NVIDIA просит пользователей обновить драйвер из-за уязвимости Компания NVIDIA выявила уязвимость, которая грозит владельцам видеокарт Geforce, Quadro и Tesla. Эта уязвимость подвергает риску операционную систему и уже выявлена в пяти эксплоитах.
Security Week 44: NordVPN, TorGuard и половинчатый взлом На прошлой неделе широко обсуждался взлом VPN-провайдера NordVPN, а также пары других подобных сервисов (в частности, упоминался TorGuard). Источником информации стал Твиттер, сообщения оттуда затем были подхвачены СМИ (Techcrunch, Хабр). NordVPN и TorGuard по следам этих ст...
Уязвимости в VoIP-телефонах Avaya много лет подвергали риску крупные компании Проблема, приводящая к удаленному исполнению произвольного кода, на протяжении 10 лет присутствовала в VoIP-телефонах Avaya, которыми пользуются множество компаний из списка Fortune 100.
Для взлома серверов NASA хакер использовал микрокомпьютер Raspberry Pi В NASA рассказали о взломе серверов, которые осуществил хакер в 2018 году, используя микрокомпьютер Raspberry Pi. ***
[recovery mode] Первая волна пострадавших от уязвимости Exim. Скрипт для лечения Уязвимость с RCE в Exim уже довольно сильно нашумела, и довольно сильно потрепала нервы системным администраторам по всему миру. На волне массовых заражений (очень многие наши клиенты используют Exim в качестве почтового сервера) быстренько накидал скрипт для автоматизации...
[Перевод] Рассказ о решении проблемы с производительностью Moment.js Moment.js — это одна из самых популярных JavaScript-библиотек для разбора и форматирования дат. В компании WhereTo используют Node.js, поэтому для них применение этой библиотеки было совершенно естественным ходом. Проблем с серверным использованием Moment.js не ожидалось. В ...
Шифровальщик Lilocked заразил тысячи Linux-серверов Вымогатель Lilocked (он же Lilu) уже атаковал более 6000 серверов и, судя по всему, его операторы эксплуатируют уязвимость в Exim.
XSS-уязвимость в популярном плагине для WordPress используют для взлома сайтов Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов.
В десятках тысяч серверов Super Micro нашли уязвимости Уязвимости позволяют злоумышленникам устанавливать "виртуальный" USB-накопитель и удаленно внедрять вредоносное ПО, менять настройки сервера и др.
Популярный файловый менеджер для Android сливал данные пользователей Даже авторитетные файловые менеджеры для устройств под управлением Android могут сливать ваши данные на сторону. Это доказал исследователь в области информационной безопасности Баптист Робер. Он изучил принцип работы популярного приложения ES File Explorer, имеющего более 5...
Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick Для подписчиковСпециалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, кото...
Уязвимость в vBulletin использовали для взлома форумов Comodo. Пострадали 245 000 пользователей Хотя разработчики vBulletin уже выпустили патч для свежей 0-day проблемы, обновление пока установили далеко не все, а злоумышленники не дремлют. Первой крупной жертвой взлома из-за этой уязвимости стала компания Comodo.
Google обещает заплатить до 1,5 млн долларов за взлом смартфонов Pixel 3 и 4 Компания Google опубликовала новые условия программы Android Security Rewards, призванной стимулировать поиск уязвимостей в ее смартфонах. Сейчас в программе участвуют устройства Pixel 4, Pixel 3a, Pixel 3a XL, Pixel 3 и Pixel 3 XL. Программа распространяется на ранее ...
WIBattack. Очередная уязвимость SIM-карт позволяет удалённо совершать звонки, отправлять SMS, следить за местоположением и запускать WAP-браузер с определённым URL Недавно обнаруженная уязвимость SIM-карт Simjacker – не единственная проблема, которая подвергает риску владельцев телефонов. Исследователи безопасности из Ginno Security Lab подробно описали ещё один эксплойт, получивший название WIBattack, который компрометирует приложение...
Web Security Testing Starter Kit Всем привет! Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь,...
Oracle выпустила экстренные патчи для уязвимости в WebLogic, которую уже атакуют хакеры В минувшие выходные специалисты зафиксировали новую волну атака на серверы Oracle WebLogic. Злоумышленники использовали свежую уязвимость нулевого дня.
Турнир Pwn2Own Tokyo 2019 принес участникам более $315 тысяч Участники хакерского турнира Pwn2Own Tokyo 2019 получили $315 тыс. за 18 уязвимостей, которые они обнаружили в умных колонках, телевизорах, роутерах и смартфонах. Уже третий раз подряд главную награду соревнования получили Амат Кама (Amat Cama) и Ричард Жу (Richard Zhu) — их...
В Android обнаружена опасная уязвимость Как сообщает РИА Новости, уязвимость CVE-2019−2215 содержится в коде ядра Android и может быть использована для полного взлома устройства. Однако для ее проникновения в систему нужна установка зараженного программного обеспечения. «Баг представляет собой локальную уязвимость...
Инструменты Node.js разработчика. Работа с веб-сокетами по протоколу mqtt Технология веб-сокет позволяет в веб-приложении или в мобильном приложении реализовать отправку сообщений с сервера на клиент, что невозможно сделать средствами REST-API. Для работы с веб-сокетами часто используют библиотеку socket.io, или же разработчики работают с нативным...
Хакеры взломали почти тысячу онлайн-магазинов за сутки Как рассказал исследователь компании Виллем де Гроот, хакеры, очевидно, использовали автоматические инструменты атаки, поскольку достичь такой "производительности" вручную невозможно. Предполагается, что киберпреступники сканировали сайты в поисках незакрытых уязви...
Microsoft устранила два бага 0-day, замеченные в атаках Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фрей...
Google заплатит хакерам 1,5 млн долларов за взлом смартфонов Pixel Компания Google обновила конкурс Android Security Rewards, которая предусматривает выплату вознаграждений за найденные в смартфонах уязвимости. Самое большое вознаграждение 1.5 млн. долларов, кто найдёт уязвимость в аппаратной защите на базе чипа Google Titan M. За обнаруже...
Дыру в безопасности для взлома WhatsApp с помощью видео залатали Команда Facebook, которой сейчас принадлежит популярный WhatsApp, опубликовала заявление, в котором говорится об устранении найденной не так давно уязвимости в WhatsApp. Критическую уязвимость CVE-2019-11931 в приложениях WhatsApp для Android и iOS позволяла злоу...
Новая критическая уязвимость в ОС Windows может вызвать эпидемию масштаба WannaCry и Petya Cогласно информации, предоставленной компанией Microsoft, для успешной атаки злоумышленнику необходимо лишь иметь сетевой доступ к компьютеру или серверу с уязвимой версией операционной системы Windows. Для эксплуатации уязвимости злоумышленнику достаточно отправить специаль...
