

Сегодня участвую в on-line конференции «Дистанционное банковское обслуживание» на bankir.ru.

Жду каверзных вопросов на тему ИБ.

PA-QSA

noreply@blogger.com (Alexey Babenko) — Tue, 25 Oct 2011 08:27:00 +0000

Новые услуги – новые угрозы

noreply@blogger.com (Alexey Babenko) — Thu, 22 Sep 2011 05:09:00 +0000

Еще буквально пару десятков лет назад выход в интернет или звонок по мобильному телефону были целым событием, действия, которые сейчас вошли в нашу обыденную жизнь, казалось, только сошли со страниц фантастических романов. Развитие информационных технологий стремительно меняет привычки людей и в следствие влияет на развитие новых услуг под возникшие спросы.

Банковская сфера — хороший пример произошедших изменений. Пластиковые карты, мобильный и интернет банкинг, системы дистанционного обслуживания практически стандарт де-факто более-менее крупных банков. Развитие новых технологий омрачается лишь тем, что параллельно всегда идет развитие новых видов мошенничества, угроз и рисков использования данных систем. Защитные меры же, как правило, применяются по факту обнаружения нарушений, а не с превентивными мерами.

читать дальше на Bankir.ru

пятничное

noreply@blogger.com (Alexey Babenko) — Fri, 09 Sep 2011 13:59:00 +0000

IV четвертые в мире.

noreply@blogger.com (Alexey Babenko) — Fri, 12 Aug 2011 06:16:00 +0000

Российская команда IV, объединение из 4-х CTF команд (Hacerdom, Smoked Chicken, Leet More, SiBears), заняла 4 место на Defcon CTF, крупнейшей и старейшей конференции по компьютерной безопасности.

Несмотря на то, что часть команды не смогла приехать на финал из-за проблем с визами (я оказался в числе неудачников), ребята показали отличные для дебютанта результаты.

Отдельное спасибо хотелось выразить компаниям "СКБ Контур" и "Информзащита" за содействие в поездке свои сотрудников из состава команды.

Upd: отдельно хочется процитировать твиттер Марата:

"Японская команда первый раз в финале DEFCON CTF: сразу и NHK, и TBS приехали сюжет снимать. Интервью, гордость, все дела..."
"Российская команда занимает 4 место на всемирных соревнованиях - ни одного упоминания. Не говоря уж о репортаже"
"Наша команда опередила таких бизонов как Carnegie Mellon, UCSB, POSTECH-Pohang, японских, испанских и американских профи в инфобезе"

Upd2: Ребята написали хорошую статью на Хабре

Upd3: Организаторы (ddtec) жгут (за инфу спасибо snowytoxa):
> It was great having you guys there, and congrats on the strong showing in
> your first year. Maybe next time there will be more time to hang out (and
> you need to make sure you don't drink all the imported vodka before the
> weekend!).

ПорнографиЯндекса

noreply@blogger.com (Alexey Babenko) — Tue, 02 Aug 2011 08:42:00 +0000

По сообщению lenta.ru поисковая система "Яндекс" внедрила систему piFilter для фильтрации порнографических изображений.

Я сразу повторил запрос 4-х летней давности, когда мне нужно было в рекламных целях изображение школьников и школьниц. Мнения относительно порнографии у меня с piFilter разнятся.

Еще раз про robots.txt

noreply@blogger.com (Alexey Babenko) — Tue, 26 Jul 2011 14:41:00 +0000

В свете всем известных событий с индексированием Яндексом sms Мегафона в сети стали появляться статьи о важности, нужности и полезности robots.txt.

Самое интересное, что при этом никто не говорит об обратной стороне медали. Закрыв доступ поисковым системам, файл порой открывает все пути для злоумышленников.

Куда приятнее использование метода запрета индексации с помощью мета-тегов:
meta name="robots" content="noindex,nofollow"
обеспечивающего запрет как на индексирование самой страницы, так и следование по ссылкам, расположенным на ней.

