Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...
OpenSSH защитили от атак по сторонним каналам Набор утилит OpenSSH будет хранить приватные ключи шифрования в оперативной памяти, чтобы защищать данные от атак по сторонним каналам. Об этом сообщил один из ведущих разработчиков протокола, Дэмиен Миллер (Damien Miller). По его словам, обновление снизит вероятность атак S...
Внутри секретной лаборатории Ledger «Донжон» — это лаборатория информационной безопасности французской компании Ledger. Ledger производит аппаратные кошельки, на которых хранятся приватные ключи владельцев криптовалют. Злоумышленники охотятся на эти ключи, а аппаратный кошелек, соответственно, защищает ключи...
[Из песочницы] Социальная инженерия в Instagram Эта статья будет о способе взлома Instagram аккаунтов из-за неопытности их владельцев. Всё это описано лишь в ознакомительных целях. Ключом ко взлому будет предварительное получение доступа к почте жертвы. С приходом эры двухфакторной аутентификации многие почтовые сервисы ...
AMD залатала уязвимость, грозившую взломом виртуальных машин Разработчики AMD устранили дыру в одной из своих технологий, угрожавшую компрометацией системных данных. Уязвимость CVE-2019-9836 обнаружилась в механизме Secure Encrypted Virtualization (SEV), который на аппаратном уровне защищает информацию в памяти виртуальных машин Linux...
Эксперт нашел способ прочитать письма пользователей macOS Исследователь Боб Джендлер (Bob Gendler) нашел способ прочесть зашифрованные электронные письма пользователей macOS. Как выяснил эксперт, они хранятся в виде простого текста в одном из файлов, который использует Siri. Джендлер наткнулся на уязвимость, когда пытался разобрать...
Как использовать PAM-модули для локальной аутентификации в Linux по ключам ГОСТ-2012 на Рутокене Простые пароли не защищают, а сложные невозможно запомнить. Поэтому они так часто оказываются на стикере под клавиатурой или на мониторе. Чтобы пароли оставались в головах “забывчивых” пользователей и надёжность защиты не терялась – есть двухфакторная аутентификация (2ФА)....
[Перевод] Математики доказали, что многочлены не помогут взломать RSA Недавно в журнале Quanta вышел материал, в котором автор рассказывал про удивительный с точки зрения неискушенных читателей феномен, доказанный математиками. Его суть в том, что почти все многочлены определенного типа — неприводимые, то есть не поддаются разложению. Это док...
Исследователи нашли новые уязвимости в протоколе WPA3 ИБ-специалисты обнаружили две новые уязвимости в стандарте беспроводных подключений WPA3. Баги позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, и методом подбора выяснить пароль WiFi-сети. Разработчики протокола планируют о...
«Секретики» DPAPI или DPAPI для пентестеров Вторая статья по итогам выступления нашей команды на OFFZONE-2018. На этот раз рассмотрим доклад с MainTrack “Windows DPAPI “Sekretiki” or DPAPI for pentesters”. Внимание! Очень много буков! При проведении RedTeam кампаний хочется давать меньше поводов для реакции BlueTeam...
Неизвестный хакер похитил 45 000 ETH благодаря ненадежным приватным ключам Успешно угадав слабо защищенные приватные ключи в блокчейне Ethereum, неизвестный злоумышленник похитил порядка 45 000 ETH. Об этом пишет Wired со ссылкой на исследование, проведенное компанией по кибербезопасности Independent Security Evaluators (ISE). Как заявил Адриан Бед...
Уязвимость macOS позволяет читать зашифрованную почту. Как исправить Apple постоянно делает упор на то, что главным приоритетом для неё остаётся приватность и безопасность пользователей. Однако в приложении Почта в macOS есть недоработка, связанная с шифрованием, и компания знает о ней уже несколько месяцев. Есть пара оговорок, о...
Трёхпроходные протоколы Данный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления, а также, с этого учебного кода, кафедры защиты информации МФТИ (ГУ). Полностью учебник доступен на github (см. также draft releases). На...
Hostinger сбросил 14 млн паролей из-за вероятной утечки Хостинг-провайдер Hostinger решил сбросить пароли 14 млн клиентских аккаунтов, которые могли быть скомпрометированы в результате кибератаки на серверы компании. Как сообщили представители организации, злоумышленники добрались до зашифрованных паролей, а также некоторых польз...
Веб-разработчики пишут небезопасный код по умолчанию «Если хотите, я могу зашифровать пароли» Некоторые разработчики, которым дали прямое указание применить криптографию, использовали шифрование парольной базы с помощью Base64 Когда в СМИ появляется информация об очередной утечке данных, всегда вызывает недоумение, почему ко...
Менеджеры паролей не так безопасны, как кажется Исследователи в области безопасности из ISE провели проверку менеджеров паролей. В исследовании принимали участие приложения 1Password 7 и 4, KeePass, LastPass и Dashline. Оказалось, что все они имеют уязвимости при работе с памятью, которые позволяют атакующим иметь до...
ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...
Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...
Российские хакеры пошли дальше использования уязвимостей и модифицируют Chrome и Firefox для отслеживания зашифрованного трафика пользователей Многие злоумышленники для взлома просто используют уязвимости в браузерах, но одна группа пошла дальше. Об этом рассказали специалисты «Лаборатории Касперского». В компании обнаружили, что хакеры из российской группы Turla научилась модифициров...
В Штатах ГОСТы тоже так себе. Фатальная уязвимость в YubiKey FIPS, которую можно было избежать Привет, %username%! 13 июня 2019 года компания Yubico, производитель устройств для двухфакторной аутентификации, выпустила уведомление о безопасности в котором говорится о критической уязвимости некоторых устройств Yubikey FIPS. Давайте посмотрим что это за уязвимость и к...
GandCrab распространяется через вики-систему Confluence Злоумышленники используют RCE-уязвимость в Atlassian Confluence для распространения шифровальщика GandCrab. Заплатка для бреши CVE-2019-3396 вышла 20 марта, однако далеко не все пользователи вики-системы успели ее установить. Согласно отчету ИБ-компании Alert Logic, начало в...
Со счетов пользователей карт «Кукуруза» вывели 2 млн рублей Около 80 человек пострадали от атаки киберпреступников на пользователей сервиса «Кукуруза» — владельцев бонусной платежной карты, выпущенной РНКО «Платежный центр» для компаний «Связной» и «Евросеть» (сейчас это объединенная компания &...
Как не продолбать пароли в Python скриптах Хранение паролей всегда было головной болью. В классическом варианте у вас есть пользователь, который очень старается не забыть жутко секретный «qwerty123» и информационная система, которая хранит хеш от этого пароля. Хорошая система еще и заботливо солит хеши, чтобы отрав...
JungleSec атакует Linux-серверы через интерфейс IPMI Специалисты портала Bleeping Computer рассказали о вредоносной кампании JungleSec, авторы которой проникают на серверы через интерфейс IPMI и шифруют файлы, требуя выкуп. В ряде случаев киберпреступники атаковали целевые устройства в ручном режиме, самостоятельно подавая ком...
Схемы распределения ключей с доверенным центром: схемы Жиро и Блома ПредисловиеДанный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления, а также, с этого учебного кода, кафедры защиты информации МФТИ (ГУ). Полностью учебник доступен на github (см. также draft re...
[Перевод] Генерируем одноразовые пароли для 2FA в JS с помощью Web Crypto API Введение Двухфакторная аутентификация сегодня повсюду. Благодаря ей, чтобы украсть аккаунт, недостаточно одного лишь пароля. И хотя ее наличие не гарантирует, что ваш аккаунт не уведут, чтобы ее обойти, потребуется более сложная и многоуровневая атака. Как известно, чем слож...
Уязвимость в WhatsApp позволяет удаленно скомпрометировать устройство пользователя В WhatsApp недавно устранили критическую ошибку, при помощи которой злоумышленникам могли удаленно скомпрометировать устройство и похитить защищенные сообщения чата и файлы.
Очередная уязвимость чипов Intel позволяет злоумышленникам перехватывать важную информацию Кодовое имя найденной уязвимости — NetCAT.
Во «ВКонтакте» обнаружили секретную возможность Чем дальше в будущее, тем чаще журналисты и простые пользователи обнаруживают что-то секретное во «ВКонтакте». Это может касаться самых разных вещей, начиная от правил и заканчивая различными возможностями. Сегодня, 20 июля 2019 года, в данной Сообщение Во «ВКонтакте» обнар...
Уязвимость в Instagram позволяет делиться приватными постами пользователей Издание BuzzFeed сообщило об уязвимости безопасности в Instagram, которая позволяет публично делиться приватными постами пользователей. В своём материале BuzzFeed показал, как с помощью нескольких кликов в любом браузере можно узнать URL закрытых записей и историй, которые х...
Google сообщила о серьёзной уязвимости в Android Google объявила об обнаруженной уязвимости в собственной ОС Android, которая затрагивает смартфоны различных брендов. Уязвимость находится в коде ядра операционной системы и может использоваться злоумышленниками для root-доступа к устройству. По иронии, баг был исправлен в...
Max Patrol 8. Обзор инструмента для управления уязвимостями Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, ка...
WhatsApp устранил критическую уязвимость, позволяющую следить за пользователями WhatsApp объявил об устранении уязвимости мессенджера, позволяющей злоумышленникам устанавливать на смартфон вредоносный код во время простых голосовых звонков. Подробнее об этом читайте на THG.ru.
[Из песочницы] Восстановление данных с XtraDB таблиц без файла структуры, используя побайтовый анализ ibd файла Предыстория Так произошло, что сервере был атакован вирусом шифровальщиком, который по "счастливой случайности", частично отставил не тронутыми файлы .ibd (файлы сырых данных innodb таблиц), но при этом полностью зашифровал файлы .fpm (файлы структур). При этом .i...
Платить Apple Pay в интернете оказалось небезопасно В представлении Apple нет более безопасного способа оплаты, чем Apple Pay. Благодаря тому, что каждая транзакция не содержит данных платежной карты пользователя, его имени и другой конфиденциальной информации, которые заменяются уникальным токеном, взломать банковский аккау...
Новые уязвимости в 4G и 5G позволяют шпионить за абонентами Группа исследователей в области безопасности обнаружила уязвимости в сотовых сетях, которые позволяют злоумышленникам перехватывать звонки и отслеживать местоположение владельцев телефонов. Более того, проблемы затрагивают не только используемый повсеместно стандарт связи 4G...
Менеджер устройств Moxa можно взломать через веб-интерфейс Специалисты «Лаборатории Касперского» обнаружили семь уязвимостей в программном продукте Moxa ThingsPro Suite, предназначенном для установки на коммуникационные компьютеры UC-8100. Бреши, две из которых получили максимальный балл по шкале CVSS, допускают выполнение...
Intel нашла уязвимость в своих процессорах Компания Intel заявляет об уязвимости, которую обнаружили почти во всех фирменных процессорах, выпущенных с 2011 года. Проблему обнаружили ученые из Технологического университета Граца. Это новый класс уязвимостей Microarchitectural Data Sampling (MDS), основанный на техн...
Разработчики Zcash сообщили об устранении критической уязвимости в 2018 году Zcash Company, стоящая за разработкой криптовалюты Zcash, раскрыла детали уязвимости, которая позволяла злоумышленникам создавать в неограниченном количестве несуществующие монеты ZEC. Согласно отчету в блоге компании, 1 марта 2018 года назад криптограф Zcash Ариэль Габизон ...
Thrangrycat: критическая уязвимость в прошивке устройств Cisco позволяет хакерам устанавливать на них бэкдоры Исследователи информационной безопасности обнаружили опасную уязвимость в прошивке, которая используется на устройствах Cisco разных типов. Ошибка CVE-2019-1649 или Thrangrycat позволяет злоумышленникам устанавливать на маршрутизаторы, коммутаторы и межсетевые экраны бэкдо...
Баги в USB-приемниках Logitech частично останутся без патчей Независимый ИБ-исследователь Маркус Менгс (Marcus Mengs) опубликовал информацию о серии уязвимостей в оборудовании Logitech. Баги позволяют злоумышленнику перехватывать данные, которые поступают на уязвимое устройство, незаметно для жертвы внедрять нажатия клавиш и захватыва...
В iOS 13 и iPadOS нашли серьезную уязвимость Блогеры обратили внимание на существенную уязвимость, которая была обнаружена в операционных системах iOS 13 и iPadOS. Она позволяет злоумышленникам подсмотреть пароли пользователя в приложении Настро...
Уязвимость в iOS позволяла злоумышленникам получать доступ к содержимому смартфонов iPhone через зараженные сайты В конце зимы исследователи из Google Project Zero обнаружили группу зараженных хакерами сайтов, содержащих код для взлома iPhone через браузер Safari. В результате злоумышленники могли получить доступ ко всем файлам и паролям на iPhone жертвы.
Хакеры научились взламывать смартфоны через WhatsApp WhatsApp взламывают все, кому не лень, а пользователи и не в курсе Существует масса способов взломать смартфон удалённо. Чаще всего для этого используются приложения-шпионы, которые выдают себя за доброкачественное ПО. Они распространяются через Google Play и сторонние площа...
В процессорах Intel Cascade Lake обнаружена уязвимость Zombieload v2 Серия обнаруженных аппаратных уязвимостей сыпется на Intel как из рога изобилия. Недавно команда исследователей обнаружила новый вариант уязвимости Zombieload v2, которая может быть использована злоумышленниками на процессорах семейства Intel Cascade Lake. В него...
Разработчики Intel выпустили патчи для двух уязвимостей Компания Intel выпустила патчи для двух уязвимостей в своих программных и аппаратных продуктах. Эксплуатация ошибок позволяла злоумышленникам повысить свои привилегии и скомпрометировать информацию жертвы. Первый баг связан с Intel Easy Streaming Wizard — инструментом, упрощ...
Исследователи из Google: для защиты от Spectre требуется изменение архитектуры процессоров, программные патчи не помогут В январе 2018 года исследователи Google раскрыли в публичном доступе информацию о фундаментальной аппаратной уязвимости в большинстве современных процессоров, имеющих спекулятивное выполнение команд. Уязвимость Spectre (и смежная Meltdown) эксплуатирует механизм предсказания...
После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot Lenovo X260 ThinkPad с Windows 10 19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленник...
Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...
Почтовые сервисы требуют от пользователей надежных паролей Российские ИБ-специалисты протестировали правила создания пользовательских паролей среди 157 отечественных и зарубежных веб-ресурсов. Эксперты выяснили, что наиболее серьезные требования предъявляют почтовые сервисы и криптовалютные платформы, а развлекательные сайты и новос...
В Сети появились ключи для файлов, пораженных Muhstik Немецкий программист Тобиас Фрёмель (Tobias Frömel) получил доступ к серверам операторов вымогателя Muhstik и выложил в открытый доступ ключи, необходимые для расшифровки данных. Это произошло после того, как специалист заплатил злоумышленникам более 600 евро за возможность ...
[Перевод] Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена Обнаруженная в этом году уязвимость в Exchange позволяет любому пользователю домена получить права администратора домена и скомпрометировать Active Directory (AD) и другие подключенные хосты. Сегодня мы расскажем, как работает эта атака и как ее обнаружить. Читать дальше ...
Почтовый сервис Mail.ru откажется от паролей Современный пользователь окружен огромным количеством сервисов: почта, облачное хранилище, банковские приложения, доставка еды, социальные сети, онлайн-магазины. В каждом из них необходимо авторизоваться, придумать, а главное — запомнить пароль. Чтобы упростить себе жизнь, п...
Найден новый способ взломать переписку пользователей Android Android-пользователям угрожает опасность взлома. Опять Существует масса способов взломать смартфон конкретного пользователя и получить доступ к его переписке и файлам, которые хранятся в памяти. Обычно этим занимаются троянские приложения, которые выдают себя за доброкачеств...
Не открывайте порты в мир — вас поломают (риски) Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: "Зачем?!?" Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба. Ошибка ко...
В WhatsApp обнаружены три серьезных уязвимости Одной из функций, которые привлекают пользователей в WhatsApp, является использование сквозного шифрования; это означает, что сообщение, отправленное пользователем, не может быть прочитано никем, кроме получателя. Даже Facebook не видит сообщение. Но обнаруженные уязвимости,...
В Sierra Wireless AirLink нашли серьезные уязвимости В промышленных LTE-шлюзах Sierra Wireless AirLink ES450 пропатчены двенадцать уязвимостей; четыре из них признаны критическими. Баги, обнаруженные командой Cisco Talos, позволяли удаленному злоумышленнику выполнить на устройстве сторонний код, изменить пароль администратора ...
Критическая уязвимость MacOS Mojave активно эксплуатируется злоумышленниками Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения. Читать дальше →
Подслушано «Точка Роста» | 3D принтеры HERCULES в каждую школу | Life-влог Друзья, вы умеете хранить секреты? :)Мы вот не очень, потому что делимся с вами засекреченным влогом секретной поездки на секретное мероприятие «Точка Роста» в секретном месте (Альметьевск)!А потом мы окажемся в Белгороде, но это уже совсем другая история…
В парольных менеджерах Trend Micro и Firefox исправлены опасные уязвимости Разработчики Trend Micro и Mozilla устранили опасные уязвимости в своих парольных менеджерах. Баги позволяли повысить привилегии или обойти мастер-пароль, получив доступ ко всем сохраненным паролям.