Facebook заплатила 10 000 долларов за DoS-уязвимость в библиотеке Fizz Хотя bug bounty программа Facebook не распространяется на уязвимости, связанные с отказом в обслуживании (DoS), но за такой баг в опенсорсной TLS-библиотеке Fizz социальная сеть выплатила крупную сумму.
Huawei предоставил оборудование для Львовской библиотеки Компания Huawei Ukraine 24 мая передала Львовской национальной библиотеке имени В. Стефаника современный сервер для замены устаревшего оборудования, эксплуатируемого уже почти 15 лет.
Зловред заражает Android-устройства через рекламные баннеры Вредоносный скрипт, внедренный в платформу для создания анимированной рекламы, заражает устройства на Android и массово собирает системные данные. Об этом сообщили специалисты Media Trust, обнаружившие кампанию в декабре 2018 года. Аналитики отмечают высокий уровень программ...
Уязвимость библиотеки Windows грозит отказом в обслуживании Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал уязвимость криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагруз...
Серьезные уязвимости исправлены в составе Libssh2 и PuTTY Сразу два популярных инструмента получили важные обновления: 9 уязвимостей устранено в библиотеке Libssh2; 8 проблем пропатчили в Putty.
В Android обнаружили уязвимость нулевого дня Исследователи Google Project Zero нашли в ядре Android уязвимость, с помощью которой можно получить root-доступ к мобильному устройству. По словам аналитиков, как минимум один эксплойт на ее основе уже применяется в кибератаках. Как работает обнаруженная 0-day в Android Уязв...
Хакер нашёл способ взломать почти любой iPhone Программный инструмент под названием Checkm8 («чекмэйт» — «шах и мат») использует уязвимость в системе Apple Bootrom (SecureROM). Фактически это первый код из известных, запускающийся во время загрузки iPhone и предоставляющий доступ к смартфону на уровне системы. Таким обра...
Avast: 55% программ на Windows-машинах устарели и подвергают пользователей риску Эксперты Avast опубликовали интересую статистику, собранную на 163 000 000 устройств пользователей продуктов Avast и AVG.
Huawei пообещала хакерам 200 тысяч евро за взлом смартфонов Huawei провела тайную встречу с известными хакерами и специалистами по кибербезопасности. Компания пообещала экспертам вознаграждение за поиск уязвимостей в программном обеспечении китайских смартфонов.
Уязвимость в Apache Solr позволяет выполнить сторонний код Ошибка в коде поискового движка Apache Solr, открывавшая доступ к порту 8983, оказалась опаснее, чем предполагалось ранее. За последний месяц в Сети появились два PoC-эксплойта, которые позволяют не только прочитать данные мониторинга системы, но и удаленно выполнить вредоно...
В библиотеке jQuery устранена серьезная уязвимость В jQuery закрыта уязвимость, которая позволяет провести DoS-атаку или получить права администратора веб-приложения, использующего эту JavaScript-библиотеку на стороне клиента. Эксперт по кибербезопасности Лиран Тал (Liran Tal) из Snyk обнаружил брешь 26 марта; пропатченная в...
В среде разработки CoDeSyS нашли десятибалльную уязвимость В инструменте программирования промышленных контроллеров CoDeSys V3 немецкой компании 3S-Smart Software Solutions GmbH нашли критическую уязвимость, которая дает злоумышленнику возможность вызвать состояние отказа в обслуживании, удаленно выполнить любой код или получить дос...
Уязвимость в ядре iOS 12 позволила взломать iPhone Xs Max За последние пару лет компания Apple заметно повысила защищенность свое+й мобильной операционной системы, исправив целый ряд уязвимостей, которые хакеры могли использовать для взлома iOS. Однако, как показывает практика, уязвимостей еще хватает. На днях это наглядно показали...
Check Point Research и CyberInt обнаружили серьезную уязвимость в Origin Обнаруженная цепочка уязвимостей могла бы привести к взлому аккаунтов и краже личных данных 300 миллионов геймеров EA по всему миру.
[Из песочницы] Рассылка Push-уведомлений с SpringBoot сервера Предисловие Приветствую Вас. Недавно передо мной стала задача — настроить Push-уведомления на сайте. С этим я столкнулся впервые и во много разобраться мне помогла эта статья. В ней же уже есть описание серверной стороны, но, в процессе изучения данной темы я обнаружил более...
Google рассказала об опасной уязвимости в Android Google Pixel тоже уязвимы для вредоносных атак Google — очень большая корпорация с обилием дочерних компаний и ответвлений, ведущих независимую от основного предприятия деятельность. Эта независимость даёт многим из них право не учитывать мнение Google во многих вопрос...
Названы топ-10 стран по числу мобильных Android-угроз Большинство Android-смартфонов используют устаревшие версии ОС, что подвергает пользователей повышенному риску.
Специалисты Netflix нашли несколько DoS-уязвимостей в Linux и FreeBSD DoS-уязвимости обнаружены в TCP-стеках Linux и FreeBSD. эксплуатация багов может спровоцировать kernel panic и вывести уязвимый сервер из строя.
Группировка Turla использовала сложный бэкдор LightNeuron для взлома серверов Microsoft Exchange Специалисты ESET обнаружили в арсенале группы Turla новый мощный инструмент, который хакерам удавалось скрывать на протяжении пяти лет.
iOS 12.4 официально взломана. Кто виноват? Apple уделяет большое значение обновлениям своих операционных систем и издавна прививает это же чувство своим пользователям. Поэтому в Купертино всегда советуют устанавливать все апдейты без исключения, даже если они, на первый взгляд, не включают в себя новых функций. В ко...
В Exim пропатчили критическую уязвимость Разработчики почтового агента Exim выпустили экстренный патч к критической уязвимости своего продукта. Как уточняется в описании, злоумышленники могли атаковать системы версий 4.80–4.92.1 с включенным TLS, чтобы выполнить на сервере сторонний код с root-привилегиями. Описани...
Число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%. Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. Среди них наиболее распространены уязвимости, связанны...
Найден новый способ взломать переписку пользователей Android Android-пользователям угрожает опасность взлома. Опять Существует масса способов взломать смартфон конкретного пользователя и получить доступ к его переписке и файлам, которые хранятся в памяти. Обычно этим занимаются троянские приложения, которые выдают себя за доброкачеств...
Мобильный UC Browser подвергает риску MITM-атак 500 000 000 пользователей Аналитики «Доктор Веб» обнаружили в популярном мобильном браузере UC Browser скрытую возможность загрузки и запуска непроверенного кода.
