Интервью с Владимиром Кочетковым (https://twitter.com/kochetkov_v)

Тернистый путь специалиста по безопасности приложений: где учиться, чему учиться, к чему стремиться и многое другое.

Безопасность open source, аспекты безопасности использования разделяемых библиотек и frameworks.

Экзотическое поведение списков в Python (http://rsdn.ru/forum/security/4547724.flat)

О безопасности компиляторов (http://www.opennet.ru/opennews/art.shtml?num=29981, https://www.veracode.com/blog/2009/08/trust-your-own-code-trust-your-own-compiler/)

Форум по безопасности для разработчиков на RSDN (http://rsdn.ru/forum/security)

Язык программирования Nemerle (http://vkochetkov.blogspot.ru/2011/06/nemerle.html)

The Tangled Web: A Guide to Securing Modern Web Applications (http://www.amazon.com/The-Tangled-Web-Securing-Applications/dp/1593273886)

Источники информации об исследованиях по безопасности кода:

http://seclab.cs.ucdavis.edu/

http://www.cs.dartmouth.edu/~sergey/

http://ceur-ws.org/

http://suif.stanford.edu/~livshits/work/griffin/lit.html

http://www.cs.utexas.edu/~shmat/courses/cs380s/

http://www.engpaper.com/research-paper-computer-science-web-application.htm

http://www.engpaper.com/research-paper-computer-science-network-security.htm

http://security.cs.berkeley.edu/

Outro: Веня Д'ркин - Нибелунг (http://drdom.ru/)

Intro/Outro: 2Pac – Dear Mama (MelodyAngel Guitar Cover) - https://soundcloud.com/melodyangel/dearmamacover 

Призмы и линзы https://en.wikipedia.org/wiki/PRISM_(surveillance_program) (Meet Mr. Prism! http://i.imgur.com/znAbpIS.png)

Natural Language Processing & Нейронные сети

Безопасность облаков - своими руками http://security-ingvar-ua.blogspot.com/2013/05/cloudstack-iaas-insecure-password-reset.html

(не)безопасность open/closed-source ПО

Усиление Украинского законодательства в области защиты авторского права

No WebMoney – no honey

Тоска по Netflix & Spotify

UISGCON 9 CFP http://uisgcon.org/9/speakers/ 

Прогресс в области гомоморфной криптографии

Пару слов за PHDays

Intro/Outro Malukah - Frozen Sleep - Halo 4 / Cortana Tribute (http://www.malukah.com/FREE/)

Latest Java o-day recap, still not fully patched (http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html)

Java 1.7u10 Security Settings fail (http://seclists.org/fulldisclosure/2013/Jan/241)

Good Morning, Your Mac Keeps A Log Of All Your Downloads(http://www.macgasm.net/2013/01/18/good-morning-your-mac-keeps-a-log-of-all-your-downloads/)

Google looks to ditch passwords for good with NFC-based replacement(http://www.zdnet.com/google-looks-to-ditch-passwords-for-good-with-nfc-based-replacement-7000010073/)

How to Secure SSH with Google Authenticator’s Two-Factor Authentication(http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/)

Red October (http://arstechnica.com/security/2013/01/why-red-october-malware-is-the-swiss-army-knife-of-espionage/)

Gozi Malware (http://www.csoonline.com/article/727438/gozi-malware-arrests-report-highlight-russian-cybercrime)

Google cached HP printers (http://www.wired.com/insights/elsewhere/whoops-google-indexes-more-than-86000-hp-public-printers-20130125/)

PHDays is coming (http://phdays.ru/)

PentestersLab (https://www.pentesterlab.com/), DVL (http://www.damnvulnerablelinux.org/), DVWA (http://www.dvwa.co.uk/), CFT365 (http://ctf365.com/), Hack.me (https://hack.me/)

PoewrShell 3 (http://blogs.technet.com/b/heyscriptingguy/archive/2012/09/06/powershell-3-0-is-now-available-for-download.aspx)

Intro/Outro: Ylvis - Someone Like Me [dubstep edit] (https://www.youtube.com/watch?v=DwDHiTQq49U)

