[Из песочницы] Путь от хирургии к геймдеву или первый опыт мобильной разработки на Unity Зачем, кому и от кого Всем привет! Меня зовут Анатолий. Я хочу рассказать историю о наших первых шагах в геймдеве, чтобы поделиться пусть и небольшим, но всё же опытом. Зачем? Потому что всего 6 месяцев назад сам искал подобные публикации, перечитывал и выписывал советы. Над...
Security Week 10: уязвимости в драйверах NVIDIA Вот что мы еще ни разу не обсуждали в формате дайджеста, так это уязвимости в драйверах для видеокарт. Компания NVIDIA опубликовала 28 февраля информацию о восьми уязвимостях: практически все позволяют повышать привилегии или выполнять произвольный код. Одна брешь относится ...
[Из песочницы] Распутывание клубка уязвимостей на сайтах После своей первой статьи, опубликованной на codeby, которая вошла в топ 3 публикаций недели, я был очень мотивирован написать следующую. Но 11 класс накладывает ограничения на свободное время подготовкой к егэ и олимпиадами. Поэтому вторую я пишу лишь спустя несколько меся...
Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...
[Перевод] Современная игра для NES, написанная на Lisp-подобном языке What Remains — это повествовательная игра-адвенчура для 8-битной видеоигровой консоли NES, выпущенная в марте 2019 года как бесплатный ROM, запускаемый в эмуляторе. Она создавалась небольшой командой Iodine Dynamics на протяжении двух лет с перерывами. В настоящий момент игр...
Как я Telegram ломал Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Н...
Аудит безопасности облачной платформы MCS SkyShip Dusk by SeerLight Построение любого сервиса обязательно включает в себя постоянную работу над безопасностью. Безопасность — это непрерывный процесс, который включает в себя постоянный анализ и улучшение защищенности продукта, мониторинг новостей про уязвимости и мн...
WordPress преследуют баги в плагинах сторонних разработчиков В 2018 году число уязвимостей, связанных с CMS WordPress, возросло втрое по сравнению с 2017-м, однако наиболее масштабные атаки зафиксированы на сайты под управлением Drupal, в которой найдено несколько критических багов. Такие данные содержатся в отчете, опубликованном ком...
В архиваторе WinRAR нашли уязвимость возрастом в 19 лет История с уязвимостями в процессорах показала, что дыры в безопасности могут существовать годами до того момента, как их найдут. И хотя такое случается нечасто, это произошло снова. Как стало известно, в архиваторе WinRAR, который вряд ли нуждается в отдельном представл...
HTTPS не всегда такой безопасный, как кажется. Уязвимости найдены у 5,5% сайтов HTTPS Один из топовых сайтов Alexa (центральный кружок), защищённый HTTPS, с поддоменами (серым) и зависимостями (белым), среди которых есть уязвимые (штриховая заливка) В наше время значок защищённого соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьёзн...
[Из песочницы] Рассылка Push-уведомлений с SpringBoot сервера Предисловие Приветствую Вас. Недавно передо мной стала задача — настроить Push-уведомления на сайте. С этим я столкнулся впервые и во много разобраться мне помогла эта статья. В ней же уже есть описание серверной стороны, но, в процессе изучения данной темы я обнаружил более...
Как простой <img> тэг может стать высоким риском для бизнеса? Безопасность на реальных примерах всегда интересна. Сегодня поговорим об SSRF атаке, когда можно заставить сервер делать произвольные запросы в Интернет через img тэг. Итак, недавно занимался тестированием на проникновение одновременно на двух проектах, сразу на двух э...
Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...
Как я стал уязвимым: сканируем ИТ-инфраструктуру с помощью Qualys Всем привет! Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов. Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам....
[Из песочницы] Domain Driven Design: Value Objects и Entity Framework Core на практике На Хабре и не только написано приличное количество статей про Domain Driven Design — как в общем про архитектуру, так и с примерами на .Net. Но при этом зачастую слабо упоминается такая важнейшая часть этой архитектуры, как Value Objects. В этой статье я постараюсь раскрыт...
[Перевод] Руководство по развертыванию моделей машинного обучения в рабочей среде в качестве API с помощью Flask Друзья, в конце марта мы запускаем новый поток по курсу «Data Scientist». И прямо сейчас начинаем делиться с вами полезным материалом по курсу. Введение Вспоминая ранний опыт своего увлечения машинным обучением (ML) могу сказать, что много усилий уходило на построение дейс...
«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак Пока визионеры разного масштаба, авторы сценариев антиутопических фильмов и хайтек-сериалов и прочие выдумщики и алармисты рисуют разной степени убедительности картины о восстании «умных» устройств или применении смарт-дома как орудия убийства или терроризма, специалисты по...
Германия. Advanced Immigration guide Историй переезда в Германию достаточно много. Однако большинство из них достаточно поверхностны, так как пишутся обычно в первые несколько месяцев после переезда и раскрывают самые простые вещи. В этой статье не будет информации о том сколько в Германии стоит десяток яиц, ...
Хакеры в рамках законов РФ После публикации статьи о моих исследования в качестве Grey hat, в комментариях к статье и в чате Telegram (@router_os) люди стали писать, что я нарушил все законы и меня посадят. И как обещал, спустя несколько месяцев я пишу эту статью и даже не из камеры СИЗО :-) Более т...
Как мы закрываем уязвимости в ОС Astra Linux Special Edition Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их ус...
Стали известны детали обнаруженной в Lightning Network уязвимости Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети Lightning Network, о которой впервые стало известно в конце августа. ICYMI: Here are all the details of the recent Lightning bug. https://t.co/NVzKmGW5I6 — TheRustyTwit (@rusty_twit)...
[Перевод] Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль Недавно я нашёл интересную уязвимость, позволяющую установить любому пользователю конкретного сайта любой пароль. Круто, да? Это было забавно, и я подумал, что можно написать интересную статью. На неё вы и наткнулись. Примечание: автор переведённой статьи не специалист ...
[Из песочницы] Как я нашел свою первую уязвимость? Предисловие Всем привет. Мне 20 лет. Еще недавно я учился в лицее и готовился поступать в медицинский ВУЗ, а сейчас я — фулстэк разработчик в одной американской компании. На самом деле я очень рад, что с медициной у меня не вышло — программирование было моим хобби, а сейчас ...
Наша космическая промышленность. Взгляд на проблемы рядового разработчика Я работал в нашей космической промышленности достаточно долго (1983-1995, 2008-2012 годы). Когда читаешь статьи о наших неудачах, в них часто не видны основные действующие механизмы создания проблем. Итак, я хотел бы начать это рассмотрение с принципа «фактической негативн...
Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности Изображение: Unsplash Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. А в некоторых случаях таких новых уязвимостей оказывается больше одной. Читать дальше →
[Из песочницы] Как я НЕ просканировал Белорусский интернет Предисловие Данная статья не совсем похожа на те, что публиковались ранее про сканирования интернетов определенных стран, потому как я не преследовал целей массового сканирования конкретного сегмента интернета на открытые порты и наличие самых популярных уязвимостей ввиду то...
В Drupal залатали баг удаленного выполнения кода Разработчики Drupal сообщили об опасной уязвимости ядра, затрагивающей 7-ю и 8-ю версии CMS. Брешь дает возможность злоумышленнику удаленно выполнить любой PHP-код и перехватить управление сайтом. Создатели CMS оценили баг как в высшей степени критичный и призвали веб-админи...
В Exim устранили еще один RCE-баг Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере. Проблема, получившая идентификатор CVE-2019...
Обновление* Ethereum «Constantinople» откладывается из-за найденной в последний момент потенциальной уязвимости *многие называют это событие «hard fork»-ом, но «Виталик» против. Долгожданный релиз Constantinople должен был состояться 17 января, в 4AM UTC, однако, в очередной раз жестоко обломав несметную армию разработчиков countdown счетчиков этому не суждено будет сбыться. Читать ...
Линейная регрессия и методы её восстановления Источник: xkcd Линейная регрессия является одним из базовых алгоритмов для многих областей, связанных с анализом данных. Причина этому очевидна. Это очень простой и понятный алгоритм, что способствует его широкому применению уже многие десятки, если не сотни, лет. Идея зак...
[Перевод] О сложностях при портировании Dead Cells на мобильные платформы Лаура Саада, главный продюсер в Playdigious, поделилась историей о процессе портирования Dead Cells на мобильные платформы. Предупреждая вопросы: да, Dead Cells будет премиумной мобильной игрой. Игра платна на PC, на консолях, такой останется и на мобилах. Год назад Motion...
Facebook пропатчила Fizz — свою реализацию протокола TLS Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалис...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...
Ищем уязвимости в UC Browser Введение В конце марта мы сообщали, что обнаружили скрытую возможность загрузки и запуска непроверенного кода в UC Browser. Сегодня разберём подробно, как эта загрузка происходит и как хакеры могут использовать её в своих целях. Некоторое время назад UC Browser рекламиро...
Vue 3 станет быстрее Одним из самых ярких событий в мире Фронтенда в этому году стала публикация репозитория Vue next — части функционала третьей версии VueJS. В этой в этой статье представлен обзор новых killer features VueJS. На момент публикации статьи репозиторий находился в статусе Pre-Alp...
Безопасность IoT. Выпуск 1. Умные часы, фитнес-трекеры и весы В своей прошлой статье я рассказывал, как съездил на DefCamp. Сегодняшняя статья — первая часть публикации о моих исследованиях в области безопасности интернета вещей, которые легли в основу выступления на конференции. IoT быстро развивается: сейчас насчитывается более 260...
[Перевод] Фаззинг в стиле 1989 года С наступлением 2019 года хорошо вспомнить прошлое и подумать о будущем. Оглянемся на 30 лет назад и поразмышляем над первыми научными статьями по фаззингу: «Эмпирическое исследование надёжности утилит UNIX» и последующей работой 1995 года «Пересмотр фаззинга» того же автора ...
В Joomla выявили уязвимость нулевого дня Специалист компании Hacktive Security Алессандро Гроппо (Alessandro Groppo) обнаружил опасную уязвимость в CMS Joomla. По его словам, некоторые версии системы допускают внедрение стороннего PHP-инжекта, что может привести к выполнению вредоносного кода на сервере веб-ресурса...
Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня Угроза нулевого дня (англ. zero day) – это термин, обозначающий уязвимости, допущенные при разработке, которые еще не были обнаружены. Такие уязвимости могут использоваться злоумышленниками, что в итоге затронет и репутацию компании. Перед разработчиками стоит задача максим...
Посмотрел на картинку — помог хакеру: Google обнаружила в Android новую серьёзную уязвимость Компания Google обнаружила в операционной системе Android серьёзную уязвимость, позволяющую при желании запустить на чужом смартфоне произвольный код. Для этого требуется всего лишь картинка. Конечно, не всё так просто. На самом деле нужен специальным образом сконфигури...
Камера в смартфонах Google Pixel и Samsung может тайно шпионить за пользователями Камера вашего смартфона может устанавливать за вами слежку, пусть и не без посторонней помощи Android – одна из немногих — если вообще не единственная – операционных систем, чей недостаток обратился в преимущество. Благодаря несовершенствам платформы Google может кажды...
И ещё один Steam Windows Client Local Privilege Escalation 0day В предыдущей серии Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в и...
Портирование Qt на STM32 Добрый день! Мы в проекте Embox запустили Qt на STM32F7-Discovery и хотели бы об этом рассказать. Ранее, мы уже рассказывали как нам удалось запустить OpenCV. Qt — это кроссплатформенный фреймворк, который включает в себя не только графические компоненты, но и такие вещи ка...
Уязвимость в Android позволяет подменять сообщения в WhatsApp и Telegram Уязвимости на Android – изменчивы, многогранны и вечны. От них не спасают даже регулярные обновления безопасности, которые Google выпускает каждый месяц. Но если одни уязвимости дискредитируют саму операционку, то другие на корню подрывают доверие пользователей к сторонним ...
Баг в iMessage позволяет взломать любой iPhone удаленно Всем известно, какое пристальное внимание Apple уделяет безопасности своих операционных систем. Но даже корпорация такого масштаба не всегда способна вовремя выявить все критические ошибки и уязвимости, которые могут быть использованы злоумышленниками. Не стал исключением и...
AMD удалось доказать безупречность своих процессоров в суде Согласно действующим нормам американского законодательства, подчиняющиеся ему компании должны регулярно упоминать в формах 8-K, 10-Q и 10-K об основных факторах риска, которые угрожают бизнесу или могут обернуться для акционеров серьёзными убытками. Как правило, инвесторы ил...
Популярные приложения на Google Play содержат уязвимости Эксперты Check Point обнаружили серьезные уязвимости в представленных на Google Play приложениях с сотнями миллионов загрузок, включая продукты Facebook и Yahoo. По словам исследователей, безопасные на первый взгляд Android-программы содержат глубинные баги, грозящие исполне...
Бесконечный UIScrollView Во многих приложениях вы можете столкнуться с прокруткой, которая никогда не переносится в противоположном направлении в конце контента. Эта техника стандартна уже в течение многих лет, на многих платформах. С другой стороны, есть много сторонних библиотек, чтобы получить ...
[Перевод] Предложения относительно уязвимостей и защиты моделей машинного обучения В последнее время эксперты все чаще затрагивают вопрос безопасности моделей машинного обучения и предлагают различные способы защиты. Самое время детально изучить потенциальные уязвимости и средства защиты в контексте популярных традиционных систем моделирования, таких как...
Статистика сайта и своё маленькое хранилище Утилита Webalizer и инструмент Google Analytics помогали мне много лет получать представление о том, что происходит на веб сайтах. Сейчас я понимаю, что они дают очень мало полезной информации. Имея доступ к своему файлу access.log, разобраться со статистикой очень просто и ...
Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7 Уязвимости в iOS мы обсудили на прошлой неделе, пришла очередь уязвимостей в Android. Четвертого сентября информацию о проблеме в Android опубликовали исследователи из Zero Day Initiative (новость, бюллетень), причем на момент публикации она так и не была закрыта. В выпущенн...
Разработчиков Microsoft не тревожит публикация PoC-эксплоитов для уязвимостей в IE и Edge Представители Microsoft не считают опасными уязвимости в браузерах IE и Edge, для которых на прошлой неделе были опубликованы эксплоиты.
Steam Windows Client Local Privilege Escalation 0day Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятн...
Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим. На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным. Здесь и...
Охота за ошибками, Blind-XSS и лисьи хитрости Лисы знают толк в охоте :) Многие наверняка уже слышали о BugBounty, поиске уязвимостей с вознаграждениями и сопутствующих историях об этом. Я, как один из «охотников за ошибками», начал свой путь чуть больше года назад на площадке HackerOne. За это время мне удалось много...
Найдены уязвимости в распространенных прошивках для Wi-Fi SoC Опубликованы детали уязвимостей в ThreadX, которые могут коснуться множества устройств, включая смартфоны, ноутбуки, игровые приставки, роутеры и так далее.
Уязвимость Internet Explorer грозит потерей файлов Специалист по кибербезопасности Джон Пейдж (John Page) опубликовал информацию об уязвимости Internet Explorer 11, позволяющей получить доступ к локальным файлам. Исследователь уведомил Microsoft о найденном баге, но компания отказалась выпускать внеплановый патч. Проблема св...
Энтузиаст установил iOS 13 на iPhone 6. Как это ему удалось? В начале июня Apple анонсировала свою новую мобильную операционную систему iOS 13. Обновлением можно смело назвать знаковым, ведь в системе дебютировали долгожданные многими функции: темный режим интерфейса, менеджер загрузок в браузере, поддержка любых внешних накопителей ...
Все о правильном написании текстов В интернете есть огромное количество информации, которая может нам пригодиться в разных случаях жизни. Все люди, которые так или иначе связаны с созданием какого-то контента, обязательно используют интернет для поиска свежих идей, а также для поиска интересных статей и замет...
В актуальной версии vBulletin обнаружена критическая 0-day Анонимный ИБ-исследователь выложил в открытый доступ PoC для уязвимости нулевого дня в CMS vBulletin, позволяющей взламывать интернет-форумы и похищать данные участников. Эксперты опасаются грядущей волны кибератак, от которых могут пострадать сотни миллионов пользователей. ...
[Из песочницы] Передача данных между сценами в Unity — применение мультисценности в разработке простых игр Данная статья будет полезна начинающим разработчикам игр. В ней я расскажу о собственном опыте реализации мультисценного взаимодействия и проблемах с которыми я столкнулась. Поговорим о статических классах для хранения данных, различных способах подгрузки сцен движком Unity,...
[Из песочницы] Как я поступал в 18 университетов США Всем привет. Меня зовут Даниил, и в этой статье я хочу поделиться с вами своей историей поступления в бакалавриат 18 университетов США. В интернете достаточно много рассказов о том, как можно учиться в магистратуре или аспирантуре совершенно бесплатно, но мало кто знает, что...
[Из песочницы] Реализация горячей перезагрузки С++ кода в Linux * Ссылка на библиотеку в конце статьи. В самой статье изложены механизмы, реализованные в библиотеке, со средней детализацией. Реализация для macOS еще не закончена, но она мало чем отличается от реализации для Linux. Здесь в основном рассматривается реализация для Linux. Г...
Разработка чат-бота (laravel+botman) Welcome! Я, как junior full stack разработчик, при попытке написать бота с использованием laravel и botman’а столкнулся с многими проблемами. Во-первых, я плохо знаю английский, а на русском статей очень мало на эту тему, а те, что есть не помогли мне решить мои проблемы. В ...
Создание продуктов, формирующих привычки Продолжаю, как я считаю, хорошую привычку делиться конспектами прочитанных книг. Букв будет много, но оно того стоит. Сократить старалась максимально, оставив полезное и не потеряв суть, но получилось все равно много. Немного о книге: написана легко и интересно, мало воды...
[Перевод] HTTP-заголовки для ответственного разработчика Сегодня быть онлайн — это привычное состояние для многих людей. Все мы покупаем, общаемся, читаем статьи, ищем информацию на разные темы. Сеть соединяет нас со всем миром, но прежде всего, она соединяет людей. Я сам пользуюсь интернетом уже 20 лет, и мои отношения с ним изм...
Kaspersky о безопасности решений для удаленного доступа Эксперт «Лаборатории Касперского» Павел Черемушкин изучил безопасность промышленных систем удаленного доступа (Virtual Network Computing, VNC). В результате исследования в четырех таких решениях было обнаружено 37 уязвимостей, многие из которых годами переходят из ...
