Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Уязвимости в плагине Formidable Forms ставят под угрозу сайты на WordPress

Проблемы позволяют атакующему получить доступ к конфиденциальным данным и перехватить контроль над целевым ресурсом.

Финский исследователь Йоуко Пюнненен (Jouko Pynnönen) обнаружил ряд уязвимостей в популярном плагине Formidable Forms для WordPress, позволяющих злоумышленнику получить доступ к конфиденциальным данным и перехватить контроль над целевым ресурсом.

Самая опасная из них – уязвимость типа Blind SQL-injection (слепая SQL-инъекция), проэксплуатировав которую атакующие могут получить доступ к контенту баз данных целевого сайта, в том числе учетным данным и информации, введенной через формы, созданные с помощью Formidable Forms. Помимо указанной, исследователь обнаружил еще одну уязвимость, позволяющую получить доступ к данным. Обе проблемы связаны с реализацией в плагине шорткодов (shortcode) WordPress – специальных кодов, позволяющих владельцам сайтов добавлять различный контент.

В числе прочих Пюнненен выявил несколько XSS-уязвимостей, одна из которых позволяла атакующему выполнить произвольный код JavaScript в контексте сессии администратора в браузере. Эксперт также заметил, что при наличии плагина iThemes Sync WordPress атакующий может проэксплуатировать вышеописанную уязвимость, позволяющую внедрить SQL-код, и получить идентификатор пользователя и ключ для аутентификации. Данная информация может использоваться для управления сайтом через iThemes Sync WordPress, в том числе добавления новых администраторов или установки плагинов.

Разработчик Formidable Forms устранил уязвимости с выпуском версий 2.05.02 и 2.05.03. Авторы iThemes Sync не рассматривают описанный исследователем вектор атаки как угрозу безопасности и потому не намерены выпускать патч.

Formidable Forms - плагин для создания контактных форм. Включает в себя расширенные возможности для создания сообщений, страниц и пользовательских типов сообщений с формами, а также возможность управлять и редактировать их. По имеющимся данным, число пользователей плагина превышает 200 тыс.

Дата: 2017-11-16 08:51:51

Источник: http://www.securitylab.ru/news/489745.php



Председатель совета директоров «СёрчИнформ» выступит перед Минобороны РФ

Кроме представителей Минобороны РФ в мероприятии примут участие органы власти, научно-исследовательские организации, высшие учебные заведения, организации промышленности и бизнеса. С докладом о комплексной защите системы взаимодействия от внутренних угроз приглашен к выступлению председатель совета директоров «СёрчИнформ» Лев Матвеев.

«В систему межведомственного взаимодействия включены 100% министерств и ведомств. И с точки зрения информационной безопасности сотрудники каждой организации-участника несут в себе риск и являются вероятной внутренней угрозой. При этом все данные здесь критичны, поэтому система безопасности должна совершенствоваться непрерывно. Мы рады поделиться опытом, который будет полезным в решении этой задачи», – прокомментировал участие Лев Матвеев.

В рамках конференции также проводится выставка специального оборудования и программного обеспечения, инновационных и перспективных разработок. Команда «СёрчИнформ» представит на выставке три продукта: DLP-решение «КИБ СёрчИнформ», систему мониторинга и анализа событий безопасности в режиме реального времени «СёрчИнформ SIEM» и решение по контролю рабочего времени TimeInformer.

Дата: 2017-11-16 08:38:14

Источник: http://www.iso27000.ru/press-relizy/predsedatel-soveta-direktorov-syorchinform-vystupit-pered-minoborony-rf



Стал известен полный состав спикеров форума прогрессивных руководителей “Долина Технологий”

Напомним, полностью сверстанная программа двухдневного интенсива для передовых топ-менеджеров охватит самые горячие тренды цифровизации, а именно: искусственный интеллект, управление данными, блокчейн, ICO, цифровые каналы, виртуальную реальность, управление инновациями, кибербезопасность, интернет-маркетинг, управление знаниями.

Цель форума – за два дня дать современным руководителям максимум знаний о новейших технологиях и концепциях, способных перевести бизнес на новый уровень.

С мастер-классами и кейсами выступят профессоры Университета Иннополис, руководители успешных инновационных бизнесов и эксперты по самым актуальным технологиям из Москвы, Санкт-Петербурга, Екатеринбурга, Казани, Иннополиса,Нижнего Новгорода, Волгограда, Ижевска.

