Навигация сервисного робота на поле для гольфа. Построение пути и обход препятствий Какой метод навигации и обхода препятствий оптимален для сервисного робота? Роботы — это программно-механические комплексы, взаимодейсвующие с реальным миром. Для сервисного робота крайне важно понимать свое текущее положение в пространстве, положение цели и умение построить...
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Часть 6 Часть 6. Получение учетных данных (Credential Access) Ссылки на все части: Часть 1. Получение первоначального доступа Часть 2. Выполнение Часть 3. Закрепление Часть 4. Повышение привилегий Часть 5. Обход защиты Заполучив учетные данные злоумышленник получает доступ или даж...
Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 4 Обход защиты (Defense Evasion) Ссылки на все части: Часть 1. Первоначальный доступ к мобильному устройству (Initial Access) Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation) Часть 3. Получение учетных данных (Credential Access) Способы обхода ...
Обход блокировок РКН используя DNSTap и BGP Тема довольно изъезжена, знаю. К примеру, есть отличная статья, но там рассматривается только IP-часть блоклиста. Мы же добавим еще и домены. В связи с тем, что суды и РКН блокируют всё направо и налево, а провайдеры усиленно пытаются не попасть под штрафы, выписанные "Реви...
Выборочный обход блокировок на маршрутизаторах с прошивкой Padavan и Keenetic OS Инструкций с разными вариантами обхода блокировок Интернет-ресурсов опубликовано огромное количество. Но тема не теряет актуальности. Даже всё чаще звучат инициативы на законодательном уровне заблокировать статьи о методах обхода блокировок. И появились слухи, что Роскомнадз...
Magento 2: импорт продуктов прямо в базу В предыдущей статье я описал процесс импорта продуктов в Magento 2 обычным способом — через модели и репозитории. Обычный способ отличается весьма низкой скоростью обработки данных. На моём ноутбуке выходило примерно один продукт в секунду. В данном продолжении я рассматрива...
[Из песочницы] Особенности настройки DPI В данной статье не рассматривается полная настройка DPI и все вместе связанное, а научная ценность текста минимальна. Но в ней описывается простейший способ обхода DPI, который не учли многие компании. Читать дальше →
Аналитики нашли способ обхода закона об иностранном владении «Яндексом» Речь идет о законопроекте депутата Горелкина, ограничивающем долю зарубежного владения в информационно значимых структурах на уровне 20%.
Размер директорий не стоит наших усилий Это совершенно бесполезный, ненужный в практическом применении, но забавный небольшой пост про директории в *nix системых. Пятница же. Читать дальше →
История борьбы с цензурой: как работает созданный учеными из MIT и Стенфорда метод flash proxy В начале 2010-х годов объединенная группа специалистов из Стенфордского университета, Массачусетского университета, The Tor Project и SRI International представила результаты своего исследования способов борьбы с цензурой в интернете. Ученые проанализировали существовавш...
Информационная безопасность ЦОД О том, какие меры принимаются для обеспечения информационной безопасности (ИБ), вы читали не один раз. Любой уважающий себя айтишник с лёгкостью назовёт 5-10 правил ИБ. Cloud4Y же предлагает поговорить про информационную безопасность дата-центров. Читать дальше →
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ? Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разра...
Опасные 3rd-party драйверы в вашей системе или LOLDrivers А вы знали, что вполне легитимный драйвер может дать злоумышленнику возможность прописаться в вашей системе надолго, оставаясь внутри даже после ее переустановки? Или превратить ваш компьютер в кирпич? Например, некоторые безобидные на вид доверенные (подписанные) драйверы ...
Работа с API КОМПАС-3D → Урок 14 → Многострочный текст На предыдущем уроке мы рассмотрели, как выводить многострочный текст с помощью параграфа. Описанный способ требует ручного обхода массива выводимых строк. На данном уроке мы рассмотрим альтернативный способ, лишенный этого недостатка. В его основе лежит интерфейс ksTextParam...
[Перевод] Обзор: шесть способов использования резидентных прокси для решения корпоративных задач Маскирование IP-адреса может требоваться для разных задач – от доступа к заблокированному контенту до обхода антибот-систем поисковиков и других онлайн-ресурсов. Я нашел интересный пост о том, как эту технологию можно применять для решения корпоративных задач, и подготовил...
Тысячи порно и гемблинг приложений используют корпоративные сертификаты для обхода App Store После разборок с Facebook и Google по поводу неправильного использования enterprise-сертификатов для распространения приложений в обход App Store, TechCrunch сообщил о десятках азартных игр и порнографических приложений, использующих туже схему для обхода стандартных ограни...
Учёного арестовали за доклад по обходу американских санкций с помощью криптовалюты В американском аэропорту задержали исследователя криптовалют Вирджила Гриффита (Virgil Griffith). Его обвиняют в нарушении международного закона из-за доклада про обход санкций США с помощью криптовалюты Ethereum.
Spotify начнет удалять аккаунты, которые были уличены в использовании блокировщиков рекламы Музыкальный сервис Spotify обновил лицензионное соглашение и добавил новое правило о рекламе, согласно которому обход или блокировка рекламы в приложении могут привести к приостановке или удалению учетной записи пользователя. Нововведение вступает в силу с 1 марта. Отметим, ...
Хакеры взломали аккаунт создателя Twitter Джека Дорси Вашу учетную запись в любой социальной сети могут взломать, даже если вы является создателем этой социальной сети. Это утверждение в конце недели подтвердили хакеры, которые взломали учетную запись создателя социальной сети Twitter и исполнительного директора одноименно...
Как устроены блокировки в интернете: обзор современных методов на реальном примере Группа индийских ученых опубликовала обзор современных методов интернет-блокировок, вводимых государственными органами, на примере собственной страны. Они изучили механизмы, которые применяют интернет-провайдеры для ограничения доступа к запрещенной информации, оценили их ...
Проект Collage: как бороться с интернет-цензурой с помощью пользовательского контента Группа ученых из технологического университета штата Джорджия опубликовала концепцию нового инструмента обхода блокировок. Проект получил название Collage, и его концепция предполагает использование так называемого user-generated content. Мы представляем вашему вниманию ос...
[Из песочницы] Обход дерева в несколько потоков Всем привет, хочу поделиться с общественностью некоторым объемом информации, который как мне показалось трудно найти в интернете. Что такое дерево, смотрим Википедию. Рис.1 Пример дерева. Читать дальше →
Очередной обход авторизации в публичных Wi-Fi сетях На эту тему уже было несколько статей — Как обойти SMS-идентификацию при подключении к публичным Wi-Fi сетям? и И еще раз: не пользуйтесь публичным WiFi, но появляются новые методы авторизации, поэтому пришло время поговорить об этом еще раз. Недавно в московском кафе я натк...
[Перевод] Что необходимо сделать, чтобы вашу учетную запись Google не украли Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования. Прав...
Защищаем резервные копии iPhone Сегодня я хочу рассказать об малоизвестных особенностях iOS, связанных с защитой резервных копий, обходом этой защиты (рекурсия) и защитой от обхода защиты (двойная рекурсия). Вишенкой на торте будет короткая инструкция, позволяющая обойти защиту от обхода защиты резервных к...
Видеоурок Теплицы: приложение для обхода блокировок Lantern Продолжая тему безопасности в сети, сегодня об очередном инструменте, позволяющем обходить блокировки – приложении Lantern. На сайте приложения написано, что Lantern быстрее, чем VPN. И это действительно так, поскольку Lantern – это не VPN, а прокси-сервис. Как именно работа...
[Из песочницы] Использование локальной директории с пакетами в Python уже сейчас В Python 3.8 предлагается добавить альтернативу виртуальным окружениям — локальную директорию с пакетами PEP 582 Python local packages directory. Данный PEP предлагает добавить в Python механизм автоматического обнаружения директории __pypackages__ и использовать её при имп...
Эксперт обошел защиту Microsoft Kernel Patch Protection Исследователь представил PoC-эксплоит для обхода защитной функции Microsoft Kernel Patch Protection (KPP), более известной под названием PatchGuard.
Как обойти проверку учетной записи Google на устройствах Android Большинство устройств Android привязаны к учетной записи Google для активации и использования. В попытке сделать гаджеты более безопасными, если ваше устройство потеряно или украдено, Google реализовали функцию под названием Factory Reset Protection (FRP). Хотя это, вне сом...
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Часть 7 Часть 7. Обнаружение (Discovery) Ссылки на все части: Часть 1. Получение первоначального доступа (Initial Access) Часть 2. Выполнение (Execution) Часть 3. Закрепление (Persistence) Часть 4. Повышение привилегий (Privilege Escalation) Часть 5. Обход защиты (Defense Evasion) ...
Защищенный браузер Tor для Android вышел из бета-версии Отличный способ обхода блокировок, а также инструмент в арсенале пользователей, которые опасаются слежки.
Простейший способ взломать аккаунт «ВКонтакте» в обход двухфакторной аутентификации Пользователь Habr с ником php_freelancer рассказал, как ему удалось взломать аккаунт в соцсети «ВКонтакте», обойдя защиту двухфакторной аутентификацией.
[Перевод] Незаметная выдача прав администратора Всех с пятницей, друзья. Сегодня делимся с вами еще одним материалом, переведенным в преддверии запуска курса «Реверс-инжиниринг». У меня была классная идея, как заставить пользователя запустить ваше приложение без социальной инженерии или применения сторонних эксплойтов...
Новый уровень безопасности МФУ: imageRUNNER ADVANCE III С увеличением встроенных функций офисные МФУ давно вышли за рамки тривиального сканирования/печати. Сейчас они превратились в полноценные самостоятельные устройства, интегрированные в высокотехнологичные локальные и глобальные сети, связывающие пользователей и организации ...
[Перевод] Слежка на экзаменах: программа ExamCookie Мне стало известно, что датское правительство не просто приостановило действие программы Digital Exam Monitor, которую мы проанализировали и полностью обошли в предыдущей статье, а, возможно, полностью закрыло эту систему через неделю после того, как мы сообщили им способ вз...
Опубликован список из 25 самых опасных уязвимостей ПО Изображение: Unsplash Американская организация MITRE опубликовала список из 25 самых опасных уязвимостей программного обеспечения. Исследователи составили таблицу наиболее опасных и распространенных проблем безопасности, с указанием идентификаторов CWE (Common Weakness En...
Транспилятор PAS2JS из Паскаля в JavaScript: несовместимости с Delphi и пути обхода В наше время в кармане обычного человека лежит мощный персональный компьютер, о котором 10-20 лет назад можно было только мечтать. И если у вас километры отлаженного Windows-кода и отлично работающие приложения и утилиты, написанные на Delphi, вы наверняка хотели бы задейств...
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 10 Эксфильтрация или утечка данных (Exfiltration) Ссылки на все части: Часть 1. Получение первоначального доступа (Initial Access) Часть 2. Выполнение (Execution) Часть 3. Закрепление (Persistence) Часть 4. Повышение привилегий (Privilege Escalation) Часть 5. Обход защиты (Defe...
Обнародован новый способ обхода Gatekeeper Специалист итальянской компании Segment обнаружил, что защитное решение Gatekeeper в macOS 10.14.5 (Mojave) и ниже можно обмануть при помощи автомонтирования и символических ссылок.
Adobe исправила RCE-уязвимость в ColdFusion Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода, а также обход механизмов контроля доступа. Оставшийся недостаток оценен как важный и связан с возм...
С 5 мая вводится обязательная идентификация в мессенджерах по номеру телефона 30 июля 2017 года президент подписал законопроект о внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». Таким образом, в юридическое поле было введено понятие мессенджера — «организатора обмена мгновенными сообщениями», а...
Атаки и безопасность современных Windows систем В данной статье будут представлены видеозаписи методов атак и защиты современных Windows систем: различные вектора и способы перехвата учетных записей, атаки контроллера домена, использование IPv6 и многое другое. Читать дальше →
В Instagram обнаружена уязвимость, позволяющая взламывать чужие аккаунты Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) обнаружил уязвимость в сервисе Instagram, позволяющую перехватить контроль над чужой учетной записью. Мутия выяснил, что один и тот же идентификатор устройства (уникальный идентификатор, применяемый сервера...
Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 5 Обзор (Discovery) и Боковое перемещение (Lateral Movement) Ссылки на все части: Часть 1. Первоначальный доступ к мобильному устройству (Initial Access) Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation) Часть 3. Получение учетных данных (Creden...
В России официально разрешили обход блокировок Telegram Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разъяснила ситуацию с блокировкой мессенджера Telegram в России. Заместитель главы Роскомнадзор Алексей Волин сделал неожиданное заявление, в котором он отмети...
Конференция «Информационная безопасность. Угрозы настоящего и будущего» 6 декабря, с 09:30 до 17:15 Офис Microsoft, БЦ «Крылатские холмы» Москва, ул. Крылатские холмы, 17 корпус 1 Приглашаем вас посетить мероприятие с экспертом по информационной безопасности мирового класса Паулой Янушкевич: «Информационная безопасность. Угрозы настоящего и ...
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 11 Командование и управление (Command and Control) Ссылки на все части: Часть 1. Получение первоначального доступа (Initial Access) Часть 2. Выполнение (Execution) Часть 3. Закрепление (Persistence) Часть 4. Повышение привилегий (Privilege Escalation) Часть 5. Обход защиты (Def...
Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence Изображение: Knownsec 404 Team Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить во...
Аккаунт [email protected] обнаружен в тысячах баз данных MongoDB Голландский исследователь безопасности Victor Gevers заявил, что он обнаружил руку Кремля административную учетную запись [email protected] в более чем 2000 открытых базах данных MongoDB, принадлежащих российским и даже украинским организациям. Читать дальше →
[Перевод] Подмена поисковой выдачи Google Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи. Несмотря на простоту уязвимости, последствия от ее применения могут быть...
Назван способ обхода регистрации в Wi-Fi через номер телефона Один из пользователей ресурса habr.com наткнулся на новый способ авторизации в общественной Wi-Fi сети. В этом он увидел своеобразный вызов и решил проверить, каким образом можно обойти эту авторизацию. Спойлер: у него получилось.
Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...
Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...
[Перевод] Выпущен GitLab 11.9 с функцией обнаружения секретов и несколькими правилами разрешения мердж-реквестов Быстрое обнаружение утечки секретов Казалось бы, небольшая ошибка — случайно передать учетные данные в общий репозиторий. Однако последствия могут быть серьезные. Как только злоумышленник получит ваш пароль или API-ключ, он захватит вашу учетную запись, заблокирует вас и об...
Как сбросить забытый пароль от учетной записи Mac Представьте — вы забыли пароль от своего компьютера Mac, на котором хранятся важные файлы и документы. Согласитесь, довольно неприятная ситуация. Однако решение этой проблемы всё же есть, и для этого нужно всего лишь сбросить установленный пароль. Сразу скажем, что дл...
Microsoft все еще не закрыла лазейку для бесплатного получения Windows 10 Напомним, что уже с 14 января следующего года корпорация Microsoft может остановить поддержку операционной системы Windows 7. Предполагается, что для того, чтобы перейти с Windows 7 на Windows 10 пользователям необходимо отдать 120 долларов, однако существует способ обхода п...
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 9 Сбор данных (Collection) Ссылки на все части: Часть 1. Получение первоначального доступа (Initial Access) Часть 2. Выполнение (Execution) Часть 3. Закрепление (Persistence) Часть 4. Повышение привилегий (Privilege Escalation) Часть 5. Обход защиты (Defense Evasion) Часть 6. ...
[Из песочницы] Использование учетных записей Joomla в проекте на Django Допустим что сайт, которым пользуются ваши пользователи, написан на Joomla, но для создания нового продукта для вашей аудитории вы выбрали связку Python/Django. Как следствие, возникает необходимость использовать в Django учетные записи пользователей из базы данных Joomla. ...
Telegram придумал новый эффективный способ обхода блокировок Разработчики Telegram добавили в код клиента мессенджера возможность маскировки трафика под HTTPS. Скорее всего, для того, чтобы успешнее обходить блокировки в России, Иране, Китае и других странах.
К вопросу о U-Boot Найди всему причину и ты многое поймешь Недавно, просматривая код U-Boot в части реализации SPI, наткнулся на макрос обхода списка доступных устройств, которые после нескольких переходов сбросил меня на макрос container_of. Сам текст макроса наличествовал и я с легким изумле...
Нетипичный «ls» или как развлекаются линуксоиды Однажды в телеграм чат питерского сообщества линуксоидов SPbLUG я кинул забавную задачку: Выведите список файлов в домашней директории максимально возможным количеством способов, без использования ls или его алиасов(1 способ — 1 балл) Такое-же задание, чуть позже, прилетело ...
Инструмент Modlishka может использоваться фишерам для обхода двухфакторной аутентификации Польский ИБ-специалист опубликовал на GitHub свою разработку Modlishka. Инструмент ориентирован на пентестеров, однако злоумышленники могут использовать его для автоматизации фишинговых атак.
Должны ли строки в Python быть итерируемы? И сотворил Гвидо строки по образу C, по образу массивов символов сотворил их. И увидел Гвидо, что это хорошо. Или нет? Представьте, что вы пишете совершенно идиоматичный код по обходу неких данных с вложенностью. Beautiful is better than ugly, simple is better than complex,...
Slack планирует выйти на биржу в обход традиционного механизма IPO Согласно данным The Wall Street Journal, руководство Slack планирует выйти на биржу. При этом, компания склоняется к варианту, при котором не будет задействован традиционный механизм IPO. Акции будут размещены напрямую, а оценка компании составит около $7 млрд. О том, по...
Zimbra Collaboration Suite и контроль за мобильными устройствами с помощью ABQ Стремительное развитие портативной электроники и, в частности, смартфонов и планшетов, создало массу новых вызовов для корпоративной информационной безопасности. И действительно, если раньше вся кибербезопасность строилась на создании защищенного периметра и его последующей ...
Эксперты обнаружили новую уязвимость в Safari на Mac Очередная уязвимость была найдена в последней версии macOS Mojave. Брешь в операционной системе обнаружил специалист по безопасности Джефф Джонсон. По словам исследователя, проблема кроется в фирменном браузере Safari, если быть точнее в директории приложения, где хранится ...
[Перевод] Бесстрашная защита. Безопасность потоков в Rust Это вторая часть цикла статей «Бесстрашная защита». В первой мы рассказывали про безопасность памяти Современные приложения многопоточны: вместо последовательного выполнения задач программа использует потоки для одновременного выполнения нескольких задач. Все мы ежедневно ...
В ФБР рассказали, к каким кибератакам причастна Северная Корея КНДР использует кибератаки для обхода международных санкций. Такое заявление сделала заместитель помощника директора ФБР по вопросам кибербезопасности, информационных технологий и разведки Тоня Угоретц на конференции от Aspen Institute, сообщает The Korea Herald. В частности...