Платежные приложения должны стать безопасными

noreply@blogger.com (Alexey Babenko) — Thu, 14 Jul 2011 14:06:00 +0000

Стандарты индустрии платежных карт в наше время уже не являются чем-то пугающим и непонятным, хотя буквально несколько лет назад стандарт PCI DSS (Payment Card Industry Data Security Standard, Стандарт безопасности данных индустрии платежных карт) был для многих организаций, обрабатывающих данные платежных карт, чем-то совершенно новым и по ощущениям совершенно невыполнимым.

«Краеугольным камнем» невыполнимости требований стандарта PCI DSS всегда были прикладные приложения, обеспечивающие процесс обработки данных карт, которые не только не способствовали, но и во многих случаях прямо противоречили и препятствовали внедрению стандарта, отказываясь работать в PCI DSS совместимой среде. К примеру, программное обеспечение переставало нормально функционировать при установке обновлений базы данных или операционной системы, конфликтовало с антивирусным обеспечением, не работало при использовании межсетевого экрана. Основной же проблемой программного обеспечения являлось сохранение критичных данных авторизации, в том числе содержимого треков магнитной полосы, значений ПИН-кодов и кодов проверки подлинности, а так же хранение номеров карт в открытом виде.

Читайте далее на bankir.ru

Открытое письмо Президенту по поводу внесений изменений в ФЗ-152

noreply@blogger.com (Alexey Babenko) — Wed, 06 Jul 2011 09:37:00 +0000

Открытое письмо Президенту Российской Федерации Д.А. Медведеву

Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.

Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.

Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

06.07.2011

Подробности в блоге Алексея Лукацкого

Отправить письмо президенту можно здесь.

«Сибъ Цтфъ»

noreply@blogger.com (Alexey Babenko) — Mon, 27 Jun 2011 14:30:00 +0000

Команда Томского государственного университета SiBears объявляет о проведении соревнований по защите компьютерной информации «Сибъ Цтфъ». К участию приглашаются команды, представляющие любые (научные, учебные, профессиональные, дружеские и др.) коллективы и состоящие не более, чем из 7-и человек. Допускается участие как команд из России, так и зарубежных команд.

Соревнования «Сибъ Цтфъ» проводятся в два тура — отборочный и финальный. Отборочный тур проводится заочно, по сети Интернет, финальный — очно для команд из России и заочно для зарубежных команд.

Отборочный тур состоится 2-го и 3-го июля 2011 года. Время начала: 22:00 по томскому времени (GMT+7), продолжительность: 48 часов. Регистрация доступна на сайте: http://blackbox.sibears.ru/

Обзор услуг ИБ для банков в 2010 году

noreply@blogger.com (Alexey Babenko) — Thu, 16 Jun 2011 06:39:00 +0000

В 2010 году рынок услуг информационной безопасности не только вернулся на прежние показатели, но и значительно превысил их. Требования регуляторов, стремительное развитие мобильных технологий, введение новых сервисов напрямую повлияло на потребность банков в качественных и специализированных услугах. В 2011 году, несомненно, стоит ожидать продолжение роста рынка услуг, пусть и менее стремительного, а также спроса на новые виды услуг, связанных с безопасностью виртуальной среды, облачных вычислений и мобильных платформ.

Читать дальше на cnews

Четыре!

noreply@blogger.com (Alexey Babenko) — Mon, 06 Jun 2011 12:33:00 +0000

По иронии судьбы, команда "IV" заняла 4-е место на отборочных Defcon 2011, завоевав путевку в финал и стала первой российской командой пробившейся на самые старые и почетные Defcon CTF.

Подробнее в виде графиков и в виде картинки

HackerDom, Leet More, SiBears, Smoked Chicken!

В Августе едем в Вегас; по вопросам спонсорства пишите на babenkoalex{@}gmail.com

Upd: информация на сайте организаторов

Отборочные Defcon CTF

noreply@blogger.com (Alexey Babenko) — Tue, 31 May 2011 13:07:00 +0000

В предстоящие выходные состоятся отборочные соревнования на Defcon CTF, которые по традиции будут проходить в виде решения задач по категориям. Продолжительность соревнований 53 часа.