В числе спикеров, которые поделятся своими знаниями по цифровизации бизнеса Сергей Трушкин (г.Москва) -конструктор  информационных роботов Empiry в РДТЕХ, преподаватель-консультант в “Русской школе управления”, “Британской высшей школе дизайна” и в Университете Иннополис, Сергей Петренко (г. Иннополис)-руководитель центра ИБ в Университете Иннополис, Антон Щукин (г.Тюмень) -CIO в Этажи,CEO в ESoft  и еще 15 экспертов.

Об инновациях и управлении знаниями на примере успешных кейсов поведают Олег Лавров (г. Москва) -председатель Ассоциации российских специалистов и экспертов управления знаниями "КМ-Альянс", Михаил Марков (г. Екатеринбург) - заместитель директора по инновациям ИРИТ-РТФ УрФУ им. Б.Н. Ельцина, Светлана Новикова (г. Казань) -заместитель генерального директора в Страховой группе АК БАРС , Михаил Гаврилов (г.Санкт-Петербург)  Михаил Свердлов (г. Иннополис) -управляющий партнер в O2 Digital.

Тему блокчейна для бизнеса осветит в своем выступлении Рустам Давлетбаев (г. Иннополис)-руководитель Центра систем распределенного реестра в Университете Иннополис, а Алексей Тюменцев (StartICO.net, г.Тюмень) расскажет о тонкостях ICO.

Практические знания о современных каналах коммуникации дадут Булат Ганиев (Технократия, г. Казань) и Валерий Домашенко (Domashenko.Digital, г. Москва). Виртуальная реальность и искусственных интеллект станут главными темами выступлений Дмитрия Демакова (Boxglass laboratory  AR/VR, г. Ижевск) и Александра Вадеева (Clover Group, г. Москва).

Узнать подробности и оформить заявку на участие можно на сайте https://innopolis.dolina.tech/

Спешите, количество мест ограничено.

Дата: 2017-11-16 08:34:51

Источник: http://www.iso27000.ru/novosti-i-sobytiya/stal-izvesten-polnyi-sostav-spikerov-foruma-progressivnyh-rukovoditelei-201cdolina-tehnologii201d



Видео-обзор функционала «Сценарии и правила реагирования на инциденты»

Сценарии реагирования на инциденты (так называемые playbooks)  позволяют максимально автоматизировать алгоритм действий команды реагирования (эскалация, уведомление, постановка задач) и в автоматическом режиме обеспечивают выполнение действий по сбору дополнительных сведений, либо превентивных действий, направленных на блокировку атаки.

В системе R-Vision теперь доступен этот функционал. При создании сценария реагирования задается последовательность действий, которые будут выполнены в автоматическом, ручном (с помощью пользователя) или комбинированном режиме при  срабатывании определенных правил. Созданные сценарии можно визуализировать.

Как создавать сценарии реагирования и какие действия можно автоматизировать с их помощью, смотрите в видео-обзоре!

Дата: 2017-11-16 07:52:31

Источник: https://rvision.pro/blog-posts/video-obzor-funktsionala-stsenarii-pravila-reagirovaniya-na-intsidenty/



WeChat. Сериализуем объект — получаем СМС

Предыдущая статья.
В продолжение темы WeChat. В данной статье мы покажем как сериализуются и десериализуются объекты, а так же зашифруем сообщение и получим СМС с кодом подтверждения. Кроме того мы приведем весь необходимый код на PHP, чтобы вы могли попробовать и убедиться что все работает

В приложении используется библиотека ProtoBuf.

Существует базовый объект WXPBGeneratedMessage, все остальные наследуются от него.
Изначально Protobuf умеет сериализовать только простые типы(строки и числа). Чтобы сериализовать сложные объекты, для каждого объекта создается поле, которое мы назвали classInfo. В нем хранятся имена и описания всех полей.

Для запроса СМС необходимо создать объект BindOpMobileRequest.

public function __construct()
    {
        $this->classInfo = new \wechat\PBClassInfo();

        $this->classInfo->nameProperty[] = 'baseRequest';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x1, 0x2, 0xB, 0x0, 0x0, 'BaseRequest');

        $this->classInfo->nameProperty[] = 'userName';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x2, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'mobile';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x3, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'opcode';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x4, 0x2, 0x5, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'verifycode';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x5, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'dialFlag';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x6, 0x1, 0x5, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'dialLang';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x7, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'authTicket';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x8, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'forceReg';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x9, 0x1, 0xD, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'safeDeviceName';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0xA, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'safeDeviceType';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0xB, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'randomEncryKey';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0xC, 0x1, 0xB, 0x0, 0x0, 'SKBuiltinBuffer_t');

        $this->classInfo->nameProperty[] = 'language';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0xD, 0x1, 0x9, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'inputMobileRetrys';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0xE, 0x1, 0xD, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'adjustRet';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0xF, 0x1, 0xD, 0x0, 0x0, '');

        $this->classInfo->nameProperty[] = 'clientSeqId';
        $this->classInfo->objectDefinition[] = new \wechat\ObjectDefinition(0x10, 0x1, 0x9, 0x0, 0x0, '');

        parent::__construct();
    }

Как можно увидеть, classInfo состоит из двух массивов(имена полей и их описания). ObjectDefinition состоит из пяти чисел и строки:
  1. Порядковый номер поля
  2. Идентификатор массива. Ставится равным трем, если поле является массивом. В остальных случаях ни на что не влияет
  3. Тип поля (например 0x9 — string, 0x8 — bool, 0x7 — unsigned int, 0xB — объект итд )
  4. Используется при сериализации массивов вместе со вторым пунктом, в остальных случаях равен нулю
  5. Назначение этого числа осталось загадкой (оно всегда равно нулю и нигде не применяется)
  6. В случае если поле является объектом, указывается тип объекта, в противном случае указывается пустая строка.

Объект сериализуется рекурсивно по алгоритму прямого обхода дерева в глубину. Перед каждым полем сначала ставиться тег, который вычисляется (c использованием словаря) следующим образом:

$FieldTypeDictionary = array(-1, 1, 5, 0, 0, 0, 1, 5, 0, 2, 3, 2, 2, 0, 0, 5, 1, 0, 0);
$fieldType = $FieldTypeDictionary[$fieldType];
$tag = $fieldNumber << 3 | $fieldType;

Если поле является объектом, то после тега ставиться его длинна.

Готовим сообщение для отправки на сервер


Создаем объект BindOpMobileRequest, заполняем поля и сериализуем:
 public function getVerifyCode()
    {
        $bindOpMobileRequest = new \wechat\Request\BindOpMobileRequest();
        $baseRequest = $this->createBaseRequest();
        $this->aesKey = random_bytes(0x10);
        $baseRequest->sessionKey = '';
        $baseRequest->scene = 0;
        $bindOpMobileRequest->baseRequest = $baseRequest;
        $bindOpMobileRequest->mobile = $this->phoneNumber;
        $bindOpMobileRequest->opcode = 14;
        $bindOpMobileRequest->safeDeviceName = $this->deviceName;
        $bindOpMobileRequest->safeDeviceType = 'iPhone';
        $bindOpMobileRequest->randomEncryKey = new \wechat\Object\SKBuiltinBuffer_t();
        $bindOpMobileRequest->randomEncryKey->iLen = strlen($this->aesKey);
        $bindOpMobileRequest->randomEncryKey->buffer = $this->aesKey;
        $bindOpMobileRequest->language = $this->language;
        $bindOpMobileRequest->inputMobileRetrys = 5;
        $bindOpMobileRequest->adjustRet = 0;
        $bindOpMobileRequest->clientSeqId = $this->clientSeqId;

        $serializedData = $bindOpMobileRequest->serializedData();

    }

В результате получаем:

59e8c36eb7ed7370044474.png

Теперь осталось, составить заголовок, зашифровать данные и отправить на сервер.

$header = $this->computeHeader($serializedData, 0x91, 2);
$dataToSend = $header . $this->client->RSAEncrypt($serializedData);
$response = $this->client->request($this, $dataToSend, 'bindopmobileforreg');

Если все сделано правильно, сервер пришлет нам ответ, который нужно расшифровать AES-ключом переданным в запросе и десериализовать:
$response = deleteHeaderFromResponse($response);
$response = $this->client->AESDecrypt($response, $this->aesKey);
$bindOpMobileResponse = new \wechat\Response\BindOpMobileResponse();
$bindOpMobileResponse->mergeFromData($response);

Десериализовать необходимо в объект BindOpMobileResponse.
Здесь приведен код на php, реализующий все выше сказанное. Дерзайте…

PS. SMS не приходят на номера одной «жужжащей» компании. Не понятно почему…

Дата: 2017-11-16 07:15:49

Источник: https://habrahabr.ru/post/339772/



Virtuozzo 7 Update 5 – что нового?

image

Пользователи продуктов семейства Virtuozzo часто спрашивают нас о том, чем отличается каждая очередная версия, и стоит ли обновлять свои системы до последнего билда. Поэтому мы решили подробно рассказывать тут, на хабре, о возможностях каждой версии, и сегодня первый пост из цикла, посвященный Virtuozzo 7 Update 5.

Помимо повышения стабильности каждого компонента, ежеквартальные обновления Virtuozzo всегда несут в себе ряд новых функций. Многие из них пользователи специально заказывали и ждут их появления для того, чтобы можно было получить большую отдачу от гиперконвергентной системы и контейнеров. Например, в Virtuozzo Update 6 есть такие возможности, как работа с георепликацией для S3 или шифрование данных at rest, но давайте разберем все основные улучшения по порядку.

Безопасность


Раньше пользователи сами встраивали механизмы шифрования данных на дисках и в контейнерах Virtuozzo. Но начиная с Update 5 мы добавили возможность шифровать данные непосредственно на уровне распределенного хранилища VZ Storage. Для криптографии используется алгоритм AES256, как показала практика – самый востребованный среди пользователей. Система работы с ключами при этом используется внешняя, потому что у подавляющего большинства уже есть свои средства Key Management.

image

Шифрование at rest происходит для всех пассивных данных. Вы можете просто включить эту функцию в панели управления.

Второе новшество – это интеграция в систему каталогов LDAP и Active Directory. Эта функция открывает возможность управления правами доступа для разных пользователей в рамках одного хоста или виртуальной машины. Инфраструктура распределенного хранилища Virtuozzo Storage позволяет настраивать права для каждого отдельно взятого объекта, так что для авторизации на виртуальных машинах и в контейнерах теперь используются те же профили и те же учетные данные, что и для разделения доступа к данным.

В дополнение к этому стоит заметить, что Virtuozzo 7 по-прежнему предоставляет для всех ядер, выпущенных в течении последних 18 месяцев обновления в виде ReadyKernel live-updates. Cо времени выпуска Virtuozzo 7 пользователи не создали ни одного тикета, связанного со стабильностью этого механизма обновлений ядра хостов виртуализации.

Производительность


Наши разработчики хорошо потрудились над повышением производительности экосистемы. В частности, была ускорена установка системы: основная часть дистрибутива теперь развертывается из сжатого образа squashfs (вместо попакетной установки), поэтому чтобы попробовать Virtuozzo нужно всего несколько минут, а ускоренное развертывание в ЦОД помогает перезапускать сервисы быстрее после обслуживания.

Повышение производительности коснулось во многом пользователей виртуальных машин с ОС Windows. Для этого в гипервизор была внесена поддержка VirtIO, и виртуалки чувствуют себя «как дома», как будто они работают в экосистеме Hyper-V. Учитывая, что гипервизор Virtuozzo обеспечивает поддержку всех необходимых для этого функций, наблюдается заметный рост производительности в ВМ с MS Windows.

Для примера можем показать результаты сравнения производительности Virtuozzo и чистого KVM:

Тесты выполнялись на следующей конфигурации:

Model: IBM System x3650 M3
CPU: 24 SMP (2Sx6Cx2T) Xeon E5645 @ 2.4 GHz
RAM: 16 x 8GB DDR3 1600 MHz
HDD: RAID0 (5 x 900GB 10000 RPM SAS)
NET: 10 Gbit direct server <-> client connection

image

Используемый тест — VConsolidate (https://openvz.org/Performance/vConsolidate-UP)

Гарантированная производительность каждой ВМ или контейнера была повышена за счет появления лимитов ввода/вывода. В зависимости от типа бизнеса теперь можно настроить ограничения на I/O для некоторых операций. Это делается для того, чтобы ВМ с тяжелой нагрузкой не «отъедала» производительность у других машин, работающих на том же самом хосте, что очень актуально, если на одном узле действительно много виртуальных машин. Если говорить о сервис-провайдерах, максимальную нагрузку на ввод/вывод создает резервное копирование и миграция. Теперь пользователи могут установить предельные значения доступных ресурсов для этих и любых других категорий операций. Таким образом, при правильной настройке ВМ не будут замечать, что «соседи» вообще есть на хосте. Конечно, если количество машин соответствует производительности хоста в целом.

При этом появляется возможность размещать еще больше сервисов на одном хосте без ущерба производительности, если речь идет о не слишком мощных машинах с ограниченными потребностями. Так, в гипервизоре теперь можно определить не только количество процессоров, но и конкретное количество ядер, которые может использовать каждая ВМ или контейнер. Эта возможность позволяет лучше утилизировать ресурсы серверов с многоядерными процессорами.

Функциональность


В каждом релизе мы добавляем новые функции, которые оказываются наиболее востребованными пользователями. И в Update 5 появляется поддержка миграции для томов NFS. Как показала практика, многие пользователи контейнеров работают с NFS-накопителями, что раньше создавало ограничения в миграции данных. Теперь поддержка NFS официально реализована в контейнерах и виртуальных машинах экосистемы Virtuozzo.

Вторая полезная функция – это поддержка S3-георепликации. Теперь контейнеры и виртуальные машины могут запрашивать информацию из распределенных хранилищ S3 и сохранять данные с опцией георепликации через стандартный интерфейс.

Также в Virtuozzo 7 появилась поддержка Docker Swarm. Контейнеры Docker поддерживались и ранее, но интеграция с системой управления Docker Swarm позволяет пользователям отдельных виртуальных машин (VPS) управлять своими Docker-изированными приложениями при помощи стандартных средств. Напомним, что в дополнение к этому для Docker имеется возможность реализовать постоянное хранилище данных для временно запускаемых сервисов на базе Virtuozzo Storage for Docker.

Кстати, о хранилище. Начиная с Update 5 имеется возможность вести мониторинг его состояния через SMNP. Если раньше нужно было собирать данные через SSH, теперь можно настроить постоянную передачу всей информации о состоянии системы в единую консоль управления по протоколу SMNP.

И отдельно о миграции


Отдельного внимания заслуживает модернизация системы живой миграции контейнеров и виртуальных машин, которая позволяет производить maintenance, без остановки сервисов. Для этих задач используется инструмент CRIU, о котором мы уже писали в предыдущем посте.

В Virtuozzo 7 Update 5 была ускорена миграция, причем для этого применяется сразу несколько технологий. Для контейнеров был реализован механизм сжатия памяти при передаче информации с одного оста на другой. Для ВМ на время миграции искусственно замедляются некоторые действия, такие как обращение к диску и доступ к памяти. В результате количество данных, которые нужно передавать по сети в процессе миграции, уменьшается, и процесс завершается намного раньше.

image

Кроме этого была повышена совместимость разных узлов для переноса приложений, функциональность которых зависит от возможностей процессоров. Например, при миграции с платформы AMD на Intel бывают технические проблемы. Кстати, они нередко возникают и при перемещении виртуальной машины на систему с другим поколением архитектуры CPU. Чтобы этого не происходило при миграции отключается поддержка лишних инструкций на CPU, и приложения продолжают работать на новом хосте, как ни в чем не бывало.

Чего ждать от Version 6?


Следующая версия Virtuozzo 7 будет представлена перед новым годом. В ней появится около 15 новых фич, в числе которых – онлайн-освобождение (reclaim) не занятого места на дисках виртуальных машин, улучшение сетевой подсистемы для Windows, упрощенное создание кластера и другое. По мере выхода версии, мы расскажем об этих возможностях подробнее в нашем блоге.

Дата: 2017-11-16 07:09:57

Источник: https://habrahabr.ru/post/342504/



[recovery mode] 5 факторов успеха эффективного внедрения сервисов верификации учетных записей

Мошеннические действия с использованием личных данных (ID fraud) представляют собой серьезную проблему для операторов мобильных сетей (Mobile Network Operators, MNO), учитывая что в мире уже насчитывается примерно 200 видов таких мошенничеств, а 35% всего фрода на мобильных устройствах связано с подписками. И это та проблема, на которую нельзя закрывать глаза, – для многих операторов сотовых сетей она приводит к чрезмерно большим издержкам. Более того, помимо убытков для операторов из-за упущенной выгоды, подобные мошеннические действия наносят ущерб и потребителям, затрудняя принятие и развитие новых сервисов. Как можно развивать инновации, если компании вынуждены постоянно выделять значительные средства и ресурсы на то, чтобы минимизировать эффект от мошеннических действий?

emb7zhhqexggyhnmnyb8oy6-zuq.jpeg

Существует три важных причины, почему нам следует уделять внимание этой проблеме:


Но каким же образом мы можем противостоять мошенничеству? Ответ заключается во внедрении доверительных и протестированных сервисов верификации учетных записей, которые позволяют осуществлять надежную проверку в режиме реального времени. Подобные решения уже представлены на рынке и обладают достаточной гибкостью для удовлетворения самых различных потребностей – они позволяют:
С учетом всего вышеперечисленного, операторам мобильных сетей, разумеется, будет интересно узнать, от чего зависит успешная реализация подобных инициатив. Могут ли они быть уверенными, что все реализованные ими проекты сработают?

Ниже мы расскажем о пяти ключевых факторах, от которых зависит успешность и эффективность развертываемых проектов.