Биометрическую аутентификацию по рисунку сосудов удалось обмануть с помощью воскового муляжа руки На Chaos Communication Congress показали интересный способ обхода биометрической системы аутентификации. Исследователи рассказывают, что сами удивились тому, насколько просто оказалось обмануть продвинутое решение.
Firefox получил встроенный способ обхода госцензуры Компания Mozilla провела испытания нового протокола шифрованных запросов DNS-over-HTTPS. Ожидается, что данная функция будет внедрена в фирменный браузер Firefox в ближайшее время, что в перспективе позволит обходить любые блокировки, включая применяемую “Роскомнадзором” фил...
[Перевод] Успех социального эксперимента с поддельным эксплойтом для nginx Прим. перев.: Автор оригинальной заметки, опубликованной 1 июня, решил провести эксперимент в среде интересующихся информационной безопасностью. Для этого он подготовил поддельный эксплойт к нераскрытой уязвимости в веб-сервере и разместил его в своём твиттере. Его предполож...
Еще два 0-day бага в Windows обнародованы SandboxEscaper Независимый ИБ-специалист SandboxEscaper продолжает публиковать эксплойты для продуктов Microsoft и заявляет о желании продать свои находки заинтересованным лицам. Вслед за тремя 0-day, выложенными накануне, исследовательница разместила на GitHub информацию об обходе уже про...
Хакеры взломали Twitter-аккаунт создателя этого сервиса Джека Дорси с помощью подмены SIM-карты В пятницу в сервисе микроблогов Twitter была взломана учётная запись Джека Дорси, который является создателем этой платформы. В результате, злоумышленники начали публиковать различные оскорбительные сообщения от имени Дорси, чья база подписчиков насчитывает 4,2 млн пользоват...
[Перевод] Keybase и настоящий TOFU В мессенджерах со сквозным шифрованием (E2E) пользователь отвечает за свои ключи. Когда он теряет их, то вынужден переустанавливать учётную запись. Сброс учётной записи опасен. Вы стираете открытые ключи и во всех разговорах становитесь криптографическим незнакомцем. Вам ну...
Twitter избавится от лентяев Twitter решил отслеживать множество неактивных учетных записей, которые существуют в этой сети. Для этого компания отправила электронное письмо некоторым пользователям, предлагая им вернуться в Twitter до 11 декабря. Мы начали активную работу со многими учетными записям...
Похождения электронной подписи в России Стоит признать, что мы живём в информационном веке и сложно недооценивать значение информационных систем в повседневной жизни. Государства всё больше вмешиваются в некогда гиковскую информационную область и устанавливают правила её регулирования. Одним из институтов государс...
[Из песочницы] Как стать менее доступным для потенциального злоумышленника в Интернете. Личный опыт и наблюдения Вступление Почему важно задуматься о безопасности в Интернете? Небольшой пример, если злоумышленник получит доступ к вашей учетной записи на каком-либо ресурсе, это может привести к ущербам разного вида, как материальным, так и моральным. Вот несколько примеров. Злоумышленн...
Edge передает SmartScreen данные в открытом виде Браузер Edge отправляет фильтру SmartScreen незашифрованные сведения о сайтах, открытых пользователем. Данные передаются по защищенному каналу, но URL при этом не хешируется. По мнению ИБ-специалистов, это может стать причиной раскрытия конфиденциальной информации о работе с...
Хакеры нашли способ обхода Face ID Фирменная технология распознавания лиц Face ID в представлении не нуждается. На презентации iPhone X, представители Apple сделали особый акцент на безопасности и надежности новой биометрической опции. По заверениям компании, сложная система камер TrueDepth позволяет идентиф...
Security Week 06: прямой эфир в Facetime Главным событием прошлой недели стал баг в операционной системе iOS 12 для мобильных устройств Apple. Функцию Group Facetime, позволяющую организовать конференц-связь сразу с несколькими пользователями, можно использовать, чтобы подслушивать происходящее на стороне абонента ...
Эксперты назвали все способы взлома смартфонов на Android Специалисты российской компании ЭлкомСофт опубликовали статью, в котором рассматривается безопасность современного Android.
«Лавочку прикрыли»: обходной путь для установки приложений Google на Huawei Mate 30 больше не работает Плохая новость для владельцев смартфонов Huawei Mate 30: лазейка, которая позволяла пользователям устанавливать Google Play и другие приложения и сервисы Google в обход запрета, была закрыта. Предназначенная для этого утилита LZ Play, как и сайт, где можно было её скачать, б...
Как прокси помогают в продвижении сайтов: реальные сценарии использования, проблемы и решения Ранее в нашем блоге мы уже рассматривали реальные сценарии применения технологии прокси для решения задач информационной безопасности и сбора данных. Но на самом деле ее применения этим не ограничиваются. Прокси очень часто используют маркетинговые и SEO компании для продв...
Информационная безопасность аппаратных решений USB over IP Недавно поделился опытом при поиске решения для организации централизованного доступа к ключам электронной защиты в нашей организации. В комментариях были поднят серьезный вопрос информационной безопасности аппаратных решений USB over IP, который и нас весьма беспокоит. Ита...
Фальшивые Android-приложения крадут пароли для обхода 2FA ИБ-эксперт Лукас Стефанко (Lukas Stefanko) обнаружил фишинговые Android-приложения, способные также перехватывать одноразовые пароли, высылаемые пользователю в соответствии с процедурой двухфакторной аутентификации (2FA). Разработчики вредоносного ПО нашли способ обойти огра...
Баг в WhatsApp для iOS позволяет обойти защиту Touch ID и Face ID Система биометрической защиты мессенджера WhatsApp для iOS содержит уязвимость, которая позволяет обойти ее любому желающему и получить доступ к переписке. Об этом сообщил пользователь Reddit с ником de_X_ter. По его словам, баг работает вне зависимости от выбранного способ...
«ВКонтакте» выпустил мессенджер для ПК, очень похожий на Telegram «ВКонтакте» завершил бета-тестирование десктопного мессенджера, который позволяет общаться с пользователями «ВК», не заходя на сайт. Несмотря на длительное сотрудничество с силовыми структурами, компания Mail.ru упоминает «защищённые голосовые и видеозвонки через мессендже...
Android: извлекаем данные с зашифрованной SD-карты и получаем доступ к скрытым методам Для подписчиковСегодня в выпуске: обзор систем безопасности Android, объяснение атак типа Cloak & Dagger, гайд по извлечению данных с зашифрованной карты памяти, обход ограничений на загрузку нативных библиотек и доступ к скрытым Java-методам, уязвимость в Android Downl...
Соцсети учат обходу блокировки Telegram Источник
Инфлюенсер-маркетинг Саудовской Аравии, PR-тренды 2020 и наиболее выгодные форматы digital-рекламы И еще немного о согласованности ценностей бренда с маркетингом и технологиях. Коммуникационные тренды: взгляд из-за рубежа, 23.10.2019 Саудовская Аравия обратилась к инфлюенсерам для формирования имиджа страны Поскольку в Йемене продолжается война и разногласия вокруг ...
Обновление Windows 10 October 2018 Update снова принесло проблемы Операционные системы Windows, в том числе Windows 10, поставляются со встроенной учётной записью администратора, которая по умолчанию отключена. Это сделано в целях безопасности. После установки системы встроенную учётную запись можно включить (хотя без крайней необ...
[Перевод] Обход подводных камней Angular и экономия времени С помощью Angular можно сделать всё что угодно. Или почти всё. Но иногда это коварное «почти» приводит к тому, что разработчик губит время, создавая обходные решения, или пытаясь понять, почему что-то происходит, или почему что-то не работает так, как ожидается. Автор ста...
Как менялась информационная безопасность за последние 20 лет Изображение: Unsplash Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров делится своим взглядом на историю развития отрасли информационной безопасности на протяжении последних 20 лет. Если взглянуть на программу любой современной конференции по ...
Golang: специфические вопросы производительности Язык Go набирает популярность. Настолько уверенно, что появляется все больше конференций, например, GolangConf, а язык входит в десятку самых высокооплачиваемых технологий. Поэтому уже имеет смысл разговаривать о его специфических проблемах, например, производительности. Кро...
Исследование: создание устойчивого к блокировкам прокси-сервиса с помощью теории игр Несколько лет назад международная группа ученых из университетов Массачусетса, штата Пенсильвания и немецкого Мюнхена провела исследование эффективности традиционных прокси в качестве инструмента борьбы с цензурой. В результате ученые предложили новый метод обхода блокиров...
Пользователям WinRAR угрожает 19-летняя уязвимость Уязвимость в WinRAR обнаружили исследователи компании Check Point. Брешь в сторонней библиотеке unacev2.dll затрагивает все версии программы и дает возможность провести атаку методом обхода каталога (Path Traversal). Как выяснилось, брешь крылась в архиваторе на протяжении 1...
Мессенджер Telegram получит новые функции Telegram с каждым днём становится лучше По мнению многих пользователей, Telegram — это самый лучший мессенджер на рынке. В нём прекрасно всё — начиная от интуитивного интерфейса заканчивая скоростью работы и высокой конфиденциальностью данных. И конечно, разработ...
Масштабная утечка пользовательских данных Facebook и Twitter Как стало известно, злоумышленники использовали бреши в системе безопасности операционной системы Android для доступа к пользовательским данным социальных сетей Facebook и Twitter. Twitter сообщает, что информация о миллионах аккаунтов была получена при помощи мошенниче...
Хакеры взломали камеру Android-смартфонов в обход системы безопасности Глава отдела безопасности компании Checkmarx Эрез Ялон рассказал о найденной им уязвимости в системе безопасности Android. Благодаря ей любое приложение могло управлять родным приложением “Камера” в смартфонах Google и Samsung, не имея необходимых на то разрешений со стороны...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 22: «Информационная безопасность MIT», часть 3 Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, ко...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 22: «Информационная безопасность MIT», часть 2 Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, ко...
Эпоха кибербанка: ЦБ усилит контроль за IT-безопасностью кредитных организаций Банк России усиливает контроль за устойчивостью кредитных организаций к кибератакам. Как рассказал «Известиям» замглавы департамента информационной безопасности регулятора Артем Сычев, ЦБ совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) ра...
[Из песочницы] Разбор критической ошибки в алгоритме работы шифрования КИБ SEARCHINFORM Контроль всей информации циркулирующей в организации является одной из главных задач при практической реализации организационно-распорядительных документов (политика информационной безопасности и иные внутренние документы нижних уровней) организации. Системы предотвращения у...
Тренды информационной безопасности в облаках от M1Cloud на 2019 год Эксперты M1Cloud (Stack Group) рассказали о возможных киберугрозах и трендах по защите информации при размещении информационных систем в облачных …
Telegram придумал новый способ обхода блокировок Разработчики популярного мессенджера Telegram придумали новый способ борьбы с блокировками, позволяя пользователям эффективно обходить существующие ограничения за счет маскировки существующего трафика под защищенный протокол https. Информацию об этом разместил один из пользо...
Уязвимость Bluetooth позволяет узнать местоположение любого iPhone Исследователи из Бостонского университета Дэвид Старобински и Йоханнес Беккер узнали о новой уязвимости Bluetooth в Windows 10, iOS и macOS. В опубликованном материале под названием Tracking Anonymized Bluetooth Devices (Отслеживание анонимизированных Bluetooth-...
Чтоб Роскомнадзор не пришёл ВНЕЗАПНО Снова законодатели совершенствуют нам жизнь! Портал правовой информации опубликовал Постановление Правительства Российской Федерации от 13.02.2019 № 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных"....
[Перевод] Конференция DEFCON 19. Anonymous и мы. Часть 2 Конференция DEFCON 19. Anonymous и мы. Часть 1 Джошуа Корман: вы знаете, я не сторонник самосуда, но я не думаю, что подобный подход должен исчезнуть. Это важный вопрос. Если мы думаем, что наша отрасль дисфункциональна и не уверены, что будем услышаны, тогда давайте примен...
Найден новый способ установить Google Play на флагманский Huawei Mate 30 Pro Из-за санкций со стороны властей США, компании Huawei лишилась возможности официально устанавливать сервисы и приложения Google на свои новые смартфоны, в том числе, флагманские Huawei Mate 30. Тем не менее, пользователи изыскивают способы самостоятельно установи...
Из базы данных стримингового сервиса Kanopy утекло до 40 млн лог-записей о просматриваемых пользователями фильмах Бесплатный видеостриминговый сервис Kanopy допустил масштабную утечку данных своих пользователей. Ошибка конфигурации базы данных веб-логов открывала публичный доступ к ее содержимому без аутентификации. Утечку обнаружил исследователь информационной безопасности Джастин Пе...
Qualcomm поставляет чипсеты Huawei в обход санкций Процессоры Qualcomm используются в недорогих смартфонах Huawei
Micron Technology возобновляет поставки чипов для Huawei в обход санкций США Отказ от сотрудничества обернется потерей прибыли.
Важный твит про продление жизни Менее чем за неделю один твит Дэвида Синклера собрал 1 500 ретвитов, 5 200 лайков, что для его твиттера довольно много. Кто такой Дэвид Синклер? Это сейчас самый хайповый чувак в продлении жизни, профессор Гарварда, автор более 50 публикаций, опубликованных в рецензируемых ж...
Транзакции в глобалах InterSystems IRIS СУБД InterSystems IRIS поддерживает любопытные структуры для хранения данных — глобалы. По сути это многоуровневые ключи с различными дополнительными плюшками в виде транзакций, быстрых функций для обхода деревьев данных, блокировок и своего языка ObjectScript. Подробнее о ...
GitHub полностью удалил репозиторий утилиты для обхода блокировок 10 апреля 2019 года GitHub без объявления войны удалил репозиторий популярной утилиты GoodByeDPI, предназначенной для обхода государственных блокировок (цензуры) сайтов в Интернете. Что такое DPI, как связан с блокировками и зачем с ним бороться (по версии автора): Прова...
[Перевод] Путь к проверке типов 4 миллионов строк Python-кода. Часть 2 Сегодня публикуем вторую часть перевода материала о том, как в Dropbox организовывали контроль типов нескольких миллионов строк Python-кода. → Читать первую часть Читать дальше →
I see you: тактика обхода маскировки добычи у летучих мышей В мире дикой природы охотники и добыча постоянно играют в догонялки, как буквально, так и фигурально. Стоит охотнику развить новые навыки путем эволюции либо другими методами, как добыча подстраивается под них, дабы не быть съеденной. Это бесконечная игра в покер с постоян...
[Из песочницы] Хакнуть Госуслуги – можно, если очень нужно Всем привет, дорогие хабравчане! Это небольшая история – пример применения технических навыков в обход системы в своих целях. Модератор: Внимание! Данный текст является описанием возможности в экспериментатаорских целях. Напоминаем, что повтор подобных действий может приве...
В Twitter передумали удалять умерших пользователей Команда Twitter объявила о приостановке удаления неактивных учётных записей из социальной сети после многочисленных жалоб пользователей. Служба поддержки сообщила следующее через официальную страничку: Мы услышали ваше мнение о последствиях такого ...
Новые требования к производству СЗИ Весной этого года Федеральная служба по техническому и экспортному контролю России опубликовала официальное сообщение о новых требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безоп...
Микророботы Tribots используют коллективный разум для решения сложных задач Инженеры EPFL спроектировали «ройных» роботов Tribots, которые могут объединять свои усилия для решения общих масштабных задач. Разработчики вдохновлялись организацией совместного труда у муравьев, где каждая рабочая особь может брать на себя функции разведчика, грузчика, пр...
Троян DanaBot обзавелся вымогательским модулем Быстро развивающийся троян DanaBot получил дополнительную функциональность. В очередную версию зловреда в одной из европейских кампаний входит модуль-вымогатель NonRansomware. В начале мая ИБ-исследователи зафиксировали первые случаи применения этого модуля. NonRansomware ко...
[Перевод] Новый алгоритм поиска пути в Factorio На прошлой неделе мы говорили в своём блоге об изменениях, которые позволят врагам (biters) не наталкиваться друг на друга, но это было не единственное обновление, связанное с biter-ами. Совпало так, что в обновления этой недели вошло то, над чем мы работали предыдущие неск...
[Перевод] Пошаговое руководство по настройке DNS-сервера BIND в chroot среде для Red Hat (RHEL / CentOS) 7 Перевод статьи подготовлен для студентов курса «Безопасность Linux». Интересно развиваться в данном направлении? Смотрите запись трансляции мастер-класса Ивана Пискунова «Безопасность в Linux в сравнении с Windows и MacOS» В этой статье я расскажу о шагах по настройке DNS-с...
Пишем краулер на раз-два 1.0 Веб-краулер (или веб-паук) — это важная составная часть поисковых систем для обхода веб-страниц с целью занесения информации о них в базы данных, в основном, для их дальнейшей индексации. Такая штука есть у поисковиков (Google, Yandex, Bing), а также у SEO-продуктов (SEMrush...
Видео для: дрон DJI Mavic Mini В сети появился видеролик, в котором показан миниатюрный складной квадрокоптер. Судя по сходству с ранее опубликованными фотографиями, это модель DJI Mavic Mini. Логотип китайского производителя хорошо виден на первых секундах записи. Дрон демонстрируется в сложенн...
Web scraping на R, часть 2. Ускорение процесса с помощью параллельных вычислений и использование пакета Rcrawler В прошлой статье я с помощью скрэпинга-парсинга собрал с сайтов IMDB и Кинопоиск оценки фильмов и сравнил их. Репозиторий на Github. Код неплохо справился со своей задачей, однако скрэпинг часто используют для "соскабливания" не пары-тройки страниц, а пары-тройки тысяч и д...
Методы обхода биометрической защиты Месяц назад журналист издания Forbes наглядно продемонстрировал (не)надёжность биометрической защиты в устройствах потребительского класса. Для теста он заказал гипсовую 3D-копию своей головы, после чего попытался с помощью этой модели разблокировать смартфоны пяти моделей: ...
YouTube по просьбе Роскомнадзора потребовал от «Лайфхакера» удалить видео об обходе блокировок сайтов Издание уже убрало ролик с канала.
Eset обнаружила в Google Play приложения для обхода двухфакторной аутентификации Поддельные приложения были замаскированы под легальную криптовалютную биржу BtcTurk.
Цифровая химия: пять технологий, которые меняют тяжёлую промышленность Предиктивная аналитика, дополненная реальность, техническое зрение, мобильные обходы и электронные наряды-допуски.
Баг в iOS 13: как увидеть все контакты в обход блокировки В iOS 13 обнаружена уязвимость, которая позволяет получить несанкционированный доступ к телефонному списку контактов.
Учётная запись Microsoft может быть удалена через два года простоя Компания Microsoft обновила политику активности учётной записи. Ранее компания деактивировала учётную запись пользователя после периода неактивности, равного 5 годам. Теперь этот период сокращён до двух лет.
