Securit13 Podcast

Интервью с Владимиром Кочетковым (https://twitter.com/kochetkov_v) Тернистый путь специалиста по безопасности приложений: где учиться, чему учиться, к чему стремиться и многое другое. Безопасность open source, аспекты безопасности использования разделяемых библиотек и frameworks. Экзотическое поведение списков в Python (http://rsdn.ru/forum/security/4547724.flat) О безопасности компиляторов (http://www.opennet.ru/opennews/art.shtml?num=29981, https://www.veracode.com/blog/2009/08/trust-your-own-code-trust-your-own-compiler/) Форум по безопасности для разработчиков на RSDN (http://rsdn.ru/forum/security) Язык программирования Nemerle (http://vkochetkov.blogspot.ru/2011/06/nemerle.html) The Tangled Web: A Guide to Securing Modern Web Applications (http://www.amazon.com/The-Tangled-Web-Securing-Applications/dp/1593273886) Источники информации об исследованиях по безопасности кода: http://seclab.cs.ucdavis.edu/ http://www.cs.dartmouth.edu/~sergey/ http://ceur-ws.org/ http://suif.stanford.edu/~livshits/work/griffi

Intro/Outro: 2Pac – Dear Mama (MelodyAngel Guitar Cover) - https://soundcloud.com/melodyangel/dearmamacover  Призмы и линзы https://en.wikipedia.org/wiki/PRISM_(surveillance_program) (Meet Mr. Prism! http://i.imgur.com/znAbpIS.png) Natural Language Processing & Нейронные сети Безопасность облаков - своими руками http://security-ingvar-ua.blogspot.com/2013/05/cloudstack-iaas-insecure-password-reset.html (не)безопасность open/closed-source ПО Усиление Украинского законодательства в области защиты авторского права No WebMoney – no honey Тоска по Netflix & Spotify UISGCON 9 CFP http://uisgcon.org/9/speakers/  Прогресс в области гомоморфной криптографии Пару слов за PHDays

Intro/Outro Malukah - Frozen Sleep - Halo 4 / Cortana Tribute (http://www.malukah.com/FREE/) Latest Java o-day recap, still not fully patched (http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html) Java 1.7u10 Security Settings fail (http://seclists.org/fulldisclosure/2013/Jan/241) Good Morning, Your Mac Keeps A Log Of All Your Downloads(http://www.macgasm.net/2013/01/18/good-morning-your-mac-keeps-a-log-of-all-your-downloads/) Google looks to ditch passwords for good with NFC-based replacement(http://www.zdnet.com/google-looks-to-ditch-passwords-for-good-with-nfc-based-replacement-7000010073/) How to Secure SSH with Google Authenticator’s Two-Factor Authentication(http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/) Red October (http://arstechnica.com/security/2013/01/why-red-october-malware-is-the-swiss-army-knife-of-espionage/) Gozi Malware (http://www.csoonline.com/article/727438/gozi-malware-arrests-report-highlight-russian

Intro/Outro: Ylvis - Someone Like Me [dubstep edit] (https://www.youtube.com/watch?v=DwDHiTQq49U) Fail #1 - Безмолвный Карпик Fail #2 - Неудавшееся обсуждение "бани трафика" Криптоанализ в "облаках" - PoC извлечения приватных ключей RSA из соседней виртуальной машины (http://arstechnica.com/security/2012/11/crypto-keys-stolen-from-virtual-machine/) Смещение парадигмы защиты ИТ-систем в "облаках" Курсы, связанные с безопасностью, доступные на Coursera (http://coursera.org)

Intro/Outro: System Of A Down - Toxicity - piano cover by vkgoeswild (https://www.youtube.com/watch?v=Be-loLSUWT0) Прогресс карьеры Обсуждение UISGCON8 Организационная структура и информационная безопасность Состояние безопасности ИТ- и софтверных компаний Безопасность и Agile Связи и различия корпоративной безопасности и безопасности приложений OK, сколько типов безопасников нам нужно? DevOps и "облачная" безопасность Еще обсуждение UISGCON8 Некоторые заметки о том, как организовать конференцию Несколько слов о bug bounty program Специальный гость: Интервью с Алексеем Лукацким Безопасность и языки программирования

(Intro) PSY - GANGNAM STYLE 8bit Version Первая попытка интервью с Андреем Логиновым - впечатления о конференции OSDN - http://conference.osdn.org.ua Анонс программы UISGCON8 - как пройти, что докладывают (аудиогид по докладам) Интервью с Андреем Кулиничем (http://4vanger.com/) на тему @Privatbank Bug Bounty Program "Слабое место": опыт участия, размеры премий, принципы награждения и пр. и пр. - Клиенты ПриватБанка помогают находить уязвимые места банковских систем - http://www.blog.privatbank.ua/?p=1646 - Форма оповещения об уязвимостях - http://goo.gl/D38jS To be continued...