8x_p5opsprhmxlopoea-zoezgim.png

Поэтапный систематизированный подход


Поэтапное подход к разработке проекта еще до его полного развертывания гарантирует, что решение будет доведено до совершенства и обеспечит должную эффективность. При таком подходе разработчики смогут обратиться к лучшему передовому опыту и получают возможность избежать чужих ошибок, тогда как если осуществлять миграцию всех розничных точек в один момент, то это может привести к определенным проблемам. Эти первые этапы играют важную роль при попытках понять, проанализировать и задокументировать динамику мошеннических действий с использованием личных данных в малых масштабах, прежде чем внедрять решение сразу во всех розничных точках.

Кроме того, подобный поэтапный и систематизированный подход требует от операторов готовности к появлению новых регламентов и изменениям в законодательстве непосредственно в ходе внедрения решения. На первый взгляд, это не представляет особой сложности, однако на практике все может оказаться совсем иначе. И это действительно важно, если вы хотите обеспечить возможность проверки удостоверений во всех сценариях использования (в том числе при внедрении каких-либо отдельных дополнительных сервисов), а также при приобретении и продлении предоплаченных SIM-карт и карт с оплатой по факту. В результате всех этих мер операторы мобильных сетей смогут гарантировать соблюдение требований действующего законодательства и будут готовы к появлению новых требований.

Качественная обратная связь


Наличие полноценной обратной связи является важным фактором, который не следует недооценивать. Продавцы в магазинах готовы рассказать о самых эффективных методах работы в любых ситуациях. Если в качестве основной коллективной цели считать увеличение прибыльности, то любое решение, позволяющее предотвратить или хотя бы минимизировать количество мошеннических действий с личными данными и снизить соответствующие издержки, должно быть встречено с распростертыми объятиями. Как только решение для верификации удостоверений продемонстрирует свою эффективность, оно моментально станет предметом активных обсуждений внутри компании, что будет способствовать его более широкому распространению.

Ориентированность на пользователя


Когда речь заходит о принятии технологий пользователем, нам следует сделать работу с ними максимально простой и удобной для всех сотрудников и клиентов. Это означает, что сотрудники в розничных точках смогут сосредоточиться на обслуживании покупателей, а не на административных задачах.

В качестве примера подобного подхода можно привести автоматизированное заполнение форм для удобства клиентов и сотрудников, ведь подобные решения ускоряют регистрацию новых клиентов и позволяют минимизировать ошибки при вводе данных.

А если компания сможет показать, что одновременно с упрощением этого взаимодействия она еще и должным образом заботится о конфиденциальности пользовательских данных, то такая компания сможет выстроить более надежные и доверительные отношения со своими клиентами.

Интеграция в уже имеющиеся инфраструктуры


Самые лучшие сервисы верификации учетных записей спроектированы таким образом, чтобы оказывать минимальное воздействие на существующие инфраструктуры. Они незаметно для пользователя подключаются к уже действующим ИТ-системам и могут использоваться (вместе со сканерами или без них) на мобильных устройствах, например, на смартфонах и планшетах.

Столь простая и гибкая интеграция с существующей инфраструктурой гарантирует быстрое внедрение проекта. Кроме того, настраиваемая отчетность позволяет с легкостью интегрировать подобные решения в существующие внутренние бэк-энд системы.

Поддержка стратегий расширения бизнеса операторов мобильных сетей


На базе своих основных сервисов мобильного интернета и голосовой связи операторы мобильных сетей могут предлагать дополнительные услуги с добавленной ценностью, например, услуги по продаже билетов на транспорт, банковские услуги или услуги мобильных платежей.

Наши собственные сервисы для верификации учетных записей от Gemalto обеспечивают уникальный и единообразный механизм, охватывающей сразу все подобные дополнительные услуги, помогая упростить процессы продаж как в розничных точках, так и процессы удаленных продаж.

Скачайте бесплатный отчет для операторов мобильных сетей «Пять ключевых факторов успеха для эффективного внедрения систем верификации учетных записей» или узнайте больше о мультиканальных сервисах верификации учетных записей, в том числе о расширенных биометрических способах проверки, на нашей специальной странице.

Дата: 2017-11-16 07:00:15

Источник: https://habrahabr.ru/post/342260/



Более 20 млн устройств Amazon Echo и Google Home уязвимы к атакам BlueBorne

Уязвимые устройства могут использоваться хакерами для записи разговоров или как отправные точки для других атак.

Свыше 20 млн устройств Amazon Echo и Google Home, работающих под управлением ОС Android и Linux, уязвимы к атакам с эксплуатацией набора уязвимостей, получивших общее название BlueBorne.