Уязвимость в соцсети «ВКонтакте» привела к волне спама Пользователи «ВКонтакте» столкнулись со спамерской атакой, построенной на не известной ранее уязвимости. По имеющимся сведениям, организаторы кампании пытались отомстить администрации соцсети за отказ платить по программе bug bounty. Вечером 14 февраля по «ВКо...
Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...
[Из песочницы] Взламываем механизм приватности Mimblewimble Приватность криптовалюты Mimblewimble/Grin фундаментально уязвима. Потратив всего $60 в неделю на AWS, я однозначно связал отправителей и получателей для 96% транзакций Grin в режиме реального времени. Уязвимость находится в основе протокола Mimblewimble, и я не думаю, что...
Комбо для Drupal. Как захватить сайт с Drupal, используя новые уязвимости Для подписчиковВ этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на не...
[Перевод] В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учет...
BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...
Как работает ProGuard Если вы когда-либо задумывались о безопасности своего приложения, либо как-то хотели оптимизировать свой код, то, наверняка, вы знаете что такое ProGuard. Возможно, вы уже пострадали от него или смогли превозмочь документацию, парочку статей на просторах и разобрались, что ...
«Ростелеком» рассказал об уязвимостях в ИТ на производстве 72% таких уязвимостей могут парализовать работу предприятия, однако многие организации делятся информацией в лучшем случае только на собственных ресурсах и с национальными CERT.
Вышел апрельский набор патчей для Android Компания Google опубликовала перечень уязвимостей, которые должны быть закрыты в Android в соответствии с уровнем безопасности на начало апреля. Как всегда, список разделен на две группы: бреши, актуальные для всех мобильных устройств под управлением этой ОС (вендоры могут и...
В Штатах ГОСТы тоже так себе. Фатальная уязвимость в YubiKey FIPS, которую можно было избежать Привет, %username%! 13 июня 2019 года компания Yubico, производитель устройств для двухфакторной аутентификации, выпустила уведомление о безопасности в котором говорится о критической уязвимости некоторых устройств Yubikey FIPS. Давайте посмотрим что это за уязвимость и к...
[По докам] Flutter. Часть 2. Для iOS разработчиков После длительного перерыва я продолжу рассказывать о популярном фреймворке Flutter в формате «вопрос — ответ». Первую статью для Android-разработчиков вы можете найти здесь, а сегодня будет полезный материал для разработчиков под iOS. Если у вас мало времени для самостоятел...
[Перевод] Как жалобы перенастраивают ваш мозг на негатив [и влияют на здоровье] Предисловие: Ссылку на оригинальную статью я увидел в комментарии здесь, на Хабре (к сожалению, не могу его найти чтобы указать автора и сказать спасибо). Статья имеет значение не только для тех, кто жалуется (кто же в этом признается?), но и тем, кому жалуются. Не все знают...
Как я патчил Вселенную :) На Хабре достаточно много статей про разработку игр, однако среди них очень мало статей, которые касаются “закулисных” тем. Одной из таких тем является организация доставки, собственно, игры большому количеству пользователей на протяжении длительного времени (год, два, три...
Оптимизация производительности .NET (C#) приложений Статей с подобным заголовком достаточно много, поэтому постараюсь избежать банальных тем. Надеюсь, что даже очень опытные разработчики найдут здесь что-то новое для себя. В данной статье будут рассмотрены только простые механизмы и подходы к оптимизации, которые позволят п...
[Из песочницы] Легкое создание отчетов на C/C++ Если вы разрабатываете на C/C++ какое-либо ПО для операторов (администраторов) больниц, магазинов, сервисов проката гироскутеров, ремонта сотовых телефонов, то наверняка сталкивались с задачей создания отчетов, чтобы печатать их на принтере, ну или хотя бы в PDF. Существует ...
5 вещей, которые чаще всего не понимают новички в JavaScript Всем привет! В конце сентября в OTUS стартует новый поток курса «Fullstack разработчик JavaScript». В преддверии начала занятий хотим поделиться с вами авторской статьей, подготовленной специально для студентов курса. Автор статьи: Павел Якупов Превью. Хочу сразу отмети...
Основы движков JavaScript: общие формы и Inline кэширование. Часть 1 Привет, друзья. В конце апреля мы запускаем новый курс «Безопасность информационных систем». И уже сейчас хотим поделиться с вами переводом статьи, которая непременно будет очень полезной для курса. В статье описаны ключевые основы, они являются общими для всех движков Jav...
Злоумышленники опробуют новый эксплойт для Exim Зафиксированы первые попытки массовой эксплуатации недавно обнародованной уязвимости в почтовом агенте Exim. Пользователям продукта настоятельно рекомендуется обновить его до версии 4.92. В настоящее время Exim используют более половины почтовых серверов в Интернете. Для зло...
Как подключить скрипт на сторонний сайт Привет Хабр! Это первый пост в нашем блоге. Многие знают нас как чат для сайта, именно с него мы начинали, а сейчас мы занимаем лидирующие позиции в сфере бизнес-мессенджеров. Мы постепенно эволюционировали в комплексное бизнес-решение, которое предоставляет множество возмож...
Критическая уязвимость в продуктах компании Zemana и не только Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация подобных уязвимостей в некоторых продуктах даже в 2018 году не является проблемой. Уупс Читать дал...
Очередная уязвимость чипов Intel позволяет злоумышленникам перехватывать важную информацию Кодовое имя найденной уязвимости — NetCAT.
[Из песочницы] Подводные камни Java Здравствуйте. Хочу представить вашему вниманию небольшую статью. Цель данной публикации: Показать наиболее часто встречающиеся ошибки начинающих и некоторые приемы их исправления. Понятно, что некоторые ошибки могут быть сложными и происходить по тем или иным причинам. Цель...
Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...
Дыра в безопасности macOS позволяет злоумышленникам обойти встроенную защиту при установке приложения не из App Store Apple, вероятно, столкнулась с очередной уязвимостью технологии Gatekeeper, которая обеспечивает запуск только доверенного программного обеспечения на компьютере Mac. Исследователь безопасности Филиппо Кавалларин (Filippo Cavallarin) обнаружил и подробно описал новую уязвимо...
Уязвимость библиотеки Windows грозит отказом в обслуживании Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал уязвимость криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагруз...
Бойтесь уязвимостей, воркэраунды приносящих. Часть 1: FragmentSmack/SegmentSmack Всем привет! Меня зовут Дмитрий Самсонов, я работаю ведущим системным администратором в «Одноклассниках». У нас более 7 тыс. физических серверов, 11 тыс. контейнеров в нашем облаке и 200 приложений, которые в различной конфигурации формируют 700 различных кластеров. Подавл...
Автоматизация для самых маленьких. Часть нулевая. Планирование СДСМ закончился, а бесконтрольное желание писать — осталось. Долгие годы наш брат страдал от выполнения рутинной работы, скрещивал пальцы перед коммитом и недосыпал из-за ночных ролбэков. Но тёмным временам приходит конец. Этой статьёй я начну серию о том, как мне видит...
Удешевление мелких серий электроники в России. Кейс интернет-радиоприемника WOLNA На картинке ниже фото двух версий платы интернет-радиоприемника WOLNA-1 Слева до того, как я осознал как оптимизировать себестоимость, и справа после. Для сравнения: 120 точек пайки против 300, 20 компонентов против 80, 14 пунктов в BOM вместо 31. И при этом функционал стал ...
Вредоносный видеофайл позволяет выполнить код в WhatsApp Разработчики WhatsApp исправили серьезную уязвимость, которая могла привести к отказу в обслуживании или удаленному выполнению кода. Баг получил заплатку еще в октябре, однако в Facebook предпочли не разглашать эту информацию, чтобы пользователи успели установить важное обно...
Загадка нейтрино от Сверхновой 1987А Сверхновая 1987А: во время и до вспышки Не очень давно здесь была неплохая статья Bars21 о нейтрино от сверхновых. Она мне очень понравилась, и кое-какие моменты (например, про урка-процесс) натолкнули на то, что мы не только читали или слушали одних и тех же преподавателе...
[Перевод] Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик Автор статьи, перевод которой мы сегодня публикуем, говорит, что React — это её любимая библиотека для создания интерактивных интерфейсов. React одновременно и лёгок в использовании, и достаточно хорошо защищён. Однако это не значит, что React-приложения совершенно неуязвимы...
Часть вторая. Как проходить code review по версии Google Возможно вы читали первую часть статьи про код ревью со стороны ревьювера (кстати, мы уже успели ее обсудить в последнем выпуске подкаста "Цинковый прод"). Так как статья набрала много лайков, пишу обещанное продолжение про код ревью с другой стороны — со стороны автора из...
Уязвимость macOS позволяет читать зашифрованную почту. Как исправить Apple постоянно делает упор на то, что главным приоритетом для неё остаётся приватность и безопасность пользователей. Однако в приложении Почта в macOS есть недоработка, связанная с шифрованием, и компания знает о ней уже несколько месяцев. Есть пара оговорок, о...
Восхождение на Эльбрус — Разведка боем. Техническая Часть 1. Регистры, стеки и другие технические детали Как и обещали, продолжаем рассказывать про освоение процессоров Эльбрус. Данная статья является технической. Информация, приведенная в статье, не является официальной документацией, ведь получена она при исследовании Эльбруса во многом как черного ящика. Но будет безусловно ...
[Перевод] Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов Эта статья является частью серии «Fileless Malware». Все остальные части серии: Приключения неуловимой малвари, часть I Приключения неуловимой малвари, часть II: скрытные VBA-скрипты Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли ...
[recovery mode] REST страсти по 200 Давно я хотел написать эту статью. Все думал — с какой стороны зайти правильнее? Но, вдруг, недавно, на Хабре появилась подобная статья, которая вызвала бурю в стакане. Больше всего меня удивил тот простой факт, что статью начали вбивать в минуса, хотя она даже не декларир...
[Перевод] Почта не ходит далее 500 миль – ЧаВо История про электронную почту, которая не уходила дальше 500 миль от отправителя, давно стала бородатой классикой. Я думал, что нормальная реакция – просто посмеяться, но нашлось не так мало людей, пожелавших доказать автору, что такого не могло быть, потому что… В конце кон...
[Из песочницы] Как быть опубликованным в Google Play в 2019 Вступление Опубликовать приложение, не нарушив ни чьих прав, стало непростой задачей. За последние пару лет в Google Play добавилось множество новых правил и ограничений, причем некоторые из них действуют только в определенных регионах и бремя отслеживания какие ограничения ...
Как мы в Parallels покоряли Sign In with Apple Думаю у многих уже после WWDC 2019 на слуху Sign In with Apple (кратко SIWA). В материале я расскажу с какими конкретно подводными камнями пришлось столкнуться при интеграции этой штукенции в наш лицензионный портал. Данная статья не совсем для тех, кто только решил разобр...
[Из песочницы] Поймут даже дети: простое объяснение async/await и промисов в JavaScript Привет, Хабр! Представляю вашему вниманию перевод статьи «JavaScript Async/Await and Promises: Explained like you’re five years old» автора Jack Pordi. Каждый, кто считает себя JavaScript-разработчиком, в какой-то момент должен был столкнуться с callback-функциями, промисам...
[Перевод] Миллионы бинарников спустя. Как укреплялся Linux TL;DR. В этой статье мы исследуем защитные схемы (hardening schemes), которые из коробки работают в пяти популярных дистрибутивах Linux. Для каждого мы взяли конфигурацию ядра по умолчанию, загрузили все пакеты и проанализировали схемы защиты во вложенных двоичных файлах. Ра...
Google во много раз увеличил вознаграждения за поиск уязвимостей в Chrome, Chrome OS и Google Play Google, который уже выплатил исследователям в области безопасности более 15 миллионов долларов с момента запуска программы поиска уязвимостей, сегодня увеличил премии за найденные в Chrome и Play ошибки.
Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...
Кто хочет стать миллионером? Mail.ru обещает миллион рублей за уязвимости в новом браузере Atom Mail.ru Group представила новый браузер Atom с акцентом на безопасность и приватность пользователей. Для проверки компания запустила публичную программу поиска уязвимостей. Пользователям, которые найдут серьёзную уязвимость в Atom обещана награда в размере одного...
Тысячи Android-приложений могут содержать RCE-уязвимость Уязвимость выполнения стороннего кода в WhatsApp присутствует и в других приложениях для Android. К такому выводу пришли специалисты TrendMicro, нашедшие около 3000 потенциально опасных программ в Google Play и сторонних файловых архивах. Баг эксплуатируется через вредоносны...
Программа конференции ZeroNights 2019 В этом году ZeroNights пройдет 12 и 13 ноября в Санкт-Петербурге в клубе А2 (пр. Медиков, 3). На конференции обсудят безопасность различных устройств, проблемы криптографии, уязвимости в популярном программном обеспечении для работы с DICOM, взлом IoT, атаки на механизмы J...
Анализ производительности виртуальной машины в VMware vSphere. Часть 1: CPU Если вы администрируете виртуальную инфраструктуру на базе VMware vSphere (или любого другого стека технологий), то наверняка часто слышите от пользователей жалобы: «Виртуальная машина работает медленно!». В этом цикле статей разберу метрики производительности и расскажу, ...
Почему ежемесячные обновления безопасности Android — это фарс Обновлений не существует. Вот доказательства Привет. Меня зовут Иван, и я апдейт-диссидент. После этого должны были послышаться вялые хлопки, но их нет. Скорее всего потому, что многим не понятно слово, которым я себя обозвал. Если вы из их числа, не пытайтесь искать определ...
Эксперты составили черный список уязвимых плагинов Magento Независимый исследователь Уиллем де Грут (Willem de Groot) вместе с другими специалистами запустил репозиторий небезопасных расширений CMS Magento. На момент публикации в хранилище собрано более 60 плагинов. Инициатива призвана помочь веб-администраторам устранить уязвимости...
История одного проекта: когда в команде нет senior developer От переводчика: публикуем для вас статью разработчика Джека Финлея. Джек рассказывает о собственном кейсе — попытке организовать работу командой джуниоров, где все равны и нет технического руководителя. Статья будет полезна для начинающих программистов. Некоторые проект...
5 способов полезного использования Raspberry Pi Привет Хабр. Raspberry Pi наверное есть дома почти у каждого, и рискну предположить, что у многих она валяется без дела. А ведь Raspberry это не только ценный мех, но и вполне мощный fanless-компьютер с Linux. Сегодня мы рассмотрим полезные возможности Raspberry Pi, для исп...
В Apple News+ нашли первую серьёзную уязвимость В ходе вчерашнего мероприятия, Apple представила обновленный новостной агрегатор Apple News+. Компания сумела договориться с многими популярными новостными изданиями и журналами, и теперь все они будут доступны для чтения на iPhone, iPad и Mac в рамках одного приложения. Пр...
Intel попыталась подкупить нидерландский университет, чтобы скрыть информацию об уязвимости MDS Исследователи кибербезопасности из Амстердамского свободного университета (VU), являющегося одним из ведущих научно-исследовательских университетов страны и входящего в число ведущих университетов Европы, утверждают, что компания Intel пыталась подкупить их, чтобы скрыт...
[Перевод] Грокаем DLR Предисловие переводчика Это скорее вольный пересказ, а не перевод. Я включил в эту статью только те части оригинала, которые имеют непосредственное отношение к внутренним механизмам работы DLR или объясняют важные идеи. Примечания будут заключены в квадратные скобки Многие...
Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick Для подписчиковСпециалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, кото...
Умные ТВ Supra допускают стороннее вмешательство в просмотр Независимый ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra) нашел способ подменять трансляцию на смарт-телевизорах Supra. Программную ошибку можно использовать как для невинных розыгрышей, так и для более опасных атак. Проблема связана с функцией openLiveURL(), которая обеспе...
Хакер потребовал у Apple денег за подробности об уязвимости в macOS Исследователь в области кибербезопасности из Германии по имени Линус Хенце обнаружил в macOS опасную уязвимость, которая позволяет третьим лицам получить доступ к сохраненным в «Связке ключей» учетным данным от всех сохраненных аккаунтов. По его словам, брешь присутствует в...
ML на Scala с улыбкой, для тех, кто не боится экспериментов Всем привет! Сегодня будем говорить о реализации машинного обучения на Scala. Начну с объяснения, как мы докатились до такой жизни. Итак, наша команда долгое время использовала все возможности машинного обучения на Python. Это удобно, есть много полезных библиотек для подг...
Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726 Изображение: Pexels С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельнос...
Баг в Docker позволяет читать файлы за пределами контейнера Ведущий разработчик Linux-дистрибутива SUSE Алекса Сараи (Aleksa Sarai) сообщил об уязвимости в упаковщике Docker, которая позволяет атакующему совершить побег из песочницы и выполнять операции с файлами на целевом хосте. Баг требует доступа к контейнеру во время копирования...
[Перевод] Динамическое программирование в реальном мире: вырезание швов У динамического программирования репутация метода, который вы изучаете в университете, а затем вспоминаете только на собеседованиях. Но на самом деле метод применим во многих ситуациях. По сути, это техника эффективного решения задач, которые можно разбить на множество сильн...
Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...
[Перевод] Google раскрыла zero-day уязвимость в Windows 7, которая используется вместе с эксплойтом Chrome Project Zero от Google хорошо известен тем, что обнаруживает уязвимости и эксплойты в операционной системе Microsoft, а также своими противоречивыми политиками раскрытия информации. На этой неделе исследовательский отдел компании в области кибербезопасности вновь обнаружил э...
Variational Inference — что это такое и с чем это едят? Привет, Хабр! Недавно пообщался с коллегами о вариационном автоэнкодере и выяснилось что многие даже работающие в Deep Learning знают о вариационном выводе (Variational Inference) и в частности Нижней вариационной границе только по наслышке и не до конца понимают что это та...
В Exim пропатчили критическую уязвимость Разработчики почтового агента Exim выпустили экстренный патч к критической уязвимости своего продукта. Как уточняется в описании, злоумышленники могли атаковать системы версий 4.80–4.92.1 с включенным TLS, чтобы выполнить на сервере сторонний код с root-привилегиями. Описани...
[Из песочницы] Аппаратный bit banding CortexM3/M4(ARM), архитектура ядра, ассемблер, С/C++14 и капля мета программирования Введение Внимание, это не очередная «Hello world»статья о том как помигать светодиодом или попасть в свое первое прерывание на STM32. Однако, я постарался дать исчерпывающие объяснения по всем затрагиваемым вопросам, поэтому статья будет полезна не только многим профессионал...