[Перевод] Google раскрыла zero-day уязвимость в Windows 7, которая используется вместе с эксплойтом Chrome Project Zero от Google хорошо известен тем, что обнаруживает уязвимости и эксплойты в операционной системе Microsoft, а также своими противоречивыми политиками раскрытия информации. На этой неделе исследовательский отдел компании в области кибербезопасности вновь обнаружил э...
Биткоины владельцев ASIC-майнеров от Bitmain оказались под угрозой из-за уязвимости Разработчик Bitcoin Core Джеймс Гиллард обнаружил уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC. Одновременно с этим разработчик убежден, что это не единственная версия ПО от Bitmain, подверженная уяз...
Еще два 0-day бага в Windows обнародованы SandboxEscaper Независимый ИБ-специалист SandboxEscaper продолжает публиковать эксплойты для продуктов Microsoft и заявляет о желании продать свои находки заинтересованным лицам. Вслед за тремя 0-day, выложенными накануне, исследовательница разместила на GitHub информацию об обходе уже про...
ZombieLoad — новая уязвимость, позволяющая похищать данные, которая затрагивает почти все процессоры Intel с 2011 года В процессорах Intel обнаружена новая уязвимость, позволяющая злоумышленникам похищать любые данные, к которым процессор недавно обращался. Это касается даже облачных серверов, которые могут позволить злоумышленнику украсть информацию с других виртуальных машин, работающих на...
В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...
Все смартфоны с с Android 7 Nougat и выше теперь можно использовать как ключи безопасности Компания Google объявила, что теперь все смартфоны с Android 7 Nougat и выше могут использоваться в качестве ключа безопасности для двухфакторной аутентификации. Google начала тестировать функцию в апреле, а теперь она стала широкодоступна. Смартфон подключается ...
Как я Telegram ломал Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Н...
Российская система электронного голосования взламывается за 20 минут Основная уязвимость системы — возможность вычислить приватный ключ по публичному.
Исправление уязвимости Intel ZombieLoad снижает производительность процессоров Новая обнаруженная уязвимость в процессорах Intel позволяет злоумышленникам получать доступ к конфиденциальной информации. Атака получила название ZombieLoad. Суть уязвимостиНовая уязвимость была обнаружена в процессорах Intel учеными из Технологического университета…
Баг macOS позволяет получить доступ к паролям в Связке ключей Пока купертиновцы еще полностью не справились в багом в FaceTime. Однако в яблочных операционных системах уже обнаружилась другая недоработка. На этот раз ошибка была найдена в macOS. Согласно имеющимся данным, новая уязвимость связана со Связкой ключей iCloud (iCloud Keycha...
Web Security Testing Starter Kit Всем привет! Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь,...
[Перевод] Храним SSH-ключи безопасно Хочу рассказать как безопасно хранить SSH-ключи на локальной машине, не боясь за то, что какое-то приложение может украсть или расшифровать их. Статья будет полезна тем, кто так и не нашел элегантного решения после паранои в 2018 и продолжает хранить ключи в $HOME/.ssh. Для...
В systemd нашли три уязвимости — разбираемся, в чем дело В начале месяца специалисты по ИБ из Qualys обнаружили сразу три уязвимости в systemd — подсистеме инициализации Linux — позволяющие злоумышленнику получить права суперпользователя. Рассказываем, в чем их суть и какие дистрибутивы им подвержены. Читать дальше →
Разработчики Intel закрыли 77 багов, включая ZombieLoad v2 Компания Intel выпустила очередной пакет обновлений, куда вошли заплатки к 77 уязвимостям. Пользователей защитили от утечек системных данных, взлома аутентификационных ключей и потери контроля над Windows-устройствами. Уязвимости TPM-FAIL Две проблемы обнаружились в модулях ...
Новая уязвимость Spoiler затрагивает все поколения процессоров Intel Core Исследователи из Вустерского политехнического института в Массачусетсе и университета в Любеке (Германия) опубликовали документ, в котором рассказали о новой уязвимости процессоров Intel. Уязвимость получила имя «Spoiler» и она не относится к уязвимостям Spectre и Meltdown, ...
Сервис WhatsApp не защищен от правки сообщений хакерами Специалистам в области кибербезопасности удалось выявить сразу несколько уязвимостей популярного мессенджера WhatsApp, позволяющих злоумышленникам получать доступ к переписке пользователей и вносить в отправляемые сообщения собственные корректировки.
Инструмент Modlishka может использоваться фишерам для обхода двухфакторной аутентификации Польский ИБ-специалист опубликовал на GitHub свою разработку Modlishka. Инструмент ориентирован на пентестеров, однако злоумышленники могут использовать его для автоматизации фишинговых атак.
Более 650 тыс. пользователей установили Password Checkup Компания Google подвела первые итоги работы расширения Password Checkup, предупреждающего пользователей Chrome о скомпрометированных паролях. По информации производителя, плагин установили более 650 тыс. пользователей браузера, однако лишь четверть из тех, кто получил предуп...
Хакер нашёл способ взломать почти любой iPhone Программный инструмент под названием Checkm8 («чекмэйт» — «шах и мат») использует уязвимость в системе Apple Bootrom (SecureROM). Фактически это первый код из известных, запускающийся во время загрузки iPhone и предоставляющий доступ к смартфону на уровне системы. Таким обра...
Steam Windows Client Local Privilege Escalation 0day Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятн...
Эксперты обнаружили очередную RDP-уязвимость в Windows Эксперты Центра реагирования на киберугрозы Университета Карнеги —Меллона предупредили об уязвимости в протоколе удаленного рабочего стола (RDP) Windows. Дыра позволяет обойти экран блокировки сеанса и получить доступ к целевому устройству с правами текущего пользователя. Ба...
Опубликован OpenSSH 8.1 Разработчики OpenSSH представили очередную версию пакета программ для работы по протоколам SSH 2.0 и SFTP. Релиз устранил серию опасных уязвимостей, позволявших определить приватные ключи и вмешаться в защищенный обмен данными. Среди таких угроз эксперты выделили баг в коде ...
Шифрование перестало защищать трафик от хакеров Специалисты «Лаборатории Касперского» обнаружили, что хакеры научились отслеживать зашифрованный трафик. Делают они это при помощи уязвимостей в браузерах Google Chrome и Mozilla Firefox.
«Одинцовский Водоканал» подвергся атаке программы-шифровальщика С начала года атакам этого шифровальщика подверглось более 4 тысяч пользователей, как корпоративных, так и частных. При этом большая часть атакованных зарегистрирована в России. Шифровальщик попадает в сеть атакуемой организации после того, как злоумышленникам удаётся подобр...
0-day в Chrome использовали вместе с уязвимостью в Windows 7 Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно на прошлой неделе, с уязвимостью нулевого дня в Windows 7.
XSS-уязвимость в популярном плагине для WordPress используют для взлома сайтов Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов.
Google теперь разрешает использовать Android-смартфон в качестве аппаратного ключа безопасности для двухфакторной аутентификации (2FA) Компания Google объявила, что отныне любой смартфон, работающий на Android 7 и выше, может использоваться в качестве аппаратного ключа безопасности для двухфакторной аутентификации (2FA), предоставляя пользователям ещё более надёжный способ аутентификации в сервисах Google. ...
Google выпустил ключ для любых гаджетов В отличие от предшественников новинка не поддерживает NFC, что не должно сказаться на удобстве использования. Ключ можно без переходников вставлять в большинство современных смартфонов, планшетов, компьютеров и ноутбуков. Titan работает по открытому протоколу FIDO U2F (униве...
Компания AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout Компания Intel, как мы сегодня уже сообщали, признала наличие ещё одной уязвимости в своих CPU, которая затрагивает большинство процессоров компании. На самом деле новых уязвимостей несколько, но компания объединила их под общим именем Microarchitectural Data Sampling (...
Обнаруженная в протоколе Bluetooth дыра позволяет прослушать миллионы устройств В протоколе Bluetooth обнаружена новая уязвимость. Исследователи Даниель Антониоли (Daniele Antonioli), Нильс Оле Типпенхауэр (Nils Ole Tippenhauer) и Каспер Расмуссен (Kasper Rasmussen) обнаружили, что спецификации Bluetooth BR/EDR (Basic Rate/Enhanced Data Rate) предоставл...
Простая уязвимость в автомобильной сигнализации грозила угоном 3 млн машин в мире Специалисты по кибербезопасности британской компании Pen Test Partners обнаружили весьма опасную, хотя и досадную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых компаний ― российской Pandora и американской Viper (в Англии ― Clifford)....
В промышленных шлюзах Kunbus закрыты опасные бреши В решении KUNBUS-GW Modbus TCP PR100088, предназначенном для использования в сетях промышленных предприятий, выявлены пять уязвимостей. Две из них оценены как критические, еще две — как высокой степени опасности. Все проблемы, перечисленные в бюллетене ICS-CERT, обнаружил эк...
В коде Libra устранили уязвимость, позволявшую манипулировать смарт-контрактами Разработчики специализирующегося на безопасности смарт-контрактов стартапа OpenZeppelin обнаружили и устранили уязвимость в общедоступном коде цифровой валюты Libra от Facebook. Об этом сообщает Coindesk. В частности, OpenZeppelin выявили баг в языке Move, разработанного соц...
Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...
Новый стандарт защиты Wi-Fi взломали ещё до выхода первых роутеров В 2017 году Мэти Ванхоф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) раскрыли ряд критических уязвимостей протокола WPA2, который используется практически во всех современных защищенных сетях Wi-Fi. Уязвимости получили общее название KRACK (Key Reinstallation Attacks).
Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств Возможность удаленного даунгрейда устройств на базе RouterOS (Mikrotik) ставит под угрозу сотни тысяч сетевых устройств. Уязвимость связана с отравлением DNS-кеша Winbox протокола и позволяет загрузить устаревшую (со сбросом пароля «по-умолчанию») или модифицированную прош...
Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...
В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...
Дверной звонок Amazon можно взломать через Wi-Fi Дверной звонок Ring от компании Amazon передает пароли от беспроводных сетей, к которым был подключен. Звонок отправляет владельцу пароль от Wi-Fi в виде обычного текста, что естественно можно легко перехватить сообщение злоумышленникам и получить полный доступ к сети. Эта ...
Уязвимость в Instagram оценили в $30 тысяч В мобильной версии сайта Instagram пропатчена критическая уязвимость, позволявшая сбросить пароль к любому аккаунту и угнать его безо всякого взаимодействия с пользователем. Обнаруживший эту возможность исследователь получил $30 тыс. в рамках программы bug bounty компании Fa...
Игроков Fallout 76, которых застанут в секретной локации разработчиков, забанят У Bethesda все больше проблем, часть из них связана с Fallout 76, игрой, на которую компания возлагала очень большие надежды. Проблема в том, что новинка получилась недоработанной, в ней масса глюков и проблем, которые иногда приводят к тому, что в Fallout 76 просто невозм...
Систему онлайн-голосования для выборов в Мосгордуму можно взломать за 20 минут Годри обнаружил, что это можно сделать с помощью обычного ПК и общедоступного бесплатного программного обеспечения. Сам он в ходе исследования использовал скрипт, занимающий одну страницу. Применив этот скрипт, злоумышленник может получить доступ к голосам всех избирателей р...
SAP опубликовала апрельский набор заплаток Разработчики SAP выпустили очередной пакет обновлений, который устраняет несколько серьезных уязвимостей как собственных продуктов компании, так и их сторонних компонентов. Опубликованные патчи защищают пользователей от утечек информации и прочих вмешательств в работу корпор...
Опасная уязвимость 5 лет позволяла взламывать Android через браузер Уязвимость в «Google Фото», которая позволяла деанонимизировать практически любого из нас, оказалась не единственной сложностью для Google, стремящейся обеспечить безопасность своих пользователей. Еще один изъян, открывающий злоумышленникам доступ к конфиденциальной информа...
Новая уязвимость позволяет шпионить за устройствами Apple по Bluetooth В это сложно поверить, но за последние пару месяцев в устройствах Apple было обнаружено столько уязвимостей, сколько не удавалось обнаружить за несколько лет. Сначала приложение «Локатор» давало посторонним людям возможность отслеживать потерянные устройства, подающие сигна...
Zerodium заплатит 2 миллиона долларов за взлом iOS Компания Zerodium, специализирующаяся на безопасности и поиске уязвимостей, объявила о готовности выплатить порядка 2 миллиона долларов за взлом операционной системы iOS 12. Причём речь идёт не о простом обходе пароля. Фирма готова расстаться с внушительной суммой лишь в то...
Баг в WP Live Chat Support позволяет манипулировать чатами ИБ-исследователи из Alert Logic обнаружили уязвимость в WordPress-плагине WP Live Chat Support. Баг позволяет неавторизованным злоумышленникам получать историю переписки с клиентами и управлять текущими сессиями чатов. Под угрозой оказались более 50 тыс. веб-сайтов, на котор...
Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня Угроза нулевого дня (англ. zero day) – это термин, обозначающий уязвимости, допущенные при разработке, которые еще не были обнаружены. Такие уязвимости могут использоваться злоумышленниками, что в итоге затронет и репутацию компании. Перед разработчиками стоит задача максим...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Исследователи нашли серьезную уязвимость в смарткартах Смарткарты нескольких производителей оказались уязвимы перед атакой, которая позволяет узнать их приватные ключи. Злоумышленники могут воспользоваться этой возможностью, чтобы клонировать электронные карты доступа. Как работает уязвимость Minerva Исследователи чешского Центр...
Ошибка в WhatsApp позволяет исправлять чужие сообщения Специалисты по кибербезопасности сообщили, что нашли ряд уязвимостей в популярном мессенджере WhatsApp, которые позволяют хакерам изменять сообщения как в групповых, так и в приватных чатах.
В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...
Любой клиент Exchange может стать администратором домена Уязвимость Microsoft Exchange Server позволяет злоумышленнику повысить привилегии любого зарегистрированного в системе почтового аккаунта до уровня администратора домена. Это выяснил ИБ-специалист Дирк-Ян Моллема (Dirk-jan Mollema), выложивший PoC атаки на GitHub. Аналитик п...
И ещё один Steam Windows Client Local Privilege Escalation 0day В предыдущей серии Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в и...
В камеры Guardzilla зашит пароль для доступа к облаку Группа независимых исследователей опубликовала на сайте 0DayAllDay информацию о критической уязвимости в прошивке системы видеонаблюдения Guardzilla. Как выяснили специалисты, в код программы зашиты данные для доступа к аккаунту Amazon Web Services, где хранятся видеофайлы в...
Samsung рассказала, как ей удалось сделать Android лучше Безопасность никогда особо не увлекала пользователей Android. Да и как ей можно увлечься, если сама платформа подталкивает к использованию кастомных прошивок, установке приложений из неизвестных источников и всяческим программным преобразованиям. Впрочем, некоторые производ...
Некоторые роутеры D-Link и Comba раскрывают учетные данные в формате простого текста Специалисты Trustwave обнаружили ряд уязвимостей в сетевом оборудовании производства D-Link и Comba Telecom. Баги позволяют без аутентификации извлечь с устройств данные интернет-провайдеров и пароли доступа.
3 логические задачи, которые решат только самые сообразительные Попробуйте сбежать от злобных зомби, разобраться с перепутанными коробками, расшифровать секретный код и спасти мир.
Новая Bluetooth-уязвимость KNOB позволяет манипулировать трафиком Новая проблема затрагивает устройства Bluetooth BR/EDR (он же Bluetooth Classic) и позволяет атакующим эффективно брутфорсить ключ шифрования, что в итоге может использоваться для мониторинга или манипулирования трафиком, передаваемым между двумя сопряженными устройствами.
В Firefox для iOS введен постоянный приватный режим Компания Mozilla обновила Firefox для владельцев iPhone и iPad. В свежей версии браузера изменился внешний вид панелей меню и настроек, а также появились дополнительные возможности организации вкладок. Однако наибольшее внимание пользователей привлек новый режим постоянного ...
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 9 Сбор данных (Collection) Ссылки на все части: Часть 1. Получение первоначального доступа (Initial Access) Часть 2. Выполнение (Execution) Часть 3. Закрепление (Persistence) Часть 4. Повышение привилегий (Privilege Escalation) Часть 5. Обход защиты (Defense Evasion) Часть 6. ...
Киберпреступники вновь атакуют сайты на Drupal Специалисты компании Akamai Technologies выяснили, что злоумышленники все еще пользуются уязвимостью Drupalgeddon2, пропатченной полтора года назад. Исследователи обнаружили следы атак в журналах сканеров безопасности, а также провели анализ полезной нагрузки, найденной на о...
Security Week 45: уязвимости Chrome и BlueKeep в дикой природе Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019...
Oracle выпустила экстренные патчи для уязвимости в WebLogic, которую уже атакуют хакеры В минувшие выходные специалисты зафиксировали новую волну атака на серверы Oracle WebLogic. Злоумышленники использовали свежую уязвимость нулевого дня.
Уязвимость в iOS 13 позволяет обойти пароль и получить доступ к контактам iOS 13 Golden Master Тестовая версия обновления — на то и тестовая, что практически наверняка содержит те или иные недоработки, которые предстоит выявить в процессе её исследования тестировщиками. iOS 13 не была в этом смысле исключением, поскольку содержала несколько ...
Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...
Как мы закрываем уязвимости в ОС Astra Linux Special Edition Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их ус...
