FrequentLine — система повышения лояльности клиентов авиакомпаний.
Аутентификация пользователей производится на основании пары: номер карты + пин-код.
Номера карты размером в 13 цифр генерируются по алгоритму Луна, с большой долей вероятности последовательно.
Уязвимость заключается в реализации системы восстановления пароля. Если к номеру привязан адрес электронной почты (что истинно скорее для 90% номеров), то восстановление осуществляется при введении номера карты, путем отправки нового пароля. Пароль одинаковый для всех пользователей.
Страница пользователя содержит — персональные данные (в том числе паспортные), информацию о перелетах.
Все естественно лишь догадки автора, публикуется для информации.
17 января 2012 г.
29 ноября 2011 г.
Безналичная безопасность
Платежные карты уже прочно вошли в нашу повседневную жизнь и стали удобной альтернативой классическим наличным платежам. Преимущества безналичных средств очевидны — удобство расчетов, простота конвертации в валюту и безопасность владения. Но с исчезновение необходимости в хранении больших сумм наличных, тем самым существенно снижая риски кражи наличных средств, использование платежных карт несет в себе новые виды угроз — компрометацию данных карт, также ведущую к прямым финансовым потерям.
Читайте далее на bankir.ru
Читайте далее на bankir.ru
25 ноября 2011 г.
CTF news
Прошел RuCTFe ставший одним из самых масштабных из классических CTF (99 команд участников, 68 команд набравших очки). SiBears уступив 2-м немецким командам заняла 3-е место.
* * *
Начало декабря обещает быть интересным:
2 декабря: iCTF - одни из первых CTF соревнования организуемые товарищем Giovanni Vigna.
4 декабря: SchoolCTF 2011 - школьные соревнования по защите компьютерной безопасности на базе BlackBox от SiBears. Все кто старше приглашаются участвовать вне зачета.
10-11 декабря: PHD CTF Quals - отборочный этап PHD CTF. Позитивное мероприятие.
* * *
Кстати о BlackBox:
1. Проект стал 2-х язычным, задачи теперь можно добавлять на русском и английском языках, BB сам определит кому что показать.
2. Каждый участник теперь может создавать свои собственные соревнования на базе BB.
3. Проект осоциалился, теперь новость, задачу, соревнования можно порекомендовать в популярных социальных сетях.
* * *
Начало декабря обещает быть интересным:
2 декабря: iCTF - одни из первых CTF соревнования организуемые товарищем Giovanni Vigna.
4 декабря: SchoolCTF 2011 - школьные соревнования по защите компьютерной безопасности на базе BlackBox от SiBears. Все кто старше приглашаются участвовать вне зачета.
10-11 декабря: PHD CTF Quals - отборочный этап PHD CTF. Позитивное мероприятие.
* * *
Кстати о BlackBox:
1. Проект стал 2-х язычным, задачи теперь можно добавлять на русском и английском языках, BB сам определит кому что показать.
2. Каждый участник теперь может создавать свои собственные соревнования на базе BB.
3. Проект осоциалился, теперь новость, задачу, соревнования можно порекомендовать в популярных социальных сетях.
10 ноября 2011 г.
Конкурс на взлом CmStick
Компания WIBU-SYSTEMS организует конкурс на нахождение способа использования программного обеспечения, защищённого аппаратным ключом CmStick собственного производства.
По моему хорошая CTF задачка за неплохой куш.
По моему хорошая CTF задачка за неплохой куш.
1 ноября 2011 г.
Конференция «Разработка ПО: Банки»
Вчера выступал на конференции CEE-SECR 2011 «Разработка ПО: Банки»
Презентация с выступления:
Из реплик из зала понравился комментарий к выступлению Алексея Синцова: "т.е. вы предъявляете требования к разработчикам на уровне выступающего на Defcon или уровне участника RuCTF!". Хакердом, это уже популярность :)
Презентация с выступления:
Безопасность и сертификация банковского ПО
View more presentations from Alex Babenko
Из реплик из зала понравился комментарий к выступлению Алексея Синцова: "т.е. вы предъявляете требования к разработчикам на уровне выступающего на Defcon или уровне участника RuCTF!". Хакердом, это уже популярность :)
26 октября 2011 г.
on-line конференция «дистанционное банковское обслуживание»
Сегодня участвую в on-line конференции «Дистанционное банковское обслуживание» на bankir.ru.
Жду каверзных вопросов на тему ИБ.