Глубокий в-DoH. Разбираемся, как работает DNS over HTTPS и кому (не) выгодно его внедрение Для подписчиковТехнология DoH (DNS поверх HTTPS) обещает пользователям повышение безопасности и приватности. В Firefox она уже включена по умолчанию, в Chrome ее будут тестировать в версии 79, и даже в Microsoft обещают внедрить ее в Windows. Но при этом технологию многие кр...
[Перевод] Простое объяснение алгоритмов поиска пути и A* Часть 1. Общий алгоритм поиска Введение Поиск пути — это одна из тех тем, которые обычно представляют самые большие сложности для разработчиков игр. Особенно плохо люди понимают алгоритм A*, и многим кажется, что это какая-то непостижимая магия. Цель данной статьи — объясн...
Критическая уязвимость Android пряталась пять лет Уязвимость нашел сотрудник компании Positive Technologies Сергей Тошин. Поскольку она устранена в обновлении движка от 29 января 2019 года, информацию о ней стало безопасно публиковать. Подробный комментарий С. Тошина появился в четверг, 21 марта. Благодаря недоработкам в Ch...
Files UWP v0.4.9 – универсальный Проводник в Windows 10 Пока Microsoft за закрытыми дверями разрабатывает новый Проводник, сторонние разработчики выпускают свои версии UWP-Проводника. Не сказать, что их много, но они есть. К примеру, пользователь под ником Duke7553 разработал универсальный Проводник для Windows 10. На текущий мом...
ChipWhisperer: атака по энергопотреблению на Магму Автор статьи: rakf В рамках Summer of Hack 2019 в Digital Security я разбирался с атакой по энергопотреблению и работал с ChipWhisperer. Что это? Анализ энергопотребления — это один из видов атак по сторонним каналам. То есть атак, использующих информацию, которая появляетс...
Обработка исключений ASP.NET при помощи IRO.Mvc.MvcExceptionHandler Если вы являетесь c# бекенд разработчиком, наверняка рано или поздно появилась необходимость найти унифицированный способ обработки исключительных ситуаций. Хотя, даже если вы довольствуетесь кодом 500 в ответе, эта статья все равно поможет улучшить ваш способ, при этом не...
Google предлагает $1 млн. за уязвимости в Android Google, который уже выплатил исследователям в области безопасности более 15 миллионов долларов с момента запуска своей программы поиска уязвимостей в 2010 году, сегодня расширил программу Android Security Rewards.
Эксплуатация Microsoft Edge от CVE до RCE на Windows 10 В рамках данной статьи мы достаточно подробно рассмотрим процесс написания эксплоита под уязвимость в Microsoft Edge, с последующим выходом из песочницы. Если вам интересно узнать, как выглядит этот процесс, то welcome под кат! Читать дальше →
Приехали: Android можно взломать картинкой из интернета Фотографии и картинки, загруженные из Интернета, могут стать причиной взлома даже самых современных смартфонов под управлением Android, снабженных наиболее продвинутыми средствами защиты. Это следует из материалов блога разработчиков Google. В публикации говорится о том, чт...
Хабрарейтинг 2018: лучшие материалы за 2018 год Привет Хабр. Данный пост является логическим завершением публикаций про жизненный цикл статьи на Хабре (первая и вторая части), в результате чего был сделан достаточно интересный инструмент для статистического анализа. Методика оказалась весьма полезной, и позволяет находит...
Apple Music для разработчика Вводные слова Как бы ни ругали Apple за закрытость платформы и самой экосистемы, некоторые их решения являются исключением. На рынке много стриминговых сервисов, но предоставляющих полноценный SDK для стриминга в сторонних продуктах крайне мало, для российского рынка список ...
Adobe исправила RCE-уязвимость в ColdFusion Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода, а также обход механизмов контроля доступа. Оставшийся недостаток оценен как важный и связан с возм...
Переписка 10 миллионов пользователей «китайского Tinder» оказались в открытом доступе Об этом сообщает Zecurion со ссылкой на Дэррила Бурка, специалиста по кибербезопасности и автора блога Respect My Securitay. Эксперту без усилий удалось обойти безопасность Sweet Chat и просмотреть личные данные пользователей, в частности, переписку и вложенные фотографии....
Вскрытая камера. Как искать уязвимости в «умных» гаджетах на примере популярной IP-камеры Для подписчиковЗа последние несколько лет все чаще обсуждается проблема безопасности домашних гаджетов. Этичные хакеры тоже исследуют все больше девайсов — обычно с неутешительными выводами. В этой статье я покажу все этапы проверки хардверной безопасности на примере распрос...
Анализ инцидентов, связанных с кибератаками на блокчейн-проекты Все помнят взлет криптовалюты в 2017 году, когда кто-то впервые о ней узнал, а кто-то смог сколотить состояние или даже успел потерять его. История криптовалюты берет начало в 90-х годах прошлого столетия, а большую популярность она получила в 2009 году, когда появился битко...
Не нужен вам вуз, идите в ПТУ? Эта статья — ответ на публикацию "Что же не так с IT-образованием в России", а точнее, даже не на саму статью, а на часть комментариев к ней и идеи, в них прозвучавшие. Я сейчас выскажу, наверное, очень непопулярную здесь на Хабре точку зрения, но не высказать я ее не мог...
Application Security Manager. Разработчик или безопасник? Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно исп...
Дыру в безопасности для взлома WhatsApp с помощью видео залатали Команда Facebook, которой сейчас принадлежит популярный WhatsApp, опубликовала заявление, в котором говорится об устранении найденной не так давно уязвимости в WhatsApp. Критическую уязвимость CVE-2019-11931 в приложениях WhatsApp для Android и iOS позволяла злоу...
Павел Дуров снова посоветовал пользователям удалить WhatsApp со своих устройств Поводом для этого послужила новая уязвимость принадлежащего Facebook мессенджера, о которой стало известно на днях. При этом Дуров допустил, что разработчики WhatsApp намеренно внедряют уязвимости в приложение для слежки за пользователями.
Брешь в Chrome для iOS позволяет направлять пользователей на фишинговые сайты Неприязнь, которую многие пользователи iOS питают к Google Chrome, в большинстве случаев вполне оправдана. Мало того, что фирменный веб-браузер поискового гиганта никогда не отличался экономичностью, так еще и его функциональные возможности зачастую уступают Safari и решени...
Исследователи из Google: для защиты от Spectre требуется изменение архитектуры процессоров, программные патчи не помогут В январе 2018 года исследователи Google раскрыли в публичном доступе информацию о фундаментальной аппаратной уязвимости в большинстве современных процессоров, имеющих спекулятивное выполнение команд. Уязвимость Spectre (и смежная Meltdown) эксплуатирует механизм предсказания...
[Перевод] 10 советов и приемов, которые помогут вам стать лучшим разработчиком на VueJS Перед вами вольный перевод статьи 10 Tips & Tricks to make you a better VueJS Developer с сайта Dev.to. Автор расскажет нам об интересных и полезных вариантах применения привычных нам средств VueJS. Введение Мне действительно нравится работать с VueJS и каждый раз, когда...
PHP-Дайджест № 167 (22 октября – 4 ноября 2019) Свежая подборка со ссылками на новости и материалы. В выпуске: PHP 7.4.0 RC5, Xdebug 2.8, критическая уязвимость в PHP-FPM, новости из PHP Internals, порция полезных инструментов, подкасты, стримы и многое другое. Приятного чтения! Читать дальше →
Изучая Dependency Injection Несмотря на то, что паттерну уже более десятка лет и есть немало статей (и переводов), тем не менее споров, комментариев, вопросов и разных реализаций становится все больше и больше. ПредысторияВ 2004 Мартин Фаулер написал известную статью “Inversion of Control Containers ...
Почему нужно срочно установить последнее обновление Telegram для Android Когда вы удаляете фотографию из чата в Telegram, на самом деле она не удаляется Принято считать, что Telegram — это чуть ли не самый защищённый мессенджер, чьё руководство страдает от аллергии на спецслужб, а значит, гарантированно не сдаст им своих пользователей. Тем ...
Как ускорить шифрование по ГОСТ 28147-89 на процессоре Байкал-Т1 за счет SIMD-блока В статье на примере описания реализации алгоритма шифрования по ГОСТ 28147–89, построенного на сети Фейстеля, показаны возможности двухъядерного процессора BE-T1000 (aka Байкал-Т1) и проведены сравнительные испытания реализации алгоритма с помощью векторных вычислений с сопр...
HTTP/2-серверы под угрозой DoS-атак Специалисты компаний Google и Netflix нашли группу DoS-уязвимостей в конфигурациях HTTP/2-серверов крупных вендоров и в аналогичных решениях с открытым кодом. Обнаруженные баги позволяют даже не самому продвинутому злоумышленнику заблокировать сервер — вредоносный клиент обр...
Как работают поисковые системы Мы разбирали старые письма и наткнулись на статью, которую писал Илья Сегалович iseg для журнала «Мир Internet» в далёком 2002 году. В ней он сравнивает интернет и поисковые системы с чудесами света, размышляет о поисковых технологиях и вспоминает их историю. Несмотря на заг...
Основная причина уязвимостей – ошибки администраторов На сайте проекта «Нетоскоп» опубликованы результаты научно-исследовательских работ, проведенных в 2018 году в рамках научно-технического сотрудничества. В прошлом году были проведены два исследования, охватывающих большой спектр проблем, связанных с перехватом трафика и под...
Владельцы старых Mac оказались под угрозой Не так давно мы публиковали материал, в котором рассказали про новую уязвимость в процессорах Intel. Выяснилось, что проблеме подвержены не только персональные компьютеры на Windows, но и Mac. К счастью, Apple среагировала оперативно и частично устранила уязвимость в macOS ...
Уязвимость в vBulletin использовали для взлома форумов Comodo. Пострадали 245 000 пользователей Хотя разработчики vBulletin уже выпустили патч для свежей 0-day проблемы, обновление пока установили далеко не все, а злоумышленники не дремлют. Первой крупной жертвой взлома из-за этой уязвимости стала компания Comodo.
Как технологии быстрой разработки могут стать источником неприятных уязвимостей Безопасность на реальных примерах всегда более интересна. Как тестировщик на проникновение, люблю, когда приходят проекты, построенные на фреймворках быстрой разработки (Rapid development), подобно Ruby-on-Rails, Django, AdonisJs, Express и так далее. Они позволяют очень бы...
OpenSSH защитили от атак по сторонним каналам Набор утилит OpenSSH будет хранить приватные ключи шифрования в оперативной памяти, чтобы защищать данные от атак по сторонним каналам. Об этом сообщил один из ведущих разработчиков протокола, Дэмиен Миллер (Damien Miller). По его словам, обновление снизит вероятность атак S...
Для 0-day уязвимости в OpenOffice появился неофициальный патч Для обнаруженной в начале февраля RCE-уязвимости в составе Apache OpenOffice появился патч от сторонних экспертов.
Autodesk Maya: полезные базовые функции для работы с 3Д моделями Недавно я столкнулся лицом к лицу с таким зверем как Autodesk Maya. За плечами у меня не было опыта в работе с 3Д моделированием и пришлось в экстренном порядке прокачиваться, начиная с основ, а также ознакомится с функциональностью данного ПО, чтобы проверить работу плагина...
Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...
Релиз iOS 12.1.4 исправил 0-day уязвимости и баг, допускавший «подслушивание» через FaceTime Пользователям устройств Apple пора устанавливать обновления. Разработчики исправили нашумевшую проблему в FaceTime, а также стало известно о двух уязвимостях нулевого дня, которые эксплуатируют хакеры.
[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 15. Медленная связь и функция Port Security Перед тем как приступить к уроку, хочу сказать, что на нашем сайте nwking.org вы сможете найти не только информацию по изучению курса CCNA, но и множество других тем, полезных для сетевого специалиста. Мы публикуем там интересные сведения о продукции других производителей и ...
How to get Security Log with non-administrative user Привет Хабр! Читайте под катом как получить доступ к логу безопасности Windows без прав администратора. Эта будет не первая статья на Хабре связанная с логами Windows и наверно не самая оригинальная, но на мой взгляд я потратил слишком много времени на поиск простого решен...
Как они это делают? Обзор технологий анонимизации криптовалют Наверняка вы, как пользователь биткоина, эфира или любой другой криптовалюты, были обеспокоены тем, что любой желающий может видеть, сколько монет у вас в кошельке, кому вы их переводили и от кого получали. Вокруг анонимных криптовалют ходит много споров, но кое с чем нельзя...
Cisco закрыла еще почти 50 уязвимостей своего ПО Разработчики Cisco решили серию серьезных проблем в нескольких своих продуктах, устранив угрозы исполнения кода и DoS-атак. Пакет из 47 обновлений включил заплатки к одному критическому багу и нескольким особо опасным ошибкам. Самые серьезные уязвимости были обнаружены в реш...
От Норильска до Эр-Рияда: реальный кейс применения карт памяти Kingston Industrial Temperature microSD UHS-I Когда три года назад мы сделали обзор карт памяти для промышленного применения, в комментариях были пожелания не рассказывать про дроны и фотоаппараты, — мол, это не типичная область применения для таких карт памяти. ОК, сказали мы себе и записали в контент-план — сделать пу...
[Перевод] Создание системы боёв в RPG Боевые системы наших игр Rimelands: Hammer of Thor и Trulon: The Shadow Engine были высоко оценены игроками. Несмотря на то, что это два сильно отличающихся взгляда на систему боя в RPG, они имеют много общего в дизайне механик и иллюстрируют мою личную философию дизайна. В...
Киберпреступники заинтересовались анализами ДНК Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инцидент...
[Перевод] Семь книг для тех, кто хочет стать гейм-дизайнером В этой статье рассказывается о том, когда и как дизайн игр стал профессией, а также о том, как он сформировался в отдельную дисциплину. Также мы предложим 7 книг, которые нужно прочитать каждому гейм-дизайнеру. Мы объясним, что особо ценного в этих книгах и как они позволят...
Max Patrol 8. Обзор инструмента для управления уязвимостями Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, ка...
Описание архитектур процессоров в LLVM с помощью TableGen На данный момент LLVM стала уже очень популярной системой, которую многие активно используют для создания различных компиляторов, анализаторов и т.п. Уже написано большое количество полезных материалов по данной тематике, в том числе и на русском языке, что не может не радов...
pg_stat_statements + pg_stat_activity + loq_query = pg_ash? В качестве короткого дополнения к статье Попытка создать аналог ASH для PostgreSQL. Задача Необходимо связать историю представлений pg_stat_statemenets, pg_stat_activity. В результате, используя историю планов выполнения из сервисной таблицы log_query, можно получить очень ...
Троян SpeakUp устанавливает бэкдор на Linux-серверы Исследователи из компании CheckPoint рассказали об атаках нового трояна, получившего название SpeakUp. Зловред эксплуатирует уязвимость во фреймворке ThinkPHP, а также другие бреши, чтобы установить бэкдор на Linux-серверы и внедрить в систему майнер криптовалюты. Программа ...
[Из песочницы] Интервалы: грядущая эволюция C++ Уже скоро появится стандарт C++20, в который, скорее всего, добавят концепцию интервалов (ranges), однако мало кто знает, что они из себя представляют и с чем их едят. Доступных широкой аудитории русскоязычных источников про этого зверя мне найти не удалось, вследствие чего ...
Где уязвимы более 20 млн транспортных карт в России: разбираем и развиваем MIFARE Classic Стандарт бесконтактных карт MIFARE Classic создан более 20 лет назад и, несмотря на ряд найденных с тех пор уязвимостей, широко используется до сих пор (в частности в Москве и Санкт-Петербурге). В этой статье мы вспомним, какие уязвимости были найдены, и расскажем, как их мо...
В стандарте связи LTE обнаружено 36 уязвимостей Южнокорейские эксперты по вопросам информационной безопасности обнаружили 36 уязвимостей в стандарте связи LTE, которые позволяют реализовать широкий спектр атак. Некоторые из них могут быть достаточно пагубными. Выявленные уязвимости могут создавать небольшие временные труд...
Публикация приложения в Microsoft Store: некоторые изменения за год Вот уже год прошел с момента выхода статьи об особенностях публикации в MS Store. За прошедший год произошло много событий – GDPR, выход VS 2019 и прочие изменения. В сегодняшней небольшой статье мне бы хотелось немного рассказать о том, какие изменения произошли в особенно...
Действительно понятное объяснение квантовой запутанности (парадокса ЭПР) Понятное для тех, кто захочет разобраться, конечно. Пост состоит из трех частей. Для понимания сути явления, достаточно ознакомиться только со второй частью. Вводная (зачем, да почему) Конкретные расчеты Философско-практическая часть. 1. Вводная (зачем, да почему) Сподви...
2. Анализ зловредов с помощью форензики Check Point. SandBlast Agent Продолжаем наш цикл статей по форензике от Check Point. В предыдущей статье мы рассмотрели новый отчет сетевой песочницы, которая помогает ловить 0-day атаки на периметре сети. К сожалению (для “безопасников”), периметр уже давно потерял четкие границы. Мобильные устройств...
Ваш выход, граф: как мы не нашли хороший сетевой граф и создали свой Расследуя дела, связанные с фишингом, бот-сетями, мошенническими транзакциями и преступными хакерскими группами, эксперты Group-IB уже много лет используют графовый анализ для выявления разного рода связей. В разных кейсах существуют свои массивы данных, свои алгоритмы выя...
Уязвимость блокировщика экрана в Astra Linux Special Edition (Смоленск) В данной статье мы рассмотрим очень одну интересную уязвимость в «отечественной» операционной системе Astra Linux, и так, начнем… Читать дальше →
GraphQL Voyager как инструмент для поиска уязвимостей В настоящее время все больше компаний начинают использовать GraphQL. Это относительно новая технология (если быть более точным, то это язык запросов), которая призвана решить существующие проблемы REST. Если вы еще не знакомы с GraphQL, то рекомендую начать с ресурсов: ...
Разработчики Zcash сообщили об устранении критической уязвимости в 2018 году Zcash Company, стоящая за разработкой криптовалюты Zcash, раскрыла детали уязвимости, которая позволяла злоумышленникам создавать в неограниченном количестве несуществующие монеты ZEC. Согласно отчету в блоге компании, 1 марта 2018 года назад криптограф Zcash Ариэль Габизон ...
[Перевод] Что я узнал про оптимизацию в Python Всем привет. Сегодня хотим поделиться еще одним переводом подготовленным в преддверии запуска курса «Разработчик Python». Поехали! Я использовал Python чаще, чем любой другой язык программирования в последние 4-5 лет. Python – преобладающий язык для билдов под Firefox, те...
