[Перевод] Генерируем одноразовые пароли для 2FA в JS с помощью Web Crypto API Введение Двухфакторная аутентификация сегодня повсюду. Благодаря ей, чтобы украсть аккаунт, недостаточно одного лишь пароля. И хотя ее наличие не гарантирует, что ваш аккаунт не уведут, чтобы ее обойти, потребуется более сложная и многоуровневая атака. Как известно, чем слож...
Все смартфоны с с Android 7 Nougat и выше теперь можно использовать как ключи безопасности Компания Google объявила, что теперь все смартфоны с Android 7 Nougat и выше могут использоваться в качестве ключа безопасности для двухфакторной аутентификации. Google начала тестировать функцию в апреле, а теперь она стала широкодоступна. Смартфон подключается ...
Специалисты обошли двухфакторную аутентификацию с SMS-кодом Для этого использовалась обычная фишинговая атака
Двухфакторная аутентификация на сайте с использованием USB-токена. Теперь и для Linux В одной из наших предыдущих статей мы рассказывали про важность двухфакторной аутентификации на корпоративных порталах компаний (https://habr.com/ru/company/aktiv-company/blog/412809/). В прошлый раз мы продемонстрировали, как настроить безопасную аутентификацию в web-серве...
Eset обнаружила в Google Play приложения для обхода двухфакторной аутентификации Поддельные приложения были замаскированы под легальную криптовалютную биржу BtcTurk.
Apple обязала разработчиков использовать двухфакторную аутентификацию С конца февраля для всех зарегистрированных разработчиков Apple станет обязательна двухфакторная аутентификация.
Простейший способ взломать аккаунт «ВКонтакте» в обход двухфакторной аутентификации Пользователь Habr с ником php_freelancer рассказал, как ему удалось взломать аккаунт в соцсети «ВКонтакте», обойдя защиту двухфакторной аутентификацией.
Microsoft: двухфакторная аутентификация защищает от 99,9% попыток взлома По статистике Microsoft, пользователи, использующие многофакторную аутентификацию для своих учетных записей, защищены намного лучше.
Смартфоны известных производителей подвержены фишинговым атакам В смартфонах Samsung, Huawei, LG, Sony и Android-устройствах других производителей обнаружена уязвимость, которую злоумышленники могут использовать для фишинговых атак.
[Перевод] Пример создания Makefile для Go-приложений В этом руководстве мы рассмотрим, как разработчик Go может использовать Makefile при разработке собственных приложений. Что такое Makefile-ы? Makefile — невероятно полезный инструмент автоматизации, который можно использовать для запуска и сборки приложений не только на G...
Фишеры используют GitHub для мошеннических операций Эксперты Proofpoint заметили, что мошенники используют github.io для размещения фишинговых страниц.
В преддверии «черной пятницы» фишеры стали в два раза активнее По наблюдениям специалистов «Лаборатории Касперского», за последние две недели существенно возросло число фишинговых угроз, так или иначе связанных с «черной пятницей».
Двухфакторная аутентификация — что это и как работает? Преимущества и недостатки двухфакторной авторизации на сайтах и социальных сетях. Чтобы повысить безопасность персональных данных в интернете, нужно...
Фишеры используют фальшивый шрифт для обхода ИБ-фильтров Необычный способ маскировки фишинговой страницы обнаружили специалисты компании Proofpoint. Как выяснили эксперты, злоумышленники используют комплект фальшивых шрифтов, чтобы выводить текст на экран пользователя. При этом системы безопасности, анализирующие код открытого сай...
Как использовать PAM-модули для локальной аутентификации в Linux по ключам ГОСТ-2012 на Рутокене Простые пароли не защищают, а сложные невозможно запомнить. Поэтому они так часто оказываются на стикере под клавиатурой или на мониторе. Чтобы пароли оставались в головах “забывчивых” пользователей и надёжность защиты не терялась – есть двухфакторная аутентификация (2ФА)....
Двухфакторную аутентификацию Office 365 и G Suite обходят через IMAP Специалисты Proofpoint предупредили, что пользователи облачных сервисов Office 365 и G Suite регулярно подвергаются атакам через протокол IMAP.
«Лаборатория Касперского» предупреждает об участившихся атаках фишеров на корпоративных пользователей Специалисты по кибербезопасности обнаружили масштабную спам-кампанию по рассылке электронных писем под видом уведомлений о новых голосовых сообщениях. «Лаборатория Касперского» предупреждает об участившихся атаках фишеров на корпоративных пользователей...
Биткоин-биржа Binance подверглась хакерской атаке. Похищено 7000 BTC Криптовалютная биржа Binance сообщила о потере 7000 BTC ($40,5 млн) из-за хакерской атаки. По словам представителей Binance, вчера, 7 мая, была обнаружена «серьезная брешь в системе безопасности» торговой площадки. «Хакерам удалось завладеть большим количеством API-ключей, к...
Опубликован PoC-код для обхода защиты PatchGuard Служба защиты ядра и механизм проверки целостности кода виртуальных машин Windows могут быть взломаны, что позволит злоумышленникам внедрить свой код в критически важные компоненты ОС. К такому выводу пришел турецкий ИБ-специалист Джан Бёлюк (Can Bölük), опубликовавший подро...
Twitter теперь позволяет вам включить 2FA, не спрашивая ваш номер телефона Twitter изменил свои настройки безопасности, чтобы позволить вам использовать двухфакторную аутентификацию (2FA) без необходимости указывать службе свой номер телефона.
Google теперь разрешает использовать Android-смартфон в качестве аппаратного ключа безопасности для двухфакторной аутентификации (2FA) Компания Google объявила, что отныне любой смартфон, работающий на Android 7 и выше, может использоваться в качестве аппаратного ключа безопасности для двухфакторной аутентификации (2FA), предоставляя пользователям ещё более надёжный способ аутентификации в сервисах Google. ...
Фишеры прячут фальшивые страницы в Google Переводчике Специалист компании Akamai Ларри Кэшдоллар (Larry Cashdollar) рассказал о необычной фишинговой атаке, с которой он столкнулся в начале января. Как сообщил эксперт, злоумышленники используют Google Переводчик, чтобы замаскировать адрес фальшивой страницы авторизации и похитит...
В MIUI 10 появилась двухфакторная аутентификация для доступа к некоторым сервисам Пользователям известного форума XDA Developers удалось обнаружить важную функцию в MIUI, влияющую на безопасность. Речь о двухфакторной аутентификации при доступе к некоторым функциям смартфона, привязанным к аккаунту Mi. Например, облачному хранилищу Mi Cloud. Функция...
Польские инженеры разработали самоходную «зенитку» ASBOP-Perkun Польский Промышленный научно-исследовательский институт автоматики и измерений разработал автономный зенитный ракетный комплекс ASBOP-Perkun, предназначенный для защиты небольших объектов. Как сообщает Jane’s, основу нового комплекса составил шестиколесный робот Ibis. На раз...
Автомобильные блогеры лишились своих YouTube-каналов Владельцы YouTube-каналов с многомиллионной аудиторией жалуются на массовый угон аккаунтов. Как выяснили журналисты интернет-издания ZDNet, в конце прошлой недели злоумышленники сумели завладеть доступом к десяткам видеоблогов, преимущественно автомобильной тематики. Владель...
Как интегрировать Zimbra Collaboration Suite c Active Directory Многие предприятия, особенно на территории СНГ, уже имеют сложившуюся ИТ-инфраструктуру, в которой для управления и аутентификацией пользователями зачастую используется такой инструмент как Active Directory от Microsoft. И зачастую у таких предприятий, когда они начинают пла...
Получение информации и обход двухфакторной аутентификации по картам банка из ТОП-10 (Украина) В прошлом году украинский банк из ТОП-10 пригласил меня протестировать свои системы интернет- и мобильного банкинга на предмет уязвимостей. Первым делом я решил начать с отслеживания запросов мобильного приложения. С помощью Fiddler (Burp или Charles) я начал рассматривать...
Apple побуждает разработчиков использовать двухфакторную аутентификацию Apple оповестила разработчиков, что до 27 февраля 2019 года им стоит настроить двухфакторную аутентификацию, если они еще этого не сделали. В противном случае разработчики могут лишиться доступа к разделу Certificates, Identifiers & Profiles.
Почему вам стоит использовать двухфакторную аутентификацию Двухфакторная аутентификация значительно улучшает защищенность ваших аккаунтов В интернете (а порой и в официальном магазине Google Play) пользователей может поджидать огромное количество опасностей. От простых вирусов, которые замедляют работу вашего устройства, до троянов ...
Google выпускает криптографический ключ на USB-C. На что он способен? Обеспечение «цифровой безопасности» крайне важно в наши дни В последние годы Google является одним из ключевых игроков в разработке самых разных технологий и стандартов, связанных с двухфакторной аутентификацией (2FA). Помимо того, что вы можете использовать свои у...
Захват управления над чужим аккаунтом Twitter возможен через спуфинг телефонного номера Специалисты в очередной раз предупредили о небезопасности двухфакторной аутентификации посредством текстовых сообщений и объяснили, чем опасно использование Twitter через SMS.
Биткоин-биржа Binance обновит систему безопасности после взлома Ведущая по объемам торгов криптовалютная биржа Binance обновит системы безопасности после взлома, в ходе которого злоумышленникам удалось похитить 7000 BTC ($40,5 млн). Изменения коснутся API, двухфакторной аутентификации и процесса подтверждения вывода средств. #Binance Sec...
Пользователи мобильного Chrome уязвимы для фишинговых атак Серьезный недостаток в интерфейсе мобильной версии браузера Chrome обнаружил ИБ-специалист Джеймс Фишер (James Fisher). Эксперт выяснил, что при помощи встроенного апплета злоумышленники могут подменить адрес страницы, отображаемый обозревателем, и удерживать посетителя на ф...
Что будет с аутентификацией и паролями? Перевод отчета Javelin «Состояние строгой аутентификации» с комментариями Спойлер из заголовка отчета «Количество случаев использования строгой аутентификации выросло благодаря угрозам новых рисков и требованиям регуляторов». Исследовательская компания «Javelin Strategy & Research» опубликовала отчёт «The State of Strong Authentication 2019»...
Группы GreyEnergy и Sofacy использовали одну инфраструктуру GreyEnergy считают приемником группы BlackEnergy, печально известной благодаря своим масштабным операциям. В частности, злоумышленники из BlackEnergy атаковали объекты электроэнергетики Украины в декабре 2015 года, отключив около 1% всех энергопотребителей страны. Группировк...
Со счетов пользователей карт «Кукуруза» вывели 2 млн рублей Около 80 человек пострадали от атаки киберпреступников на пользователей сервиса «Кукуруза» — владельцев бонусной платежной карты, выпущенной РНКО «Платежный центр» для компаний «Связной» и «Евросеть» (сейчас это объединенная компания &...
Брешь во фреймворке может вызвать сбой в работе GPS-систем Центр реагирования на киберугрозы в критически важных инфраструктурах (ICS-CERT) опубликовал информацию об уязвимости, найденной в программах opensource-проекта gpsd. Специалисты выяснили, что в коде двух утилит обнаружилась ошибка, которая может привести к переполнению буфе...
Россия вошла в десятку наиболее атакуемых фишерами стран По данным «Лаборатории Касперского», в 2018 году случилось полмиллиарда фишинговых атак.
Роскачество назвало самые безопасные мессенджеры "Крайне важно использовать двухфакторную аутентификацию - в случае с мессенджерами вход по коду из СМС и паролю (кодовому слову), что существенно усложнит “работу” мошенников. Такая возможность реализована в приложениях WhatsApp, Signal, “Одноклассн...
Исследователи предупредили, что протокол WS-Discovery используется для DDoS-атак ИБ-специалисты обеспокоены тем, что злоумышленники используют WS-Discovery (Web Services Dynamic Discovery) для DDoS-атак, так как протокол может давать коэффициент амплификации равный 300 и даже 500.
У компании украли $243 тысячи с помощью deepfake-подделки Эксперты обнаружили первый случай финансового мошенничества, использующего deepfake — основанную на искусственном интеллекте технологию синтеза видео- и аудиоконтента, близкого к оригиналу. Обманщикам удалось почти безупречно воссоздать голос гендиректора компании и с помощь...
Приложения из Google Play научились обходить двухфакторную аутентификацию Двухфакторная аутентификация, несмотря на неудобство ее прохождения, — это необходимость, которой ни в коем случае нельзя пренебрегать. Она позволяет быть уверенным, что никто не войдет в ваш аккаунт без вашего ведома, даже если вы используете не самый сложный пароль....
На Google-сервисах запретят авторизацию через CEF С июня Google начнет блокировать попытки авторизации на ее сервисах с помощью встроенных в сторонние приложения браузерных фреймворков. Это нововведение должно усилить защиту пользователей от MitM-атак фишеров. По словам руководителя Google по продуктам и защите аккаунтов Дж...
Google теперь позволяет использовать смартфон в качестве ключа для двухфакторной аутентификации Компания Google добавила новый вариант подтверждения авторизации для более надежной защиты вашего аккаунта. Теперь ваш […]
EA дарит месяц подписки Origin Access за многофакторную аутентификацию Компания Electronic Arts в честь месячника кибербезопасности предоставляет бесплатный доступ к службе Origin Access Basic тем игрокам, которые активируют двухфакторную аутентификацию для своего аккаунта. Акция продлится до 31 октября 2019 года, однако начисление...
Похититель информации Baldr распространяется в даркнете Троян Baldr, предназначенный для кражи информации, распространяется командой киберпреступников в даркнете. Об этом сообщили специалисты Malwarebytes, изучившие штамм, который зимой этого года заметила команда Microsoft Security Intelligence. Как утверждают исследователи, зло...
[Перевод] Как мы разработали девкит Librem 5 полностью на свободном ПО От переводчика: Librem 5 (на рендере) — защищённый смартфон под Linux от компании Purism, который создаётся на максимально открытом железе и софте за счёт краудфандинга. Сегодня расскажем о разработке Librem 5 Developer Kit и о том, как мы использовали в его разработке толь...
Отели по всему миру поставили под угрозу данные банковских карт посетителей В отелях по всему миру произошла утечка данных кредитных карт. Об этом предупредила пресс-служба «Лаборатории Касперского», специализирующейся на компьютерной безопасности. Специалисты зафиксировали всплеск активности вредоносной кампании, кото...
В свободной продаже появился эксплойт BlueKeep ИБ-компания Immunity включила эксплойт для уязвимости BlueKeep в состав своего пентест-набора CANVAS. Программный продукт продается без ограничений, стоит несколько тысяч долларов и его могут купить злоумышленники для использования в кибератаках. ИБ-специалисты отмечают, что...
Преступники меняют настройки сети в Android-смартфонах Мобильные телефоны Samsung, Sony, Huawei и LG уязвимы для фишинговой атаки, в ходе которой злоумышленники могут изменить настройки устройства и направить пользовательский трафик через свой прокси. Об этом сообщили специалисты Check Point, которые выяснили, что версии Android...
Mail.Ru Group стала защищаться отпечатком "Использование электронных ключей станет удобной и безопасной альтернативой традиционным паролям", - заявили в Mail.Ru Group, добавив, что вход по отпечатку пальца - самый распространенный пример использования электронного ключа. При этом в компании отметили, что вход с испо...
Mail.Ru Group стал защищаться отпечатком "Использование электронных ключей станет удобной и безопасной альтернативой традиционным паролям", - заявили в Mail.Ru Group, добавив, что вход по отпечатку пальца - самый распространенный пример использования электронного ключа. При этом в компании отметили, что вход с испо...
Что такое Двухфакторная аутентификация (2FA)? Не каждый знает о том, что же такое двухфакторная аутентификация. В последнее время всё чаще пользователи сталкиваются со взломом аккаунтов, и в их числе может оказаться аккаунт Google, в котором обычно мы так любим хранить пароли от всех ресурсов. Как же обезопасить себя? ...
Allure-Android. Информативные отчеты для мобильной автоматизации Автоматизация мобильных приложений довольно молодая сфера: фреймворков много и многие проекты сталкиваются с проблемой выбора самого «быстрого, стабильного, простого в использовании». Также и мы около двух лет назад стояли перед выбором нового инструмента автоматизации тести...
Kaspersky: пользователям Steam угрожают продвинутые фишеры Аналитики «Лаборатории Касперского» предупреждают пользователей Steam о волне тщательно проработанных фишинговых атак. Злоумышленники копируют магазины внутриигровых аксессуаров, чтобы похитить учетные записи геймеров и перепродать их виртуальное имущество. Хотя са...
TrickBot обходил почтовые фильтры с помощью Google Docs ИБ-исследователи из компании Cofense обнаружили фишинговую кампанию, в рамках которой злоумышленники рассылают банковский троян TrickBot через Google Docs, обходя почтовые фильтры. Для этого мошенники создали в онлайн-редакторе страницу, содержащую поддельное сообщение об ош...
BEC-мошенники нацелились на зарплаты ИБ-аналитики из компании Agari сообщают о росте числа кибератак, нацеленных на кражу заработной платы сотрудников государственных и частных компаний. Злоумышленники применяют спуфинг email-адресов и методы социальной инженерии, чтобы убедить HR-специалистов изменить платежны...
В службе обновления Webex нашли очередной баг Очередную брешь в программе для организации веб-конференций Cisco WebEx обнаружили ИБ-специалисты компании SecureAuth. Ошибка позволяет заменить исполняемый файл службы обновления на предыдущую версию, содержащую уязвимости. В результате атаки злоумышленник может повысить св...
EA предлагает бесплатный месяц подписки Origin Access за подключение двухфакторной аутентификации Может, и подключим.
Фишеры крадут пароли при помощи фальшивой голосовой почты Необычную фишинговую кампанию обнаружили ИБ-специалисты из EdgeWave. Злоумышленники маскируют вредоносные письма под уведомления о голосовом сообщении и пытаются похитить учетные данные от аккаунта Microsoft. Мошенники используют EML-вложения, чтобы обойти спам-фильтры и ант...
Объявлены пароли, которые чаще всего взламывают Британский Национальный центр кибербезопасности опубликовал результаты исследования с паролями, которые чаще всего поддаются взлому в сети. Возглавляет список пароль 123456, он использовался в 23,2 млн учётных записей жертв взлома по всему миру. Затем идёт...
4 настройки Google-аккаунта, которые упростят вам жизнь Очень важно правильно настроить ваш аккаунт Google-аккаунт идет «в комплекте» со всеми смартфонами на Android и предоставляет массу дополнительных возможностей «в нагрузку». Однако даже если вы не являетесь гордым обладателем Android-смартфона, а лишь исп...
Опубликованы PoC к 0-day в Internet Explorer и Edge Независимый исследователь Джеймс Ли (James Lee) выложил в сеть PoC для уязвимостей в Internet Explorer и Edge. Найденные специалистом бреши позволяют обойти правило ограничения домена (SOP) и выполнить в среде браузера вредоносный скрипт, размещенный на сервере злоумышленник...
Пользователи WhatsApp столкнулись с очередной фишинговой атакой Злоумышленники пытаются заработать, используя в качестве приманки годовую подписку на музыкальный сервис Spotify.
Комбайн для фишинга. Как Evilginx 2 используют для кражи аккаунтов Для подписчиковВ этой статье мы изучим, как работает реверс-прокси Evilginx 2, и на примере Instagram посмотрим, как с его помощью уводят аккаунты в обход двухфакторной аутентификации. Поднимем боевой стенд, настроим все необходимые параметры и закинем удочку с наживкой посо...
Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством Специализирующаяся на вопросах компьютерной безопасности американская компания Zimperium выявила серьезную уязвимость в электрических самокатах Xiaomi. Как утверждается, ошибка, связанная с управлением транспортным средством посредством Bluetooth, может быть использована зло...
Вебинар — Двухфакторная аутентификация и ЭП в инфраструктуре VMware Horizon View с использованием продуктов Аладдин Р.Д Аладдин Р.Д и VMware приглашают на технический вебинар «Аутентификация и электронная подпись в инфраструктуре VMware Horizon View с использованием продуктов Аладдин Р.Д.». Вебинар состоится 25 апреля, в 11:00 по московскому времени. В рамках вебинара Алексей Рыбалко, эксп...
SimpleID: аутентификация и хранение данных Независимо от платформы, вы можете использовать SimpleID для ускорения разработки приложений без ущерба для конфиденциальности и безопасности.
В macOS обнаружена серьезная проблема с безопасностью Всем известно, какое пристальное внимание Apple уделяет безопасности своих операционных систем. Но даже компания такого масштаба не всегда способна выявить все критические ошибки и уязвимости, которые могут быть использованы злоумышленниками. Одну из таких проблем, обнаружи...
На Apple подана жалоба, связанная с двухфакторной аутентификацией В калифорнийский суд подана жалоба на Apple, которая ставит целью одобрение коллективного иска против этой компании. Основанием для жалобы стало ограничение истца в использовании его персональных устройств компанией Apple, требующей двухфакторной аутентификации, которую...
Ученые обнаружили 36 уязвимостей в стандарте LTE Исследователи из Южной Кореи выявили три дюжины брешей в стандарте передачи данных LTE, который используется в большинстве мобильных устройств для подключения к Интернету. Уязвимости позволяют злоумышленникам добиваться отказа в обслуживании, отслеживать местоположение жертв...
Фишеры крадут данные через поддельное окно входа в Facebook Исследователи ливанской компании Myki сообщили о фишинговой атаке, для которой злоумышленники создали неотличимую от настоящей форму авторизации Facebook. Визуально она полностью копирует всплывающее окно для входа в соцсеть: навигационную панель, строку состояния, URL и даж...
Совладельца польской биткоин-биржи Bitmarket нашли в лесу с простреленной головой Предприниматель и совладелец недавно закрывшейся биржи Bitmarket Тобиас Ниемиро найден с простреленной головой в лесу поблизости города Ольштын на севере Польши, сообщает Decrypt со ссылкой на местные СМИ. Полиция ведет расследование, точные обстоятельства смерти пока не под...
Аутентификация по OTP на Web-сервере Apache В этом посте мы расскажем о том, как настроить аутентификацию по одноразовому паролю на Apache при помощи JAS и Radius. JAS (JaCarta Authentication Server) – автономный высокопроизводительный сервер аутентификации с поддержкой OTP- и U2F-токенов, а также программных токенов ...
Фишеры распространяют «гадкий список» по Instagram В социальной сети Instagram появилась новая фишинговая рассылка The Nasty List. С зараженного аккаунта пользователю приходит сообщение о том, что он якобы попал в список под названием The Nasty List ( «гадкий/скверный список»). В сообщении приводится номер жертвы в...
В IIoT-платформе WebAccess закрыли критические баги Компания Advantech исправила несколько уязвимостей в своей платформе WebAccess/SCADA, предназначенной для управления данными в среде промышленного IoT. Баги могут привести к выполнению удаленного кода, раскрытию конфиденциальной информации, а также несанкционированному уничт...
Раскрыта кампания кибершпионажа, которая с помощью фишинга атаковала около 240 жертв из 39 стран Кампания, проявившая наибольшую активность в апреле-ноябре 2018 года, оказалась весьма эффективной, несмотря на то что для её проведения использовались весьма простые и недорогие инструменты: заражение происходило путём фишинговой рассылки. Жертвами кампании стали около 240 ...
Как обнаружить атаки на Windows-инфраструктуру: изучаем инструментарий хакеров С каждым годом растет количество атак в корпоративном секторе: например в 2017 году зафиксировали на 13% больше уникальных инцидентов чем в 2016 г., а по итогам 2018 — на 27% больше инцидентов, чем в предыдущем периоде. В том числе и тех, где основным рабочим инструментом ...
Герои двухфакторной аутентификации, или как «походить в чужих ботинках» Наверное скажу банальность, но люди устроены очень странно (а ИТ-шники вдвойне). Они живо интересуются маркетинговыми новинками и рвутся их внедрять, но при этом равнодушно проходят мимо технологий, которые на самом деле могут защитить их компании от реального вреда. Возь...
В официальном магазине игр Electronic Arts найдена серьезная уязвимость Electronic Arts - вторая по величине игровая компания в мире, может похвастаться такими играми, как FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command and Conquer и Medal of Honor. Игры EA можно купить на платформе Origin, которая также позволяет играть в них на...
Airtest IDE — новый путь в автоматизации тестирования мобильных игр? Сегодня я хочу вам рассказать о достаточно новом open-source инструменте для автоматизированного тестирования под названием Airtest. В дальнейшем я сделаю ещё несколько статей с подробным рассказом об отдельных элементах данного инструментария и как с ними работать, а сейчас...
Рост фишинга связали с распространением арендной модели Среди операторов мошеннических кампаний растет популярность арендных платформ, работающих по модели Phishing-as-a-Service. Распространение таких площадок снижает порог для начинающих киберпреступников, в результате чего угроза фишинга не снижается, несмотря на усилия ИБ-спец...
FUCK 2FA! Обходим двухфакторную аутентификацию с помощью Modlishka Для подписчиковТеневые форумы изобилуют предложениями о взломе аккаунтов. В большинстве случаев атаки устраивают при помощи фишинга с подделкой страницы авторизации. Однако такой метод неэффективен, если пользователю приходит SMS с проверочным кодом. Я покажу, как пробить дв...
Ботнет TheMoon сдает прокси-серверы SOCKS5 в аренду Операторы ботнета TheMoon распространяют новый модуль, превращающий IoT-устройства на базе MIPS-процессоров в прокси-серверы для сдачи в аренду другим злоумышленникам. К такому выводу пришли специалисты по информационной безопасности интернет-провайдера CenturyLink после изу...
Надежность Face ID поставлена под сомнение В 2017 году Apple представила инновационную технологию распознавания лиц Face ID. По заверениям представителей компании, новый способ биометрической аутентификации гораздо надежнее чем Touch ID. Возможно это и так, но как известно, любую систему защиты можно обойти — ...
Обойти блокировку Android-смартфона можно звонком по Skype Недавно обнаруженная уязвимость в Skype для Android может быть использована злоумышленниками для обхода экрана блокировки на смартфонах, работающих под управлением Android. Она позволяет просматривать фотографии, контакты и даже запускать браузер, получая доступ к с...
Adobe исправила RCE-уязвимость в ColdFusion Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода, а также обход механизмов контроля доступа. Оставшийся недостаток оценен как важный и связан с возм...
Опрос: операторы ЦОД полагаются на устаревшие инструменты безопасности Появляющиеся практически еженедельно громкие новости о массовых учетных данных подчеркивают проблемы, связанные с безопасностью использования паролей. Пользователи либо выбирают простые легкоугадываемые пароли, либо, когда требуется подобрать что-то более сложное, начинают и...
Специалисты прогнозируют атаки с использованием BlueKeep Уязвимость протокола RDP в операционных системах Windows может быть использована злоумышленниками для кибератак и нуждается в немедленной установке обновлений безопасности. К такому выводу пришли ИБ-специалисты, разработавшие PoC эксплуатации CVE-2019-0708 и инструменты для ...
Переходите к безопасной 2FA на блокчейне СМС-сообщения — популярнейший способ двухфакторной аутентификации (2FA). Ее используют банки, электронные и крипто-кошельки, почтовые ящики и всяческие сервисы; число пользователей метода приближается к 100%. У меня такой расклад событий вызывает негодование, ведь этот мето...
Автоматизация End-2-End тестирования комплексной информационной системы. Часть 2. Техническая Этой статьей мы продолжаем серию публикаций о том, как мы автоматизировали в одном из крупных проектов ЛАНИТ автопроцесс ручного тестирования (далее – автотесты) большой информационной системы (далее – Системы) и что у нас из этого вышло. Вторая часть публикации ориентирова...
Менеджер устройств Moxa можно взломать через веб-интерфейс Специалисты «Лаборатории Касперского» обнаружили семь уязвимостей в программном продукте Moxa ThingsPro Suite, предназначенном для установки на коммуникационные компьютеры UC-8100. Бреши, две из которых получили максимальный балл по шкале CVSS, допускают выполнение...
Группировка Fin7 обновила арсенал Кибергруппировка Fin7 включила новые инструменты в свой набор вредоносных программ и продолжает атаки на коммерческие организации, несмотря на арест трех участников в 2018 году. К такому выводу пришли специалисты компании FireEye после анализа нескольких новых инцидентов, пр...
Binance добавит новый вариант двухфакторной аутентификации Пользователи криптовалютной биржи Binance получат возможность входить в аккаунт и подтверждать вывод средств посредством аппаратных ключей YubiKey. Инструмент YubiKey, разработанный компанией Yubico, обеспечивают дополнительную защиту аккаунтов пользователей и сотрудников ра...
Как настроить двухфакторную аутентификацию для всех ваших аккаунтов Один из самых простых способов защитить свои данные — включить двухфакторную аутентификацию. Лайфхакер подскажет, как это сделать, чтобы обезопасить себя.
Взломщики могут управлять климатической системой умного дома Некоторые компоненты умного дома уязвимы для кибератак, в ходе которых злоумышленники могут взять под контроль климатические установки, элементы управления дверьми и другие системы. К такому выводу пришли специалисты ForeScout, обнаружившие семь брешей в оборудовании автомат...
Отели по всему миру поставили под угрозу данные банковских карт постояльцев В отелях по всему миру произошла утечка данных кредитных карт. Об этом предупредила пресс-служба «Лаборатории Касперского», специализирующейся на компьютерной безопасности. Специалисты зафиксировали всплеск активности вредоносной кампании, которая ста...
Генеральный директор T-Mobile Polska сказал, какие последствия будет иметь отказ от оборудования Huawei для сетей 5G Если Польша исключит китайского технологического гиганта Huawei из разработки сетей 5G, это вызовет трудности и, возможно, задержит развертывание сети. Такую точку зрения высказал глава польского подразделения T-Mobile. «Если вы исключите лидера рынка, а Hua...
Xpeng P7 — первый умный автомобиль на платформе Alibaba In-Car Mini APP и первый с цифровой аутентификацией по стандартам IFAA Компания Xpeng Motors объявила, что «умное электрическое купе» Xpeng P7, выпуск которого запланирован на весну 2020 года, станет первым, в котором будет внедрена аутентификация (технология цифровых автомобильных ключей), соответствующая стандартам IFAA. Кром...
[Перевод] Как специалист по DevOps стал жертвой автоматизации Прим. перев.: Достойной внимания оказалась самая популярная публикация сабреддита /r/DevOps за последний месяц: «Автоматизация официально заменила меня на работе — ловушка для DevOps'ов». Её автор (из США) поведал свою историю, которая воплотила в жизнь популярную присказку ...
Взломать криптоалгоритм SHA-1 стало намного проще Ученые из Франции и Сингапура разработали метод взлома криптографического алгоритма SHA-1, существенно снижающий количество вычислительных ресурсов и стоимость операции. Исследователям удалось упростить механизм поиска коллизий хэша, использованный специалистами Google для о...
Как защитить свой Android-смартфон Потерять важные данные со смартфона никак нельзя! В наши дни большинство пользователей зависят от своих мобильных телефонов почти во всем: финансовые операции, фотографии, календари, встречи, сообщения и многое другое. Таким образом, защита смартфона выходит на передний план...
Система Windows Hello прошла сертификацию FIDO2 Консорциум FIDO сертифицировал Windows 10 версии 1903, которая выйдет в конце мая 2019 года. Microsoft взяла курс на полный отказ от паролей еще в 2015 году. На смену традиционного способа авторизации должна прийти технология идентификации Windows Hello. Согласно данным комп...
Фишеры используют официальные рассылки известных компаний для кражи денег с банковских карт Специалисты «Доктор Веб» рассказали о новой тактике мошенников: фишинговые ссылки распространяются через рассылки крупных иностранных компаний, таких как Audi, Austrian Airlines и S-Bahn Berlin.
Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили кру...
Безопасности нет: создан универсальный способ взлома Android-смартфонов Фрагментация всегда была главной проблемой Android, которая существенно стопорила развитие операционной системы. Из-за широкого разброса сборок все игры и приложения, которые попадали в Google Play, не могли одинаково хорошо работать на всех устройствах с Android, страдал у...
Цифровая гигиена: один фактор — хорошо, а два — вообще норм В очередном материале о цифровой гигиене рассматриваем двухфакторную аутентификацию и ее особенности.
В цифровых камерах Canon закрыли несколько уязвимостей Компания Canon исправила шесть уязвимостей в системном ПО своих цифровых камер. Баги, затрагивающие десятки моделей, позволяли злоумышленнику выполнить на устройстве вредоносный код и загрузить на него собственный вариант прошивки. ИБ-специалисты, которые обнаружили недостат...
Как входить в аккаунт Google на iPhone или iPad с помощью Android-смартфона Компания Google обновила сервис для двухфакторной аутентификации в аккаунте и различных сервисах.
IPSec под прицелом. MitM-атаки в «защищённых» тоннелях Для подписчиковIPSec широко используется для шифрования данных при передаче по незащищенным сетям. Однако администраторы часто используют настройки, которые не обеспечивают требуемого уровня безопасности. Мы рассмотрим уязвимости IPSec pre-shared key, типичные ошибки при вне...
Более 20 тысяч владельцев Oracle EBS под угрозой PayDay Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформ...
Еще два 0-day бага в Windows обнародованы SandboxEscaper Независимый ИБ-специалист SandboxEscaper продолжает публиковать эксплойты для продуктов Microsoft и заявляет о желании продать свои находки заинтересованным лицам. Вслед за тремя 0-day, выложенными накануне, исследовательница разместила на GitHub информацию об обходе уже про...
Google пополнил линейку физических ключей безопасности В прошлом году Google выпустил свои первые два титановых ключа безопасности, которые можно использовать в качестве наиболее защищённого метода двухфакторной аутентификации через USB-A, NFC или Bluetooth. Теперь компания добавила в эту линейку новый USB-C ключ. Он уже до...
Android-смартфон теперь можно использовать как ключ для безопасного входа в аккаунт Google Для двухфакторной авторизации используется Bluetooth.
«Лаборатория Касперского» рассказала об утечке данных кредитных карт из отелей по всему миру Для сбора информации из буферов обмена, устройств для вывода на печать и скриншотов документов злоумышленники используют троянские программы удаленного администрирования, распространяя их через вредоносные вложения в Word, Excel, PDF в фишинговых письмах.
[Перевод] Как соединить GitLab и Pantheon и оптимизировать рабочие процессы Drupal и WordPress Наш гость, создатель инструментов для разработчиков из Pantheon, рассказывает, как автоматизировать деплои WordPress с помощью GitLab CI/CD. В Pantheon я занимаюсь связями с разработчиками, поэтому всегда ищу новые способы помочь разработчикам WordPress и Drupal решать проб...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...
Android-устройство теперь можно использовать для 2FA на iOS Google позволил использовать Android-устройства в качестве физического ключа безопасности для двухфакторной аутентификации (2FA) на iOS. В частности, для входа в учётную запись Google. Ранее эта функция, запущенная в апреле, работала только для Chrome OS, macOS и Windows 10....
Американец судится с Apple из-за слишком сильной защиты аккаунта Житель Калифорнии Джей Бродски подал в суд на компанию Apple. Он утверждает, что двухфакторная аутентификация заставляет его тратить слишком много времени на вход в аккаунт.
Google превратила смартфоны на Android в ключи безопасности для 2FA Многие пользователи пренебрегают двухфакторной аутентификацией из-за усложненного процесса авторизации. Еще бы, ведь мало того, что сначала нужно ввести регулярные логин и пароль, так потом еще и подтвердить вход при помощи одноразового кода, который приходит по SMS или в в...
Фальшивые Android-приложения крадут пароли для обхода 2FA ИБ-эксперт Лукас Стефанко (Lukas Stefanko) обнаружил фишинговые Android-приложения, способные также перехватывать одноразовые пароли, высылаемые пользователю в соответствии с процедурой двухфакторной аутентификации (2FA). Разработчики вредоносного ПО нашли способ обойти огра...
Facebook позволяет искать пользователей по номеру телефона для 2FA На днях выяснилось, что Facebook позволяет искать пользователей по номеру телефона, который они привязали к аккаунту для двухфакторной аутентификации (2FA). В настройках аккаунта для пункта «Кто может вас найти с помощью указанного вами номера телефона?» по умолчанию выбран ...
Microsoft: длина и сложность пароля больше не имеют значения Длина и сложность пароля уже не играют роли для безопасности аккаунта. К такому мнению пришли специалисты Microsoft, проанализировав миллионы попыток взлома пользовательских профилей на своих ресурсах. Как утверждается в посте Алекса Винерта (Alex Wienert), эксперта компании...
Специалисты Kaspersky обнаружили массовую спам-кампанию Эксперты «Лаборатории Касперского» предупредили о волне фишинговых атак, направленных против корпоративных пользователей сервисов Microsoft. Злоумышленники охотятся за учетными данными, оформляя вредоносные письма как уведомления о голосовых сообщениях или предупре...
Специалисты AMD завершили разработку микроархитектуры Zen 3 и уже взялись за Zen 4 Представляя процессоры EPYC второго поколения, в которых используется микроархитектура Zen 2, компания AMD сообщила о завершении фазы разработки микроархитектуры следующего поколения — Zen 3. В настоящее время специалисты компании уже взялись за ее преемницу, Zen ...
Так что же будет с аутентификацией и паролями? Вторая часть отчета Javelin «Состояние строгой аутентификации» Недавно исследовательская компания «Javelin Strategy & Research» опубликовала отчёт «The State of Strong Authentication 2019». Его создатели собрали информацию о том какие способы аутентификации используются в корпоративной среде и пользовательских приложениях, а также...
Twitter позволит пользователям не применять SMS для двухфакторной аутентификации С момента взлома аккаунта главы Twitter Джека Дорси прошло почти три месяца. И разработчики наконец разрешили пользователям заметить SMS-сообщения другим методом 2ФА.
Компания Cellebrite создала устройство для взлома любого iPhone Год назад мы рассказывали о таком программно-аппаратном комплексе как GrayKey. Данное устройство позволяло взломать любой iPhone с помощью быстрого подбора паролей. На это могло уйти несколько дней, но результат всегда был. В iOS 11.4.1 Apple ввела новые механизмы защиты, с...
"Бойлер будет работать": Роскомнадзор неожиданно разблокировал 2,7 млн IP-адресов Amazon попавших под запрет из-за борьбы с Telegram "Специалистами Роскомнадзора установлено, что данные подсети длительное время не используются для обеспечения функционирования мессенджера Telegram", - говорится в сообщении ведомства. Ранее Роскомнадзор заблокировал три тысячи адресов прокси-серверов, используемых для обход...
