Denis Makrushin

безопасность

10/07/18 |Research # , , , , , ,

Ошибки “умной” медицины

Ошибки "умной" медицины

Как показали многочисленные исследования, “умные” дома, “умные” автомобили и “умные” города, не только приносят несомненную пользу человеку в быту, но и зачастую создают угрозу его безопасности. Речь не только об утечке персональных данных – достаточно представить, что в какой-то момент “умный” холодильник под воздействием третьей силы начнет воспринимать просроченные продукты как свежие. Или вот еще один, более печальный сценарий: на высокой скорости система “умного” автомобиля неожиданно для хозяина поворачивает руль вправо… Continue reading

0 likes no responses
28/10/15 |Blog # , , ,

Отборная солянка: проблемы разнородности средств защиты

Любая компания, вне зависимости от уровня своей зрелости, обладает какой-либо ценной информацией, попадание которой к недобросовестным лицам может поставить крест не только на финансовом будущем, но и на бизнесе в целом. Представители очень малого бизнеса имеют на своих счетах вполне внушительные суммы, а вот защищенность рабочих станций сотрудников не может похвастаться безупречностью. В лучшем случае владельцы ПК в компаниях ставят демонстрационную версию антивирусного продукта и пользовательского межсетевого экрана. В худшем — не устанавливают средства защиты вообще.

1

Continue reading

0 likes no responses
18/02/12 |Blog # , , , ,

Padding Oracle Attack в контексте распределенной информационной среды

Padding Oracle AttackВ процессе разработки распределенной информационной системы, от корректности функционирования которой напрямую зависит доступность других информационных систем, встала задача обеспечения доступа к компонентам ее администрирования. Организация обмена данными между узлами осуществлялась с использованием зоопарка технологий, которые предоставляет Windows Communication Foundation, входящий в состав .NET Framework. Веб-сервисы, XML-сообщения, SOAP, web.config WCF-клиента с установленным элементом security” – все это было бы отличным фундаментом для решения поставленных задач с учетом аспектов безопасности доступа к административной части, но факт существования техники Padding Oracle Attack” ставит под сомнения концепцию и заставляет задуматься над конкретной реализацией.

Continue reading

0 likes no responses
30/11/11 |Blog # , , ,

Записки аудитора: аудит в условиях непрерывного пентеста

Метод проведения аудита в условиях непрерывного пентеста

Проведение технического аудита в подавляющем большинстве случаев сопровождается анализом защищенности сетевого периметра. Практика показывает, что этап проведения внешнего теста на проникновение является для аудитора задачей, которая требует ожидания. За время, пока пентестеры врезаются в инфраструктуру, пытаясь перевести свою деятельность на внутрекорпоративный уровень, аудитор проводит ряд организационных мероприятий, связанных с получением дополнительных данных для последующей оценки защищенности методом «белого ящика». Иногда встречаются ситуации, когда он вынужден выносить вердикт исключительно по результатам теста на проникновение или в значительной степени опираться на эти результаты. Встает вопрос оптимизации в реальном времени получаемой от пентестера информации.

Continue reading

0 likes no responses
14/11/11 |Blog # , , ,

Нулевые ночи в Санкт-Петербурге

 

ZeroNights

25 ноября Санкт-Петербург в квадратных метрах клуба «Катовский» пройдет международная конференция «ZeroNights», обещающая взорвать грандиозностью своего события российскую арену информационной безопаности.

Не знаю, какие метрики в настоящее время (время, когда велико стремление славян организовать русскоязычный Defcon) используются аналитиками для определения уникальности мероприятия, но изюминка в подготовке этого события обязательно должна быть: в подготовку конференции вложили душу люди, не понаслышке знакомые с форматами таких конференций как Defcon/BlackHat и успешно продемонстрировавшие свои доклады зарубежной аудитории.

Continue reading

0 likes no responses
27/09/11 |Research # , , , , ,

Я.Инцидент: Почему я читал ваши СМС?