Spoiler: найден новый тип уязвимости в процессорах Intel Ещё одно благоприятное условие для реализации гиперпинка.
Разбираем уязвимости проверки сертификатов SSL/TLS в небраузерном софте Первоначально разработанный для браузеров, SSL/TLS-протокол позже стал стандартом де-факто вообще для всех защищенных интернет-коммуникаций. Сейчас он используется для удаленного администрирования виртуальной инфраструктуры, развернутой в облаке, для передачи платежных рекв...
Эксплуатация cookie-based XSS | $2300 Bug Bounty story ⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уяз...
Исследователи выявили 37 уязвимостей в популярных реализациях VNC Эксперты «Лаборатории Касперского» изучили различные реализации системы удаленного доступа Virtual Network Computing (VNC) и выявили множество проблем.
Во всех устройствах Apple и Microsoft обнаружена уязвимость Bluetooth, Android оказался непробиваем Несмотря на постоянное совершенствование, протокол и устройства на основе технологии Bluetooth всё ещё богаты на уязвимости. Вчера на 19-й по счёту конференции Privacy Enhancing Technologies Symposium группа исследователей по безопасности из Университета Бостона поделилась и...
DMA: мифы и реальность Введение В прошлой статье («Часть 2: Использование блоков UDB контроллеров PSoC фирмы Cypress для уменьшения числа прерываний в 3D-принтере») я отметил один очень интересный факт: если автомат в UDB изымал данные из FIFO слишком быстро, он успевал заметить состояние, что н...
[Из песочницы] Вам есть, что скрывать Привет, Хабр! Представляю вашему вниманию перевод статьи автора «You don’t have nothing to hide» автора Sharon Flitman. Кажется, приватность в 21м веке становится все более размытым понятием. В не столь далеком прошлом лишь несколько моих друзей знали, где я нахожусь в ...
Как взять сетевую инфраструктуру под свой контроль. Глава четвертая. Автоматизация. Темплейты Эта статья является шестой в цикле статей «Как взять сетевую инфраструктуру под свой контроль». Содержание всех статей цикла и ссылки можно найти здесь. Оставив несколько тем позади, я решил все же начать новую главу. К безопасности вернусь чуть позже. Здесь я хочу обсудит...
Intel залатала «дыры» в ПО для диагностики процессоров и в прошивке SSD DC S4500/S4600 После публикации в январе 2018 года отчёта об обнаруженных в процессорах Intel уязвимостей Meltdown и Spectre на продукцию микропроцессорного гиганта нацелилось самое пристальное внимание со стороны специалистов по кибербезопасности. Для них это непаханое поле деятельности и...
Компания Cisco опубликовала очередной пакет обновлений Разработчики Cisco выпустили серию обновлений к своим продуктам, устранив более 40 уязвимостей. Самые серьезные баги обнаружились в точках доступа Aironet, аналоговых телефонных адаптерах SPA100, системе управления беспроводным доступом и управляемых свитчах для малого бизне...
В механизме macOS, ответственном за хранение логинов и паролей, найдена уязвимость, позволяющая получить доступ к этим данным Похоже, у Apple наступила чёрная полоса в вопросе безопасности её продуктов. Ещё не успел успокоиться скандал касательно уязвимости в FaceTime, как стало известно, что в операционной системе macOS нашлась дыра, посредством которой можно получить к логинам и паролям поль...
Финтех-дайджест: бесплатные переводы в системе СБП, уязвимость банков к атакам и другие новости Сегодня в дайджесте: Бесплатные переводы средств между банками, которые входят в систему СБП; Степень уязвимости банков к атакам злоумышленников; Финансовая грамотность населения растет; Криптовалюты остаются непопулярным средством платежа. Переводы без комиссии Почт...
Почему мы используем GraphQL в 8base Друзья, всем привет! Эта статья в первую очередь будет интересна фронтенд-разработчикам, особенно тем кому актуальна тема GraphQL, но в то же время я надеюсь, что она будет полезна и бэкенд-разработчикам и поможет им понять преимущества GraphQL глазами фронтендера. Читать...
[Перевод] Обзор инструментов для безопасности GitHub репозиториев Введение Когда вы начинаете создавать репозиторий на GitHub, одной из первых вещей, о которых вы должны подумать, является безопасность. В случае, если вы создаете свой собственный репозиторий GitHub или часто контрибьютите в репозиторий, вам необходимо знать, содержит ли...
ФСТЭК ужесточила требования к разработчикам ИБ-продуктов Вендоры к инициативе отнеслись прохладно. Соответствие новым требованиям потребует от них дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.Однако эти аргументы несостоятельны, считает руководитель отдела аналитики "СёрчИнфор...
Разработчики Magento залатали 10-балльный баг в платформе Разработчики CMS Magento подготовили патч, который устраняет серьезный баг в платформе для электронной коммерции. Как следует из бюллетеня безопасности, уязвимость позволяет злоумышленнику установить на целевой веб-ресурс вредоносный инжект и выполнить его. Пользователям зат...
MEGANews. Самые важные события в мире инфосека за июнь Для подписчиковВ этом месяце: шифровальщик GandCrab прекратил работу; новый Raspberry Pi 4 почти не уступает десктопам по производительности; Роскомнадзор готовит административное дело против Google; свежая уязвимость в Exim уже находится под атаками, а уязвимости в Firefox ...
Schneider Electric залатала баги в приложении ProClima Разработчики Schneider Electric исправили три уязвимости в программе ProClima, предназначенной для проектирования климатических систем в шкафах с электротехническим оборудованием. Эксплуатация багов могла привести к подмене DLL, выполнению несанкционированных операций в гран...
Взгляд изнутри: аспирантура в EPFL. Часть 4.1: повседневная жизнь Посещая любую страну важно не путать туризм с эмиграцией. Народная мудрость В прошлых статьях (часть 1, часть 2, часть 3) мы затронули тему профессиональную, что ждёт молодого и ещё зелёного выпускника ВУЗа при поступлении, а также во время обучения в Швейцарии. Следующая ч...
Павел Дуров объяснил, почему категорически нельзя пользоваться WhatsApp Павел Дуров считает, что пользоваться WhatsApp опасно Думаю, вы не раз замечали, что во всякой телевизионной рекламе, какой бы продукт она ни продвигала, используются абстрактные сравнения и никогда не называются конкурирующие бренды. Вместо конкретных названий рекламщики ст...
Найдена одна из самых крупных уязвимостей в iOS Исследователь по кибербезопасности под псевдонимом «axi0mX» рассказал об уязвимости для iOS-устройств, работающих на процессорах от A5 (iPhone 4S) до A11 (iPhone 8 и iPhone X). Он назвал эксплоит checkm8 и опубликовал его в открытом доступе на GitHub.
Эксплойт для BlueKeep применяется в реальных атаках Уязвимость BlueKeep, связанная с недостатками реализации протокола RDP в ОС Windows, эксплуатируется в дикой природе. К такому выводу пришли ИБ-специалисты после анализа журнала ошибок тестовых систем с незащищенным портом 3389. Киберпреступники используют ранее опубликованн...
Введение в Spring, или что делать, если по всему проекту @Autowired и @Component, а вы не понимаете, что это Приветствую тебя, Хабр! Эта статья будет полезна тем, кто уже начал изучать Java и даже успел добиться некоторых успехов в понимании Java Core, и вот услышал слово Spring. И, возможно, даже не один раз: знание Spring Framework, как минимум, фигурирует в описаниях множества ...
NVIDIA исправила уязвимости в GeForce Experience и драйверах Инженеры NVIDIA выпустили обновления безопасности, устранив множество уязвимостей в своих продуктах.
Компания AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout Компания Intel, как мы сегодня уже сообщали, признала наличие ещё одной уязвимости в своих CPU, которая затрагивает большинство процессоров компании. На самом деле новых уязвимостей несколько, но компания объединила их под общим именем Microarchitectural Data Sampling (...
Windows 10 блокирует некоторых пользователей от обновления или загрузки ОС Что сейчас произошло? На данный момент значительная часть пользователей Windows 10 не может обновить Windows 10, обновить Защитник Windows, загрузить или запустить определенные приложения Microsoft из Магазина или загрузить и установить новую копию Windows. К счастью, пробле...
[Из песочницы] Что такое быть Team Leader Всем привет! Меня зовут Артур Дементьев, я бы хотел поделиться личным опытом и написать несколько статей о том, что из себя представляет менеджмент в IT. А также рассказать о том, на какие грабли наступал и каких ошибок можно было избежать. Все статьи я буду писать, основыва...
iOS 13.2.2 вышла два дня назад, а на неё уже жалуются iOS 13.2.2 исправила один старый баг, а добавила два новых Это даже не смешно. Если я правильно подсчитал, то за последние полтора месяца Apple выпустила семь обновлений iOS. Большая часть из них была направлена на исправление уязвимостей и исправление системных сбоев, приво...
Security Week 26: спам в сервисах Google Чаще всего в наших еженедельных дайджестах мы обсуждаем какие-то новые факты или события, связанные с информационной безопасностью. В некоторых случаях такие открытия представляют чисто теоретический интерес: например, уязвимости типа Spectre в современных процессорах вряд л...
Apple пропатчила iTunes и iCloud для Windows Компания Apple выпустила обновления для iTunes и iCloud, работающих на платформе Windows. В компонентах SQLite и WebKit закрыто 25 уязвимостей, грозящих выполнением произвольного кода, повышением привилегий или раскрытием конфиденциальной информации. В SQLite исправили 4 баг...
43% приложений для Android и 35% для iOS содержат уязвимости Компания Positive Technologies провела исследование приложений Android, представленных в Google Play, и приложений iOS из Apple Store, чтобы выяснить, какую угрозу они представляют для безопасности пользователей. В результатах исследований говорится о том, что 43% прило...
Intel пыталась купить молчание исследователей, обнаруживших новые уязвимости в ее процессорах Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; прои...
Не открывайте порты в мир — вас поломают (риски) Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: "Зачем?!?" Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба. Ошибка ко...
В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...
[recovery mode] Промышленный интернет вещей: рассказываем об успешных кейсах В следующем году число подключенных к интернету устройств вырастет до 34 миллиардов, при этом большую часть составят «умные» объекты для бизнеса и промышленности. А к 2021 году инвестиции в развитие только промышленного интернета вещей» (IIoT) достигнут шести триллионов долл...
Говорим о DevOps на понятном языке Трудно уловить главное, говоря о DevOps? Мы собрали для вас яркие аналогии, ударные формулировки и советы от экспертов, которые помогут дойти до сути даже неспециалистам. В конце бонус – собственный DevOps сотрудников Red Hat. Термин DevOps возник 10 лет назад и прошел пу...
Камера Android позволяет шпионить за сотнями миллионов пользователей Уязвимость в системе безопасности позволяла любым приложениям управлять родным приложением «Камера» в операционной система Android без необходимых разрешений со стороны пользователя, в том числе снимать фото. Об этом рассказал в статье глава отдела безопасно...
Google готова платить до $1,5 млн за особые уязвимости на Android Когда в 2015 году Google впервые запустила программу поиска уязвимостей в Android, самое большое вознаграждение, которое можно было получить, составляло $38 тыс. Вместе с ростом популярности Android росла и сумма награды, поэтому всё больше исследователей в области безопасно...
Разработчик, помни — трафик твоего приложения смотрят На данный момент существует так много типов уязвимостей, что разработчики совсем забывают об элементарных из них. На днях мне удалось обойти авторизацию в новом приложении WOG (ТОВ «ВОГ РІТЕЙЛ» — вторая по величине сеть АЗС в Украине). В 2017 году, точно такую же уязвимость...
[Из песочницы] Сборка примера Augmented Faces ARCore в Unity Надеюсь, данная статья будет полезна тем, кто хочет пощупать возможности дополненной реальности ARCore в Unity, но при этом не смог найти понятной инструкции. Мы соберем пример приложения дополненной реальности Augmented Faces ARCore для Unity, оно будет отслеживать через...
Microsoft: 70 % всех проблем ПО связаны с безопасностью памяти Порядка 70 % всех уязвимостей в продуктах Microsoft связаны с нарушениями безопасности в работе оперативной памятью. Речь идёт о неверной адресации или других способах, которые могут привести к сбою чтения из памяти или записи в неё. Как заявил инженер по безопаснос...
iOS 13 запретит WhatsApp и Facebook прослушивать пользователей Спрятаться от слежки в интернете невозможно. Что бы вы ни пытались сделать, скрыть свою активность от тех, кто заинтересован в том, чтобы проследить за вами, полностью все равно не удастся. Даже в iOS, такой защищенной и безопасной, нет-нет да и обнаруживаются механизмы, по...
[Из песочницы] Темы, стили и другие Практически все разработчики знают, что в андроиде есть Темы, но применение их обычно ограничивается копированием кусков xml из Stack Overflow или других ресурсов. В интернете есть информация по темам, но это обычно просто рецепт, как добиться определенного результата. В э...
Создание системы формальной верификации с нуля. Часть 1: символьная виртуальная машина на PHP и Python Формальная верификация — это проверка одной программы либо алгоритма с помощью другой. Это один из самых мощных методов, который позволяет найти в программе все уязвимости либо же доказать, что их нет. Более подробное описание формальной верификации можно увидеть на пример...
Sigma Theory от авторов Out There выйдет на ПК 18 апреля, порт на мобильные — только после этого Шпионская Sigma Theory от Mi-Clos Studio – авторов Out There – была анонсирована еще в 2015 году. Разработчики раз в год делились подробностями, публиковали скриншоты и даже показывали геймплей, но к полноценному релизу проект готов только сейчас. И это только на ПК. Sigma ...
AERODISK Engine: Катастрофоустойчивость. Часть 1 Привет, читатели хабра! Темой этой статьи будет реализация средств катастрофоустойчивости в системах хранения AERODISK Engine. Изначально мы хотели написать в одной статье про оба средства: репликацию и метрокластер, но, к сожалению, статья получилась слишком большой, поэто...
В поисках кнопки «Сделать хорошо». Zyxel в сети малого и среднего бизнеса Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги. Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки ...
[Из песочницы] Интернет проект security.txt — знакомство с еще одним .well-known файлом Основная идея проекта — формализация взаимодействия между внутренней ИБ и внешними исследователями, давая четкое указание как и куда направлять информацию об уязвимостях или проблемах безопасности. Формализация взаимодействия — серьезная проблема, не все сайты имеют программ...
SamsPcbGuide, часть 11: Технологии, корпуса BGA-типа и космос В обсуждениях к предыдущей статье proton17 написал, что в космос обычные BGA не летают, дав ссылки на корпуса CCGA-типа как образец надёжности. Я решил разобраться в этом вопросе и нашёл много интересной информации (во многом благодаря вот этому ↓ человеку). Читать дальше ...
Appel заплатит $1 млн за обнаружение уязвимостей iPhone Любой исследователь, обнаруживший уязвимость в системе безопасности iPhone, может получить вознаграждение в $1 млн. Об этом представитель компании Apple объявил на ежегодной конференции по безопасности Black Hat в Лас-Вегасе. Ранее награда предлагалась т...
Методы наименьших квадратов: текст, написанный программистом для программистов Продложаю публикацию своих лекций, изначально предназначенных для студентов, учащихся по специальности «цифровая геология». На хабре это уже третья публикация из цикла, первая статья была вводной, она необязательна к прочтению. Однако же для понимания этой статьи необходимо ...
[Из песочницы] Анализ скроллинга страниц в Google Data Studio Добрый день, меня зовут Чакканбаев Ильхом я автор блога SeoPulses, хотел бы поделиться переводом и реализацией на практике статьи michaelhoweely.com. Для того чтобы создать полноценный и понятный отчет для блога или статейного сайта в Google Data Studio потребуется использов...
Создатели GTA будут платить деньги за нахождение уязвимостей в своей новой игре Еще в апреле 2016 года студия Rockstar запустила программу “Bug bounty”, суть которой заключалась в поиске ошибок и уязвимостей в системе безопасности GTA Online. Тогда пользователи, сумевшие найти дефекты в игре, могли получить от разработчиков от 150 до 10 тыс долларов. Се...
PVS-Studio для Visual Studio Многие наши статьи посвящаются чему угодно, но только не самому инструменту PVS-Studio. А ведь мы очень много делаем, чтобы разработчикам было удобно пользоваться нашим инструментом. Но как раз это часто оказывается за кадром. Решил исправить эту ситуацию и рассказать об пл...
Исследователи нашли новые уязвимости в протоколе WPA3 ИБ-специалисты обнаружили две новые уязвимости в стандарте беспроводных подключений WPA3. Баги позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, и методом подбора выяснить пароль WiFi-сети. Разработчики протокола планируют о...
Информационная энтропия хаоса Введение На Habr достаточно много публикаций, в которых рассматривается понятие энтропии, вот только некоторые из них [1÷5]. Публикации были позитивно восприняты читателями и вызвали большой интерес. Достаточно привести определение энтропии, которое дал автор публикации [1...
Системы ICANN Wiki были инфицированы майнером криптовалюты Веб-ресурсы ICANN Wiki подверглись не так давно кибератаке, в результате которой неизвестные злоумышленники смогли внедрить на сайт проекта майнер криптовалюты. ICANN Wiki является независимым информационным проектом, однако его деятельность тесно связана с деятельностью са...
[Перевод] 20 вещей, которые мне хотелось бы знать, прежде чем стать веб-разработчиком В самом начале своей карьеры я не знал многих важных вещей, которые для начинающего разработчика являются крайне полезными. Оглянувшись назад, я могу сказать, что многие мои ожидания не оправдались, они и близко не соответствовали реальности. В этой статье я расскажу о 20...
Онлайн казино Фараон и его преимущества 21 век — это время невероятных разработок и свершений, когда абсолютно каждый из нас может найти себя в чём-то особенном. Стоит отметить, что с помощью современных технологий, каждый из нас может не просто пользоваться интернетом для игр, множеством разнообразных покуп...
Security Week 32: дыра в iMessage, приватность голосового ввода 22 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройств...
Google обещает заплатить до 1,5 млн долларов за взлом смартфонов Pixel 3 и 4 Компания Google опубликовала новые условия программы Android Security Rewards, призванной стимулировать поиск уязвимостей в ее смартфонах. Сейчас в программе участвуют устройства Pixel 4, Pixel 3a, Pixel 3a XL, Pixel 3 и Pixel 3 XL. Программа распространяется на ранее ...
Особенности настройки Palo Alto: SSL VPN Несмотря на все преимущества межсетевых экранов Palo Alto, в рунете не так много материалов по настройке этих устройств, а также текстов, описывающих опыт их внедрения. Мы решили обобщить материалы, накопленные у нас за время работы с оборудованием этого вендора и рассказа...
Ошибки, которые не находит статический анализ кода, потому, что он не используется Время от времени читатели наших статей о проверке открытых проектов обращают внимание, что статический анализатор кода PVS-Studio выявляет большой процент ошибок, которые незначительны или вообще не влияют на работу приложения. Это действительно так. Большинство важных ошибо...
Инфостилер для macOS маскируется под трейдерскую программу Вредоносное приложение Stockfoli маскируется под легитимную биржевую программу для macOS и похищает данные пользователей. Об этом сообщили ИБ-специалисты, изучившие два варианта зловреда GMERA, задействованные в кибератаках. Исследователи обратили внимание на подозрительный ...
Космос как смутное воспоминание Мне больно. Известный советский космонавт сказал, что космос – это факт далекого прошлого. Эпоха романтики прошла, эпоха зрелости не наступила. Мы летаем на орбиту на высоту в 180 км и уже много-много лет рассуждаем о возвращении на Луну и высадке на Марс. Космические програ...
Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблем...
Уязвимости смартфонов Привет, Хабр! Меня зовут Ярослав Сташевский, я менеджер по информационной безопасности «ИТ-ГРАД». Сегодня я хотел бы поднять тему, которая касается каждого, — уязвимости смартфонов. Люди привыкли доверять своим мобильным устройствам очень чувствительную информацию. Это касае...
Автоматизация тестирования платных сервисов на iOS Для тех, кто интересуется темой автоматизации на iOS, у меня две новости — хорошая и плохая. Хорошая: в iOS-приложении для платных сервисов используется только одна точка интеграции — in-app purchases (встроенные в приложение покупки). Плохая: Apple не предоставляет никаких ...
Republic в Kubernetes: переезд десятилетия Скандальные, важные и просто очень крутые материалы выходят в СМИ не каждый день, да и со 100% точностью спрогнозировать успешность той или иной статьи не возьмётся ни один редактор. Максимум, чем располагает коллектив — на уровне чутья сказать, «крепкий» материал или же «...
[Из песочницы] Размышления на тему карьеры в IT и советы начинающим Привет, Хабр! Я тут недавно много думал насчёт карьеры, будущего нашей индустрии и так далее. Решил написать статью для тех кто только собирается сюда въезжать, да и вообще возможно кому-то будет интересно, все нижеприведенное чисто мое имхо и многое из того что я скажу прим...
Из "умных" устройств россияне предпочтут часы Респонденты выбирали между следующими типами IoT-устройств:Умные часы (41%)Умная лампочка (30%)Голосовой помощник Alexa/Google Home (21%)Умный термостат (8%)И мужчины (42%) и женщины (36%) в России больше всего хотят приобрести или получить в подарок умные часы. Умные лампоч...
[Из песочницы] Second applet, его закрытие и прозрачные кнопки в Processing 3 Всем КУ. Мой первый пост, прошу не судить строго. Возникла по работе необходимость считывать визуально состояние оборудования и, при необходимости, производить перезапуск криокомпрессора удаленно. Под рукой была Arduino UNO, к ней приобретены датчик освещенности, пока что 2...
Опубликован эксплоит для уязвимости в Outlook для Android Для RCE-уязвимости в Outlook для Android, о которой стало известно на прошлой неделе, опубликован работающий эксплоит.
Миссия: найти работу с институтской скамьи Прочитав статью моего коллеги в корпоративном блоге, мне вспомнился мой опыт по поиску и приему на работу. Крепко всё обдумав, я решил, что пора им поделиться, т.к. к текущему моменту проработал в компании уже полтора года, многому научился, многое понял и осознал. Но и уни...
OpenSceneGraph: Обработка событий Введение Одной из особенностей языка C++, за которую его часто критикуют — отсутствие в стандарте механизма обработки событий. Между тем данных механизм это один из основных путей взаимодействия одних программных компонентов с другими программными компонентами и аппаратным ...
Вопросы для собеседования — от кандидата к работодателю Все мы привыкли к тому, что на собеседованиях задают много вопросов. Обычно — работодатели кандидатам. Один из таких вопросов — “а у вас есть вопросы к нам?”. Довольно часто кандидаты не готовы к этому. И зря. Задавать вопросы работодателю — это совершенно нормально и даже н...
Третья уязвимость Steam Windows Client, но не 0day В предыдущих сериях Не так давно я рассказал о двух уязвимостях Стима: CVE-2019-14743 и CVE-2019-15316. Там была целая история о том, как я пытался зарепортить их, у меня не получалось, меня забанили, и только после публичного раскрытия и помощи сообщества удалось достичь ре...
Преодоление третьего закона организационной гравитации Гибкость является одной из самых очевидных и понятных причин, по которым компании ставят внедрение Agile на первое место среди задач. Однако многие компании до сих пор испытывают серьезные затруднения с радикальной сменой курса развития, даже несмотря на то, что сотрудники ...
Рано радовались! Процессоры AMD тоже подвержены новой уязвимости SWAPGSAttack Очередная уязвимость наделала много шума
Приятное и полезное в преподавании Всем привет! Год назад я написал статью про то, как я организовывал университетский курс по обработке сигналов. Судя по отзывам, в статье много интересных идей, но она большая и тяжелочитаемая. И я давно хотел разбить её на более маленькие и написать их понятнее. Но писать о...
Силовой модуль разработчика. Работа над ошибками Приветствую! В моих предыдущих статьях (раз и два) вы ознакомились с силовым модулем полумоста, который позволяет построить преобразователь практически любой топологии. Я показал как можно быстро и без особых усилий получить макет силового преобразователя и обкатать идею, а ...
[Из песочницы] Как не потерять посещаемость при переезде на новый домен: кейс «Все10» Мы постоянно набираем тексты на клавиатуре, поэтому неудивительно, что клавиатурные тренажеры пользуются популярностью. В 2009 году компания «Реактор» создала клавиатурный тренажер «Все10». В месяц его посещали порядка 50 тысяч пользователей. В 2013 году был создан по обр...
Виталик Бутерин не видит опасности в новой уязвимости Ethereum Сооснователь Ethereum Виталик Бутерин, как и несколько других ведущих разработчиков платформы не видят серьезной угрозы безопасности в баге, который был выявлен в коде предстоящего апгрейда системы Constantinople. Ранее сообщалось, что обнаруженная уязвимость затрагивает нек...
Баг в Libarchive допускает выполнение стороннего кода В библиотеке Libarchive, входящей в состав многих ОС и утилит, обнаружена серьезная уязвимость. Баг позволяет злоумышленнику выполнить код на целевом компьютере, если жертва откроет вредоносный архив. Проблема выявлена только в Linux-версии программы и не затрагивает пользов...
Независимый эксперт нашел RCE-уязвимость в Microsoft Teams Программный инженер Риган Ричард Джей (Reegun Richard J) обнаружил способ выполнить произвольный код через платформу Microsoft Teams. Уязвимость, которая содержится в процессах обновления ПО, также частично коснулась настольных версий GitHub, WhatsApp и UiPath. Как пояснил э...
[Перевод] Пишем чистый и масштабируемый JavaScript-код: 12 советов Язык JavaScript родом из раннего веба. Сначала на нём писали простые скрипты, которые «оживляли» страницы сайтов. Теперь же JS превратился в полноценный язык программирования, который можно использовать даже для разработки серверных проектов. Современные веб-приложения силь...
[Перевод] Иерархическая кластеризация категориальных данных в R Перевод подготовлен для студентов курса «Прикладная аналитика на R». Это была моя первая попытка выполнить кластеризацию клиентов на основе реальных данных, и она дала мне ценный опыт. В Интернете есть множество статей о кластеризации с использованием численных переменны...
В роутерах Cisco ASR 9000 закрыта опасная уязвимость Компания Cisco Systems пропатчила критическую уязвимость в сервисных маршрутизаторах серии ASR 9000. Согласно бюллетеню, атака через эту лазейку позволяет получить доступ к устройству на уровне администратора, а также вызвать на нем состояние отказа в обслуживании. Уязвимост...
Apple приглашает разработчиков представлять свои проекты для Apple Arcade Apple Arcadeстанет доступна для игроков со всего (или почти со всего) мира уже этой осенью. И ее успех во многом зависит именно от качества представленных игр. Да, даже если компания решит установить слишком высокую цену, то пользователи побурчат, но все равно попробуют, по...
Заплатку для 0-day в Windows выпустила сторонняя компания Компания Acros Security выпустила исправление для уязвимости нулевого дня в операционной системе Windows 10. Брешь обнаружила ИБ-исследовательница, известная в Сети под псевдонимом SandboxEscaper, в конце декабря, однако Microsoft не закрыла ее в январском пакете обновлений....
Есть ли разница между книгой и аудиокнигой: смысл на слух Стоит заметить, что «словарь» не хранится в одной определенной области мозга, а размазан по всей коре. Семантические сети, которые активируются в связи с определенными образами и понятиями, организованы в тематические группы — инструменты, глаголы действия, жилье и тому подо...
Уязвимость в «Google Фото» позволяла рассекретить данные пользователей Увлекшись поисками недостатков в программных продуктах конкурентов, Google, кажется, совершенно забыла об обеспечении безопасности своих собственных. Как выяснили исследователи компании Imperva, приложение «Google Фото» содержало критическую уязвимость, которая при должных ...
Windows Defender ATP теперь называется Microsoft Defender ATP и выходит на Mac Microsoft объявила, что отныне Windows Defender Advanced Threat Protection (ATP) теперь называется Microsoft Defender Advanced Threat Protection. Причина этого в том, что Defender ATP выходит также и на MacOS.Компания также анонсировала Threat and Vulnerability Management (T...
Специалисты Microsoft изучили попытки применения BlueKeep Эксперты Microsoft предупредили пользователей о растущей угрозе кибератак на базе уязвимости BlueKeep. Как выяснили специалисты, преступники создали новый эксплойт, который уже применяется для распространения зловредов-криптомайнеров. Уязвимость BlueKeep (CVE-2019-0708) соде...
0-day в Chrome использовали вместе с уязвимостью в Windows 7 Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно на прошлой неделе, с уязвимостью нулевого дня в Windows 7.
Эволюция программного проекта и ООП Осваивая рецепты эффективного развития программного проекта, постарался для себя найти причины, делающие полезным использование принципов развития архитектуры SOLID (статья Как не понимать принципы развития архитектуры SOLID). Анализ этих принципов позволил выделить несколь...
[Из песочницы] Подробный разбор симплекс-метода Пролог Недавно появилась необходимость создать с нуля программу, реализующую алгоритм симплекс-метода. Но в ходе решения я столкнулся с проблемой: в интернете не так уж много ресурсов, на которых можно посмотреть подробный теоретический разбор алгоритма (его обоснование: поч...
[Перевод] Разработчикам игр пора перестать слушать своих фанатов? Тут был спор из-за статьи и я решил выложить ее перевод на всеобщее обозрение. С одной стороны, автор говорит, что разработчики не должны потакать игрокам в вопросах сценария. Если смотреть на игры, как на искусство, то я согласен — никто не будет спрашивать у комьюнити, как...
Security Week 35: статистика утекших паролей и атаки через Google Drive Прошедшая неделя отметилась как минимум двумя громкими событиями в сфере инфобезопасности. Впервые за долгое время для актуальных моделей Apple iPhone со свежей прошивкой iOS 12.4 доступен джейлбрейк (новость, пост на хабре). Джейлбрейк эксплуатирует уязвимость, которую закр...
В королевстве PWN. Препарируем классику переполнения буфера в современных условиях Для подписчиковСколько раз и в каких только контекстах не писали об уязвимости переполнения буфера! Однако в этой статье я постараюсь предоставить универсальное практическое «вступление» для энтузиастов: от существующих на данный момент механизмов безопасности компилятора GC...
Разрабатываем теорию информации как проект с открытым исходным кодом Есть проблема: найден очень полезный способ описания процессов формирования и преобразования информации, сформирован теоретический базис этого способа публикация в чисто-теоретическом виде (без сопровождения объяснениями и примерами) будет доступна только труженикам науки, ...
Новые уязвимости в стандарте WPA3 В стандарте WPA3 были обнаружены две новые уязвимости, позволяющие злоумышленникам получить доступ к сети. Они были обнаружены теми же исследователями, которые ранее обнаружили пять уязвимостей. Была выявлена специалистами Мэти Ванхофом (Mathy Vanhoef) и Эйалом Роненом (Eyal...
ТОП-10 уязвимостей IoT-устройств К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей. В среднем между временем подключения...
[recovery mode] Первая волна пострадавших от уязвимости Exim. Скрипт для лечения Уязвимость с RCE в Exim уже довольно сильно нашумела, и довольно сильно потрепала нервы системным администраторам по всему миру. На волне массовых заражений (очень многие наши клиенты используют Exim в качестве почтового сервера) быстренько накидал скрипт для автоматизации...
[Перевод] Как работает kubectl exec? Прим. перев.: автор статьи — Erkan Erol, инженер из SAP — делится своим изучением механизмов функционирования команды kubectl exec, столь привычной для всех, кто работает с Kubernetes. Весь алгоритм он сопровождает листингами исходного кода Kubernetes (и связанных проектов),...
Фитнес-браслет: зачем нужен и кому будет полезен Состояние нашего здоровья – это главная ценность в человеческой жизни. По сути, этот факт понятен абсолютно всем. Вот только заботиться о нем мы начинаем уже после того, как появились проблемы. Хорошим примером станет высокая температура и слабость во время вирусной инфекции...
Передача двумерных списков из python в DLL Всем привет. Решил несколько дополнить статью C/C++ из Python. Передача стандартных типов, таких как int, bool, float и так далее довольно проста, но мало необходима. С такими данными быстро справится и сам python, и врядли у кого-то возникнет необходимость вынесения части т...
Microsoft нашла две похожие на BlueKeep RCE-уязвимости Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, ко...
Серия опасных уязвимостей найдена в программе Carousel Независимый ИБ-эксперт Дрю Грин (Drew Green) обнаружил серию уязвимостей в системе управления мультимедиа Carousel. Бреши позволяют неавторизованному пользователю загружать на сервер файлы и выполнять сторонний код. Решение Carousel от Tightrope Media Systems позволяет центр...
Уязвимости URGENT/11 угрожают безопасности сотен миллионов устройств 11 уязвимостей в VxWorks (RTOS), получившие общее название URGENT/11, представляют опасность для IoT-устройств, SCADA, критически важных систем и различного оборудования, включая медицинское.
После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot Lenovo X260 ThinkPad с Windows 10 19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленник...
Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...
Опубликован список из 25 самых опасных уязвимостей ПО Изображение: Unsplash Американская организация MITRE опубликовала список из 25 самых опасных уязвимостей программного обеспечения. Исследователи составили таблицу наиболее опасных и распространенных проблем безопасности, с указанием идентификаторов CWE (Common Weakness En...
[Перевод] Управляем асинхронностью в PHP: от промисов к корутинам Что такое асинхронность? Если кратко, то асинхронность означает выполнение нескольких задач в течение определенного промежутка времени. PHP выполняется в одном потоке, что означает, что в любой момент времени может выполняться только один фрагмент PHP-кода. Это может показа...
Авторам технических текстов: как писать о сложном и не быть занудой? Потребление контента похоже на процесс приёма пищи. Обычно мы тратим деньги на калории, но важна не только калорийность. Чем еда полезнее, вкуснее и красивее, тем больше мы её хотим. Так и с контентом. В этой статье поговорим, как стать «контентным поваром»: готовить текст т...
Angular: создание и публикация библиотеки Начнем с начала Если мне не изменяет память, то с версии 6 в angular появилась возможность создавать в одном workspace проекты разных типов: application и library. До этого момента люди, которые хотели создать библиотеку компонент, скорее всего, пользовались отличным и поле...
[Перевод] Архитектура программного обеспечения переоценена, простой и понятный дизайн — недооценен Вашему вниманию предлагается перевод поста Гергелия Ороса, занимающего должность Engineering Manager в Uber. В нем он делится своим взглядом на проектирование крупномасштабных систем, основанном на собственном практическом опыте работы в Uber и Microsoft. В сочетании с ком...
Capesand: новый эксплойт-пак со старым кодом Злоумышленники опробуют пакет эксплойтов Capesand, находящийся в стадии активной разработки. Анализ показал, что новый инструмент заимствует исходные коды схожего проекта, выложенные в открытый доступ на GitHub пять лет назад. Эксплойт-пак Capesand впервые засветился в ходе ...
В процессорах Intel обнаружена очередная фундаментальная уязвимость — Zombieload v2. Новые чипы Cascade Lake ей тоже подвержены В процессорах Intel, и без того славящихся уязвимостями на уровне архитектуры, нашлась новая брешь, которая есть во всех моделях, выпущенных с момента появления архитектуры Haswell в 2013 году. То есть, самые новые процессоры семейства Intel Cascade Lake тоже подвержены проб...
Cisco вне графика пропатчила менеджер сети ЦОД Компания Cisco Systems выпустила экстренные патчи для двух критических уязвимостей в Data Center Network Manager. В обоих случаях эксплойт позволял захватить контроль над атакуемой системой. Продукт Data Center Network Manager (DCNM) предоставляет пользователям платформу для...
В Oracle WebLogic обнаружена RCE-уязвимость Разработчики Oracle выпустили экстренный патч для серверов WebLogic, чтобы закрыть обнаруженную уязвимость нулевого дня. Эксперты призывают администраторов срочно установить обновление, поскольку баг уже получил применение в кибератаках. Первыми об угрозе сообщили специалист...
Во всех процессорах Intel, начиная с первого поколения Core, обнаружена неустранимая уязвимость, получившая название Spoiler Специалистами Вустерского политехнического института и Любекского университета обнаружена уязвимость, которая есть во всех процессорах Intel, выпущенных с момента появления архитектуры Core. Как и ранее выявленная уязвимость Spectre, она связана с особенностью механизмо...
[Из песочницы] Проект Lenergy, как переосмысление портативных источников питания Привет, Хабр! Хочу рассказать о своём виденье универсального программируемого портативного источника энергии. Как я к этому пришёл, каким в итоге проект стал в железе, для чего он нужен и варианты применения, а так же его дальнейшее развитие. Одной статьи будет явно недостат...
Как создать Python wrapper и не сойти с ума Недавно на Хабре прочитал статью про очень полезный инструмент, и так как я уже давно искал какой-то проект, чтобы начать контрибьютить, решил посмотреть, что там есть на гитхабе и чем можно помочь. Одно из issue было на счет создания обертки (дальше буду использовать wrappe...
Уязвимость в iOS 13 позволяет обойти пароль и получить доступ к контактам iOS 13 Golden Master Тестовая версия обновления — на то и тестовая, что практически наверняка содержит те или иные недоработки, которые предстоит выявить в процессе её исследования тестировщиками. iOS 13 не была в этом смысле исключением, поскольку содержала несколько ...
У Intel снова проблемы с 10-нанометровой продукцией В начале месяца компания Intel пообещала, что мобильные 10-нанометровые процессоры Ice Lake в составе готовых решений появятся к концу текущего года. Intel не указала названий моделей или их параметров, но рассказала много интересного и полезного об особенностях грядущи...
[Перевод] Как Doom попал на Super Nintendo Эта статья — перевод главы книги Game Engine Black Book: DOOM, подробного анализа внутреннего устройства одной из самых влиятельных игр id Software. В этой главе рассказывается о сложном процессе портирования DOOM на Super Nintendo и о ключевой роли, которую сыграл в нём ра...
Книга «Прагматичный ИИ. Машинное обучение и облачные технологии» Привет, Хаброжители! Эта книга Ноя Гифта предназначена для всех, кого интересуют ИИ, машинное обучение, облачные вычисления, а также любое сочетание данных тем. Как программисты, так и просто неравнодушные технари найдут тут для себя полезную информацию. Примеры кода даны н...
3 Амиго — способ коммуникации, для создания качественного продукта Представим ситуацию — тестировщик находит баг, начинает обсуждать его с разработчиком — а тот настаивает, что это не баг. Потому что в спецификации не было речи об этой функциональности. Знакомо? Или потому что требования были неоднозначно сформулированы и он их неправильно...
Упрощаем написание резюме разработчика Проблема Каждый раз, когда приходит время искать работу, кандидат садится обновлять резюме, и попутно смотрит более опытным взглядом на свой прошлый опыт. И все переписывает, снова и снова. И каждый раз думает, что найдет вакансию мечты, а дальше станет уже настолько опытным...
Intel предложила концепцию памяти с защитой от «спекулятивных» атак С самого начала 2018 года началось буквально нашествие уязвимостей в процессорных микроархитектурах, парад которых открыли Meltdown и Spectre. Позже исследователи в сфере информационной безопасности добавили к ним L1TF, SGXSpectre, SWAPGSAttack, Zombieload, MDS и другие уязв...
iOS 12.4 официально взломана. Кто виноват? Apple уделяет большое значение обновлениям своих операционных систем и издавна прививает это же чувство своим пользователям. Поэтому в Купертино всегда советуют устанавливать все апдейты без исключения, даже если они, на первый взгляд, не включают в себя новых функций. В ко...
Что нужно знать о JavaScript Engine Switcher 3.0 JavaScript Engine Switcher изначально создавался как вспомогательная библиотека и его развитие во многом определялось потребностями библиотек, которые его использовали. Фактически каждая его мажорная версия решала одну или несколько крупных задач необходимых для дальнейшего...
SmartCard I2C Protocol. Обмен APDU командами через I2C интерфейс Введение Некоторое время назад я принимал участие в разработке устройства, в котором было необходимо реализовать российскую криптографию. Так как в дальнейшем предполагалось это решение сертифицировать, то к реализации криптографии выдвигались определенные требования. И как ...
[Перевод] Как Крис Жуковский учился клиентской поддержке своих игр в аэропорту Это перевод недавнего письма из рассылки от игрового инди разработчика Криса Жуковского [1]. Автор успешно выступал на конференциях, в том числе на GDC [2]. Статьи этого автора пользуются заслуженной популярностью на Гамасутре и регулярно переводятся на русские площадки. В д...
YouTube ищет способы предотвратить злоупотребление «дизлайками» Разработчики думают удалить кнопку «дизлайк», чтобы ликвидировать проблему «негативных флэш-мобов». Инициатива убрать кнопку «дизлайк» поступила после того, как стало появляться все больше групп, которые специально занижают рейтинг видеоролика. Они голосуют за определе...
Apple выпустила iOS 12.4.2, watchOS 5.3.2 и macOS 10.14.6 iPhone 5s и iPhone 6 всё ещё обновляются, не списывайте их со счетов Несмотря на то что традиционно Apple обновляет iPhone и iPad не дольше пяти лет, иногда в Купертино оглядываются назад и выпускают апдейт для устройств, чья программная поддержка уже прекратилась. Это проис...
5 советов о Design Leadership. Часть 1 Всем привет. Уже в этом месяце мы запускаем курс «Team Lead 2.0», который подготовлен специально для старших разработчиков, TeamLead’ов, SCRUM мастеров и специалистов, желающих повысить свой профессиональный уровень и получить уникальный опыт, необходимый для эффективного уп...
Мнимая безопасность. Только за последние две недели хакеры нашли в блокчейн-платформах два десятка уязвимостей Специалисты по компьютерной безопасности, так называемые белые хакеры, продолжают находить уязвимости в блокчейн-платформах. За последние две недели ими было обнаружено 20 ошибок в семи криптовалютных проектах, за раскрытие которых они получили в общей сложности $7 400 в кач...
SandboxEscaper нашла еще один способ обойти патч Microsoft Независимая исследовательница с ником SandboxEscaper опубликовала еще один PoC эскалации привилегий в Windows 10. По информации ИБ-эксперта, манипуляции с браузером Edge и другими приложениями позволяют атакующему получить доступ к файлам ОС с правами уровня SYSTEM. Сторонни...
Баг в защитном решении Cisco грозит постоянным DoS Компания Cisco закрыла две серьезные уязвимости, затрагивающие Email Security Appliance (ESA) — комплекс средств для обеспечения безопасности электронной почты. Эксплойт в обоих случаях позволяет вызвать состояние отказа в обслуживании и осуществляется через отправку вредоно...
Web Security Testing Starter Kit Всем привет! Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь,...
Пользователи OnePlus оказались в опасности из-за бага OxygenOS Смартфоны OnePlus в опасности. Но помощь уже на подходе Проблемы с безопасностью и быстродействием сопровождали Android с момента её появления. Со временем «железо» смартфонов стало достаточно мощным, чтобы обрабатывать интерфейс операционки без лагов, но совладать с большим...
Карьерные стероиды. Базовый алгоритм Статья про быстрый карьерный рост внутри одной компании. Именно внутри одной, т.к. скачок при переходе — это другая методика, к ней нужно иначе готовиться (там больше комплект увольнения подходит). Сразу скажу: я не считаю, что строить карьеру — это правильно, без этого ник...
В сентябрьский набор обновлений для Android не вошел патч для опасной 0-day уязвимости В этом месяце разработчики Google исправили почти 50 различных уязвимостей в Android, но эксперты Trend Micro сообщили, что одна опасная 0-day проблема так и осталась без патча.
Три истории про дикий хантинг Хантинг – это стратегия найма за счет переманивания специалиста, работающего в другой компании. К хантингу прибегают в тех случаях, когда не могут найти нужных специалистов на открытом рынке. Истинный хедхантер — это искусный переговорщик, хорошо разбирающийся в психологии...
[Перевод] Эффекты фильтрации SVG. Часть 7. Продвижение вперед Предлагаемая серия статей "Эффекты фильтрации SVG" Sara Soueidan, внештатного разработчика UI/UX интерфейса и автора многих технических статей, проживающей в Ливане, посвящена работе фильтров SVG и состоит из следующих статей: Эффекты фильтрации SVG Эффекты фильтрации SVG. ...
В популярных системах удалённого доступа VNC обнаружены уязвимости Система VNC предназначена для предоставления одному устройству удалённого доступа к экрану другого. При этом спецификация протокола не ограничивает выбор ОС и позволяет кроссплатформенные реализации, что делает систему одной из самых распространённых. Точное количество инста...
Баги в USB-приемниках Logitech частично останутся без патчей Независимый ИБ-исследователь Маркус Менгс (Marcus Mengs) опубликовал информацию о серии уязвимостей в оборудовании Logitech. Баги позволяют злоумышленнику перехватывать данные, которые поступают на уязвимое устройство, незаметно для жертвы внедрять нажатия клавиш и захватыва...
[Перевод] Основы движков JavaScript: прототипы оптимизации. Часть 1 Всем привет. Все меньше времени остается до запуска курса «Безопасность информационных систем», поэтому сегодня мы продолжаем делиться публикациями, приуроченными к запуску данного курса. Кстати, нынешняя публикация является продолжением вот этих двух статей: «Основы движков...
Механики геймификации: древо навыков Привет, Хабр! Продолжаем разговор о механиках геймификации. Прошлая статья рассказывала о рейтинге, а в этой поговорим о древе навыков (технологическом древе, skill tree). Рассмотрим, как древо используется в играх и как эту механику можно применить в геймификации. Читать ...
[recovery mode] Популярные вопросы разработчика о тестировании Эта статья — не теоретическое руководство по написанию тестов и не how-to по использованию инструментария в определенном стеке, а ряд популярных вопросов, иногда даже у многих не сформировавшихся, на которые я постараюсь дать ответы. Источником этих вопросов служат коллеги, ...
[Из песочницы] Максимальный постоянный ток через полевой транзистор На просторах интернета достаточно много информации о полевых транзисторах (далее ПТ) и их параметрах, но один из довольно простых, на первый взгляд, параметров, а именно – максимальный постоянный ток, который транзистор может через себя пропустить в ключевом режиме, и не сго...
SandboxEscaper нашла еще три 0-day в продуктах Microsoft Киберпреступник может получить административные привилегии в операционных системах Windows 10, Windows Server 2016 и 2019, используя уязвимость в планировщике задач. Об этом сообщила независимый ИБ-специалист под псевдонимом SandboxEscaper, опубликовавшая код эксплойта и вид...
Новое 8-минутное геймплейное видео тактической Gunslugs: Rogue Tactics Месяц назад разработчик тактической Gunslugs 3: Rogue Tactics поделился с игроками новостью о том, что в определенный момент он был настолько недоволен сиквелом, что переделал его почти полностью, потратив на работу 2 месяца. В январе Orangepixel показал новый трейлер, и, д...
Сервер, ты меня слышишь? BROP-атака на примере задания NeoQUEST-2019 Как найти уязвимость на сервере, не имея информации о нём? Чем BROP отличается от ROP? Можно ли скачать исполняемый файл с сервера через переполнение буфера? Добро пожаловать под кат, разберём ответы на эти вопросы на примере прохождения задания NeoQUEST-2019! Читать дальш...
[Из песочницы] 10 советов для того, чтобы быть хорошим техническим лидером Привет, Хабр! Представляю вашему вниманию перевод статьи «10 Tips for Being a Good Tech Lead» автора VijayDeveloper. Лидерство это не услуга, это умение. Профессионалы, работающие разработчиком программного обеспечения в течение нескольких лет, получают шанс стать технолог...
Intel устранила 19 уязвимостей в графических драйверах для Windows Разработчики Intel опубликовали исправления для 19 багов в графических драйверах для Windows. Уязвимости чреваты эскалацией привилегий, DoS и раскрытием информации.
Что не рассказала Google про Android Beam в Android Q На прошедшей конференции для разработчиков Google I/O была официально представлена новая версия операционной системы Android. Во время релиза компания сфокусировалась только на тех положительных изменениях и новшествах, которые несет с собой десятая итерация зеленого робота....
Раскрыты пять пропатченных уязвимостей в iOS Участники команды Google Project Zero раскрыли подробности о пяти из шести найденных ими уязвимостей в iOS. Все они позволяли проводить удаленные атаки на систему без взаимодействия с пользователем. Компания исправила ошибки в последнем обновлении системы, 12.4, которое вышл...
Apple отключила одну из функций Apple Watch. Она позволяла подслушивать пользователей Случаев, когда Apple отключала какую-то функцию в своих устройствах уже после ее релиза, можно пересчитать по пальцам одной руки. Из наиболее известных на ум приходят два примера. Так, в 2013 году компания убрала из финальной бета-сборки iOS 7 поддержку iCloud Keychain, пот...
«Лаборатория Касперского» обнаружила 37 уязвимостей в популярных системах удалённого доступа VNC Эксперты Kaspersky ICS CERT провели исследование различных реализаций системы удалённого доступа Virtual Network Computing (VNC) и в итоге обнаружили 37 уязвимостей порчи памяти, многие из которых существовали на протяжении очень ...
Как внедрить статический анализатор в разработку, чтобы всем было хорошо? В процессе работы нам часто задают вопрос: как внедрить статический анализатор в разработку, чтобы всё всем было хорошо. О том, почему для безопасной разработки необходим статический анализатор, мы уже рассказывали. Эта статья будет полезна, если вы выбираете статический ана...
Windows 10 запустили на калькуляторе. Буквально Стоит сразу же оговориться, проект не завершен и на данный момент (10 ноября) энтузиаст не смог добиться работы графической среды. Успешным можно признать только запуск установщика ОС и работу некоторых сервисов, отвечающих за первичную настройку оборудования. Но учитывая ко...
В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...
Google выпустила первое обновление Android в этом году Компания Google представила январское обновление безопасности, распространение которого уже началось среди владельцев смартфонов линейки Google Pixel, а значит, в скором времени оно станет доступно для установки на аппараты сторонних производителей. Апдейт, ставший первым в...
Виза таланта в цифровых технологиях в Великобританию: личный опыт Моя предыдущая статья на хабре про жизнь в Шотландии нашла очень большой отклик у хабрасообщества, поэтому я решил опубликовать тут еще одну статью которую об эмиграции, которую ранее публиковал на другой площадке. Я живу Великобритании больше двух лет. Изначально, я сюда п...
[Из песочницы] Как я Scala учил Месяца назад я получил свою первую работу и стал стажер-разработчиком, наша команда использует язык Scala. Мне кажется, все начинающие разработчики в первый день потерянные. одновременно наваливается куча новых имен, технологий, каких-то правил, да и мало ли что еще, абсолют...
«Общение» смартфона с колонкой «Яндекса» раскрывает пароль Wi-Fi «Умная» колонка передаёт необходимые для подключения к Wi-Fi сети и авторизации в сервисах «Яндекса» информацию с помощью звука — сведения кодируются, модулируются и излучаются динамиком телефона, после чего «Станция» демодулирует сигнал с микрофонов, декодирует данные и исп...
В Сеть попала предварительная сборка Android 10.0 Q Еще Google толком не успела обновить все устройства до актуальной Android 9.0 Pie, как в Сеть попала предварительная сборка новой Android 10.0 Q. Опробовать ее возможности предоставилось изданию XDA Developers на смартфоне Pixel 3 XL и здесь есть о чем рассказать.Android 10....
Samsung отказалась исправлять баг, который выводит из строя ее смартфоны Хотите я открою вам страшную тайну? Бесполезно заниматься поисками идеального смартфона, поскольку его просто не существует. В противном случае он остался бы единственным аппаратом на рынке, а все остальные производители были вынуждены сдаться и уйти в закат. Даже iPhone, к...
Кейс от Narcade: разработчики из Турции рассказывают о локализации мобильных игр и турецком игровом рынке В этой статье мы поделимся с вами опытом компании Narcade — разработчика мобильных игр из Стамбула. Они выпустили Farm Bubbles, Ignis и Zipline Valley — игры, которые стали успешными по всему миру. Мы поговорим об их опыте в локализации мобильных игр для Европы и Азии, а т...
[Из песочницы] Новичку only: 10 вещей, которые вы должны знать как веб-разработчик Привет, Хабр! Представляю вашему вниманию перевод статьи «10 Things You Should Know As a Web Developer» автора Anuupadhyay. Написание тысячи строк кода и превращение в веб-сайт — одна из творческих и сложных вещей для веб-разработчиков. Если вы в этом деле новичок, увидели ...
В библиотеке libssh2 для Linux закрыли девять брешей Разработчики Linux-библиотеки libssh2 залатали девять уязвимостей в очередной версии продукта — 1.8.1. Эксплуатация брешей позволяла злоумышленникам выполнить вредоносный код на пораженном устройстве или вызвать отказ в обслуживании. Баги обнаружил ИБ-специалист компании Can...
[Из песочницы] Криптография в Java Привет, Хабр! Представляю вашему вниманию перевод статьи "Java Cryptography" автора Jakob Jenkov. Данная публикация является переводом первой статьи Java Cryptography из серии статей для начинающих, желающих освоить основы криптографии в Java. Читать дальше →
[Из песочницы] Подводные камни разработки Google Play Instant Привет, Хабр! Меня зовут Камо Сперцян, я занимаюсь Android-разработкой в PROFI.RU. Недавно я написал приложение с мгновенным запуском для наших клиентов. Если вы ещё не знакомы с технологией, приглашаю вас сначала посетить Android Developers. С презентации Instant Apps (G...
Наша космическая промышленность.… А если взглянуть на проблемы отрасли с позиции гика? Описывать в общем механику проблем в нашей космической отрасли достаточно сложно, запутанно, и для весьма для многих еще и крайне непонятно. Обычный поток информации на тему космоса – это перечень событий, от которого в голове остается только некоторое «сальдо-бульдо» чужих ...
Почему не 1С? Совсем недавно мы опубликовали статью с описанием проблем одной из самых популярных технологий, используемых в IT, и на наше удивление она вызвала достаточно живой интерес (во всяком случае для технической статьи). Поэтому мы решили на этом не останавливаться, и сегодня мы...
Работа децентрализованной биржи 0x оказалась прервана из-за обнаруженной уязвимости Разработчики протокола 0x были вынуждены на время приостановить работу своей децентрализованной биржи, объяснив это обнаруженной уязвимостью в версии 2.0. По заявлению представителей проекта, средства пользователей находятся в целости и сохранности, однако им необходимо мигр...
[Из песочницы] Длинные имена слишком длинные Привет, Хабр! Представляю вашему вниманию перевод статьи "Long Names Are Long" автора Bob Nystrom. Одно из умных вещей которые делает Google это строгие code review. Каждое изменение, прежде чем вам разрешат его внести в основную ветку, рассматривается как минимум ...
Главной угрозой устройствам интернета вещей остается безалаберность пользователей К такому выводу пришли аналитики F-Secure. Они указывают, что при этом число типов угроз для устройств интернета вещей (ИВ-устройств) выросло вдвое только в 2018 г. 87% случаев атак, по данным экспертов, связаны с использованием нелицензионного программного обеспечения и сла...