Zerodium заплатит 2 миллиона долларов за взлом iOS Компания Zerodium, специализирующаяся на безопасности и поиске уязвимостей, объявила о готовности выплатить порядка 2 миллиона долларов за взлом операционной системы iOS 12. Причём речь идёт не о простом обходе пароля. Фирма готова расстаться с внушительной суммой лишь в то...
Автонавигация в MAPS.ME начала учитывать типы дорог Картографический сервис MAPS.ME добавил возможность построения маршрутов с учетом типов дорог. Новая функция позволяет автомобилисту увидеть на маршруте платные участки, магистрали, грунтовые дороги и паромные переправы: такие отрезки пути будут помечены соответствующими зна...
Режим «инкогнито» в браузере — это фикция? 30 июля компания Google выпустила Chrome 76 с улучшенным режимом инкогнито. Теперь браузер обходит «пейволы», которые ставят читателям лимит на «несколько статей в месяц», а потом требуют подписку или регистрацию. Например, The New York Times позволяет читать десять статей ...
Стандарты ИИ будут разрабатывать по стандарту Фонд "Сколково" проведет конкурс на разработку трех предварительных национальных стандартов (ПНСТ): "Информационные технологии. Искусственный интеллект. Дорожная карта стандартов", ПНСТ "Кибер-физические системы. Доверенная среда. Общие положения и т...
Как скачать из App Store приложение весом более 150 МБ по сотовой сети Для обхода ограничения Apple понадобится лишь изменить настройки даты.
[Перевод] Выход за пределы pod'а в Kubernetes через монтирование логов Прим. перев.: Эта заметка была написана исследователем ИТ-безопасности из компании Aqua Security, специализирующейся на DevSecOps. Она является прекрасной иллюстрацией тех тонкостей в конфигурации Kubernetes, что важно всегда держать в голове, обслуживая кластеры в productio...
DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из области практической информационной безопасности не уделяли ей должного внимания в...
Фишеры используют фальшивый шрифт для обхода ИБ-фильтров Необычный способ маскировки фишинговой страницы обнаружили специалисты компании Proofpoint. Как выяснили эксперты, злоумышленники используют комплект фальшивых шрифтов, чтобы выводить текст на экран пользователя. При этом системы безопасности, анализирующие код открытого сай...
Минсельхоз построит систему информационной безопасности за 200 млн рублей СОИБ предназначена для обеспечения безопасности информации, не составляющей государственную тайну, обрабатываемой, передаваемой и хранящейся в информационных системах Минсельхоза.Информационные системы министерства включают в себя решения, автоматизирующие ключевые бизнес-пр...
Опубликован текст предстоящего выступления CEO Calibra Дэвида Маркуса в Конгрессе США CEO Calibra Дэвид Маркус опубликовал письменную версию своих грядущих выступлений в Конгрессе США. В ней он подчеркнул, что деятельность консорциума Libra Association будет регулироваться Швейцарской службой по надзору за финансовыми рынками (FINMA), а запуск проекта Libra н...
Режим ограничения доступа к аксессуарам в устройствах iOS и как его обходят Сегодня я расскажу об одном интересном с технической точки зрения решении Apple, посредством которого компания попыталась защитить свои устройства от перебора паролей – и о том, что из этого получилось в результате. Для начала отвечу на вопрос, для чего вообще нужен режим ог...
WSJ: Slack планирует выйти на биржу в обход традиционного IPO По словам источников, компания рассчитывает разместить акции напрямую, сохранив оценку на уровне $7 млрд.
Вирус TrickBot похитил 250 миллионов учетных записей электронной почты Вредоносное ПО вызывает опасение у исследователей компьютерной безопасности своим массовым распространением.
В MERLION доступны лицензии Avast и AVG для дома и бизнеса Лицензии защищают от вредоносных программ, обеспечивают безопасность учетных записей в Интернете и конфиденциальность подключения. В MERLION доступны к заказу лицензии Avast и AVG для дома и корпоративные решения для бизнеса. Лицензии защищают от ...
Не надо экономить на цифровой безопасности Чуть ли не каждый день мы слышим о новых хакерских атаках и обнаруженных уязвимостях в популярных системах. А уж сколько всего сказано про то, что кибератаки оказали сильнейшее влияние на результаты выборов! Причём не только в России. Кажется очевидной необходимость принят...
[Из песочницы] VPN на роутере Билайн для обхода блокировок Билайн активно вводит в своих домашних сетях технологию IPoE. Данный подход позволяет авторизовать клиента по MAC-адресу его оборудования без применения VPN. При переводе сети на IPoE VPN-клиент роутера становится незадействованным и продолжает настойчиво стучаться в отключе...
Как управлять учетной записью Apple ID в «Системных настройках» на Mac Благодаря macOS Catalina, Apple представила новый простой способ доступа и управления информацией в учетной записи Apple ID. Вы можете изменить свое имя, телефон и адрес электронной почты, проверить платежные реквизиты и данные о доставке, а также позаботиться о своих устрой...
Security Week 33: интересное с Black Hat / DEF CON 2019 На прошлой неделе в Лас-Вегасе прошла очередная двойная конференция Black Hat / DEF CON. Если первое мероприятие плавно движется в сторону делового междусобойчика, второе по-прежнему остается лучшей конференцией для хакеров (преимущественно в хорошем смысле этого слова), для...
Атака Spearphone помогает подслушивать пользователей Android без их ведома ИБ-специалисты разработали новую side-channel атаку, которая позволяет подслушивать пользователей, в обход системы разрешений Android, злоупотребляя акселерометром устройства.
В Сингапуре вступил в силу закон о наказании за ложь в интернете В соответствии с законопроектом о защите от ложных действий и манипуляций в Интернете запрещено распространять "ложные сведения" в обстоятельствах, при которых эта информация считается "наносящей ущерб безопасности Сингапура, общественной безопасности, обществ...
ООН: Северная Корея отмывала деньги через блокчейн-компанию в Гонконге Северная Корея отмывала украденные биткоины и фиатные валюты через созданную в Гонконге компанию. Об этом сообщает Chosun со ссылкой на ежеквартальный отчет Комитета по санкциям Совета Безопасности ООН. Для обхода международных санкций страна зарегистрировала в Гонконге тран...
В Google Chrome появилась система защиты от опасных загрузок В рамках программы Advanced Protection разработчики Google реализуют надёжную систему защиты учётных записей пользователей, подверженных целевым атакам. Данная программа непрерывно развивается, предлагая пользователям новые инструменты, позволяющие защитить учётные записи Go...
Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...
[Перевод] Основы движков JavaScript: общие формы и Inline кэширование. Часть 2 Всем привет! Курс «Безопасность информационных систем» стартует уже через 2 недели, поэтому сегодня мы хотим опубликовать вторую часть статьи, публикация которой приурочена к его запуску. Прочитать первую часть можно тут. Итак, начнем. Inline Caches (ICs) Основной идеей, к...
Google избавит пользователей Android от необходимости вводить пароли от учётной записи Google в своём блоге сообщила, что Android-пользователи в ближайшее время смогут получать доступ к своим учётным записям в некоторых сервисах по отпечатку пальцев. Ввод пароля уходит в прошлое. Для владельцев смартфонов Pixel эта опция уже доступна.
Будни дата-центра: неочевидные мелочи за 7 лет эксплуатации. И продолжение про крысу Сразу скажу: та крыса в привезённом сервере, которую мы пару лет назад отпоили чаем после удара током, скорее всего, сбежала. Потому что мы увидели как-то на обходе её подругу. И сразу решили поставить ультразвуковые отпугиватели. Теперь вокруг дата-центра проклятая земл...
Файлы VHD и VHDX помогают обманывать антивирусы, а также защиту Gmail и Chrome Образы дисков VHD и VHDX могут использоваться для обхода защитных решений и доставки малвари на целевую машину.
[Из песочницы] Про геймификацию. Что это, зачем и как это делать? Взгляд разработчика Меня зовут Илья Ануфриев. Сейчас я Директор по развитию в «Grimwood team». Будучи гуманитарием, я очень плотно связал свою жизнь с техническим прогрессом. Свой путь в IT индустрии я начал с информационной безопасности. Со временем от информационной безопасности я решил пере...
Как покупать приложения на iPhone без банковской карты Есть два способа, как купить приложения или игры в App Store без банковской карты. Первый способ — это оплата со счёта мобильного телефона. Зайдите в стандартное приложение «App Store» и нажмите на свою учётную запись в верхнем правом углу. Далее нажмите на с...
ООН: северокорейские хакеры атакуют биткоин-биржи для обхода санкций Согласно докладу Совета безопасности ООН, Северная Корея организовывала атаки на крупные криптобиржи чтобы обзавестись иностранной валютой и таким образом смягчить последствия международных экономических санкций. Об этом сообщает Nikkei Asian Review. Санкции для противодейст...
Microsoft решила ускорить удаление заброшенных учётных записей Компания Microsoft вскоре начнёт удалять заброшенные учётные записи, в которых не было активности в течение двух лет. Об этом сообщается в обновлённом документе в разделе поддержки на сайте компании. Речь идёт, в том числе, и об учётных записях Xbox. Компан...
Эксперимент: Как замаскировать использование Tor для обхода блокировок Цензура в интернете становится все более важной проблемой во всем мире. Это приводит к усилению «гонки вооружений» – государственные органы и частные корпорации в разных странах стремятся блокировать различный контент и борются со средствами обхода таких ограничений, а раз...
[Перевод] Вымирание компьютерных файлов Новомодные технологические сервисы меняют наши интернет-привычки. Я люблю файлы. Мне нравится переименовывать их, перемещать, сортировать, изменять способ отображения в папке, создавать резервные копии, выгружать их в интернет, восстанавливать, копировать и даже дефрагмент...
[Перевод] Предложения относительно уязвимостей и защиты моделей машинного обучения В последнее время эксперты все чаще затрагивают вопрос безопасности моделей машинного обучения и предлагают различные способы защиты. Самое время детально изучить потенциальные уязвимости и средства защиты в контексте популярных традиционных систем моделирования, таких как...
Путь пресейл-инженера, или Стажировка, изменившая жизнь Шел 2014 год, доллар стоил 35 рублей, я заканчивала учебу в вузе. Специальность для девушки я выбрала довольно редкую – информационная безопасность. Приближалась последняя сессия, нужно было готовиться к госэкзаменам. Между парами я подрабатывала лаборантом на кафедре, да ещ...
Apple выпустит «модифицированные» версии iPhone 7 и iPhone 8 для обхода судебного запрета В новых версиях не будут нарушены патенты Qualcomm.
Домен-фронтинг на базе TLS 1.3 Введение Современные корпоративные системы фильтрации контента, от таких именитых производителей как Cisco, BlueCoat, FireEye имеют довольно много общего с более мощными их собратьями — DPI системами, которые усиленно внедряются на национальном уровне. Суть работы и тех и д...
Как из бумажной безопасности сделать практическую, или зачем нам соблюдение 152-ФЗ и PCI DSS в одном облаке Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИ...
Запись видео с автоматическим выкидыванием пауз свободным ПО с велосипедостроением Русскоговорящим разработчикам всегда есть чего рассказать: поделиться каким-то своим уникальным опытом и мнениями. Но в формате видеоблога, из-за высокой сложности при записи, делают это сейчас единицы. Под катом рассказал о своем непростом пути к записи и редактированию ви...
Apple отозвала у Facebook сертификат разработчика из-за VPN-сервиса, следившего за пользователями Facebook распространял сервис-шпион Facebook Research среди пользователей в обход App Store.
Прототипирование в VR: 5 способов проверить гипотезу В преддверии запуска нового курса «Проектирование VR-интерфейсов» мы расспросили авторов курса — специалистов компании Modum Lab Дениса Тамбовцева и Игоря Зюзина о важности прототипирования при создании VR-проектов. Эксперты рассказали, какие VR-технологии применяют в b2c и ...
Обход ограничений WatsApp за 920 рупий Клоны и программные инструменты WhatsApp стоимостью всего 1000 рупий (920 рублей) помогают индийским цифровым маркетологам и политическим активистам обойти антиспамовые ограничения, установленные приложением.
В загруженном 500 млн раз браузере нашли уязвимость Потенциально опасная функция позволяет загружать вредоносный код и скачивать вспомогательные программные модули в обход серверов Google Play.
Google рассказала, как защитить свой аккаунт Защита данных пользователей – дело рук самих пользователей. Примерно так, перефразируя крылатое изречение из «Двенадцати стульев», заявила Сунита Моханти, директор индийского представительства Google. По ее словам, каждый, кому есть хоть какое-то дело до собственн...
Почему после смены Apple ID на iOS запрашивается пароль старой учётной записи Некоторое время назад был вынужден сменить учётную запись Apple ID, перелогинился в настройках iPhone. При появлении обновлений в App Store устройство опять спрашивает пароль от старого Apple ID, что делать? При смене учётной записи Apple ID помимо входа в настройках i...
7 основных причин, почему блокируют приложения в Google Play и AppStore Наверняка, за последнее время доводилось видеть много страшных историй о том, как блокируют приложения в Google Play и AppStore. Все это связано с привлечением большого внимания к информационной безопасности приложений, а точнее, к факту ее отсутствия. Читать дальше →
Обнаружены приложения для обхода двухфакторной аутентификации Поддельные приложения были замаскированы под легальную криптовалютную биржу BtcTurk.После запуска одного из трех приложений (BTCTurk Pro Beta, BtcTurk Pro Beta и BTCTURK PRO) пользователю отправлялся запрос на доступ к уведомлениям, после чего появлялось окно для ввода учетн...
Сломали систему. Сервисы и приложения Google работают на Honor 9X, хотя этот смартфон никогда не сертифицировался Пользователи нашли способ обойти систему сертификации, давным-давно придуманную Google и без которой, по идее, на смартфоне нельзя использовать приложений Google. Пример Honor 9X доказывает: использование Google Mobile Services в обход необходимых разрешений — впо...
[Перевод] Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 2 Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 1 Хорошо то, что мы можем войти в локальную сеть, подделав DNS. А как насчёт социальной инженерии, учитывающей предпочтения и склонности пользователей? Пентестеры ...
Как и зачем мы оптимизировали алгоритм очистки SLAB-кэшей в ядре Linux Рост популярности контейнеров и их использование в совокупности с контрольными группами выявили серьезную проблему масштабируемости, которая приводит к значительному падению производительности на больших машинах. Проблема в том, что время обхода SLAB-кэшей зависит квадратичн...
Microsoft интегрирует Gmail, Google Календарь и Google Drive в Outlook.com Компания Microsoft намерена интегрировать несколько служб Google, в том числе Gmail, Google Календарь и Google Drive, в сервис Outlook.com. О новшестве сообщил пользователь Florian B, заметивший уведомление с предложением добавить учётную запись Google непосредственно в сер...
Twitter приостановил удаление неактивных профилей из-за опасений пользователей по поводу памяти об аккаунтах умерших Сначала сервис хочет найти способ сохранить учётные записи после смерти.
У 48% россиян Telegram работает без VPN и прокси Канал проекта Telegram Analytics представил результаты своего исследования аудитории Telegram. Примерно половина опрошенных пользователей заявила, что не использует никаких методов для обхода блокировки приложения. Оно работает у них «и так».
Проектирование Базы Данных. Лучшие практики В преддверии старта очередного потока по курсу «Базы данных» подготовили небольшой авторский материал с важными советами по конструированию БД. Надеемся данный материал будет полезен для вас. Базы данных повсюду: от простейших блогов и директорий до надежных информационны...
Tinder начал принимать оплату в обход Google Play Match Group стала еще одной компанией, которая решила “миновать” 30% налог магазинов приложений. Tinder оплату подписок Tinder Gold и Tinder Plus стал принимать внутри приложения кредитными картами, в обход Google Play.
Новый macOS-зловред использует незакрытый обход Gatekeeper Обнаружены тестовые образцы вредоносной программы, способной обходить блокировку исполнения стороннего кода, выполняемую macOS-утилитой Gatekeeper. С этой целью зловред, получивший в Intego кодовое имя OSX/Linker, использует уязвимость нулевого дня, которая пока не пропатчен...
[Из песочницы] Обход ReCaptcha в Selenium тестах ReCaptcha (она же всенародно любимая «капча») — одна из самых болезненных вещей, с которой может столкнуться автоматизатор тестирования на своём пути. В Сети гуляют тысячи разнообразных видео, записанных выходцами из солнечной Индии, касательно того, какими танцами с бубном ...
OWASP Russia Meetup — запись выступлений 3 апреля при поддержке компании «Инфосистемы Джет» состоялась очередная встреча российского отделения сообщества OWASP, на которой собрались специалисты по информационной безопасности. Запись выступлений спикеров можно посмотреть в представленном ниже видеоролике. Читать д...
[Из песочницы] Помощь и просьба о ней. Статья про информационную безопасность для рядовых пользователей Я предлагаю вам некоторые шаги по повышению безопасности и приватности в интернет сети (и не только) для рядовых пользователей. Обоснование почему это необходимо – в начале статьи. Для тех кто всё знает и недоумевает почему этот текст находится здесь — просьба прочитать пунк...
Критическая уязвимость MacOS Mojave активно эксплуатируется злоумышленниками Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения. Читать дальше →
Госдума хочет перевести онлайн-трансляцию ТВ на единую платформу Сайтам, которые покажут эфир главных каналов в обход единого поставщика, грозит блокировка
Баг в iOS 13 позволяет обойти экран блокировки и открыть адресную книгу ИБ-специалист обнаружил, что самая свежая версия iOS уязвима перед тем же типом обхода экрана блокировки, что и предыдущие версии.
Разработчики Google пропатчили 39 уязвимостей в Chrome Корпорация Google выпустила обновление для своего браузера. Стабильная версия Chrome 74.0.3729.108 доступна для пользователей Windows, macOS, Linux и Chrome OS. В ней исправлены 39 уязвимостей, 19 из которых обнаружили сторонние исследователи. Независимые исследователи нашли...
[Перевод] Интервью с веб-разработчиком Pornhub Вне зависимости от вашего отношения к порнографии было бы глупо отрицать огромное влияние индустрии сайтов для взрослых на развитие интернета. От расширения возможностей браузеров в плане воспроизведения видео и до показа рекламы через WebSocket в обход блокировщиков — для т...
Привилегированные пользователи - угроза информационной безопасности Такие данные приводит аналитический центр InfoWatch в исследовании инцидентов в области информационной безопасности, повлекших утечки информации по вине привилегированных пользователей из государственных организаций и коммерческих компаний.Причины такого разрыва аналитики...
В СК рассказали о способах идентификации людей в масках по записям с камер (ВИДЕО) "Техническая оснащенность в совокупности с опытом и знанием криминалистов и экспертов Главного управления криминалистики (Криминалистического центра) СК России позволяют нашей криминалистической службе зафиксировать даже те следы преступления, что неосязаемы и не видны челов...
Вебинар «Сотрудник — backdoor: современные приемы социальной инженерии» 30 мая на вебинаре Digital Security «Сотрудник — backdoor: современные приемы социальной инженерии» расскажем, почему информационная безопасность компании завязана не только на устойчивую инфраструктуру и программное обеспечение, но и на абсолютно каждого сотрудника. Чита...
Обойти блокировку Android-смартфона можно звонком по Skype Недавно обнаруженная уязвимость в Skype для Android может быть использована злоумышленниками для обхода экрана блокировки на смартфонах, работающих под управлением Android. Она позволяет просматривать фотографии, контакты и даже запускать браузер, получая доступ к с...
Хакеры два года взламывали DNS-сервера и похищали данные Специалисты FireEye обнаружили масштабную кампанию, нацеленную на кражу учетных данных сотрудников государственных и коммерческих организаций по всему миру. Злоумышленники перехватывали запросы DNS, чтобы анализировать трафик жертвы и собирать логины, пароли и другую информа...
Хакеры могут получить доступ к контактам iPhone SQLite - самые распространенные в мире базы данных. Они доступны в любой операционной системе, персональном компьютере и на мобильном телефоне. Пользователи SQLite - Windows 10, MacOS, iOS, Chrome, Safari, Firefox и Android. Контакты на вашем iPhone, некоторые из сохраненных...
В списке целей ботнета GoldBrute более 1,5 млн хостов Ботнет GoldBrute атакует хосты с открытым RDP-доступом и угрожает более чем 1,5 млн устройств. К такому выводу пришли ИБ-специалисты, которым удалось изучить код вредоносной программы и результаты сканирования потенциально уязвимых портов, а также список логинов и паролей дл...
Зашифрованные GetCrypt файлы можно вернуть без выкупа Bleeping Computer предупреждает о появлении нового Windows-вымогателя, который распространяется через вредоносную рекламу с использованием эксплойтов из набора RIG. К счастью, исследователи уже изучили опасную находку и выпустили бесплатный декриптор. На запуск GetCrypt треб...
Внешняя IT-служба Kaseya распространяла GandCrab Более 1500 организаций пополнили список жертв GandCrab. Злоумышленники атаковали компании через поставщика IT-услуг, напрямую подключенного к инфраструктурам заказчиков. По сообщениям специалистов, один из клиентов заметил признаки вмешательства в понедельник 4 февраля. Прес...
Security Week 13: открытые пароли в Facebook У Facebook проблема с безопасностью пользовательских данных. Опять? Да сколько можно! 19 марта журналист Брайан Кребс сообщил, что компания годами хранила пароли пользователей в открытом виде (новость, статья Кребса, официальное сообщение Facebook). Судя по официальному заяв...
Получение информации и обход двухфакторной аутентификации по картам банка из ТОП-10 (Украина) В прошлом году украинский банк из ТОП-10 пригласил меня протестировать свои системы интернет- и мобильного банкинга на предмет уязвимостей. Первым делом я решил начать с отслеживания запросов мобильного приложения. С помощью Fiddler (Burp или Charles) я начал рассматривать...
Как настроить аккаунт на Android-смартфоне и изменить Google ID Использование смартфона под управлением Android без учетной записи Google сегодня практически не представляется возможным. Однако к Google ID привязаны все сопутствующие сервисы и иногда случается так, что неплохо было бы изменить какие-либо настройки или же вовсе переимено...
Microsoft To-Do для Windows 10 теперь поддерживает работу с несколькими учётными записями Новое обновление приложения Microsoft To-Do для Windows 10 принесло с собой поддержку работы сразу с несколькими учётными записями, что должно облегчить разделение рабочих и личных задач. Сейчас эта функция доступна только участникам программы Windows Insider, но скоро она ...
Эксперт уверен, что Apple специально препятствует распространению антивирусов на macOS Эксперт в области информационной безопасности Патрик Уордл высказал мнение, что Apple сознательно не предоставляет разработчикам данные о вредоносных приложениях на macOS. Таким образом, купертиновцы умышленно препятствуют распространению антивирусов среди владельцев Mac. Чи...
Пользователи не могут войти в почту Google после обновления до macOS 10.14.4 Вчера Apple выпустила macOS 10.14.4 для всех пользователей с такими функциями, как темный режим в Safari, Apple News + и другими. Но как отмечают пользователи, в обновлении также есть одна неприятная ошибка, связанная с аутентификацией учетных записей Gmail через стандартно...
Как добавить новый пользовательский аккаунт на Android Бывает, что смартфон и планшет используют сразу несколько человек, будь то члены семьи или коллеги по работе. В этом случае было бы весьма кстати использовать несколько учетных записей для того, чтобы держать личные данные подальше от посторонних глаз. И Android позволяет в...
Как выбрать VPN-сервис для смартфона или планшета VPN остается популярным средством для обхода блокировок востребованных сетевых ресурсов. Доля мирового интернет–трафика с мобильных устройств за первые 9 месяцев 2019 года достигла 49% от общего объема.
Клавиша уменьшения громкости Android-смартфона теперь может служить ключом безопасности для вашего аккаунта Google Компания Google выпустила обновление системы аутентификации для пользователей операционной системы Android. Теперь смартфоны, на которые установлена операционная система Android 7.0 Nougat и новее можно использовать в качестве физического ключа безопасности для подтверж...
[Из песочницы] Категории вместо директорий, или Семантическая файловая система для Linux Классификация данных сама по себе интересная тема для исследований. Я люблю коллекционировать информацию, кажущуюся нужной, и всегда пытался делать логичные иерархии директорий для своих файлов, и однажды во сне я увидел красивую и удобную программу для назначения тэгов файл...
Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию. Миф...
Книга «Kotlin. Программирование для профессионалов» Привет, Хаброжители! Книга Джоша Скина и Дэвида Гринхола основана на популярном курсе Kotlin Essentials от Big Nerd Ranch. Яркие и полезные примеры, четкие объяснения ключевых концепций и основополагающих API не только знакомят с языком Kotlin, но и учат эффективно использо...
[Из песочницы] Безопасность в AEM – это вопрос платформы или способа внедрения? Автор: Андрей Пинчук | Certified Senior AEM Developer Представьте ситуацию: вы спокойно спите и видите свой третий сон, как вдруг раздается телефонный звонок — недовольный клиент жалуется, что вся система недоступна. Согласитесь, подобные события — дискомфорт для жизни AEM...
Мониторинг безопасности облаков. Часть 2 Итак, я продолжу статью, посвященную мониторингу безопасности облачных провайдеров. В первой части я рассказывал об опыте Cisco в работе с внешними облачными сервисами, а также о наблюдениях Cisco, с которым мы столкнулись при построении или аудите SOCов наших заказчиков. Вз...
[Перевод] Попугай приземлился. Анонс книги «Генеративное глубокое обучение» Здравствуйте, коллеги! С удовольствием сообщаем, что в наших издательских планах на начало будущего года — превосходная новая книга по глубокому обучению «Generative Deep Learning» от Дэвида Фостера Автор, сравнивающий эту работу ни много ни мало с высадкой «Аполлона» на...
Найдена лазейка для бесплатного пользования платными iOS-приложениями Злоумышленники используют так называемые корпоративные сертификаты, которые выдаются компаниям, чтобы создавать приложения для внутреннего использования сотрудниками в обход правил App Store.
Переводим на DoH домашнюю сеть, или еще один щелчок по носу фильтрации После сравнительно недавнего анонса компанией Mozilla запуска поддержки DNS-over-HTTPS (DoH) в продакшн в сети не утихают споры, зло это или благо. По моим ощущениям, позиция "зло" базируется в основном на том, что при этом манипуляция вашими DNS-запросами даже в полезных дл...
Могут ли автотесты заменить человека в поиске уязвимостей: интервью с Александрой Сватиковой Александра Сватикова работает экспертом по информационной безопасности в Одноклассниках. Более 8 лет назад она перешла от разработки на Java к тестированию безопасности приложений. Мы взяли у неё интервью, где обсудили: сложно ли перейти разработчику в аналитику приложений...
Безопасность iOS 13.1 поставлена под сомнение iOS 13.1 повержена хакерами Apple ежегодно совершенствует безопасность своих операционных систем — для этого компания нанимает лучших специалистов в области информационных технологий. iOS 13 не стала исключением из этого правила — разработчики внедрили в ОС новые...
Как смотреть SDDL и не ломать глаза о точки с запятыми Мой путь в ИБ начался с удивительного открытия: «безопасно ≠ зашифровано». Это сейчас такое утверждение выглядит простым и очевидным, а на первом курсе осознание этого факта произвело эффект сравнимый с ментальной атомной бомбой. Информационная безопасность атаковала расши...
Как повысить безопасность в системах идентификации личности и контроля доступа Мы уже писали о том, как с помощью системы видеонаблюдения контролировать периметр и обстановку внутри склада, магазина, автостоянки и других объектов. Но любая система безопасности дает максимальный эффект только в том случае, когда в ней используется одновременно несколь...
Политолог Данилин назвал некоторых кандидатов на выборах в МГД «неизвестными для жителей» Как сообщает информационно-аналитический портал «Политпазл», директор АНО «Центр политического анализа и социальных исследований» Павел Данилин обратился от КПКР к кандидатам на выборах в Мосгордуму. Эксперт призвал выдвиженцев в МГД, не разместивших в сети свою политическую...
Вслед за конкурентом Google Chrome внедрит автоматический обход государственных блокировок На днях нам стало известно, что Mozilla тестирует новый протокол шифрованных запросов DNS-over-HTTPS (DoH) и собирается внедрить его в браузер Firefox. Теперь о включении такой же опции в Chrome сообщила и Google.
На взлом Denuvo в Star Wars Jedi: Fallen Order ушли считанные дни Несмотря на все старания фирмы Denuvo Software Solutions, одноимённой системе DRM-защиты не всегда удаётся защитить игру от пиратства на начальном этапе продаж. В случае Borderlands 3 на обход Denuvo ушло полтора месяца, тогда...
Thrangrycat: критическая уязвимость в прошивке устройств Cisco позволяет хакерам устанавливать на них бэкдоры Исследователи информационной безопасности обнаружили опасную уязвимость в прошивке, которая используется на устройствах Cisco разных типов. Ошибка CVE-2019-1649 или Thrangrycat позволяет злоумышленникам устанавливать на маршрутизаторы, коммутаторы и межсетевые экраны бэкдо...
В Jira Service Desk нашли критические уязвимости и Jira Service Desk Data Center, устранив угрозу раскрытия информации. Злоумышленники могли воспользоваться двумя багами, чтобы получить важные данные о корпоративной инфраструктуре и выполнить сторонний код. Уязвимости CVE-2019-14994 и CVE-2019-15001 позволяли проводить ата...
TSM для ARM-процессоров сертифицирован ФСТЭК России Сертификат соответствия удостоверяет, что TSM является средством доверенной загрузки и соответствует требованиям по безопасности информации.
Обеспечение надежной работы Zextras Team в сложных корпоративных сетях В прошлой статье мы рассказали вам о Zextras Team — решении, которое позволяет добавить в Zimbra Collaboration Suite Open-Source Edition функциональность корпоративных текстовых и видео-чатов, а также возможность проводить видеоконференции с большим числом участников, без не...
[Перевод] Иллюстрированное руководство по OAuth и OpenID Connect Прим. перев.: В этом замечательном материале компании Okta просто и наглядно рассказывается о принципах работы OAuth и OIDC (OpenID Connect). Эти знания будут полезны разработчикам, системным администраторам и даже «обычным пользователям» популярных веб-приложений, которые с...
Провинциальная ИБ – стагнация или развитие? Всем доброго времени суток. Сегодня нам хотелось бы обсудить информационную безопасность в регионах, и рассказать о прошедшем 19-20 июня восьмом ежегодном Форуме «Актуальные вопросы информационной безопасности», который мы традиционно с 2009 года проводим на базе Администр...
Уязвимость Slack позволяла красть данные из списка загрузок Исследователь Дэвид Уэллс (David Wells) из Tenable обнаружил в Slack 3.3.7 уязвимость, которая позволяла получить доступ к скачанным на устройство файлам. Проблема затронула десктопное приложение для Windows. Эксперт сообщил разработчикам о найденном баге, и они уже исправил...
Два популярных почтовых сервиса заблокируют в России Электронная почта – это такая вещь, которой вынуждены пользоваться все пользователи интернета. Она позволяет создавать учетные записи на различных веб-сайтах, поэтому если вдруг пользователь лишится доступа к такой, он фактически утратит контроль и над всеми Сообщение Два п...
В шлюзе ENET IPSec VPN ПО с открытым кодом Libreswan работает на высокопроизводительной аппаратной платформе на FPGA Компания Ethernity Networks, называющая себя «ведущим новатором в области технологий и продуктов сетевой обработки», представила шлюз VPN, позволяющий объединять несколько туннелей VPN. Программируемый шлюз ENET IPSec VPN полностью высвобождает хост от функц...
Как мы пробивали Великий Китайский Фаервол (ч.2) Привет! С вами снова Никита — системный инженер из компании SЕMrush. И этой статьей я продолжаю историю про то, как мы придумывали решение обхода Китайского Фаервола для нашего сервиса semrush.com. В предыдущей части я рассказал: какие появляются проблемы после того, как пр...
Видеоурок Теплицы: как проникнуть в DarkNet с помощью приложения I2P Темный интернет (англ. DarkNet) – это то, чем не очень образованные журналисты в вечерних новостях пугают, возможно, даже менее образованных телезрителей. На самом деле DarkNet – это тот же интернет, но в котором просто гораздо сложнее отследить ваш IP адрес. Собственно брау...
Group-IB нашла созданный русским хакером троян с уникальной функцией Android-троян Gustuff использовал для распространения и обхода защиты сервис Accessibility Service для людей с ограниченными возможностями. Целью вируса были в том числе приложения Skype, WhatsApp, Gett Taxi и PayPal.
M1Cloud представила тренды информационной безопасности в облаках на 2019 год Эксперты M1Cloud (Stack Group) рассказали о возможных киберугрозах и трендах по защите информации при размещении …
На сайте КТЖ блокируют учетные записи пользователей Только за сутки официальный сайт АО «НК «Казахстан Темир Жолы» заблокировал более 60 учетных записей, нарушивших правила оформления билетов.
[Перевод] Настройки аутентификации в Veeam Backup for Microsoft Office 365 v3 В недавно выпущенной версии 3.0 решения Veeam Backup for Microsoft Office 365, помимо прочих новинок, поддерживается современный способ аутентификации при работе с облачными данными. В нем задействованы аутентификация с использованием приложения Azure и сервисной учетной зап...
[Перевод] Ментальные модели в информационной безопасности Я ранее приводил аргументы, почему информационная безопасность находится в состоянии когнитивного кризиса, причём ситуация ухудшается. Несмотря на обилие свободно доступной информации, мы плохо справляемся с выявлением и обучением практическим навыкам в сфере ИБ, во всём раз...
Концерн «Автоматика» участвует в создании российской платформы для интернета вещей Ассоциация "Доверенная платформа" объединяет в своих рядах лидеров информационной безопасности, поставщиков индустриальных решений, производителей телеком-оборудования, поставщиков ПО. Одна из целей ассоциации - создание комплекса доверенных и безопасных средств и ...
Комбайн для фишинга. Как Evilginx 2 используют для кражи аккаунтов Для подписчиковВ этой статье мы изучим, как работает реверс-прокси Evilginx 2, и на примере Instagram посмотрим, как с его помощью уводят аккаунты в обход двухфакторной аутентификации. Поднимем боевой стенд, настроим все необходимые параметры и закинем удочку с наживкой посо...
10++ способов работать с аппаратными регистрами на С++ (на примере IAR и Cortex M) Рис. И. Кийко Всем доброго здравия! Помните наверное бородатый анекдот, а может быть и правдивую историю про то, как студента спрашивали о способе измерить высоту здания с помощью барометра. Студент привел, по-моему около 20 или 30 способов, при этом не назвав прямого(ч...
В iOS 13 может появиться поддержка мыши и нормальный импорт фото В сети продолжает появляться информация о новых яблочных операционных системах. К примеру, сегодня источники рассказали о том, что купертиновцы должны разрешить сторонним приложениям импортировать фотографии и видео с внешних накопителей в обход приложения «Фото».Читать даль...
О едином федеральном информационном ресурсе, содержащем сведения о населении Правительство внесло на рассмотрение Госдумы законопроект о создании единого информационного ресурса со сведениями о населении РФ. База этого ресурса будет содержать паспортные данные российских граждан, реквизиты записей актов гражданского состояния о рождении и смерти, С...
В Twitter грядет чистка Социальная сеть Twitter находится на пороге глобальной чистки. Первые шаги к этому сделаны. Компания начала рассылать письма владельцам неактивных учетных записей с предложением войти в систему до 11 декабря. Если это условие не будет соблюдено в срок — учетная запись ...
iPhone на iOS получил поддержку Google Pay и других платежных систем в обход Apple Pay Как известно, вот уже как много лет компания Apple выпускает на рынок смартфоны с чипом NFC, возможности которого крайне обширны. За счет такого модуля пользователи могут выполнять массу различных действий, начиная от быстрого подключения к Сообщение iPhone на iOS получил п...
MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK В MaxPatrol SIEM загружен новый пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход ...
Twitter начнет удалять неактивные учетные записи в декабре. Как не дать стереть свой аккаунт? Twitter начинает удаление аккаунтов. Зачем? Twitter — это не только одна из самых популярных социальных сетей на сегодняшний день, но и для многих пользователей она является источником полезной информации, новостей и развлекательного контента. Если не верите, то можете...
Google Chrome для Android стал оружием в руках злоумышленников Google Chrome для Android в течение длительного времени мог быть причиной утечки приватной информации о пользователях, выяснили исследователи в области информационной безопасности компании Nightwatch. Как оказалось, веб-браузер раскрывал данные о модели устройства, версии о...
Распределенная архитектура сети — альтернатива VPN Угрозы компрометации учетных записей и снижение производительности подталкивают организации к внедрению новых моделей безопасности сети. Александр Макмиллен, вице-президент поставщика сервисной платформы безопасности OPAQ, предлагает ...
Защита облачных сервисов Office 365: тестирование Check Point Cloud Guard SaaS Привет, Хабр! Меня зовут Борис, и я отвечаю за информационную безопасность клиентских и внутренних сервисов в Linxdatacenter. Сегодня мы поговорим о том, как защитить от утечки и потери данных корпоративную почту в Office 365. Страшный сон ИТ-инженера — толпа коллег с пан...
