Новые уязвимости в продуктах Cisco.

0dd05e048413a7cdf14fbe3cfda27073

По новому отчету об уязвимостях компания Cisco заявляет о том что все релизы Cisco ASA подвержены эксплуатированию. С полным отчетом можно ознакомиться здесь:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp

Философствуем на тему ИТ Безопасности

information-security

Безопасность есть безопасность. Классическая или физическая, она же в некоторых случаях human safety и информационная (как частный случай информационной безопасности – ИТ безопасность. Ниже именно об ИТ). Во всех случаях есть какие-то уровни, стандарты, требования и нормы. Касательно физической безопасности, время взяло свое, и вроде сложилось какое-то понимание того, что есть приемлемый уровень и где начинается паранойя. Все дело в том, что физическая безопасность это практически та же безопасность, что была пятьдесят лет назад. За пятьдесят лет не изменились угрозы естественные (наводнения, землетрясения)  или техногенные (пожары, взрывы, яды) и даже не очень изменились угрозы от людей (оружие все так же стреляет, ножи режут, бомбы взрываются).
Continue reading “Философствуем на тему ИТ Безопасности”

ТРЕТЬ КРУПНЫХ БАНКОВ В США ПОДВЕРГАЮТ ПОЛЬЗОВАТЕЛЕЙ РИСКУ КИБЕРАТАК

image

Банки не реализовывают надежную защиту страниц авторизации и непреднамеренно загружают файлы JavaScript со сторонних сайтов.

Венгерский исследователь Габор Сатмари (Gabor Szathmari) проанализировал пользовательские страницы авторизации 21 крупного американского банка. Как оказалось, треть (9) из них загружают код JavaScript со сторонних ресурсов, подвергая пользователей ненужному риску.

Continue reading “ТРЕТЬ КРУПНЫХ БАНКОВ В США ПОДВЕРГАЮТ ПОЛЬЗОВАТЕЛЕЙ РИСКУ КИБЕРАТАК”

КАК ХАКЕРЫ ПРОНИКАЮТ В БАНКОВСКИЕ СИСТЕМЫ!!!!

Согласно обнародованной недавно на конференции «Инфофорум» статистике Банка России, злоумышленники всех мастей переориентировались с атак на банковских клиентов в сторону самих банков. И вот тут у многих банкиров возникает определенный диссонанс, так как они считают свои банковские информационные системы неприступными.

По сути, они транслируют уровень защищенности своих банковских сейфов и денежных хранилищ (а давно ли последний раз вы слышали про ограбление именно банка?) на свою виртуальную инфраструктуру хранения капиталов. Но так ли это? Давайте посмотрим, как злоумышленники могут проникнуть внутрь информационной системы банка. Continue reading “КАК ХАКЕРЫ ПРОНИКАЮТ В БАНКОВСКИЕ СИСТЕМЫ!!!!”

Перебор Wpa Wpa-2

Тема давно уже изжеванная, но иногда в процессе пентеста сети, приходиться сталкиваться с различными видами манипуляций, сегодня хочу привести  пример основанный исключительно на командах, в интернете полно вариантов, но к сожалению некоторые из них не всегда рабочие.
How-to-Hack-Wifi-on-Android1
Continue reading “Перебор Wpa Wpa-2”

Анализ безопасности SSL-соединений онлайн-банкинга ТОП-14 Азербайджанских банков

Пять проверенных сайтов банков позволяют осуществить MitM атаку на своих клиентов.

В этой заметке я хотел бы рассказать о небольшом исследовании, которое решил посвятить онлайн-банкингу в Азербайджане. А точнее его безопасности. Ни для кого не секрет, что хакеры часто используют публичные точки доступа для перехвата трафика и сбора конфиденциальных данных. Атака «человек посередине» очень опасна, поскольку позволяет в некоторых случаях похитить данные, передаваемые по зашифрованному соединению. Успех подобной атаки зависит от различных факторов, главным их которых является небезопасная настройка web сервера. Злоумышленник может использовать слабую конфигурацию SSL/TLS протокола для перехвата и расшифровки данных, передаваемых по защищенному соединению. Существует множество атак, от которых можно защититься только с помощью правильно настроенного web сервера. Continue reading “Анализ безопасности SSL-соединений онлайн-банкинга ТОП-14 Азербайджанских банков”

Hot Potato – злободневный вопрос повышения привилегий

winprivesc

Совсем недавно компанией «FoxGlove Security» (foxglovesecurity.com) был представлен интересный метод для поднятия своих привилегий.
Этот метод использует давно известные особенности (баги) Windows платформы, которые в том или ином виде присутствуют в дефолтных конфигурациях различных версий ОС.
Continue reading “Hot Potato – злободневный вопрос повышения привилегий”

9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure

image

Краткий экскурс в историю вопроса

Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.

Основная задача 3DS – защитить плательщиков и предприятия от мошенников. Поддержка протокола 3DS практически ликвидирует опасность совершения мошеннических операций с помощью банковской карты, так как является ещё одним способом подтверждения личности плательщика.
Continue reading “9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure”