Это история о том, как я соединил 5 Low-severity багов в один большой баг, с помощью которого можно было читать/писать в приватные репы на Гитхабе (опять).

Несколько дней назад гитхаб запустил баунти программу. За 4 часа я смастерил такой URL после посещения которого я получал доступ к вашему гитхаб аккаунту и репозиториям. Хотите узнать как?

Хорошо, хорошо. Я не совсем «взломал Facebook». Я добился выполнение команды уровня операционной системы на одном из серверов Facebook.

Рассказ, как я это сделал.

Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

Руководство по виртуализации PCI DSS. Часть 1
Руководство по виртуализации PCI DSS. Часть 3

3 Риски виртуализированных сред

Хотя виртуализация и дает определенное количество функциональных и оперативных преимуществ, переход к виртуальной среде не снижает риски, существующие в физических системах, а также может привнести и новые уникальные риски. Следовательно, существует ряд факторов, которые следует учитывать при создании виртуальных технологий, включая, но не ограничиваясь, теми, которые определены ниже.

Parse — прекраснейший BaaS, позволяющий в кратчайшее время поднять полноценную серверную инфраструктуру для мобильного приложения. Возможно, именно из-за этой простоты многие разработчики и забывают о появляющихся проблемах безопасности и открывающихся уязвимостях.

В этом обзоре мы поговорим про бесплатные курсы виртуальной академии Microsoft MVA, которые будут полезны как профессиональным разработчикам программного обеспечения и ИТ-про, так и новичкам. Некоторые курсы предлагают бесплатную подготовку к официальным сертификационным экзаменам. Обратите внимание, что видео-плеер на сайте для ряда курсов, которые созданы на английском языке, содержит возможность включить русские субтитры.

Хит! Лицензирование Windows Server 2012 R2


Хит! Поддержка геймпадов при разработке компьютерных игр


Хит! PHP-разработка в облаке Azure


Хит! Скотт Хансельман: Что нового в ASP.NET 5?

Зачем нужно

Различная фильтрация есть везде. Например, файрволл netfilter (iptables) имеет свой синтаксис для описания пакетов. В файле .htaccess апача свой язык, как определять, кому давать доступ к каталогу, кому нет. В СУБД свой очень мощный язык (SQL WHERE ...) для фильтрации записей. В почтовых программах (thunderbird, gmail) — свой интерфейс описания фильтров, в соответствии с которыми письма будут раскидываться по папкам.

И везде — свой велосипед.

Для бухгалтерской программы вам может быть удобно позволить пользователю выбрать, кому будет повышена зарплата (все женщины, а так же мужчины возрастом от 25 до 32 лет, либо же до 50 лет если у мужчины имя Вася). И каждому подходящему повысить по пользовательскому выражению ( + 2000 рублей + 20% от прежней зарплаты + по 1000 рублей за каждый год стажа)

Для интернет-магазина (или его админки) — найти все ноутбуки, с памятью от 4 до 8 Gb, которых на складе более 3 штук, но не Acer, или даже Acer, если стоят меньше 30 000 рублей.

Конечно, можно присобачить свою сложную систему фильтров и критериев, сделать для них веб-интерфейс, но проще было бы все сделать в пару строк?

src="(RAM>=4 and RAM<=8 and stock>3 and not brand=='Acer') or (brand=='Acer' and price<30000)"
success, result = evalidate.safeeval(src,notebook)

Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

Руководство по виртуализации PCI DSS. Часть 1
Руководство по виртуализации PCI DSS. Часть 2

4 Рекомендации

Меры, оговоренные в этом разделе, являются рекомендациями и полезным опытом, который поможет соответствовать требованиям PCI DSS в виртуальных средах.

4.1 Общие рекомендации

4.1.1 Оцените риски, связанные с виртуальными технологиями

Организации должны тщательно и всесторонне оценить риски, связанные с виртуализацией системных компонентов до выбора или осуществления определенного решения по виртуализации. Поток и хранение данных владельцев карт следует аккуратно документировать как часть данного процесса оценки риска, чтобы убедиться, что выявлены все области риска и что применены соответствующие меры. Виртуализацию следует разворачивать при полном рассмотрении всех ее плюсов и рисков, имея наготове всеобъемлющую систему контроля данных, приложений и всей среды в целом.

