Positive Hack Day(s) 2011

Компания Positive Technologies проводит уникальное мероприятие – международную конференцию Positive Hack Day(s), которая посвящена практическим вопросам безопасности и предоставляет собой площадку для обмена мнениями, получения новых знаний, обретения контактов и практических навыков. Мероприятие проходит 19 мая в Культурно-развлекательном центре Молодая Гвардия г. Москва. Сайт мероприятия: http://phdays.ru/

Тематика конференции сформирована с акцентом на практические моменты актуальных вопросов информационной безопасности. Основными темами конференции являются: безопасность веб-приложений, защита облачных вычислений и виртуальной инфраструктуры, противодействие 0-day атакам, расследование инцидентов, защита от DDoS, противодействие мошенничеству, безопасность АСУ ТП (SCADA), защита бизнес-приложений и ERP.

Хроники пентестера #1: Безопасность в сетях Microsoft

Предположил, что многим будет интересно почитать невыдуманные истории из жизни, в которых удавалось воспользоваться слабостями защитных механизмов в крупных компаниях и реализовать различные угрозы информационной безопасности. В силу того, что подобных историй за время работы в компании Positive Technologies накопилось огромное множество и маленькая тележка, данную рубрику предполагаю вести по всем направлениям enterprise security. А чтобы защищающейся стороне данный материал также являлся полезным, в конце каждого подобного поста буду приводить практическое решение по избеганию описываемых (типовых) проблем безопасности. Итак, поехали!

Полное руководство по прохождению HackQuest 2010

Журнал "Хакер" назвал HQ2010, как "САМЫЙ ЛУЧШИЙ... КВЕСТ!". Моя версия – "Самый долгоиграющий хак-квест" :), потому как проходил он в конце августа на фестивале Chaos Constructions 2010, а затем в урезанном формате был доступен в online-режиме в конце 2010 года на площадке портала SecurityLab. И только теперь, по прошествии более полугода, публикуется его прохождение.

Данная публикация была подготовлена при участии:

Сергея Рублева (Positive Technologies); http://ptresearch.blogspot.com/
Александра Матросова (ESET); http://amatrosov.blogspot.com/
Владимира d0znp Воронцова (ONsec.RU); http://oxod.ru/
Тараса oxdef Иващенко (Яндекс); http://blog.oxdef.info/
...и вашего покорного слуги.

Воины будущего: Да придет спаситель часть IV

Продолжая серию Позитивных выступлений для широкой аудитории, Сергей Рублев рассказал про хокс-программы на телеканале iTV:



Хокс-программы (англ. hoax — мистификация) — разновидность троянских программ, использующих обман неосведомленных пользователей Интернет в вопросах информационной безопасности для убеждения их в необходимости заплатить за некое действие (обычно даже мнимое) или, наоборот, за предотвращение действия.

Авторизация на веб-сервере Apache по сертификату

На днях для внутренних нужд компании потребовалось настроить веб-сервер Apache для авторизации пользователей в приложении с использованием цифровых сертификатов. Причем так, чтобы все было кошерно :) т.е. все сертификаты должны быть подписаны внутренним удостоверяющим центром Microsoft CA.

Стоит признаться, что пришлось несколько повозиться, ибо подробного howto на просторах нашей бескрайней мне найти не удалось. Потому предположил, что шпаргалка на эту тему может оказаться полезной.

Постановка задачи:

требуется настроить авторизацию на веб-сервере Apache с использованием подписанных цифровых сертификатов внутренним удостоверяющим центром Microsoft CA.