Fail #1 - Безмолвный Карпик

Fail #2 - Неудавшееся обсуждение "бани трафика"

Криптоанализ в "облаках" - PoC извлечения приватных ключей RSA из соседней виртуальной машины (http://arstechnica.com/security/2012/11/crypto-keys-stolen-from-virtual-machine/)

Смещение парадигмы защиты ИТ-систем в "облаках"

Курсы, связанные с безопасностью, доступные на Coursera (http://coursera.org)

Intro/Outro: System Of A Down - Toxicity - piano cover by vkgoeswild (https://www.youtube.com/watch?v=Be-loLSUWT0)

Прогресс карьеры

Обсуждение UISGCON8

Организационная структура и информационная безопасность

Состояние безопасности ИТ- и софтверных компаний

Безопасность и Agile

Связи и различия корпоративной безопасности и безопасности приложений

OK, сколько типов безопасников нам нужно?

DevOps и "облачная" безопасность

Еще обсуждение UISGCON8

Некоторые заметки о том, как организовать конференцию

Несколько слов о bug bounty program

Специальный гость: Интервью с Алексеем Лукацким

Безопасность и языки программирования

(Intro) PSY - GANGNAM STYLE 8bit Version

Первая попытка интервью с Андреем Логиновым - впечатления о конференции OSDN - http://conference.osdn.org.ua

Анонс программы UISGCON8 - как пройти, что докладывают (аудиогид по докладам)

Интервью с Андреем Кулиничем (http://4vanger.com/) на тему @Privatbank Bug Bounty Program "Слабое место": опыт участия, размеры премий, принципы награждения и пр. и пр.

- Клиенты ПриватБанка помогают находить уязвимые места банковских систем - http://www.blog.privatbank.ua/?p=1646

- Форма оповещения об уязвимостях - http://goo.gl/D38jS

To be continued...

The summer of hack

PHDays recap

- Slides and video http://phdays.ru/press/news/8087/

- Photo http://phdays.ru/about/photos/

- CTF http://phdays.ru/ctf/ctf2012/ http://www.securitylab.ru/blog/personal/offtopic/23134.php

10 crazy IT security tricks that actually work http://www.infoworld.com/print/196864

Dave Aitel’s attack on Security Awareness

- Original post on CSO: http://www.csoonline.com/article/711412/why-you-shouldn-t-train-employees-for-security-awareness?page=1

- Reaction 1: http://blogs.rjssoftware.com/rjssecurity/?p=206

- Reaction 2: http://daveshackleford.com/?p=827

- Reaction 3: https://jadedsecurity.net/2012/07/21/836/

UISGCon

- www.8.uisgcon.org

- http://uisgcon.blogspot.com

(Intro) San Francisco - Scott McKenzie

Интервью с Владимиром Илибманом и Дмитрием Петращуком о поездке на RSAC 2012

(Outro) Concrete Angel - Christina Novelli (Acoustic Version Cut)

Intro: Фліт - Вийди моя люба

LulzSec Leader Was Snitch Who Helped Snag Fellow Hackers http://www.wired.com/threatlevel/2012/03/lulzsec-snitch/

Irish LulzSec hacker was an OWASP Chapter leader - http://thesent.nl/ACkT9L

Anonymous Posts Response Letter To Hacker Snitch Sabu (On A Hacked Security Firm's Website) http://onforb.es/yVLMcl (Panda hacked as a result)

BTW, Sabu attended the school where Hackers were shot. Really.