Миллионам серверов Exim угрожает уже вторая опасная уязвимость за последние месяцы Все серверы Exim, работающие под управлением версии 4.92.1 и раньше, уязвимы перед новой проблемой, позволяющей выполнить произвольный код с root-привилегиями.
Oracle выпустила новый набор патчей Очередные обновления для продуктов Oracle содержат 219 заплат; многие из них закрывают сразу несколько уязвимостей. В то же время некоторые баги затрагивают разные продукты — например, RCE-уязвимость CVE-2019-14379 в программном пакете FasterXML jackson-databind, обеспечиваю...
В Oracle WebLogic обнаружена RCE-уязвимость Разработчики Oracle выпустили экстренный патч для серверов WebLogic, чтобы закрыть обнаруженную уязвимость нулевого дня. Эксперты призывают администраторов срочно установить обновление, поскольку баг уже получил применение в кибератаках. Первыми об угрозе сообщили специалист...
Независимый эксперт нашел RCE-уязвимость в Microsoft Teams Программный инженер Риган Ричард Джей (Reegun Richard J) обнаружил способ выполнить произвольный код через платформу Microsoft Teams. Уязвимость, которая содержится в процессах обновления ПО, также частично коснулась настольных версий GitHub, WhatsApp и UiPath. Как пояснил э...
Микросервисы на php и swoole для конвертации телеграм каналов в RSS В предыдущем посте я рассказал про то, как настроить и использовать php телеграм клиент madelineProto для парсинга постов. Но при использовании библиотеки я столкнулся с несколькими недостатками: Долгая обработка запросов из-за авторизации телеграм клиента; Неудобная нас...
Хакеры нашли уязвимость для отката прошивки и джейлбрейка На днях хакер, известный под псевдонимом axi0mX, выложил в открытый доступ эксплойт под названием Checkm8. Последний может помочь во взломе большинства яблочных мобильных устройств.Читать дальше... ProstoMAC.com.| Постоянная ссылка | No comment Вы также можете ознакомиться...
Как я Telegram ломал Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Н...
[Перевод] Пишем на Go простой балансировщик Балансировщики нагрузки играют в веб-архитектуре ключевую роль. Они позволяют распределять нагрузку по нескольким бэкендам, тем самым улучшая масштабируемость. А поскольку у нас сконфигурировано несколько бэкендов, сервис становится высокодоступным, потому что в случае сбоя...
Руководство для начинающих по машинному обучению и структуре Data Science Для всех, кому интересна тематика работы с данными, машинного обучения и искусственного интеллекта и для тех, кто только начинает свой путь в изучении — этот пост для вас. Все библиотеки ниже бесплатны, и большинство из них с открытым исходным кодом и выложены на GitHub. Исп...
Взлом BMC-контроллера угрожает клиентам облачных сервисов Облачные сервисы, предоставляющие услугу IaaS (Infrastructure-as-a-Service), уязвимы перед атаками на прошивку контроллера удаленного доступа. К такому выводу пришли специалисты Eclypsium, смоделировавшие нападение на один из хостов службы IBM Cloud. По мнению исследователей...
В популярных облаках нашли 34 млн уязвимостей Большую часть проблем можно было бы избежать, если не использовать устаревшие серверы Apache и уязвимые пакеты jQuery.
Уязвимость в PHP-FPM грозит компрометацией сайта Сайты на движке PHP, размещенные на серверах NGINX, подвержены взлому, если запуск сценариев осуществляется через демон PHP-FPM. Этот дополнительный модуль содержит уязвимость, позволяющую с помощью особого запроса выполнить на сервере сторонний код. Менеджер процессов PHP-F...
Не открывайте порты в мир — вас поломают (риски) Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: "Зачем?!?" Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба. Ошибка ко...
Ученые выяснили, почему шестичасовой сон вреден для здоровья Профессор медицины сна Пол Гринграс рассказал, что люди, отводящие под сон ночью менее шести часов, подвергают себя высокому риску развития ишемической болезни сердца. По его словам, ученые провели соответствующее исследование, посвященное влиянию недосыпа на тело человека.
Google сообщила о возможности взлома Android при помощи PNG-изображения В зоне риска оказались устройства на базе Android 7.0 Nougat и более свежих версий системы.
Исследователи нашли серьезную уязвимость в смарткартах Смарткарты нескольких производителей оказались уязвимы перед атакой, которая позволяет узнать их приватные ключи. Злоумышленники могут воспользоваться этой возможностью, чтобы клонировать электронные карты доступа. Как работает уязвимость Minerva Исследователи чешского Центр...
Новый штамм Mirai атакует сразу через 13 эксплойтов Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует сразу 13 эксплойтов для атак на целевые устройства. IoT-бот оснащен компонентами для атаки на роутеры различных производителей, IP-камеры...
[Из песочницы] Мой опыт администрирования IBM DB2 Express-C при использовании с 1C: Предприятием Довелось работать с IBM DB2. И на 1С, и сервер на Django использовал эту СУБД одно время, OLAP запросы довольно шустро обрабатывал (правда, требовалась ручная настройка индексов, ну и веб-сервера, конечно, чтобы отклик был в пределах 2 секунд). Году в 2015 подготовил эту неб...
Сенатор США призвал ФБР оценить риск для национальной безопасности со стороны российского приложения FaceApp За последние дни Сеть буквально заполонили фотографии приложения FaceApp, которое посредством алгоритмов на основе искусственного интеллекта состаривает людей на снимках. В приложении есть и другие фильтры, но все они далеко не столь качественны и эффектны. Однако на дн...
Датские инженеры представили насадку на умную колонку, которая защитит пользователя от возможного прослушивания Абсолютное большинство умных колонок работают сходным образом: в режиме ожидания они постоянно анализируют звук с микрофона и ищут в нем активационную фразу, такую как «Alexa» или «OK Google». При этом их разработчики утверждают, что в этом режиме алгоритмы работают только н...
Опубликован эксплоит для неисправленной 0-day уязвимости в vBulletin Уязвимость нулевого дня в vBulletin затрагивает десятки тысяч сайтов. Патча для этой проблемы пока нет.
Свежий эксплойт Oracle WebLogic набирает популярность Эксперты Unit 42 предупредили о растущем количестве атак на серверы Oracle WebLogic. Преступники эксплуатируют уязвимость CVE-2019-2725 и перехватывают контроль над атакованными системами. Впервые об этой бреши заговорили в конце апреля, когда вирусные аналитики зафиксировал...
Microsoft закрыла 16 критических уязвимостей в своих продуктах Две из них уже применялись для взлома компьютеров.