Регистрация на соревнования доступна на сайте организаторов ddtek

Defcon CTF по праву считаются самыми престижными CTF соревнованиями и собирают максимальное количество участников. На данный момент ни одной из российских команд не удавалось пробиться в 10-ку команд финалистов.

PHD CTF

noreply@blogger.com (Alexey Babenko) — Thu, 19 May 2011 20:21:00 +0000

Сегодня играл в составе SmokedChicken на PHD CTF. Впечатлен, такого уровня мероприятия по ИБ я у нас еще не видел, все отлаженно, красиво и интересно с первой минуты до самого конца игры.
Спасибо всей позитивной команде организаторов за чудесное мероприятие.

black-black-box!

noreply@blogger.com (Alexey Babenko) — Tue, 03 May 2011 08:08:00 +0000

В бета версию вышел проект Blackbox - место для он-лайн тренировок команд CTF в решении тасков.

Идея проекта нацелена на активное участие всех как в решении, так и в создании задач.

Пока сайт находится в стадии тестирования, но уже вполне работоспособен.

Оперативные новости о проекте тут.

Единый подход к достижению соответствия

noreply@blogger.com (Alexey Babenko) — Mon, 25 Apr 2011 10:30:00 +0000

В современных реалиях на плечи службы информационной безопасности возлагается не только роль в обеспечении и поддержании необходимого уровня безопасности, но и выполнение требований регуляторов, как со стороны государства, так и со стороны коммерческих структур.

В общем случае на предприятия банковской сферы распространяется стандарт PCI DSS, возлагаемый международными платежными системами, и комплекс стандартов Банка России ИББС (либо требования к защите персональных данных, согласно «классическому» подходу, через выполнение нормативных документов РКН, ФСТЭК и ФСБ). Также в ряде компаний, по большей мере с иностранным участием, уже начинается внедрение стандартов ISO 27000.

Такое разнообразие требований для выполнения в организации, которая уже работает по сложившимся правилам и имеет внутренние регламенты обеспечения безопасности, вызывает вполне понятное беспокойство, а при условии, что зачастую нужно сделать «все и сразу» представляется неподъёмным грузом работ. Исходя из опыта нашей компании в области проведения работ по консалтингу и аудиту на соответствие различным стандартам, в том числе и локальным, для десятка организаций от ТОП5 банковской сферы до небольших компаний, можно выявить общий подход к достижению соответствия практически любым требованиям. При этом, как показывает практика, осуществление одновременного приведения в соответствие с требованиями различных регуляторов, происходит гораздо с меньшими временными, финансовыми и ресурсными затратами.

Читать дальше на bankir.ru.

СтраSSHная сила

noreply@blogger.com (Alexey Babenko) — Mon, 25 Apr 2011 10:20:00 +0000

Результаты PCTF

Расписание планов

noreply@blogger.com (Alexey Babenko) — Fri, 08 Apr 2011 13:33:00 +0000

15-17 апреля едем с Антоном на финал RuCTF, наблюдать :)
26 апреля выступаю на мероприятии CNews
Буду рад видеть знакомых на обоих мероприятиях.

"Информационная безопасность 2011: противодействие внешним и внутренним угрозам"

noreply@blogger.com (Alexey Babenko) — Fri, 18 Mar 2011 08:11:00 +0000

Прочитал 3 презентации на очередном мероприятии компании в г. Алматы.

Первые 2-е касаются стандарта PCI DSS:

PCI DSS: введение, состав и достижение

PCI DSS: поддержание соответствия

Но наибольший интерес вызвала последняя презентация:

Анализ защищенности систем ДБО и интернет-банкинга

upd.: конференция глазами Кода Безопасности

Семинар "Безопасность облачных вычислений"

noreply@blogger.com (Alexey Babenko) — Wed, 09 Mar 2011 20:23:00 +0000

Рассказывали о безопасности облачных вычислений, подробности на risspa.ru