[Из песочницы] Закат эпохи Big Data Множество иностранных авторов сходятся к тому, что эпоха Big Data подошла к концу. И в данном случае под термином Big Data понимаются технологии, основанные на Hadoop. Многие авторы, даже могут с уверенностью назвать дату, когда Big Data оставила этот мир и эта дата — 05.06....
[Из песочницы] Коренные микробы С 2007 года моя судьба связана с микробами: вот уже 13 лет они меня не отпускают. По моим прикидкам, это гораздо больше, чем 10 000 часов — что-то около 30 000. Как и с любой областью знаний, в определенный момент мозг начинает подкидывать новые идейки. Об одной из них я и х...
В WiFi WPA3 найдены новые уязвимости Разработчик стандарта беспроводной связи WiFi Alliance создал новый протокол шифрования WPA3, который наделён лучшей безопасностью, но на самом деле у него есть множество проблем.
Путь архитектора: сертификация и погружение в продукт Практически каждый разработчик задается вопросами, как ему следует развивать свои навыки и какое направление роста выбрать: вертикальное — то есть, стать управленцем, либо горизонтальное — фулстек. Многолетняя работа над одним продуктом, вопреки мифам, становится не ограниче...
[Перевод] Записки фрилансера: разработка первого React Native-приложения Автор материала, перевод которого мы публикуем, недавно выпустил своё первое мобильное приложение, написанное на React Native. Так случилось, что это приложение стало и его первым проектом, который он создал как программист-фрилансер. Здесь он расскажет о том, с чем ему приш...
Spring JPA репозитории в CUBA Тема статьи достаточно узконаправленная, но, возможно, окажется полезной тем, кто разрабатывает свои собственные хранилища данных и думает об интеграции со Spring Framework. Предпосылки Разработчики обычно не очень любят менять свои привычки (зачастую, в список привычек вхо...
Уязвимость в Windows позволяет установить контроль над компьютером жертвы Уязвимость CVE-2019-1132 представляет собой локальное повышение привилегий в компоненте win32k.sys. После развертывания эксплойта злоумышленники получали возможность устанавливать практически полный контроль над компьютером жертвы.В Windows 8 и более поздних версиях ОС преду...
Подготовка к собеседованию в компании большой пятерки По моим впечатлениям очень многих людей интересует тема подготовки к собеседованиям в топ технические компании, поэтому решил вместо личных ответов написать одну статью на которую в дальнейшем буду ссылаться. Всем кому интересен процесс самого собеседования, вещи на которые ...
Прикручиваем ngx-translate в Angular приложение. Практическое пошаговое руководство Практическая пошаговая инструкция как прикрутить динамическую локализацию (возможность выбора языков) в веб приложении на Angular 4+ используя @ngx-translate/core. В принципе можно найти публикации на подобную тему, может быть достаточно самой документации этой библиотеки, н...
В библиотеке jQuery устранена серьезная уязвимость В jQuery закрыта уязвимость, которая позволяет провести DoS-атаку или получить права администратора веб-приложения, использующего эту JavaScript-библиотеку на стороне клиента. Эксперт по кибербезопасности Лиран Тал (Liran Tal) из Snyk обнаружил брешь 26 марта; пропатченная в...
Хакерам заплатят до 200 000 евро за обнаружение багов ... Те, кто участвует в поиске багов и уязвимостей, могут неплохо зарабатывать. Это в очередной раз доказала компания Huawei, которая провела встречу с рядом известных хакеров в Мюнхене. Цель была объявить о том, что она тоже будет присуждать вознаграждение хакерам и энту...
Исследователь получил 10 000 долларов за обнаружение XSS-уязвимости в Tesla Независимый исследователь обнаружил XSS-уязвимость в своей Tesla Model 3. Баг позволял извлечь и модифицировать информацию об автомобиле.
[Перевод] Как с Prometheus собирать метрики, не искаженные привязкой ко времени Многие сетевые приложения состоят из веб-сервера, обрабатывающего трафик в реальном времени, и дополнительного обработчика, запускаемого в фоне асинхронно. Есть множество отличных советов по проверке состояния трафика да и сообщество не перестает разрабатывать инструменты в...
[Перевод] Оптимизируем производительность игры параметрами импорта звука Unity Разработчики обычно не до конца понимают параметры импорта звука в Unity, и на момент написания статьи я не смог найти ни одного подробного руководства по их использованию. В документации Unity хорошо описано то, что делают параметры импорта звука, но я хотел бы разобрать э...
Security Week 09: 19-летняя уязвимость в WinRAR Объявляем неделю доисторических багов. Уязвимость в архиваторе WinRAR, обнаруженную и закрытую в конце января, подробно описали специалисты компании Check Point Software (новость, оригинальное исследование). В худшем случае брешь позволяет распаковать вредоносный файл в прои...
Даже в последних версиях Android есть уязвимость, позволяющая воровать деньги Несмотря на то, что компания Google достаточно часто выпускает обновления безопасности Android, в операционной системе все равно периодически находятся уязвимости и недостатки. ***
Что такое UI и UX дизайн? Что в них общего и что различного? Всем привет! Предлагаем вам изучить простой в освоении материал, чтобы лучше понять разницу между дизайном пользовательского интерфейса (UI) и пользовательским интерфейсом (UX) UI-дизайн и UX-дизайн — два наиболее часто запутанных и противоречивых понятия, использующихся ка...
SAP опубликовала апрельский набор заплаток Разработчики SAP выпустили очередной пакет обновлений, который устраняет несколько серьезных уязвимостей как собственных продуктов компании, так и их сторонних компонентов. Опубликованные патчи защищают пользователей от утечек информации и прочих вмешательств в работу корпор...
Предустановленное ПО Android-смартфонов полно уязвимостей Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннег...
Обеспечение надежной работы Zextras Team в сложных корпоративных сетях В прошлой статье мы рассказали вам о Zextras Team — решении, которое позволяет добавить в Zimbra Collaboration Suite Open-Source Edition функциональность корпоративных текстовых и видео-чатов, а также возможность проводить видеоконференции с большим числом участников, без не...
Уязвимости в Kubernetes позволяют спровоцировать отказ в обслуживании Разработчики Kubernetes представили исправления для уязвимостей, обнаруженных недавно в протоколе HTTP/2. Эти проблемы чреваты уязвимостью перед DoS-атаками.
[Перевод] Starlink — дело крупное Эта статья из серии, посвященной ликбезу в области космических технологий. Starlink — план SpaceX раздавать интернет через десятки тысяч спутников — главная тема в посвященной космосу прессе. Еженедельно выходят статьи о последних достижениях. Если в общем-то схема ясная, д...
Instagram заблокировал любопытного рекламного партнера Социальная сеть Instagram прекратила сотрудничество с аналитическим агентством HYP3R, которое уличили в неправомерном сборе пользовательской информации. Компания воспользовалась ошибками в API сервиса, чтобы обойти запрет на отслеживание перемещений, введенный после скандала...
Взгляд со стороны EcmaScript на общую теорию ООП Привет, Хабр! До сего дня я занимался лишь переводами интересных, на мой взгляд, статей англоязычных авторов. И вот настала пора самому что-то написать. Для первой статьи я выбрал тему, которая, я уверен, будет полезна junior-разработчикам, стремящимся дорасти до «мидлов»,...
В самокатах Xiaomi найдена уязвимость, которая позволяет любому управлять ими удаленно Электрический транспорт — хорошо, а еще лучше, когда его можно взять с собой — например, самокат. Но чем сложнее технология, тем больше у нее появляется уязвимостей. Так, американская компания Zimperium, которая специализируется на безопасности мобильных устройс...
В Блокноте Windows найдена уязвимость повреждения памяти Аналитик проекта Google Project Zero Тавис Орманди (Tavis Ormandy) обнаружил уязвимость повреждения памяти в приложении «Блокнот» операционной системы Windows. Как утверждает специалист, баг дает возможность атакующему выполнить сторонний код и запустить в рамках п...
Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...
В Chrome 77 закрыли 52 уязвимости Разработчики Google представили очередную версию браузера Chrome. Помимо различных исправлений и улучшений, в новом релизе закрыли 52 уязвимости. Сторонние исследователи обнаружили 36 из них — одну критическую ошибку, восемь багов высокого уровня угрозы, 17 — среднего и 10 —...
Введение в аннотации типов Python. Продолжение Автор иллюстрации — Magdalena Tomczyk В первой части статьи я описал основы использования аннотаций типов. Однако несколько важных моментов остались не рассмотрены. Во-первых, дженерики — важный механизм, во-вторых иногда может оказаться полезным узнать информацию об ожидае...
Байт-машина для форта (и не только) по-индейски (часть 4) И снова я несколько переоценил объем статьи! Планировал, что это будет заключительная статья, где сделаем компилятор и выполним тестирование. Но объем оказался велик, и я решил разбить статью на две. В этой статье мы сделаем практически все основные функции компилятора. ...
Microsoft: связанные с Россией хакеры атакуют корпоративные сети через Интернет вещей Специалисты напоминают, что уязвимость сетей повышается из-за отсутствия информации обо всех устройствах, подключенных к сети.
Clean Decomposition Об использовании чистой архитектуры в Android сказано предостаточно. На GitHub можно найти десятки шаблонов на разные вкусы: на Java или Kotlin, с Dagger2 или Koin, с Rx или с Coroutines. Но никто не говорит о том, как разбить определенный функционал при использовании «чисто...
Уязвимости Urgent/11 оказались опаснее, чем считали эксперты Специалисты предупреждают, что уязвимости Urgent/11, информация о которых была обнародована летом текущего года, представляют угрозу не только для операционной системы реального времени (RTOS) VxWorks.
[Перевод] ServiceLoader: встроенный DI-фреймворк, о котором вы, возможно, никогда не слышали Салют, друзья. Уже в эту пятницу пройдет первое занятие в новой группе курса «Разработчик Java». Именно этому курсу и будет посвящена текущая публикация. Многие из java-разработчиков для внедрения зависимостей используют Spring. Некоторые, возможно, пробовали Google Guice...
Безопасность iOS 13.1 поставлена под сомнение iOS 13.1 повержена хакерами Apple ежегодно совершенствует безопасность своих операционных систем — для этого компания нанимает лучших специалистов в области информационных технологий. iOS 13 не стала исключением из этого правила — разработчики внедрили в ОС новые...
В коде Libra устранили уязвимость, позволявшую манипулировать смарт-контрактами Разработчики специализирующегося на безопасности смарт-контрактов стартапа OpenZeppelin обнаружили и устранили уязвимость в общедоступном коде цифровой валюты Libra от Facebook. Об этом сообщает Coindesk. В частности, OpenZeppelin выявили баг в языке Move, разработанного соц...
Клавиатурные расширения на iOS могут получить лишние права Разработчики Apple сообщили об уязвимости iOS, позволяющей сторонним клавиатурам получить полный набор привилегий на iOS-устройстве. Об этой проблеме стало известно уже после выхода версии ОС 13.1, которая устранила возможность несанкционированного доступа к контактам пользо...
В VLC Media Player обнаружили критическую уязвимость Специалисты из команды CERT-Bund, правительственной группы реагирования на компьютерные инциденты в Германии, обнаружили критическую уязвимость в популярном кроссплатформенном медиапроигрывателе VLC Media Player. Злоумышленники могут воспользоваться ею для удаленного выполне...
«Cпящая сталь». Чем смазать заржавевшие болты или Не WD-40 единым… Посвящается всем отчаявшимся и потерявшим надежду… открутить заржавевшую гайку! На улицы наших городов определенно пришла весна. Потеплело и люди с радостью начали отдавать предпочтение своим настоящим железным друзьям, хоть на время забывая про планшеты и смартфоны. Велоси...
Болгарского исследователя арестовали после раскрытия данных об уязвимости в ПО для детских садов Обнаруженная специалистом уязвимость позволила ему скачать информацию о 235 000 гражданах Болгарии.
Дизайн игровых интерфейсов. Брент Фокс. О чём книга? Данная статья — это краткий обзор книги Game interface design от автора Брента Фокса. Для меня эта книга была интересна с точки зрения программиста, занимающегося разработкой игр в качестве хобби в одиночку. Здесь я опишу, насколько полезной она оказалась для меня и моего хо...
Интересные новости о криптовалютах Мы живем в век информационных технологий. Вокруг нас постоянно присутствует огромное количество информации, которую мы активно изучаем. За последние годы очень популярными стали различные электронные валюты. Сложно найти такого человека, который ни разу не слышал бы о блокче...
Баг в Exim позволяет выполнить сторонний код с root-правами Разработчики почтового клиента Exim устранили серьезную уязвимость, которая позволяла злоумышленнику дистанционно запустить сторонний код на целевом устройстве. Баг обнаружили 18 июля этого года и исправили в течение недели. Обновленные дистрибутивы приложения доступны на FT...
VMWare пропатчила баги, вскрытые в ходе Pwn2Own 2019 Компания VMware пропатчила критические уязвимости в программных продуктах Workstation, ESXi и Fusion. Баги позволяли злоумышленнику выполнить вредоносный код на устройстве, добиться отказа в обслуживании и использовать в своих целях API гостевой машины. Заплатки доступны пол...
ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...
Какие приложения установлены на моём смартфоне Данная тема довольно популярна в сети Интернет, поэтому написать материал о приложениях, которые установлены на моём смартфоне, был просто обязан. Скажу сразу, в игры не играю, поэтому из установленных только PUBG. Для многих смартфон – это просто средство для совершения зв...
Исследователи нашли серьезную уязвимость в смарткартах Смарткарты нескольких производителей оказались уязвимы перед атакой, которая позволяет узнать их приватные ключи. Злоумышленники могут воспользоваться этой возможностью, чтобы клонировать электронные карты доступа. Как работает уязвимость Minerva Исследователи чешского Центр...
Погружаемся в opensource-экосистему Android Disclaimer о том, что пост не призывает к радикальным формам фанатизмаКаждый выбирает свой "уровень погружения". Вам не обязательно следовать каждому пункту из этого поста. Моя цель — показать, насколько хорошо развита экосистема на данный момент и чего вы можете и не можете...
[recovery mode] Команда Google Project Zero нашла серьезную уязвимость в ядре macOS Команда Google Project Zero хорошо известна своим умением находить недостатки безопасности как в собственных продуктах компании, так и в продуктах других фирм. Её члены обнаруживают недостатки в программном обеспечении, сообщают о них производителям в частном порядке и дают ...
Спустя два года после патча EternalBlue вновь на подъеме Несмотря на выпущенные производителем патчи, киберпреступники продолжают использовать EternalBlue. Более того, в данный момент число атак достигло максимального значения с момента утечки эксплойта в Сеть. К таким выводам пришли ИБ-специалисты на основании анализа данных скан...
В системе безопасности Epic Games Store найдена серьёзная уязвимость Срочно исправить!
Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит Рано или поздно в эксплуатации любой системы встаёт вопрос безопасности: обеспечения аутентификации, разделения прав, аудита и других задач. Для Kubernetes уже создано множество решений, которые позволяют добиться соответствия стандартам даже в весьма требовательных окруже...
Security Week 45: уязвимости Chrome и BlueKeep в дикой природе Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019...
Тренды инфобезопасности в 2019 году 2018 год запомнился рядом громких инцидентов, связанных с компрометацией рабочих станций с целью криптомайнинга. Подобные кибератаки освещались в СМИ даже активнее традиционных программ-вымогателей. По мнению специалистов ESET, в 2019 году нас ждет дальнейший рост случаев к...
[Перевод] Axios или Fetch: чем пользоваться в 2019 году? Axios — это широко известная JavaScript-библиотека. Она представляет собой HTTP-клиент, основанный на промисах и предназначенный для браузеров и для Node.js. Если вы работали в последние несколько лет JavaScript-программистом, то вы, совершенно определённо, этой библиотекой ...
Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence Изображение: Knownsec 404 Team Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить во...
Имплантация при полном отсутствии зубов, как следствие несвоевременного обращения к стоматологу Дорогие друзья, рад снова приветствовать вас! Мы уже многое обсудили на тему зубов мудрости, какие бывают, как удаляются, не болит не значит, что все в порядке, нечего делать в ЧЛХ и уж тем более «их вытягивать». Мне очень приятно, что многим из вас статьи понравились, но ...
В Win32k закрыты еще две уязвимости, замеченные в атаках В рамках апрельского «вторника патчей» Microsoft устранила две уязвимости в Win32k, уже используемые в реальных атаках. Схожие проблемы, связанные с этим системным компонентом, разработчик уже решал, притом всего месяц назад. Текст бюллетеней, посвященных брешам CV...
«Плюс к карме»: за что критикуют Stack Overflow и почему многие жалуются на токсичность сообщества В сети можно встретить множество публикаций (в том числе в крупных СМИ), авторы которых критикуют Stack Overflow и поведение пользователей ресурса. Рассказываем, что к чему, разбираемся в ситуации, обсуждаем мнения и наиболее распространённые претензии к площадке. Читать д...
Adobe закрыла множественные уязвимости в своих продуктах Компания Adobe выпустила комплект патчей для трех продуктов. Внеочередной набор обновлений устраняет более 80 уязвимостей в приложениях Acrobat и Reader, компонентах CMS-системы Experience Manager и программе Download Manager для Windows. Более половины новых багов имеют кри...
[Из песочницы] Продвинутый Debug Debug Area — полезная функция в работе iOS разработчика в Xcode. Как только мы начинаем осваивать разработку под iOS, и пытаемся отойти от привычного и любимого print метода, и найти более быстрые и удобные методы понимания состояния системы в определенный период мы начинаем...
В процессорах Intel Cascade Lake обнаружена уязвимость Zombieload v2 Серия обнаруженных аппаратных уязвимостей сыпется на Intel как из рога изобилия. Недавно команда исследователей обнаружила новый вариант уязвимости Zombieload v2, которая может быть использована злоумышленниками на процессорах семейства Intel Cascade Lake. В него...
Хакеры получат деньги и автомобиль за взлом Tesla Model 3 Компания Tesla пытается всеми способами защитить свои электрические автомобили от взлома, и ей определенно есть над чем работать. Доказательств тому множество — например, однажды хакеры из Бельгии смогли обмануть систему Tesla Model S и открыть двери автомобиля. Чтобы не до...
[Из песочницы] Основы реактивного программирования с использованием RxJS Часть 1. Реактивность и потоки Данная серия статей посвящена реактивности и ее применению в JS с использованием такой замечательной библиотеки как RxJS. Для кого эта статья: в основном, здесь я буду объяснять основы, поэтому в первую очередь статья рассчитана на новичков в ...