FUCK 2FA! Обходим двухфакторную аутентификацию с помощью Modlishka Для подписчиковТеневые форумы изобилуют предложениями о взломе аккаунтов. В большинстве случаев атаки устраивают при помощи фишинга с подделкой страницы авторизации. Однако такой метод неэффективен, если пользователю приходит SMS с проверочным кодом. Я покажу, как пробить дв...
[Из песочницы] MicroPyServer простой HTTP сервер для ESP8266 и ESP32 Всем привет! Хочу рассказать о библиотеке MicroPyServer написанной на Python, которая позволяет взаимодействовать с устройствами ESP8266 и ESP32 посредством простого HTTP сервера. Что такое MicroPyServer? MicroPyServer это простой HTTP сервер предназначенный для проектов на...
Fortinet избавилась от жестко закодированных ключей шифрования Поставщику продуктов для кибербезопасности Fortinet потребовалось полтора года, чтобы удалить жестко закодированные ключи шифрования из трех продуктов, которые подвергали данные клиентов риску пассивного перехвата, пишет портал ZDNet. Проблема была ...
Исследователя информационной безопасности признали виновным во взломе Microsoft и Nintendo 24-летний специалист по информационной безопасности едва избежал тюремного заключения, признавшись во взломе серверов Microsoft и Nintendo с кражей конфиденциальной информации. Заммис Кларк, известный в интернете под никами Slipstream и Raylee, обвинялся в многочисленных слу...
Sony отозвала тысячи пауэрбанков из-за риска их воспламенения Компания Sony объявила об отзыве четырёх тысяч пауэрбанков из-за риска их воспламенения. Речь идёт о портативных аккумуляторах Sony CP-V10B в чёрном корпусе. Подробнее об этом читайте на THG.ru.
[Из песочницы] GridmiAPI — простая и гибкая библиотека Android для работы с REST&RPC Здравствуйте, хабровчане! Когда занимаешься разработкой сетевых приложений под платформу Android, понимаешь, что одно и другое приложение похоже друг на друга. С этой мыслью у большинства разработчиков инициализируется и другая мысль — «Почему бы мне не использовать какие-л...
Ученые научились взламывать зашифрованные PDF-файлы Исследователи из двух немецких университетов смогли прочитать зашифрованные PDF-документы. Эксперты предложили два способа атаки под общим названием PDFex: оба позволяют взламывать файлы через 27 программ, включая Adobe Acrobat, Foxit Reader, средства просмотра PDF в Chrome ...
Apple закрыла уязвимость с возможностью взлома iPhone Баг появлялся повторно после того, как был закрыт в версии iOS 12.3.
Баг в BMC-контроллерах позволяет переписать их прошивку Серьезную уязвимость, связанную с реализацией AHB-мостов контроллеров удаленного доступа, обнаружил ИБ-специалист Стюарт Смит (Stewart Smith) из IBM Linux Technology Center. Баг затрагивает ряд устройств различных производителей и позволяет злоумышленникам изменять конфигура...
Обновленная библиотека Steam стала доступна для всех пользователей Возможно потребуется перезапустить клиент.
Злоумышленники подменили установщик пакетного менеджера PEAR Разработчики PEAR (PHP Extension and Application Repository, репозиторий расширений и приложений PHP) сообщили о взломе своего веб-сервера. Согласно официальному заявлению, проникновение произошло около полугода назад. Злоумышленникам удалось внести изменения в файл для уста...
Наказание за взлом серверов Sony, Battle.net, Dota 2 и League of Legends нашло своего героя Украл, выпил - в тюрьму. Джентльмен удачи!
Представлена референсная серверная платформа на процессорах Arm и GPU-ускорителях На конференции по суперкомпьютерам компания Nvidia представила референсную платформу, позволяющую компаниям быстро создавать серверы на процессорах Arm, оснащенные GPU-ускорителями. Предполагается, что они будут востребованы «в расширяющемся спектре научных и пром...
Финтех-стартап Revolut наймет хакеров для взлома собственной системы Британский финтех-стартап Revolut с российскими корнями набирает команду специалистов по кибербезопасности для выявления уязвимостей IT-системы. Об этом сообщает Independent. Как сообщил изданию директор компании по информационной безопасности Пол Хеффернан, хакеры будут ана...
[Обновлено] Вышла iOS 12.1.4 с исправлением уязвимости в FaceTime Как и было обещано на прошлой неделе, сегодня компания Apple выпустила внеплановое обновление iOS за номером iOS 12.1.4. Его релиз состоялся в промежутке между выходами бета-версий iOS 12.2. Апдейт является экстренным и направлен на исправление одной единственной ошибки, об...
На Windows раздается исправленный патч для IE Корпорация Microsoft повторно выпустила обновления Windows, устраняющие RCE-уязвимость в Internet Explorer, о которой стало известно 23 сентября. Как оказалось, предложенный на тот момент патч был сырым: его установка вызвала у некоторых пользователей проблемы с распечаткой ...
Опасный баг в Exim: почтовые серверы под ударом Исследователи из Qualys обнаружили в почтовом агенте Exim легко эксплуатируемую уязвимость, позволяющую выполнить в системе любую команду с правами суперпользователя. По данным канадских аналитиков, в настоящее время Exim используют больше половины почтовых серверов в Интерн...
Системная утилита HP допускает подмену DLL Специалисты HP залатали опасный баг в приложении Touchpoint Analytics Client. Уязвимость позволяла злоумышленнику повысить свои привилегии на целевом компьютере и выполнить вредоносный код с системными правами. Исследователи компании SafeBreach, обнаружившие недостаток, раск...
Уязвимость в Bluetooth позволяет отследить местоположение всех iPhone и ноутбуков Исследователи из Бостонского университета говорят, что дыры в технологии Bluetooth подвергают огромное количество устройств, работающих на iOS, Windows и др, большой опасности. Благодаря несложным манипуляциям, любой желающий может получить через Bluetooth информацию о место...
PHP Composer: фиксим зависимости без боли Многие из вас наверняка сталкивались с ситуацией, когда в библиотеке или фреймворке, который вы используете, есть баг или нет необходимой функциональности. Предположим, вы даже не поленились и сформировали pull request. Но примут его далеко не сразу, а следующий релиз продук...
Сайты, использующие утилиту Adminer, подвержены взлому Киберпреступники взяли на вооружение уязвимость в PHP-утилите Adminer и крадут учетные данные для доступа к базам данных веб-ресурсов. В теории, они также могут внедрить в них вредоносные программы. К такому выводу пришел ИБ-специалист Виллем де Грут (Willem de Groot), изучи...