NSA's Secure Android Spec https://www.schneier.com/blog/archives/2012/03/nsas_secure_and.html

Google Offers $1 Million in Hacker Bounties for Exploits Against Chrome http://www.wired.com/threatlevel/2012/02/google-1-million-dollar-hack-contest/

The Best (and Worst) Antivirus Apps for Android http://lifehacker.com/5891576/the-best-and-worst-antivirus-apps-for-android

Should You Allow Inbound E-mail Over IPv6? https://www.networkworld.com/community/node/79944

How GitHub handled getting hacked http://www.zdnet.com/blog/security/how-github-handled-getting-hacked/10473

Safe Coding and Software Security Infographic https://www.veracode.com/blog/2012/03/safe-coding-and-software-security-infographic/

CISSP moves to VUE https://www.isc2.org/PressReleaseDetails.aspx?id=5448

Outro: Хвост и АукцЫон - Дети

Intro: Ляпис Трубецкой - Путинарода

Специальный гость: Кирилл Сухоставский ( http://www.esx.cx/ )

Много всякого-разного об угрозах, методах защиты и прочих аспектах вирутализации и виртуализированного.

Ищите заметки к эпизоду на сайте http://www.securit13.com

Outro: Lisa Miskovsky - Still Alive (Mirrors Edge OST)

Intro: H-Blockx - I Heard Him Cry

О сложности паролей, авиаперелетах, отдыхе в Доминикане/Тайланде/Египте, ипотечном кредитовании, трудностях регистрации общественных организаций, гипотетической энергетической независимости, проблеме ледников, голоде в Африке и миграции ворон

Особенности профессионального сообщества ИБ в Монреале (Канада), Киеве (Украина) и Москве (Российская Федерация)

Оппа-SOPA! Что такое (было) SOPA & PIPA, почему нам есть до этого дело, прочие аспекты защиты авторских прав - http://goo.gl/p85oi http://goo.gl/EP9px http://goo.gl/WLEXb

#OpUkraine... или #OpAnonFail - истинная сторона заявленных атак на украинские сайты. Интервью с членами группы Anonymous - http://goo.gl/UWQpe http://goo.gl/a2MCx http://pastebin.com/CmFzAD3B

"You have to see these crazy pictures!" - деанонимизация создателей и операторов червя Koobface - http://goo.gl/Pp61F http://goo.gl/k9szB

Social Security Bloggers Award 2011 - http://goo.gl/IXEuf

Уязвимость WiFi-роутеров, поддерживающих WPS - http://goo.gl/eRVqO

Symantec "Goes Open Source"... - http://goo.gl/oUetY http://goo.gl/zg5X0

... как следствие, доказательство того, что журналисты не проверяют факты: фальшивое объявление о бекдорах в индийских смартфонах Nokia, Apple & Blackberry - http://goo.gl/oDh2p http://goo.gl/iAWJb

Кинетическая реакция на кибернетические атаки, кибер-войнушки и геополитический беспорядок на планете Земля - http://goo.gl/LUsxE http://goo.gl/xNiu1

Обсуждение формата подкаста, вернее его отсутствия

Outro: Ohmna – The Sun Will Shine (Sunrise Mix)

Intro: dredg - Bug Eyes

Гость эпизода - Дмитрий Петращук

Введение в стандарт.

- PCI DSS v2: http://goo.gl/8v1rJ

- Navigating PCI DSS: http://goo.gl/xDybI

Кто должен соответствовать PCI DSS? Processors, merchants & service providers.

Какие санкции за несоответствие?

Сколько компаний в Украине соответствуют и должны бы соответствовать?

В чем задача QSA? QSA это: сертификация, статус, лицензия?..

Какие еще нужны разрешения для консультирования в области? Какие нужны знания/умения/сертификаты?

Есть ли требования по разделению полномочий консультанта и аудитора?

Что такое компенсационные контроли? В каких случаях их нужно/можно применять?

Каким должен быть пентест в составе PCI DSS? Правда ли, что это только скан портов, или все по-взрослому?