Виртуальные среды и компоненты системы должны по-прежнему быть включены в ежегодный процесс оценки рисков. Оценка риска и управленческие решения должны быть полностью документированы и поддерживаться подробной бизнес- и технической экспертизой.

Команда разработчиков YouTube объявила о том, что теперь HTML5 будет стандартом по умолчанию для проигрывания роликов, вместо Flash. HTML5 будет использоваться для проигрывания содержимого сервиса на веб-браузерах Google Chrome, MS IE11, Apple Safari 8 и бета-версий Mozilla Firefox. Еще несколько лет назад YouTube запустил экспериментальную версию проигрывателя на HTML5 для устройств или OS, которые не поддерживают Flash Player или просто не хотят его использовать (например, iOS).

Компания Apple выпустила новое обновление для iOS — iOS 8.1.3 (APPLE-SA-2015-01-27-2). В этой версии мобильной ОС исправлен ряд багов, а также security-уязвимостей, в том числе и тех, которые потенциально могут использоваться злоумышленниками для установки вредоносных программ. Мобильная ОС iOS 8 используется на таких устройствах Apple как iPhone 4s+, iPod touch 5 и iPad 2+. Apple также исправила известную уязвимость под названием Masque (CVE-2014-4493), о которой мы подробно писали здесь и которая позволяла перезаписывать одно приложение iOS на другое.

Компания Apple выпустила OS X 10.10.2, закрыв 54 уязвимости в рамках обновления APPLE-SA-2015-01-27-4. Большинство закрытых уязвимостей позволяют атакующим исполнять произвольный код в OS X, в т. ч. с системными привилегиями. Apple также исправила опасную уязвимость под названием Thunderstrike, которая позволяла компрометировать безопасность OS X на самых ранних этапах загрузки (OS X bootkit). Обновление APPLE-SA-2015-01-27-4 исправляет множественные уязвимости в ОС, которые были публично раскрыты группой специалистов из Google Project Zero.

Для предоставления доступа различным категориям пользователей к их виртуальным машинам, как правило, используется представление VM and Templates и система папок, на которые, собственно, и назначаются права. Однако, в некоторых случаях этого бывает недостаточно, поскольку для некоторых действий пользователь должен иметь права и на объекты среды, отсутствующие в отображении VM and Templates. Например, для добавления виртуального жёсткого диска или клонирования ВМ нужны права Datastore.Allocate Space или роль Datastore Consumer на объект Datastore или Datastore Cluster. А для возможности изменения сетевого интерфейса — права Network.Assign Network или роль Network Administrator на соответствующие портгруппы. Далее детальнее об этом и других нюансах назначения прав доступа в vSphere. Информация актуальна для версий vSphere 5.1 и 5.5.

Вассенаарские соглашения, которые контролируют экспорт вооружений и причастных к ним технологий для США & ЕС, пополнились дополнительным пунктом. Речь идет о том, что теперь под контроль подпадает ПО, которое относится к типу т. н. технологий двойного назначения (dual use technologies): 0day эксплойты, ПО со шпионскими функциями (spyware, backdoors), а также по сути любое ПО, которое разрабатывается частными компаниями не для публичного использования, причем оно может экспортироваться в другие страны.



Теперь компании, которые занимаются разработкой подобного вида ПО, должны будут согласовывать с гос. органами своей страны вывозимые ими в другие страны программные технологии, в том числе, если речь идет о специальных соревнованиях типа Pwn2Own, на которых представляются 0day эксплойты. Эксплойты потенциально могут использоваться в качестве наступательных вооружений и их экспорт будет контролироваться в упоминаемых выше странах.

Всем привет!
Многие из вас видели и читали прекрасные материалы под общим названием «Сети для самых маленьких». Собственно, я не претендую на лавры, но решил написать нечто подобное в области безопасности сети на основе оборудования Cisco.

Первый материал будет посвящен BaseLine/L2 Security, т.е. тем механизмам, которые можно использовать при начальной конфигурации устройств а также на L2 коммутаторах под управлением IOS.
Всем, кому интересно, поехали!

В прошлом году мы писали о том, что правоохранительные органы США объявили в розыск автора известной банковской вредоносной программы Zeus. С использованием этой вредоносной программы были украдены сотни миллионов долларов с банковских счетов у пользователей по всему миру, а сам бот уже давно породил большое количество своих клонов. Недавно ФБР увеличили награду за информацию, ведущую к его поимке до суммы в $3 млн. Это максимальная награда, которая когда-либо объявлялась для фигурантов кибер-дел (cyber).