Security Week 49: взлом гостиничной инфраструктуры 28 ноября эксперты «Лаборатории Касперского» опубликовали интересное исследование о систематических атаках на компьютеры в гостиницах. Подтвержденных жертв кампании больше 20, потенциальных — больше тысячи. Исследованные атаки, скорее всего, ведут две разные группировки с не...
Разработчик известного поисковика взламывал аккаунты девушек для поиска откровенных фото Бывший разработчик поисковика Yahoo признался, что использовал рабочее положение для взлома тысяч пользовательских аккаунтов, чтобы скачивать оттуда ню-фотографии и видео девушек.
Взломщики Elasticsearch используют бреши пятилетней давности Эксперты Cisco Talos сообщили о новых атаках на незащищенные кластеры Elasticsearch. Злоумышленники используют уязвимости 2014-2015 годов, чтобы распространять криптомайнеры и другое вредоносное ПО. Система Elasticsearch представляет собой полнотекстовый поисковый движок с о...
В Bluetooth выявлена серьезная уязвимость Группа исследователей обнаружила критическую уязвимость в интерфейсе Bluetooth, из-за которой все совместимые устройства подвергаются риску взлома. Организация Bluetooth SIG уже выпустила уведомление о безопасности, в которой описана уязвимость, связанная с шифрованием...
Сотрудники Google рассказали Apple о сайтах для взлома iPhone ИБ-специалисты из Google Project Zero составили целый список сайтов, которые эксплуатируют уязвимости iOS и позволяют взламывать iPhone.
Huawei собирается нанять хакеров для взлома своих же смартфонов: инсайдеры Чтобы обезопасить пользователей, компания Huawei нанимает хакеров для поиска уязвимостей
[Перевод] NLog: правила и фильтры NLog: правила и фильтры В Confirmit мы используем библиотеку NLog для логирования в наших .NET-приложениях. Хотя для этот библиотеки существует документация, для меня было сложно понять, как все это работает. В данной статье я попытаюсь объяснить, как правила и фильтры приме...
В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...
[Из песочницы] Как создать 2D игру с Python и аркадной библиотекой Привет, Хабр! представляю вашему вниманию перевод статьи How to create a 2D game with Python and the Arcade library автора Paul Vincent Craven Как создать 2D игру с Python и аркадной библиотекой Узнайте, как начать работу с Arcade, простой в использовании библиотеки Python д...
В процессорах Intel Cascade Lake обнаружена уязвимость Zombieload v2 Серия обнаруженных аппаратных уязвимостей сыпется на Intel как из рога изобилия. Недавно команда исследователей обнаружила новый вариант уязвимости Zombieload v2, которая может быть использована злоумышленниками на процессорах семейства Intel Cascade Lake. В него...
[Из песочницы] 4 Причины, почему вы должны забыть о Redux в приложениях на React Я работаю с Реактом на протяжении почти 3 лет, использовал как Redux так и MobX и у меня к текущему моменту возник вопрос. Почему абсолютное большинство front-end разработчиков продолжают свято верить в то, что Redux + Redux Saga + Reselect + 100500 других библиотек «облегча...
[Из песочницы] Опыт установки Apache Airflow на Windows 10 Преамбула: волею судьбы из мира академической науки (медицины) я попала в мир информационных технологий, где мне приходится использовать свои знания о методологии построения эксперимента и стратегиях анализа экспериментальных данных, однако, применять новый для меня стек тех...
CVE-2019-6111 и другие уязвимости в scp TL;DR; Совсем недавно ( примерно с 1983 года ) оказалось, что OpenSSH, как наследник rsh, для команды scp ( ex. rcp ) позволяет серверу выбрать, какой файл и с какими параметрами вам передать. А уязвимости вывода позволяют скрыть, какой именно файл вам передали. То есть прос...
Уязвимость в Instagram позволяет делиться приватными постами пользователей Издание BuzzFeed сообщило об уязвимости безопасности в Instagram, которая позволяет публично делиться приватными постами пользователей. В своём материале BuzzFeed показал, как с помощью нескольких кликов в любом браузере можно узнать URL закрытых записей и историй, которые х...
HTTP/2-серверы под угрозой DoS-атак Специалисты компаний Google и Netflix нашли группу DoS-уязвимостей в конфигурациях HTTP/2-серверов крупных вендоров и в аналогичных решениях с открытым кодом. Обнаруженные баги позволяют даже не самому продвинутому злоумышленнику заблокировать сервер — вредоносный клиент обр...
В России бесплатно выложили в сеть 450 тысяч диссертаций Пресс-служба Российской государственной библиотеки объявила, что в Национальной электронной библиотеке стали доступны 450 тысяч диссертаций. Диссертации в электронном виде доступны в помещениях более 15 тысяч российских библиотек-участников НЭБ.
[Перевод] 9 библиотек веб-компонентов 1. Material components web Обычно заголовок «Material» размещает библиотеку компонентов пользовательского интерфейса прямо наверху рейтингов по количеству звездочек и загрузок. Веб-библиотека Google Material-components — это версия веб-компонента библиотеки Material-UI. По...
В Kubernetes закрыли обнаруженные ранее уязвимости HTTP/2 Разработчики opensource-системы Kubernetes защитили свое решение от DoS-атак через HTTP/2. Пропатченные уязвимости CVE-2019-9512 и CVE-2019-9514 получили по 7,5 баллов по шкале CVSS, что соответствует серьезному уровню угрозы. Ранее специалисты Netflix и Google рассказали о ...
Intel залатала «дыры» в ПО для диагностики процессоров и в прошивке SSD DC S4500/S4600 После публикации в январе 2018 года отчёта об обнаруженных в процессорах Intel уязвимостей Meltdown и Spectre на продукцию микропроцессорного гиганта нацелилось самое пристальное внимание со стороны специалистов по кибербезопасности. Для них это непаханое поле деятельности и...
Facebook добавил в Android-приложение опцию для багхантеров Разработчики Facebook добавили в свои приложения для Android опцию, упрощающую анализ исходящего трафика этичными хакерами. Специальные настройки отключают ограничения безопасности, препятствующие перехвату пакетов данных, и позволяют исследователям эффективнее искать уязвим...
Тестирование, основанное на рисках Для обеспечения качества информационного продукта в медицине, страховании, банкинге и других отраслях, наряду с другими методами тестирования, важно использовать тестирование, основанное на рисках. Для проверки выбирают самые рискованные области создаваемого программного обе...
Уязвимость Internet Explorer грозит потерей файлов Специалист по кибербезопасности Джон Пейдж (John Page) опубликовал информацию об уязвимости Internet Explorer 11, позволяющей получить доступ к локальным файлам. Исследователь уведомил Microsoft о найденном баге, но компания отказалась выпускать внеплановый патч. Проблема св...