- PCI SSC Information Supplement: Requirement 11.3 - Penetration Testing: http://goo.gl/yNs3S

Outro: Bethesda Softworks, Jeremy Soule - ‪The Dragonborn Comes (Skyrim Bard Song and Main Theme Female Cover‬)

Gogol Bordello - Wonderlust King

ОО "UISG" - интервью с Сергеем Дяченко

Впечатления и уроки UISGv7

Обзор произошедшего за месяц:

- Google SSL Remix (Perfect Forward Secrecy Dub)

- Об Open'DNS'Crypt и безопасности DNS вообще

- Наша песня хороша: Adobe Penetration Document Format (PDF) 0-day

- Альтернативная стратегия поиска работы: взлом отеля Marriott

- C|Net Download.com vs. Gordon 'Fyodor' Lyon

- OpenPGP for GMail PoC

- SOPA: Stop Online Privacy Act

U2 - With or Without You (Kye Kye Cover)

Intro: Cisco Systems, Inc. - What a Hackable World - http://youtu.be/aWcqANGa21U

Конферанс

RIP Dennis Ritchie & Steve Jobs

Анонс UISGv7 - LinkedIn event http://events.linkedin.com/7th-Ukrainian-Information-Security-Group/pub/824461 - Приглашение http://goo.gl/N3edr - Invitation http://goo.gl/0l1Lz

Раскрытие информации об уязвимостях: "за" и "против", кому и стоит ли? http://goo.gl/uUTah

Star Wars -- в программу средней школы!

R2D2, легальное прослушивание и гос. закупки - http://goo.gl/q3JDH

Очень страшное ПО: поучительная история о социальной инженерии, аутсорсинге и фальшивых антивирусах - http://goo.gl/GQQ82

Еще один анонс UISGv7!

Оффтоп: Топ-10 скачиваемых фильмов в Интернете - http://goo.gl/iSD7l

Результаты поиска (Bing & Yahoo) и социальная инженерия как средство распространения зловредного кода - http://goo.gl/YXrVy

Google Wave прекратит существование - http://goo.gl/5qQG

Brute Force SONY (TM) - http://goo.gl/FKDND

Вирусная эпидемия беспилотных дронов - http://goo.gl/FYpau

Интерлюдия: приветствуем интерна

Обзор программ сертификации в информационной безопасности: CISSP, CISM, CISA, OSCP, GPEN, CEH etc.

Лида, привет!

Good Read: Kevin Mitnick - Art of Desception, Ghost in the Wires

Securit13 Tip of The Week

Outro: The Lonely Island - I Just Had Sex (feat. Akon) - http://youtu.be/lQlIhraqL7o

Intro: Alexander Pushnoy - Du Taxi

Конферанс, реверанс, саундчек

Приветствие, статистика, благодарность слушателям

Тоска по поре отпусков

Facepalm of the month: mysql.com pwnd - http://goo.gl/gsYzi

Linux still down, побит рекрд SONY PSN, BSG forever

Первая "практическая" атака на SSLv3/TLSv1 - http://goo.gl/8CwUR

Аналогии с безопасностью WiFi, советы по защите открытых точек доступа

Возвращаясь к SSL: шифруйте данные форм!

Exotic Liability, Tiger Team, breakin_in, аудио цензура и поучительня история о безопасности мототранспорта - http://goo.gl/w9ZSn

Параллели между разными направлениями в безопасности, смена поколений как путь эволюции безопасности - http://goo.gl/5lqP3, подростки и приватность

Типичные ошибки безопасности и приватности online и советы по их исправлению: неправильная маршрутизация сообщений и использование незащищенных соединений - http://goo.gl/dlDE7

Пересмотрите права доступа к вашим сетевым аккаунтам -- прямо сейчас: facebook http://goo.gl/stfl9 - Twitter http://goo.gl/SZTPv - LinkedIn http://goo.gl/sbQ00 - Google http://goo.gl/hkVQq - Dropbox http://goo.gl/U1rrI

Использование шифрования и других методов контроля доступа к важным данным: Truecrypt http://www.truecrypt.org - WhisperCore for Android http://goo.gl/GXj5a

Приватность в Интернете и вообще

Массовый мобильный фрод в Москве и почему это не "кибер"-взлом - http://goo.gl/syCtl

Новыя пачка Троянов для Андроида, рост влияния Корпорации добра, тенденции рынка труда разработки ПО, безопасность мобильных устройств и вообще - http://goo.gl/bH4kG

Сплетни на околоэйчарные темы

Неавторизированная смена пароля пользователя в MacOS Lion - http://goo.gl/tg8yw

XSS в Skype под iOS - http://goo.gl/2exfv

Надвигающиеся угрозы ИБ: агрегация данных, желание правительств контроллировать неконтроллируемое, гонка кибер-вооружений - http://goo.gl/Dk7fo

Финальные замечания, комментарии, жалобы и благодарности

Outro: Die Antwoord - I Dont Need You

Bonus Track: Интерконтинентальный прямой эфир с 12-часовой амплитудой (Внимание! Очень сильный фоновый шум!)