О проблеме BlueBorne стало известно в середине сентября нынешнего года. Как сообщили тогда исследователи из компании Armis, уязвимости затрагивают реализации Bluetooth в более чем 8 млрд устройств по всему миру. Для эксплуатации проблем злоумышленнику не требуется ни взаимодействие с пользователем, ни сопряжение с целевым устройством. Единственное, что необходимо - это включенный Bluetooth. Уязвимости содержатся в реализациях Bluetooth в Android, iOS, Windows и Linux, затрагивая практически все типы устройств, от смартфонов до IoT-гаджетов и «умных» автомобилей. Изначально эксперты Armis не упоминали в своем исследовании голосовые помощники, но оказалось, что проблема распространяется и на них.

Исследователям удалось успешно проэксплуатировать уязвимости CVE-2017-1000251 и CVE-2017-1000250 в колонке Amazon Echo и CVE-2017-0785 в Google Home и получить контроль над виртуальным ассистентом. Демонстрация взлома Amazon Echo представлена в видео ниже

По данным Armis, 82% компаний используют устройства Amazon Echo и Google Home в своих сетях. Хакеры могут перехватить управление уязвимыми гаджетами и использовать их для записи разговоров находящихся поблизости сотрудников либо как отправную точку для других атак. Эксперты проинформировали производителей об уязвимостях. Обе компании уже выпустили патчи, устраняющие проблему.

 

Дата: 2017-11-16 06:49:40

Источник: http://www.securitylab.ru/news/489743.php



Минобороны США исследует физиологию хакеров с помощью датчиков

По заказу Пентагона состоятся хакерские соревнования, в ходе которых будет измеряться пульс и другие показатели участников.

Министерство обороны США профинансирует весьма необычные исследования в области ИБ. Целью исследований является изучения физиологических и психологических процессов, происходящих в организме хакеров во время взломов.

Как сообщает портал The Register со ссылкой на соответствующие официальные документы, исследования пройдут в этом и следующем месяце в высокозащищенной лаборатории Sandia National Labs в Альбукерке (штат Нью-Мексико, США). Sandia National Labs является подрядчиком правительства США, занимающимся исследованиями и разработкой компонентов, в том числе к атомным бомбам.

В финансированном Пентагоном исследовании примут участие профессионалы в области ИБ. Каждый из них будет задействован в двухдневной стандартной игре по захвату флага. Участники будут соревноваться во взломе защищенных систем, решать задачи и заполнять опросники. Испытуемые наденут браслет-трекер Empatica E4, измеряющий пульс и дыхание. Таким образом ученые попытаются выяснить, что происходит с хакером на физиологическом и психологическом уровнях, когда он взламывает систему.

В общей сложности в эксперименте примут участие 120 исследователей безопасности. За 16-часовую работу им будет выплачено символическое вознаграждение в размере $60-90. Также будут компенсированы расходы на проезд и проживание в отеле. К участию допускаются исключительно граждане США.

Дата: 2017-11-16 06:46:19

Источник: http://www.securitylab.ru/news/489744.php



На ZeroNights 2017 расскажут об атаках на ПО и железо, авто и АЗС, платежные системы и смартконтракты!

Компания Digital Security проведет 16-17 ноября 2017 года седьмую конференцию по кибербезопасности ZeroNights при поддержке Яндекс и независимого сообщества Defcon Russia.

Компания Digital Security, специализирующаяся на анализе защищенности ИТ-систем и исследованиях в области ИБ, проведет 16-17 ноября 2017 года седьмую конференцию по кибербезопасности ZeroNights при поддержке Яндекс и независимого сообщества Defcon Russia. Мероприятие состоится в Москве, в КЦ ЗИЛ, и соберет руководителей и сотрудников служб ИБ, программистов, исследователей, аналитиков, пентестеров, представителей комьюнити по ИБ, журналистов и всех, кто интересуется прикладными аспектами отрасли.

Основные темы конференции: Web-безопасность; безопасность Windows, MacOS, iOS; уязвимости платежных систем и приложений; атаки на смарт-контракты и безопасность блокчейн-проектов; реверс-инжиниринг; взлом автозаправок и самих автомобилей; новые хакерские техники.

На конференции будут представлены доклады более 60 спикеров из 9 стран мира (Россия, Аргентина, США, Германия, Канада, Китай, Великобритания, Сингапур, Израиль). В числе докладчиков – эксперты в области ИБ, аналитики, программисты, хакеры, реверс-инженеры. В частности, среди спикеров ивента - такие известные специалисты, как Томас Даллиен, Шей Герон, Лукас Апа, Джейис Форшоу, Алексей Тюрин, Идо Наор, Алекс Матросов, Максвел Кох и другие. Ознакомиться с биографиями спикеров, а также детально изучить описание выступлений можно на официальном сайте ZeroNights: https://2017.zeronights.ru/ .