В промышленных коммутаторах Phoenix Contact обнаружены новые уязвимости Эксперты Positive Technologies Евгений Дружинин, Илья Карпов и Георгий Зайцев выявили уязвимости высокого уровня риска …
Онбординг как продажа веры в продукт и взлом роста конверсии — опыт Revolut и Wrike Product owner в Revolut Михаил Цвик поделился на конференции по продуктовому маркетингу Epic Growth Conference концепцией и практическим опытом взлома конверсии с помощью онбординга. Ниже опубликована расшифровка его выступления. Большинство кейсов представлены из компании...
Adobe закрыла десятки брешей в Acrobat и Reader В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение. Уязвимость 0-day зарегистриров...
Серверы Supermicro уязвимым перед набором багов USBAnywhere и удаленными атаками Эксперты компании Eclypsium сообщили, что десятки тысяч серверов и рабочих станций Supermicro уязвимы перед удаленными атаками из-за проблем, связанных с BMC (Baseboard Management Controller) материнских плат. Баги получили общее название USBAnywhere.
В библиотеке libssh2 для Linux закрыли девять брешей Разработчики Linux-библиотеки libssh2 залатали девять уязвимостей в очередной версии продукта — 1.8.1. Эксплуатация брешей позволяла злоумышленникам выполнить вредоносный код на пораженном устройстве или вызвать отказ в обслуживании. Баги обнаружил ИБ-специалист компании Can...
Хакерские проекты ФСБ: взлом почты, BitTorrent и Tor По данным BBC, анонимные хакеры взломали сервер московской компании «Сайтек», которая тесно сотрудничает с ФСБ, выполняя подрядную работу.
[Перевод] Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик Автор статьи, перевод которой мы сегодня публикуем, говорит, что React — это её любимая библиотека для создания интерактивных интерфейсов. React одновременно и лёгок в использовании, и достаточно хорошо защищён. Однако это не значит, что React-приложения совершенно неуязвимы...
Tor Project отключил 13,5% серверов своей сети Причиной отключения стало то, что все перечисленные серверы использовали устаревшие и не поддерживаемые версии ПО Tor, что создавало риск раскрытия анонимности и потенциально позволяло организовать успешные кибератаки на сеть. В актуальных версиях программного обесп...
В процессорах Intel Xeon выявлена уязвимость NetCAT, позволяющая красть данные В процессорах Intel есть фирменный механизм повышения производительности, который называется Direct Data I/O или DDIO и позволяет сетевым адаптерам напрямую обращаться к процессорной кэш-памяти третьего уровня, полностью обходя оперативную память, чтобы ускорить работу ...
Серверы WebLogic содержат незакрытую уязвимость В сервере приложений Oracle WebLogic обнаружена брешь, позволяющая злоумышленнику перехватить управление целевой системой. Производитель пока не выпустил заплатку для этого бага, а киберпреступники уже сканируют Интернет в поисках уязвимых машин. ИБ-специалисты, ссылаясь на ...
Уязвимый Twitter API ставит под удар тысячи iOS-приложений Устаревший API-интерфейс, который многие iOS-приложения до сих пор используют для авторизации через Twitter, содержит уязвимость, позволяющую из положения «человек посередине» получить токен доступа OAuth и выполнять различные действия в соцсети от имени жертвы. По...
JungleSec атакует Linux-серверы через интерфейс IPMI Специалисты портала Bleeping Computer рассказали о вредоносной кампании JungleSec, авторы которой проникают на серверы через интерфейс IPMI и шифруют файлы, требуя выкуп. В ряде случаев киберпреступники атаковали целевые устройства в ручном режиме, самостоятельно подавая ком...
Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей ...
Директ начал открытое бета-тестирование библиотеки минус-фраз В новом интерфейсе Яндекс.Директа появилась библиотека минус-фраз — каталог, в котором можно сгруппировать часто используемые минус-фразы в специальные наборы. Сегодня новый инструмент перешел в режим открытого бета-тестирования. Библиотека позволяет...
В камеры Guardzilla зашит пароль для доступа к облаку Группа независимых исследователей опубликовала на сайте 0DayAllDay информацию о критической уязвимости в прошивке системы видеонаблюдения Guardzilla. Как выяснили специалисты, в код программы зашиты данные для доступа к аккаунту Amazon Web Services, где хранятся видеофайлы в...
Материнская плата Asus ROG Strix Z390-I Gaming формата Mini-ITX: отличное решение для производительных, но компактных игровых ПК Asus ROG Strix Z390-I Gaming — замечательная плата для компактных ПК, в которой реализованы базовые возможности чипсета Intel Z390. Конечно же, реализованы не все возможности, поскольку для реализации всех на плате просто нет места. Стоит Asus ROG Strix Z390-I Gaming 17-18 т...
NordVPN сообщил о взломе одного из серверов и отслеживании истории посещаемых сайтов Злоумышленники могли отследить трафик, но имена и пароли пользователей остались в безопасности, утверждают в компании.
Бывший сотрудник Malwarebytes, взломавший Microsoft и Nintendo, признал себя виновным 24-летний исследователь Заммис Кларк (Zammis Clark) признал себя виновным во взломе серверов Microsoft и Nintendo, а также краже конфиденциальных данных.
DeepPavlov для разработчиков: #2 настройка и деплоймент Всем привет! В первой статье из нашего цикла мы узнали, что такое DeepPavlov, какие модели библиотеки готовы к использованию без предварительного обучения и как запустить REST серверы с ними. Перед тем, как приступить к обучению моделей, мы расскажем о различных возможностях...
Хакеры используют облачное хранилище Asus для установки бэкдора Plead на ПК Вкратце: исследователи в области безопасности сообщают, что хакерская группа BlackTech развертывает вредоносное ПО Plead, используя атаки MitM на уровне маршрутизатора на Тайване. Группа, очевидно, использует уязвимость в программном обеспечении Asus WebStorage для загрузки ...
Пришло время латать решения Oracle Компания Oracle выпустила очередную порцию плановых патчей для своих продуктов. Обновления суммарно содержат 284 заплатки; многие из них закрывают сразу несколько брешей. Согласно таблице рисков, в 33 случаях баг получил более 9 баллов по шкале CVSS и признан критическим. Бо...
Компания Adobe сообщила о взломе сайта Magento Marketplace Из-за уязвимости на сайте Magento Marketplace посторонние получили доступ к данным зарегистрированных пользователей.