Репутация, работа и эмиграция: как использовать инструменты продвижения компаний для решения личных задач Ведение блогов, создание контента, работа со СМИ – это то, чем занимаются всё больше компаний. Но на самом деле подобные инструменты продвижения могут использоваться не только бизнесом для привлечения клиента, но и обычными людьми для профессионального развития. Сегодня м...
Slack снова сбрасывает пароли из-за утечки 2015 года Корпоративный мессенджер Slack сбросил пароли у 1% учетных записей из-за опасности несанкционированного доступа. Информация об этом появилась на официальном сайте компании в четверг, 18 июля. Как говорится в сообщении, такая мера предосторожности связана со взломом, произоше...
Google повысит защиту пользователей G Suite Разработчики Google анонсировали запуск специальной программы безопасности для сервисов G Suite. Комплекс мер под общим названием Advanced Protection Program направлен на дополнительную защиту пользователей с расширенными правами доступа, включая IT-администраторов и топ-мен...
Уязвимости в WhatsApp позволяют злоумышленникам подменять сообщения пользователей Специалисты Check Point предупреждают, что злоумышленники по-прежнему могут манипулировать сообщениями в личных и групповых чатах WhatsApp.
Обнаружены приложения для обхода двухфакторной аутентификации Поддельные приложения были замаскированы под легальную криптовалютную биржу BtcTurk.После запуска одного из трех приложений (BTCTurk Pro Beta, BtcTurk Pro Beta и BTCTURK PRO) пользователю отправлялся запрос на доступ к уведомлениям, после чего появлялось окно для ввода учетн...
Эксперты сообщили о росте числа атак на промышленные системы Аналитики «Лаборатории Касперского» изучили угрозы для систем промышленной автоматизации (АСУ) во второй половине 2018 года. По сведениям экспертов, в России за этот период вредоносные объекты были обнаружены почти на половине компьютеров. Данные для отчета собраны...
Пользователи не могут войти в почту Google после обновления до macOS 10.14.4 Вчера Apple выпустила macOS 10.14.4 для всех пользователей с такими функциями, как темный режим в Safari, Apple News + и другими. Но как отмечают пользователи, в обновлении также есть одна неприятная ошибка, связанная с аутентификацией учетных записей Gmail через стандартно...
Akamai: 90% фишинговых сайтов остаются онлайн менее суток Бренд Microsoft оказался безусловным фаворитом у организаторов фишинговых кампаний. Как рассказали эксперты Akamai, по количеству поддельных страниц американский IT-гигант в разы обгоняет Paypal, DropBox и DHL, которые также заняли верхние строчки рейтинга. Такие данные соде...
Взломщики похищают аккаунты Office 365 и G Suite через IMAP Специалисты ИБ-компании Proofpoint сообщили о массовых атаках на корпоративных пользователей облачных сервисов Office 365 и G Suite. Злоумышленники обходят двухфакторную авторизацию и получают доступ к учетным записям через протокол IMAP. За шесть месяцев они проникли в отсл...
Свиньи впервые замечены за использованием орудий Как известно, орудия могут использовать не только люди — такую способность обнаруживали также, в частности, у обезьян, у воронов, у дельфинов. В новом же исследовании сообщается о первом детектировании такой способности у свиней — у висайских бородавчатых свиней (Sus cebifro...
Биткоин-биржа Kraken обязала пользователей включить 2FA и создала подразделение по безопасности Одна из ведущих американских криптовалютных бирж Kraken обязала пользователей установить двухфакторную аутентификацию (2FA). We’re leveling up security with required 2FA, a new Chief Security Officer @c7five and the formation of Kraken Security Labs. Find out more here...
Опасные 3rd-party драйверы в вашей системе или LOLDrivers А вы знали, что вполне легитимный драйвер может дать злоумышленнику возможность прописаться в вашей системе надолго, оставаясь внутри даже после ее переустановки? Или превратить ваш компьютер в кирпич? Например, некоторые безобидные на вид доверенные (подписанные) драйверы ...
«Лаборатория Касперского»: накануне «чёрной пятницы» фишеры активизировались против интернет-магазинов По наблюдениям «Лаборатории Касперского», за последние две недели существенно возросло число фишинговых угроз, так или иначе связанных с «чёрной пятницей». В преддверии больших распродаж и наступающего сезона праздничного шопинга ...
Фишеры поджидают жертв у «водопоя» Специалисты Trend Micro выявили фишинговую кампанию, направленную на похищение учетных данных посетителей нескольких южнокорейских сайтов. Злоумышленники внедрили скрипт, загружающий фальшивую форму авторизации, на главные страницы скомпрометированных ресурсов, что позволило...
Установлен новый рекорд в фишинге на теме Дня влюбленных Аналитики «Лаборатории Касперского» отметили значительный рост активности фишеров в связи с днем Св. Валентина. Эксперты подчеркивают, что речь идет не о скачке атак, который традиционно сопровождает все крупные события, — количество переходов по вредоносным ссылка...
ZombieLoad — новая уязвимость, позволяющая похищать данные, которая затрагивает почти все процессоры Intel с 2011 года В процессорах Intel обнаружена новая уязвимость, позволяющая злоумышленникам похищать любые данные, к которым процессор недавно обращался. Это касается даже облачных серверов, которые могут позволить злоумышленнику украсть информацию с других виртуальных машин, работающих на...
Помощник по обновлению Windows 10 открывает дверь для хакеров В фирменном инструменте Microsoft по обновлению Windows 10, так называемом Windows 10 Update Assistant или «Помощнике по обновлению» в русскоязычной версии, была обнаружена уязвимость в системе безопасности. Она позволяет злоумышленникам исполнять код...
Apple может работать над новой операционной системой — SiriOS В этом году компания Apple удивила пользователей, выпустив iPadOS – более функциональную версию своей мобильной операционной системы, которая ориентирована на планшетные компьютеры. При этом аналитики Mangrove Capital Partners считают, что в будущем купертиновцы могут создат...
Уязвимость в Chrome позволяет показывать поддельную адресную строку, упрощая фишинговые атаки Разработчик Джеймс Фишер обнаружил в Chrome для мобильных устройств довольно простую уязвимость, которая основана на том, как приложение отображает адресную строку. Когда пользователь прокручивает страницу сверху вниз, происходит отображение фальшивой адресной строки, котора...
Найдена лазейка для бесплатного пользования платными iOS-приложениями Злоумышленники используют так называемые корпоративные сертификаты, которые выдаются компаниям, чтобы создавать приложения для внутреннего использования сотрудниками в обход правил App Store.
Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 4 Обход защиты (Defense Evasion) Ссылки на все части: Часть 1. Первоначальный доступ к мобильному устройству (Initial Access) Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation) Часть 3. Получение учетных данных (Credential Access) Способы обхода ...
Российские компании подверглись атаке вымогателя Shade Специалисты ESET и «Лаборатории Касперского» сообщают о новой волне фишинговых писем, при помощи которых распространяется вредоносный шифровальщик Shade. Атака нацелена на российские компании. Письма злоумышленников обычно замаскированы под уведомления от ка...
OverSight – простая защита от слежки (Mac) В последние годы пользователи уже привыкли помнить о том, что веб-камера ноутбука может использоваться злоумышленниками для слежки. Те, кто более или менее серьезно относится к неприкосновенности своей личной жизни, решают эту проблему очень просто – заклеивают объектив каме...
Функциональность Microsoft Excel Power Query может использоваться для внедрения малвари ИБ-исследователи рассказали, что злоумышленники могут злоупотреблять технологией Power Query, как некогда уже было с Dynamic Data Exchange (DDE).
День влюбленных отметили фишинговой активностью В рунете объём фишинга вырос приблизительно в полтора раза по сравнению с прошлым годом - с 396 тысяч зафиксированных попыток перехода на поддельные веб-страницы в начале февраля 2018 года до 476 тысяч в феврале 2019 года.Фишинг традиционно направлен на то, чтобы выманить у ...
Хакеры нашли способ обхода Face ID Фирменная технология распознавания лиц Face ID в представлении не нуждается. На презентации iPhone X, представители Apple сделали особый акцент на безопасности и надежности новой биометрической опции. По заверениям компании, сложная система камер TrueDepth позволяет идентиф...
Microsoft нашла две похожие на BlueKeep RCE-уязвимости Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, ко...
iOS 12.2 оказалась уязвима перед хакерами Apple регулярно рассказывает нам о высокой защищённости своей мобильной операционной системы. Эти заявления не являются голословными: компания действительно совершенствует программные и аппаратные механизмы защиты, и как результат — хакерам всё сложнее выполнить проце...
Google запустила тест, чтобы определить, насколько хорошо пользователи могут отличать реальные письма от фишинговых Подразделение Google Jigsaw опубликовало тест, в котором проверяется способность пользователей выявлять фишинговые электронные письма. В тесте предлагается для ознакомления серия электронных писем, чтобы выяснить, может ли пользователь определить явные признаки фишинга. По д...
Пакет обновлений SAP исправляет три критических уязвимости Компания SAP выпустила ряд патчей для своих продуктов. Немецкий разработчик бизнес-приложений исправил серьезные уязвимости, которые могли привести к обходу процедур аутентификации, несанкционированному доступу к файлам и утечке конфиденциальных данных, а также представил за...
Schneider Electric залатала баги в приложении ProClima Разработчики Schneider Electric исправили три уязвимости в программе ProClima, предназначенной для проектирования климатических систем в шкафах с электротехническим оборудованием. Эксплуатация багов могла привести к подмене DLL, выполнению несанкционированных операций в гран...
Twitter использовала телефоны, необходимые для 2ФА, для показа адресной рекламы Представители Twitter сообщили, что компания по ошибке задействовала email-адреса и номера телефонов, использующиеся для двухфакторной аутентификации, для показа адресной рекламы. Точно неизвестно, скольких пользователей затронул этот баг.
«Умные» охранные системы создают серьезную опасность для автовладельцев В числе множества функций, предлагаемых Viper и Pandora Car Alarm System - определение геопозиции автомобиля и блокировка двигателя в случае угона машины. Управлять системами можно с помощью приложения для смартфона.Интересно, что одна из компаний, Pandora, даже гордо заявля...
Google Pay наконец-то получил биометрическую аутентификацию для денежных переводов Раньше, если вы хотели отправить деньги через Google Pay, вам было необходимо использовать старый PIN-код для аутентификации перевода. ***
P2P-ботнет атакует компьютеры под управлением Windows Специалисты по информационной безопасности обнаружили новый ботнет, применяющий для управления вредоносной сетью и поиска новых целей p2p-соединение. Клиент получил название IPStorm и использует легитимную пиринговую систему IPFS, чтобы скрыть свой трафик от антивирусных ска...
Зловред заражает Android-устройства через рекламные баннеры Вредоносный скрипт, внедренный в платформу для создания анимированной рекламы, заражает устройства на Android и массово собирает системные данные. Об этом сообщили специалисты Media Trust, обнаружившие кампанию в декабре 2018 года. Аналитики отмечают высокий уровень программ...
Обнаружен чёрный рынок цифровых двойников Обладая этими данными, злоумышленники без труда могут обманывать средства для борьбы с онлайн-мошенничеством, без взлома проникать в аккаунты реальных пользователей и проводить трансакции, которые не вызовут подозрений у банка.Обычно, когда клиент вводит данные, необходимые ...
«Лаборатория Касперского» о спаме и фишинге в 2018 году Эксперты «Лаборатории Касперского» рассказали об особенностях спама и фишинга в 2018 году. Как показала статистика, за этот период доля мусорных писем в почтовом трафике несколько сократилась, а количество фишинговых атак, напротив, выросло почти вдвое. По подсчета...
Ученые выявляют телефонных мошенников методом Random forest Специалисты исследовательского центра Eurecom применили алгоритм Random forest для эффективного выявления схем телефонного мошенничества с использованием платных международных номеров. Метод, предложенный экспертами, основан на анализе криминальных тестовых порталов, при пом...
[Из песочницы] Интеграция React Native и C++ для iOS и Android Недавно мне предложили поработать над одним интересным проектом. Требовалось разработать мобильное приложение для американского стартапа на платформах iOS и Android с помощью React Native. Ключевой технической особенностью и фактором, который однозначно решил мое участие в п...
Подборка сервисов на основе ИИ, которые облегчат вам жизнь уже сегодня (1/3) Привет, читатель. Думаю, что ненужно рассказывать в который раз о том, что такое искусственный интеллект, какую пользу он несёт и для чего нужен. Перейду сразу к делу. Ниже собрал подборку сервисов на основе ИИ, которые могут упростить вам жизнь уже сегодня. Свою статью я р...
Эксперты предсказывают атаки кибергруппировки RTM Экперты центра безопасности Positive Technologies (PT Expert Security Center) исследуют активность злоумышленников из RTM с 2018 года. Интересы кибергруппы шире, чем только финансовые компании: например, их атаки затрагивают также сферу промышленности. При этом, вместе с изв...
NordVPN выявил нарушение работы сервера, которое могло позволить злоумышленнику отслеживать трафик Сервис NordVPN сообщил, что один из его серверов был взломан в марте 2018 года. В результате, некоторые данные пользователей могли быть доступны посторонним лицам. NordVPN отмечает, что на сервере, расположенном в Финляндии, не было журналов активности, имён пользователей ил...
WinPot—новинка на рынке джекпоттинга Специалисты «Лаборатории Касперского» поделились информацией о вредоносной программе WinPot, предназначенной для кражи наличных из банкоматов. Приложение позволяет определить суммы, хранящиеся в кассетах терминала, и подать команду на выдачу банкнот. Зловред ориент...
Сокрытие данных Whois не повлекло за собой рост числа фишинговых атак Некоммерческая организация «Антифишинговая рабочая группа» (Anti-Phishing Working Group – APWG) представила данные своей работы в 4 квартале 2018 года. Главным результатом можно считать устойчивую тенденцию к снижению количества фишинговых атак. В период с октября по декабр...
Google следит за здоровьем американцев Об этом сообщает "КоммерсантЪ" со ссылкой на данные The Wall Street Journal (WSJ). В компании подтвердили существование сделки под кодовым названием "Проект Соловей" и заявили, что она не нарушает законодательства.По данным WSJ, проект был запущен в 2018 ...
Cisco о лучшем канале для атак, скрытых угрозах и борьбе с киберусталостью В конце октября компания представила итоги исследований Email Security Report, Threat Hunting Report и CISO Benchmark Study, проведенных компанией в 2019 году. Аналитики Cisco изучили актуальные киберугрозы и подготовили рекомендации по противостоянию им. Итоги исследован...
В RDP-клиентах для Windows и Linux нашли десятки уязвимостей Популярные RDP-клиенты для удаленного администрирования обладают уязвимостями, которые позволяют злоумышленникам проводить реверсивные атаки или получить несанкционированный доступ к файлам через общий буфер обмена. К такому выводу пришли ИБ-специалисты компании Check Point ...
Тысячи порно и гемблинг приложений используют корпоративные сертификаты для обхода App Store После разборок с Facebook и Google по поводу неправильного использования enterprise-сертификатов для распространения приложений в обход App Store, TechCrunch сообщил о десятках азартных игр и порнографических приложений, использующих туже схему для обхода стандартных ограни...
[Перевод] Понимание разницы между СI и СD: «если что-то вызывает боль, делайте это почаще» Disclaimer. Костис Капелонис — Developer advocate (человек, защищающий и отстаивающий принципы программной разработки) Codefresh, первой платформы CI/CD для Kubernetes и контейнеров. Миссия Codefresh «Автоматизировать и упрости всё, от кода до облака». Как инженер-программис...
Бесплатное мероприятие «Как работать с рекламными инструментами Google, чтобы они приносили доход и клиентам, и агентствам» 23 сентября в Новосибирске в отеле Марриотт пройдет бесплатное мероприятие для рекламных агентств и фрилансеров, на котором можно узнать, как использовать возможности Google Рекламы, чтобы и бизнес и клиент получали выгоду. Специалисты ...
[Из песочницы] Как взломать завод: системы радиоуправления как слабое звено современного производства Компания Trend Micro выпустила исследование, в котором рассмотрела уязвимости системы дистанционного радиоуправления промышленного оборудования и то, насколько просто злоумышленники могут их использовать для атак на промышленные объекты Недавно мы (специалисты Trend Micro...
В Google Pay появилась биометрическая аутентификация для денежных переводов Если у вас есть телефон Android 10, теперь вы сможете использовать биометрическую аутентификацию при осуществлении денежных переводов через Google Pay. Новый параметр безопасности совместим только с API-интерфейсом для биометрии Android 10, поэтому маловероятно, что он...
Вебинар «Автоматизация отчётности с Google Data Studio (update)» Не так давно Google вывел из бета версии инструмент для визуализации данных Google Data Studio. Мы довольно давно пользуемся этим инструментом для автоматизации отчетности по клиентским проектам. Он позволяет не только представить данные в&n...
Эксперты обнаружили очередную RDP-уязвимость в Windows Эксперты Центра реагирования на киберугрозы Университета Карнеги —Меллона предупредили об уязвимости в протоколе удаленного рабочего стола (RDP) Windows. Дыра позволяет обойти экран блокировки сеанса и получить доступ к целевому устройству с правами текущего пользователя. Ба...
Microsoft пропатчила уже обнародованные уязвимости Июньский набор обновлений для продуктов Microsoft устраняет 88 уязвимостей; более 20 из них признаны критическими. Вендор также закрыл четыре бреши в Windows, уже ставшие достоянием общественности. Несмотря на это, они оценены как существенные; данных об их использовании в а...
[Из песочницы] Безопасный способ обмена JWT в ASP.NET Core + SPA Вступление Идентификация по JWT (JSON Web Token) — это довольно единообразный, согласованный механизм авторизации и аутентификации между сервером и клиентами. Преимущества JWT в том, что он позволяет нам меньше управлять состоянием и хорошо масштабируется. Неудивительно, чт...
Microsoft перехватила контроль над 99 доменами иранской хак-группы APT35 Компания Microsoft перевела под свой контроль домены, использовавшиеся хакерами из группы Charming Kitten для целевых фишинговых атак.
[Из песочницы] Чеклист для создания и публикации веб-приложений Для того, чтобы создать свое веб приложение в наше время недостаточно уметь его разрабатывать. Важным аспектом является настройка инструментов по развертыванию приложения, мониторингу, а также управление и администрирование среды, в которой оно работает. Эра ручного разверты...
Пользователи устройств Apple столкнулись с новой фишинговой атакой Злоумышленники отправляют письма, в которых требуют от получателей "верифицировать" персональные данные после недавнего восстановления доступа к Apple ID.
Разработчики Cisco закрыли 10-балльный баг в IOS XE Компания Cisco обнаружила критическую ошибку в одном из компонентов программы IOS XE, устанавливаемой на несколько линеек промышленных роутеров компании. Баг в контейнере виртуальной службы REST API допускает обход системы авторизации и позволяет злоумышленнику выполнить ряд...
Ошибка в прошивке модуля Wi-Fi затронула ноутбуки, смартфоны, роутеры и консоли Вчера были опубликованы подробные сведения об уязвимости, затрагивающей микропрограмму популярного чипсета Wi-Fi, использующегося в очень широком спектре устройств вроде ноутбуков, смартфонов, игровых автоматов, маршрутизаторов и Интернета вещей (IoT). Обнаруженная ...