Adobe исправила патч для опасной дыры в Acrobat Reader Прошло лишь девять дней после выхода плановых патчей для Acrobat и Reader, а компания Adobe вновь призывает обновить продукт. Оказалось, что патч, спешно созданный для бреши 0-day, можно обойти. Уязвимость нулевого дня, о которой идет речь, разработчик закрыл в рамках феврал...
[Перевод] Аналитик информационной безопасности – кто он такой? Погружение в профессию Сегодня мы сделаем для вас обзор ежедневных обязанностей аналитика информационной безопасности. Его работа – это, по сути, постоянный анализ необработанных данных из разнородных источников событий (информационной и сетевой) безопасности для поддержания (и желательно) повыш...
GitHub ограничивает учётные записи разработчиков из Ирана, Крыма, Сирии и других регионов, находящихся под санкциями США Сервис GitHub начал ограничивать учетные записи разработчиков в странах и регионах, которые в настоящее время находятся под торговыми санкциями США. Отмечается, что как минимум один разработчик из аннексированного Россией Крыма потерял доступ к своим частным репозиториям на ...
Правда ли, что GOPATH и GOROOT больше не нужны? Так повелось, что разработчики, еще только начинающие знакомиться с Go, часто сталкиваются с проблемой выбора рабочей директории для Go-проектов. Вот и в чате конференции GolangConf тоже задавался этот вопрос. Новые гоферы часто пугают друг друга словами GOPATH и GOROOT. Одн...
США «спалили всю контору»: Разведка Запада посещала парады Победы СССР ради изучения военной техники Единственным шансом заснять передовое вооружение бдительного СССР для Запада были праздничные военные шествия. Американский историк Джеймс Дэвид исследовал документы Архива национальной безопасности в Вашингтоне и заявил, что разведка Запада посещала парады Победы СССР ради ...
Мошенники нашли необычный способ обмана владельцев iPhone Наверняка вы знакомы с таким явлением как «фишинг». Зачастую хакеры используют поддельные письма и клоны известных сайтов, чтобы заполучить доступ к вашим персональным данным. Но иногда методы обмана настолько изощренны, что не заметить подвоха и попасть в ловушку может даж...
Какими будут железные дороги будущего? 120 лет назад в российском издании «Наука и жизнь» был опубликован материал о будущем железных дорог — весьма смелые для того времени прогнозы экспертов сбылись с точностью: уже тогда предсказывалась неизбежная смерть паровой тяги, переход к электричеству, путям высокого к...
Особенности системы Антиплагиат.ВУЗ и основные способы ее обхода Современный студент имеет возможность найти в интернете любое пособие и любой документ. Он может работать с разными источниками, сидя дома на диване. Больше не приходится бегать по библиотекам и архивам, искать горстку информации к кипе книг. Исследования стали шире и лучше ...
[Из песочницы] Qbot возвращается. Varonis представила подробный анализ банковского трояна Qbot Исследовательская группа по безопасности Varonis обнаружила и исследовала глобальную кибератаку, использующую новый штамм вредоносного программного обеспечения Qbot. Кампания активно нацелена на американские корпорации, но поразила сети по всему миру — с жертвами по всей Евр...
Эксперты сообщили о росте числа атак на промышленные системы Аналитики «Лаборатории Касперского» изучили угрозы для систем промышленной автоматизации (АСУ) во второй половине 2018 года. По сведениям экспертов, в России за этот период вредоносные объекты были обнаружены почти на половине компьютеров. Данные для отчета собраны...
Внутри секретной лаборатории Ledger «Донжон» — это лаборатория информационной безопасности французской компании Ledger. Ledger производит аппаратные кошельки, на которых хранятся приватные ключи владельцев криптовалют. Злоумышленники охотятся на эти ключи, а аппаратный кошелек, соответственно, защищает ключи...
[Из песочницы] Tails OS или как защитить себя в сети Рано или поздно, но большинство фантастических сюжетов воплощаются в реальную жизнь. В мире информационной безопасности это произошло как только Эдвард Сноуден опубликовал информацию о PRISM — средстве слежения за пользователями сети, разработанного АНБ. В этой статье я опиш...
Вариант задействования блокчейна криптовалют как среды передачи команд для элементов бот-сети Хотелось бы развить мысль, упомянутую в статье «Follow the money: как группировка RTM стала прятать адреса C&C серверов в криптокошельке», которая упаковывала их в количество перечисленных за две транзакции сатоши на определенный криптоадрес. Вредонос, запросив у блокчей...
Количество учётных записей в Steam перевалило за 1 млрд Как сообщают источники, на днях в сервисе Steam количество учётных записей перевалило за 1 млрд. Пока сама Valve об этом не заявляла, но на это указывают данные Steam ID. Если точнее, то миллиардной стала учётная запись пользователя с псевдонимом amusedsilentdragonfly,...
“Роскомнадзор” начал удалять видео с инструкциями по обходу блокировок сайтов на YouTube Издатель “Лайфхакера” Алексей Пономарь рассказал в своем Twitter-аккаунте, что видеохостинг YouTube, принадлежащий компании Google, ссылаясь на просьбу “Роскомнадзора”, потребовал от издания удалить с сервиса видео под названием “Как обойти блокировку сайтов и трекеров”.
СКУД моего ЖК — безопасность на двух болтах Спешу предупредить читателей: Данная статья написана только для ознакомления, и ни в коем случае не призывает к любым противоправным действием. Автор не несет ответственности за любые неправомерные действия совершенные людьми с использованием информации из данной статьи. Пр...
[Из песочницы] Шифрование конфигурационных файлов Предыстория Мне поступила задача по настройке CI. Было принято решение использовать трансформацию конфигурационных файлов и конфиденциальные данные хранить в зашифрованном виде. Изучив документацию по шифрованию, вот что было сделано. Key Container В каждой ОС Windows есть...
Открытый инструмент для мониторинга сети с IoT-устройствами Рассказываем, что такое IoT Inspector и как он работает. / фото PxHere PD О безопасности интернета вещей В консалтинговой фирме Bain & Company (PDF, стр.1) говорят, что c 2017 по 2021 год объем IoT-рынка увеличится в два раза: с 235 до 520 млрд долларов. На долю гаджет...
[recovery mode] 10 нестандартных способов навредить SEO при смене CMS (+1 бонусный) В этой статье расскажу о тех проблемах, которые возникают, когда сайт меняет движок, а контроль SEO-специалиста при этом отсутствует. Материал будет полезен тем, кто самостоятельно продвигает свой сайт, а для коллег может стать лишним поводом освежить в голове знания (а може...
Microsoft выпустила новое накопительное обновление для Windows 10 October 2018 Update (17763.253) Компания Microsoft выпустила новое накопительное обновление для Windows 10 October 2018 Update с кодовым названием KB4480116. После его установки номер сборки системы изменится на 17763.253. Как и прежде, обновление не несёт в себе новых функций, а направлено на устранение ...
Apple поделится со специалистами инженерными версиями iPhone В рамках конференции по безопасности Black Hat, которая стартовала в Лас-Вегасе в начале этой недели, компания Apple планирует анонсировать свою новую программу, ориентированную на специалистов по информационной безопасности. Согласно имеющимся данным, купертиновцы хотят пре...
Как сбросить пароль в приложении «Заметки» на iPhone и iPad Начиная с iOS 9.3 в «Заметках» появилась парольная защита, позволяющая обеспечить безопасность хранимой в приложении конфиденциальной информации. Программа предусматривает установку отдельного пароля, отличного от используемого для учетных записей Apple ID или iCloud, поэтом...
Китай: бесконтактная система идентификации по «взмаху руки» Система позволяет просканировать руки пользователя бесконтактным способом и «привязать» биометрические данные к учетной записи кредитной или дебетовой карты. Вероятность ошибки определения пользователя по форме его руки достигает 0,0001%...
[Перевод] Создание приложения для Slack с использованием функций 8base Slack — отличное приложение для внутреннего общения между командами. Одна из особенностей, что мы можем легко его расширить, создавая и интегрируя чат-ботов и слэш команды чата, позволяющие пользователям взаимодействовать с внешними сервисами. Отличным ботом Slack, весьма ...
Разработчики Telegram тестируют новый метод обхода блокировок Суть новой технологии заключается в том, что она позволяет мессенджеру маскировать трафик под обычный TLS, что заметно усложнит возможность блокировки передачи данных при использовании Telegram.
10 лучших техник веб-хакинга 2018 Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite. Под катом в...
Пакет обновлений SAP исправляет три критических уязвимости Компания SAP выпустила ряд патчей для своих продуктов. Немецкий разработчик бизнес-приложений исправил серьезные уязвимости, которые могли привести к обходу процедур аутентификации, несанкционированному доступу к файлам и утечке конфиденциальных данных, а также представил за...
Специалисты нашли способ внедрить вредоносный код в Excel Специалисты компании Mimecast разработали эксплойт, который позволяет внедрять и выполнять сторонний код в электронной таблице Excel. В ряде случаев PoC-эксплойт не предполагает взаимодействия с пользователем и плохо обнаруживается антивирусными сканерами. Разработчики Micro...
Twitter удалит аккаунты, которые были неактивны в течение шести месяцев Множество учетных записей Twitter, владельцы которых по тем или иным причинам престали используют их, привело к тому, что компания решила начать удалять любые учетные записи, которые были неактивны более шести месяцев. Массовые удаления будут происходить в течение несколь...
Встречайте Ultimaker Cura 4.0 Встречайте Ultimaker Cura 4.0 Что нового? Улучшенный интерфейс. Новый пользовательский интерфейс Ultimaker Cura адаптирован под различные рабочие процессы, сегментированные по уровню пользователя. Рабочие процессы разделены на 3 этапа: этап подготовки 3D-моделей, моделирова...
Власти хотят наказывать за нарушения требований закона о безопасности критической информационной инфраструктуры Федеральная служба по техническому и экспортному контролю начала разработку законопроекта, вводящего административную ответственность за такие нарушения. Закон о безопасности критической инфраструктуры вступил в силу больше года назад, но полноценно так и не заработал.
Работа с СКЗИ и аппаратными ключевыми носителями в Linux Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию. Сегодня я расскажу, как мы защищаем ключи шифрования и электронной п...
В macOS обнаружена серьезная проблема с безопасностью Всем известно, какое пристальное внимание Apple уделяет безопасности своих операционных систем. Но даже компания такого масштаба не всегда способна выявить все критические ошибки и уязвимости, которые могут быть использованы злоумышленниками. Одну из таких проблем, обнаружи...
«Нашумевшая китайская система социального рейтинга на практике далека от новых технологий» Китай обвиняют в создании «цифровой антиутопии», однако на практике нашумевшая система социального рейтинга далека от новых технологий. Сведения о гражданах собирают обычные волонтеры, которые вручную подсчитывают баллы и вносят их в рукописную базу. О реальной раб...
В краже данных учетных записей по кредитным картам клиентов уличен сотрудник Сбербанка В результате внутреннего расследования Служба безопасности банка при взаимодействии с правоохранительными органами 04.10.2019 выявила сотрудника банка 1991 года рождения, руководителя сектора в одном из бизнес-подразделений банка, который имел доступ ...
Разработчик Zap Wallet представил инструмент для покупки биткоина в сети Lightning Network У пользователей биткоина появился новый инструмент, позволяющий осуществлять моментальную покупку криптовалюты в сети Lightning Network при помощи банковских карт. Решение под названием Olympus представил разработчик Zap Wallet Джек Маллерс. По его словам, новый инструмент п...
В бета-версиях macOS Catalina, iOS 13 и iPadOS 13 можно использовать Face ID либо Touch ID для входа в учётную запись iCloud посредством Safari Источник сообщает, что в бета-версиях macOS Catalina, iOS 13 и iPadOS 13 появилась новая функция, связанная с учётной записью iCloud. Теперь пользователь, зашедший на beta.icloud.com, может войти в свою учётную запись, используя биометрические датчики: Face ID либо Touc...
Что упускают хакеры при взломе банка на PHDays Банк из года в год становится особенной сущностью для итогов «Противостояния» на PHDays. В 2017 хакеры смогли вывести из банка больше денег, чем в нем было. В 2018 году успешность финальной атаки на банк при отключенном нами антифроде (по замыслу организаторов) обеспечила ...
Информационная безопасность (16.03 – 15.04.2019) Эксперты ESET предупреждают о новой фишинговой атаке в мессенджере WhatsApp. Как считает ESET, атака направлена на жителей Бразилии и испаноговорящих стран — сообщения составлены на португальском и испанском языках...
Что удалится, если выйти из iCloud на iPhone, iPad и Mac? В этом материале мы расскажем, какие последствия стоит ожидать на iPhone, iPad и Mac после выхода из учетной записи iCloud. ПО ТЕМЕ: Как загружать фото и видео в облако с iPhone или iPad, чтобы освободить место. Зачем выходить из iCloud на iPhone, iPad и Mac? Выход из...
Баг iOS 13 позволяет каждому просмотреть все ваши пароли Не секрет, что Apple уделяет огромное внимание теме безопасности и конфиденциальности. Но даже у такой крупной корпорации бывают проколы. Вчера пользователи Reddit обнаружили довольно серьёзную уязвимость iOS 13. Выяснилось, что все сохраненные учетные записи с паролями, а ...
[Перевод] Использование ИИ для повышения эффективности работников умственного труда Новые возможности ИИ, способного распознавать контекст, концепции и смысл понятий, открывают новые, иногда неожиданные способы совместной работы работников умственного труда и машин. Эксперты способны делать свой вклад в обучение, контроль качества и тонкую подстройку резу...
«Информационная архитектура»: митап в OZON Отмечаем Всемирный день информационной архитектуры первым митапом о том, как выстроить информацию и документацию внутри цифрового продукта, чтобы команде и пользователям не было мучительно и непонятно. Встречаемся 26 февраля у нас. Читать дальше →
Эксперт Softline: «За два месяца число ИБ-проектов в некредитных финансовых организациях выросло в несколько раз» Страховые компании и НПФ активно начали приводить ИБ-инфраструктуру в соответствие с требованием ГОСТ Р 57580.1−2017. По словам эксперта департамента информационной безопасности группы компаний Softline Ильи Тихонова, если еще в начале 2019 года такие проекты были един...
Данные на диск запишут с помощью магнитов и лазеров В начале этого года группа инженеров из Нидерландов представила новый способ хранения данных. Он объединил методы магнитной и оптической записи и обладает большей производительностью, чем классические жёсткие диски. Читать дальше →
Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...
Хакеры смогли получить доступ к некоторым данным пользователей Outlook.com, Microsoft рекомендует сменить пароли Корпорация Microsoft начала рассылать уведомления некоторым пользователям её почтового сервиса Outlook.com в которых говорится, что хакеры смогли получить доступ к их учётным записям. Было обнаружено, что из-за проблем с системой безопасности в службе поддержки сервиса хакер...
Пингвинья тропа. Простые рецепты для выборочного шифрования трафика в Linux Для подписчиковТакие термины, как TOR, VPN, прокси, у всех на слуху. Чтобы подключить и настроить их, не требуется специальных знаний, но существуют и более изящные решения. Сегодня я расскажу о методике обхода блокировок в Linux с маскировкой трафика и покажу несколько скри...
Инструкции об обходе блокировки сайтов и торрентов начали блокировать в России Вот уже как более пяти лет правительство РФ активно борется с пиратством в интернете, но не только с ним. Под блокировку попадают любые веб-сайты, которые каким-либо образом нарушают законодательство страны, используя, например, чужие произведения, защищенные Сообщение Инст...
В iOS 13 появится нормальный импорт фото и видео из внешних накопителей По данным 9to5Mac, в iOS 13 разработчики Apple разрешат сторонним приложениям импортировать фотографии и видео из внешних накопителей в обход стоковой программы «Фото». Так, пользователи смогут сразу передавать снимки с SD-карты или фотоаппарата в облачное хранилище или при...
Взломщики похищают аккаунты Office 365 и G Suite через IMAP Специалисты ИБ-компании Proofpoint сообщили о массовых атаках на корпоративных пользователей облачных сервисов Office 365 и G Suite. Злоумышленники обходят двухфакторную авторизацию и получают доступ к учетным записям через протокол IMAP. За шесть месяцев они проникли в отсл...
Patch’ти — не считается: сказ о патч-менеджменте в лицах и красках Наверно, все SOC-аналитики спят и видят, как их детектирующие правила отлавливают модные техники проправительственных APT-группировок, а расследования приводят к обнаружению эксплойтов для zero-day уязвимостей. К сожалению (или к счастью), большая часть инцидентов, с которым...
ЭЦП – еще один вид мошенничества Этот текст — продолжение обсуждения проблем, связанных с безопасностью использования ЭЦП. В опубликованной недавно статье с Росреестр, фактиечски, признает возможность мошенничества с ЭЦП физических лиц и дает советы как, потратив свое время и деньги, попытаться от подобног...
Алёна Попова: как остановить цифровую диктатуру В России появляется цифровая диктатура, и активисты должны ей противостоять. В этом убеждена Алена Попова, юристка, правозащитница, соавтор законопроекта о профилактике насилия в семье. На конференции про будущее искусственного интеллекта, прошедшей 13 сентября 2019 года в ...
Apple, Google, Microsoft и WhatsApp выступили против британского правительства, которое захотело иметь возможность читать зашифрованные сообщения Крупные технологические компании уже давно сопротивляются попыткам правительственных органов получать доступ к сообщениям и беседам в чате пользователей. Очередным шагом в этой борьбе стало открытое письмо, адресованное Центру правительственной связи Великобритании. В письме...
Центробанк накажет российские банки за плохую защиту от хакеров Первый заместитель директора департамента информационной безопасности Центробанка России Артем Сычев, в рамках форума "Банки России - XXI век", заявил, что ведомство в ближайшее время планирует начать наказывать банки, если те не будут обеспечивать надлежащую информацио...
Отслеживание жизненного цикла пользователей без плоскогубцев и изоленты Добрый день! Вас беспокоит Валентина Остроухова из бухгалтерии. Сергей Сергеевич уходит в отпуск на две недели и я буду его заменять. Вы могли бы предоставить мне доступ на это время к его папкам в директории //fs-buh/black_cashier/corruption? Заранее спасибо! Валентина О...
Стали известны детали о брешах в системе блокировки дверей Система контроля доступа PremiSys, разработанная компанией IDenticard, содержит несколько уязвимостей, позволяющих злоумышленникам перехватить управление приложением. К такому выводу пришли специалисты Tenable после изучения исходного кода программы. Эксперты обнаружили там ...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 23: «Экономика безопасности», часть 1 Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, ко...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 23: «Экономика безопасности», часть 3 Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, ко...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 23: «Экономика безопасности», часть 2 Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, ко...