[Перевод] Подмена поисковой выдачи Google Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи. Несмотря на простоту уязвимости, последствия от ее применения могут быть...
Microsoft пропатчила уже обнародованные уязвимости Июньский набор обновлений для продуктов Microsoft устраняет 88 уязвимостей; более 20 из них признаны критическими. Вендор также закрыл четыре бреши в Windows, уже ставшие достоянием общественности. Несмотря на это, они оценены как существенные; данных об их использовании в а...
В официальном магазине игр Electronic Arts найдена серьезная уязвимость Electronic Arts - вторая по величине игровая компания в мире, может похвастаться такими играми, как FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command and Conquer и Medal of Honor. Игры EA можно купить на платформе Origin, которая также позволяет играть в них на...
Крупнейшая атака на пользователей iPhone могла быть организована властями КНР Атака не требовала каких-либо действий от пользователя: ему было достаточно посетить такой сайт с мобильного Apple-устройства, чтобы оно оказалось инфицировано. Используя ранее неизвестные уязвимости iOS, злоумышленники получали доступ к данным на смартфонах и планшетах, вкл...
Взломщики могут управлять климатической системой умного дома Некоторые компоненты умного дома уязвимы для кибератак, в ходе которых злоумышленники могут взять под контроль климатические установки, элементы управления дверьми и другие системы. К такому выводу пришли специалисты ForeScout, обнаружившие семь брешей в оборудовании автомат...
В клиенте Outlook для Android закрыли критическую уязвимость Разработчики Microsoft разместили в магазине Google Play версию 3.0.88 приложения Outlook. В ней закрыта уязвимость CVE-2019-1105, позволявшая злоумышленнику выполнять сторонний код с привилегиями текущего пользователя. Технические детали об уязвимости пока не раскрываются, ...
Уязвимость в Android позволяет подменять сообщения в WhatsApp и Telegram Уязвимости на Android – изменчивы, многогранны и вечны. От них не спасают даже регулярные обновления безопасности, которые Google выпускает каждый месяц. Но если одни уязвимости дискредитируют саму операционку, то другие на корню подрывают доверие пользователей к сторонним ...
Дыра в безопасности macOS позволяет злоумышленникам обойти встроенную защиту при установке приложения не из App Store Apple, вероятно, столкнулась с очередной уязвимостью технологии Gatekeeper, которая обеспечивает запуск только доверенного программного обеспечения на компьютере Mac. Исследователь безопасности Филиппо Кавалларин (Filippo Cavallarin) обнаружил и подробно описал новую уязвимо...
Защищаем резервные копии iPhone Сегодня я хочу рассказать об малоизвестных особенностях iOS, связанных с защитой резервных копий, обходом этой защиты (рекурсия) и защитой от обхода защиты (двойная рекурсия). Вишенкой на торте будет короткая инструкция, позволяющая обойти защиту от обхода защиты резервных к...
Cisco закрыла еще почти 50 уязвимостей своего ПО Разработчики Cisco решили серию серьезных проблем в нескольких своих продуктах, устранив угрозы исполнения кода и DoS-атак. Пакет из 47 обновлений включил заплатки к одному критическому багу и нескольким особо опасным ошибкам. Самые серьезные уязвимости были обнаружены в реш...
Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...
Герои двухфакторной аутентификации, или как «походить в чужих ботинках» Наверное скажу банальность, но люди устроены очень странно (а ИТ-шники вдвойне). Они живо интересуются маркетинговыми новинками и рвутся их внедрять, но при этом равнодушно проходят мимо технологий, которые на самом деле могут защитить их компании от реального вреда. Возь...
Как запретить стандартные пароли и заставить всех тебя ненавидеть Человек, как известно, существо ленивое. А тем более, когда касается вопроса выбора устойчивого пароля. Думаю, каждый из администраторов когда-либо сталкивался с проблемой использования легких и стандартных паролей. Такое явление часто встречается среди верхних эшелонов ру...
Android: извлекаем данные с зашифрованной SD-карты и получаем доступ к скрытым методам Для подписчиковСегодня в выпуске: обзор систем безопасности Android, объяснение атак типа Cloak & Dagger, гайд по извлечению данных с зашифрованной карты памяти, обход ограничений на загрузку нативных библиотек и доступ к скрытым Java-методам, уязвимость в Android Downl...
Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...
Уязвимость в vBulletin использовали для взлома форумов Comodo. Пострадали 245 000 пользователей Хотя разработчики vBulletin уже выпустили патч для свежей 0-day проблемы, обновление пока установили далеко не все, а злоумышленники не дремлют. Первой крупной жертвой взлома из-за этой уязвимости стала компания Comodo.
Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick Для подписчиковСпециалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, кото...
Смартфоны с Android стали секретными ключами Теперь можно использовать свой смартфон на Android в качестве ключа безопасности в процессе двухэтапной аутентификации.
В WhatsApp нашли способ читать чужую переписку Как выяснил специалист по кибербезопасности под псевдонимом Awakened, потенциальную жертву можно атаковать с помощью вредоносного GIF-файла. Как только пользователь открывает такую «гифку», хакеры получают возможность смотреть мультимедийные файлы и сообщения на его устройст...
Баг в прошивке видеокарт AMD Radeon допускает RCE Драйверы двух моделей видеокарт AMD Radeon содержат уязвимость, эксплуатация которой дает злоумышленнику возможность удаленно выполнить сторонний код через гостевой аккаунт виртуальной машины. К такому выводу пришли инженеры компании Talos, опубликовавшие описание бага. Эксп...
Более 20 тысяч владельцев Oracle EBS под угрозой PayDay Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформ...
Security Week 12: клавиатурные атаки Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX...
Microsoft: длина и сложность пароля больше не имеют значения Длина и сложность пароля уже не играют роли для безопасности аккаунта. К такому мнению пришли специалисты Microsoft, проанализировав миллионы попыток взлома пользовательских профилей на своих ресурсах. Как утверждается в посте Алекса Винерта (Alex Wienert), эксперта компании...
Security Week 15: атака на роутеры с подменой DNS К теме уязвимости в сетевых роутерах мы обращаемся далеко не первый раз, но исследования группы Bad Packets и компании Ixia (новость, отчет Bad Packets, отчет Ixia) интересны тем, что представляют почти полную картину: как ломают роутеры, какие настройки меняют, и что потом ...
[Из песочницы] Элементарные шифры на понятном языке Привет, Хабр! Все мы довольно часто слышим такие слова и словосочетания, как «шифрование данных», «секретные шифры», «криптозащита», «шифрование», но далеко не все понимают, о чем конкретно идет речь. В этом посте разберемся, что из себя представляет шифрование и рассмотрим...
WIBAttack. Так ли страшна новая уязвимость SIM-карт [По публичной информации], 21 сентября Ginno Security Lab опубликовала информацию об уязвимости, схожей с Simjacker, которая позволяет с помощью одной вредоносной SMS захватить контроль над мобильными функциями атакованного устройства и тем самым получить возможность отправ...
Еще более секретные Telegramмы Все привыкли считать телеграм надежной и безопасной средой для передачи сообщений любого сорта. Однако, под капотом у него крутится совершенно обычная комбинация а- и симметричного шифрований, а это ведь совсем не интересно. Да и в конце-концов, зачем вообще явно доверять св...
AirDrop от Apple Apple долгое время предлагала AirDrop на своих устройствах iOS и Mac, чтобы обеспечить легкий обмен контентом между двумя устройствами. Точно так же он позволяет пользователям iPhone и Mac обмениваться паролями Wi-Fi одним касанием. В новом отчете утверждается, что злоумыш...
Как обеспечить безопасность разработки, сохранив время и нервы Переход в digital-сегмент банков, ритейла, медицины и других жизненно важных отраслей производства и обслуживания спровоцировал многочисленные угрозы в плане безопасности. Сегодня во всем мире продолжает расти активность злоумышленников, а вопросы защиты пользовательских и к...
В популярных системах удалённого доступа VNC обнаружены уязвимости Система VNC предназначена для предоставления одному устройству удалённого доступа к экрану другого. При этом спецификация протокола не ограничивает выбор ОС и позволяет кроссплатформенные реализации, что делает систему одной из самых распространённых. Точное количество инста...
В США рассказали о секретном истребителе СССР Американское издание National Interest опубликовало статью о сверхзвуковом истребителе-перехватчике четвёртого поколения МиГ-31. Его секретная разработка велась ещё в СССР.
Уязвимости в WhatsApp позволяют злоумышленникам подменять сообщения пользователей Специалисты Check Point предупреждают, что злоумышленники по-прежнему могут манипулировать сообщениями в личных и групповых чатах WhatsApp.
Криптовалютный кошелек Coinomi передавал пароли пользователей Google в открытом виде Из-за бага в коде кошелька Coinomi парольные фразы пользователей направлялись на проверку правописания (Google Spellcheck API) посредством HTTP, в виде простого текста.
Пользователи Coinbase Wallet смогут сохранять приватные ключи в облаке Google Разработчики Coinbase Wallet в биткоин-кошелек опцию сохранения пользовательских приватных ключей в облачные сервисы Google Drive и iCloud. 🔐☁️ Introducing Cloud Backup for your private keys on Coinbase Wallet! Backup to your personal iCloud or Google D...
В Firefox 66 устранили 21 уязвимость Компания Mozilla выпустила очередную версию своего браузера — Firefox 66. Помимо прочего, в релиз вошли патчи для 21 уязвимости, пять из которых — критические. Разработчики обновили оформление и содержание страниц с предупреждениями об ошибках сертификатов. Теперь браузер со...
Дыру в безопасности для взлома WhatsApp с помощью видео залатали Команда Facebook, которой сейчас принадлежит популярный WhatsApp, опубликовала заявление, в котором говорится об устранении найденной не так давно уязвимости в WhatsApp. Критическую уязвимость CVE-2019-11931 в приложениях WhatsApp для Android и iOS позволяла злоу...
Работа децентрализованной биржи 0x оказалась прервана из-за обнаруженной уязвимости Разработчики протокола 0x были вынуждены на время приостановить работу своей децентрализованной биржи, объяснив это обнаруженной уязвимостью в версии 2.0. По заявлению представителей проекта, средства пользователей находятся в целости и сохранности, однако им необходимо мигр...
В библиотеке libssh2 для Linux закрыли девять брешей Разработчики Linux-библиотеки libssh2 залатали девять уязвимостей в очередной версии продукта — 1.8.1. Эксплуатация брешей позволяла злоумышленникам выполнить вредоносный код на пораженном устройстве или вызвать отказ в обслуживании. Баги обнаружил ИБ-специалист компании Can...
Как установить пароль на фото в iOS Пожалуй, одна из главных проблем стандартной галереи iOS — отсутствие механизма защиты. По тем или иным причинам, на фото или видео нельзя установить пароль. В стандартной галерее можно только «скрывать» снимки, а эта опция, по очевидным причинам, абсолютно бесполезна...
Эксперты насчитали более 100 эксплоитов для уязвимости в WinRAR Обнаруженная в феврале уязвимость в WinRAR 19-летней давности уже активно используется преступниками. ИБ-специалисты насчитали более 100 уникальных эксплоитов.
Разбор уязвимостей EvilParcel Введение В середине апреля мы опубликовали новость о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей в ОС Android. Одна из них — CVE-2017-13156 (также известна как Janus) — позволяет вредоносной программе заражать APK-файлы, не повреж...
Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...
Секретный американский беспилотник попадёт в руки России и Китая СМИ пишут, что сбитый Ираном американский беспилотник RQ-4 Global Hawk является секретной разработкой Военно-воздушных сил (ВВС) США и может оказаться полезен для России и Китая.
Уязвимость в Chrome позволяет показывать поддельную адресную строку, упрощая фишинговые атаки Разработчик Джеймс Фишер обнаружил в Chrome для мобильных устройств довольно простую уязвимость, которая основана на том, как приложение отображает адресную строку. Когда пользователь прокручивает страницу сверху вниз, происходит отображение фальшивой адресной строки, котора...
Как я стал уязвимым: сканируем ИТ-инфраструктуру с помощью Qualys Всем привет! Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов. Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам....
Режим ограничения доступа к аксессуарам в устройствах iOS и как его обходят Сегодня я расскажу об одном интересном с технической точки зрения решении Apple, посредством которого компания попыталась защитить свои устройства от перебора паролей – и о том, что из этого получилось в результате. Для начала отвечу на вопрос, для чего вообще нужен режим ог...
Security Week 10: уязвимости в драйверах NVIDIA Вот что мы еще ни разу не обсуждали в формате дайджеста, так это уязвимости в драйверах для видеокарт. Компания NVIDIA опубликовала 28 февраля информацию о восьми уязвимостях: практически все позволяют повышать привилегии или выполнять произвольный код. Одна брешь относится ...
[Перевод] Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль Недавно я нашёл интересную уязвимость, позволяющую установить любому пользователю конкретного сайта любой пароль. Круто, да? Это было забавно, и я подумал, что можно написать интересную статью. На неё вы и наткнулись. Примечание: автор переведённой статьи не специалист ...
Уязвимость в приложении камеры Android позволяет ... Специалисты по кибербезопасности компании Checkmarx обнаружили уязвимость в приложении «Камера», которая могла затронуть миллионы устройств. Речь идет о дыре, которая позволяет злоумышленникам через практически любое приложение получить контроль над камерами, акт...
Приехали: Android можно взломать картинкой из интернета Фотографии и картинки, загруженные из Интернета, могут стать причиной взлома даже самых современных смартфонов под управлением Android, снабженных наиболее продвинутыми средствами защиты. Это следует из материалов блога разработчиков Google. В публикации говорится о том, чт...
Security Week 40: уязвимость в BootROM мобильных устройств Apple В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет д...
Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot ВведениеПрошивки современных материнских плат компьютера работают по спецификации UEFI, и с 2013 года поддерживают технологию проверки подлинности загружаемых программ и драйверов Secure Boot, призванную защитить компьютер от буткитов. Secure Boot блокирует выполнение неподп...
Apple зашифровала секретное послание в видеоролике Компания Apple разместила на YouTube двухминутное видео с наиболее яркими моментами из недавней презентации. Пользователь Reddit с ником Gcarsk обнаружил в нём пасхалку.
HTTPS не всегда такой безопасный, как кажется. Уязвимости найдены у 5,5% сайтов HTTPS Один из топовых сайтов Alexa (центральный кружок), защищённый HTTPS, с поддоменами (серым) и зависимостями (белым), среди которых есть уязвимые (штриховая заливка) В наше время значок защищённого соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьёзн...
От чего нужно защищать цифровую промышленность В современной промышленности постепенно увеличивается количество и распространённость IoT/IIoT-устройств, «умных» станков и другого оборудования, подключённого к интернету. Встроенное ПО, на котором они функционируют, потенциально может содержать в себе ошибки и уязвимости...
Уязвимость в бета-версии iOS 13 позволяет получить доступ ко всем паролям Ловкость рук и никакого мошенничества.
Apache Tomcat получил важное обновление защиты Разработчики Apache Software Foundation (ASF) обновили сервер приложений Tomcat, чтобы устранить обнаруженный ранее RCE-баг. Брешь CVE-2019-0232 позволяла взломщикам выполнять сторонний код в уязвимых системах и брать их под контроль. В начале марта о проблеме сообщили специ...
Новый вирус читает сообщения во всех мессенджерах FinSpy может передавать злоумышленникам любую информацию: список контактов, информацию о местоположении, пароли от сайтов и приложений, текст переписки из писем и приложений.
Основатель Quadriga CX рассказал о способе хранения приватных ключей пользователей еще в 2014 году Ныне покойный основатель канадской биткоин-биржи Quadriga CX Джеральд Коттен еще пять лет назад раскрыл детали того, как его организация хранит приватные ключи пользователей: на бумаге. The crypto CEO who died holding the passwords to millions in savings revealed in a podcas...
Навигация сервисного робота на поле для гольфа. Построение пути и обход препятствий Какой метод навигации и обхода препятствий оптимален для сервисного робота? Роботы — это программно-механические комплексы, взаимодейсвующие с реальным миром. Для сервисного робота крайне важно понимать свое текущее положение в пространстве, положение цели и умение построить...
В Chrome 78 пока не активировали поддержку DNS-over-HTTPS Компания Google сообщила о выходе новой версии браузера Chrome. В релизе 78.0.3904.70 разработчики устранили более трех десятков уязвимостей, а также добавили ряд механизмов, повышающих безопасность работы пользователя. Приложения для Windows, macOS и Linux будут автоматичес...
Баг плагина позволял украсть учетные данные LastPass Специалист команды Google Project Zero Тэвис Орманди (Tavis Ormandy) сообщил о серьезной уязвимости в менеджере паролей LastPass. Баг позволял злоумышленнику определить учетные данные, использовавшиеся при последней авторизации через плагин сервиса для Chrome и Opera. Разраб...
В WhatsApp нашли опасную уязвимость Уязвимость позволяет злоумышленникам устанавливать на смартфоны шпионские программы.
В Bluetooth выявлена серьезная уязвимость Группа исследователей обнаружила критическую уязвимость в интерфейсе Bluetooth, из-за которой все совместимые устройства подвергаются риску взлома. Организация Bluetooth SIG уже выпустила уведомление о безопасности, в которой описана уязвимость, связанная с шифрованием...