Почему я читал ваши СМС?

События прошедшего лета, связанные с утечками конфиденциальных данных в поисковые системы, прямо или косвенно коснулись каждого, кто следит за новостями, любезно предоставляемыми СМИ. Под «системный нож» попали поисковые роботы и персональные данные гражданина РФ. Копнем немного глубже и выясним, каким образом частная жизнь может оказаться «у всех на виду».

Continue reading

0 likes 2 responses
02/09/11 |Blog # , , , , , ,

Positive Hack Days 2011: отчет с Международного Форума по практической безопасности

Positive Hack Days 2011

Российская индустрия ИБ содрогнулась от ударной волны мероприятия прошедшего 19 мая 2011 года под красно-белым знаменем. Компания Positive Technologies, поставив перед собой дерзкую миссию, собрала вокруг себя элиту подземелий взлома информации и уже давно вышедших на свет гуру ее защиты. Инсайдеры нашего журнала не упустили возможность проследить за результатами организации данного события и спешат поделиться с тобой впечатлениями с субъективной позиции.

Continue reading

0 likes one response
02/08/11 |Blog # , , ,

Безопасность глазами позитивных людей: хроники Positive Technologies

Positive Technologies logo

1998 год. Выход на свет из подземелий. Идеи создания журнала для энтузиастов, интересующихся тогда еще не успевшей сформироваться в России индустрией информационной безопасности, обретают форму. В это же время пишутся строчки первого российского сетевого сканера безопасности XSpider, дальнейшая разработка которого приведет к появлению титана на рынке ИБ – компании Positive Technologies.

Continue reading

0 likes no responses
30/06/11 |Blog # , , , ,

Несколько слов об июльском номере журнала «Хакер»

Главные тему июльского номера "Хакер"

Сегодня в продажу поступил июльский номер «журнала от компьютерных хулиганов», содержащий отнюдь не хулиганский отчет с Международного Форума по практической безопасности «Positive Hack Days 2011», проходившего 19 мая на территории России, в котором я, как инсайдер данного мероприятия, с субъективной точки зрения поделился впечатлением от действий, развернувшихся в периметре московского клуба «Молодая Гвардия» и не оставивших равнодушными других участников и СМИ.

Continue reading

0 likes 4 responses
30/05/11 |Blog # , , ,

Capture the Сredit: захват зачета

Information Security education

«Дипломированный специалист по информационной безопасности» – данный статус звучит с легким оттенком пафоса. Не смотря на всесторонность подготовки кадров для индустрии ИБ (криминалистические экспертизы, аудит ИБ, криптология и прочее) степень погружения в изучаемую область зачастую не требует акваланга.

Continue reading

0 likes 4 responses
Twitter

Stored XSS almost in all home routers around us. From quite popular and outdated Netgear that allows to organize persistence even after restoring to factory settings, to recently released Keenetic Air. Playing with @kaato137 with the devices, we're worrying about rental property.

2

"These vulnerabilities could be exploited in the future to steal personal information, alter or erase memories or cause physical harm"
Future doesn't appear from nowhere: the "pain" begins with vulnerable environment (with current management platforms). https://t.co/M4OpjvNKWC

#Brainjacking, #Neurostimulation, #MemoryHacking – the keywords of our collaborative research with @Sqrrl101 from Oxford University Neurosurgery Group, we’ve presented at KLNext. In the photo I’m demonstrating the size of your brain after our talk. Report: https://t.co/dcDQ1A9upN

Recent Comments
- Sergey to Погружение в даркнет: Снифаем выходную ноду Tor и анализируем получившийся контент
лучше заходиииииииить через тор онлайн http://torproject.online/,...
- Denis Makrushin to The problems of heterogeneous means of protection
Of course!...
- K. Olbert to The problems of heterogeneous means of protection
Insightful diagram, Denis. Would you mind if I use it in a presentation, with credit, of course?...