Qrator Labs исследовала информационную безопасность в российском секторе e-commerce в 2019 году Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила результаты исследования информационной безопасности в российском секторе e-commerce в 2019 году ...
Mario Kart Tour запускает закрытую бета-версию В четверг Nintendo официально запустила закрытую бета-версию долгожданной игры Mario Kart Tour для Android и iOS. В то же время Nintendo также подтвердила сроки выхода игры. Когда Nintendo впервые объявила о мобильной игре, она установила дату запуска Mario 2019 этим лет...
«Галактика» представила Владимиру Путину платформу цифровизации В рамках официального обхода выставки президентом РФ Владимиром Путиным член правления корпорации «Галактика» Антон Мальков рассказал о решениях отраслевого уровня, в частности, по управлению межзаводской кооперацией и производственно-технологическим потенциалом.
Пять главных пунктов, ставших предметом спора в противостоянии Xerox и HP Главный управляющий Xerox Джон Висентин подтвердил свое намерение действовать в обход руководства HP Inc. в своем предложении о поглощении. Пока это последний залп в сражении между двумя компаниями, которое вот уже две недели развертывается в публичном ...
Доверенные SIM-карты с отечественным шифрованием будут работать на чипах Samsung Факт закупки партии чипов у Южнокорейской компании подтвердили в Институте точной механики и вычислительной техники им. С.А. Лебедева. Внедрение в России доверенных SIM-карт предусмотрено проектом "Конус", реализацией которого занимается ФСБ.
HID Global: новейшие решения по физической безопасности HID Global, мировой лидер в создании надежных решений по управлению идентификационными данными, впервые представит в России новейшие решения, упрощающие управление инфраструктурой контроля доступа, новый принтер/кодировщик для персонализации карт и настольный считыватель, по...
Венесуэла обменяла нефть на криптовалюту, и теперь не знает, куда ее девать По данным американского издания Bloomberg, нефтяная компания Petroleos de Venezuela SA, принадлежащая правительству Венесуэлы, имеет в запасе биткоин и эфириум. По подозрениям экспертов, криптовалюта была получена в результате ее обмена на нефть для того, чтобы страна могла ...
Security Week 10: уязвимости в драйверах NVIDIA Вот что мы еще ни разу не обсуждали в формате дайджеста, так это уязвимости в драйверах для видеокарт. Компания NVIDIA опубликовала 28 февраля информацию о восьми уязвимостях: практически все позволяют повышать привилегии или выполнять произвольный код. Одна брешь относится ...
Роскомнадзор запретил ещё одну инструкцию по обходу блокировок Вчера «Лайфхакер» сообщил, что Роскомнадзор потребовал удалить видео «Как обойти блокировку сайтов и трекеров» с YouTube-канала ресурса. Оказалось, что это была лишь первая жертва. Теперь ведомство обязало сайт правозащитной организации «Команда 29» удалить подобную инструкц...
Хакер прокомментировал совет заклеивать камеру на ноутбуке Специалист по информационной безопасности, бывший хакер Александр Варской, оценил совет, данный “Роскачеством” для сохранения безопасности в сети. Так, он одобрил предложение заклеивать камеру и микрофон, но при этом сказал, что есть куда более изящные способы “цифровой гиги...
Утечка персональных данных и двойной обман Оперативные сотрудники МВД и эксперты компании в области информационной безопасности Group-IB обезвредили группу телефонных мошенников, в течение нескольких лет выманивающих у пенсионеров деньги от имени «прокурора Москвы» с использованием схем вишинга и социальной инженерии...
TrickBot обходил почтовые фильтры с помощью Google Docs ИБ-исследователи из компании Cofense обнаружили фишинговую кампанию, в рамках которой злоумышленники рассылают банковский троян TrickBot через Google Docs, обходя почтовые фильтры. Для этого мошенники создали в онлайн-редакторе страницу, содержащую поддельное сообщение об ош...
Как мы летали на дронах по мусорным полигонам и искали утечки метана Карта полёта, отмечены точки с концентрацией метана свыше 3 000 ppm*m. И это много! Представьте себе, что у вас есть мусорный полигон, который время от времени дымит и воняет. Связано это с тем, что при гниении органики образуются различные газы. При этом образуется не тол...
«СёрчИнформ» опубликовала результаты исследования ИБ бизнеса «СёрчИнформ» в очередной раз провела исследование информационной безопасности бизнеса. Оно касается угроз, которые …
Android: доступ к скрытым методам и обнаружение root Для подписчиковСегодня в выпуске: обход защиты на доступ к скрытым методам, обнаружение прав root в обход Magisk Hide, рассказ о том, как Google вычисляет зловредные приложения в Google Play, разрушение мифов о техниках оптимизации производительности приложений, руководство ...
Военные США халатно относятся к вопросам кибербезопасности Кибербезопасность — одна из наиболее важных сфер современности. Без надежной защиты компании и частные лица подвергаются разнообразным угрозам — от похищения корпоративных секретов и денег со счетов до кражи фотографий, которые не предназначены для посторонних глаз. Еще бо...
Октябрь. Революционные подходы к безопасности Вектора угроз информационной безопасности продолжают меняться. Чтобы выработать подход, обеспечивающий наиболее полную защиту данных и систем, этой осенью Acronis проводит первый глобальный саммит по революционным подходам к кибербезопасности. Для тех, кто интересуется про...
Citrix пропатчила критические уязвимости в SDWAN-решениях В популярной платформе управления программно-определяемыми сетями выявлены уязвимости, позволяющие без авторизации выполнять команды с привилегиями root. Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance (ранее линейка NetScaler SD-WAN) настоятельно рекомендуется ...
Lenovo выпустила два доступных планшета от $ 100 Компания Lenovo представила два бюджетных планшета - Tab M7 и Tab M8, со встроенным режимом Kid’s 3.0. Это независимая учетная запись предлагает родительский контроль и богатый и персонализированный детский контент для детей до 12 лет. Обе новинки выполнены из прочного метал...
Документный червь. Эксплуатируем необычную XSS и обходим CSP на примере CodiMD Для подписчиковЕсть такой сервис для совместного редактирования текста — HackMD. Штука сама по себе полезная, но нас сегодня интересует ее реализация для установки на свой сервер — CodiMD. В ней нашли баг, позволяющий сделать код, который будет передаваться от пользователя к...
Разработчики Valve не полностью закрыли уязвимость Steam Независимый ИБ-исследователь Сяоинь Лю (Xiaoyin Liu) обошел защиту Steam от обнаруженной ранее уязвимости. Учитывая позицию Valve, которая вывела этот баг из зоны своей ответственности, эксперт предпочел опубликовать эксплойт без уведомления специалистов компании. О проблеме...
Microsoft нашла две похожие на BlueKeep RCE-уязвимости Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, ко...
Информационная безопасность и общепит: как мыслят управляющие об IT-продуктах Привет Habr! Я – человек, который потребляет IT-продукцию через App Store, Сбербанк Online, Delivery Club и имеет отношение к IT-индустрии постольку поскольку. Если коротко, специфика моей профессиональной деятельности – оказывать консультационные услуги предприятиям общес...
Роскомнадзор начал новый этап борьбы с мессенджером Telegram Роскомнадзор снял блокировку с 2,7 млн IP-адресов, которые принадлежат компании Amazon и ранее использовались мессенджером Telegram для обхода блокировки. В то же время Роскомнадзор с 8 утра 21 января начал добавлять новые IP-адреса для блокировки мессенджера, и уже к вечеру...
Киберпреступники доставляют бэкдор с драйвером NVIDIA Специалисты по информационной безопасности сообщают о целевой киберкампании, направленной на организации технологического сектора в Юго-Восточной Азии. Злоумышленники используют легитимное ПО NVIDIA для доставки бэкдора, чтобы получить привилегии администратора, заменив троя...
Названы самые распространенные киберугрозы 2018 года Производитель решений для обеспечения информационной безопасности Trend Micro опубликовал статистику по киберугрозам в мире.
Тренды продуктовой аналитики нового времени О продуктовой аналитике на Хабре пишут не так часто, но публикации, причем хорошие, появляются с завидной регулярностью. Большинство статей о продуктовой аналитике появились за последние пару лет, и это логично — ведь продуктовая разработка становится все более важной как...
Мошенники подставили Ru-Center От имени регистратора доменов Ru-Center (АО "Региональный сетевой информационный центр") произошла мошенническая рассылка с требованием оплатить услугу продления домена. Зловредная ссылка, содержащаяся в письме, скорее всего потребовала бы ввести учетные данные кли...
Google Chrome получил встроенную функцию для обхода блокировки любых сайтов Правительства России, Украины, Китая, Казахстана и многих других стран мира все чаще прибегают к блокировке различных веб-сайтов. Делается это по различным причинам, но обычно всегда по решению суда. Так, например, какой-либо ресурс может распространять пиратский Сообщение ...
[Перевод] Новый золотой век для компьютерной архитектуры Авторы — Джон Хеннесси и Дэвид Паттерсон, лауреаты премии Тьюринга 2017 года «за новаторский систематический и измеримый подход к проектированию и проверке компьютерных архитектур, оказавший долговременное влияние всю отрасль микропроцессорной техники». Статья опубликована в...
Компания Sphera: приобретение Petrotechnics расширяет портфель решений Компания Sphera, крупнейший мировой провайдер программного обеспечения для интегрированного управления рисками и информационных сервисов в сферах операционного риска, экологической безопасности и гигиены труда, а также обслуживания продукции на всех этапах ее жизненного цикл...
В Тольятти расскажут об информационной безопасности Мероприятие, которое пройдет в рамках инициативы Meet and Code, позволит получить практические навыки защиты информации. Специалисты расскажут ребятам об актуальных проблемах индустрии кибербезопасности. Эксперты поделятся знаниями о новых технологиях и перспекти...
Telegram наносит ответный удар DPI и блокировкам — Fake TLS Telegram тестирует новый вариант обхода блокировок — маскировка трафика под обычный TLS (https). Предистория: Попытки заблокировать Telegram происходят в разных странах, первый вариант блокировки был простым — блокировка IP адресов серверов Telegram. Telegram достаточно ...
Для изоляции Рунета понадобятся бюджетные средства Фото: М. Стулов / Ведомости Еще в 2014 году Совет безопасности поручил ряду российских ведомств проанализировать проблему безопасности русскоязычного сегмента Сети. Активная работа по этому направлению в 2016 году, когда Минкомсвязи опубликовало сразу несколько поправок ...
[Из песочницы] Комплексный подход к визуализации событий безопасности и измерению её эффективности Привет, Хабр! Представляем вашему вниманию перевод статьи "A Full-Scale Security Visualization Effectiveness Measurement and Presentation Approach". От автора перевода Визуализация оказывает неоценимую помощь экспертам в получении выводов и знаний об объекте исследований,...
Управление данными по-современному Организованный компанией Syncsort Саммит по современному управлению данными собрал тех, кто стремится добиться монетизации информационных активов. Компания Syncsort 24 октября провела Саммит по современному управлению данными. Его участники познакомились с новейшими подхо...
Опубликован PoC-код для обхода защиты PatchGuard Служба защиты ядра и механизм проверки целостности кода виртуальных машин Windows могут быть взломаны, что позволит злоумышленникам внедрить свой код в критически важные компоненты ОС. К такому выводу пришел турецкий ИБ-специалист Джан Бёлюк (Can Bölük), опубликовавший подро...
SandboxEscaper нашла еще один способ обойти патч Microsoft Независимая исследовательница с ником SandboxEscaper опубликовала еще один PoC эскалации привилегий в Windows 10. По информации ИБ-эксперта, манипуляции с браузером Edge и другими приложениями позволяют атакующему получить доступ к файлам ОС с правами уровня SYSTEM. Сторонни...
Пользователи Android не могут отличить поддельные приложения от настоящих Вредоносные приложения для Android, списывающие деньги с карт своих жертв, представляют даже меньшую опасность, чем поддельные банковские приложения. Такой вывод сделал исследователь в области кибербезопасности антивирусной компании ESET Лукас Стефанко. Он провел собственно...
Браузер Firefox жёстко критикуют за встроенную функцию обхода блокировок сайтов Создателя браузера Firefox компанию Mozilla номинировали на премию «интернет-злодей года». А всё потому, что в браузере может появиться встроенная функция для обхода фильтрации контента, запрещённого государством.
Как открывать видео на Mac (macOS) в стороннем плеере (например, VLC) по умолчанию В этом материале мы расскажем, как задать сторонний видеоплеер для запуска определённых типов видеофайлов в macOS по умолчанию в обход штатного QuickTime Player, который обладает минимальным функционалом, ограниченным объёмом воспроизводимых форматов и недостаточно комфортны...
Умер изобретатель компьютерных паролей Компьютерная безопасность в конце этой недели потеряла одного из основателей. Фернандо «Корби» Корбато (Fernando Corbato), которому приписывают изобретение компьютерного пароля, умер в возрасте 93 лет. Исследователь, работавший в Массачусетском технологическ...
Как извлечь APK-файл любого приложения для Android Одним из преимуществ открытости Android всегда считалась возможность загружать APK-файлы приложений в обход Google Play. Кто-то таким образом просто экономит, а кто-то получает доступ к ПО, которого попросту нет в официальном каталоге. Подобная практика распространена насто...
Брешь Microsoft Office 365 позволила вести омограф-атаки Злоумышленники нашли новый способ заманить пользователей на опасные сайты в обход защитных систем Microsoft Office 365. Техника построена на использовании пробелов нулевой ширины (zero-width spaces) — невидимых для пользователя символов, которые мешают антиспам-фильтрам расп...
Распознавание лиц в городах: безопасность vs приватность Камеры видеонаблюдения в российских городах будут использовать для поиска должников. Сейчас такая практика действует в Москве, но в будущем распространится на всю страну, сообщил руководитель федеральной службы судебных приставов России Дмитрий Аристов. Источник: Ведомост...
Семинар «Требования ИБ: как бизнесу с ними жить» Всем привет! Если вам регулярно приходится ломать голову над тем, как организовать ИТ-инфраструктуру, соответствующую 152-ФЗ, 187-ФЗ, PCI DSS и пр., то приходите на наш семинар 28 марта. Мы расскажем, как выполнить требования законодательства в сфере информационной безопа...
Полное убийство конфиденциальности. Facebook нарывается на ещё один скандал с безопасностью личных данных Компания Facebook, похоже, хочет заставить всех пользователей одноимённой социальной сети проходить проверку с использованием технологии сканирования лица. Программист Джейн Маньчунь Вонг (Jane Manchun Wong) показала интерфейс функции распознавания лица, но пока...
В 32% расширений для Chrome нашли проблемы с безопасностью Почти треть приложений и расширений для Chrome используют уязвимые сторонние библиотеки. К такому выводу пришли специалисты Duo Labs после анализа более чем 120 тыс. плагинов, представленных в Интернет-магазине Chrome. Как выяснили аналитики, большинство дополнений к браузер...
Netflix опубликовал трейлер документального сериала Our Planet Стриминговый сервис Netflix опубликовал трейлер документального сериала Our Planet от создателей Planet Earth, получившего четыре премии «Эмми». Как сообщается, съемки Our Planet проходили в 50 странах в течении 4 лет и охватили все континенты, а съемочная команда состояла и...
В даркнете появился еще один дамп, на этот раз продают записи 93 млн пользователей Еще один сборник пользовательских данных продают в даркнете. Информацию о 93 млн учетных записей продает тот же хакер (или группа лиц), который на прошлой неделе уже выставил на продажу два дампа: 620 млн и 127 млн пользователей.
Как исследователи безопасности получают доступ к защищенным участкам кода iOS Издание Motherboard провело большое расследование того, каким образом исследователи безопасности «вскрывают» iOS-устройства Apple. Оказывается, существует развитый «серый» рынок прототипов iOS-устройств и именно эти прототипы и используют исследователи для нахождения новых ...
Как передавать файлы между разными учетными записями на одном Mac Если у вас дома или на работе компьютер задействуется между несколькими пользователями, то рано или поздно возникает вопрос — как обмениваться файлами или документами между разными учётными записями на одном Mac. В этом материале мы расскажем о нескольких наиболее эффективны...
Смартфон Huawei P30 Pro отправляет запросы на китайские серверы Сетевые источники сообщают о том, что флагманский смартфон Huawei P30 Pro осуществляет отправку запросов, а возможно, и данных, на китайские правительственные серверы. Это происходит, даже если пользователь не подписан на какие-либо услуги Huawei. Такое заявление было опубли...
"Бойлер будет работать": Роскомнадзор неожиданно разблокировал 2,7 млн IP-адресов Amazon попавших под запрет из-за борьбы с Telegram "Специалистами Роскомнадзора установлено, что данные подсети длительное время не используются для обеспечения функционирования мессенджера Telegram", - говорится в сообщении ведомства. Ранее Роскомнадзор заблокировал три тысячи адресов прокси-серверов, используемых для обход...
До завершения приема заявок на участие в электронных выборах в Мосгордуму осталось два дня Участие в онлайн-голосовании смогут принять около полумиллиона москвичей, проживающих в одном из экспериментальных избирательных округов: № 1 - Крюково, Матушкино, Савелки, Силино, Старое Крюково, № 10 - Северный, Лианозово, Бибирево и № 30 - Чертаново Ц...
Камеры видео наблюдения - одна из главных составляющих системы безопасности в дома. Разбор 3 моделей Когда знаешь, что твой дом в безопасности, усиливается чувство контроля и понимание правильности вложенных средств. Нужно признать, что это сложная система, к выбору компонент которой нельзя подходить без предварительного ознакомления с технологиями, в том числе съемки и зап...
[Перевод] Квантовая физика, вероятно, сможет защитить электрические сети США от хакеров Эксперты по кибербезопасности годами били тревогу: хакеры присматриваются к электрической сети США. И эта угроза не гипотетическая – группа лиц, якобы связанных с российским правительством, получила удалённый доступ к компьютерам энергетических компаний – так, по крайней ме...
«М.Видео» в магазинах запустила пилотную систему навигации с дополненной реальностью «AR-навигация позволит создать уникальные впечатления и привлечь клиентов, для которых выбор и использование гаджетов — не только способ решать ежедневные задачи, но и удовольствие от процесса», – сказал директор по информационным технологиям «М.Видео-Эльдорадо» Сергей...
Сколькими способами можно записать факториал на Scheme? Злые языки утверждают, что функциональные языки программирования — «языки для написания факториалов». Чаще всего так определяют язык Haskell, мы же начнем с того функционального языка, который сильно повлиял и на Haskell, и на подмножество средств для функционального програм...
Оцифрована учетная документация Музея обороны Севастополя Корпорация ЭЛАР выполнила проект по созданию страхового фонда учетной документации Севастопольского военно-исторического музея-заповедника. Более 15 тысяч листов Книг Поступлений государственного учета, содержащих информацию о музейных предметах, переведено в цифр...
