PCBlog.spb.ru

До 25 ноября 2011 года предлагается найти существенные уязвимости в сервисах Яндекса и социальной сети «Мой Круг», которые работают и обрабатывают персональные данные пользователей, за исключением сервиса Яндекс.Деньги; 

Уязвимости будут проанализированы группой экспертов, а результаты конкурса будут объявлены 25 ноября 2011 г. 

Участник, который первый нашел и сообщил о самой критической уязвимости получает приз – $5,000. 

Если сумма конкурса не показалась слишком маленькой, то приблизительный список уязвимостей, которые необходимо искать: 

Межсайтовый скриптинг (XSS); межсайтовая подделка запросов (CSRF); небезопасное управление сессией; инъекции; ошибки в механизмах аутентификации и авторизации, которые позволяют обходить эти механизмы. 

Искать на сервисах Яндекса, расположенных в доменах:
*.yandex.ru, com, com.tr, kz, ua, by, net, st;
*.ya.ru.
*.moikrug.ru. 

Обратите внимание, что к участию не принимаются уязвимости в сервисе Яндекс.Деньги ! 

Кроме того, уязвимости за которые не дадут приз:
● уязвимости сетевой инфраструктуры Яндекса (почтовые серверы, jabber, FTP-серверы и так далее); 
● сторонних сайтов и сервисов, взаимодействующих с Яндексом;
● не дают за уязвимости сервиса Яндекс.Деньги;
● пользовательских аутентификационных данных (например, слабые пароли);
● уязвимости, которые приводят к возможности совершения DoS- или DDoS-атак;
● уязвимости с использованием техник социальной инженерии, например, фишинга.

Детальное описание проблемы отправляйте письмом на security-report@yandex-team.ru. В письме укажите название сервиса, на котором обнаружена уязвимость; имя уязвимого скрипта, функции или передаваемого параметра;  пошаговое описание действий, которые должны быть выполнены для воспроизведения уязвимости.

К письму приложите скриншоты, если это необходимо. PGP-ключ Яндекса для передачи зашифрованного сообщения. 

Обратите внимание, что тестировать и демонстрировать уязвимость разрешается только на своей тестовой учётной записи. Взламывать чужие учётные записи ни в коем случае нельзя; 

В течение 90 дней с момента отправки информации об уязвимости в Яндекс нельзя раскрывать подробности о ней третьим сторонам, в том числе публиковать их в открытых или закрытых источниках. 

После отправки письма, ждите ответа. Подробнее об участии в конкурсе (PDF) 

Напомним, что подобная практика вовлечения сторонних специалистов по безопасности через конкурс не первая, по такому пути пошла Google, когда объявила конкурс, в котором участникам предлагалась найти уязвимости в браузере Google Chrome. Было обнаружено 18 уязвимостей; из них 11 получили статус «high». За найденные уязвимости было выплачено вознаграждение порядка $26,000.

Роскомнадзор закрыл очередной сайт в зоне .ru, на котором размещалась персональная информация абонентов сотового оператора.

В базе данных, которая находилась в открытом доступе через интернет, содержались персональные данные об абонентах из Башкирии и Санкт-Петербурга: ФИО, адрес проживания и паспортные данные абонентов.

Бадров А.Г. (ФСБ): ответы на вопросы о защите персональных данных

В базе данных сайта было выявлено более 1,500,000 телефонов с кодами города (917) и (911).

Обновлено: 25 октября 2011

Уже скоро на российских дорогах появится алколазеры, которые способны определить наличие паров спирта в салоне движущегося автомобиля на расстоянии до 100 метров.

В категорию риска попадают все автомобилисты, которые, например, активно используют омыватели автомобильных стекол на спиртосодержащей основе (этанол); парфюмерию (духи, туалетная вода, одеколон, дезодорант, освежитель воздуха) в которой содержится спирт (этанол), а также сильно пьяные попутчики, которые могут сильно пролить, надышать и напрыскать. Прибор может не сработать, если в машине будут открыты окна (необходима концентрация спирта в воздухе).

Стационарные алколазеры могут делать снимки номеров машины при предельной концентарии этанола в салоне автомобиля; за это вас могут остановить на ближайшем посту ДПС.

Определение химического состава воздуха в машине стало возможно благодаря технологии дистанционного спектрального анализа.

Стационарный алколазер «Бутон» позволяет просканировать воздух в салоне авто на расстоянии 25 м, переносной работает на расстоянии 15 метров

Сканирование производится при помощи лазера, направленного в салон транспортного средства, движущегося со скоростью 150 км/ч. Чувствительность алколазера «Бутон» можно настроить.

Кроме того, на вооружение МВД будет принят еще ряд приборов: радиолокатор для обнаружения людей за стеной «Данник-5″ позволяет определять живых неподвижных людей в помещении за стеной 20 см; прибор для экспресс проверки на наличие взрывчатых веществ «Сокол»; ручной прибор для обнаружения горючих и взрывчатых жидкостей «LQtest».

Обновлено: 25 октября 2011