Ми постійно відстежуємо нові тенденції, думки і публікації з інформаційної безпеки. Весь цей обсяг інформації систематизується і «розкладається» за продуктовим нішах. В результаті формується єдина картина того, як аналітики бачать наше з вами майбутнє. Ми вирішили поділитися черговими по самим цікавим і сильним трендам, про які говорить у своїх звітах і презентаціях Gartner. Комусь ця інформація стане в нагоді для виступів, комусь- для обґрунтування бюджетів, а комусь просто дозволить «звірити годинники» з індустрією і бути в курсі того, що зараз вважається самими «гарячими» темами.

Отже, куди ж, на думку Gartner, рухається галузь?



Читати далі →

Конкурс WAF Bypass на Positive Hack Days VI

В рамках міжнародного форуму з практичної безпеки Positive Hack Days в черговий раз відбувся конкурс WAF Bypass. Як і раніше, завданням учасників було рішення завдань шляхом обходу перевірок PT Application Firewall, захищав вразливі веб-додатки. Кожне із завдань передбачало закладені нами варіанти обходу, які були можливі через спеціально допущених помилок в конфігурації. Мета кожного завдання — отримати прапор, який міг зберігатися в базі даних, у файловій системі або в Cookie, які видаються спеціальним боту. Опис завдань і способи їх вирішення під катом.


Читати далі →

Чим захищають сайти, або Навіщо потрібен WAF?



У цьому році компанії Positive Technologies назвали «визионером» в рейтингу Gartner Magic Quadrant for Web Application Firewalls. Це викликало низку запитань про те, за які досягнення ми туди потрапили і що таке WAF взагалі. Питання цілком правомірні, адже Gartner випускає своє дослідження WAF лише з минулого року (для прикладу: «квадранти» SIEM стали виходити на п'ять років раніше, в 2009 році). Крім того, деякі досі плутаються з термінологією, не відрізняючи «екран для захисту веб-додатків» (WAF) від звичайної міжмережевого екрану» (network firewall) або «системи запобігання вторгнень» (IPS).

У цій статті ми спробуємо відокремити мух від котлет і розповісти, як йде еволюція периметровой захисту по мірі зростання витонченості атак.

Читати далі →

«Розумний Будинок» і система MySensors: Частина 0

У першій частині (http://habrahabr.ru/post/255281) я трохи розповів про мій досвід створення пристроїв на основі системи MySensors. Повинен визнати, опис вийшло не повним без початку і без кінця.

В цей раз займемося «початком», значить це буде Частина 0.


Читати далі →

Саморобні датчики руху (температури, вологості, освітлення) для «Розумного Будинку» на основі системи MySensors

Проходив повз, дивлюся, а тут цікаві речі про самодєлках різних пишуть. Я теж недавно щось майстрував, дай, думаю, напишу, може кому і придасться, ну або просто цікаво буде. Мова йде про залозі бюджетного DIY-датчика для вбудовування в панелі вимикачів і розеток.

Але давайте по порядку.

Читати далі →

Розбір завдань конкурсу WAF Bypass на PHDays IV

    Цього року на Positive Hack Days проходив конкурс WAF Bypass, учасники якого могли спробувати свої сили в обході PT Application Firewall . Для нас проведення такого конкурсу було відмінним шансом перевірити продукт в бою, адже на конференції зібралися кращі фахівці в області інформаційної безпеки.
 
Для конкурсу ми підготували набір завдань. Кожне представляло собою сценарій з типовою вразливістю: з її допомогою потрібно було добути прапор. Всі завдання мали рішення, але рішення не завжди були очевидними. Учасникам був доступний звіт про сканування вихідних кодів завдань за допомогою іншого продукту нашої компанії — Application Inspector . У цьому пості ми розповімо про завдання, обходах і отриманому досвіді.
Читати далі →