Обмен секретными сообщениями через серверные логи Согласно определению в Википедии, тайник (dead drop) — это инструмент конспирации, который служит для обмена информацией или какими-то предметами между людьми, использующими секретное местоположение. Смысл в том, что люди никогда не встречаются — но при этом обмениваются инф...
Исследователь получил 10 000 долларов за обнаружение XSS-уязвимости в Tesla Независимый исследователь обнаружил XSS-уязвимость в своей Tesla Model 3. Баг позволял извлечь и модифицировать информацию об автомобиле.
Критически важное ПО Windows содержит фундаментальные ошибки Исследователи ИБ обнаружили опасные уязвимости более чем в 40 драйверах ядра, которые используются в процессорах ведущих поставщиков компьютерного оборудования. Баги позволяют злоумышленникам получать максимальные привилегии на пользовательских устройствах и оставаться в сис...
В популярных менеджерах паролей на Windows 10 найдена уязвимость Главный пароль к ним остаётся доступным в памяти.
[Перевод] В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учет...
Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности Изображение: Unsplash Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. А в некоторых случаях таких новых уязвимостей оказывается больше одной. Читать дальше →
Критическая уязвимость в продуктах компании Zemana и не только Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация подобных уязвимостей в некоторых продуктах даже в 2018 году не является проблемой. Уупс Читать дал...
Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте Специалисты по кибербезопасности из компании Check Point обнаружили серьезную уязвимость в архиваторе WinRar. Затем они же показали, как при помощи этой уязвимости можно распаковать файл в произвольное место — совсем не то, которое указывает пользователь. Ну а поскольку п...
В Jira Service Desk нашли критические уязвимости и Jira Service Desk Data Center, устранив угрозу раскрытия информации. Злоумышленники могли воспользоваться двумя багами, чтобы получить важные данные о корпоративной инфраструктуре и выполнить сторонний код. Уязвимости CVE-2019-14994 и CVE-2019-15001 позволяли проводить ата...
Уязвимости в Kubernetes позволяют спровоцировать отказ в обслуживании Разработчики Kubernetes представили исправления для уязвимостей, обнаруженных недавно в протоколе HTTP/2. Эти проблемы чреваты уязвимостью перед DoS-атаками.
Маршрутизаторам Cisco угрожает критическая уязвимость в Cisco IOS XE Уязвимости в Cisco IOS XE получила 10 баллов из 10 по шкале CVSS и позволяет любому желающему обойти авторизацию на устройстве, не зная пароля.
Уязвимость, позволявшая захватывать аккаунты Instagram, принесла исследователю 10 000 долларов Ранее независимый ИБ-специалист из Индии уже получил 30 000 долларов США, доказав, что механизм сброса паролей в Instagram небезопасен. Хотя разработчики Facebook с тех пор усилили защиту, эксперт нашел еще один способ скомпрометировать систему восстановления паролей.
Ноутбуки Lenovo перестают загружаться после обновления IE Срочное обновление браузера Internet Explorer, выпущенное 19 декабря, вызывает сбой в работе некоторых моделей ноутбуков Lenovo. По сообщениям владельцев устройств, после его установки они стали испытывать проблемы с загрузкой Windows. Компания Microsoft признала наличие нед...
Набор эксплойтов RIG теперь доставляет шифровальщик Buran Эксплойт-пак RIG начал распространять ранее неизвестный вариант вымогателя Vega. Шифровальщик Buran кодирует пользовательские файлы и предлагает жертве связаться с киберпреступниками по электронной почте для восстановления данных. ИБ-аналитики пока не смогли создать декрипто...
Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос Совсем недавно, в начале лета, появились массовые призывы к обновлению Exim до версии 4.92 из-за уязвимости CVE-2019-10149 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр). А на днях выяснилось, что вредонос Sustes решил воспользоваться этой уязвимостью. Те...
[Перевод] Конференция DEFCON 19. Anonymous и мы. Часть 2 Конференция DEFCON 19. Anonymous и мы. Часть 1 Джошуа Корман: вы знаете, я не сторонник самосуда, но я не думаю, что подобный подход должен исчезнуть. Это важный вопрос. Если мы думаем, что наша отрасль дисфункциональна и не уверены, что будем услышаны, тогда давайте примен...
Уязвимости в WPA3 позволяют раскрыть пароль от сети Wi-Fi Специалисты нашли в общей сложности пять «дыр» в новом протоколе.
Adobe исправила RCE-уязвимость в ColdFusion Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода, а также обход механизмов контроля доступа. Оставшийся недостаток оценен как важный и связан с возм...
В промышленном оборудовании Moxa найдено 10 уязвимостей Эксперты по промышленной безопасности US-CERT сообщили об уязвимостях коммутаторов тайваньского производителя Moxa. В подборку вошли 10 брешей, большая часть которых получила выше девяти баллов по шкале CVSS. Проблемы были обнаружены в четырех сериях свитчей Moxa: IKS-G6824A...
Об очень шпионском методе аутентификации Итак, мы засылаем супер-секретных агентов Алису и Боба во вражескую страну под прикрытием. В процессе миссии им предстоит связаться и работать вместе, обмениваться информацией, обычные шпионские дела. Конечно, все это нужно делать с соблюдением всех возможных правил и техник...
Что нужно знать о последнем патче Cisco для маршрутизаторов Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать». Фото — ulleo — PD Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратур...
Опубликован список из 25 самых опасных уязвимостей ПО Изображение: Unsplash Американская организация MITRE опубликовала список из 25 самых опасных уязвимостей программного обеспечения. Исследователи составили таблицу наиболее опасных и распространенных проблем безопасности, с указанием идентификаторов CWE (Common Weakness En...
В загруженном 500 млн раз браузере нашли уязвимость Потенциально опасная функция позволяет загружать вредоносный код и скачивать вспомогательные программные модули в обход серверов Google Play.
В macOS есть уязвимость, которая позволяет читать зашифрованную почту Почтовый сервис Apple принято считать одним из самых безопасных, но это заблуждение Шифрование является одним из ключевых механизмов, которые Apple использует для защиты личных данных пользователей. В целях безопасности компания шифрует колоссальный массив данных – от маршру...
Официально: процессоры AMD не подвержены уязвимостям RIDL и Fallout AMD официально подтвердила, что недавно обнаруженные уязвимости Fallout и RILD обошли стороной процессоры американской компании. Подробнее об этом читайте на THG.ru.
Cisco исправила критическую RCE-уязвимость в роутерах RV110W, RV130W и RV215W Инженеры Cisco исправили критическую уязвимость в веб-интерфейсах своих продуктов. Баг набрал 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS V3.
Microsoft нашла две похожие на BlueKeep RCE-уязвимости Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, ко...
Технический анализ эксплойта checkm8 С большой вероятностью вы уже слышали про нашумевший эксплойт checkm8, использующий неисправимую уязвимость в BootROM большинства iDevice-ов, включая iPhone X. В этой статье мы приведем технический анализ эксплойта и разберемся в причинах уязвимости. Всем заинтересовавшимся...
Privileged Access Management как приоритетная задача в ИБ (на примере Fudo PAM) Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом мног...
Автомобильные блогеры лишились своих YouTube-каналов Владельцы YouTube-каналов с многомиллионной аудиторией жалуются на массовый угон аккаунтов. Как выяснили журналисты интернет-издания ZDNet, в конце прошлой недели злоумышленники сумели завладеть доступом к десяткам видеоблогов, преимущественно автомобильной тематики. Владель...
Шифровальщик eCh0raix прицельно атакует NAS-хранилища QNAP Исследователи обнаружили вымогательскую кампанию, направленную на сетевые хранилища QNAP. Злоумышленники взламывают серверы со слабыми паролями и требуют выкуп в 0,05–0,06 BTC (36–43 тыс. рублей по курсу на день публикации). По сообщениям экспертов, новый шифровальщик eCh0ra...
Эксперты взломали пароли WiFI-сетей на основе WPA3 Независимые ИБ-исследователи Мати Ванхойф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) обнаружили серию уязвимостей в стандарте беспроводных подключений WPA3. Ошибки системы рукопожатий между точкой доступа и сетевым устройством позволяют злоумышленнику взламывать пароли WiFi-с...
Хакеры могут получить доступ к контактам iPhone SQLite - самые распространенные в мире базы данных. Они доступны в любой операционной системе, персональном компьютере и на мобильном телефоне. Пользователи SQLite - Windows 10, MacOS, iOS, Chrome, Safari, Firefox и Android. Контакты на вашем iPhone, некоторые из сохраненных...
Третья уязвимость Steam Windows Client, но не 0day В предыдущих сериях Не так давно я рассказал о двух уязвимостях Стима: CVE-2019-14743 и CVE-2019-15316. Там была целая история о том, как я пытался зарепортить их, у меня не получалось, меня забанили, и только после публичного раскрытия и помощи сообщества удалось достичь ре...
Уязвимости ритейлеров — три случая, когда OTP можно было получить в запросе При входе в личные кабинеты различных сервисов, в целях безопасности, часто используется 2FA — помимо логина и пароля, нужно ввести одноразовый код. Но, как оказалось, не всё так безопасно даже с двухфакторной аутентификацией — за последний год я нашёл три (!) сервиса, ког...
[Из песочницы] Переменные окружения для Python проектов Переменные окружения для Python проектов При разработки web-приложения или бота мы часто имеем дело с какой-либо секретной информацией, различными токенами и паролями (API-ключами, секретами веб-форм). "Хардкодить" эту информацию, а тем более сохранять в публично доступной с...
Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...
Только для владельцев устройств Samsung. В ресторанах Великобритании появилось секретное меню, доступное только «избранным» Компания Samsung тратит огромные средства на рекламу. И реклама может быть самой разной — не обязательно реализовывать её в виде банальных банеров и роликов по телевизору. Новый рекламный ход Samsung точно нельзя назвать банальным. Как сообщает источник, компания...
Эксплуатация cookie-based XSS | $2300 Bug Bounty story ⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уяз...
Opera встроила VPN в Android-браузер Браузерный VPN предоставляет пользователям повышенный уровень контроля над своими персональными данными и их защиты, особенно при подключении к общественным сетям Wi-Fi. С активацией встроенного VPN создаётся приватное — зашифрованное 256-битным алгоритмом шифрования — соеди...
Устройства Amazon позволяют киберпреступникам перехватывать пароли ESET обнаружила уязвимости в колонках Amazon Echo первого поколения и электронных книгах Amazon Kindle восьмого поколения.
Обойти блокировку Android-смартфона можно звонком по Skype Недавно обнаруженная уязвимость в Skype для Android может быть использована злоумышленниками для обхода экрана блокировки на смартфонах, работающих под управлением Android. Она позволяет просматривать фотографии, контакты и даже запускать браузер, получая доступ к с...
Взломщики создавали на сайтах аккаунты администратора Исследователь Майки Винстра (Mikey Veenstra) сообщил о новом витке развития активной вредоносной кампании на WordPress. Злоумышленники, которые ранее атаковали уязвимые плагины, чтобы показывать нежелательные рекламные баннеры и привлекать трафик на мошеннические сайты, тепе...
Как внедрить статический анализатор в разработку, чтобы всем было хорошо? В процессе работы нам часто задают вопрос: как внедрить статический анализатор в разработку, чтобы всё всем было хорошо. О том, почему для безопасной разработки необходим статический анализатор, мы уже рассказывали. Эта статья будет полезна, если вы выбираете статический ана...
Обзор: как снизить вероятность утечки персональных данных С момента разоблачений Эдварда Сноудена прошло уже шесть лет, но ситуация с приватностью в интернете не становится лучше. Спецслужбы всего мира по прежнему стремятся узнать как можно больше информации о простых пользователях сети, а киберпреступники стремятся использовать ...
Утечки из приложений для знакомств В конце 2018 г. в Сеть на продажу были выложены данные 30 млн пользователей Momo - одного из самых популярных приложений для знакомств в Китае. Всю базу учетных записей, включая мобильные телефоны и пароли, можно было купить всего за 200 юаней (около $30). Такая невысокая це...
Хранение данных в облаке становится опаснее Компаниям нужно больше внимания уделять защите своих облачных сред, поскольку злоумышленники все чаще ищут и эксплуатируют уязвимости в таких сервисах.
В сети появилась еще одна коллекция украденных адресов электронной почты и паролей Как и предыдущий архив, он состоит из множества файлов, полученных злоумышленниками из разных источников. По оценка, общее количество сочетаний адресов и паролей в обеих «коллекциях» составляет порядка 2,19 млрд. Еще один архив с украденными адресами электронной почты и п...
Уязвимости прошлых лет по-прежнему используются для атак и представляют большую опасность Эксперты компании Fidelis Cybersecurity изучили уязвимости, наиболее популярные у злоумышленников в первом квартале 2019 года.
Mail.Ru Group стал защищаться отпечатком "Использование электронных ключей станет удобной и безопасной альтернативой традиционным паролям", - заявили в Mail.Ru Group, добавив, что вход по отпечатку пальца - самый распространенный пример использования электронного ключа. При этом в компании отметили, что вход с испо...
Mail.Ru Group стала защищаться отпечатком "Использование электронных ключей станет удобной и безопасной альтернативой традиционным паролям", - заявили в Mail.Ru Group, добавив, что вход по отпечатку пальца - самый распространенный пример использования электронного ключа. При этом в компании отметили, что вход с испо...
Взлом WPA3: DragonBlood Несмотря на то, что новый стандарт WPA3 еще толком не введен в эксплуатацию, недостатки безопасности в этом протоколе позволяют злоумышленникам взломать пароль Wi-Fi. Читать дальше →
Apple рассказала на секретной презентации, как AR-очки заменят смартфоны Уже не первый год в сети ходят слухи о новых AR-очках от Apple. The Information утверждает, что компания провела секретную презентацию, где раскрыла некоторые подробности. Например, первая версия аксессуара выйдет в 2022 году, а через год планируется выпуск улуч...
Google заплатит хакерам 1,5 млн долларов за взлом смартфонов Pixel Компания Google обновила конкурс Android Security Rewards, которая предусматривает выплату вознаграждений за найденные в смартфонах уязвимости. Самое большое вознаграждение 1.5 млн. долларов, кто найдёт уязвимость в аппаратной защите на базе чипа Google Titan M. За обнаруже...
Ноутбуки Razer продолжают продаваться с давно известной «дырой» в безопасности С 2011 года компания Razer, ранее хорошо известная своей стильной компьютерной периферией, также начала продвигать производительные игровые ноутбуки. И если с мышками и клавиатурами особых хлопот в плане заботы о безопасности нет, то с ноутбуками всё очень непросто. Оказалос...
Опасная защита. Xiaomi ставит на смартфоны антивирус с лазейкой для хакеров Компания Check Point Software, специализирующаяся на безопасности, сообщила о найденной уязвимости в предустановленном приложении на смартфонах Xiaomi. Речь идёт о приложении безопасности Guard Provider, которое призвано защищать смартфоны от вредоносных программ...
Простейший способ взломать аккаунт «ВКонтакте» в обход двухфакторной аутентификации Пользователь Habr с ником php_freelancer рассказал, как ему удалось взломать аккаунт в соцсети «ВКонтакте», обойдя защиту двухфакторной аутентификацией.
Google запустила бесплатный аналог SMS для Android. Но не спешите радоваться RCS должен был стать заменителем SMS, но как-то не срослось В последнее время в Сети всё чаще и чаще встречаются упоминания RCS. Говорят, что это бесплатный аналог привычных смс-сообщений, но никто толком не объясняет, как это стало возможно и, самое главное, почему никто не...
Как я «взломал» Qiwi без знаний программирования Вступление Снова всем привет. На этот раз статья не будет поднимать «сурьезные» вопросы. Это будет рассказ о том, как не зная программирования, но будучи достаточно смекалистым и внимательным, можно найти серьезную уязвимость, которая, к примеру, позволит вам списать все ден...
Настройка Single Sign-On в Zimbra Collaboration Suite Наряду с Active Directory, одной из важных технологий для обеспечения удобства работы пользователей даже при самой строгой парольной политике безопасности, является технология Single Sign-On. Данная технология позволяет сотрудникам после очередной смены пароля проходить проц...
[Из песочницы] Как взломать завод: системы радиоуправления как слабое звено современного производства Компания Trend Micro выпустила исследование, в котором рассмотрела уязвимости системы дистанционного радиоуправления промышленного оборудования и то, насколько просто злоумышленники могут их использовать для атак на промышленные объекты Недавно мы (специалисты Trend Micro...
Microsoft запустила инициативу по производству ПК с защищенным ядром По мере эволюции современных средств защиты злоумышленники все чаще используют уязвимости микропрограммного обеспечения устройств. По данным национальной базы уязвимостей института NIST, за последние три года наблюдался почти пятикратный рост количества уязвимостей микрокода...
Как установить пароль на PDF-файл в macOS Не секрет, что обеспечение должной безопасности и конфиденциальности личных данных — один из главных приоритетов современной Apple. Но когда речь идёт о действительно важных документах, имеет смысл установить дополнительную защиту. Тем более, сделать это совсем не сло...
[Из песочницы] Распутывание клубка уязвимостей на сайтах После своей первой статьи, опубликованной на codeby, которая вошла в топ 3 публикаций недели, я был очень мотивирован написать следующую. Но 11 класс накладывает ограничения на свободное время подготовкой к егэ и олимпиадами. Поэтому вторую я пишу лишь спустя несколько меся...