Уязвимости ритейлеров — три случая, когда OTP можно было получить в запросе При входе в личные кабинеты различных сервисов, в целях безопасности, часто используется 2FA — помимо логина и пароля, нужно ввести одноразовый код. Но, как оказалось, не всё так безопасно даже с двухфакторной аутентификацией — за последний год я нашёл три (!) сервиса, ког...
Около миллиона машин уязвимы к атакам BlueKeep Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот ...
Атака на MSP-провайдеров вызвала проблемы у их клиентов Сразу несколько компаний стали жертвами кибервымогателей в результате атаки как минимум на трех MSP-провайдеров. Злоумышленники получили доступ к консолям удаленного управления Webroot и Kaseya, чтобы установить организациям шифровальщик Sodinokibi. О проблеме стало известно...
Смартфоны на платформе Android уязвимыми для продвинутых фишинговых SMS-атак Нужно всего одно SMS-сообщение, чтобы получить полный доступ к электронной почте жертвы. Получатель SMS-сообщения не может проверить, приходят ли настройки от его сотового оператора или от мошенников. Самое опасное, что любой может купить USB-ключ за 10 долларов и провести м...
GandCrab распространяется через вики-систему Confluence Злоумышленники используют RCE-уязвимость в Atlassian Confluence для распространения шифровальщика GandCrab. Заплатка для бреши CVE-2019-3396 вышла 20 марта, однако далеко не все пользователи вики-системы успели ее установить. Согласно отчету ИБ-компании Alert Logic, начало в...
Опубликованы системные требования шутера Terminator: Resistance Издательство Reef Entertainment и польская студия Teyon опубликовали системные требования своего будущего шутера по франшизе «Терминатор» под названием Terminator: Resistance. Судя по опубликованным ниже данным, игра не потребует супермощного «железf»...
Разработчики Intel выпустили патчи для двух уязвимостей Компания Intel выпустила патчи для двух уязвимостей в своих программных и аппаратных продуктах. Эксплуатация ошибок позволяла злоумышленникам повысить свои привилегии и скомпрометировать информацию жертвы. Первый баг связан с Intel Easy Streaming Wizard — инструментом, упрощ...
Ботнет Hakai атакует южноафриканские роутеры Всплеск атак ботнета Hakai зафиксировали ИБ-специалисты Netscout. Нападающие эксплуатируют уязвимость SDK Realtek, найденную еще в 2014 году. Основной целью киберпреступников являются роутеры, расположенные в Южной Африке — на долю этой страны приходится более 80% попыток вз...
Бизнес стал втрое чаще использовать криптографию вместо двойной аутентификации Как подчеркивают эксперты, такая форма аутентификации не подвержена фишинговым атакам, атакам типа "человек посередине", или другим атакам, нацеленным на учетные данные пользователей и использующих уязвимости одноразовых и постоянных паролей.В Javelin Strategy ...
Киберпреступники атаковали пользователей Netflix Перед Новым годом была зарегистрирована рассылка фишинговых электронных писем, при помощи которой злоумышленники пытались украсть у подписчиков видеосервиса персональные данные.
В умных коммутаторах Cisco нашли критические уязвимости Компания Cisco исправила три серьезных бага в прошивке интеллектуальных коммутаторов семейства Small Business 220. Уязвимости позволяют обходить механизм аутентификации устройства, запускать на нем сторонний код, а также внедрять команды оболочки и выполнять их с root-привил...
Тим Кук рассказал о приоритетах Apple Apple никогда не использовала личные данные пользователей в рекламных целях. И это одна из главных причин, по которой пользователи доверяют Apple, заявил Тим Кук в ходе интервью изданию NPR. По его словам, компания уделяет особое внимание вопросу безопасности и конфиденциал...
Исследование НАФИ и Mains Group: только треть российских компаний использует машинное обучение Автоматизация бизнес-процессов получила широкое распространение в крупном бизнесе (80%), и в будущем уровень автоматизации продолжит расти. При этом технологии машинного обучения сейчас используются только на трети предприятий (33%). Машинное обучение ...
DevOpsForum 2019. Внедрять DevOps нельзя ждать Недавно я побывала на DevOpsForum 2019, которую устраивал Logrocon. На этой конференции участники пытались найти решения и новые инструменты для эффективного взаимодействия бизнеса и специалистов по разработке и информационно-технологическому обслуживанию. Конференция уда...
Help Desk за 3 часа. Автоматизация несложных бизнес-процессов в PowerApps, Flow и Teams Всем привет! Мой коллега написал статью по опыту использования различных инструментов О365 для автоматизации небольших бизнес-процессов. Мы взяли за основу кейс по автоматизации HelpDesk на технологиях PowerApps, MS Flow и MS Teams. Подробности под катом. Надеюсь, статья бу...
APWG обновила статистику по фишингу Представляя новый отчет, участники Антифишинговой рабочей группы (APWG) отметили, что во II квартале активность фишеров продолжала расти. За три месяца активисты занесли в базу информацию о 182 465 поддельных сайтах — против 180 768 в предыдущем квартале. Число фишинговых ат...
Топ-5 трендов в ITSM на 2020 год Под конец года, как это водится, начинается пора предсказаний, прогнозов, обозначений трендов. Портал ITSM Tools не остался в стороне и недавно опубликовал своё видение того, какие направления будут главенствовать в ITSM в следующем, 2020 году. Управление ИТ-услугами (ITSM)...
Тысячи Android-приложений могут содержать RCE-уязвимость Уязвимость выполнения стороннего кода в WhatsApp присутствует и в других приложениях для Android. К такому выводу пришли специалисты TrendMicro, нашедшие около 3000 потенциально опасных программ в Google Play и сторонних файловых архивах. Баг эксплуатируется через вредоносны...
Польше не по карману отказ от оборудования Huawei для сетей 5G Польша вряд ли исключит все оборудование Huawei из своих мобильных сетей следующего поколения, заявил агентству Reuters министр правительства. В частности, это будет сделано во избежание увеличения расходов для операторов мобильной связи. Как неоднократно сообща...
Благодаря двухфакторной аутентификации я лишился всех вложенных денег и 3 лет работы Пост о том, как привязанный к аккаунту сервиса Яндекс.Почта телефон, помог угнать домен созданного мной сетевого издания "Банки Сегодня". Отмечу, что в это издание я вложил все свои накопленные деньги, душу и 3 года кропотливой работы. Читать дальше →
Apple поделится со специалистами инженерными версиями iPhone В рамках конференции по безопасности Black Hat, которая стартовала в Лас-Вегасе в начале этой недели, компания Apple планирует анонсировать свою новую программу, ориентированную на специалистов по информационной безопасности. Согласно имеющимся данным, купертиновцы хотят пре...
Хакерская группа Lazarus разработала новые инструменты для атак на биткоин-биржи Хакерская группа Lazarus, которую связывают с властями Северной Кореи, в ближайшем будущем может атаковать криптовалютные биржи и технологические стартапы с применением новых разработкок. Об этом сообщают специалисты антивирусной компании Kaspersky Lab. По их сведениям, хаке...
Причины внедрить в процесс разработки статический анализатор кода PVS-Studio PVS-Studio – это инструмент для поиска ошибок и потенциальных уязвимостей в исходном коде программ, написанных на языках C, C++, C# или Java. PVS-Studio относится к классу инструментов статического тестирования защищённости приложений (Static Application Security Testing, S...
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 9 Сбор данных (Collection) Ссылки на все части: Часть 1. Получение первоначального доступа (Initial Access) Часть 2. Выполнение (Execution) Часть 3. Закрепление (Persistence) Часть 4. Повышение привилегий (Privilege Escalation) Часть 5. Обход защиты (Defense Evasion) Часть 6. ...
Глава ФСБ: террористы все чаще используют анонимные криптовалюты Террористы стали чаще использовать ориентированные на повышенную приватность криптовалюты для финансирования своей деятельности. Об этом заявил директор ФСБ Александр Бортников на международном совещании руководителей спецслужб, органов безопасности и правоохранительных орга...
Взломщики эксплуатируют уязвимости в WordPress-плагине Злоумышленники используют бреши в плагине YellowPencil, установленном на более чем 30 тыс. сайтов на базе WordPress. Создатель расширения просит владельцев веб-ресурсов срочно установить обновление. По словам исследователей, за атаками стоят те же преступники, которые в тече...
Журналисты Forbes начали использовать ИИ для набросков статей Система управления контентом предоставляет ссылки как на значимые статьи по теме, так и на изображения, которые могут улучшить историю. В этом отношении новый инструмент ничем не отличается от Reuters Lynx Insights, который был запущен в марте 2018 года и отыскивает ключевые...
Преимущества использования инструментов RAUTOOL от REHAU при монтаже труб из сшитого полиэтилена Для обустройства систем отопления и водоснабжения трубами из сшитого полиэтилена используется монтажный инструмент REHAU. Его применение обусловлено высокими требованиями к надёжности коммуникаций. Созданные с применением инновационных разработок инструменты для монтажа спос...
Автоматизация тестирования платных сервисов на iOS Для тех, кто интересуется темой автоматизации на iOS, у меня две новости — хорошая и плохая. Хорошая: в iOS-приложении для платных сервисов используется только одна точка интеграции — in-app purchases (встроенные в приложение покупки). Плохая: Apple не предоставляет никаких ...
AirDrop от Apple Apple долгое время предлагала AirDrop на своих устройствах iOS и Mac, чтобы обеспечить легкий обмен контентом между двумя устройствами. Точно так же он позволяет пользователям iPhone и Mac обмениваться паролями Wi-Fi одним касанием. В новом отчете утверждается, что злоумыш...
Дрон AquaMAV может плавать и летать Специалисты Aerial Robotics Lab из Имперского колледжа Лондона разработали концепцию мультимодального плавательного робота под названием AquaMAV, который может «выпрыгивать» из воды. Статья об этом была опубликована на этой неделе в журнале Science Robotics. В AquaMAV исполь...
Автоматизация управления Let's Encrypt SSL сертификатами используя DNS-01 challenge и AWS Пост описывает шаги для автоматизации управления SSL сертификатами от Let's Encrypt CA используя DNS-01 challenge и AWS. acme-dns-route53 — это инструмент, который позволит нам реализовать данную фичу. Он умеет работать с SSL сертификатами от Let's Encrypt, сохранять их в Am...
На Apple подали в суд из-за того, что компания заботится о безопасности пользователей В Калифорнии на компанию Apple подали в суд по весьма необычной причине. В рамках коллективного иска купертинский гигант обвиняется в том, что его система двухфакторной аутентификации отнимает слишком много времени у пользователей. Кроме того, она построена таким образо...
Компании по кибербезопасности под ударом хакеров Компания Avast стала целью преступников: 23 сентября специалисты заметили подозрительные действия в корпоративной сети и начали немедленное расследование. Сотрудники компании объединились с чешским разведывательным агентством, Службой информационной безопасности (BIS), местн...
Google Календарь хотят защитить от спамеров Разработчики Google Календаря пообещали избавить пользователей от волны спама, которая накрыла сервис в последние месяцы. В настоящий момент для блокировки нежелательных сообщений специалисты рекомендуют отключить синхронизацию календаря с другими сервисами Google. Техника с...
Создан инструмент, который позволяет украсть данные из iCloud На данный момент многие считают iOS-устройства достаточно безопасными и защищенными. Однако иногда сторонние специалисты находят действенные способы, которые позволяют получить доступ к пользовательским данным. Например, сегодня издание Financial Times сообщило о новой разра...
Уязвимость BearLPE в Windows получила микропатч Команда 0patch из компании ACROS Security выпустила свою заплатку для уязвимости в планировщике задач Windows 10, не дожидаясь выхода официального патча. Эксперты также раскрыли некоторые технические детали проблемы. Брешь нулевого дня, получившая название BearLPE, выявила и...
Внедрение СЭД по методологии Agile в сети ювелирных магазинов 585 Gold Проект по внедрению СЭД ТЕЗИС в ювелирной сети 585 Gold примечателен во многих отношениях. Он предполагал замену устаревшего иностранного решения, ряд уникальных модификаций, а также реализацию по методологии Agile. После запуска в эксплуатацию решение продолжает развиваться...
ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...
Xaomi опубликовала исходный код прошивки Redmi Note 8 Pro Компания Xaomi опубликовала исходный код ядра для Redmi Note 8 Pro, который позволит разработчикам создавать собственные прошивки для этого бюджетного флагманского смартфона. Вы можете скачать исходный код, перейдя по ссылке на источник в конце этой заметки. Недавно вып...
Специалисты Mayo Clinic создали онлайн-инструмент для предсказания вероятности образования камней в почках Специалисты Mayo Clinic, одного из крупнейших частных медицинских и исследовательских центров мира, разработали онлайн-инструмент под названием Recurrence Of Kidney Stone (ROKS), который может помочь каждому желающему определить, есть ли у него вероятность повторного возникн...
Retentioneering: как мы open-source инструменты для продуктовой аналитики на Python и Pandas написали Привет, Хабр. Эта статья посвящена итогам четырехлетней разработки набора методов и инструментов обработки траекторий движения пользователей в приложении или на сайте. Автор разработки — Максим Годзи, который стоит во главе команды создателей продукта, он же — автор статьи. ...
Беспроводные наушники Samsung Galaxy Buds удивляют своей ремонтопригодностью Специалисты iFixit решили разобрать беспроводные наушники Samsung Galaxy Buds. На данный момент на сайте материал опубликован в виде новости без подробных фотографий процесса и описания компонентов. Возможно, такая статья выйдет позже. Пока же мы можем посмотрет...
Новый macOS-зловред использует незакрытый обход Gatekeeper Обнаружены тестовые образцы вредоносной программы, способной обходить блокировку исполнения стороннего кода, выполняемую macOS-утилитой Gatekeeper. С этой целью зловред, получивший в Intego кодовое имя OSX/Linker, использует уязвимость нулевого дня, которая пока не пропатчен...
Google Мой бизнес тестирует новый дизайн Google Мой бизнес тестирует новый дизайн интерфейса. Об этом сообщил специалист по локальному поиску Бен Фишер на форуме Local Search. В обновлённом UI пользователи сервиса могут редактировать информацию о компании и заглавное фото прямо на главной странице, а в центре экран...
Apple начала бороться с пиратскими приложениями на iOS Одна из главных причин, по которой разработчики и издатели выбирают iOS в качестве основной платформы — отсутствие пиратства. Практически все доступные приложения распространяются через фирменный магазин App Store, и установить что-то в обход каталога — целый кв...
[Перевод] Как я создал более 100 приложений с открытым кодом, используя инструменты автоматизации Представляем вам перевод статьи Sm0ke, опубликованной на сайте dev.to. Автор рассказывает о своем опыте генерации веб-приложений и способе автоматизации процесса их создания. Привет, кодеры! Я — разработчик-фрилансер, и я сгенерировал более 100 приложений на различных язык...
Операторы связи в 29 странах уязвимы для атак Simjacker Специалисты компании Adaptive Mobile опубликовали список стран, чьи мобильные пользователи уязвимы для атаки Simjacker, эксплуатирующей недостатки вшитых в SIM-карты программ. По мнению экспертов, большинство операторов, использующих ненадежные чипы, работает в Центральной и...
Файлы VHD и VHDX помогают обманывать антивирусы, а также защиту Gmail и Chrome Образы дисков VHD и VHDX могут использоваться для обхода защитных решений и доставки малвари на целевую машину.
Ответ на Hongmeng OS? Аналитики считают, что Apple готовит операционную систему SiriOS — и представит ее уже в 2020 году Операционная система Hongmeng, над которой работает Huawei, не предназначена для смартфонов, а будет использоваться в устройствах IoT: автономном транспорте, решениях промышленной автоматизации и прочих узкоспециализированных отраслях. Не исключено, что по пути китайско...
Новый штамм Mirai атакует сразу через 13 эксплойтов Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует сразу 13 эксплойтов для атак на целевые устройства. IoT-бот оснащен компонентами для атаки на роутеры различных производителей, IP-камеры...
Windows XP все еще жива! Для нее вышло обновление безопасности Если вы все еще используете операционную систему Windows XP или Windows Server 2003 (а также Windows 7, Windows Server 2008 и 2008 R2), то вам необходимо обновиться. Microsoft выпускает срочное исправление для данных операционных систем, чтобы заблокировать удаленно использу...
Исследователи нашли способ украсть аккаунты EA Origin ИБ-специалисты обнаружили уязвимости в механизме авторизации игровой платформы EA Origin. Злоумышленники могли воспользоваться багами, чтобы перехватить контроль над учетными записями, красть деньги пользователей и атаковать их друзей. Предложенный сценарий предполагает эксп...
Новый инструмент взлома iPhone и Android вместе с iCloud и Google ... Израильская компания Cellebrite, имеющая богатый опыт разработки самых совершенных и сложных инструментов для взлома смартфонов, которые мы когда-либо видели, значительно повысила ставку. Согласно отчету «Financial Times», они продают обновленную версию своего зн...
Биометрическую аутентификацию по рисунку сосудов удалось обмануть с помощью воскового муляжа руки На Chaos Communication Congress показали интересный способ обхода биометрической системы аутентификации. Исследователи рассказывают, что сами удивились тому, насколько просто оказалось обмануть продвинутое решение.
«Лаборатория Касперского»: участились атаки фишеров на корпоративных пользователей «Лаборатория Касперского» обнаружила масштабную спам-кампанию, в рамках которой мошенники рассылают электронные письма под видом уведомлений о новых голосовых сообщениях. Злоумышленники работают по следующей схеме: по корпоративной ...
Участились атаки фишеров на корпоративных пользователей «Лаборатория Касперского» обнаружила масштабную спам-кампанию, в рамках которой мошенники рассылают электронные письма под видом уведомлений о новых голосовых сообщениях. Злоумышленники работают по следующей схеме: по корпоративной ...
Любой клиент Exchange может стать администратором домена Уязвимость Microsoft Exchange Server позволяет злоумышленнику повысить привилегии любого зарегистрированного в системе почтового аккаунта до уровня администратора домена. Это выяснил ИБ-специалист Дирк-Ян Моллема (Dirk-jan Mollema), выложивший PoC атаки на GitHub. Аналитик п...
Что такое двухфакторная аутентификация и как ее использовать В наши дни, скорее всего, уже у каждого есть по крайней мере одна или две учетные записи для хранения огромного количества конфиденциальной информации и личных данных, от электронной почты до биометрических и банковских данных. В связи с этим, защита этих учетных записей до...
Эксплойт-паки переходят на бесфайловый метод заражения Несмотря на утрату популярности в криминальных кругах, готовые наборы эксплойтов все еще актуальны как интернет-угроза. В осенние месяцы эксперты продолжали наблюдать активность эксплойт-паков по всему миру и к своему удивлению даже зафиксировали появление двух новых игроков...
Фишеры грозят сообщить о мошенничестве с налогами Спамеры вымогают у корпоративных пользователей биткойны за неразглашение налоговой информации, якобы добытой ими, сообщает издание BleepingComputer. Судя по всему, рассылка нацелена на организации: письмо начинается с требования направить его сотруднику компании, уполномочен...