Intro: Green Day - Basket Case

Audio Recording Social Engineering Fail

SSL MITM GOOG IRAN DIGINOTAR CA HACKED OMGRBL http://goo.gl/0CbvF (App to remove from Android: http://goo.gl/J6JlJ)

ЗЦК: Палимся по телику http://goo.gl/OqDCz

Как мы нашли файло, которым хакнули RSA http://goo.gl/ENnIj

Тенденции развития зловредного кода от Google http://goo.gl/qy1B6

Легко эксплуатируемая DoS-уязвимость в HTTP-сервере Apache http://goo.gl/nd4p6 http://goo.gl/mzSHK http://goo.gl/EKhW7

Функция crypt() для MD5 в PHP 5.3.7 возвращает salt only http://goo.gl/EsTPk http://goo.gl/EAWvD

Morto RDP Worm http://goo.gl/Qn5CN http://goo.gl/nG9dz

20 лет Linux http://goo.gl/XrU4E

Kernel.org hacked http://goo.gl/QK5dJ

Facepalm of the Month: Горе-хакер спалился пятидолларовой покупкой в МакДональдсе http://goo.gl/u62HJ

Утечка информации о шпионской сети... из RSA! http://risky.biz/RSADump

Продакт-менеджер алкоголик -- беда в компании. Очередной прототип iPhone потерян в пабе http://goo.gl/5IPvg

RankMyHack hacked http://pastebin.com/bq8xJPMn

Facebook догоняет Google+ по приватности http://goo.gl/H0LlY (PDF) http://goo.gl/ilGpV

Жертвы онлайн, жертвы в реале http://goo.gl/024W3

Анонс главной темы 7-го эпизода: использование поисковиков в ИБ

Философия, психология, SDLC и Ниагара

Serj Tankian - Goodbye - Gate 21 (Rock Remix) [feat. Tom Morello]

По многочисленным просьбам слушателей, мы взяли интервью у четырех действующих (и уже нет) специалистов по информбезопасности и ИТ-аудиту. Что из этого получилось, можно услышать в записи.

Внимание! Материал не рекомендуется к прослушиванию на рабочем месте и в присутствии детей! ;)

Регламент

Дмитрий Паномарев, @ze_punker

Тарас Данько

Блондинка

Богдан Бондарь, @3tooth

Интерлюдия

Влад Скуба и аццкий отжег

Intro: Within Temptation - Sinead
Замечания, предложения, жалобы
Microsoft Blue Hat Prize (http://bit.ly/ohXkob)
Взлом SecurID обошелся EMC2 в $66KK (http://bit.ly/n4UMrf)
Наш аудитор безопасности - идиотъ (http://bit.ly/mXExAd)
Dude! I hacked the Op-Ed Page!(http://nyti.ms/mQW2ge)
Онлайн гейм хаксорз теперь спонсируются государтсвами? (http://nyti.ms/mXPqTa)
McAfee обнаружила следы пятилетней атаки типа ЗЦК (http://reut.rs/o1ZrDQ)
Top-10 спецов по ИБ в Твиттере (http://bit.ly/qMN22x)
Как случилось, что Мьянма лидирует в кол-ве кибератак на душу населения? (http://bit.ly/nbNxDY)
Дайджест произошедшего на DefCon/BlackHat (http://bit.ly/oKASKr)
Обзор инцидентов: DDoS гонгконгской фондовой биржи, дифейс Blackberry, предоставление доступа к персональным данным, flashrobbery при помощи социальных сетей, как отклчить социальную рекламу в LinkedIn (http://bit.ly/o1ohge)
Обзор обновлений: Microsoft patch Tuesday, Adobe updates, ностальгия по milw0rm, темы Wordpress
Письмо в будущее!
Немного о социальной инженерии
Специальное интервью: Константин Корсун делится впечатлениями о...
Долгое "прощай"
Outro: 2pac feat. Beanie Sigel & Cassidy - The Answer