Компания AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout Компания Intel, как мы сегодня уже сообщали, признала наличие ещё одной уязвимости в своих CPU, которая затрагивает большинство процессоров компании. На самом деле новых уязвимостей несколько, но компания объединила их под общим именем Microarchitectural Data Sampling (...
Динамическая CDN для WebRTC стриминга с низкой задержкой Ранее, анализируя возможности стандартных конфигураций серверов в Digital Ocean с точки зрения WebRTC стриминга, мы отмечали, что один сервер может обслужить до 2000 зрителей. В реальной жизни часто встречаются случаи, когда одного сервера недостаточно. Допустим, любители а...
[Перевод] Axios или Fetch: чем пользоваться в 2019 году? Axios — это широко известная JavaScript-библиотека. Она представляет собой HTTP-клиент, основанный на промисах и предназначенный для браузеров и для Node.js. Если вы работали в последние несколько лет JavaScript-программистом, то вы, совершенно определённо, этой библиотекой ...
В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...
Дыры в системах видеонаблюдения обойдутся Cisco в 9 миллионов долларов В Cisco уверяют, что случаев взлома систем Video Surveillance Manager из-за имевшихся в них уязвимостей отмечено не было.
Adobe залатала Flash Player и Application Manager В рамках сентябрьского «вторника патчей» компания Adobe устранила три уязвимости в двух продуктах: Flash Player и Application Manager. Согласно бюллетеням, все выявленные проблемы грозят исполнением вредоносного кода; в реальных атаках ни одна из них не замечена. У...
Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...
Решение Healthy.io позволит проводить анализ мочи на дому Анализ мочи — одна из самых востребованных и распространенных медицинских процедур в мире. Однако многие пациенты не проходят ее регулярно, потому что не могут найти времени, чтобы посетить больницу. Тем самым они подвергают себя риску пропустить начало опасной болезни — нап...
Злоумышленник скомпрометировал данные 106 млн клиентов банка Пресс-служба американского банковского холдинга Capital One призналась, что некий злоумышленник получил личные данные 106 млн клиентов компании. Из-за неправильной настройки облачного хранилища в руках преступника оказались истории транзакций, кредитные рейтинги и номера соц...
0-day в Chrome использовали вместе с уязвимостью в Windows 7 Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно на прошлой неделе, с уязвимостью нулевого дня в Windows 7.
Epic Games открыла бесплатный доступ к тысячам материалов Megascans для разработчиков Разработчик компьютерных игр Epic Games приобрёл компанию Quixel, создавшую крупнейшую в мире библиотеку фотограмметрических материалов Megascans. Теперь огромная библиотека из более 10 тыс. текстур и объектов, которые ранее использовались для создания фотореалистичных сцен ...
В зеркалках обнаружена уязвимость к вирусам-вымогателям Специалисты Check Point Software Technologies опубликовали отчёт, в котором описывают обнаруженный способ взлома зеркальных фотокамер.
Новая уязвимость позволяет получить доступ к root на Android Красный робот-маскот Android Можно ли назвать современные операционные системы безопасными? В какой-то степени да. Пользователи ПК и мобильных устройство ежедневно применяют их не только для развлечений, но и используют для работы, обмениваясь конфиденциальными данными, сове...
Windows Defender ATP теперь называется Microsoft Defender ATP и выходит на Mac Microsoft объявила, что отныне Windows Defender Advanced Threat Protection (ATP) теперь называется Microsoft Defender Advanced Threat Protection. Причина этого в том, что Defender ATP выходит также и на MacOS.Компания также анонсировала Threat and Vulnerability Management (T...
Apple анонсировала свой игровой сервис Слухи подтвердились, и Apple показала собственный игровой сервис. Причем в отличие от большинства конкурентов, купертиновцы не стали делать ставку на стриминг игрового процесса с удалённого сервера на устройство пользователя. Их решение, которое получило название Apple Arcad...
[Перевод] 7 ключевых индикаторов риска Active Directory на панели мониторинга Varonis Все, что нужно злоумышленнику, – это время и мотивация для проникновения в вашу сеть. Но наша с вами работа состоит в том, чтобы не дать ему этого сделать или, по крайней мере, максимально усложнить эту задачу. Нужно начать с определения слабых мест в Active Directory (дал...
Android-приложения для IoT-устройств полны уязвимостей Ученые Мичиганского университета совместно с исследователями Федерального университета Пернамбуко провели анализ приложений почти для 100 IoT-устройств и выяснили, что большинство из них имеют проблемы с безопасностью. Специалисты сообщили о выявленных проблемах производител...
Почему вы должны срочно обновить WhatsApp для Android Иногда кажется, что разработчики WhatsApp специально добавляют в мессенджер уязвимости, чтобы было веселее жить WhatsApp — парадоксальный мессенджер. Несмотря на то что в нём регулярно находят какие-то уязвимости, которые подвергают опасности переписку пользователей, с...
Топ-10 стран по числу мобильных Android-угроз Такие данные опубликовала компания ESET во второй части исследования об актуальных мобильных угрозах для Android, обнаруженных в первом полугодии 2019 года. Топ-10 стран с наибольшим числом вредоносного ПО для Android Одной из наиболее актуальных угроз является банковское вр...
Эти опасные роутеры: наиболее масштабные взломы сетевого оборудования последнего времени и способы защиты Взлом сетевого оборудования домашних и корпоративных пользователей может стать причиной убытков десятки и сотни миллионов долларов США. Так, ботнет Mirai, который изначально распространялся путем заражения роутеров, нанес ущерб глобальной экономике в сотни миллионов долла...
Хакеры используют уязвимость Windows для кибератак Речь об уязвимости в компоненте win32k.sys, которая позволила киберпреступникам организовать целевую атаку на пользователей из Восточной Европы.
Атакующие уничтожили данные на серверах сервиса VFEmail Злоумышленники взломали серверы электронной почты VFEmail и уничтожили все данные американских пользователей. Атакующие удалили информацию без требования выкупа у владельцев компании. Ее сотрудники работают над восстановлением сообщений и функциональности сервиса, но отмечаю...
Разработчики Visa повысили безопасность платежей по картам Компания Visa дополнила свою платформу Payment Threat Intelligence четырьмя функциями безопасности. Расширения позволяют оперативно информировать финансовые учреждения о попытках взлома банкоматов, выявлять несанкционированные онлайн-транзакции, тестировать работу процессинг...
Октябрьский апдейт Android устраняет критические RCE-баги Компания Google выпустила заплатки для трех критических уязвимостей в библиотеках мультимедиа ОС Android (Media framework). Их эксплуатация позволяет злоумышленнику удаленно выполнить свой код. Совокупно октябрьский набор патчей для Android закрывает почти три десятка уязвим...