Исследователи Digital Security представят в рамках основной программы представят три доклада. Алексей Перцев и Егор Карбутов, пентестеры Digital Security, выступят с темой «Чат с хакером» (13.30, 16 ноября, Track2). Они поделятся с гостями конференции своим опытом и объяснят, как онлайн-чаты поддержки могут расширить поверхность атаки на компанию, её сотрудников, клиентов и даже самого вендора чатов.

Далее, Алексей Перцев расскажет о том, как смарт-контракты, ICO и DAO выглядят глазами атакующего и куда он может приложить свои усилия для получения выгоды. Он выступит с докладом «DAO for penetration testers» (ДАО для пентестеров) (12.00, 17 ноября, Track2). Алексей рассмотрит типовые уязвимости в смарт-контрактах, расскажет, почему они возникают, и как их избежать.

И, наконец, Алексей Тюрин, директор департамента аудита защищенности Digital Security, представит доклад «Другой взгляд на MitM-атаки на HTTPS» (17.00 17 ноября, Track1). Несмотря на то, что основная цель TLS/HTTPS – защита от MitM-атак, с помощью различных трюков возможно проводить успешные атаки такого типа на данный протокол. Как? Алексей расскажет в своем выступлении.

Доклады, представленные на конференции, прошли строгий отбор программного комитета из 13 авторитетных специалистов-практиков. В его состав входят как представители служб информационной безопасности и исследовательских команд известных компаний, так и независимые рисерчеры.

Помимо основных докладов, также на конференции будут представлены воркшопы и выступления в слотах Defensive Track и Fast Track. Секция Defensive по праву пользуется большой популярностью у гостей конференции, поскольку здесь своим опытом делятся специалисты-практики по ИБ из крупных компаний. В этом году свои доклады в рамках секции представят Яндекс, Мail.ru, Facebook, Opera. Ну а слушатели Fast Track получат возможность узнать об интересных находках или хакерском инструментарии коллег из мини-докладов. 

В рамках ZN также будут реализованы различные активности: многоступенчатый хакерский Квест Hack & Go, соревнования CTF (BI.Zone, Defcon NN), конкурсы на взлом и на сообразительность от Mail.ru, BI.Zone, Web Village, Hardware Zone. Победители конкурсов получат ценные призы.

На ZeroNights впервые будет представлена секция Web Village, где можно будет узнать о современных атаках на веб-приложения, попробовать себя в роли атакующего, выяснить, как работает современный веб, поучаствовать в конкурсах и многое другое! Первый день будет полностью посвящен атакам на клиентов веб-приложений (Client-side), в рамках второго дня будут обсуждаться атаки на серверную часть (Server-side). Свои доклады в рамках секции представят известные рисерчеры, багхантеры и пентестеры, в том числе, Алексей Тюрин, Егор Карбутов, Иван Чалыкин, Сергей Белов, Антон Лопаницын, Андрей Ковалев, Дмитрий Мулявка, Омар Ганиев, Ярослав Бабин.

Любителей железа порадует Hardware Zone. В течение обоих дней конференции ZeroNights найдется время, чтобы поговорить про атаки на различные беспроводные технологии, от простейших радиопротоколов до платежных систем, низкоуровневые атаки и техники blackbox-анализа встраиваемых устройств, не останется в стороне и промышленная автоматика.

Команда CarPWN снова погрузит нас в мир ИБ автомобилей. Здесь можно будет ознакомиться с базовыми вопросами безопасности автомобильных технологий, включая self-driving car, connected-car, а также поговорить про трудности reverse engineering ECU и безопасность QNX.

Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, участие в процессах безопасной разработки приложений, аудит защищенности бизнес-приложений (десктопные, веб-, мобильные приложения, смарт-контракты) и ИТ-инфраструктур. С 2003 года клиентами Digital Security стали более 500 компаний из России и 25 стран мира. Собственный исследовательский центр, открытый в 2007 году, специализируется на поиске и исследовании уязвимостей в различных приложениях и системах, обладает множеством официальных благодарностей от Oracle, SAP, Apache, IBM, Alcatel, VMware, HP, Adobe, Microsoft, Cisco и других лидеров индустрии ИТ. Подробнее о компании и услугах: http://www.dsec.ru/ .

 

Дата: 2017-11-16 06:38:19

Источник: http://www.securitylab.ru/news/489741.php