The summer of hack PHDays recap - Slides and video http://phdays.ru/press/news/8087/ - Photo http://phdays.ru/about/photos/ - CTF http://phdays.ru/ctf/ctf2012/ http://www.securitylab.ru/blog/personal/offtopic/23134.php 10 crazy IT security tricks that actually work http://www.infoworld.com/print/196864 Dave Aitel’s attack on Security Awareness - Original post on CSO: http://www.csoonline.com/article/711412/why-you-shouldn-t-train-employees-for-security-awareness?page=1 - Reaction 1: http://blogs.rjssoftware.com/rjssecurity/?p=206 - Reaction 2: http://daveshackleford.com/?p=827 - Reaction 3: https://jadedsecurity.net/2012/07/21/836/ UISGCon - www.8.uisgcon.org - http://uisgcon.blogspot.com

(Intro) San Francisco - Scott McKenzie Интервью с Владимиром Илибманом и Дмитрием Петращуком о поездке на RSAC 2012 (Outro) Concrete Angel - Christina Novelli (Acoustic Version Cut)

Intro: Фліт - Вийди моя люба LulzSec Leader Was Snitch Who Helped Snag Fellow Hackers http://www.wired.com/threatlevel/2012/03/lulzsec-snitch/ Irish LulzSec hacker was an OWASP Chapter leader - http://thesent.nl/ACkT9L Anonymous Posts Response Letter To Hacker Snitch Sabu (On A Hacked Security Firm's Website) http://onforb.es/yVLMcl (Panda hacked as a result) BTW, Sabu attended the school where Hackers were shot. Really. NSA's Secure Android Spec https://www.schneier.com/blog/archives/2012/03/nsas_secure_and.html Google Offers $1 Million in Hacker Bounties for Exploits Against Chrome http://www.wired.com/threatlevel/2012/02/google-1-million-dollar-hack-contest/ The Best (and Worst) Antivirus Apps for Android http://lifehacker.com/5891576/the-best-and-worst-antivirus-apps-for-android Should You Allow Inbound E-mail Over IPv6? https://www.networkworld.com/community/node/79944 How GitHub handled getting hacked http://www.zdnet.com/blog/security/how-github-handled-getting-hacked/10473 Safe Coding and Software Sec

Intro: Ляпис Трубецкой - Путинарода Специальный гость: Кирилл Сухоставский ( http://www.esx.cx/ ) Много всякого-разного об угрозах, методах защиты и прочих аспектах вирутализации и виртуализированного. Ищите заметки к эпизоду на сайте http://www.securit13.com Outro: Lisa Miskovsky - Still Alive (Mirrors Edge OST)

Intro: H-Blockx - I Heard Him CryО сложности паролей, авиаперелетах, отдыхе в Доминикане/Тайланде/Египте, ипотечном кредитовании, трудностях регистрации общественных организаций, гипотетической энергетической независимости, проблеме ледников, голоде в Африке и миграции воронОсобенности профессионального сообщества ИБ в Монреале (Канада), Киеве (Украина) и Москве (Российская Федерация) Оппа-SOPA! Что такое (было) SOPA & PIPA, почему нам есть до этого дело, прочие аспекты защиты авторских прав - http://goo.gl/p85oi http://goo.gl/EP9px http://goo.gl/WLEXb#OpUkraine... или #OpAnonFail - истинная сторона заявленных атак на украинские сайты. Интервью с членами группы Anonymous - http://goo.gl/UWQpe http://goo.gl/a2MCx http://pastebin.com/CmFzAD3B"You have to see these crazy pictures!" - деанонимизация создателей и операторов червя Koobface - http://goo.gl/Pp61F http://goo.gl/k9szBSocial Security Bloggers Award 2011 - http://goo.gl/IXEufУязвимость WiFi-роутеров, поддерживающих WPS - http://goo.gl/eRVqOSymantec "