Разработчики Cisco закрыли 10-балльный баг в IOS XE Компания Cisco обнаружила критическую ошибку в одном из компонентов программы IOS XE, устанавливаемой на несколько линеек промышленных роутеров компании. Баг в контейнере виртуальной службы REST API допускает обход системы авторизации и позволяет злоумышленнику выполнить ряд...
Android-устройство теперь можно использовать для 2FA на iOS Google позволил использовать Android-устройства в качестве физического ключа безопасности для двухфакторной аутентификации (2FA) на iOS. В частности, для входа в учётную запись Google. Ранее эта функция, запущенная в апреле, работала только для Chrome OS, macOS и Windows 10....
Как удалить банковскую карту из учетной записи Apple ID, Safari и Apple Pay Нередко владельцы iPhone и iPad сталкиваются с проблемами, связанными с отвязкой банковской карты от Apple ID. В большинстве случаев они возникают из-за того, что в настройках мобильных гаджетов не предусмотрена возможность полного отказа от использования каких-либо способов...
[Перевод] Трассировка лучей на GPU в Unity — Часть 3 [Первая и вторая части.] Сегодня мы совершим большой скачок. Мы отойдём от исключительно сферических конструкций и бесконечной плоскости, которые трассировали ранее, и добавим треугольники — всю суть современной компьютерной графики, элемент, из которого состоят все виртуа...
В Apache HTTP Server залатали баг эскалации привилегий Разработчики Apache HTTP Server выпустили версию 2.4.39 своей системы, где закрыли шесть брешей. Четыре из них признаны специалистами серьезными, остальные имеют средний рейтинг опасности. Уязвимости допускали эскалацию привилегий, обход механизма аутентификации и неправильн...
Ovum: «ZTE ускоряет переход операторов на базовые сети 5G» В новейшем информационном докладе Ovum, посвященном технологиям 5G Core (5GC), крупный международный поставщик телекоммуникационных решений, а также корпоративных и потребительских технологий для мобильного Интернета, компания ZTE Corporation (0763.HK / 000063.SZ) названа од...
Новый штамм Mirai атакует сразу через 13 эксплойтов Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует сразу 13 эксплойтов для атак на целевые устройства. IoT-бот оснащен компонентами для атаки на роутеры различных производителей, IP-камеры...
Хочешь <s>похудеть</s> учиться ИТ самостоятельно? Спроси меня как Есть мнение, с которым я часто сталкиваюсь, — учиться самостоятельно невозможно, нужны профессионалы, которые будут вас вести по этому тернистому пути — объяснять, проверять, контролировать. Попробую опровергнуть это утверждение, а для этого, как известно, достаточно привест...
Эдуард Пройдаков: «В свое время электронику вытащили персоналки. Сейчас ее вытащат роботы» Эдуард Пройдаков — директор Виртуального компьютерного музея, разработчик, эксперт в области информационных технологий, преподаватель, журналист и переводчик. В интервью для Музея DataArt Эдуард Михайлович рассказал об экспедициях в пустыни и болота, системе бронирования б...
[Перевод] Можно ли рендерить реалистичные изображения без чисел с плавающей запятой? Введение «Что получится, если мы заменим числа с плавающей запятой на рациональные числа и попытаемся отрендерить изображение?» Такой вопрос я задал себе после размышлений над твитом исследователя и преподавателя компьютерной графики Моргана Макгвайра. Он рассуждал о том, ...
Уязвимый Twitter API ставит под удар тысячи iOS-приложений Устаревший API-интерфейс, который многие iOS-приложения до сих пор используют для авторизации через Twitter, содержит уязвимость, позволяющую из положения «человек посередине» получить токен доступа OAuth и выполнять различные действия в соцсети от имени жертвы. По...
Смартфон Huawei P30 Pro связывается с китайскими серверами без видимых на то причин Группа ExploitWareLabs обнаружила, что новый смартфон Huawei P30 Pro, запрашивает данные с китайского сервера и, возможно, передаёт информацию обратно. Такое поведение устройства фиксируется даже в том случае, если пользователи не авторизуются в учётную запись Huawei ID. Спи...
Google выпустила новый ключ безопасности USB-C Titan Google добавляет в линейку новый ключ безопасности Titan USB-C, который будет доступен в Google Store за $ 40. Ключи безопасности обеспечивают практически непревзойденную защиту от различных угроз для ваших учетных записей в Интернете, от фишинга до атак злоумышленник...
В промышленных шлюзах Kunbus закрыты опасные бреши В решении KUNBUS-GW Modbus TCP PR100088, предназначенном для использования в сетях промышленных предприятий, выявлены пять уязвимостей. Две из них оценены как критические, еще две — как высокой степени опасности. Все проблемы, перечисленные в бюллетене ICS-CERT, обнаружил эк...
[Перевод] В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учет...
ИБ-эксперты изучили почти 2500 интернет-магазинов, зараженных JS-снифферами Исследователи Group-IB опубликовали аналитический отчет, посвященный JavaScript-снифферам, их инфраструктуре и способам монетизации, приносящей их создателям миллионы долларов.
Разблокирование смартфона с 4uKey-iPhone Password Unlocker Забыли пароль от iPhone или iPad? Разбили экран и теперь не можете войти в заблокированный аппарат? И для этого есть программа. Tenorshare предлагает Mac и PC программу для разблокирования iOS-устройств под названием 4uKey-iPhone Password Unlocker. Что предлагает 4uKey для н...
Физики опубликовали пошаговую инструкцию по созданию червоточины Астрофизик из Университета штата Огайо, Пол Саттер, опубликовал толкование метода организаций быстрых путешествий через Вселенную с помощью червоточин. Команда его коллег разработала теоретический способ создания этого феномена в космосе и прокладки пути через пространство-в...
Как взломать сканер отпечатков в Android за 20 минут Дактилоскопический сенсор — не самый лучший способ защитить смартфон Сканеры отпечатков пальцев давно стали нормой для современных смартфонов. Что и говорить, если даже бюджетники с ценой менее 100 долларов сегодня имеют и дактилоскоп, и даже NFC-модуль, который позвол...
Большинство ИБ-директоров уверены в росте рисков от кибератак Опубликовано исследование на тему того, как директора по информационной безопасности справляются с растущими угрозами в условиях ограниченных ресурсов.
Как отменить подписку Apple Arcade до окончания пробного периода Apple Arcade – это новый абонентский сервис, который предлагает каталог из более чем 100 игр за $4,99 в месяц. Подписка дает доступ к играм на iPhone, iPad, iPod Touch, Apple TV и Mac. Платформа стала доступна с 16 сентября с пробным периодом в 30 дней, поэтому первые абонен...
Университет Бахрейна выпустит дипломы на блокчейне Как сообщает Trade Arabia, Университет Бахрейна начнет выпускать дипломы на блокчейне. Для этого учебное заведение планирует задействовать открытый стандарт Blockcerts, разработанный стартапом Learning Machine. В этом решении задействован блокчейн-биткоина. «Blockcerts обесп...
Binance сертифицирована по международному стандарту безопасности Криптовалютная биржа Binance объявила, что прошла сертификацию на соответствие стандарту управления информационной безопасностью ISO/IEC 27001. #Binance has received ISO27001 accreditation, certified by the DNV & UKAS, two world-renowned international accreditation bodie...
Как учиться пентесту. Советы экспертов и авторов «Хакера» Для подписчиковНачинать что-то изучать всегда непросто, и для новых дисциплин вроде информационной безопасности это особенно верно. Мы опросили некоторых авторов и друзей журнала, чтобы узнать, с чего они начинали свой путь, что им в этом помогло и какие знания в своей дисци...
Мультимодельные СУБД — основа современных информационных систем? Современные информационные системы достаточно сложны. Не в последнюю очередь их сложность обусловлена сложностью обрабатываемых в них данных. Сложность же данных зачастую заключается в многообразии используемых моделей данных. Так, например, когда данные становятся «большими...
Технологии вспомогательной реальности приходят в нефтегазовую отрасль Внедрение технологий и устройств дополненной реальности в производственный процесс позволило перевести весь перечень мероприятий, выполняемых работниками цеха подготовки и перекачки нефти (ЦППН) при осмотре и обслуживании технологического оборудования, с бумажных носителей в...
Уязвимости смартфонов Привет, Хабр! Меня зовут Ярослав Сташевский, я менеджер по информационной безопасности «ИТ-ГРАД». Сегодня я хотел бы поднять тему, которая касается каждого, — уязвимости смартфонов. Люди привыкли доверять своим мобильным устройствам очень чувствительную информацию. Это касае...
Власти фундаментально меняют стратегию контроля за интернетом Международная правозащитная группа «Агора» опубликовала аналитический доклад «Свобода интернета 2018: делегирование репрессий», который вновь зафиксировал падение показателей для России. К сожалению, в прошлом году был принят рад законов и законопроектов, которые угрожают ...
Глава ФСБ призвал дать мировым спецслужбам доступ к зашифрованным сообщениям в мессенджерах По словам Александра Бортникова, РФ разработала "концепцию инициативы, направленную на создание доверенной и прозрачной для контроля системы депонирования ключей шифрования, генерируемых мобильными приложениями". Также он предложил создать единые международные правила в инте...
Схемы распределения ключей с доверенным центром: схемы Жиро и Блома ПредисловиеДанный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления, а также, с этого учебного кода, кафедры защиты информации МФТИ (ГУ). Полностью учебник доступен на github (см. также draft re...
Twitter запускает функцию подписки на интересные темы Topics После месяцев тестирования сервис микроблогов Twitter наконец готов запустить функцию Topics. Она позволит пользователям автоматически следить не за определёнными учётными записями, а за темами. Пока что на момент запуска будет доступно более 300 тем, таких как спорт, игры, ...
Руководство Твиттера передумало удалять неактивные аккаунты пользователей Твиттер не будет удалять неактивные учетные записи. Но это временное решение Буквально вчера пресс-служба социальной сети Twitter объявила о том, что уже в декабре учетные записи неактивных пользователей будут удалены с площадки навсегда. Об этом мы сообщали в соответствующе...
Сколько стоит безопасность веб-приложений (на примере Barracuda WAF-as-a-Service) Итак, в выборе WAF программного обеспечения, устройства или облачных служб можно руководствоваться характеристиками продукта, легкостью развертывания, рейтингами производителя, качеством технической поддержки, примерами внедрений в других компаниях, сходных с вашей, и отзы...
Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...
Google рассказала, как она борется с миллионами фальшивых компаний в Google Maps Вчера известное издание The Wall Street Journal опубликовало собственное расследование, в котором говорилось о том, что в популярном картографическом сервисе Google Maps находятся миллионы фальшивых компаний, а уже сегодня Google дала официальный ответ, в котором подробно о...
Роскомнадзор заказал автоматизированную систему контроля за поисковиками и VPN 19 марта 2019 года на сайте госзакупок размещён тендер на разработку «автоматизированной системы контроля выполнения требований статьи 15.8 федерального закона от 27.07.2006 №149-ФЗ „Об информации, информационных технологиях и о защите информации”». Заказ разместило подвед...
Знакомство с ITSM: 10 хабратопиков и экспертных материалов для «быстрого погружения» в тему Это — материалы, которые помогут разобраться в ITSM-трендах и инструментах. / Unsplash / Headway Пять ключевых трендов ITSM на этот год. Наш хабрапост, который мы написали не так давно (после небольшого перерыва с публикациями в нашем блоге на Хабре). Рассказываем о реше...
Открылся Клуб Яндекс.Маркета для партнеров Яндекс открыл Клуб Маркета для партнеров, где партнеры смогут общаться с командой сервиса и друг с другом, делиться своим опытом и обсуждать чужой, предлагать идеи и задавать вопросы. Чтобы прокомментировать чужой пост или написать свой, достаточно авторизоваться с пом...
Как отменить подписку на Mac? Два способа Если вы оформляли подписку на различные сервисы при помощи App Store, а сейчас хотите ее отменить, сделать это можно прямо с iPhone или iPad. Но что если вы хотите воспользоваться для решения этой задачи своим компьютером Mac? Например, если оформили пробную подписку на при...
Как установить пароль на PDF-файл в macOS Не секрет, что обеспечение должной безопасности и конфиденциальности личных данных — один из главных приоритетов современной Apple. Но когда речь идёт о действительно важных документах, имеет смысл установить дополнительную защиту. Тем более, сделать это совсем не сло...
За два дня «белые» хакеры заработали на Pwn2Own $510 тысяч За два первых дня соревнования Pwn2Own-2019 в Ванкувере этичные хакеры нашли и продемонстрировали 14 уязвимостей в браузерах и платформах виртуализации. Это принесло им в общей сложности $510 тыс. Pwn2Own проводится в рамках конференции по информационной безопасности CanSecW...
Обратная сторона zero knowledge: бэкдор в zk-SNARK, который невозможно обнаружить Используя протокол доказательства с нулевым разглашением из семейства SNARK, вы никогда не знаете правил игры. Эти правила устанавливают участники процедуры генерации доверенных параметров системы, однако после её завершения проверить эти правила не представляется возможным....
[Перевод] Улучшенный sandboxing для Groovy скриптов От переводчика: При разработке CUBA Platform мы заложили в этот фреймворк возможность исполнения пользовательских скриптов для более гибкой настройки бизнес-логики приложений. О том, хороша или плоха эта возможность (и мы говорим не только о CUBA), ведутся долгие споры, но ...
Использование биометрических технологий для обеспечения информационной безопасности на объектах Пользователь использует бимодальный метод идентификации – прикладывает карту к сканеру, затем прикладывает ладонь, после чего осуществляется вход в информационную систему банка...
«СёрчИнформ» исследовала уровень защищенности российских компаний 12 ноября специалисты по информационной безопасности отмечают профессиональный праздник. К этой дате «СёрчИнформ» расспросила представителей служб информационной безопасности о главных ИБ-угрозах и о том, как повысить уровень защищенности ...
СМИ: Иран выпустил обеспеченную золотом криптовалюту PayMon Власти Ирана в сотрудничестве с четырьмя местными банками запустили криптовалюту для обхода международных санкций, сообщает CryptoGlobe. Как сообщает издание, криптовалюта под названием PayMon (от персидского «завет») обеспечена золотыми резервами. Над запуском нового платеж...
Electronic Arts устранила критическую брешь в клиенте Origin Компания Electronic Arts исправила брешь в игровой платформе Origin. Баг затронул только компьютеры под ОС Windows и позволял злоумышленникам повысить привилегии до уровня авторизованного пользователя. Патч для этой уязвимости был выпущен в понедельник, 15 апреля. Дейли Би (...
[Из песочницы] Модели в информационной безопасности Добрый день, Хабровчане! 1. Вместо вступления Недавно опубликованный перевод Ментальные модели ИБ заинтересовал меня не только общим посылом (в частности, применение моделей в обучении – острый для меня вопрос, ведь учёба – процесс непрерывный), но и списком ссылок на модел...
Twitter случайно хранил и передавал партнёрам информацию о месторасположении некоторых iOS-пользователей сервиса Сервис микроблогов Twitter исправил ошибку, из-за которой он случайно собирал и передавал данные о местоположении некоторых пользователей. Это затронуло некоторых людей, которые входили в более чем одну учётную запись в приложении для iOS. При этом если была активирована фун...
Директор Realme продемонстрировал, что пользуется iPhone Уже не раз случалось, что популяризаторы брендов Android-смартфонов или даже официальные каналы производителей размещали публикации в социальных сетях с помощью iPhone. Этим отметились Huawei, Google, Samsung, Razer и другие. Свою лепту в публичное признание достоинств iPhon...
Оказывается, iPhone 11 Pro следит за пользователями в обход запретов Смартфон iPhone 11 Pro постоянно собирает и передаёт данные о местоположении, даже когда пользователь отключил соответствующие сервисы в настройках. Об этой проблеме рассказал специалист по безопасности Брайан Кребс (Brian Krebs) в своём блоге KrebsOnSecurity. По...
Понимание Q-learning, проблема «Прогулка по скале» Это перевод статьи Understanding Q-Learning, the Cliff Walking problem Lucas Vazquez В последнем посте мы представили проблему «Прогулка по скале» и остановились на страшном алгоритме, который не имел смысла. На этот раз мы раскроем секреты этого серого ящика и увидим, чт...
В игровом клиенте GOG закрыто шесть опасных уязвимостей Эксперты Cisco Talos обнаружили набор серьезных уязвимостей в клиенте игровой платформы GOG. Бреши, которые уже закрыты в актуальной версии программы, позволяли взломщику повысить привилегии в системе и получить доступ к закрытым данным. Платформа GOG.com — это цифровой мага...
Леса Пермского края поставят под контроль искусственного интеллекта В 2020 году в эксплуатацию будет введена информационная система «Умный лес», использующая технологии искусственного интеллекта (ИИ) для управления природными ресурсами, сообщает Министерство информационного развития и связи Пермского ...
Россия заняла 9 место в мировом SSL-рейтинге, опережая Китай, Данию и Швейцарию Рынок информационной безопасности (ИБ) за последние несколько лет увеличивался стремительными шагами. Компании стали больше инвестировать в кибербезопасность, заключать больше контрактов. Глобальный рынок товаров и услуг в сфере цифровой безопасности растёт, в частности, SSL...
Антисанкции. В чем выгода импортозамещения в сфере IT Эксперты в сфере информационных технологий и производители отечественного оборудования и программного обеспечения обсудят проблему импортозамещения технологий на всероссийской конференции Информационного агентства России ТАСС "Антисанкции. В чем выгода импортозам...
Угнать дрон. Методы перехвата управления коптерами Для подписчиковОдновременно с развитием интернета вещей эволюционируют и методы взлома умных девайсов. Особый интерес с точки зрения информационной безопасности представляют дроны — научиться управлять чужим летательным аппаратом мечтают многие. Имеются ли способы «угона» ко...
Зачем Минпромторгу запрет на хранение данных на зарубежном оборудовании На Федеральном портале проектов нормативных правовых актов опубликован проект постановления об установлении запрета на допуск программно-аппаратных комплексов систем хранения данных (СХД) иностранного происхождения для участия в закупках для обеспечения государственных и му...
У Agent Tesla появился необычный дроппер Специалисты Cisco Talos рассказали о вредоносной кампании, нацеленной на похищение учетных данных пользователей и другой важной информации. Зловред, атаки которого начались в январе, применяет оригинальный загрузчик, чтобы обойти антивирусную защиту и внедрить свой код в лег...
Программа конференции ZeroNights 2019 В этом году ZeroNights пройдет 12 и 13 ноября в Санкт-Петербурге в клубе А2 (пр. Медиков, 3). На конференции обсудят безопасность различных устройств, проблемы криптографии, уязвимости в популярном программном обеспечении для работы с DICOM, взлом IoT, атаки на механизмы J...
