100% Virus Free Podcast #16

Продолжая позитивные встречи в здании Российского представительства компании ESET, ваш покорный слуга встретился с Александром Матросовым, а также с человеком, который все это время оставался за кадром. Кто он? Слушаем подкаст :)

Обсуждаемые темы:

- RISSPA, что это такое и чем интересно?
- семинар Безопасность веб-приложений в Яндексе
- Linux глазами обычного пользователя
- насколько актуальны вирусы для Linux
- способы заражения Linux-систем
- целевые атаки с использованием вредоносных программ
- HackQuest на Chaos Constructions'2010



Скачать mp3 файл

Facebook Full Disclosure

Как сказал один очень уважаемый мною человек на тему повторных sql injection в известных проектах: "Проблема глобальнее - ошибка не в скриптах, а в ДНК некоторых людей!" :) Что тут можно еще добавить...

Ох, уж эти пентесты

Никогда не перестану удивляться человеческой глупости! :) Себя я в полной мере отношу к человекам, потому и сам не редко допускаю разного рода оплошности. Довольно часто можно услышать, что однофакторная аутентификация с использованием паролей без каких-либо механизмов противодействия удаленному атакующему в контексте большого числа идентификаторов – это всегда реализация успеха для (не)плохого парня. Более того на руках вполне живые метрики: "удаленный атакующий способен скомпрометировать 10-15% учетных записей системы", "40% паролей могут быть взломаны из-за простоты".

100% Virus Free Podcast #15


Продолжая традицию записи позитивных подкастов, Сергей Гордейчик посетил Российское представительство компании ESET и пообщался с Александром Матросовым.

Обсуждаемые темы:

- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF



Скачать mp3 файл

The Pirate Bay hacked

Появилась информация, что исследователю Ch Russo удалось продемонстрировать эксплуатацию множества критических уязвимостей на популярном варезном трекере "The Pirate Bay". Как это ни странно, но ресурс, находящийся под постоянным "прицелом" со стороны Американской ассоциации звукозаписывающих компаний RIAA оказался дырявым, как дуршлаг, и, фактически светил всей своей "откровенной" базой [1] пользователей в Интернет. Уязвимости, которые были обнаружены исследователем, банальны – "Внедрение операторов SQL".


Ниже представлен мультик компрометации данных в базе "The Pirate Bay".

Семинар RISSPA на площадке Яндекс

Сегодня проходил семинар RISSPA под лозунгом "Безопасность веб-приложений". В формате мероприятия выступили Тарас Иващенко (Яндекс), Вороченко Владимир (Защищенные контент-системы), Денис Безкоровайный (Trend Micro), а также Ваш покорный слуга с темой "WAF наше все?!". Презентация на тему того, как "правильное" использование Web Application Firewall позволяет "реально" повысить степень защищенности веб-приложений, представлена ниже.