Intro: dredg - Bug Eyes Гость эпизода - Дмитрий Петращук Введение в стандарт. - PCI DSS v2: http://goo.gl/8v1rJ - Navigating PCI DSS: http://goo.gl/xDybI Кто должен соответствовать PCI DSS? Processors, merchants & service providers. Какие санкции за несоответствие? Сколько компаний в Украине соответствуют и должны бы соответствовать? В чем задача QSA? QSA это: сертификация, статус, лицензия?.. Какие еще нужны разрешения для консультирования в области? Какие нужны знания/умения/сертификаты? Есть ли требования по разделению полномочий консультанта и аудитора? Что такое компенсационные контроли? В каких случаях их нужно/можно применять? Каким должен быть пентест в составе PCI DSS? Правда ли, что это только скан портов, или все по-взрослому? - PCI SSC Information Supplement: Requirement 11.3 - Penetration Testing: http://goo.gl/yNs3S Outro: Bethesda Softworks, Jeremy Soule - ‪The Dragonborn Comes (Skyrim Bard Song and Main Theme Female Cover‬)

Gogol Bordello - Wonderlust King ОО "UISG" - интервью с Сергеем Дяченко Впечатления и уроки UISGv7 Обзор произошедшего за месяц: - Google SSL Remix (Perfect Forward Secrecy Dub) - Об Open'DNS'Crypt и безопасности DNS вообще - Наша песня хороша: Adobe Penetration Document Format (PDF) 0-day - Альтернативная стратегия поиска работы: взлом отеля Marriott - C|Net Download.com vs. Gordon 'Fyodor' Lyon - OpenPGP for GMail PoC - SOPA: Stop Online Privacy Act U2 - With or Without You (Kye Kye Cover)

Интервью с MustLive (websecurity.com.ua) Уведомление об уязвимостях http://websecurity.com.ua/articles/security_researches_and_legislation/ Исправление уязвимостей Пентесты и соглашения о конфиденциальности Путь к безопасности Черный ящик, белый ящик, ревю кода Рекомендации безопасной разработки Безопасность веб-приложений и PCI DSS Уязвимости Securit13.com http://websecurity.com.ua/5481/ Музыка MustLive: http://soundcloud.com/mustlive

Into: Вася Обломов - Одноклассники (Кто-то) Конферанс 2011 BUBA - Спасибо проголосовавшим! http://watcher.com.ua/buba/securit13/ Новости подготовки UISGv7 http://7.uisgcon.org RIP Adobe Flash for Mobile http://goo.gl/oSorj Operation GhostClick и морально-этический троллинг http://goo.gl/bEpVR http://goo.gl/l0vhIhttp://goo.gl/hZUEU Apple vs. Charlie Miller - 3:0 http://goo.gl/ZpzKz DuQu: Отец, сын или нечистый дух Stuxnet? http://goo.gl/mEFdx Флейм вокруг MS11-083 и журналистики от ИТ-безопасности: каковы реальные риски уязвимости?http://goo.gl/c8n59 http://goo.gl/zDydW School4Lulz и заказт звезды Анонимусов и Лулзов http://goo.gl/xtmGV PTES news! Contribute! Contribute! Contribute! http://goo.gl/mdjzn Просто флейм вокруг журналистики от ИТ-безопасности. Ruby crypto fail http://goo.gl/aO05l Лирическое отступление Vote for @wimremes!! Реформы в (ISC)2, CPE etc. https://twitter.com/wimremes https://www.isc2.org/2011-board-ballot.aspx SE, CA, SSL и прочие мелочи. APT, пентесты, тактика противостояния, аналогии и

Intro: Тартак - Я не хочу Обсуждение закона об Интернет-фильтрации ( http://goo.gl/6YaFd ) EFF о безопасности SSL ( http://goo.gl/DIiT5 ) THC-SSL-DOS tool: шоб усі боялись ( http://goo.gl/5rbTf ) Атака недели: шифрование XML ( http://goo.gl/gTT8m ) Оценка безопасности двухфакторной аутентификации на примере Google ( http://goo.gl/xkEvA ) Обнаружение и противодействие атакам на SSL (PDF) ( http://goo.gl/3keP ) ЗЦК, патч менеджмент и пентесты на низкой орбите ( http://goo.gl/bjYLC , http://goo.gl/AEsNH ) Боян о NASA и "Свиньях в космосе" ( http://goo.gl/BCYsE ) Итоги атаки на RSA SecurID (для RSA) ( http://goo.gl/bYbe1 ) и маркетинг в ИБ ( Kaspersky & Me: "Packin' The K!" -http://goo.gl/J255l ) Итоги атаки на RSA SecurID (вообще): список предполагаемых жертв от Браяна Кребса ( http://goo.gl/niODa ) Darth DuQu ( http://goo.gl/a6wyA ) Ссылки в Интеренете, свобода слова и вообще о Канаде ( http://goo.gl/lKlrl ) Top-10 тупейших хаков в мире ( http://goo.gl/zfoiB ) SQLi на номерном знаке ( http://goo.gl/F9WZ )