В Magento исправили RCE-уязвимость Разработчики популярной ecommerce-платформы рекомендуют пользователям срочно обновиться, так как в Magento исправили уязвимость, позволяющую злоумышленнику выполнить произвольный код.
Новые уязвимости в стандарте WPA3 В стандарте WPA3 были обнаружены две новые уязвимости, позволяющие злоумышленникам получить доступ к сети. Они были обнаружены теми же исследователями, которые ранее обнаружили пять уязвимостей. Была выявлена специалистами Мэти Ванхофом (Mathy Vanhoef) и Эйалом Роненом (Eyal...
Change your password: тестирование парольных политик веб-сервисов В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. И вот, спустя 4 года, мы решили обновить и расширить это исследование. В исследовании 2019 года мы проверили 157 сервисов, разделенных на 14 ...
Между креслом и монитором сидит главная уязвимость в системе: VAP-персона Источник: Proofpoint Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-т...
Хакеры обратили внимание на iOS Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца.Трендом 2019 года стали уязвимости для iOS, которые открывали ранее исправленные ошибки, а также позволили создать джейлбрейк для вер...
0-day уязвимость в Chrоme позволяет собирать данные о пользователях через файлы PDF Эксперты компании EdgeSpot предупредили об активной уязвимости нулевого дня в браузере Chrome. Так как патча пока нет, специалисты рекомендуют не открывать файлы PDF прямо в браузере.
Новые уязвимости Dragonblood затрагивают WPA3 и позволяют узнать пароли от Wi-Fi Эксперты обнаружили две новые проблемы из «комплекта уязвимостей» Dragonblood, появившиеся уже после того, как представители WiFi Alliance подготовили защиту от исходных багов.
Расширение Password Checkup сверяет пароли с базой из 4 млрд скомпрометированных аккаунтов Недавно хакеры выложили в открытый доступ коллекции №1-5 — в общей сложности около 2,7 млрд аккаунтов с паролями (magnet-ссылки: коллекция № 1, коллекции № 2-5). Эти пароли многие годы собирались из всех доступных источников, в том числе с российских сайтов. Каждый может п...
Facebook отчаянно пытается догнать Amazon и Google с помощью собственных устройств У многих компаний есть секретные подразделения, в которых разрабатываются новые технологии и устройства. У Facebook тоже есть секретная лаборатория и называется она Building 8. Согласно новому сообщению от телеканала CNBC в стенах Building 8 разворачивается настоящая драма,...
[Из песочницы] Аскетичный вебъ: прототип барахолки на go и js Всем привет, хочу поделиться результатом размышлений на тему — каким может быть современное веб-приложение. В качестве примера рассмотрим проектирование доски объявлений для комиксов. В некотором смысле рассматриваемый продукт рассчитан на аудиторию гиков и им сочувствующих,...
Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence Изображение: Knownsec 404 Team Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить во...
[Перевод] Зашифрованные предпочтения в Андроид Добрый день. Меня зовут Дмитрий и я являюсь преподавателем базового курса «Android разработчик» в Otus. Сегодня я решил поделиться переводом статьи, которую считаю интересной и думаю, что она может быть полезной для многих читателей нашего блога. Хранить данные в SharedPr...
Разработчики Intel закрыли 19 брешей в драйверах видеокарт Компания Intel выпустила пакет обновлений, устраняющих серьезные уязвимости в графическом драйвере для Windows 10, — ошибки позволяли злоумышленникам повышать привилегии, читать закрытые данные и выполнять сторонний код на пользовательском компьютере. Разработчики устранили ...
Иран приготовил секретное оружие для удара по авианосцам США Власти Ирана предупредили Военно-морские силы США, что могут отправить американские авианосцы в Персидском заливе на дно при помощи «секретного оружия».
[Перевод] Обеспечьте себе время на восстановление сил — это ключ к психологической устойчивости Может ли такое простое вещество, как вода, рассказать нам о психологической устойчивости? Если прислушаться к Брюсу Ли — определенно может. «Очисти разум, утрать форму. Стань бесформенным, как вода. Если налить воду в чашку, она становится чашкой. Если налить в бутылку —...
В процессорах Intel Xeon выявлена уязвимость NetCAT, позволяющая красть данные В процессорах Intel есть фирменный механизм повышения производительности, который называется Direct Data I/O или DDIO и позволяет сетевым адаптерам напрямую обращаться к процессорной кэш-памяти третьего уровня, полностью обходя оперативную память, чтобы ускорить работу ...
В Adobe Flash и ColdFusion закрыты опасные уязвимости Компания Adobe выпустила обновления для Flash Player и платформы ColdFusion, в которых объявились программные ошибки, грозящие исполнением произвольного кода. Совокупно разработчик устранил 11 уязвимостей в трех продуктах, включая маркетинговое решение Adobe Campaign. В итог...
В IIoT-платформе WebAccess закрыли критические баги Компания Advantech исправила несколько уязвимостей в своей платформе WebAccess/SCADA, предназначенной для управления данными в среде промышленного IoT. Баги могут привести к выполнению удаленного кода, раскрытию конфиденциальной информации, а также несанкционированному уничт...
Атакующие уничтожили данные на серверах сервиса VFEmail Злоумышленники взломали серверы электронной почты VFEmail и уничтожили все данные американских пользователей. Атакующие удалили информацию без требования выкупа у владельцев компании. Ее сотрудники работают над восстановлением сообщений и функциональности сервиса, но отмечаю...
Уязвимость в Windows позволяет установить контроль над компьютером жертвы Уязвимость CVE-2019-1132 представляет собой локальное повышение привилегий в компоненте win32k.sys. После развертывания эксплойта злоумышленники получали возможность устанавливать практически полный контроль над компьютером жертвы.В Windows 8 и более поздних версиях ОС преду...
Tutanota – защищенная электронная почта Хотите бесплатный, удобный, защищенный ящик электронной почты с минимальными ограничениями и на русском языке? Эксперт по цифровой безопасности Сергей Смирнов рассказывает о сервисе Tutanota. Сэр Артур Конан Дойль писал: «Если рассудок и жизнь дороги вам, держитесь подал...
GOSTIM: P2P F2F E2EE IM за один вечер с ГОСТ-криптографией Будучи разработчиком PyGOST библиотеки (ГОСТовые криптографические примитивы на чистом Python), я нередко получаю вопросы о том как на коленке реализовать простейший безопасный обмен сообщениями. Многие считают прикладную криптографию достаточно простой штукой, и .encrypt() ...
Climbers 1.5.2 Climbers — помоги двум маленьким веселым липучкам забраться как можно ВЫШЕ, чтобы выбраться из опасного замка, полного различными ловушками. В распоряжении у них есть только веревка между ними и их способность липнуть к поверхностям!!! Удивительно, но этого для них вполне до...
Adobe закрыла десятки брешей в Acrobat и Reader В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение. Уязвимость 0-day зарегистриров...
[Перевод] Unix-пароль Кена Томпсона Где-то в 2014 году в дампах исходного дерева BSD 3 я нашёл файл /etc/passwd с паролями всех ветеранов, таких как Деннис Ричи, Кен Томпсон, Брайан В. Керниган, Стив Борн и Билл Джой. Для этих хэшей использовался алгоритм crypt(3) на основе DES — известный своей слабостью (и ...
3 важные настройки безопасности для вашего Android-устройства Правильно организовать систему безопасности на вашем смартфоне — крайне важное дело. Ведь современные гаджеты хранят в себе массу конфиденциальной информации. И это не только фото или видео. Это данные кредитных карт, переписки и пароли от различных сервисов. Сегодня ...
Опубликован эксплоит для свежей 0-day уязвимости в Android Появился эксплоит для проблемы CVE-2019-2215, которая уже находится под атаками и позволяет злоумышленнику получить root-доступ к целевому устройству.
Google превратила смартфоны на Android в ключи безопасности для 2FA Многие пользователи пренебрегают двухфакторной аутентификацией из-за усложненного процесса авторизации. Еще бы, ведь мало того, что сначала нужно ввести регулярные логин и пароль, так потом еще и подтвердить вход при помощи одноразового кода, который приходит по SMS или в в...
В macOS обнаружена серьезная проблема с безопасностью Всем известно, какое пристальное внимание Apple уделяет безопасности своих операционных систем. Но даже компания такого масштаба не всегда способна выявить все критические ошибки и уязвимости, которые могут быть использованы злоумышленниками. Одну из таких проблем, обнаружи...
В банкоматах Diebold Nixdorf обнаружена RCE-уязвимость Один из крупнейших в мире производителей банкоматов предупреждает своих клиентов об уязвимости в банкоматах марки Opteva. Баг позволяет удаленно выполнить произвольный код.
В Android исправлены две критические RCE-уязвимости Инженеры Google представили апрельский набор патчей для Android. Сразу несколько уязвимостей получили статус критических и две из них позволяют выполнить произвольный код.
ФСБ запросила у «Яндекса» ключи шифрования переписки пользователей Компания отказывается их передать, поскольку ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса».
Facebook подала в суд на производителя шпионских решений из-за эксплуатации уязвимости в WhatsApp Facebook обратилась в суд с иском против израильской компании NSO Group, которая занимается разработкой и продажей шпионских решений и так называемой «легальной малвари». Камнем преткновения стала уязвимость нулевого дня в WhatsApp, которая использовалась для атак на правоза...
Security Week 32: дыра в iMessage, приватность голосового ввода 22 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройств...
У Microsoft Edge выявили новую уязвимость На сайте GitHub появился эксплойт для уязвимости CVE-2018-8629, который нашли ребята с Phoenhex. Эксплойт был обнаружен в движке Chakra браузера Edge. Эта уязвимость позволяет выполнить удаленно код с правами администратора за счет выхода рамок выделенной памяти. Те, кто уст...
В iPhone нашли уязвимость, позволяющую получить доступ к их файловой системе Исследователь по кибербезопасности обнаружил очередную уязвимость в моделях iPhone от 4s до X. От уязвимости, по его словам, невозможно избавиться при помощи патча. При этом она позволяет проводить процедуру джейлбрейка (операцию для получения доступа к файловой системе смар...
Apple исправила новую уязвимость процессоров в macOS 10.14.5 В начале 2018 года стало известно о таких опасных уязвимостях, как Meltdown и Spectre. Брешь, в прямом смысле, затронула каждый компьютер в мире, включая Mac. Всему виной стал просчёт инженеров, занимающихся архитектурой микропроцессоров. Впрочем, уязвимость, после широкой ...
ФСБ потребовала ключи шифрования переписки пользователей у «Яндекса» ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram.
Сет качественного Косплея на Дану Кэтрин Скалли (Dana Katherine Scully) и Фокса Уильяма Малдера (Fox William Mulder) по мотивам «Секретные Материалы» (The X-Files)!!! Всем привет и хорошего настроения! Сегодня предлагаю посмотреть сет качественного косплея по мотивам отличного, культового фантастического сериала Секретные Материалы (The X-Files) с хорошим сюжетом. Косплей исполнили: Вера Зайцева (Ver1sa) и QQ!
Ученые научились взламывать зашифрованные PDF-файлы Исследователи из двух немецких университетов смогли прочитать зашифрованные PDF-документы. Эксперты предложили два способа атаки под общим названием PDFex: оба позволяют взламывать файлы через 27 программ, включая Adobe Acrobat, Foxit Reader, средства просмотра PDF в Chrome ...
CVE-2019-6111 и другие уязвимости в scp TL;DR; Совсем недавно ( примерно с 1983 года ) оказалось, что OpenSSH, как наследник rsh, для команды scp ( ex. rcp ) позволяет серверу выбрать, какой файл и с какими параметрами вам передать. А уязвимости вывода позволяют скрыть, какой именно файл вам передали. То есть прос...
В библиотеке jQuery устранена серьезная уязвимость В jQuery закрыта уязвимость, которая позволяет провести DoS-атаку или получить права администратора веб-приложения, использующего эту JavaScript-библиотеку на стороне клиента. Эксперт по кибербезопасности Лиран Тал (Liran Tal) из Snyk обнаружил брешь 26 марта; пропатченная в...
В Android нашли опасную уязвимость Брешь в защите ОС позволяет злоумышленникам вставлять поддельные экраны авторизации в легитимные приложения для кражи учетных данных.
В антивирусном приложении смартфонов Xiaomi нашли бэкдор Исследователи Check Point описали сценарий MitM-атаки через антивирусное приложение Guard Provider, предустановленное на смартфонах Xiaomi. Злоумышленник может взломать соединение, по которому обновляются базы вредоносного ПО, и внедрить сторонний код на целевое устройство. ...
Это самые вредные нововведения Android Q, которые делают обновление хуже Google нечасто радует своих пользователей обновлениями Android. В отличие от Apple, которая выпускает как минимум 5 значимых апдейтов iOS ежегодно, поисковый гигант ограничивается лишь двумя, да и то не для всех. Поэтому всякое обновление воспринимается фанатами «зеленого р...
Баг в HSM-устройствах позволяет красть криптоключи Исследователи из компании Ledger, специализирующейся на разработке аппаратных криптокошельков, сообщили о серьезном баге в некоторых HSM-устройствах. Уязвимое оборудование используется для хранения секретных данных в инфраструктуре крупных облачных сервисов и банковском сект...
Citrix пропатчила критические уязвимости в SDWAN-решениях В популярной платформе управления программно-определяемыми сетями выявлены уязвимости, позволяющие без авторизации выполнять команды с привилегиями root. Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance (ранее линейка NetScaler SD-WAN) настоятельно рекомендуется ...
Какие данные мы доверяем Apple (и как они защищены) В последнее время Apple очень серьезно поднимает вопрос конфиденциальности — даже один из рекламных роликов новых iPhone посвящен приватности. И хотя многие даже не подозревают, какие данные они передают со своих устройств компании из Купертино, это вовсе не означает,...
Microsoft не будет исправлять найденную уязвимость в Windows 10 Mobile Официальная поддержка Windows 10 Mobile закончится лишь в начале декабря этого года, и до этого срока операционная система будет продолжать получать накопительные обновления. Но важно понимать, что разработка Windows 10 Mobile остановлена, так что ошибки и уязвимости, харак...
Топ-3 мессенджера для современного человека Мессенджеры облегчают общение, позволяют удобно обмениваться файлами, помогают эффективно работать и быть всегда на связи. Рассмотрим плюсы и минусы 3 мессенджеров для смартфонов, без которых современный человек лишится массы возможностей — CorpChat, Telegram и Wh...
Разбираем уязвимости проверки сертификатов SSL/TLS в небраузерном софте Первоначально разработанный для браузеров, SSL/TLS-протокол позже стал стандартом де-факто вообще для всех защищенных интернет-коммуникаций. Сейчас он используется для удаленного администрирования виртуальной инфраструктуры, развернутой в облаке, для передачи платежных рекв...
Криптокошелек Coinomi отсылал пароли в Google Десктопная версия криптокошелька Coinomi отправляла незашифрованные пароли пользователей в сервис Google для проверки правописания (Google Spellcheck API). Проблему обнаружил ИБ-специалист из Омана Варит Аль-Маавали (Warith Al Maawali) после того, как с его аккаунта пропало ...
Серверные процессоры Intel содержат уязвимость NetCAT Один взломанный компьютер может скомпрометировать всю сеть
[Перевод] 7 ключевых индикаторов риска Active Directory на панели мониторинга Varonis Все, что нужно злоумышленнику, – это время и мотивация для проникновения в вашу сеть. Но наша с вами работа состоит в том, чтобы не дать ему этого сделать или, по крайней мере, максимально усложнить эту задачу. Нужно начать с определения слабых мест в Active Directory (дал...
Сотрудник Google сумел взломать iOS 12 Йен Бир, сотрудник команды Google Project Zero, занятой исследованиями в области информационной безопасности, обнаружил уязвимость в iOS 12.1.2, которая может использоваться для взлома операционной системы. Об этом исследователь сообщил в официальном блоге проекта. На основ...
Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...
Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...
В WhatsApp нашли три серьёзные уязвимости Пользовательская переписка может оказаться под угрозой.
Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и ч...
Новая уязвимость угрожает всем версиям Docker, и патча пока нет Состояние гонки, которому подвержены все версии Docker, позволяет атакующему получить доступ на чтение и запись для любого файла на хосте. PoC-эксплоит для свежей уязвимости уже опубликован.
В драйверах видеокарт Nvidia GeForce, Quadro и Tesla обнаружены уязвимости Сообщается, что Nvidia обнаружила пять уязвимостей в своих драйверах Windows для видеокарт серий GeForce, Quadro и Tesla. По словам компании, данные уязвимости отмечены как очень опасные. Подробнее об этом читайте на THG.ru.
Мошенники эксплуатируют 0-day в популярном WordPress-плагине ИБ-исследователи из компании Wordfence обнаружили уязвимость нулевого дня в WordPress-плагине Social Warfare. Преступники используют брешь для внедрения вредоносного кода на сайты жертв посредством XSS-атак. Под угрозой оказались более 70 тыс. веб-ресурсов, на которых устано...
В самокатах Xiaomi найдена уязвимость, которая позволяет любому управлять ими удаленно Электрический транспорт — хорошо, а еще лучше, когда его можно взять с собой — например, самокат. Но чем сложнее технология, тем больше у нее появляется уязвимостей. Так, американская компания Zimperium, которая специализируется на безопасности мобильных устройс...