Intro - Porkka Playboys - Bohemian Rhapsody
* Часть I - Глеб Пахаренко в гостях у Securit13
- О конференциях вообще и о Confidence в частности (сайт конференции: http://2011.confidence.org.pl)
- UISG: достижения и планы на будущее (материалы конференции: http://bit.ly/lDqc4b)
* Часть II - обо всем понемногу
- О конференциях (http://bit.ly/ocCKiy http://bit.ly/ag6IWr)
- Терминатор 2: 20 лет спустя
- Вакханалия индексирования "чувствительных" данных (http://bit.ly/qsVrl1 http://bit.ly/qvjtu3)
- Советы по защите данных в Google+ (http://bit.ly/r0biAt)
- Burning CISSP (http://bit.ly/pFSUPS)
- Открытое письмо Президенту РФ от Челябинских Хакеров (http://bit.ly/qgvVqS)
- Telex pwnz Tor & I2P (?) (http://bit.ly/nIJzEQ http://bit.ly/q7pFi8 http://bit.ly/qL5UGG http://bit.ly/qm7BO4)
- Устаревшие предположения (http://bit.ly/q0f3ES)
- Инциденты (NATO, талибан, PayPal), патчи (Oracle), о которых все говорят, а также несколько бизнес-идей для медийных стартапов
- Джо Наварро о том, как опознать террориста (http://bit.ly/p5NgsM)
- С Днем рождения, Артем!
- Впечатление о тренинге ведущего аудитора СУИБ согласно ISO 27001
- Мозилла изобретает велосипед: новая версия Entity Based Auth (http://bit.ly/ndySrY)
Outro - Subway Funk - Terminator Theme (Drum'n'Bass Remix - sapran 1.5 Edit)

Intro: Shannon Swain - Let Me Down (Ben Sage Remix)

Украина переходит с наличности http://goo.gl/cTUO5

Еще одна страшная история о зловредах на USB http://goo.gl/3YL0p

Слабые пароли хаксоров с Античата http://goo.gl/nOVl0

Изгнание Кокосовых Островов из индекса Гугла http://goo.gl/AL2ov

Страшное исправление к BIND http://goo.gl/YdUKP

Интервью с Анонимусами http://goo.gl/W3DjG и Лулзами http://goo.gl/SAHLx

МС делится кодом сбора данных о ТД WiFi http://goo.gl/FbRpq

Распространение зловреда через приглашения в Гугл+ http://goo.gl/eaDc0

Патч Туздэй! Bluetooth remote! http://goo.gl/MpTHn

Удобство против безопасности: выписки карточных счетов Приват24 доступны по RSS и индексируется в Google http://goo.gl/PSNtI

Мониторинг ИБ при помощи Google Alerts http://goo.gl/w8sZE http://goo.gl/EUjsI

Шансы жертвы DDoS http://goo.gl/gZyxb (PDF)

Outro: Squarepusher - Beepstreet

Intro: Die Antwoord - Enter The Ninja

Карьерные перипетии украинцев в Канаде

Практика "белого" аудита PCI DSS

BELL, DSL и записанные WEP-ключи

Безопасность доставки пластиковых карт и чековых книжек

Google+

Тонкости Интернет поиска и соцсетей

Безопасность Ruby. А что такое Ruby??

Ностальгия по Sun

Пентесты в Канаде, PCI DSS и вообще

Слава UISG!

MSF/APT/LulzSec/Anonymous/этический поток сознания

Массовая утечка персональных данных

Литература ИБ

Рынок труда ИБ в Украине глазами очевидца

Политика, педиатрия и защита ПД

Outro: Anders Lindkvist - Dawnbreakz

Afterparty Notes