Фигурант под псевдонимом «slavik» известен в преступном мире уже давно и упоминается как автор одних из самых ранних версий Zeus. В начале прошлого года мы также писали про поимку правоохранителями другого киберпреступника. Речь идет об авторе другой банковской троянской программы SpyEye под псевдонимом «Gribodemon». Этот бот был основан на исходных текстах Zeus.

Всем привет!

В последние две недели я что-то слегка забегался и перестал следить за докладами, опубликованными на сайте Mobius 2015. Сегодня зашел и офигел: пока я мотался по командировкам, наш программный директор Андрей real_ales Дмитриев замутили нереально крутую программу! Лично мне кажется, что она на голову выше как прошлогодней, так и вообще любой программы любой другой мобильной конфы.



На сегодня программа Mobius 2015 сформирована на 85%: анонсировано 18 докладов из планируемых 21. Все доклады мы разбили на 5 групп: Devices, Tools, Tests, Security и Others. Сейчас, за 4 недели до конфы, самое время для того, чтобы коротко по ним пройтись.

Новая уязвимость под названием FREAK (CVE-2015-0204) обнаружена в известном пакете свободно распространяемого ПО с открытыми исходными текстами под названием OpenSSL. Она позволяет злоумышленникам скомпрометировать используемое браузером защищенное подключение HTTPS. Уязвимость затронула мобильные платформы Google Android и Apple iOS, так как там используется OpenSSL, а также Apple OS X. Уязвимости подвержены также все поддерживаемые версии Microsoft Windows (SA 3046015) из-за схожей уязвимости в Microsoft Schannel.

Apple выпустила новое обновление для iOS — iOS 8.2 (APPLE-SA-2015-03-09-1). Компания исправила небольшое количество security-уязвимостей и улучшила общую стабильность iOS, а также нескольких встроенных приложений, включая, Mail, Maps, Music, VoiceOver. Для iOS 8.2 закрыта опасная уязвимость FREAK, о которой мы писали ранее и которая делала возможной атаку Man-in-the-Middle с возможной расшифровкой трафика HTTPS, передаваемого через браузер. iOS 8 используется на таких устройствах как iPhone 4s+, iPod touch 5 и iPad 2+.

Специалисты security-сообщества Zero Day Initiative (ZDI) опубликовали информацию о новой критической Remote Code Execution уязвимости в Windows (CVE-2015-0096), которую Microsoft закрыла обновлением MS15-020. Особенность этой уязвимости заключается в том, что она появилась еще в 2010 г., когда Microsoft выпустила обновление для исправления печально известной уязвимости CVE-2010-2568, позволявшей исполнять произвольный код в системе с помощью специальным образом сформированного .LNK файла (файл ярлыка).



Эта уязвимость использовалась червем Stuxnet для своего распространения и, как теперь стало известно, на протяжении последних пяти лет после выпуска исправления, пользователи по-прежнему находились под угрозой возможной эксплуатации. Файлы типа .LNK позволяют указывать в своем теле ссылку на исполняемый PE-файл, из которого Windows может взять значок для отображения его в оболочке (Explorer).

Ранее мы писали про опасную уязвимость FREAK, которая была обнаружена в библиотеке OpenSSL, а также в пакете ПО MS Schannel. Уязвимость была исправлена Apple для iOS 8 (APPLE-SA-2015-03-09-1 iOS 8.2) и OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10.2 (APPLE-SA-2015-03-09-3 Security Update 2015-002).



Для Windows 2003 Server — Windows 10 TP эта уязвимость была закрыта в рамках patch tuesday, который был выпущен во вторник на этой неделе. FREAK была закрыта обновлением MS15-031 (Vulnerability in Schannel Could Allow Security Feature Bypass) в библиотеке Schannel.dll. Для пользователей Windows 7 & 8.1 это обновление было установлено автоматически (настройки безопасности по умолчанию).

В этом блоге мы, зачастую, пишем статьи для владельцев и разработчиков интернет-магазинов. Сегодня решили немного отойти от традиции и взглянуть на проблемы сферы со стороны потребителя. Ниже собраны основные советы для покупателей о том, как наиболее безопасно пользоваться услугами интернет-магазинов. А для владельцев и создателей интернет-магазинов пусть это будет очередным напоминанием о том, на что обращают внимание клиенты и что может помешать завоевать их доверие.