Закрытая уязвимость iOS стала вновь актуальна Актуальная версия iOS содержит ранее закрытую уязвимость, которая позволяет выполнять сторонний код с системными привилегиями. Эксперты предупреждают, что вредоносные приложения с эксплойтом для этого бага могут оказаться и в App Store. Проблему обнаружил специалист по безоп...
Samsung приступит к массовому 5-нм производству уже в 2020 году На рынке существует лишь 5 мобильных однокристальных систем, печатаемых по 7-нм нормам. Две из них выпускает Huawei, одну — Qualcomm (TSMC), одну — Apple и ещё одну Samsung. Другими словами, говорить пока о широком распространении технологии ещё рановато, тем более что 4 чип...
Linksys анонсировал службу домашней безопасности для обнаружения злоумышленников Linksys представила новую услугу Linksys Aware для мониторинга дома. Используя данные из ячеистых маршрутизаторов Velop, система может отслеживать и обнаруживать вторжения в дом через WiFi. Маршрутизаторы Linksys Velop Tri-Band AC2200 могут обнаруживать движение в своей сет...
[Из песочницы] Что такое библиотека ITIL и зачем она нужна вашей компании Стремительный рост значимости информационных технологий для бизнеса требует все больше внимания к организации и реализации предоставления ИТ-услуг. На сегодняшний день информационные технологии используются не только для решения локальных задач в организации, также они задей...
Заплатку для 0-day в Windows выпустила сторонняя компания Компания Acros Security выпустила исправление для уязвимости нулевого дня в операционной системе Windows 10. Брешь обнаружила ИБ-исследовательница, известная в Сети под псевдонимом SandboxEscaper, в конце декабря, однако Microsoft не закрыла ее в январском пакете обновлений....
Аналитики Kaspersky рассказали об Android-бэкдоре BRATA Исследователи «Лаборатории Касперского» обнаружили новый Android-бэкдор, который с января атакует исключительно бразильских пользователей. Операторам зловреда удалось опубликовать его в Google Play, где специалисты насчитали более 20 вариаций программы. Специалисты...
Эксплойт для BlueKeep применяется в реальных атаках Уязвимость BlueKeep, связанная с недостатками реализации протокола RDP в ОС Windows, эксплуатируется в дикой природе. К такому выводу пришли ИБ-специалисты после анализа журнала ошибок тестовых систем с незащищенным портом 3389. Киберпреступники используют ранее опубликованн...
Задержан администратор ботсетей, состоявших из 50 000 зараженных компьютеров Задержанный был "наемником", он предлагал киберкриминальным группам услуги по модели cybercrime as-as-service: на арендованных серверах разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи - логины и пароли почто...
PHP-Watcher: инструмент, который упрощает разработку долгоживущих приложений Мы любим PHP за простоту: ты пишешь код, обновляешь страницу в браузере и сразу видишь изменения. Но если дело доходит до консольных команд, которые могут быть долгоживущими процессами, — например, если мы пишем асинхронный HTTP-сервер для загрузки файлов, — разработка мож...
Главу польского офиса Huawei обвинили в шпионаже Польская полиция задержала главу местного представительства компании Huawei Вейджинга В.
Почтовые сервисы требуют от пользователей надежных паролей Российские ИБ-специалисты протестировали правила создания пользовательских паролей среди 157 отечественных и зарубежных веб-ресурсов. Эксперты выяснили, что наиболее серьезные требования предъявляют почтовые сервисы и криптовалютные платформы, а развлекательные сайты и новос...
Системы бронирования авиабилетов уязвимы для брутфорс-атак Веб-сайты авиакомпаний, управляющих системами бронирования авиабилетов самостоятельно, могут оказаться неустойчивы к брутфорс-атакам и раскрыть злоумышленникам персональные данные пассажиров. К такому выводу пришел ИБ-специалист Ахмед Эль-Фанаджели (Ahmed El-fanagely). Иссле...
Проект Collage: как бороться с интернет-цензурой с помощью пользовательского контента Группа ученых из технологического университета штата Джорджия опубликовала концепцию нового инструмента обхода блокировок. Проект получил название Collage, и его концепция предполагает использование так называемого user-generated content. Мы представляем вашему вниманию ос...
В сети зафиксировали попытку эксплуатации уязвимости Windows для майнинга Monero Специалист по кибербезопасности Кевин Бомон (Kevin Beaumont) зафиксировал попытку эксплуатации уязвимости CVE-2019-0708, известную как BlueKeep. Злоумышленники используют ее для майнинга криптовалюты Monero, а эксплуатация бага потенциально может стать повторением «эпид...
Новая APT-группировка атакует госучреждения в разных странах мира По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали д...
TAGA Harmony TTA-1000 – усиление по-польски Интегральный ламповый усилитель TTA-1000 польской компании TAGA Harmony развивает по 60 Вт на канал и собран с использованием отборных комплектующих.
Вышел микропатч для бреши 0-day в Adobe Reader Специалисты ACROS Security выпустили временный патч для уязвимости нулевого дня в Adobe Reader DC. Согласно сообщению команды 0patch, брешь открывает возможность для кражи хешированных паролей, используемых для аутентификации по протоколу NTLM. «Эта уязвимость позволяет...
Бесплатный трафик как приманка Потенциальная жертва получает специальное предложение, якобы в честь 10-летия мессенджера WhatsApp. Условия акции просты: пользователь должен перейти по ссылке, ответить на ряд вопросов и поделиться этим опросом с 30 друзьями, после чего он "гарантированно" получит...
[Перевод] Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 2 Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 1 Хорошо то, что мы можем войти в локальную сеть, подделав DNS. А как насчёт социальной инженерии, учитывающей предпочтения и склонности пользователей? Пентестеры ...
В Joomla выявили уязвимость нулевого дня Специалист компании Hacktive Security Алессандро Гроппо (Alessandro Groppo) обнаружил опасную уязвимость в CMS Joomla. По его словам, некоторые версии системы допускают внедрение стороннего PHP-инжекта, что может привести к выполнению вредоносного кода на сервере веб-ресурса...
Google умолчала об уязвимости в Android, но рассказала про iOS Джеки в шоке На прошлой неделе Google опубликовала доклад о масштабной хакерской атаке, направленной на пользователей iOS. Исследователи компании рассказали об особых сайтах, посещение которых с iPhone приводило к их заражению. В результате злоумышленники более двух лет имел...
Опубликован OpenSSH 8.1 Разработчики OpenSSH представили очередную версию пакета программ для работы по протоколам SSH 2.0 и SFTP. Релиз устранил серию опасных уязвимостей, позволявших определить приватные ключи и вмешаться в защищенный обмен данными. Среди таких угроз эксперты выделили баг в коде ...
Группировка Silence атаковала банки более 30 стран Кибергруппировка Silence с мая 2018 года похитила миллионы долларов у финансовых учреждений в десятках стран СНГ, Европы и Азии. В новых кампаниях преступники доработали свои методы и системы, чтобы лучше избегать обнаружения. В частности, они переписали свой загрузчик TrueB...
Баг в HSM-устройствах позволяет красть криптоключи Исследователи из компании Ledger, специализирующейся на разработке аппаратных криптокошельков, сообщили о серьезном баге в некоторых HSM-устройствах. Уязвимое оборудование используется для хранения секретных данных в инфраструктуре крупных облачных сервисов и банковском сект...
Quiet.js: библиотека для приёма и передачи данных ультразвуком В нескольких эпизодах сериала «Мистер Робот» главный герой Эллиот взламывает и доксит своих жертв, записывая собранную информацию на аудио CD. Каждый диск он подписывает названием группы и альбома. Если злоумышленник получит доступ и поставит диск на воспроизведение — то у...
Linux-ботнет AESDDoS нацелился на Docker-системы Операторы ботнета AESDDoS ищут неправильно настроенные контейнеры Docker и внедряют в них троян для сбора информации и организации DDoS-атак. Об этом сообщили ИБ-специалисты, изучившие новый вариант вредоносной программы. Злоумышленники сканируют Интернет в поисках открытых ...
Двухфакторная аутентификация довела Apple до суда Apple, несмотря на происходящие время от времени казусы, остается одной из немногих компаний, которые действительно заботятся о безопасности своих пользователей. Заботятся настолько рьяно, что даже запрещают им отключать двухфакторную аутентификацию, чтобы таким образом пом...
В блоках релейной защиты ABB исправили 10-балльный баг Специалисты «Лаборатории Касперского» обнаружили критическую ошибку в системах релейной защиты производства ABB. Как оказалось, интеллектуальные электронные устройства (ИЭУ) серии Relion 670 подвержены уязвимости, которая позволяет читать и удалять любые файлы на у...
Браузер Google Chrome будет уведомлять о сайтах с похожими адресами, которые могут использоваться для мошенничества Компания Google продолжает улучшать свой фирменный браузер Google Chrome, который является самым популярным браузером в мире с долей более 65%. Очередным нововведением, которое станет доступно всем пользователям Google Chrome, стала борьба с похожими URL-адресами, в кот...
Web scraping на R, часть 2. Ускорение процесса с помощью параллельных вычислений и использование пакета Rcrawler В прошлой статье я с помощью скрэпинга-парсинга собрал с сайтов IMDB и Кинопоиск оценки фильмов и сравнил их. Репозиторий на Github. Код неплохо справился со своей задачей, однако скрэпинг часто используют для "соскабливания" не пары-тройки страниц, а пары-тройки тысяч и д...
Apache Tomcat получил важное обновление защиты Разработчики Apache Software Foundation (ASF) обновили сервер приложений Tomcat, чтобы устранить обнаруженный ранее RCE-баг. Брешь CVE-2019-0232 позволяла взломщикам выполнять сторонний код в уязвимых системах и брать их под контроль. В начале марта о проблеме сообщили специ...
В расширении для WordPress обнаружили серьезную уязвимость Специалисты компании Sucuri нашли серьезную уязвимость в плагине Duplicate Page, установленном более чем на 800 тыс. сайтов под управлением WordPress. Брешь позволяет зарегистрированному пользователю с минимальными привилегиями осуществить внедрение стороннего SQL-кода и пол...
Apple подвергла риску участников программы «Снято на iPhone» Высокие стандарты безопасности, которыми так гордятся в Apple, иногда могут давать сбой. Как выяснил 9To5Mac, компания непреднамеренно подвергла данные пользователей риску раскрытия посторонними лицами. Это произошло при сборе информации об участниках программы «Снято на iP...
Toyota покажет на CES 2019 обновленный автомобиль TRI-P4 для тестирования самоуправляемого движения На следующей неделе институт Toyota Research Institute (TRI) представит на выставке CES тестовый автомобиль для разработки систем самоуправляемого движения TRI-P4. Базой для него послужил новый флагманский седан Lexus LS пятого поколения. Машина будет использоваться пр...
Блокировщики рекламы приносили мошенникам миллионы долларов Администраторы каталога расширений Chrome удалили два плагина, которые скрытно собирали пользовательские данные. Создатели вредоносных программ оформили свои продукты так, чтобы они были похожи на популярные рекламные блокировщики AdBlock Plus и uBlock Origin. Расширения с д...
Протокол WS-Discovery используют для усиления DDoS-атак Специалисты немецкой компании ZeroBS зафиксировали волну DDoS-атак, которые исходят от небольшого ботнета, состоящего из IP-камер и принтеров. Внимание ИБ-аналитиков привлекли необычные UDP-пакеты, передаваемые устройствами через порт 3702. Как показало изучение подозрительн...
Брешь Microsoft Office 365 позволила вести омограф-атаки Злоумышленники нашли новый способ заманить пользователей на опасные сайты в обход защитных систем Microsoft Office 365. Техника построена на использовании пробелов нулевой ширины (zero-width spaces) — невидимых для пользователя символов, которые мешают антиспам-фильтрам расп...
Oppo готовит первый 10-кратный зум для смартфонов Oppo Не так давно Oppo намекнула на разработку 10-кратного зума для смартфона, а теперь, через пару дней, подтвердила информацию. Компания опубликовала новый тизер и сообщила о том, что действительно разрабатывает камеру с 10-кратным оптическим масштабированием. Новую к...
Lazarus снова в деле Инструмент удалённого администрирования получил название Dtrack: с его помощью злоумышленники полностью контролируют заражённое устройство, загружают и выгружают файлы, записывают нажатие клавиш клавиатуры, читают историю браузера и совершают другие вредоносные действия. Ком...
F#3: Форматирование текста При работе с любым языком вам, скорее всего, нужно будет отформатировать текст, и F# ничем не отличается. Поскольку F# является языком .NET, мы всегда можем использовать Console.WriteLine (..) и String.Format (..), где мы можем использовать любой из обычных форматеров, кото...
Хакеры взломали систему биометрии с помощью восковой руки Системы безопасности все чаще прибегают к биометричексой аутентификации для того, чтобы не допустить в систему хакеров и просто посторонних людей. В одних случаях это датчики с отпечатками пальцев, в других — системы, подобные FaceID iPhone. Существует и еще один, весьма рас...
«АйТеко» разработала чат-бот на базе ИИ Чат-бот, разработанный Центром когнитивных технологий «АйТеко», решает задачи по автоматизации бизнес-процессов для компаний и оптимизации сценариев общения с клиентами в режиме 24/7. Специалисты «АйТеко» создали гибкий инструмент ...
Новая критическая уязвимость позволяет взломать смартфон при помощи СИМ-карты Оказывается, что взломать смартфон можно и посредством обычной СИМ-карты На страницах нашего сайта мы уже неоднократно писали о различных рода вирусах, «дырах» в системе безопасности и о том, как с ними справиться. И если раньше все подобные сообщения касались, по ...
CompTIA: будущее IoT за автоматизацией и управляемой аналитикой данных Согласно отчету «IT industry outlook 2020» некоммерческой ассоциации по сертификации ИТ-специалистов CompTIA, при внедрении решений Интернета вещей (IoT) предприятия сделают упор на автоматизацию и аналитику данных. По оценкам ...
В Apache HTTP Server залатали баг эскалации привилегий Разработчики Apache HTTP Server выпустили версию 2.4.39 своей системы, где закрыли шесть брешей. Четыре из них признаны специалистами серьезными, остальные имеют средний рейтинг опасности. Уязвимости допускали эскалацию привилегий, обход механизма аутентификации и неправильн...
Эксперты обеспокоены новой функцией защиты в WordPress 5.1 В рамках обновления WordPress до версии 5.1 разработчики планируют оснастить CMS встроенной защитой от «белого экрана смерти» (White Screen Of Death, WSOD), возникающего из-за фатальных ошибок PHP. Новая функция — WSOD Protection — должна упростить восстановление р...
Huawei P30 Pro превратили в продвинутый шпионский инструмент Технология пятидесятикратного зуммирования, используемая во флагманском Huawei P30 Pro, изменила наше представление о способности мобильных камер приближать объекты, попавшие в кадр. Несмотря на объективные недостатки такого метода увеличения, он может прийтись весьма кстат...
Критически важное ПО Windows содержит фундаментальные ошибки Исследователи ИБ обнаружили опасные уязвимости более чем в 40 драйверах ядра, которые используются в процессорах ведущих поставщиков компьютерного оборудования. Баги позволяют злоумышленникам получать максимальные привилегии на пользовательских устройствах и оставаться в сис...
ИИ-инструмент NVIDIA GANimal может превратить вашего питомца в любое другое случайное животное Ранее мы уже видели, как алгоритмы обработки изображений ИИ могут быть одновременно и умными, и бестолковыми. Это в полной мере демонстрирует новейшая разработка NVIDIA – инструмент под названием GANimal, который позволяет накладывать выражение морды вашего питомца на фотогр...
Samsung открыла «IT Академию Samsung» в Ульяновске на базе УлГТУ С осени 2019 года студенты вуза будут обучаться на практико-ориентированном курсе по разработке решений Интернета вещей, созданном специалистами московского Исследовательского Центра Samsung.
Samsung открывает «IT Академию Samsung» на базе ВолГАУ в Волгограде С осени 2019 года студенты вуза будут обучаться на практико-ориентированном курсе по разработке решений Интернета вещей, созданном специалистами московского Исследовательского Центра Samsung (Samsung Research Russia).
Рунет стал чище При росте на 30% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокиров...
[Из песочницы] Как стать менее доступным для потенциального злоумышленника в Интернете. Личный опыт и наблюдения Вступление Почему важно задуматься о безопасности в Интернете? Небольшой пример, если злоумышленник получит доступ к вашей учетной записи на каком-либо ресурсе, это может привести к ущербам разного вида, как материальным, так и моральным. Вот несколько примеров. Злоумышленн...
IBM подумывает над запуском собственного стейблкоина Руководитель блокчейн-направления IBM Джесс Лунд в разговоре с Cheddar намекнул, что перспективной будущей разработкой технологического гиганта может стать ориентированный на банковский сектор стейблкоин. По словам Лунда, «стабильная монета» будет использоваться для трансгра...
Биометрия: риск утечки есть всегда Аналитический центр InfoWatch составил дайджест последних утечек биометрических данных и примеров обхода соответствующих систем безопасности.В ряде стран биометрическая информация граждан используется в процессе всенародного волеизъявления на выборах. К сожалению, уже были п...
The Independent: Fortnite стала площадкой для отмывания денег преступниками Издание The Independent опубликовало любопытную статью на тему способов отмывания денег в самой популярной игре в мире на данный момент. Речь, конечно же, о Fortnite, в которой в 2018 году зарегистрировалось больше двухсот миллионов пользователей. В статье использую...
Ботнет Gucci заражает IoT-устройства в Европе Исследователи SecNiche Security Labs обнаружили неизвестный ранее ботнет Gucci, использующий IoT-устройства в распределенных DDoS-атаках. По словам экспертов, создатели зловреда продолжают его доработку. Способности IoT-ботнета Gucci Зловред может вести как целевые, так и ши...
Представлен PoC атаки на страничный кэш в Windows и Linux Операционные системы Windows и Linux уязвимы для атаки, которая позволяет злоумышленникам перехватывать работу с клавиатурой, нарушать границы песочницы и похищать пароли. К такому выводу пришла команда исследователей, состоящая из ученых, представителей вендоров и специалис...
Разработчики Valve не полностью закрыли уязвимость Steam Независимый ИБ-исследователь Сяоинь Лю (Xiaoyin Liu) обошел защиту Steam от обнаруженной ранее уязвимости. Учитывая позицию Valve, которая вывела этот баг из зоны своей ответственности, эксперт предпочел опубликовать эксплойт без уведомления специалистов компании. О проблеме...
Рейтинг Рунета назвал самые креативные digital-агентства 2019 года Рейтинг Рунета опубликовал очередной Рейтинг креативности digital-агентств. Данный рейтинг часто используется заказчиками при поиске подрядчиков для разработки необычных, ярких сайтов. При его построении учитываются победы веб-студий в различных конкурсах сайтов, заслу...
Баг в mIRC позволяет выполнить в Windows сторонний код Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows. Как выяснили исследователи, приложение допускает внедр...
Последняя версия MIUI 10 для разработчиков выйдет 30 августа, Xiaomi готовится к переходу на MIUI 11 Сегодня компания Xiaomi объявила о том, что последняя версия прошивки MIUI 10 для разработчиков за номером 9.8.29 выйдет 30 августа — после этого компания сосредоточится на оптимизации оболочки. Интересно, что эта версия прошивки выйдет одновременно для всех модел...