[Перевод] Пишем операционную систему на Rust. Реализация страничной памяти (новый вариант) В этой статье разберёмся, как реализовать поддержку страничной памяти в нашем ядре. Сначала изучим различные методы, чтобы фреймы физической таблицы страниц стали доступны ядру, и обсудим их преимущества и недостатки. Затем реализуем функцию преобразования адресов и функцию ...
«И невозможное возможно»: превращаем черный ящик в белый с помощью бинарного анализа На данный момент существует два основных подхода к поиску уязвимостей в приложениях — статический и динамический анализ. У обоих подходов есть свои плюсы и минусы. Рынок приходит к тому, что использовать надо оба подхода — они решают немного разные задачи с разным результа...
Решение задания с pwnable.kr 08 — leg, и 10 — shellshock. ARM ассемблер. Уязвимость bash В данной статье вспомним синтаксис ARM ассемблера, разберемся с уязвимостью shellshock, а также решим 8-е и 10-е задания с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьют...
Privileged Access Management как приоритетная задача в ИБ (на примере Fudo PAM) Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом мног...
Мнение: Что мне не хватает в iPadOS Не так давно Apple явила миру новую ОС для планшетных компьютеров — iPadOS. Этот анонс стал полной неожиданностью для многих — мало кто ожидал, что корпорация решится на такие радикальные перемены, отказавшись от привычного наименования. Этот шаг был полностью о...
Турнир Pwn2Own Tokyo 2019 принес участникам более $315 тысяч Участники хакерского турнира Pwn2Own Tokyo 2019 получили $315 тыс. за 18 уязвимостей, которые они обнаружили в умных колонках, телевизорах, роутерах и смартфонах. Уже третий раз подряд главную награду соревнования получили Амат Кама (Amat Cama) и Ричард Жу (Richard Zhu) — их...
Микробиота. История изучения и методы исследования Мы получили много комментариев к последней статье и решили с Атласом дополнить серию материалом о том, какие еще есть методы изучения микробиоты. В конце статьи добавили, что нужно помнить об исследованиях бактерий кишечника на сегодняшний день, чтобы они не навредили вашему...
Жизненный цикл статьи на Хабре: пишем хабрапарсер Привет Хабр! Многие постоянные читатели и авторы сайта наверное задумывались о том, какой жизненный цикл имеют опубликованные здесь статьи. И хотя интуитивно это и так более-менее ясно (очевидно например, что статья на первой странице имеет максимальное число просмотров), н...
Динамическая генерация DAG в Airflow Всем привет! Меня зовут Антон, в Ростелекоме я занимаюсь разработкой центрального хранилища данных. Наше хранилище состоит из модулей, в качестве оркестратора которых используются несколько инстансов Informatica, часть из которых мы хотим перевести на Airflow в рамках перехо...
Критическая уязвимость в ОС Windows грозит новой волной массовых вирусных заражений Стало известно о новой критичной уязвимости, которая грозит новой волной массовых вирусных заражений. Уязвимости …
Что нужно знать о последнем патче Cisco для маршрутизаторов Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать». Фото — ulleo — PD Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратур...
Мошенники эксплуатируют 0-day в популярном WordPress-плагине ИБ-исследователи из компании Wordfence обнаружили уязвимость нулевого дня в WordPress-плагине Social Warfare. Преступники используют брешь для внедрения вредоносного кода на сайты жертв посредством XSS-атак. Под угрозой оказались более 70 тыс. веб-ресурсов, на которых устано...
[Перевод] Обработка ошибок в Go Привет, хабровчане! Уже сегодня в ОТУС стартует курс «Разработчик Golang» и мы считаем это отличным поводом, чтобы поделиться еще одной полезной публикацией по теме. Сегодня поговорим о подходе Go к ошибкам. Начнем! Освоение прагматической обработки ошибок в вашем Go-коде...
Баг в BMC-контроллерах позволяет переписать их прошивку Серьезную уязвимость, связанную с реализацией AHB-мостов контроллеров удаленного доступа, обнаружил ИБ-специалист Стюарт Смит (Stewart Smith) из IBM Linux Technology Center. Баг затрагивает ряд устройств различных производителей и позволяет злоумышленникам изменять конфигура...
[Перевод] Реализация PEG парсера Вдохновленный лишь частичным пониманием PEG, я решил попробовать его реализовать. Результат может получиться и не самым лучшим среди парсеров PEG общего назначения — их уже много (например, TatSu написан на Python и генерирует код Python) — но это хороший способ разобраться ...
Очередные уязвимости нашли в процессорах Intel и контроллерах Thunderbolt 3 Ну что, вот и очередная порция уязвимостей подъехала. Как-то последнее время их слишком много стали […]
Новый штамм Mirai атакует сразу через 13 эксплойтов Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует сразу 13 эксплойтов для атак на целевые устройства. IoT-бот оснащен компонентами для атаки на роутеры различных производителей, IP-камеры...
Почему инди проекты не доживают до релиза Недавно в очередной раз попробовал поучаствовать в небольшом инди проекте. Сделал прототип с примитивной графикой, второй партнер должен был завезти улучшенную графику, но не смог, и я в целом решил написать небольшую статью о том — почему очень хочется, но не получается. В...
«Игра престолов»: разработчики Trezor ответили на заявление Ledger об уязвимостях Разработчики популярных аппаратных кошельков Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах. In response to Ledger’s presentation at #MITBitcoinExpo, here is how we mitigated the mentioned vulnerabilities. Read our official...
Онлайн калькулятор прибыльности майнинга На сегодняшний день майнинг обретает все больше популярности и привлекает к себе интересы крупных инвесторов. Несмотря на всеобщие прогнозы упадка криптовалюты, она продолжает существовать и активно набирает обороты в онлайн обиходе. Майнинг стал доступным и понятным для бол...
Как мы сдружили EF 6 с MSSQL и PostgresSQL Жил-был проект на EF 6 с СУБД MSSQL. И появилась необходимость добавить возможность его работы с СУБД PostgreSQL. Проблем здесь мы не ожидали, ведь есть большое количество статей на эту тему, и на форумах можно найти обсуждение похожих задач. Однако, на деле не все оказало...
[Из песочницы] Предотвращение устаревания учебных материалов Кратко о ситуации с ВУЗах (личный опыт) Для начала стоит оговорить, что изложенный материал субъективен, так сказать "взгляд изнутри", но по ощущениям информация актуальна для многих государственных ВУЗов постсоветского пространства. Ввиду спроса на специалистов ИТ, многие у...
Гайд по внутренней документации по информационной безопасности. Что, как и зачем В одной из наших предыдущих статей мы затронули вопрос формирования комплекта документов для проверяющих по вопросам защиты персональных данных. Мы дали ссылку на наши шаблоны документов, но остановились на теме документации по информационной безопасности весьма поверхност...
Баг iOS 13 предоставляет сторонним клавиатурам полный доступ к iPhone Как оказалось, iOS 13.1 закрыла не все уязвимости и баги, допущенные разработчиками в коде iOS 13.
Дискретная математика для WMS: кластеризация партий товаров на складе В статье рассказывается как при внедрении WMS-системы мы столкнулись с необходимостью решения нестандартной задачи кластеризации и какими алгоритмами мы ее решали. Расскажем, как мы применяли системный, научный подход к решению проблемы, с какими сложностями столкнулись и ...
Десктопный Chrome опять латают В минувшую среду, 18 сентября, компания Google выпустила для Chrome экстренное обновление, устраняющее четыре уязвимости. Одна из них оценена как критическая, остальные — как высокой степени опасности. Пользователям браузера рекомендуется незамедлительно обновить его до сбор...
Google случайно выпустила секретное обновление Android Случайные обновления становятся нормой для Google. Главное — чтобы пользователям не вредили Обновления Android – сложная и неоднозначная тема. Говорят, что они существуют, но подавляющее большинство пользователей никогда с ними не сталкивались. Откуда такая информация,...
Использовать AirDrop небезопасно? Несколько лет назад на iPhone появилась функция AirDrop. Данная технология позволяет делиться файлами в рамках одной экосистемы. И всё это — без активного интернет подключения. Стоит ли говорить, что благодаря этому, AirDrop пользуется большой популярностью по всему м...
Разбор уязвимостей EvilParcel Введение В середине апреля мы опубликовали новость о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей в ОС Android. Одна из них — CVE-2017-13156 (также известна как Janus) — позволяет вредоносной программе заражать APK-файлы, не повреж...
Все про работу в Интернете В последнее время заработок в интернете привлекает все больше людей, но, какую именно сферу деятельности выбрать и какие есть в них особенности знают, к сожалению не многие. Получить полезную и грамотную информацию можно на специальном портале «Интернет работа». Все что связ...
[Перевод] Работа над PEG на Core Developer Sprint В этой статье я не буду рассказывать о новых фичах генератора парсера — я достаточно описал его в предыдущих частях. Вместо этого хочу рассказать что я делал на Core Developer Sprint на прошлой неделе, прежде чем всё сотрётся из моей памяти. Хотя большая часть материала так ...
Пишем XGBoost с нуля — часть 1: деревья решений Привет, Хабр! После многочисленных поисков качественных руководств о решающих деревьях и ансамблевых алгоритмах (бустинг, решающий лес и пр.) с их непосредственной реализацией на языках программирования, и так ничего не найдя (кто найдёт — напишите в комментах, может, что...
Официально: процессоры AMD не подвержены уязвимостям RIDL и Fallout AMD официально подтвердила, что недавно обнаруженные уязвимости Fallout и RILD обошли стороной процессоры американской компании. Подробнее об этом читайте на THG.ru.
[Перевод] Как общаться в англоязычном офисе: 14 полезных идиом На Хабре в последние годы публикуется довольно много статей о переезде, в том числе в США и Великобританию. Обычно в таких материалах рассказывают о поиске работы и визовых вопросах, но не так много внимания уделяется дальнейшей интеграции, в том числе в рабочий коллектив....
VDI: Дешево и сердито Добрый день уважаемы Хабровчане, друзья и знакомые. В качестве предисловия хочу рассказать о реализации одного интересного проекта или как сейчас модно выражаться, одного интересного кейса касаемо развертывания VDI инфраструктуры. Казалось, статей по VDI много, тут есть и ...
Cisco исправила критическую RCE-уязвимость в роутерах RV110W, RV130W и RV215W Инженеры Cisco исправили критическую уязвимость в веб-интерфейсах своих продуктов. Баг набрал 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS V3.
Linux-ботнет AESDDoS нацелился на Docker-системы Операторы ботнета AESDDoS ищут неправильно настроенные контейнеры Docker и внедряют в них троян для сбора информации и организации DDoS-атак. Об этом сообщили ИБ-специалисты, изучившие новый вариант вредоносной программы. Злоумышленники сканируют Интернет в поисках открытых ...
Уязвимость BearLPE в Windows получила микропатч Команда 0patch из компании ACROS Security выпустила свою заплатку для уязвимости в планировщике задач Windows 10, не дожидаясь выхода официального патча. Эксперты также раскрыли некоторые технические детали проблемы. Брешь нулевого дня, получившая название BearLPE, выявила и...
[Перевод] Как решить «Сапёра» (и сделать его лучше) «Сапёр» (Minesweeper) — это простая игра с простыми правилами, однако некоторые её конфигурации создают любопытные трудности. В этой статье мы создадим солвер «Сапёра» с увеличивающейся сложностью, и поразмышляем над тем, как меняется динамика игры при постепенном повышении...
В Интернет попали персональные данные 703 тысяч сотрудников РЖД В РЖД заверяют, что персональные данные пассажиров похищены не были. 27 августа компания DeviceLock, специализирующаяся на предотвращении утечек данных с корпоративных компьютеров, заявила, что неизвестные выложили в свободный доступ персональные данные 703 тыс. работнико...
Электросамокаты Xiaomi оказались небезопасными из-за найденной уязвимости Превращение многих обычных устройств в «умные» приводит не только к расширению возможностей этих продуктов, но и к новым рискам. Обычный телевизор или холодильник нельзя взломать, а вот умный — можно. Теперь вот дошла очередь и до самокатов. Компания ...
[Перевод] «Алгебраические эффекты» человеческим языком Комментарий от переводчика: Это перевод замечательной статьи Дэна Абрамова (Dan Abramov), являющегося контрибутором React. Его примеры написаны для JS, но будут одинаково понятны разработчикам на любом языке. Идея общая для всех. Вы слышали об алгебраических эффектах? Мои п...
Четвертый уровень мульти-вселенной Макса Тегмарка Почти 10 лет назад я прочитал статью Макса Тегмарка, гениального физика и философа, и нашел в ней ответы на многие вопросы, которые мучали меня всю жизнь. Статья потрясающая, месяца два я ходил под впечатлением от нее. К сожалению, это лонгрид, к тому же на английском. Поэт...
[Из песочницы] Миграция с Nagios на Icinga2 в Австралии Всем привет. Я — сисадмин linux, переехал из России в Австралию по независимой профессиональной визе в 2015 году, но статья будет не о том, как поросёнку завести трактор. Таких статей уже и так достаточно (тем не менее, если будет интерес — напишу и про это), так что я хотел...
Брешь во фреймворке может вызвать сбой в работе GPS-систем Центр реагирования на киберугрозы в критически важных инфраструктурах (ICS-CERT) опубликовал информацию об уязвимости, найденной в программах opensource-проекта gpsd. Специалисты выяснили, что в коде двух утилит обнаружилась ошибка, которая может привести к переполнению буфе...
[recovery mode] Опровергаем мифы: реальные практики в Армении в сфере ИТ Добрый день, уважаемые читатели! Благодаря вашим отзывам на предыдущую статью по ИТ-отрасли Армении созрела идея создать еще одну публикацию, которая даст максимально развернутый ответ о реальной практике IT-специалистов в южно-кавказском государстве. В этой публикации я п...
«Зомби» не страшны. AMD заявила, что её продукты не подвержены и уязвимости ZombieLoad тоже Несколько дней назад AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout. Напомним, это две из трёх уязвимостей, входящих в группу Microarchitectural Data Sampling (MDS). Теперь же AMD обновила своё заявление, добавив в него и третью уязвимость —...
MVCC-1. Изоляция Привет, Хабр! Этой статьей я начинаю серию циклов (или цикл серий? в общем, задумка грандиозная) о внутреннем устройстве PostgreSQL. Материал будет основан на учебных курсах по администрированию, которые делаем мы с Павлом pluzanov. Смотреть видео не все любят (я точно не л...
Обнаружены уязвимости в аппаратных кошельках Trezor и Ledger Специалистам удалось найти бреши в устройствах производства Trezor и Ledger. Среди выявленных проблем: атаки по стороннему каналу, атаки на цепочку поставок, уязвимости на уровне прошивки и чипа.
В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...
Менеджер устройств Moxa можно взломать через веб-интерфейс Специалисты «Лаборатории Касперского» обнаружили семь уязвимостей в программном продукте Moxa ThingsPro Suite, предназначенном для установки на коммуникационные компьютеры UC-8100. Бреши, две из которых получили максимальный балл по шкале CVSS, допускают выполнение...
В опасности миллионы смартфонов Xiaomi, Samsung и Huawei. Google обнаружила незакрытую уязвимость Android Исследователи компании Google из команды безопасности Project Zero обнаружили незакрытую уязвимость в мобильной операционной системе Android. Она ставит под удар безопасность на популярных смартфонах нескольких производителей, включая Xiaomi, Samsung и Huawei. Эк...
React Hook Router современная альтернатива React Router Вольный перевод публикации How React Hooks can replace React Router. Автор Peter Ekene Eze. С момента появления React Hooks многое изменилось. Возможности, предоставляемые хуками, позволили пересмотреть наш подход к определенным концепциям в React, в том числе и к маршрут...
[Перевод] 12 возможностей ES10 в 12 простых примерах Перед вами перевод статьи из блога Carlos Caballero на сайте Medium.com. Автор расскажет нам о функциях, которые появились в версии ES10 2019 года. ES10 — это версия ECMAScript, актуальная для 2019 года. Она содержит не так много нововведений, как версия ES6, выпущенная в...
У Microsoft Edge выявили новую уязвимость На сайте GitHub появился эксплойт для уязвимости CVE-2018-8629, который нашли ребята с Phoenhex. Эксплойт был обнаружен в движке Chakra браузера Edge. Эта уязвимость позволяет выполнить удаленно код с правами администратора за счет выхода рамок выделенной памяти. Те, кто уст...
Привет, Хабр! Здравствуй, Теркон Не прошло и года с момента выхода нашей тестовой статьи про самый умный обогреватель, как мы уже успели завести блог на Хабре. Первая публикация в нашем блоге — обзорная. Прогуляемся по офису, производству, поглядим по сторонам. Большинство из увиденного станет темами после...
Процессим биткоин. Как устроена страница оплаты в B2BinPay B2BinPay — криптовалютная платежная система с множеством связанных бэкэндов приложений, аналитики, нод, очередей, но лишь одной UI-страницей, которую видит конечный пользователь. К ней предъявляются высокие требования относительно удобства в использовании. Несмотря на кажущу...
Microsoft пропатчила атакуемый RCE-баг в Internet Explorer В рамках ноябрьского «вторника патчей» в скриптовом движке Microsoft закрыта критическая уязвимость, уже используемая в атаках. Проблема, зарегистрированная как CVE-2019-1429, позволяет через порчу памяти выполнить вредоносный код и затрагивает все поддерживаемые в...
Баги при работе с системной клавиатурой Взаимодействуя с приложением, мы в определенный момент активируем системную клавиатуру для набора сообщения или заполнения необходимых полей. Сталкивались ли вы с ситуациями, когда клавиатура отображается, а вот поля для ввода сообщения нет или наоборот — клавиатура есть, ку...
Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...
Надежный «китаец» или безнадежный «автохлам»? Эксперт рассказал всю правду Great Wall Hover 3 «Китаец» доставил механику массу головной боли, но и приятных моментов хватило. Об этом обзорщик Сергей Кузнецов рассказал в своём онлайн-блоге на YouTube, поделившись заодно своим мнением по поводу основных проблем Great Wall Hover 3, а также – о его сильных сторонах. Води...
[Из песочницы] Parse & Android: рекомендации начинающим разработчикам Аннотация В данной статье я бы хотел поделиться общими впечатлениями от использования BaaS – решения под названием Parse для разработки бэкэнда Android-приложения, рассказать о всех «подводных камнях», с которыми мне пришлось столкнуться в период разработки. Впервые эту плат...