Жду каверзных вопросов на тему ИБ.
25 октября 2011 г.
22 сентября 2011 г.
Новые услуги – новые угрозы
Еще буквально пару десятков лет назад выход в интернет или звонок по мобильному телефону были целым событием, действия, которые сейчас вошли в нашу обыденную жизнь, казалось, только сошли со страниц фантастических романов. Развитие информационных технологий стремительно меняет привычки людей и в следствие влияет на развитие новых услуг под возникшие спросы.
Банковская сфера — хороший пример произошедших изменений. Пластиковые карты, мобильный и интернет банкинг, системы дистанционного обслуживания практически стандарт де-факто более-менее крупных банков. Развитие новых технологий омрачается лишь тем, что параллельно всегда идет развитие новых видов мошенничества, угроз и рисков использования данных систем. Защитные меры же, как правило, применяются по факту обнаружения нарушений, а не с превентивными мерами.
читать дальше на Bankir.ru
Банковская сфера — хороший пример произошедших изменений. Пластиковые карты, мобильный и интернет банкинг, системы дистанционного обслуживания практически стандарт де-факто более-менее крупных банков. Развитие новых технологий омрачается лишь тем, что параллельно всегда идет развитие новых видов мошенничества, угроз и рисков использования данных систем. Защитные меры же, как правило, применяются по факту обнаружения нарушений, а не с превентивными мерами.
читать дальше на Bankir.ru
9 сентября 2011 г.
12 августа 2011 г.
IV четвертые в мире.
Российская команда IV, объединение из 4-х CTF команд (Hacerdom, Smoked Chicken, Leet More, SiBears), заняла 4 место на Defcon CTF, крупнейшей и старейшей конференции по компьютерной безопасности.
Несмотря на то, что часть команды не смогла приехать на финал из-за проблем с визами (я оказался в числе неудачников), ребята показали отличные для дебютанта результаты.
Отдельное спасибо хотелось выразить компаниям "СКБ Контур" и "Информзащита" за содействие в поездке свои сотрудников из состава команды.
Upd: отдельно хочется процитировать твиттер Марата:
"Японская команда первый раз в финале DEFCON CTF: сразу и NHK, и TBS приехали сюжет снимать. Интервью, гордость, все дела..."
"Российская команда занимает 4 место на всемирных соревнованиях - ни одного упоминания. Не говоря уж о репортаже"
"Наша команда опередила таких бизонов как Carnegie Mellon, UCSB, POSTECH-Pohang, японских, испанских и американских профи в инфобезе"
Upd2: Ребята написали хорошую статью на Хабре
Upd3: Организаторы (ddtec) жгут (за инфу спасибо snowytoxa):
> It was great having you guys there, and congrats on the strong showing in
> your first year. Maybe next time there will be more time to hang out (and
> you need to make sure you don't drink all the imported vodka before the
> weekend!).
2 августа 2011 г.
ПорнографиЯндекса
По сообщению lenta.ru поисковая система "Яндекс" внедрила систему piFilter для фильтрации порнографических изображений.
Я сразу повторил запрос 4-х летней давности, когда мне нужно было в рекламных целях изображение школьников и школьниц. Мнения относительно порнографии у меня с piFilter разнятся.
Я сразу повторил запрос 4-х летней давности, когда мне нужно было в рекламных целях изображение школьников и школьниц. Мнения относительно порнографии у меня с piFilter разнятся.
26 июля 2011 г.
Еще раз про robots.txt
В свете всем известных событий с индексированием Яндексом sms Мегафона в сети стали появляться статьи о важности, нужности и полезности robots.txt.
Самое интересное, что при этом никто не говорит об обратной стороне медали. Закрыв доступ поисковым системам, файл порой открывает все пути для злоумышленников.
Куда приятнее использование метода запрета индексации с помощью мета-тегов:
meta name="robots" content="noindex,nofollow"
обеспечивающего запрет как на индексирование самой страницы, так и следование по ссылкам, расположенным на ней.
Самое интересное, что при этом никто не говорит об обратной стороне медали. Закрыв доступ поисковым системам, файл порой открывает все пути для злоумышленников.
Куда приятнее использование метода запрета индексации с помощью мета-тегов:
meta name="robots" content="noindex,nofollow"
обеспечивающего запрет как на индексирование самой страницы, так и следование по ссылкам, расположенным на ней.
Подписаться на:
Сообщения (Atom)