Кибергруппировка TaskMasters атакует организации в России и СНГ Главная цель группы - кража конфиденциальной информации организаций. Группа действует на протяжении как минимум нескольких лет: обнаружены следы активности TaskMasters начиная с 2010 года.Группа использовала необычный метод закрепления в инфраструктуре: участники создавали с...
Появились качественные рендеры складного игрового смартфона Sharp Редакторы издания LetsGoDigital опубликовали изображения трехмерной модели нового смартфона компании Sharp, который оснащен сгибающимся экраном. Ранее мы уже сообщали, что компания Sharp запатентовала сгибающийся смартфон нестандартной формы, который может сгибаться в д...
Новый стартап разрабатывает систему навигации на основе дополненной реальности внутри помещений На сегодняшний день добраться из пункта А в пункт В не так-то и сложно. Даже если вы не знаете город или район — одна из многочисленных навигационных систем или те же карты от Google подскажут вам дорогу. А сейчас представьте себе ситуацию, в которой, наверняка, многи...
В 2018 году Cobalt и Silence украли у банков 58 млн рублей Представители Российского Центра мониторинга и реагирования на компьютерные атаки в финансово-кредитной сфере (ФинЦЕРТ) опубликовали отчет об киберкампаниях, направленных на банки в 2018 году. По данным организации, за этот период зафиксировано 177 целевых атак на учреждения...
Российские хакеры пошли дальше использования уязвимостей и модифицируют Chrome и Firefox для отслеживания зашифрованного трафика пользователей Многие злоумышленники для взлома просто используют уязвимости в браузерах, но одна группа пошла дальше. Об этом рассказали специалисты «Лаборатории Касперского». В компании обнаружили, что хакеры из российской группы Turla научилась модифициров...
Подтверждено: все новые iPhone оснащаются модемами Intel Ранее в этом году компания Apple помирилась с Qualcomm, что позволит первой уже в следующем году при желании использовать модемы 5G в своих смартфонах. Но текущее поколение iPhone всё ещё использует модемы Intel. Теперь об этом можно говорить с уверенностью, так как пе...
TA505 применяет новое вредоносное ПО для фишинговых атак Исследователи компании Proofpoint сообщили о появлении двух новых вредоносов — бэкдора ServHelper и трояна FlawedGrace, позволяющего получить полный доступ к устройству и похищать данные. Группировка TA505 начала использовать их с ноября 2018 года в фишинговых атаках, нацеле...
Объемы фишинга снижаются, несмотря на изменения в Whois Как сообщает Антифишинговая рабочая группа (APWG), объемы фишинга сократились почти в два раза по сравнению с прошлым годом.Так, в четвертом квартале 2018 года было зафиксировано 138 328 фишинговых атак, а в третьем, втором и первом кварталах - соответственно, 151 014,...
Польские разработчики анонсировали сурвайвл-хоррор про Чернобыль Польская студия The Farm 51 выпустила дебютный трейлер для игры под названием Chernobylite. Описание игры также уже появилось в сервисе цифровой дистрибуции Steam.
Казино Чемпион — лучшая система Если вы начинающий бизнесмен и хотите открыть своё интерактивное казино, то вам обязательно потребуется качественное программное обеспечение, которое будет обеспечивать вам хорошую прибыль. На сайте Чемпион Казино Клуб, вы сможете скачать отличный софт для своего заведения. ...
Новая уязвимость SIM-карт передаёт хакерам контроль за смартфоном SIM-карты с флагами разных стран Злоумышленники продолжают находить всё новые способы взлома устройств обычных пользователей, под час используя для этого весьма неожиданные лазейки. Сотрудники из компании Ginno Security Lab, специализирующейся на кибербезопасности, подготови...
Как я «взломал» Qiwi без знаний программирования Вступление Снова всем привет. На этот раз статья не будет поднимать «сурьезные» вопросы. Это будет рассказ о том, как не зная программирования, но будучи достаточно смекалистым и внимательным, можно найти серьезную уязвимость, которая, к примеру, позволит вам списать все ден...
Польское правительство выступило против продукции компании Huawei Польские власти выразили готовность запретить всем сотрудникам государственных структур страны пользоваться смартфонами и прочими устройствами, которые производит китайская корпорация Huawei.
Польский спецназ стал «заложником» советского оружия и техники Польша мечтает о стандартах НАТО, но перейти на них не может. В Сети обсуждают фотографию польского спецназовца, сделанную на учениях в Германии. Боец стоит на фоне советской БМП, в руках у него Мини-Берилл – укороченная версия польской переделки автомата Калашникова. Поляк...
Эксперимент выявил тысячи атак на IoT-ловушки в России Более 500 ловушек были просканированы потенциальными злоумышленниками 561 003 раз за два часа, а пять устройств, расположенных в России, были сканированы 5 370 раз за два часа. Honeypots-ловушки были расположены в России, Мексике, Франции, Германии, Южной Корее, Австралии, В...
Корпоративное ПО может скрыто передавать информацию на сторону Специалисты аналитической компании ExtraHop предупреждают, что инструменты для корпоративной безопасности, аналитики и управления оборудованием могут собирать куда больше данных, чем полагают их клиенты.
Бесплатный meetup eLama & Google в Екатеринбурге 28 ноября в Екатеринбурге в отеле Novotel пройдет бесплатное мероприятие для рекламных агентств и фрилансеров, на котором можно узнать, как использовать возможности Google Рекламы, чтобы и бизнес и клиент получали выгоду. Специалисты из...
Технология единого выхода помогает киберпреступникам Сейчас на многих ресурсах используется технология единого входа (single sign-on). Она позволяет пользователю авторизоваться через аккаунт в социальной сети, не тратя время на регистрацию и авторизацию на самом ресурсе. Эксперты считают, что это даёт новые возможности мошенни...
ПК-версия Cyberpunk 2077 будет поддерживать трассировку лучей Сотрудничество Nvidia и CD Projekt RED продолжается. Благодаря партнёрству «зелёных» и польских игроделов в игре The Witcher 3: Wild Hunt было реализовано множество инструментов набора GameWorks, к примеру, физический движок PhysX и технология...
На вторичном рынке за 100 долларов можно купить устройства, при помощи которых ФБР взламывает смартфоны преступников Источник рассказал одну занятную историю, касающуюся аппаратуры для взлома смартфонов. как сообщается, правоохранительные органы США и других стран в своей работе нередко используют устройства Cellebrite UFED, призванные взламывать смартфоны с Android и iOS. Новые аппа...
Любовные письма приносят вымогатель, майнер и спамбот В поле зрения ИБ-специалистов попала спам-кампания, доставляющая на ПК Windows тройную полезную нагрузку. Вредоносный скрипт, приложенный к письму, загружает на устройство спамбот, шифровальщик и майнер криптовалюты. Имена вложенных файлов начинаются со слов Love_You_, а сам...
Исследователь опубликовал код эксплойта для Chrome 73 Компания Exodus Intelligence опубликовала код эксплойта для уязвимости в стабильной версии Google Chrome. Рабочий прототип использует проблему безопасности в движке v8, которую разработчики браузера устранили 18 марта, но пока что не исправили в актуальной версии 73. ИБ-иссл...
Исследователи нашли новые уязвимости в протоколе WPA3 ИБ-специалисты обнаружили две новые уязвимости в стандарте беспроводных подключений WPA3. Баги позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, и методом подбора выяснить пароль WiFi-сети. Разработчики протокола планируют о...
Microsoft отказывается исправлять уязвимость в Windows 10 Mobile Microsoft прекратила разработку операционной системы Windows 10 Mobile, что означает, что пользователи больше не получают важные обновления, но обновления для системы безопасности по-прежнему предоставляются каждый вторник исправлений. Windows 10 Mobile все еще существует, н...
Облачный сервис ASUS используется для кибератак Злоумышленники распространяют бэкдор Plead, используя скомпрометированные цифровые сертификаты ASUS Cloud Corporation, которые маскируют угрозу под легитимное ПО.
В разработке Cyberpunk 2077 участвует 400 человек Польская студия CD Projekt RED погрузилась в работу над Cyberpunk 2077, поэтому новости об игре появляются в Сети не так часто, как хотелось бы фанатам. Недавняя информация об уходе креативного директора проекта и одного из сценаристов взбудоражила поклонников. Поло...
Huawei Mate 30 и Mate 30 Pro задержатся из-за американских санкций. HarmonyOS не поможет Смартфоны Huawei Mate 30 остались без лицензионных приложений и сервисов Google С момента запрета торговли США глобальные продажи Huawei заметно снизились. Временная лицензия, которая была предоставлена компании еще в мае, недавно была продлена еще на три месяца. Но, у...
В 2019 году увеличилось количество атак инфостилеров Вредоносным программам для сбора данных не составляет труда получить сохраненную в браузере информацию, в том числе логины и пароли. Что и как воруют современные трояны-стилеры, рассказали специалисты «Лаборатории Касперского» в профильном обзоре вредоносной активн...
Польские ученые создали 3D-карту Млечного Пути, которая продемонстрировала искривленность нашей галактики В школьных учебниках астрономии нашу галактику изображают в виде плоского диска, однако в последние годы ученые начали приходить к выводу, что она, скорее, похожа на раскатанное тесто для пиццы, подброшенное поваром в воздух. Исследование специалистов из Варшавского универси...
Tamron рассматривает возможность выпуска объективов для беззеркальных камер Canon EOS R и Nikon Z Источник опубликовал интервью с представителями компании Tamron, отвечающими за планирование и маркетинг продукции. В беседе был затронут вопрос выпуска объективов для беззеркальных камер. Как известно, в феврале компания Tamron объявила о разработке полнокадрового объ...
[Из песочницы] Расширения VSCode, которые облегчат разработку на JavaScript и Vue На сегодняшний день существует достаточное количество средств для разработки с поддержкой языка JavaScript и основанных на нем фреймворков. Вопрос выбора конкретного инструмента стоит вне этой статьи, тут же я постараюсь описать свой пользовательский опыт работы с Visual Stu...
Самые используемые уязвимости 2018 года — это баги в продуктах Microsoft Специалисты Recorded Future подсчитали, что 8 из 10 самых популярных среди злоумышленников уязвимостей, это баги в продуктах Microsoft.
В Instagram добавили аналог TikTok Instagram тестирует новый набор инструментов для редактирования видео в разделе Stories под названием Reels. Этот инструмент используется для создания 15-секундных видеоклипов с выбранной звуковой дорожкой, которую легко найти по хэштегам. Или можно использовать звук из...
Международная конференция DevOpsForum 2019 состоится 20 апреля Конференция направлена на поиск решений и инновационных инструментов эффективного взаимодействия бизнеса, специалистов по разработке и информационно-технологическому обслуживанию.
Virgin Orbit планирует к 2022 году запустить на Марс малые спутники кубсат массой около 50 кг Virgin Orbit планирует стать первой частной компанией, отправляющей на Марс спутники формата кубсат. Компания объявила о партнёрстве с польской спутниковой компанией SatRevolution и дюжиной польских университетов. Совместными усилиями партнёры намерены разработать серию мисс...
Баг в ПО роутеров Linksys может стать причиной утечки данных Прошивка более чем 25 тыс. роутеров Linksys содержит уязвимость, позволяющую неавторизованному злоумышленнику получить доступ к конфиденциальным данным об устройствах целевой сети. К такому выводу пришли специалисты портала Bad Packets, опубликовавшие описание бреши. Произво...
Мошенники нашли необычный способ обмана владельцев iPhone Наверняка вы знакомы с таким явлением как «фишинг». Зачастую хакеры используют поддельные письма и клоны известных сайтов, чтобы заполучить доступ к вашим персональным данным. Но иногда методы обмана настолько изощренны, что не заметить подвоха и попасть в ловушку может даж...
Защищенный браузер Tor для Android вышел из бета-версии Отличный способ обхода блокировок, а также инструмент в арсенале пользователей, которые опасаются слежки.
Приглашаем на тренинг от разработчиков Intel Software и Яндекс «Разработка ПО в облаке» 11 октября и 7 ноября Intel Software Solutions проводит бесплатный мастер-класс для разработчиков в московском офисе Яндекса на Льва Толстого. Специалисты обеих компаний расскажут всем желающим о программных инструментах и облачных технологиях для разработки ПО, высокопрои...
Пересылка видео в WhatsApp оказалась опасной Неясно, требуется ли для взлома телефона открывать присланный файл, либо достаточно того, что он появился в WhatsApp. Уязвимость, которую обнаружили специалисты Facebook, присутствовала во многих версиях приложения: WhatsApp и WhatsApp для бизнеса, в версиях для iOS, Android...
Киберпреступники доставляют бэкдор с драйвером NVIDIA Специалисты по информационной безопасности сообщают о целевой киберкампании, направленной на организации технологического сектора в Юго-Восточной Азии. Злоумышленники используют легитимное ПО NVIDIA для доставки бэкдора, чтобы получить привилегии администратора, заменив троя...
Google откажется от URL-адресов в том виде, в каком мы их знаем. Что для этого уже сделано Компания работает над инструментом с открытым исходным кодом TrickURI и предупреждениями о фишинговых сайтах.
Эксперты: эксплойт-паки рано сбрасывать со счетов Исследователи из Malwarebytes опубликовали результаты мониторинга активности эксплойт-паков в весенние месяцы. Согласно заключению, перемен к лучшему на этом фронте пока не наблюдается; более того, в распоряжении злоумышленников появился новый пакет для проведения атак. Осно...
Как строить, развертывать и тестировать Waves RIDE dApp Здравствуйте! В статье я покажу, как написать и запустить на ноде Waves обычный dApp. Рассмотрим необходимые инструменты, методы и пример разработки. Схема разработки dApps и обычных приложений почти не отличается: Пишем код Пишем автоматизированное тестирование Запуска...
Дисплей смешанной реальности от Adobe объединяет физические и цифровые объекты Исследовательская команда Adobe создала экспериментальный прототип дисплея, который призван объединять цифровой и физический мир, о чём компания рассказала в своём блоге. Устройство под условным названием Project Glasswing имеет дисплей с регулируемой прозрачностью и позволя...
Twitch сделала двухфакторную аутентификацию обязательной для новых стримеров Новые пользователи Twitch больше не смогут запускать трансляции, не завершив двухфакторную аутентификацию. Представители платформы сообщили, что к этой мере им пришлось прибегнуть из-за ситуации со стримами ботов, которая ранее возникла в разделе по Artifact. 26 мая СМИ обр...
РАНХиГС: 20 миллионов россиян могут лишиться работы из-за роботов Однако автоматизация — длительный процесс, и у людей будет время переучиться.
«Аурига» и Parasoft стали партнерами в области автоматизации тестирования встроенных систем Parasoft объявила о заключении партнерского соглашения с «Ауригой». Новое партнерство позволит «Ауриге» более эффективно использовать инструменты автоматического тестирования Parasoft и тем самым сократить время вывода продуктов наших клиентов на рынок ...
0-day в Chrome использовали вместе с уязвимостью в Windows 7 Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно на прошлой неделе, с уязвимостью нулевого дня в Windows 7.
LUCKY PATCHER – Отличное приложение для вашего смартфона Согласитесь, практически у каждого человека в «вооружении» есть собственный смартфон, который используется для различных целей. Да, некоторым пользователям смартфон необходим лишь для звонков и общения в социальных сетях, однако есть и те, кто использует его в качестве полез...
Анализ данных на Scala — суровая необходимость или приятная возможность? Традиционными инструментами в сфере Data Science являются такие языки, как R и Python — расслабленный синтаксис и большое количество библиотек для машинного обучения и обработки данных позволяет достаточно быстро получить некоторые работающие решения. Однако бывают ситуации...
Стоит ли заклеивать камеры и микрофоны смартфонов и ноутбуков Заклеивание камеры и микрофона на ноутбуке, ввод пароля под одеялом, шапочка из фольги – все это до какого-то момента воспринималось как шутка. Даже если кто-то и пользовался подобными методами защиты от слежки, было непринято говорить об этом публично. Поворотным моментом ...
Apple все еще хочет купить часть немецкого бизнеса Intel по выпуску модемов для смартфонов Согласно новой статье, опубликованной The Information, компания Apple ведет переговоры о покупке части немецкого бизнеса Intel по выпуску модемов для смартфонов. Подобные слухи появлялись и ранее, однако свежие данные указывают на то, что переговоры находятся в активной...
Вымогатель Shade атакует российские компании Специалисты предупреждают о новой волне фишинговых писем, с помощью которых распространяется шифровальщик Shade. По данным экспертов, главной целью преступников являются российские компании.
Система Google Translatotron позволяет переводить речь голосом говорящего Говорить на другом языке становится легче благодаря новой разработке Google. Компания продемонстрировала Translatotron – первую в своём роде систему перевода, которая может напрямую преобразовывать речь с одного языка на другой, сохраняя при этом голос и темп речи говорящего...
Все инструменты, которые мы использовали для создания популярной HTML5-игры Curious Expedition В этой статье представлен полный список всех инструментов и платформ, которые мы использовали при разработке Curious Expedition, а также вывод о том, буду ли я использовать их снова или нет.
[Из песочницы] DevOps в разработке: автоматизация написания кода веб-приложений Доброго времени суток, уважаемые Хабражители! Сегодня DevOps находится на волне успеха. Практически на любой конференции, посвященной автоматизации, можно услышать от спикера мол “мы внедрили DevOps и тут и там, применили это и то, вести проекты стало значительно проще и т....
[Из песочницы] Тестирование смарт-контрактов Ethereum на Go: прощай, JavaScript Я хочу поблагодарить коллег: Сергея Немеша, Михаила Попсуева, Евгения Бабича и Игоря Титаренко за консультации, отзывы и тестирование. Я также хочу сказать спасибо команде PolySwarm за разработку оригинальной версии Perigord. Это перевод моей статьи, опубликованной впервые...
Представитель Olympus признал, что у системы Micro Four Thirds совсем немного достоинств Японский сайт Newswitch опубликовал интервью с исполнительным директором Olympus Шигеми Сугимото (Shigemi Sugimoto). Источник выделил наиболее интересные моменты этой публикации. По словам Сугимото, в 2018 году компания Olympus не смогла выпустить больше новых продукто...
Nikon инвестирует в канадскую компанию Wrnch, занимающуюся машинным зрением и глубоким обучением На сайте Nikon опубликовано сообщение о том, что японский производитель фототехники инвестировал 7,5 млн долларов в канадскую компанию Wrnch. Компания Wrnch, основанная в 2014 году, специализируется на разработках, связанных с машинным зрением и глубоким обучением. Гово...
Взломщики продолжают атаки на хранилища MongoDB Спустя два года после первых атак базы данных MongoDB все еще остаются в сфере внимания злоумышленников. Преступники ищут открытые хранилища и крадут данные с целью выкупа. К такому выводу пришел ИБ-специалист Виктор Геверс (Victor Gevers), ведущий статистику криминальных ка...
Samsung выпустила инструменты для разработки мобильных блокчейн-приложений Набор инструментов для создания таких приложений получил название Samsung Blockchain SDK. Он включает полный спектр функций, которые необходимы для создания децентрализованных приложений для смартфонов.Samsung Blockchain SDK позволит создавать, хранить, управлять и резервиро...
Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...
Владимир Путин утвердил национальную программу разработки искусственного интеллекта Президент Российской Федерации Владимир Путин подписал стратегию развития искусственного интеллекта. Соответствующий документ, в котором описана стратегия создания искусственного интеллекта, предполагает, что процесс разработки будет завершён к 2030 году. Кроме того, президе...
