Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
2 июля 2011, Я.Субботник в Екатеринбурге
Алексей Андросов "HTML5 в Я.Почте"
О докладе:
Вопросы практического применения современных технологий передачи и хранения данных в браузере на примере Яндекс.Почты, проблемы и ограничения, с которыми можно столкнуться, а также способы их решения.
Для чего нужны WebSocket, localStorage и кроссдоменные AJAX запросы? Как реализовать их поддержку с учетом старых браузеров, которые не поддерживают эти технологии? Как обойти проблемы и баги в этих технологиях?
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
2 июля 2011, Я.Субботник в Екатеринбурге
Алексей Андросов "HTML5 в Я.Почте"
О докладе:
Вопросы практического применения современных технологий передачи и хранения данных в браузере на примере Яндекс.Почты, проблемы и ограничения, с которыми можно столкнуться, а также способы их решения.
Для чего нужны WebSocket, localStorage и кроссдоменные AJAX запросы? Как реализовать их поддержку с учетом старых браузеров, которые не поддерживают эти технологии? Как обойти проблемы и баги в этих технологиях?
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Fwdays
Usually, the last working day of the year means people raiding the shops and making last-minute purchases of presents for their loved ones, liquor and ingredients for all kinds of winter holiday foods. But that is a normal people story — people who don’t release the infrastructure update, that had been developed during the whole year 2017, on the year’s final week. And that is exactly what we did. We had 3 new services, a new stack of video streaming platform, new team members, and new hardware of all kinds. Not that I didn’t realize that it’s a bad idea, but if you’re taking responsibility for the result and pull anchor, you’ve got to be ready to accept the fate prepared for you by an iceberg.
And so it’s 31.12.2017, two days of fruitless troubleshooting of failing streams are over, and you’re looking at Champaign in a glass and thinking how to dig into this black box. The troubleshooting took days more and ended in a non-stop one-week long Go vs Node hackathon, which resulted in the complete rewriting of video streaming core, which was found out to be the problem.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Fwdays
Usually, the last working day of the year means people raiding the shops and making last-minute purchases of presents for their loved ones, liquor and ingredients for all kinds of winter holiday foods. But that is a normal people story — people who don’t release the infrastructure update, that had been developed during the whole year 2017, on the year’s final week. And that is exactly what we did. We had 3 new services, a new stack of video streaming platform, new team members, and new hardware of all kinds. Not that I didn’t realize that it’s a bad idea, but if you’re taking responsibility for the result and pull anchor, you’ve got to be ready to accept the fate prepared for you by an iceberg.
And so it’s 31.12.2017, two days of fruitless troubleshooting of failing streams are over, and you’re looking at Champaign in a glass and thinking how to dig into this black box. The troubleshooting took days more and ended in a non-stop one-week long Go vs Node hackathon, which resulted in the complete rewriting of video streaming core, which was found out to be the problem.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
феномен Ted или content marketing для некоммерческой организацииЯна Сергиенко
Евгений Белошицкий, основатель и ведущий конференции TEDxKharkov и PechaKuchaNight Kharkov, event-менеджер Тема: "Content Marketing для некоммерческой организации или феномен TED".
Движение по хрупкому дну / Сергей Караткевич (servers.ru)Ontico
Сегодня Интернет увлечен микросервисами, контейнерами и immutable-инфраструктурой. Очень сложно не поддаться искушению внедрить что-то подобное в компании, в которой вы работаете сейчас. Я попытаюсь отговорить вас использовать эти технологии во вред приложению, себе и бизнесу компании в целом. Я расскажу о типовом проекте, который был запущен в 20 странах за 4 месяца, проблемах, которые я встретил, и выводах, которые я сделал.
- Почему микросервисы не спасут, а похоронят ваш проект.
Я расскажу на основе собственного опыта, почему не стоит увлекаться микросервисами для небольших проектов, почему благие намерения — упрощение деплоя и увеличение числа деплоев, увеличение доступности и улучшение масштабирования ведут к отсутствию гибкости и критическому уменьшению стабильности системы.
- Почему ваша система слишком сложна для своих задач.
Я расскажу, почему не стоит усложнять систему, почему, скорее всего, ваша система слишком сложна для задач, которые она решает и почему вы не контролируете то, что происходит в системе. Я объясню, почему вы потратите все свое время на отладку сложной системы, вместо того чтобы решать задачи бизнеса.
- Почему Docker используется неправильно.
Будут предоставлены реальные примеры использования Docker для нового проекта и для портированного проекта, я объясню, с какими проблемами сталкиваются операторы при работе с Docker на живых примерах, объясню, почему вы, скорее всего, используете Docker неправильно, и предложу варианты, как этого избежать.
- Почему immutable слишком статичен для вашей компании.
Я расскажу про свой опыт работы с immutable и объясню, почему, на мой взгляд, переход к подобной инфраструкт
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Технопарк Mail.ru Group, МГТУ им. Н.Э. Баумана. Курс "Базы данных".