[Обновлено] Вышла iOS 12.1.4 с исправлением уязвимости в FaceTime Как и было обещано на прошлой неделе, сегодня компания Apple выпустила внеплановое обновление iOS за номером iOS 12.1.4. Его релиз состоялся в промежутке между выходами бета-версий iOS 12.2. Апдейт является экстренным и направлен на исправление одной единственной ошибки, об...
Safari получил поддержку ключей безопасности FIDO2. Зачем это нужно Ключ безопасности для iOS обеспечит безопасный вход в учетные записи и позволит не запоминать пароли Принято считать, что биометрические методы идентификации практически вытеснили пароли. Отчасти это действительно так, ведь теперь для авторизации мы чаще всего используем либ...
DataLocker повторно выпускает зашифрованный виртуальный диск SafeCrypt для SafeConsole Компания DataLocker, называющая себя «ведущим поставщиком передовых решений для шифрования», объявила о повторном выпуске зашифрованного виртуального диска SafeCrypt. SafeCrypt — независимый от хранилища кроссплатформенный виртуальный диск, защищающий...
Камера Android позволяет шпионить за сотнями миллионов пользователей Уязвимость в системе безопасности позволяла любым приложениям управлять родным приложением «Камера» в операционной система Android без необходимых разрешений со стороны пользователя, в том числе снимать фото. Об этом рассказал в статье глава отдела безопасно...
Криптобиржа DX.Exchange залатала серьезный баг в безопасности Специализирующаяся на security-токенах платформа DX.Exchange исправила уязвимость в безопасности, открывающую доступ к токенам аутентификации, сообщает Ars Technica. По словам анонимного трейдера, данные, которые передает его браузер бирже, содержат токен аутентификации и де...
Уязвимость в браузере Internet Explorer позволяет злоумышленникам красть файлы с ПК под управлением Windows Исследователь безопасности Джон Пейдж (John Page) опубликовал подробные сведения об уязвимости XXE (XML eXternal Entity), обнаруженной в браузере Internet Explorer, которая позволяет злоумышленникам красть файлы с ПК под управлением Windows. Уязвимостью можно воспользов...
Уязвимость в драйвере Intel может предоставить злоумышленникам полный доступ к устройству Инженеры Intel выпустили обновленные версии pmxdrvx64.sys и pmxdrv.sys, исправляя уязвимости, которые позволяют атакующему установить полный контроль над устройством.
Закон «О связи» и уязвимость в мессенджерах Интересная произошла ситуация у меня. Купил симку Yota, залогинился с этим номером в WhatsApp и сразу оказался в трёх незнакомых группах. Предыдущей переписки не было видно, потому сначала подумал, что спам и тупо удалился со всех трёх. Спустя некоторое время мне написал ч...
Регистратор доменов Web.com заявил о возможной утечке Информационную систему доменного регистратора Web.com и его дочерних компаний взломали. Как следует из заявления на сайте организации, злоумышленники могли получить доступ к персональным данным клиентов, однако вряд ли узнали номера их банковских карт. В качестве меры безопа...
В SIM-картах выявлена ошибка, позволяющая взломать телефон отправкой SMS Специалисты по кибербезопасности обнаружили существование новой, ранее не выявленной, критической уязвимости в SIM-картах, которая позволяет злоумышленникам удалённо взламывать целевые мобильные телефоны и шпионить за жертвами, просто отправив SMS-сообщение.
[Из песочницы] Яндекс.Алиса и бот Telegram на PHP с единым функционалом Добрый день. На тему Telegram-ботов статей очень много, а вот про навыки для Алисы мало кто пишет, а информации как сделать единого бота я вообще не нашел, поэтому решил поделиться своим опытом о том, как сделать простого бота Telegram и навык Яндекс.Алиса для сайта, имеющ...
Безопасные push-уведомления: от теории к практике Привет, Хабр! Сегодня расскажу о том, чем мы с коллегами заняты уже несколько месяцев: о пуш-уведомлениях для мобильных мессенджеров. Как я уже говорил, в нашем приложении главный упор сделан на безопасность. Поэтому мы выясняли, есть ли у пуш-уведомлений “слабые места” и ...
Как защитить свой смартфон от хакеров и воров На сегодняшний день потерять мобильный телефон (или личный аккаунт) — это значит, практически, потерять всю информацию о себе. Ведь современные гаджеты хранят массу конфиденциальных данных о вас: от личных фотографий и переписок до сведениях о кредитных картах, пароля...
Ученые обнаружили 36 уязвимостей в стандарте LTE Исследователи из Южной Кореи выявили три дюжины брешей в стандарте передачи данных LTE, который используется в большинстве мобильных устройств для подключения к Интернету. Уязвимости позволяют злоумышленникам добиваться отказа в обслуживании, отслеживать местоположение жертв...
Прячем секретное сообщение в музыку, сгенерированную нейросетью «Стеганография – это искусство сокрытия информации таким образом, что сам факт ее присутствия остается в тайне». Это определение сложилось в далеком 1998 году и с тех пор перекочевало в сотни научных работ, посвященных секретной передаче данных. Возможно, в древности стегано...
Найден вымогатель, шифрующий файлы дистанционно В отличие от других вымогательских программ, NamPoHyu Virus после запуска ищет доступные серверы Samba и шифрует данные на сетевых дисках, а не на зараженном компьютере. Первые атаки нового шифровальщика были зафиксированы в прошлом месяце — на тот момент зловред носил имя M...
Cisco вне графика пропатчила менеджер сети ЦОД Компания Cisco Systems выпустила экстренные патчи для двух критических уязвимостей в Data Center Network Manager. В обоих случаях эксплойт позволял захватить контроль над атакуемой системой. Продукт Data Center Network Manager (DCNM) предоставляет пользователям платформу для...
В WhatsApp закрыли уязвимость исполнения стороннего кода Независимый ИБ-исследователь под ником Awakened рассказал об уязвимости WhatsApp, угрожающей пользователям выполнением стороннего кода. Баг CVE-2019-11932 позволяет злоумышленникам атаковать Android-устройства с помощью вредоносных GIF-файлов. Как работает критическая уязвим...
Уязвимости DragonBlood затрагивают стандарт WPA3 и позволяют узнать пароли Wi-Fi Исследователи, ранее обнаружившие комплекс проблем в WPA2, получивший название KRACK, представили новую атаку, DragonBlood, перед которой уязвим уже новый WPA3.
Почему ПИН-код надежнее пароля? По какой причине пин-код в системе Windows Hello безопаснее пароля? Windows Hello представляет собой решение, который мы предоставили в Windows 10 для авторизации в системе. В Windows Hello можно использовать пин-код или биометрическую авторизацию для входа. Может возникнуть...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...
Критическая уязвимость имплантированных устройств жизнеобеспечения дает злоумышленникам возможность управлять ими О том, что производители разного рода девайсов основное внимание уделяют дизайну и удобству пользования, оставляя вопросы информационной безопасности за бортом, на Хабре писали много раз. Это касается как компаний, которые выпускают смартфоны, IoT гаджеты, плюс оказалось, ...
Вымогатель JNEC.a использует брешь в WinRAR Эксперты обнаружили первый зловред-вымогатель, который эксплуатирует обнаруженную в январе RCE-уязвимость WinRAR. По словам аналитиков, платить выкуп бесполезно — из-за ошибки в коде расшифровать пораженные файлы не смогут даже сами организаторы кампании. Специалисты назвали...
Комбо для Drupal. Как захватить сайт с Drupal, используя новые уязвимости Для подписчиковВ этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на не...
Уязвимость в Thunderbolt позволяет взломать почти все Mac новее 2011 года Практически полное отсутствие вирусных программ для macOS компенсируют уязвимости, которые время от времени эксперты в области кибербезопасности в ней находят. Правда, на этот раз брешь нашли не в самой системе, а в интерфейсе Thunderbolt, который используется в компьютерах...
«Зомби» не страшны. AMD заявила, что её продукты не подвержены и уязвимости ZombieLoad тоже Несколько дней назад AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout. Напомним, это две из трёх уязвимостей, входящих в группу Microarchitectural Data Sampling (MDS). Теперь же AMD обновила своё заявление, добавив в него и третью уязвимость —...
Google выпускает криптографический ключ на USB-C. На что он способен? Обеспечение «цифровой безопасности» крайне важно в наши дни В последние годы Google является одним из ключевых игроков в разработке самых разных технологий и стандартов, связанных с двухфакторной аутентификацией (2FA). Помимо того, что вы можете использовать свои у...
Facebook пропатчила Fizz — свою реализацию протокола TLS Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалис...
Application Security Manager. Разработчик или безопасник? Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно исп...
Adobe закрыла множественные уязвимости в своих продуктах Компания Adobe выпустила комплект патчей для трех продуктов. Внеочередной набор обновлений устраняет более 80 уязвимостей в приложениях Acrobat и Reader, компонентах CMS-системы Experience Manager и программе Download Manager для Windows. Более половины новых багов имеют кри...
Новые игровые ноутбуки ASUS получили беспроводной ключ для сокрытия «взрослого» контента Компания ASUS представила новые игровые ноутбуки. Среди них модели линейки ROG Strix, интересные наличием специального беспроводного ключа ROG Keystone, который позволяет хранить настройки и зашифрованные данные.
Хакеры сделают операционную систему Huawei более ... Белый дом обещает помиловать Huawei. Полная амнистия дана не будет, речь идет лишь о послаблении в части возврата к сотрудничеству с рядом американских компаний. Главный и единственный вопрос, который волнует фанатов на мировом рынке, заключается в том, сможет ли Huawei внов...
Android-смартфон теперь можно использовать как ключ для безопасного входа в аккаунт Google Для двухфакторной авторизации используется Bluetooth.
BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...
Google готова платить до $1,5 млн за особые уязвимости на Android Когда в 2015 году Google впервые запустила программу поиска уязвимостей в Android, самое большое вознаграждение, которое можно было получить, составляло $38 тыс. Вместе с ростом популярности Android росла и сумма награды, поэтому всё больше исследователей в области безопасно...
В WordPress 5.1.1 закрыли уязвимость, грозящую CSRF-атаками Разработчики WordPress выпустили обновление безопасности 5.1.1, в состав которого вошли 14 исправлений безопасности. Они устраняют CSRF-уязвимость системы и упрощают переход на новые версии PHP. Брешь позволяла потенциальным злоумышленникам использовать систему комментирован...
NAS-устройства Lenovo сливают в Сеть терабайты данных ИБ-специалисты компаний Vertical Structure и WhiteHat Security сообщили о баге в NAS-устройствах Lenovo. В результате совместного исследования они обнаружили 5100 уязвимых сетевых хранилищ, на которых хранится более 3 млн файлов. Из-за ошибки в прошивке злоумышленники могут ...
В десятках тысяч серверов Super Micro нашли уязвимости Уязвимости позволяют злоумышленникам устанавливать "виртуальный" USB-накопитель и удаленно внедрять вредоносное ПО, менять настройки сервера и др.
[Перевод] Svalbard — новое имя проекта Have I Been Pwned перед продажей В 2013 году я начал понимать, что утечки приватных данных становятся повсеместными. Действительно, такие случаи участились. И возросло влияние этих утечек на их жертв, включая меня. Всё чаще я писал в блоге на эту тему, которая казалась увлекательным сегментом индустрии инфо...
[Из песочницы] Шифрование конфигурационных файлов Предыстория Мне поступила задача по настройке CI. Было принято решение использовать трансформацию конфигурационных файлов и конфиденциальные данные хранить в зашифрованном виде. Изучив документацию по шифрованию, вот что было сделано. Key Container В каждой ОС Windows есть...
Разработчики Metasploit опубликовали эксплоит для уязвимости BlueKeep Модуль Metasploit для проблемы BlueKeep опубликован. Он позволяет осуществить выполнение кода и прост в использовании.
Уязвимость библиотеки Windows грозит отказом в обслуживании Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал уязвимость криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагруз...
В стандарте связи LTE обнаружено 36 уязвимостей Южнокорейские эксперты по вопросам информационной безопасности обнаружили 36 уязвимостей в стандарте связи LTE, которые позволяют реализовать широкий спектр атак. Некоторые из них могут быть достаточно пагубными. Выявленные уязвимости могут создавать небольшие временные труд...
Android получил важное обновление программной части. Что изменилось? Главный недостаток смартфонов под управлением Android, спорить с которым не берутся даже их владельцы, состоит в коротком цикле выхода новых версий операционной системы. Весьма странно при этом, что многие забывают о регулярных обновлениях безопасности, выходящих каждый мес...
Apple отключила «Рацию» на Apple Watch из-за уязвимости, которая позволяла пользователям прослушивать iPhone Нет никаких доказательств, что уязвимость когда-либо использовалась злоумышленниками, утверждают в Apple.
Злоумышленник скомпрометировал данные 106 млн клиентов банка Пресс-служба американского банковского холдинга Capital One призналась, что некий злоумышленник получил личные данные 106 млн клиентов компании. Из-за неправильной настройки облачного хранилища в руках преступника оказались истории транзакций, кредитные рейтинги и номера соц...
В Exim устранена еще одна критическая уязвимость Разработчики обновили Exim до версии 4.92.3, исправив критическую DoS-уязвимость, которая в теории позволяла злоумышленнику выполнить вредоносный код на целевом сервере.
[Перевод] The Foobar challenge: секретный тест Google для разработчиков Вы просто сидите за своим столом, занимаясь своими делами, пытаясь выполнить какую-то работу. Затем, как это неизбежно происходит, вы сталкиваетесь с незначительным препятствием: ваш код выдает загадочное сообщение об ошибке. «Нет проблем», как вы думаете. Это не ваше пер...
Microsoft пропатчила атакуемый RCE-баг в Internet Explorer В рамках ноябрьского «вторника патчей» в скриптовом движке Microsoft закрыта критическая уязвимость, уже используемая в атаках. Проблема, зарегистрированная как CVE-2019-1429, позволяет через порчу памяти выполнить вредоносный код и затрагивает все поддерживаемые в...
Финтех-дайджест: бесплатные переводы в системе СБП, уязвимость банков к атакам и другие новости Сегодня в дайджесте: Бесплатные переводы средств между банками, которые входят в систему СБП; Степень уязвимости банков к атакам злоумышленников; Финансовая грамотность населения растет; Криптовалюты остаются непопулярным средством платежа. Переводы без комиссии Почт...
В двух миллионах IoT-устройств обнаружена уязвимость Независимый ИБ-исследователь Пол Маррапезе (Paul Marrapese) обнаружил уязвимости в IoT-оборудовании десятков китайских производителей, которые можно использовать для MitM-атак и вмешательства в работу устройств. По подсчетам эксперта, угрозе подвержены более 2 млн IP-камер, ...
Google и Samsung исправили баг, позволявший приложениям следить за пользователями через камеру Цепочка уязвимостей позволяла злоумышленникам перехватывать контроль над камерой устройства, а затем скрыто делать снимки или записывать видео, даже в том случае, если устройство заблокировано, а пользователь говорит по телефону.
Роскачество назвало самые безопасные мессенджеры "Крайне важно использовать двухфакторную аутентификацию - в случае с мессенджерами вход по коду из СМС и паролю (кодовому слову), что существенно усложнит “работу” мошенников. Такая возможность реализована в приложениях WhatsApp, Signal, “Одноклассн...
Взломщики эксплуатируют уязвимости в WordPress-плагине Злоумышленники используют бреши в плагине YellowPencil, установленном на более чем 30 тыс. сайтов на базе WordPress. Создатель расширения просит владельцев веб-ресурсов срочно установить обновление. По словам исследователей, за атаками стоят те же преступники, которые в тече...
Критическая уязвимость Android пряталась пять лет Уязвимость нашел сотрудник компании Positive Technologies Сергей Тошин. Поскольку она устранена в обновлении движка от 29 января 2019 года, информацию о ней стало безопасно публиковать. Подробный комментарий С. Тошина появился в четверг, 21 марта. Благодаря недоработкам в Ch...
Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726 Изображение: Pexels С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельнос...
Ключи от домена: у всех российских банков обнаружены пробелы в защите Подавляющее большинство российских банков не соответствуют даже базовым требованиям к настройке безопасности веб-ресурсов. Нынешний уровень их защиты позволяет преступникам рассчитывать на результативные атаки и доступ к персональным данным клиентов. Такой вывод можно сделат...
Хакеры научились перехватывать звонки с Android-телефонов через наушники Американские специалисты по кибербезопасности обнаружили уязвимости в некоторых моделях смартфонов на Android. Эти пробелы в защите позволяют злоумышленникам перехватывать данные и управлять устройством.
50 тысяч клиентов SAP могут пострадать из-за неправильной настройки ПО Уязвимость позволяет злоумышленникам воспользоваться неправильной конфигурацией софта для получения полного контроля над системой без необходимости вводить данные учетной записи.
Система Windows Hello прошла сертификацию FIDO2 Консорциум FIDO сертифицировал Windows 10 версии 1903, которая выйдет в конце мая 2019 года. Microsoft взяла курс на полный отказ от паролей еще в 2015 году. На смену традиционного способа авторизации должна прийти технология идентификации Windows Hello. Согласно данным комп...
Брешь runC позволяет атакующим запускать произвольный код Старший инженер SUSE Алекса Сараи (Aleksa Sarai) сообщил о серьезной бреши в инструменте для запуска контейнеров runC. Уязвимость CVE-2019-5736, обнаруженная исследователями Адамом Иванюком (Adam Iwaniuk) и Борисом Поплавски (Borys Popławski), позволяет злоумышленнику переза...