SEO-специалисты сомневаются в полезности Disavow Links Tool – опрос В начале октября SEO-консультант Лили Рэй (Lily Ray) опубликовала в Twitter опрос, призванный выяснить, как вебмастера относятся к инструменту отклонения ссылок от Google (Disavow Link Tool). В опросе предлагалось оценить эффективность использования файла Disavow, добавленно...
Apple работает над перчатками для сенсорного управления Компания Apple оформила патент в патентном ведомстве США (U.S. Patent and Trademark Office, USPTO) своей новой разработки — специальных перчаток, которые могут использоваться для сенсорного управления различными устройствами. Перчатки описываются как ...
Материнская плата MSI X570 Godlike будет стоить около $800 За последнее время уже не раз сообщалось о том, что материнские платы на новой системной логике AMD X570 будут заметно дороже своих предшественников. А в случае флагманских моделей с наиболее богатым оснащением и возможностями цены и вовсе могут оказаться «космическими». Нап...
Киберполиция заблокировала троян Imminent Monitor Европол совместно с правоохранительными органами Колумбии, Австралии и ряда других стран пресек распространение трояна Imminent Monitor. Киберполицейские добились отключения серверов проекта, который позиционировался как легитимная утилита, однако обладал всеми функциями RAT...
RIFT — IoT-бот, вооруженный семнадцатью эксплойтами Эксперт NewSky Security Анкит Анубхав (Ankit Anubhav) собирает информацию по новому IoT-зловреду RIFT, создатель которого использует псевдоним 666TrapGod. Вирусописатель уже строит ботнет, нацелив свое детище как минимум на 17 уязвимостей разной давности, среди которых числи...
APWG отметила оживление в стане фишеров В период с января по март участники Антифишинговой рабочей группы (APWG) зарегистрировали 180 768 сайтов-ловушек фишеров — заметно больше, чем в IV и III кварталах 2018 года. В то же время число уникальных фишинговых рассылок сократилось более чем в два раза и составило окол...
Приложения из Google Play доставляли банкер Anubis После обращения ИБ-специалистов из каталога Google Play были удалены два приложения, загружавшие на Android-устройства банковский троян Anubis. Программы использовали датчики движения мобильного телефона, чтобы не проявлять вредоносную активность при запуске в песочнице, и п...
Троянская конница. Хакерские рассылки разлетаются из банков по клиентам В 2019 году хакеры будут активно использовать реализованную в конце 2018 году схему, когда взлом одного банка позволяет успешно атаковать его контрагентов, отмечают в Solar JSOC. При этом хакеры унифицируют свои инструменты — уже сейчас банки и их контрагенты атакуются при п...
Пингвинья тропа. Простые рецепты для выборочного шифрования трафика в Linux Для подписчиковТакие термины, как TOR, VPN, прокси, у всех на слуху. Чтобы подключить и настроить их, не требуется специальных знаний, но существуют и более изящные решения. Сегодня я расскажу о методике обхода блокировок в Linux с маскировкой трафика и покажу несколько скри...
Создатели Foxit Reader закрыли восемь серьезных уязвимостей Разработчики PDF-редактора Foxit Reader исправили восемь серьезных уязвимостей в своем продукте. Баги позволяли злоумышленнику удаленно выполнить вредоносный код в целевой системе и перехватить управление. Патчи включены в Foxit Reader 9.7, доступный для загрузки на официаль...
По слухам, в iPhone 2020 будет установлен ультразвуковой сканер отпечатков пальцев под дисплеем Apple договорилась о том, чтобы на следующей неделе представитель встретился с тайваньским производителем GIS, связанным с сенсорным экраном, чтобы обсудить разработку iPhone со сканером отпечатков пальцев под дисплеем, который будет выпущен уже в следующем году, согласно па...
Бейся как русский, бойся как поляк. Спецназ ГРУ могут реформировать по образцу польских коммандос В обеих славянских странах возник тренд на создание сил территориальной обороны. Одной из главных новинок в военном деле Польши стало создание так называемых войск территориальной обороны. Суть этих войск сводится к созданию из гражданских жителей постоянно готовых и находя...
В российском Даркнете начали массово скупать «цифровые отпечатки» пользователей Новая площадка Richlogs, по мнению экспертов IntSights Inc, в большей степени ориентирована на российский сегмент Даркнета. Несмотря на то, что количество предложенных к покупке «цифровых отпечатков» на этом ресурсе в разы меньше, чем на другой площадке Genesis, информация н...
Как ИИ помогает осваивать язык жестов Для любого человека язык жестов сложен для изучения. Дело в том, что используются не только жесты, но и мимика, а также артикуляция, плюс «язык тела». Значение передаваемой информации зависит от всех этих факторов. Существуют программы для изучения языка жестов, но многие ...
Скоро дроны будут прибывать до эвакуатора при поломке автомобиля в дороге Сейчас, когда ваша машина ломается в дороге, водитель обычно вызывает ремонтную службу и ждёт. Появляется эвакуатор, водитель оценивает ситуацию, а затем вырабатывается сценарий дальнейших действий. Однако этот типичный процесс может измениться: буксирная компания 360 Towing...
Взломщики находят уязвимый RDP-хост за 90 секунд Операторы вредоносных кампаний фокусируются на незащищенных подключениях удаленного доступа, отказываясь от массированных email-рассылок и других методов доставки полезной нагрузки. В сегодняшних реалиях онлайн-сканеры мгновенно обнаруживают уязвимый сервер, после чего он ок...
Microsoft блокирует обновление Windows 10 для пользователей AVG и Avast Пользователи, желающие обновить свою операционную систему до сборки 1909 (November 2019 Update) могут столкнуться с отказом, если они используют антивирусные инструменты AVG или Avast.
Qualcomm представляет новые чипсеты Snapdragon 865 и 765, анонсирует 3D сканер отпечатков пальцев Sonic Max Во вторник компания Qualcomm открыла свой ежегодный саммит. В первый день всемирно известный производитель представил два готовящихся к выходу чипсета на новой модульной платформе Qualcomm. Snapdragon 865 является преемником 855. Между тем, Snapdragon 765 / 765G — это абсолю...
«Набрали программистов-девственников»: Польский спецназ высмеяли в сети Экстравагантный внешний вид бойца польского спецназа GROM рассмешил интернет. Пока отечественные военные аналитики из последних сил пытаются предсказать, где ещё будут действовать бойцы российского спецназа, в соседней славянской стране произошёл конфуз. Польский спецназ су...
Cisco пропатчила опасные уязвимости в IP-телефонах Компания Cisco Systems пропатчила пять серьезных уязвимостей, объявившихся в ее IP-телефонах бизнес-класса. Пользователям затронутых устройств настоятельно рекомендуется обновить прошивки. Наличие уязвимостей подтверждено для некоторых моделей стационарных телефонов серии 88...
Взлом вк, двухфакторная аутентификация не спасет Недавно я ужаснулся от того, как просто можно получить доступ к странице пользователя, зная только номер телефона, на который зарегистрирована страница жертвы. Стоимость взлома ~1000-1500 рублей, время взлома ~30 минут. Единственное условие — недобросовестный оператор мобиль...
OnePlus 7: живые фото, оценка дисплея и тройной камеры Pro-версии Грядущий флагманский смартфон OnePlus 7 появился в новом клипе индийской певицы Нехи Бхасин, который был опубликован через сервис OnePlus Playback, ориентированный на независимую музыку. Помимо этого, дисплей OnePlus 7 Pro был оценен специалистами DisplayMate, а фотоснимки с...
У Agent Tesla появился необычный дроппер Специалисты Cisco Talos рассказали о вредоносной кампании, нацеленной на похищение учетных данных пользователей и другой важной информации. Зловред, атаки которого начались в январе, применяет оригинальный загрузчик, чтобы обойти антивирусную защиту и внедрить свой код в лег...
В актуальной версии vBulletin обнаружена критическая 0-day Анонимный ИБ-исследователь выложил в открытый доступ PoC для уязвимости нулевого дня в CMS vBulletin, позволяющей взламывать интернет-форумы и похищать данные участников. Эксперты опасаются грядущей волны кибератак, от которых могут пострадать сотни миллионов пользователей. ...
Специалистами Fraunhofer FEP созданы гибкие модульные ленты OLED По сообщению источника, специалистами института органической электроники, электроннолучевой и плазменной технологии общества Фраунгофера (Fraunhofer FEP) разработаны модульные ленты из гибких панелей OLED. Они могут быть изготовлены любой длины. На следующей неделе разр...
Virgin Orbit планирует отправить спутники к Марсу в 2022 году Virgin Orbit намерена стать первой частной компанией, отправляющей спутники типа «кубсат» к Марсу. Недавно Virgin Orbit, являющаяся дочерним предприятием компании Virgin Galactic, объявила о заключении партнёрских договором с несколькими польскими университетами, а также пре...
Программы для управления проектами (задачами) онлайн для Mac (macOS) Проекты могут принимать самые разнообразные формы и размеры, как и используемые менеджерами проектов инструменты для управления. Вы можете искать оптимальное программное обеспечение с целью его дальнейшего приобретения, но зачастую такое ПО оказывается очень дорогим. Тем бол...
Qualcomm поставляет чипсеты Huawei в обход санкций Процессоры Qualcomm используются в недорогих смартфонах Huawei
[Перевод] Вышли обновления ML.NET и Model Builder: что нового Мы рады сообщить о выходе обновлений Model Builder и ML.NET. ML.NET — это кроссплатформенная среда машинного обучения с открытым исходным кодом (Windows, Linux, macOS) для разработчиков .NET. ML.NET предлагает Model Builder (простой инструмент пользовательского интерфейса)...
Социальная инженерия — ключ к данным В преддверии Второго Международного конгресса по кибербезопасности, организованного Сбербанком при участии Центра Кибербезопасности Всемирного Экономического Форума (WEF C4C) и поддержке Ассоциации Банков России и АНО "Цифровая Экономика", состоялась пресс-конферен...
Microsoft все еще не закрыла лазейку для бесплатного получения Windows 10 Напомним, что уже с 14 января следующего года корпорация Microsoft может остановить поддержку операционной системы Windows 7. Предполагается, что для того, чтобы перейти с Windows 7 на Windows 10 пользователям необходимо отдать 120 долларов, однако существует способ обхода п...
[Перевод] Разновидности SIMD Во время разработки meshoptimizer частенько возникает вопрос: «А может этому алгоритму использовать SIMD?» Библиотека ориентирована на производительность, но SIMD не всегда обеспечивает значительные преимущества по скорости. К сожалению, SIMD может сделать код менее перено...
MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK В MaxPatrol SIEM загружен новый пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход ...
Мошенники хотят украсть ваш Apple ID. Будьте осторожны Время от времени мошенники активизируются и начинают атаковать, как правило, владельцев устройств от Apple. Они обманным путем получают доступ к Apple ID и паролям ни о чем не подозревающих пользователей. Правда, последние по своей невнимательности сами «дарят» свои данные ...
Новая кампания по угону DNS-трафика на роутерах Последние три месяца исследователи из Bad Packets фиксируют рост количества атак на роутеры потребительского класса с целью угона DNS-трафика. Злоумышленники взламывают сетевые устройства, используя известные уязвимости, и незаметно изменяют настройки DNS, чтобы перенаправит...
Противостоять киберугрозам помогут сотрудничество и осведомленность 22 октября в Москве состоялась пресс-конференция Cisco, в ходе которой эксперты компании рассказали о ключевых тенденциях на рынке информационной безопасности. Так, журналистам были представлены итоги исследований Email Security Report, Threat Hunting Report и CISO Benchmark...
APT-группа Platinum вооружилась бэкдором Titanium Специалисты «Лаборатории Касперского» рассказали о бэкдоре Titanium, который APT-группировка Platinum использует в атаках на организации в Юго-Восточной Азии. Зловред получает команды через код, зашифрованный в PNG-изображениях, и может манипулировать файлами на ин...
Google выпустил ключ для любых гаджетов В отличие от предшественников новинка не поддерживает NFC, что не должно сказаться на удобстве использования. Ключ можно без переходников вставлять в большинство современных смартфонов, планшетов, компьютеров и ноутбуков. Titan работает по открытому протоколу FIDO U2F (униве...
Игровая индустрия с 12 по 18 августа 2019 года В сегодняшнем выпуске: GSC Game World ищет сотрудников. Игроки No Man’s Sky строят огромный город. The Outer Worlds может получить продолжение. Splinter Cell возвращается. Все самое интересное из мира игр и игровой индустрии за прошедшую неделю. GSC Game World ище...
Почему стоит купить смартфон с 48-Мп камерой Долгое время производители представляли устройства с 12 или 16-Мп камерами. Улучшалась апертура, увеличивались пиксели, внедряли оптическую стабилизацию, но пришло время пойти иным путем. Прослеживается новый тренд – 48-Мп камеры. Sony и Samsung выпустили такие модули (IMX5...
В России установлен рекорд дальности передачи высокоскоростного сигнала Исследователи, работающие в МФТИ, совместно со специалистами российской компании Т8 и американской компании Corning создали систему для передачи высокоскоростного сигнала на большие расстояния без активного промежуточного усиления. С помощью таких систем можно обеспечит...
Российская разработка позволит питать гаджеты от тепла тела Специалисты из Национального исследовательского технологического университета (НИТУ) «МИСиС» создали передовой термоэлектрический материал, который позволит питать различные гаджеты от тепла человеческого тела. Термоэлектрические материалы — химические соединения или сплавы ...
Crytek добавила SpatialOS GDK в CryEngine и пообещала новую AAA-игру с этой технологией Crytek объявила, что работает с известным технологическим стартапом Improbable с целью помочь разработчикам создавать игры, использующие связку движка CryEngine и облачной технологии SpatialOS. Согласно заявлению, уже достигнут прогресс в отношении полнофункциональн...
Монолит для сотен версий клиентов: как мы пишем и поддерживаем тесты Всем привет! Я бэкенд-разработчик в серверной команде Badoo. На прошлогодней конференции HighLoad я выступал с докладом, текстовым вариантом которого и хочу поделиться с вами. Этот пост будет наиболее полезен тем, кто самостоятельно пишет тесты для бэкенда и испытывает пр...
Начались продажи гарнитуры дополненной и виртуальной реальности Varjo VR-1 стоимостью 5995 долларов Финская компания Varjo представила гарнитуру дополненной и виртуальной реальности, о разработке которой впервые стало известно летом 2017 года. По словам производителя, гарнитура VR-1 может похвастать дисплеями Bionic Display разрешением 60 PPD (пикселей на градус) и з...
Обнаружена странная фишинговая кампания со ссылками длиной около 1000 символов Фишеры пытаются похитить учетные данные от почтовых ящиков пользователей, используя странные URL длиной 400-1000 символов.
Android-троян FANTA «заработал» десятки миллионов рублей на российских пользователях Несмотря на то, что различные вариации Android-троянов семейства Flexnet известны уже более 4 лет, с 2015 года, и подробно изучены, сам троян и связанная с ним инфраструктура постоянно развиваются: злоумышленники разрабатывают новые эффективные схемы распространения, добавля...
Ежегодная конференция для разработчиков Microsoft Build 2020 откроется 19 мая Корпорация Microsoft определилась со сроками проведения своей следующей ежегодной конференции для разработчиков Build 2020. Мероприятие будет проходить в Сиэтле с 19 по 21 мая 2020 года. Однако компания пока не уточняет, когда начнётся продажа билетов. Build – это одно из кр...
Преподавателям на заметку: PVS-Studio для знакомства студентов с инструментами анализа кода По общению в поддержке и некоторым другим косвенным признакам мы заметили, что среди наших бесплатных пользователей стало много студентов. Причина: анализатор PVS-Studio начал использоваться некоторыми преподавателями в рамках дисциплин, связанных с разработкой программного ...
Microsoft выпустила предварительную версию Windows Vision Skills Компания Microsoft объявила о выпуске первой предварительной версии Windows Vision Skills. Этот набор NuGet-пакетов позволяет разработчикам «решать сложные проблемы компьютерного зрения, используя простой набор API». Windows Vision Skills уже включает в себя набор API-интер...
Китайский протокол AIBUS и лабораторный химический реактор Приветствую Хабр! Когда-то давно я написал статью про реакционные ароматизаторы. Прошло много времени, я вернулся к этому вопросу. В этой статье я не буду вдаваться в подробности технологии разработки реакционных ароматизаторов, а расскажу о моем опыте автоматизировать сво...
«Спортмастер» вложился в покупку польской розничной сети «Спортмастер» приобрел у французской группы Go Sport Group польскую розничную сеть Go Sport. До настоящего времени российский ритейлер на европейском рынке представлен не был.
Microsoft: Secured-core PCs защищают ваши данные на более глубоком уровне Злоумышленники используют более совершенные способы для кражи личных данных, так что производители персональных компьютеров вынуждены использовать новые способы для повышения безопасности. Компания Microsoft в партнёрстве с несколькими партнёрами, такими как Dell, Dynabook,...
Эмуляция Amazon web services в JVM процессе. Уклоняемся от Роскомнадзора и ускоряем разработку и тестирование Зачем же может потребоваться эмулировать инфраструктуру Amazon web services? Прежде всего это экономия — экономия времени на разработку и отладку, и что не менее важно — экономия денег из бюджета проекта. Понятно что эмулятор не будет на 100% идентичен исходной среде котору...
[Из песочницы] Эволюция самого популярного инструмента любого разработчика В любой среде разработки есть инструмент с названием «Output». Нет нужды описывать что он делает, поскольку абсолютно все разработчики его используют в своей работе ежедневно. Он прост и консервативен. По сути не менялся десятилетиями и до этих пор выглядит как то так: Т...
[Перевод] Руководство по разработке, основанной на компонентах Модульность является одним из ключевых принципов разработки программного обеспечения с 1960-х годов. Применение этого принципа приносит в программирование много полезного. Модульность способствует эффективному использованию принципа разделения ответственностей, что ведёт к у...
В плагине WP Live Chat Support обнаружили уязвимость Аналитики компании Sucuri нашли в WordPress-плагине WP Live Chat Support опасный баг. Уязвимость позволяет неавторизованному злоумышленнику провести XSS-атаку и внедрить вредоносный код на все страницы сайта, которые используют расширение. После получения информации о недост...
Android-устройства можно использовать как ключ для входа в аккаунт Google на iOS Двухфакторная авторизация между разными платформами.
Xiaomi Mi A3 построена платформе Snapdragon 730, а в Mi A3 Lite используется Snapdragon 675 По последним слухам Xiaomi Mi A3 должен был стать копией модели CC9e, построенной на однокристальной платформе Qualcomm Snapdragon 665. Многим пользователям такие новости не понравились: все-таки от Mi A3 ждут большей производительности. По данным источника, все Mi A3 д...
Новый трейлер польского киберпанк-экшена Ghostrunner. Дикая смесь Mirror’s Edge и Dishonored Компания All in! Games и польская студия-разработчик One More Level представили новый трейлер своего будущего киберпанк-экшена Ghostrunner. На стильном видео показано, как главный герой эффектно бегает по стенам атмосферного киберпанк-города и шинкует врагов...