Лекция №9 "Безопасность баз данных". Лектор - Павел Щербинин.
Открывается лекция рассказом о резервном копировании (о логических и физических резервных копиях, о выборе данных для копирования). Затем определяется терминология для обсуждения дальнейших вопросов. После этого рассматриваются основы учётных записей: таблицы доступа, привилегии, виды записей. Обсуждаются SQL-injection, список смежных вершин (Adjacency Set), вложенное множество (Nested Set), материализованный путь (Materialized Path) и комбинированный подход.
Видео лекции курса https://www.youtube.com/playlist?list=PLrCZzMib1e9obOz5K695ugYuiOOCBciEi
История интернета. Эволюция поисковых систем - Илья Варешнюк (Ilya Vareshnuk)...Ilya Vareshnuk
Илья Варешнюк, SEO Team Leader компании TurboSeo.
Первый (вводный) вебинар из цикла обучающих TurboWebinars по SEO!
Тема: Введение в курс. История развитие интернета в кратце. Эволюция поисковых систем
На вебинаре мы рассмотрели самые распространенные ошибки которые НЕ нужно делать при переезде сайта. Разобрали какие действия и в какой последовательности следует выполнять, чтобы сохранить наработанный авторитет сайта в глазах поисковых систем.
Неочевидные детали при запуске HTTPS в OK.Ru / Андрей Домась (Одноклассники)Ontico
В этом году мы перевели наш портал на HTTPS. Это оказалось непростой задачей. Основными проблемами явились рост нагрузки, увеличение Round Trip Times (RTT) и Mixed Content. Мы опробовали различные известные механизмы, призванные нивелировать эти проблемы, но, как оказалось на практике, все они скрывают в себе особенности. Эти особенности стоило знать заранее, но их не удалось почерпнуть из открытых источников.
В этом докладе мы хотим поделиться сложностями, с которыми мы столкнулись, а также тем, к каким выводам в итоге пришли. Надеемся, что набитые нами шишки будут полезны тем проектам, которые только планируют переход на HTTPS.
Similar to Безопасность онлайн-бизнеса: что нужно знать владельцу сайта (20)
2. Досье www.turboseo.ua
info@turboseo.ua
0 800 509-600
Интернет -маркетолог
Специализация: Кодики, Кодики…=)
Практик с мышкой в руках
Активная практика с 2011 года.
www.turboseo.ua 2
19. Продвинутый уровень www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Фильтровать запросы: POST, GET, REQUEST
2. Запретите возможность делать SQL/LFI инъекции
www.turboseo.ua 19
20. Продвинутый уровень www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Фильтровать запросы: POST, GET, REQUEST
2. Запретите возможность делать SQL/LFI инъекции
3. Настройте mod_rewrite
www.turboseo.ua 20
21. Продвинутый уровень www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Фильтровать запросы: POST, GET, REQUEST
2. Запретите возможность делать SQL/LFI инъекции
3. Настройте mod_rewrite
4. Не стандартный адрес размещения для на FTP для файлов: config.php, cache,
logs и д.т.
www.turboseo.ua 21
22. Продвинутый уровень www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Фильтровать запросы: POST, GET, REQUEST
2. Запретите возможность делать SQL/LFI инъекции
3. Настройте mod_rewrite
4. Не стандартный адрес размещения для на FTP для файлов: config.php, cache,
logs и д.т.
5. Настройте доступ к FTP по IP
www.turboseo.ua 22
23. Продвинутый уровень www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Фильтровать запросы: POST, GET, REQUEST
2. Запретите возможность делать SQL/LFI инъекции
3. Настройте mod_rewrite
4. Не стандартный адрес размещения для на FTP для файлов: config.php, cache,
logs и д.т.
5. Настройте доступ к FTP по IP
6. Используйте надежного хостинг провайдера
www.turboseo.ua 23
44. Общие рекомендации www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Используйте разные пароли для разных проектов
2. Не храните пароли в браузере или FTP клиенте
www.turboseo.ua 44
45. Общие рекомендации www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Используйте разные пароли для разных проектов
2. Не храните пароли в браузере или FTP клиенте
3. Скачивайте шаблоны и расширения с проверенных источников
www.turboseo.ua 45
46. Общие рекомендации www.turboseo.ua
info@turboseo.ua
0 800 509-600
1. Используйте разные пароли для разных проектов
2. Не храните пароли в браузере или FTP клиенте
3. Скачивайте шаблоны и расширения с проверенных источников
4. Мониторьте сообщения о безопасности через Google и Yandex Webmaster
www.turboseo.ua 46
47. Апогей www.turboseo.ua
info@turboseo.ua
0 800 509-600
Подавляющее большинство взломов
происходит не из-за ошибок в
программном обеспечении, а из – за
человеческого фактора!
Кевин Митник
www.turboseo.ua 47