Intro: Cisco Systems, Inc. - What a Hackable World - http://youtu.be/aWcqANGa21U Конферанс RIP Dennis Ritchie & Steve Jobs Анонс UISGv7 - LinkedIn event http://events.linkedin.com/7th-Ukrainian-Information-Security-Group/pub/824461 - Приглашение http://goo.gl/N3edr - Invitation http://goo.gl/0l1Lz Раскрытие информации об уязвимостях: "за" и "против", кому и стоит ли? http://goo.gl/uUTah Star Wars -- в программу средней школы! R2D2, легальное прослушивание и гос. закупки - http://goo.gl/q3JDH Очень страшное ПО: поучительная история о социальной инженерии, аутсорсинге и фальшивых антивирусах - http://goo.gl/GQQ82 Еще один анонс UISGv7! Оффтоп: Топ-10 скачиваемых фильмов в Интернете - http://goo.gl/iSD7l Результаты поиска (Bing & Yahoo) и социальная инженерия как средство распространения зловредного кода - http://goo.gl/YXrVy Google Wave прекратит существование - http://goo.gl/5qQG Brute Force SONY (TM) - http://goo.gl/FKDND Вирусная эпидемия беспилотных дронов - http://goo.gl/FYpau Интерлюдия: приветств

Intro: Alexander Pushnoy - Du Taxi Конферанс, реверанс, саундчек Приветствие, статистика, благодарность слушателям Тоска по поре отпусков Facepalm of the month: mysql.com pwnd - http://goo.gl/gsYzi Linux still down, побит рекрд SONY PSN, BSG forever Первая "практическая" атака на SSLv3/TLSv1 - http://goo.gl/8CwUR Аналогии с безопасностью WiFi, советы по защите открытых точек доступа Возвращаясь к SSL: шифруйте данные форм! Exotic Liability, Tiger Team, breakin_in, аудио цензура и поучительня история о безопасности мототранспорта - http://goo.gl/w9ZSn Параллели между разными направлениями в безопасности, смена поколений как путь эволюции безопасности - http://goo.gl/5lqP3, подростки и приватность Типичные ошибки безопасности и приватности online и советы по их исправлению: неправильная маршрутизация сообщений и использование незащищенных соединений - http://goo.gl/dlDE7 Пересмотрите права доступа к вашим сетевым аккаунтам -- прямо сейчас: facebook http://goo.gl/stfl9 - Twitter http://goo.gl/SZTPv - LinkedIn ht

Intro: Green Day - Basket Case Audio Recording Social Engineering Fail SSL MITM GOOG IRAN DIGINOTAR CA HACKED OMGRBL http://goo.gl/0CbvF (App to remove from Android: http://goo.gl/J6JlJ) ЗЦК: Палимся по телику http://goo.gl/OqDCz Как мы нашли файло, которым хакнули RSA http://goo.gl/ENnIj Тенденции развития зловредного кода от Google http://goo.gl/qy1B6 Легко эксплуатируемая DoS-уязвимость в HTTP-сервере Apache http://goo.gl/nd4p6 http://goo.gl/mzSHK http://goo.gl/EKhW7 Функция crypt() для MD5 в PHP 5.3.7 возвращает salt only http://goo.gl/EsTPk http://goo.gl/EAWvD Morto RDP Worm http://goo.gl/Qn5CN http://goo.gl/nG9dz 20 лет Linux http://goo.gl/XrU4E Kernel.org hacked http://goo.gl/QK5dJ Facepalm of the Month: Горе-хакер спалился пятидолларовой покупкой в МакДональдсе http://goo.gl/u62HJ Утечка информации о шпионской сети... из RSA! http://risky.biz/RSADump Продакт-менеджер алкоголик -- беда в компании. Очередной прототип iPhone потерян в пабе http://goo.gl/5IPvg RankMyHack hacked http://pastebin.com/bq8xJPM

По многочисленным просьбам слушателей, мы взяли интервью у четырех действующих (и уже нет) специалистов по информбезопасности и ИТ-аудиту. Что из этого получилось, можно услышать в записи. Внимание! Материал не рекомендуется к прослушиванию на рабочем месте и в присутствии детей! ;) Регламент Дмитрий Паномарев, @ze_punker Тарас Данько Блондинка Богдан Бондарь, @3tooth Интерлюдия Влад Скуба и аццкий отжег