Microsoft не будет исправлять найденную уязвимость в Windows 10 Mobile Официальная поддержка Windows 10 Mobile закончится лишь в начале декабря этого года, и до этого срока операционная система будет продолжать получать накопительные обновления. Но важно понимать, что разработка Windows 10 Mobile остановлена, так что ошибки и уязвимости, харак...
Пользователей Android отучат от паролей Промышленный консорциум FIDO Alliance объявил, что с 25 февраля все устройства на базе Android 7.0 и старше будут поддерживать протокол FIDO2. Это позволит пользователям смартфонов и планшетов не запоминать пароли для доступа к интернет-сервисам, а использовать вместо них ед...
Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...
Криптовалюта оказалась не надёжной: Люди два года теряли миллионы из-за неопознанного вируса Злоумышленники использовали программу ради финансовой выгоды, так как она позволяла им собирать личную информацию о пользователях, восстанавливать пароли, удалять себя, скачивать различные файлы и даже делать скриншоты. Недавно специалисты обнаружили вредоносную программу C...
Безопасность продукции Apple снова под вопросом Apple Card, по мнению купертинского гиганта, предлагает не только различные бонусы, но и дополнительную защиту. В частности, номер карты, который на самой карте не указан, не хранится ни на серверах Apple, ни на самом устройстве. При этом карты Apple Card не защищены о...
Microsoft: 83% уязвимых копий Windows защитили от BlueKeep Администраторы корпоративных сетей близки к устранению угрозы BlueKeep. Как сообщил эксперт Microsoft Threat Protection Равив Тамир (Raviv Tamir), на прошлой неделе количество пропатченных систем на глобальном уровне превысило 83%. Данные собирали с применением мониторингово...
Новый инструмент выявляет предрасположенность к раку используя максимум данных Ученые ищут как способы лечения рака, так и методы его обнаружения на самой ранней стадии. Еще в октябре 2018 года группа исследователей из США разработала технологию выявления рака легких, а теперь другая группа из Кембриджского университета придумала, как высчитывать пред...
Выборочный обход блокировок на маршрутизаторах с прошивкой Padavan и Keenetic OS Инструкций с разными вариантами обхода блокировок Интернет-ресурсов опубликовано огромное количество. Но тема не теряет актуальности. Даже всё чаще звучат инициативы на законодательном уровне заблокировать статьи о методах обхода блокировок. И появились слухи, что Роскомнадз...
Взломщики могут подделать результат компьютерной томограммы Аппараты компьютерной томографии уязвимы для преступников, желающих изменить результаты сканирования. Как выяснили израильские ученые, данные, передаваемые между медицинским оборудованием и хранилищем изображений, можно скомпрометировать в результате атаки типа «человек...
Мошенники оценили удобство одной из функций Gmail Злоумышленники смогли упростить организацию BEC-кампаний (Business Email Compromise, мошенничество с деловой перепиской) с помощью одной из легитимных возможностей Gmail. Мошенническая схема подачи документов с использованием аккаунтов-клонов позволила безымянной группировке...
Команда FIN8 вернулась с финансовым бэкдором Badhatch Кибергруппировка FIN8 обновила свой тулкит для атак на PoS-терминалы, добавив в него новые функции. По сообщению ИБ-специалистов, в ходе исследования вредоносной активности злоумышленников они обнаружили ранее неизвестный штамм бэкдора PowerSniff, он же PunchBuggy. Обновленн...
Специалисты Google рассказали Apple об опасной уязвимости в ядре macOS Некоторое время назад специалисты команды Google Project Zero обнаружили в ядре яблочной настольной операционной системы опасную уязвимость, которая может помочь злоумышленникам получить доступ к компьютеру без ведома пользователя. Согласно имеющимся данным, купертиновцы уже...
Обход ограничений WatsApp за 920 рупий Клоны и программные инструменты WhatsApp стоимостью всего 1000 рупий (920 рублей) помогают индийским цифровым маркетологам и политическим активистам обойти антиспамовые ограничения, установленные приложением.
Герои двухфакторной аутентификации, часть вторая Недавно в первой части статьи, мы рассказали, что были удивлены как мало компаний считают отсутствие двухфакторной аутентификации серьезной угрозой информационной безопасности. Чтобы понять причины, мы составили четыре описания лиц принимающих решения — двух директоров и д...
Oracle выпустила экстренные патчи для уязвимости в WebLogic, которую уже атакуют хакеры В минувшие выходные специалисты зафиксировали новую волну атака на серверы Oracle WebLogic. Злоумышленники использовали свежую уязвимость нулевого дня.
Дай пять. Vivo дразнит анонсом 5G-смартфона Компания Vivo опубликовала рекламное изображение, которое подтверждает планы компании по посещению грядущей выставки Mobile World Congress 2019. Данное мероприятие пройдет с 26 по 28 июня в Шанхае. Шанхайская выставка Mobile World Congress 2019 будет посвящена современн...
Мигание винтажными светодиодами или как мы предупреждаем о «пожарах» на проекте Рутина — огромное поле для автоматизации. Если задача отнимает много сил, требует усидчивости и из раза в раз повторяется — это верный знак, что стоит сделать парочку шагов к уменьшению этой повторяющейся боли. А ещё реализацию можно превратить в неплохой технофанчик. Сегод...
На сайте поставщика расширений для Magento нашли скиммер Компания Extendware, создатель расширений для сайтов на базе CMS Magento, пострадала от атаки взломщиков. Злоумышленники внедрили скиммер на сайт организации и могли также заразить ее продукцию. Преступники присутствовали в инфраструктуре Extendware с 4 октября. Вредоносный ...
Пять ключевых трендов ITSM на этот год Говорим о направлениях, в которых развивается ITSM в 2019 году. / Unsplash / Alessio Ferretti Чат-боты Автоматизация позволяет сэкономить время, деньги и человеческие ресурсы. Одним из наиболее перспективных направлений автоматизации становится техподдержка. Компании вне...
Специалисты предупреждают об атаках на SharePoint-серверы Киберпреступники атакуют серверы под управлением Microsoft SharePoint через уязвимость, закрытую тремя патчами в феврале, марте и апреле этого года. Об этом сообщили специалисты канадского центра реагирования на киберугрозы, а также их коллеги из Саудовской Аравии. По словам...
Смартфон Huawei P30 Pro замечен в общественном транспорте Чем ближе к анонсу, тем больше фотографий и утечек, связанных с флагманским камерофоном Huawei P30 Pro, мы фиксируем. В этот раз смартфон Huawei P30 Pro был замечен в руках пользователя, который перемещался в общественном транспорте. Учитывая то, что смартфон пози...
Ботнет Bashlite нацелился на умные устройства Belkin WeMo Создатели IoT-бота Bashlite расширили его возможности: теперь он умеет проводить несколько вариантов DDoS-атак, обладает функциями бэкдора, а также способен удалять клиенты конкурентов. Очередной вариант Bashlite нацелен на линейку оборудования WeMo компании Belkin и доставл...
Жесткие диски в ноутбуках и настольных ПК могут служить источником прослушивания разговоров людей, находящихся рядом У киберпреступников очень много инструментов и методов получения персональной информации пользователей различных электронных устройств. И далеко не всегда против этих методов могут помочь традиционные способы противодействия злоумышленникам вроде использования антивирусов ...
Шпион MobSTSPY разлетелся по всему свету Вредоносное ПО MobSTSPY, замаскированное под легитимные Android-приложения, было скачано десятки тысяч раз — в основном с Google Play. Зараженные программы для мобильных устройств — не редкость, но обычно злоумышленники предпочитают их выкладывать в неофициальных интернет-ма...
С шашкой наголо. Польские коммандос слишком круты для огнестрела Брутальность польского диверсанта оценили в сети. Среди стран, ведущих войну с терроризмом в Афганистане в составе коалиции войск НАТО, особо выделяется Польша. Бойцы польского спецназа неоднократно показывали себя хладнокровными и профессиональными воинами, благодаря чему ...
В Голландии арестовали создателя билдеров Rubella и Cetan Государственная прокуратура Нидерландов сообщила о задержании предполагаемого разработчика программ-компоновщиков вредоносных документов. Согласно заявлению, 20-летний житель Утрехта распространял билдеры Rubella, Cetan и Dryad на теневых форумах. Полиция изъяла у него крипт...
Siemens опубликовала патчи для своего промышленного ПО Компания Siemens выпустила пакет обновлений для своих промышленных информационных систем. Разработчики опубликовали 16 рекомендаций по безопасности, одна из которых содержит две критические бреши. Максимальные 10 баллов по шкале CVSS получила уязвимость в продукте WibuKey пр...
Роскомнадзор работает над новыми инструментами полной блокировки Telegram Роскомнадзор работает над новыми инструментами полной блокировки мессенджера Telegram. Об этом в ходе Петербургского международного экономического форума (ПМЭФ) сообщил глава Роскомнадзора Александр Жаров. По его словам, раньше исполнение решения суда было возможно только по...
Баг в Exim позволяет выполнить сторонний код с root-правами Разработчики почтового клиента Exim устранили серьезную уязвимость, которая позволяла злоумышленнику дистанционно запустить сторонний код на целевом устройстве. Баг обнаружили 18 июля этого года и исправили в течение недели. Обновленные дистрибутивы приложения доступны на FT...
Уязвимость в приложении камеры Android позволяет ... Специалисты по кибербезопасности компании Checkmarx обнаружили уязвимость в приложении «Камера», которая могла затронуть миллионы устройств. Речь идет о дыре, которая позволяет злоумышленникам через практически любое приложение получить контроль над камерами, акт...
Фишеры взяли на вооружение push-уведомления на Android Мошенники научились маскировать фишинговые сообщения на Android-устройствах под уведомления легитимных приложений. Новая техника, которая уже применяется в кибератаках, работает с применением API Notifications и Push. Об угрозе репортер Bleeping Computer узнал от представите...
Против сотрудников Coinbase использовали две 0-day уязвимости в Firefox Выяснилось, что в Firefox было сразу две уязвимости нулевого дня, и их использовали для направленных фишинговых атак на Coinbase и другие криптовалютные компании.
Опубликован список из 25 самых опасных уязвимостей ПО Изображение: Unsplash Американская организация MITRE опубликовала список из 25 самых опасных уязвимостей программного обеспечения. Исследователи составили таблицу наиболее опасных и распространенных проблем безопасности, с указанием идентификаторов CWE (Common Weakness En...
Мессенджер Telegram получит новые функции Telegram с каждым днём становится лучше По мнению многих пользователей, Telegram — это самый лучший мессенджер на рынке. В нём прекрасно всё — начиная от интуитивного интерфейса заканчивая скоростью работы и высокой конфиденциальностью данных. И конечно, разработ...
Siemens залатала критические баги в своих продуктах Компания Siemens представила майский комплект обновлений безопасности, в который вошли девять новых патчей и четыре доработанные версии ранее выпущенных заплаток для продуктов вендора. Наиболее серьезные уязвимости закрыты в прошивке коммутаторов SCALANCE, ПО логических конт...
Книга «Искусство программирования на R. Погружение в большие данные» Привет, Хаброжители! Многие пользователи используют R для конкретных задач — тут построить гистограмму, там провести регрессионный анализ или выполнить другие отдельные операции, связанные со статистической обработкой данных. Но эта книга написана для тех, кто хочет разраба...
Робот-собака сможет двигаться как настоящее животное Роботы-собаки достигли определенных высот в плане эффективности движений. Однако специалисты Virginia Tech посчитали, что они раскрыли не весь свой потенциал и начали разработку новых алгоритмов, которые позволят придать роботизированной собаке более естественные движения.
Уязвимость в Apache Solr позволяет выполнить сторонний код Ошибка в коде поискового движка Apache Solr, открывавшая доступ к порту 8983, оказалась опаснее, чем предполагалось ранее. За последний месяц в Сети появились два PoC-эксплойта, которые позволяют не только прочитать данные мониторинга системы, но и удаленно выполнить вредоно...
Брешь в Google Chrome может использоваться злоумышленниками В браузере Google Chrome была обнаружена новая брешь, которая позволяет полностью «заморозить» работу Windows 10. Для этого злоумышленниками используется особый эксплойт на Javascript, который не дает закрыть вкладку браузера и демонстрирует пользователю...
[Перевод] Как Shopify организовала совместную работу более 1000 разработчиков Сложно организовать совместную работу большой команды, тем более над общей кодовой базой, такой как Shopify. Наш монолит меняется по 40 раз на дню. Мы отслеживаем разработку в trunk-based рабочем процессе и ежедневно вливаем в мастер по 400 коммитов. У нас три правила безо...
Теперь криминалисты могут вычислить вас по крошечному кусочку одного волоска Издание для экспертов-криминалистов «Journal of Forensic Sciences» опубликовало отчет о новом методе анализа волос для идентификации их владельцев. В отличие от прежних способов, точность определния выросла в разы, а для работы специалистам нужно менее 1 % от прежде исп...
Микророботы Tribots используют коллективный разум для решения сложных задач Инженеры EPFL спроектировали «ройных» роботов Tribots, которые могут объединять свои усилия для решения общих масштабных задач. Разработчики вдохновлялись организацией совместного труда у муравьев, где каждая рабочая особь может брать на себя функции разведчика, грузчика, пр...
Коммунальные службы США попали под прицельную кибератаку Эксперты сообщили о направленной кибератаке на три американские компании в сфере ЖКХ. Злоумышленники, которые предположительно входят в спонсируемую неким государством группировку, пытались установить неизвестный ранее RAT-троян. По данным специалистов, вредоносные сообщения...
SandboxEscaper нашла еще один способ обойти патч Microsoft Независимая исследовательница с ником SandboxEscaper опубликовала еще один PoC эскалации привилегий в Windows 10. По информации ИБ-эксперта, манипуляции с браузером Edge и другими приложениями позволяют атакующему получить доступ к файлам ОС с правами уровня SYSTEM. Сторонни...
iPhone получат модем 5G в 2020 году По словам аналитика Apple Минг-Чи Куо, iPhone получат 5G только в 2020 году. Предположительно они используют модем Qualcomm, так как собственный модем от Apple еще не закончен. Частоты, используемые 5G, можно разделить на две категории. Для значительно более высокой скорос...
Особенности APT-атак в промышленности и ТЭК В двух новых исследованиях специалисты Positive Technologies описали специфику APT-атак на промышленные компании и организации ТЭК. Помимо этого, эксперты провели опрос среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участн...
Автоматизация бизнес-процессов - новый профиль олимпиады НТИ от «1С» В этом году в Олимпиаде Кружкового движения Национальной технологической инициативы появилось новое направление. Фирма «1С» запустила профиль, посвященный проектированию и разработке современных систем автоматизации инновационных бизнесов ...
[Из песочницы] О целесообразности Selenium WebDriverWait Чем ближе я знакомлюсь с Selenium WebDriver, тем больше у меня возникает вопросов, почему тот или иной функционал выполнен так, а не иначе. В своем выступлении «Заморочки в Selenium WebDriver» Алексей Баранцев проливает свет на тонкости реализации этого инструмента автоматиз...
Хакеры атаковали пользователей Asus с помощью вредоносного обновления Специалистам «Лаборатории Касперского» удалось обнаружить, что хакеры из сообщества ShadowHammer в течение нескольких месяцев контролировали сервер Asus, используемый для распространения обновлений. По оценке Касперского, в результате в период с июня по нояб...
Роскомнадзор намерен заблокировать OpenVPN. Это чревато проблемами для банков и мобильных операторов Блокировка продуктов американской компании OpenVPN Inc. может отразиться на ряде сторонних сервисов. В частности, протокол OpenVPN широко используется при настройке внутренних корпоративных сетей, в том числе в банках и мобильных операторах. Об этом сообщает Медуза. Пока что...
Вымогатели атаковали паркинг администратора домена Канады Шифровальщик нарушил работу автоматического паркинга в Оттаве. В результате атаки бесплатно воспользоваться автостоянкой мог любой желающий. Об этом сообщил Спенсер Каллахан (Spencer Callaghan) — представитель организации CIRA, которая администрирует национальный домен Канад...
Скрытые криптовалютные майнеры обнаружены на серверах Windows MS-SQL и PHPMyAdmin Китайская APT-группировка внедряет криптовалютные майнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным специалистов компании Guardicore Labs, начиная с февраля 2019 года злоумышленникам удалось скомпрометировать более 50 тысяч серверов. Вредоносна...
Redmi анонсировала своей первый смартфон с камерой на 64 Мп. Пример фото Сегодня на официальной странице Redmi в социальной сети Weibo было опубликовано заявление о подготовке к выпуску первого смартфона компании, в основной камере которого будет использоваться 64-мегапиксельный датчик изображения. Вице-президент Xiaomi и глава бренда Redmi...
Видеообзор Bosch HomeMix Power 18V: экосистема аккумуляторных инструментов Электроинструменты используются повсеместно в быту для решения разнообразных задач. Аккумуляторные инструменты обеспечивают владельца свободой перемещения во время работы. Компания Bosch последовательно развивает свою экосистему аккумуляторных инструментов для домашнего испо...
Северокорейская группировка Lazarus по-прежнему нацелена на криптовалютный бизнес Специалисты «Лаборатории Касперского» продолжают наблюдать за деятельностью хак-группы Lazarus. Злоумышленники по-прежнему интересуются криптовалютными сервисами, активно используют PowerShell и маскируют свои скрипты под файлы WordPress.
[Из песочницы] Изучение Bootstrap с 10 полезными советами Если вы хотите начать свою карьеру в веб-разработке, то изучение Bootstrap — это то, что вам нужно. Bootstrap — это фреймворк, используемый для разработки веб-приложений. Его библиотека интерфейсных компонентов широко используется для создания интерактивных и адаптивных веб-...
Конференция «Информационная безопасность. Угрозы настоящего и будущего» 6 декабря, с 09:30 до 17:15 Офис Microsoft, БЦ «Крылатские холмы» Москва, ул. Крылатские холмы, 17 корпус 1 Приглашаем вас посетить мероприятие с экспертом по информационной безопасности мирового класса Паулой Янушкевич: «Информационная безопасность. Угрозы настоящего и ...
Опубликован список MAC-адресов, интересовавших взломщиков ASUS Live Update Исследователи опубликовали список MAC-адресов, «зашитый» в измененной злоумышленниками версии ASUS Live Update.
Аутентификация устройств на Linux по аппаратному ключу в системах верхнего уровня Industrial IoT — это мониторинг, диспетчеризация и автоматизация инженерных систем промышленных объектов, зданий, бизнес-объектов. Датчики разных параметров, счетчики и контроллеры собирают данные с этих объектов, например, температуру и влажность воздуха в серверной, показа...
Шифровальщик атаковал хостинг-провайдера SmarterASP.NET Хостинг-провайдера SmarterASP.NET атаковал шифровальщик. В результате инцидента пострадали как данные клиентов сервиса, так и собственные веб-ресурсы компании. Во вторник представители провайдера опубликовали сообщение, что основная часть файлов восстановлена, однако некотор...
Как использовать интеллектуальную автоматизацию, чтобы сегодня "работать как завтра" Если сначала работники были встревожены тем, что автоматизация может отнять у них работу …
Google опубликовал первое видео в новой серии Search for Beginners Google опубликовал первое ознакомительное видео в новой серии Search for Beginners. В нём он рассказал, что ждёт пользователей в предстоящих выпусках, и какие темы планируется осветить. В отличие от других видео, размещаемых Джоном Мюллером и Мартином Сплитом, эти ролики буд...