Proof-of-Stake: взгляд изнутри В интернете ходит много обывательских статей и рассуждений, но достаточно мало информации по существу. В определённый момент автору стало понятно, что механика и множество связанных нюансов безопасности до конца не понятны даже многим разработчикам криптовалют. Это вскрылос...
Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством Специализирующаяся на вопросах компьютерной безопасности американская компания Zimperium выявила серьезную уязвимость в электрических самокатах Xiaomi. Как утверждается, ошибка, связанная с управлением транспортным средством посредством Bluetooth, может быть использована зло...
Опубликованы PoC к 0-day в Internet Explorer и Edge Независимый исследователь Джеймс Ли (James Lee) выложил в сеть PoC для уязвимостей в Internet Explorer и Edge. Найденные специалистом бреши позволяют обойти правило ограничения домена (SOP) и выполнить в среде браузера вредоносный скрипт, размещенный на сервере злоумышленник...
Эксперты предупредили о небезопасных роутерах NETGEAR Исследователи Talos Intelligence обнаружили уязвимости в беспроводных роутерах NETGEAR. Из-за некорректной настройки рукопожатия между клиентом и точкой доступа злоумышленник может перехватить закрытые данные сетевых устройств. Баги содержатся в модуле ядра NetUSB одного из ...
Slack снова сбрасывает пароли из-за утечки 2015 года Корпоративный мессенджер Slack сбросил пароли у 1% учетных записей из-за опасности несанкционированного доступа. Информация об этом появилась на официальном сайте компании в четверг, 18 июля. Как говорится в сообщении, такая мера предосторожности связана со взломом, произоше...
Intel попыталась подкупить нидерландский университет, чтобы скрыть информацию об уязвимости MDS Исследователи кибербезопасности из Амстердамского свободного университета (VU), являющегося одним из ведущих научно-исследовательских университетов страны и входящего в число ведущих университетов Европы, утверждают, что компания Intel пыталась подкупить их, чтобы скрыт...
Опубликован PoC-код для обхода защиты PatchGuard Служба защиты ядра и механизм проверки целостности кода виртуальных машин Windows могут быть взломаны, что позволит злоумышленникам внедрить свой код в критически важные компоненты ОС. К такому выводу пришел турецкий ИБ-специалист Джан Бёлюк (Can Bölük), опубликовавший подро...
Бэкдор позволяет перехватить контроль над умным зданием Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений....
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Часть 6 Часть 6. Получение учетных данных (Credential Access) Ссылки на все части: Часть 1. Получение первоначального доступа Часть 2. Выполнение Часть 3. Закрепление Часть 4. Повышение привилегий Часть 5. Обход защиты Заполучив учетные данные злоумышленник получает доступ или даж...
Face Anti-Spoofing или технологично узнаём обманщика из тысячи по лицу Биометрическая идентификация человека – это одна из самых старых идей для распознавания людей, которую вообще попытались технически осуществить. Пароли можно украсть, подсмотреть, забыть, ключи – подделать. А вот уникальные характеристики самого человека подделать и потерять...
Число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%. Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. Среди них наиболее распространены уязвимости, связанны...
Intel пыталась купить молчание исследователей, обнаруживших новые уязвимости в ее процессорах Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; прои...
Официальный сайт Monero сообщил о кибератаке Злоумышленники взломали официальный сайт криптовалюты Monero и подменили дистрибутивы официальных CLI-кошельков (command line interface, интерфейс командной строки). Все, кто скачивал программы с этого ресурса в течение 14 часов 18 ноября, рисковали лишиться всех своих актив...
Ползучий IT-апокалипсис. Новые облачные сервисы оставят без работы часть инженеров Ходят слухи, что Amazon ведёт работу над секретным проектом AWS For Everyone. Об этом сообщили несколько источников в компании, а ещё он упоминается в профилях ряда сотрудников (примечание: в последние несколько дней компания начала подчищать информацию и отовсюду удалять на...
Intel залатала «дыры» в ПО для диагностики процессоров и в прошивке SSD DC S4500/S4600 После публикации в январе 2018 года отчёта об обнаруженных в процессорах Intel уязвимостей Meltdown и Spectre на продукцию микропроцессорного гиганта нацелилось самое пристальное внимание со стороны специалистов по кибербезопасности. Для них это непаханое поле деятельности и...
Уязвимость Internet Explorer грозит потерей файлов Специалист по кибербезопасности Джон Пейдж (John Page) опубликовал информацию об уязвимости Internet Explorer 11, позволяющей получить доступ к локальным файлам. Исследователь уведомил Microsoft о найденном баге, но компания отказалась выпускать внеплановый патч. Проблема св...
Разработчик CRM “Простой бизнес” стал резидентом инновационного центра “Сколково” Мы стали участниками знаменитого технопарка «Сколково», чтобы ускорить разработку нашей новой абсолютно секретной версии CRM «Простой бизнес». Самый большой технопарк Европы «Сколково» предоставляет площадки и сервис для инновационных компаний ...
ESET: новые схемы доставки бэкдора кибергруппы OceanLotus В посте расскажем, как кибергруппа OceanLotus (APT32 и APT-C-00) недавно использовала один из общедоступных эксплойтов к CVE-2017-11882, уязвимости повреждения памяти в Microsoft Office, и как вредоносное ПО группы обеспечивает персистентность в скомпрометированных системах,...
Как старые смартфоны Nexus превращают в устройства для защищенной связи Android-смартфоны лучше поддаются защите, чем iPhone Безопасность никогда не были коньком Android. Несмотря на обновления с исправлениями уязвимостей, которые Google выпускает каждый месяц, они не сильно меняют ситуацию. Во-первых, потому что доходят патчи всё равно не до вс...
Фальшивые Android-приложения крадут пароли для обхода 2FA ИБ-эксперт Лукас Стефанко (Lukas Stefanko) обнаружил фишинговые Android-приложения, способные также перехватывать одноразовые пароли, высылаемые пользователю в соответствии с процедурой двухфакторной аутентификации (2FA). Разработчики вредоносного ПО нашли способ обойти огра...
В США хотят запретить сквозное шифрование в мессенджерах Если вы пользуетесь мессенджерами, то наверняка слышали про сквозное шифрование. Благодаря ему сообщения, которые передаются между отправителем и получателем, защищены специальным ключом шифрования, который автоматически генерируется только на их устройствах. Таким образом ...
[Перевод] Обзор инструментов для безопасности GitHub репозиториев Введение Когда вы начинаете создавать репозиторий на GitHub, одной из первых вещей, о которых вы должны подумать, является безопасность. В случае, если вы создаете свой собственный репозиторий GitHub или часто контрибьютите в репозиторий, вам необходимо знать, содержит ли...
«Лаборатория Касперского» помогла закрыть дыры в умном доме Специалисты «Лаборатории Касперского» оценили безопасность системы Fibaro Home Center, которая обеспечивает управление умным домом. Эксперты нашли в продукте ряд уязвимостей, позволивших перехватить контроль над IoT-инфраструктурой. Исследование инициировал один из...
Security Week 42: аппаратные бэкдоры, уязвимость в Intel NUC Уязвимости в ПО низкого уровня, которое запускается до загрузки операционной системы, бывают не только в «айфонах». На прошлой неделе были закрыты уязвимости в прошивках двух популярных устройств — в игровой и медиаприставке Nvidia Shield TV и в компьютерах семейства Intel N...
В заброшенном WordPress-плагине нашли брешь нулевого дня Эксперты Wordfence Threat Intelligence нашли WordPress-плагин, угрожающий утечками данных и потерей контроля над сайтом. Разработчики уязвимой надстройки не выходят на связь, поэтому специалисты рекомендуют администраторам не ждать патча, а просто удалить ее со своих ресурсо...
В лондонской урне нашли секретные документы Деятельность английской военной лаборатории «Портон-Даун» засекречена, но из многочисленных источников и по свидетельствам бывших сотрудников известно, что там занимаются передовыми разработками в области химического и биологического оружия в интересах британских спецслужб и...
Google начнет предупреждать о скомпрометированных паролях Компания Google объявила о новых функциях для обеспечения безопасности и конфиденциальности пользователей. Об этом сообщается в блоге корпорации. В менеджер паролей Google добавили возможность проверки паролей на их надежность. Новая функция под названием Password Checkup со...
Разработчики SAP выпустили 14 патчей для своих систем Разработчики SAP выпустили сентябрьский пакет исправлений, куда вошли 14 патчей. Четыре из них пришлись на критические уязвимости, включая два дополнения к выпущенной ранее заплатке для SAP Diagnostics Agent. Критически важные доработки SAP Diagnostics Agent Об уязвимости CV...
Действительно ли надёжна квантовая криптография? Тысячи лет лучшие умы человечества изобретают способы защитить информацию от чужих глаз, но каждый раз находится способ раскрыть тайну шифра и прочитать секретные документы. Очередным святым Граалем криптографов всего мира стала квантовая криптография, в рамках которой инф...
Шифруйся грамотно! Изучаем перспективные мессенджеры для приватной переписки Для подписчиковТайна переписки заботит не только тру-хакеров, но и миллионы простых пользователей, которые совсем не хотят, чтобы их интимные фотки стали достоянием общественности. В прошлой статье мы исследовали приватность и безопасность самых популярных мессенджеров. Наст...
Вышел ряд важных патчей для Microsoft Edge Microsoft пропатчила в браузере Edge четыре критические уязвимости, позволяющие угнать целевой ПК, направив жертву на сайт с эксплойтом. Важные заплатки были выпущены 8 января в рамках первого в новом году «вторника патчей». Новые проблемы Edge грозят удаленным исп...
Обнаружен шифровальщик, который использует опасную уязвимость в Windows Эксперты обнаружили некоторые признаки, которые позволяют предположить, что Sodin распространяется по RAAS-модели (вымогатель-как-услуга, от англ. Ransomware-as-a-Service), то есть продаётся на чёрном рынке. С этим связана интересная особенность этого зловреда. Обычно при та...
В службе обновления Webex нашли очередной баг Очередную брешь в программе для организации веб-конференций Cisco WebEx обнаружили ИБ-специалисты компании SecureAuth. Ошибка позволяет заменить исполняемый файл службы обновления на предыдущую версию, содержащую уязвимости. В результате атаки злоумышленник может повысить св...
Алиса в стране Битрикс Приветствую вас (лично вас, а не всех кто это читает)! Сегодня мы: Создадим приложение (навык) Алисы с использованием нового (октябрь 2019) сервиса Yandex Cloud Functions. Настроим наше приложение так, чтобы оно отправляло заказы клиентов (т.н. лиды) в CRM Битрикс24. ...
Основы цифровой схемотехники. Как логические элементы образуют биты памяти в твоем компьютере Для подписчиковТо, что компьютеры могут хранить информацию в памяти, мы давно принимаем за данность, но знаешь ли ты, как именно эта память работает? В этом материале мы поговорим о последовательностной логике, которая позволяет компьютерам хранить информацию. Какие возможно...
Хакеры взломали камеру Android-смартфонов в обход системы безопасности Глава отдела безопасности компании Checkmarx Эрез Ялон рассказал о найденной им уязвимости в системе безопасности Android. Благодаря ей любое приложение могло управлять родным приложением “Камера” в смартфонах Google и Samsung, не имея необходимых на то разрешений со стороны...
Kaspersky о безопасности решений для удаленного доступа Эксперт «Лаборатории Касперского» Павел Черемушкин изучил безопасность промышленных систем удаленного доступа (Virtual Network Computing, VNC). В результате исследования в четырех таких решениях было обнаружено 37 уязвимостей, многие из которых годами переходят из ...
Хакеры раскрыли секретные документы о блокировке Telegram Хакеры из проекта Digital Revolution рассекретили архив с перепиской сотрудников компании 0day technologies, которая занимается выполнением госзаказов на блокировки в рунете. Эта же компания решала вопрос с блокировкой Telegram.
AWS_Ru meetup в Райффайзенбанке Приглашаем на митап сообщества AWS_Ru, который пройдет на площадке Райффайзенбанка в Нагатино, 4 июля. Будем разговаривать про IoT и решения AWS, узнаем, как выжать из облака все и еще послушаем секретного спикера. Готовьте свои вопросы и приходите делиться опытом, будет инт...
Новый macOS-зловред использует незакрытый обход Gatekeeper Обнаружены тестовые образцы вредоносной программы, способной обходить блокировку исполнения стороннего кода, выполняемую macOS-утилитой Gatekeeper. С этой целью зловред, получивший в Intego кодовое имя OSX/Linker, использует уязвимость нулевого дня, которая пока не пропатчен...
В VLC Media Player исправлена критическая RCE-уязвимость Разработчики VideoLAN исправили критическую double-free уязвимость в VLC Media Player. Баг позволял выполнить произвольный код на уязвимой машине.
[Перевод] Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4 Новые инструменты, старые методы. Проводим обратную разработку и находим фатальный недостаток 1Password. Все любят менеджеры паролей. Они великолепны по многим причинам. Лично у меня в менеджере более 200 записей. С таким большим количеством конфиденциальных данных в одном...
Уязвимость NetCAT угрожает серверным процессорам Intel Исследователи опубликовали подробности об уязвимости NetCAT, которая угрожает всем процессорам Intel, поддерживающим Data-Direct I/O Technology (Intel DDIO) и Remote Direct Memory Access (RDMA).
[Из песочницы] Обход ReCaptcha в Selenium тестах ReCaptcha (она же всенародно любимая «капча») — одна из самых болезненных вещей, с которой может столкнуться автоматизатор тестирования на своём пути. В Сети гуляют тысячи разнообразных видео, записанных выходцами из солнечной Индии, касательно того, какими танцами с бубном ...
Эксперты Check Point предупредили об уязвимостях в RDP-клиентах Специалисты выявили 25 уязвимостей в популярных RDP-клиентах для Windows и Linux.
Опубликован эксплоит для уязвимости в Outlook для Android Для RCE-уязвимости в Outlook для Android, о которой стало известно на прошлой неделе, опубликован работающий эксплоит.
[Перевод] Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик Автор статьи, перевод которой мы сегодня публикуем, говорит, что React — это её любимая библиотека для создания интерактивных интерфейсов. React одновременно и лёгок в использовании, и достаточно хорошо защищён. Однако это не значит, что React-приложения совершенно неуязвимы...
В протоколе LTE нашли 36 новых уязвимостей Группа южнокорейских специалистов обнаружила 51 уязвимость в протоколе LTE, и 36 из них оказались новыми.
Рано радовались! Процессоры AMD тоже подвержены новой уязвимости SWAPGSAttack Очередная уязвимость наделала много шума
Для 0-day уязвимости в OpenOffice появился неофициальный патч Для обнаруженной в начале февраля RCE-уязвимости в составе Apache OpenOffice появился патч от сторонних экспертов.
NVIDIA исправила уязвимости в GeForce Experience и драйверах Инженеры NVIDIA выпустили обновления безопасности, устранив множество уязвимостей в своих продуктах.
На официальном сайте WordPress закрыли две XSS-уязвимости Эксперты RIPS Technologies рассказали о двух XSS-уязвимостях на сайте WordPress.org. Один из багов обладал потенциалом червя.
У Samsung похитили информацию о будущих разработках Подразделение разработок Samsung допустило утечку важных данных — логинов и паролей, исходного кода и секретных ключей для нескольких важных проектов. Об этом рассказал специалист по кибербезопасности Моссаб Хуссейн (Mossab Hussein) из компании SpiderSilk.
Главные утечки 2018 года Аналитический центр компании InfoWatch назвал ключевые случаи утечек информации в 2018 году. Напомним, что под утечкой информации InfoWatch понимает намеренные или случайные действия (как внешних злоумышленников, так и внутренних нарушителей), в результате которых нарушена к...
[Перевод] Паттерны и анти-паттерны CI/CD. Часть 3 И снова здравствуйте. Сегодня хотим поделиться с вами переводом третьей части статьи «Паттерны и анти-паттерны CI/CD», предыдущие части которой можно прочитать здесь и здесь. Напомним, данная серия публикаций приурочена к запуску нового потока по курсу «DevOps практики и инс...
Преступники могут получить доступ к информации клиентов в каждом онлайн-банке По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.Угро...
Intel устранила 19 уязвимостей в графических драйверах для Windows Разработчики Intel опубликовали исправления для 19 багов в графических драйверах для Windows. Уязвимости чреваты эскалацией привилегий, DoS и раскрытием информации.
Вторник обновлений: Microsoft исправила 0-day уязвимость в Internet Explorer В этом месяце Microsoft устранила 74 уязвимости в своих продуктах, 13 из которых были оценены как критические, а одна уже эксплуатировалась хакерами.
Достать worklog из Jira Всем привет, недвано я писал про api клиент для Jira. Разбираться с ним я начал, когда возникла необходимость автоматизировать формирование отчета по времени(отчеты нужны заказчику). В итоге получися небольшой инструмент который позволяет быстро и легко вытаскивать необходим...
Уязвимость в SIM-картах позволяет взломать миллиарды смартфонов Эксперты по кибербезопасности нашли в SIM-картах уязвимость, которая позволяет взломать более миллиарда существующих смартфонов. С её помощью злоумышленники могут перехватывать звонки и сообщения пользователей, а также видеть местоположение.