Threat Hunting, или Как защититься от 5% угроз 95% угроз информационной безопасности являются известными, и защититься от них можно традиционными средствами типа антивирусов, межсетевых экранов, IDS, WAF. Остальные 5% угроз – неизвестные и самые опасные. Они составляют 70% риска для компании в силу того, что очень непрос...
Путь историка из HR в Java программисты: немного везения и упорства Наверняка вам известны истории, когда кто-то целенаправленно начал изучать, скажем, Java, еще в школе, потом пошел в институт, на работу – и вот он уже программер в Силиконовой долине с внушительным окладом. Я хочу вам рассказать о совсем необычном пути в кодеры. Из историко...
Открыт крупнейший в России региональный центр мониторинга и реагирования на кибератаки В церемонии торжественного открытия приняли участие заместитель губернатора Нижегородской области Игорь Носов, вице-президент ПАО "Ростелеком" по информационной безопасности Игорь Ляпунов и вице-президент, директор макрорегионального филиала "Волга" ПАО &...
Опубликован законопроект о цифровых профилях россиян Министерство цифрового развития, связи и массовых коммуникаций опубликовало законопроект о цифровых профилях россиян. Согласно тексту, цифровой профиль является «совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных о...
Приложение «Почта» для Windows 10 получило улучшенную тёмную тему Компания Microsoft выпустила обновлённое приложение «Почта» для Windows 10, которое принесло с собой новую тёмную тему оформления и упрощённый способ переключения учётных записей. Как сообщает портал Neowin, на текущий момент новая версия приложения доступна только инсайдер...
Как багхантеры перехватывали письма в пневмопочте на ZeroNights Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, ...
Исследователи нашли способ украсть аккаунты EA Origin ИБ-специалисты обнаружили уязвимости в механизме авторизации игровой платформы EA Origin. Злоумышленники могли воспользоваться багами, чтобы перехватить контроль над учетными записями, красть деньги пользователей и атаковать их друзей. Предложенный сценарий предполагает эксп...
5 мифов о работе архитектора решений. Мнение эксперта Когда в детстве мы хотим стать, скажем, врачом или следователем, то едва ли знаем специфику профессии. Похожие ситуации случаются и со взрослыми: представления о работе мечты на поверку имеют мало общего с реальностью. Но как выяснить наверняка, где скрыты подводные камни? О...
ГК «КОРУС Консалтинг» провела аудит безопасности в Itella ГК «КОРУС Консалтинг» завершила аудит системы информационной безопасности для российского офиса компании Itella, крупного международного логистического оператора. По итогам аудита эксперты сформировали набор рекомендаций для усиления контура ...
CRM-системы с точки зрения кибербезопасности: защита или угроза? 31 марта — международный день бэкапа, и неделя накануне всегда полна историй, связанных с безопасностью. В понедельник мы уже узнали про скомпрометированный Asus и «трёх неназванных производителей». Особо суеверные компании всю неделю сидят на иголках, делают бэкапы. А всё о...
Вышло новое накопительное обновление для Windows 10 October 2018 Update версии 17763.253 Компания Microsoft выпустила для Windows 10 October 2018 Update и Windows 10 April 2018 Update обновления KB4480116 (17763.253) и KB4480966 (17134.523) соответственно.Список изменений:• устранена уязвимость в PowerShell и теперь получить удаленный доступ можно только с учетн...
Восстановить Instagram-аккаунт скоро можно будет и без танцев с бубном В отличие от других социальных сетей Instagram никогда не славился простой процедурой восстановления аккаунта в случае его «угона» злоумышленниками. Благо, представители компании думают о своих пользователях, хоть и не сразу, и поэтому решили упростить непростую процедуру, ...
Эксперты: «3D-сканер обойдется в 10 раз дешевле, чем ошибка при традиционном контроле качества» Канадская компания Creaform – один из производителей, которые создают будущее на наших глазах. Портативные метрологические 3D-решения Creaform уже меняют правила игры на производстве, повышая эффективность контроля качества и оптимизируя технологический процесс. iQB Technolo...
Microsoft тестирует интеграцию сервисов Google Gmail, Drive и Calendar в веб-версию Outlook Корпорация Microsoft приступила к тестированию новой функции, которая позволит пользователям добавить некоторые сервисы Google, включая Gmail, к своим учётным записям Outlook. Пока что такая возможность доступна не всем пользователям. Но если её можно использовать в учётной ...
Законопроект о контроле за Интернетом прошел первое чтение Вместе с тем фактически предусмотренные законопроектом меры, по мнению многих специалистов, дают возможность органам власти существенно усилить контроль за распространением информации в Сети, вплоть до полной изоляции ее российской части. Мы писали об этом несколько недель н...
Как прокси применяют в информационной безопасности: 6 практических сценариев использования Изображение: Unsplash Прокси-серверы обычно используются в качестве «прокладки» между клиентом и веб-сайтом или онлайн-сервисов. Направление трафика через прокси помогает пользователям скрывать свое реальное местоположение и IP-адрес. При этом, прокси используют и компани...
This content is not available in your country: новости, которые вы не сможете узнать из России Один из самых простых способов заблокировать ту или иную информацию (читай — тот или иной ресурс) — это запрет доступа к нему по географическому признаку. Сама блокировка может быть связана с самыми разными причинами — если это медиасервис, то чаще всего это вопросы с ли...
Код блокировки в iOS: как в Apple перешли от эшелонированной обороны к охране единственного рубежа В прошлой статье я рассказал о режиме ограничения доступа к аксессуарам в устройствах под управлением iOS. В статье я акцентировал внимание на особенности iOS, которая ставит безопасность данных пользователя в зависимость от единственного «непреодолимого» защитного рубежа: к...
«Информзащита» завершила проект по оценке уровня соответствия СОИБ компании «ИНФИНИТУМ» требованиям ГОСТ по защите информации В АО «Специализированный депозитарий «ИНФИНИТУМ» успешно завершен проект по оценке соответствия системы обеспечения и управления информационной безопасностью (СОИБ) требованиям ГОСТ Р 57580.1-2017. Проект реализован экспертами ...
Топ-3 расширения для Google Chrome, которые уберегут вас от слежки Тотальной безопасности не бывает, и с этим нужно уметь мириться. Ни одна операционная система или программа не обеспечит вам гарантированной защиты – что-нибудь обязательно «утечет», а затем будет использовано против вас. Тем не менее, это совершенно не означает, что следуе...
Серия опасных уязвимостей найдена в программе Carousel Независимый ИБ-эксперт Дрю Грин (Drew Green) обнаружил серию уязвимостей в системе управления мультимедиа Carousel. Бреши позволяют неавторизованному пользователю загружать на сервер файлы и выполнять сторонний код. Решение Carousel от Tightrope Media Systems позволяет центр...
«Во время Холодной войны мы разговаривали»: Американский генерал обеспокоен тем, что НАТО не понимает Россию Командующий вооружёнными силами стран НАТО в Европе генерал Кёртис Скапаротти считает, что НАТО надо научиться понимать Россию и выстраивать диалог с Москвой. Одной из главных проблем современной политики является то, что разные стороны дипломатических отношений хронически ...
[Перевод] Анализ влияния музыкальных носителей на окружающую среду: цифровая музыка, аналоговые записи и CD Наш любимый способ прослушивания музыки, возможно, вредит окружающей среде сильнее, чем мы себе представляли Хотя потоковая музыка остаётся на первом месте в списке популярных способов прослушивания, продажи таких старых форматов, как аудиокассеты и виниловые пластинки, в ...
Профессоры российских вузов призывают привлечь нотариусов к регулированию смарт-контрактов Вопрос безопасности смарт-контракта как нового вида сделки сегодня вызывает все больше споров. Сторонники повсеместной цифровизации отмечают удобство и простоту сделок в цифровом виде и считают их безопасными для граждан благодаря системе распределенного реестра – блокчейн, ...
Microsoft: 70 % всех проблем ПО связаны с безопасностью памяти Порядка 70 % всех уязвимостей в продуктах Microsoft связаны с нарушениями безопасности в работе оперативной памятью. Речь идёт о неверной адресации или других способах, которые могут привести к сбою чтения из памяти или записи в неё. Как заявил инженер по безопаснос...
За информацию о взломе WhatsApp и iMessage объявлена награда в $1 млн Источник: cnn.com В мире немало компаний, которые работают в поле информационной безопасности, но как бы в обратном направлении. Такие организации покупают информацию о способах взлома известных и не очень сервисов и приложений, а также покупают эксплоиты. Одна из таких о...
Вебинары Hewlett Packard Enterprise в ноябре-январе В новой серии технических выбинаров эксперты Hewlett Packard Enterprise расскажут вам о способах повышения надёжности хранения данных, новостях мира гиперконвергенции, автоматизации ИТ-инфраструктуры, Интернете вещей, новых подходах к построению распределённых сетей. Зар...
Роскомнадзор пообещал через год рассказать о блокировке Telegram Как сообщает РИА Новости, Жаров пояснил, что Роскомнадзор работает над созданием новой системы противодействия запрещенному контенту, которая учитывает не только IP-протокол. При этом сложность нынешних механизмов обхода блокировки, по его словам, не позволяет полностью забл...
Казино Император и его отличительные черты Есть немало весомых причин, по которым количество постоянных пользователей в этом казино стабильно увеличивается. Это заведение, которое смогло продемонстрировать себя с наилучшей стороны. Там есть все, что только могут пожелать азартные люди. Найти и посмотреть поробности н...
Предустановленное ПО Android-смартфонов полно уязвимостей Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннег...
Топ-10 докладов конференции C++ Russia 2018: полные видеозаписи, слайды, комментарии В этой статье вас ждёт десять лучших докладов от Андрея Александреску, Дэвида Вандервурда, Джона Калба и многих других. Фичи компилятора C++, асинхронность, многопоточность, параллелизм, модель памяти, алгоритмы и STL, метапрограммирование и рефлекшен, огромное множество те...
Незнание принципов ИБ не освобождает от ответственности Безграмотные сотрудники опасны для компании. Они могут наломать таких дров, что те придётся вывозить составами. Это справедливо для любой отрасли и должности и информационной безопасности это касается в полной мере: щелчок по вложению или принесённая из дома заражённая фле...
Обнаружена новая функция троянца Rakhni По данным исследователей "Лаборатории Касперского", атакам Rakhni чаще всего подвергалась Россия (95.57%). Также заражения была зафиксированы в Казахстане (1.36%), на Украине (0.57%), в Германии (0.49%) и Индии (0.41%). Только за последний год жертвами вредоносного...
Карьерные стероиды. Путь Самурая Метод карьерного роста «Путь Самурая» как-то язык не поворачивается назвать стероидом, потому что он… Не знаю, правильный, что ли. Честный, настоящий, добрый и пушистый. Потому в жизни встречается не очень часто. Я смог вспомнить только четыре примера, и не все они из моей ...
Apple допустит всех желающих к поиску багов На конференции Black Hat, прошедшей в Лас-Вегасе в начале августа, компания Apple объявила о существенных изменениях в своей программе bug bounty. Представители корпорации пообещали открыть конкурс этичных хакеров для всех желающих, а также рассказали о планах продажи специа...
[Перевод] Вирусы, атакующие промышленные предприятия как угроза физической безопасности Всем привет! Сегодня делимся статьей переведенной специально для студентов курса «Реверс-инжиниринг». Поехали. Вирусы, атакующие промышленные предприятия как угроза физической безопасности Мы живем в мире, где все больше и больше производственных процессов контролируются ...
Twitter решил пока не удалять неактивные аккаунты Twitter приостановил свой план по удалению неактивных аккаунтов в связи с беспокойством пользователей по поводу невозможности сохранить учётные записи умерших людей. Изначально процесс удаления планировалось начать 11 декабря. Однако вчера команда Twitter Support объявила, ч...
Аудит контрагента, СЭД-бот и другие возможности открывает "Юниксофт" на базе EOS for SharePoint Компания "Юниксофт" (Московская область, г.Мытищи), сертифицированный партнёр компании-разработчика "Электронные Офисные Системы", расширяет функционал EOS for SharePoint путем слияния этого продукта ЭОС с другими информационными системами. В частности, в...
Запись сверх-широкополосных сигналов стандарта 802.14.5 UWB на почти санкционной технике Недавно два совершенно разных мира сошлись в нашей лаборатории: мир недорогих радио-трансиверов и мир дорогущих систем записи широкополосных радио-сигналов. Читать дальше →
Как настроить родительский контроль на Android Дети становятся все более технически подкованными и очень быстро осваивают азы работы с самой разной техникой. И, к сожалению, маленькие пользователи никак не ограждены от нежелательного контента. Какими бы продвинутыми не были алгоритмы работы соцсетей и стриминговых серви...
Zyxel Communications: Дэвид Соарес (David Soares) Сегодня компания Zyxel Communications объявила о назначении Дэвида Соареса (David Soares) на пост исполнительного вице-президента по канальным продажам и маркетингу в регионе EMEA и Северной Америке. Соарес, который работает в Zyxel с 2017 года на посту ...
К концу 2021 года Минкомсвязь должен обеспечить безопасную работу Рунета Это следует из паспорта национального проекта "Цифровая экономика РФ", опубликованного на сайте правительства РФ. Обеспечение безопасности российской информационной безопасности и инфраструктуры необходимо реализовать с помощью ряда мер.
Объявлены пароли, которые чаще всего взламывают Британский Национальный центр кибербезопасности опубликовал результаты исследования с паролями, которые чаще всего поддаются взлому в сети. Возглавляет список пароль 123456, он использовался в 23,2 млн учётных записей жертв взлома по всему миру. Затем идёт...
[Перевод] Хакеры могут удалённо управлять Tesla Model S используя систему автопилота Исследователям безопасности удалось получить удалённый контроль над системой автопилота автомобиля Tesla Model S и управлять им при помощи игрового джойстика. Таким образом, они обратили внимание на потенциальные проблемы безопасности современных систем содействия водителю (...
Вот это поворот: почему Apple изменила требования к разработчикам приложений В прошлом месяце Apple опубликовала изменения в гайдлайнах для разработчиков приложений под iOS. Они коснулись, в том числе, приложений для родительского контроля и обеспечения конфиденциальности детей. Причем часть новых рекомендаций идет вразрез с решениями, которые Apple ...
1000 и 1 фидбэк Привет! Меня зовут Евгения Голева, я выступила на TeamLeadConf с докладом про обратную связь и хочу поделиться с вами его вольной расшифровкой. Мне удалось под соусом совсем другого проекта научить инженеров давать обратную связь гораздо лучше, чем они делали это раньше. Для...
20% популярных Docker-контейнеров уязвимы к взлому Главный инженер Kenna Security Джерри Гамблин (Jerry Gamblin) обнаружил, что в20% популярных Docker-контейнеров присутствует учетная запись суперпользователя, которая не защищена паролем. Поводом для исследования послужили сведения о критической уязвимости CVE-2019-5021, кот...
AMD Ryzen 3000: решение проблем с Boost-частотой уже в пути Как и было обещано, компания AMD накануне рассказала об успехах в решении проблем, связанных с Boost-частотой 7-нм процессоров Ryzen 3000. Соответствующую запись в корпоративном блоге опубликовал Роберт Халлок (Robert Hallock), занимающий пост главы...
[Перевод] Основы движков JavaScript: оптимизация прототипов. Часть 2 Добрый день, друзья! Курс «Безопасность информационных систем» запущен, в связи с этим делимся с вами завершающей частью статьи «Основы движков JavaScript: оптимизация прототипов», первую часть которой можно прочитать тут. Также напоминаем о том, что нынешняя публикация явл...
Как сменить Google-аккаунт по умолчанию Google позволяет всем пользователям легко переключаться между несколькими имеющимися у них аккаунтами. Один из этих Google-аккаунтов назначается в качестве вашей учётной записи по умолчанию, которой, согласно правилам Google, является та, что была зарегистрирована первой. В...
Асимметричные криптографические протоколы распределения ключей: Деннинга—Сакко, DASS, Ву-Лама ПредисловиеДанный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления, а также, с этого учебного кода, кафедры защиты информации МФТИ (ГУ). Полностью учебник доступен на github (см. также draft re...
RCNTEC обновила системы мониторинга информационной безопасности Complaud Компания RCNTEC официально объявила о выпуске обновления системы мониторинга информационной безопасности Complaud. Также в релизе 1.14 представлены графики, демонстрирующие динамику состояния информационной безопасности инфраструктуры. Подробнее об этом читайте на THG.ru.
Более 20 тысяч владельцев Oracle EBS под угрозой PayDay Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформ...
В стандарте связи LTE обнаружено 36 уязвимостей Южнокорейские эксперты по вопросам информационной безопасности обнаружили 36 уязвимостей в стандарте связи LTE, которые позволяют реализовать широкий спектр атак. Некоторые из них могут быть достаточно пагубными. Выявленные уязвимости могут создавать небольшие временные труд...
В Epic Games Store бесплатно раздают Moonlighter и This War of Mine Признавайтесь, кто ещё даже учётную запись в EGS не создал?
Оцифрована учетная документация Музея-квартиры А.М. Горького Корпорация ЭЛАР завершила проект создания электронного страхового фонда учетной документации Музея-квартиры А.М. Горького Института мировой литературы им. А.М. Горького Российской академии наук (ИМЛИ РАН). В результате выполненных работ бережно оцифрованы книги посту...
Майнинговый бот ищет хосты Docker с помощью Shodan Исследователи из Trend Micro изучили криптоджекинговую кампанию, в рамках которой злоумышленники атакуют хосты с открытым Docker API для внедрения бота с майнером Monero. Поиск пригодных для заражения объектов в Сети автоматизирован; для этого зловред использует скрипт Shoda...
В России создадут «киберполигон» Правила содержатся в проекте постановления правительства, который был опубликован на сайте regulation.gov.ru.Как указано в проекте, киберполигон - это "инфраструктура для тестирования программного и аппаратного обеспечения путем моделирования компьютерных атак и от...
Система безопасности V-Lock от Siemon улучшает контроль доступа к шкафам в ЦОД Компания Siemon, эксперт в создании решений для управления ИТ-инфраструктурой, разработала систему безопасности V-Lock, управляющую доступом к дверям шкафов в центрах обработки данных. Система V-Lock обеспечивает контроль доступа ...
Задержан администратор ботсетей, состоявших из 50 000 зараженных компьютеров Задержанный был "наемником", он предлагал киберкриминальным группам услуги по модели cybercrime as-as-service: на арендованных серверах разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи - логины и пароли почто...
Самые популярные способы кражи денег и личных данных россиян Российские компании, специализирующиеся на информационной безопасности, рассказали о наиболее частых способах кражи личных данных и денежных средств.