В игровом клиенте GOG закрыто шесть опасных уязвимостей Эксперты Cisco Talos обнаружили набор серьезных уязвимостей в клиенте игровой платформы GOG. Бреши, которые уже закрыты в актуальной версии программы, позволяли взломщику повысить привилегии в системе и получить доступ к закрытым данным. Платформа GOG.com — это цифровой мага...
Хактивист организовал многолетнюю кибератаку в Facebook ИБ-специалисты обнаружили и пресекли вредоносную кампанию в Facebook, построенную вокруг темы гражданской войны в Ливии. Организатор атак использовал актуальную новостную повестку, чтобы красть конфиденциальные материалы и заражать пользователей зловредным ПО. Расследование ...
Секретная возможность «ВКонтакте» стала доступна всем пользователям С каждым днем социальные сети становятся все более популярными среди пользователей по всему миру, а способствуют этому рост популярности смартфонов и конечно же мобильного интернета. Две этих вещи в совокупности позволяют сотням миллионов людей на Сообщение Секретная возмож...
Убийца iOS: джейлбрейк с помощью checkra1n в вопросах и ответах Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность...
Удаленное выполнение произвольного кода в протоколе RDP Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе. Читать дальше →
Найдены уязвимости в распространенных прошивках для Wi-Fi SoC Опубликованы детали уязвимостей в ThreadX, которые могут коснуться множества устройств, включая смартфоны, ноутбуки, игровые приставки, роутеры и так далее.
Zerodium предлагает до 500 000 долларов за уязвимости и эксплоиты для Hyper-V и vSphere Известный брокер уязвимостей, компания Zerodium, сообщил о временном повышении цен на эксплоиты для уязвимостей в Hyper-V и vSphere.
Специалисты Netflix нашли несколько DoS-уязвимостей в Linux и FreeBSD DoS-уязвимости обнаружены в TCP-стеках Linux и FreeBSD. эксплуатация багов может спровоцировать kernel panic и вывести уязвимый сервер из строя.
В Steam обнаружена очередная уязвимость ИБ-исследователь Василий Кравец опубликовал новую уязвимость нулевого дня в игровом клиенте Steam для Windows. Как и баги, обнаруженные ранее, этот позволяет злоумышленникам повышать привилегии на пользовательском компьютере, чтобы полностью перехватить контроль над машиной....
В Parity снова заговорили о хардфорке Ethereum для высвобождения $62 млн Разработчик популярного клиента Parity компания Parity Technologies вновь заявила о возможности восстановления доступа к замороженным средствам на общую сумму в $62 млн. По мнению CEO Ютты Штайнер, опция CREATE2 в хардфорке Constantinople создает все необходимые условия для ...
43% приложений для Android и 35% для iOS содержат уязвимости Компания Positive Technologies провела исследование приложений Android, представленных в Google Play, и приложений iOS из Apple Store, чтобы выяснить, какую угрозу они представляют для безопасности пользователей. В результатах исследований говорится о том, что 43% прило...
Вредоносная активность, связанная с ThinkPHP, растет Исследователи из Akamai Networks фиксируют рост сканов, нацеленных на выявление незакрытой RCE-уязвимости в фреймворке ThinkPHP. Обнаружив пригодное для эксплойта устройство, злоумышленники пытаются внедрить на него Linux-бот или использовать для майнинга криптовалюты. Уязви...
[Перевод] Питон, пожирающий мир: как побочный проект одного разработчика стал популярнейшим языком программирования Разочаровавшись в недостатках существовавших языков программирования, Гвидо Ван Россум создал язык Python. Сейчас этот язык используют миллионы людей, и Ник Хит беседует с ван Россумом о прошлом и будущем языка. Гвидо Ван Россум в штаб-квартире Dropbox в 2014 году В конце ...
Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7 Уязвимости в iOS мы обсудили на прошлой неделе, пришла очередь уязвимостей в Android. Четвертого сентября информацию о проблеме в Android опубликовали исследователи из Zero Day Initiative (новость, бюллетень), причем на момент публикации она так и не была закрыта. В выпущенн...
Системная утилита HP допускает подмену DLL Специалисты HP залатали опасный баг в приложении Touchpoint Analytics Client. Уязвимость позволяла злоумышленнику повысить свои привилегии на целевом компьютере и выполнить вредоносный код с системными правами. Исследователи компании SafeBreach, обнаружившие недостаток, раск...
Как в Viber сменить номер телефона и не потерять контакты и переписку Разработчики мессенджера Viber представили функцию, позволяющую пользователям легко сменить номер телефона без потери аккаунта, переписки и контактов. Теперь, для того чтобы изменить номер телефона в Вайбере нет необходимости выполнять сложные манипуляции — необходимые инстр...
Новая дыра в безопасности затронула все процессоры Intel с 2012 года Исследователи из BitDefender обнаружили уязвимость в безопасности всех современных процессорах Intel. Уязвимость может позволить злоумышленнику получить доступ к памяти ядра компьютера, что потенциально может привести к тому, что он получит доступ к конфиденциальной инф...
На что идут мошенники, чтобы разблокировать украденные iPhone Устройства Apple имеют гораздо лучшую защиту, чем решения конкурентов. Тут вам и сверхнадежный интерфейс Face ID, который практически невозможно обмануть, и продвинутые алгоритмы шифрования, способные уберечь ваши данные от кражи, и даже удаленная блокировка по iCloud, позв...
Ломаем Micosoft Lunix на HackQuest 2019 Привет, Хабр! На HackQuest перед конференцией ZeroNight 2019 было одно занимательное задание. Я не сдал решение вовремя, но свою порцию острых ощущений получил. Я считаю, вам будет интересно узнать, что приготовили организаторы и команда r0.Crew для участников. Задание: ...
Новости недели: Центр управления автономным Рунетом, биткоин на отметке $8000, уязвимость в процессорах Intel В этом дайджесте читайте: правила работы Центра мониторинга и управления автономным Рунетом; российские госструктуры 9 лет работали под наблюдением китайцев; биткоин подорожал с $5000 до $8000; за год число атак на сайты увеличилось на 60%; в процессорах Intel обнаружил...
Неисправленную уязвимость в Chrome атаковали злоумышленники Пользователей призывают обновить Chrome до версии 72.0.3626.121. Оказывается, в этой версии была устранена опасная уязвимость нулевого дня.
Асимметричные криптографические протоколы распределения ключей: Деннинга—Сакко, DASS, Ву-Лама ПредисловиеДанный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления, а также, с этого учебного кода, кафедры защиты информации МФТИ (ГУ). Полностью учебник доступен на github (см. также draft re...
Опубликован эксплоит для неисправленной 0-day уязвимости в vBulletin Уязвимость нулевого дня в vBulletin затрагивает десятки тысяч сайтов. Патча для этой проблемы пока нет.
Опубликован эксплоит для RCE-уязвимости в браузере Edge ИБ-специалисты обнародовали proof-of-concept эксплоит для свежей уязвимости в браузере Microsoft Edge, патч для которой вошел в состав декабрьского «вторника обновлений».
Эксперты обнаружили новую уязвимость в Safari на Mac Очередная уязвимость была найдена в последней версии macOS Mojave. Брешь в операционной системе обнаружил специалист по безопасности Джефф Джонсон. По словам исследователя, проблема кроется в фирменном браузере Safari, если быть точнее в директории приложения, где хранится ...
[Перевод] Что связывает парадокс дней рождения и уязвимости электронных подписей? Введение Допустим, я спрошу вас, сколько человек должно быть в комнате, чтобы у двух из них день рождения с вероятностью 50% приходился на один день. Каким будет ответ? Именно это и называется парадоксом дней рождения. Парадокс гласит: Если в комнате есть 23 человека, то ...
Microsoft устранила два бага 0-day, замеченные в атаках Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фрей...
В секретной лаборатории Tesla разрабатывает собственные аккумуляторы Как известно, компания Tesla активно сотрудничает с Panasonic, так как последняя является поставщиком аккумуляторов для батарей электромобилей Tesla. Однако источники сообщают, что Tesla в своей «секретной лаборатории» занимается разработкой собственных акк...
Google умолчала об уязвимости в Android, но рассказала про iOS Джеки в шоке На прошлой неделе Google опубликовала доклад о масштабной хакерской атаке, направленной на пользователей iOS. Исследователи компании рассказали об особых сайтах, посещение которых с iPhone приводило к их заражению. В результате злоумышленники более двух лет имел...
Что такое Двухфакторная аутентификация (2FA)? Не каждый знает о том, что же такое двухфакторная аутентификация. В последнее время всё чаще пользователи сталкиваются со взломом аккаунтов, и в их числе может оказаться аккаунт Google, в котором обычно мы так любим хранить пароли от всех ресурсов. Как же обезопасить себя? ...
[Из песочницы] Решение заданий WorldSkills модуля Network в компетенции «СиСА». Часть 1 — Базовая настройка Движение WorldSkills направлено на получение участниками преимущественно практических навыков, востребованных на современном рынке труда. Компетенция «Сетевое и системное администрирование» состоит из трех модулей: Network, Windows, Linux. Задания меняются от чемпионата к че...
90 уязвимостей класса Remote Code Execution в майском «вторнике обновлений» «Мир. Труд. Май» — это не только про приятную работу на даче, но и про установку обновлений, тем более что в этом месяце производители офисного программного обеспечения потрудились на славу и закрыли в сумме 162 уязвимости, из которых 90 позволяют выполнить произвольный код ...
Security Week 35: статистика утекших паролей и атаки через Google Drive Прошедшая неделя отметилась как минимум двумя громкими событиями в сфере инфобезопасности. Впервые за долгое время для актуальных моделей Apple iPhone со свежей прошивкой iOS 12.4 доступен джейлбрейк (новость, пост на хабре). Джейлбрейк эксплуатирует уязвимость, которую закр...
Хакеры взломали старейшего регистратора доменных имен Компания Network Solutions была первым и долгое время единственным в мире регистратором доменных имен. Сейчас она принадлежит Web.com и является пятым в рейтинге регистраторов. По словам Web.com, 30 октября все три регистратора стали жертвами утечки данных, имевш...
Создатели Foxit Reader закрыли восемь серьезных уязвимостей Разработчики PDF-редактора Foxit Reader исправили восемь серьезных уязвимостей в своем продукте. Баги позволяли злоумышленнику удаленно выполнить вредоносный код в целевой системе и перехватить управление. Патчи включены в Foxit Reader 9.7, доступный для загрузки на официаль...
Хакеры используют уязвимость Windows для кибератак Речь об уязвимости в компоненте win32k.sys, которая позволила киберпреступникам организовать целевую атаку на пользователей из Восточной Европы.
Разработчиков Microsoft не тревожит публикация PoC-эксплоитов для уязвимостей в IE и Edge Представители Microsoft не считают опасными уязвимости в браузерах IE и Edge, для которых на прошлой неделе были опубликованы эксплоиты.
Для 0-day бага в vBulletin появился патч, но уязвимость эксплуатировали годами Неприятная ситуация вокруг RCE-уязвимости в форумном движке vBulletin продолжает развиваться. Как оказалось, эксперты Zerodium знали об этой проблеме три года.
Серьезные уязвимости исправлены в составе Libssh2 и PuTTY Сразу два популярных инструмента получили важные обновления: 9 уязвимостей устранено в библиотеке Libssh2; 8 проблем пропатчили в Putty.
Google заплатит 1,5 млн долларов за уязвимости в Android Компания объявила о расширении программы выплаты вознаграждений за поиск уязвимостей в мобильной операционной системе.
97% домашних маршрутизаторов и 44% умных домов в России уязвимы Специалисты компании Avast проверили 1 119 791 российских домашних сетей и выявили уязвимости умных домов, которые актуальные для всех стран мира. В отчете говорится, что в 20% домов в России имеется более пяти подключенных устройств, а в 44% умных домов ...
Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей ...
SAP выпустила июньский комплект патчей Специалисты Onapsis рассказали об июньских изменениях в ERP-программах SAP. Согласно отчету, компания-разработчик повысила оценку уровня опасности бага в платформе Solution Manager со среднего на высокий, а также внесла ряд исправлений безопасности в свои продукты. Проблемы ...
Security Week 26: спам в сервисах Google Чаще всего в наших еженедельных дайджестах мы обсуждаем какие-то новые факты или события, связанные с информационной безопасностью. В некоторых случаях такие открытия представляют чисто теоретический интерес: например, уязвимости типа Spectre в современных процессорах вряд л...
Пользователей Discord атакует бэкдор Spidey Bot Преступники превращают мессенджер Discord для взлома Windows-компьютеров. Зловред Spidey Bot / BlueFace редактирует системные файлы приложения, чтобы похищать данные жертвы и гарантировать взломщикам скрытый доступ к управлению машиной. Авторы зловреда пользуются тем, что Di...
Умные самокаты Xiaomi не выдержали проверку на безопасность Исследователи компании Zimperium нашли уязвимость в умных самокатах Xiaomi, которая позволяет перехватить управление устройством. Злоумышленники могут воспользоваться брешью, чтобы угнать транспортное средство или причинить вред его владельцу. Проблема обнаружилась в модели...
Samsung инвестировал в биткоин-кошелек без секретного ключа Разработчики проекта ZenGo привлекли $4 млн инвестиций на создание одноименного криптовалютного кошелька, использующего особый криптографический протокол для идентификации пользователя. Раунд финансирования возглавила южнокорейская корпорация Samsung, сообщает The Block. You...
Взламываем ESP32 раз и навсегда. Извлечение ключей флеш-шифрования и безопасной загрузки Для подписчиковСвое масштабное исследование микроконтроллера ESP32 я закончил изучением двух его важнейших функций: безопасной загрузки (Secure Boot) и флеш-шифрования (Flash Encryption). Моей целью было получить рабочий эксплоит, который обходит и то и другое. В этой статье...
В механизме macOS, ответственном за хранение логинов и паролей, найдена уязвимость, позволяющая получить доступ к этим данным Похоже, у Apple наступила чёрная полоса в вопросе безопасности её продуктов. Ещё не успел успокоиться скандал касательно уязвимости в FaceTime, как стало известно, что в операционной системе macOS нашлась дыра, посредством которой можно получить к логинам и паролям поль...
Угонщики украли 100 машин через каршеринг-приложение Car2Go Полиция Чикаго арестовала более 20 человек по подозрению в мошенничестве с каршеринговым приложением Car2Go. По информации правоохранительных органов, злоумышленники угнали 100 автомобилей Mercedes-Benz, часть из которых позже использовалась при совершении других преступлени...
Cisco пропатчила роутеры, WSA, ПО для конференц-связи На этой неделе компания Cisco Systems выпустила очередной набор заплат, закрыв два десятка уязвимостей в разных продуктах. Степень опасности 12 багов оценена как высокая, остальных — как умеренная. Наиболее серьезны проблемы, выявленные в программном обеспечении маршрутизато...
«Киевстар» подтвердил закрытие программы Bug Bounty, но опроверг недавнее утверждение об уязвимости в платежных сервисах На прошлой неделе исследователь в области компьютерной безопасности Артем Бобок, известный под ником Gorodnya, обратил внимание общественности на то, что оператор мобильной связи «Киевстар» по-тихому закрыл программу выплаты денежных вознаграждений за обнаружение уязвимостей...
Google пополнил линейку физических ключей безопасности В прошлом году Google выпустил свои первые два титановых ключа безопасности, которые можно использовать в качестве наиболее защищённого метода двухфакторной аутентификации через USB-A, NFC или Bluetooth. Теперь компания добавила в эту линейку новый USB-C ключ. Он уже до...
В блоках релейной защиты ABB исправили 10-балльный баг Специалисты «Лаборатории Касперского» обнаружили критическую ошибку в системах релейной защиты производства ABB. Как оказалось, интеллектуальные электронные устройства (ИЭУ) серии Relion 670 подвержены уязвимости, которая позволяет читать и удалять любые файлы на у...
В Exim устранили еще один RCE-баг Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере. Проблема, получившая идентификатор CVE-2019...
Microsoft предупреждает о спам-кампании, использующей уязвимости Office Злоумышленники пытаются заразить европейских пользователей бкэдором.
Google нашла уязвимость в своих физических Bluetooth-ключах для безопасной аутентификации Компанию уже критиковали за использование Bluetooth в устройствах.
Болгарского исследователя арестовали после раскрытия данных об уязвимости в ПО для детских садов Обнаруженная специалистом уязвимость позволила ему скачать информацию о 235 000 гражданах Болгарии.
Intel пыталась подкупить исследователей, обнаруживших уязвимость RIDL Специалисты в области кибербезопасности из Амстердамского свободного университета (Vrije Universiteit Amsterdam) утверждают, что Intel пыталась подкупить их, дабы они не спешили с обнародованием процессорной уязвимости RIDL (Rogue In-Flight Data Load), о которой стало...
Через уязвимость в vBulletin взломаны форумы для секс-работников Болгарский хакер скомпрометировал несколько форумов, включая итальянские и нидерландские ресурсы для секс-работников (в этих странах проституция является законной), и теперь продает похищенные данные на черном рынке.
Security Week 44: NordVPN, TorGuard и половинчатый взлом На прошлой неделе широко обсуждался взлом VPN-провайдера NordVPN, а также пары других подобных сервисов (в частности, упоминался TorGuard). Источником информации стал Твиттер, сообщения оттуда затем были подхвачены СМИ (Techcrunch, Хабр). NordVPN и TorGuard по следам этих ст...