Американская компания обнаружила взлом, когда хакер истратил все свободное место на сервере Компания InfoTrax Systems, занимающаяся хостингом MLM-приложений, несколько лет не замечала компрометации. Взлом обнаружили, когда гигантский архивный файл занял практически все место на сервере.
Имплантируемые дефибрилляторы компании Medtronic могут быть атакованы хакерами Ранее такие уязвимости уже обнаруживались в различных моделях водителей сердечного ритма. Теперь же проблемы были выявлены и у нескольких моделей имплантируемых дефибрилляторов, которые производит известная компания Medtronic. Говоря точнее, уязвимости обнаружены в системе б...
Opera для Android получает бесплатный VPN Разработчики Opera сообщили, что пользователи этого браузера для ОС Android теперь смогут использовать бесплатный сервис VPN. Последняя версия приложения (51), которая сегодня появится в Google Play Store, включает эту возможность, в течение многих лет доступную в насто...
Angulareact У меня есть проблема. Приложение написано на Angular, а библиотека компонентов на React. Делать клон библиотеки слишком дорого. Значит, нужно использовать React-компоненты в Angular-приложении с минимальными затратами. Разбираемся как это делать. Читать дальше →
Apple заплатит 1 млн долларов за взлом iPhone Apple объявила об обновлении программы награждения программистов, нашедших брешь в продуктах компании. Теперь хакер, взломавший iPhone, получит 1 млн долларов от техногиганта. На данный момент это крупнейшая награда за выявленные уязвимости за всю историю.
Positive Technologies обнаружила новые уязвимости в промышленных коммутаторах Phoenix Contact Эксперты Positive Technologies Евгений Дружинин, Илья Карпов и Георгий Зайцев выявили уязвимости высокого уровня риска в промышленных коммутаторах Phoenix Contact. Устройства используются для построения сетей в энергетике, в нефтегазовой, морской и других отраслях.
ЕС призовет страны G20 ввести глобальное регулирование цифровых валют Министры финансов стран Европейского Союза на встрече G20 в середине октября обратят внимание своих коллег из других стран «Большой двадцатки» на необходимость глобального регуляторного ответа на появление обеспеченных цифровых валют, таких как Facebook Libr...
Смартфоны на Android оказались уязвимы для взлома по SMS Израильские специалисты из Check Point обнаружили уязвимость смартфонов на Android, которая позволяет хакерам проводить фишинговые SMS-атаки. Проблема касалась в том числе и устройств Samsung, Huawei и LG.
Уязвимость позволила взломать электронные четки с "умным" крестом за 15 минут В электронных четках eRosary из Ватикана обнаружена серьезная уязвимость, благодаря которой на их взлом ушло всего 15 минут. Об этом рассказало издание CNET.
Шифровальщик JNEC.a распространяется с помощью уязвимости в WinRAR Эксперты предупредили, что свежую уязвимость в WinRAR начали использовать для распространения вымогателя JNEC.a. Хуже того, даже заплатив выкуп шантажистам, спасти данные не удастся.
Массовый взлом ВКонтакте [XSS-червь] В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя. В данный момент уязвимость устранена. Читать дальше →
Google отложила релиз одного из нововведений Android Q Одним из нововведений Android Q должна была стать функция Scoped Storage. Она создавала индивидуальное пространство на диске для каждого приложения в отдельности, позволяя им использовать доступную память, не посягая на отделы, которые принадлежат другому ПО. Таким образом ...
Ботнет Roboto атакует серверы Linux с уязвимым Webmin Специалисты Qihoo 360 Netlab изучили ботнет Roboto, появившийся летом текущего года и эксплуатирующий уязвимость в Webmin.
Уязвимость в PHP7 угрожает безопасности серверов nginx Проблема удаленного выполнения кода, обнаруженная в PHP7 (CVE-2019-11043), представляет опасность для серверов nginx поддержкой PHP-FPM.
Троян Watchbog атакует уязвимые серверы Jira и Exim, чтобы «поддерживать безопасность в интернете» Малварь создает ботнет из серверов Jira и Exim, используя их для добычи криптовалюты Monero.
Популярные приложения на Google Play содержат уязвимости Эксперты Check Point обнаружили серьезные уязвимости в представленных на Google Play приложениях с сотнями миллионов загрузок, включая продукты Facebook и Yahoo. По словам исследователей, безопасные на первый взгляд Android-программы содержат глубинные баги, грозящие исполне...
Баг в Exim позволяет выполнить сторонний код с root-правами Разработчики почтового клиента Exim устранили серьезную уязвимость, которая позволяла злоумышленнику дистанционно запустить сторонний код на целевом устройстве. Баг обнаружили 18 июля этого года и исправили в течение недели. Обновленные дистрибутивы приложения доступны на FT...
Заражения WannaCry все еще исчисляются десятками тысяч Прошло два года после впечатляющего дебюта WannaCry, однако шифровальщик до сих пор присутствует на многих устройствах, сохраняя способность распространяться по сети и подвергая жертв риску других вредоносных атак. За полгода исследователи из компании Armis насчитали 145 тыс...
Тренды кибербезопасности от BI.ZONE По самым скромным оценкам в 2017 году общемировой ущерб от кибератак составил триллион долларов, говорится в отчете академии кибербезопасности BI.ZONE за 2017-2018 год. Оценить реальный ущерб почти невозможно, поскольку 80% компаний скрывают случаи взломов и утечек. Эксперты...
Технический анализ эксплойта checkm8 С большой вероятностью вы уже слышали про нашумевший эксплойт checkm8, использующий неисправимую уязвимость в BootROM большинства iDevice-ов, включая iPhone X. В этой статье мы приведем технический анализ эксплойта и разберемся в причинах уязвимости. Всем заинтересовавшимся...
[Из песочницы] Создание библиотеки в стиле Spring Data Repository своими руками при помощи Dynamic Proxy и Spring IoC А что если бы можно было создать интерфейс, например, такой: @Service public interface GoogleSearchApi { /** * @return http status code for Google main page */ @Uri("https://www.google.com") int mainPageStatus(); } А затем просто внедрять его ...
Убийца iOS: джейлбрейк с помощью checkra1n в вопросах и ответах Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность...
Google рассказала о сотнях тысяч украденных паролей Google провела очередное масштабное исследование, в результате которого выяснила, что данные многих пользователей сети находятся под угрозой. Так, сотни тысяч паролей уже были скомпрометированы в результате массовых взломов или утечки данных. Но как ни странно, многие пользо...
Злоумышленники опробуют новый эксплойт для Exim Зафиксированы первые попытки массовой эксплуатации недавно обнародованной уязвимости в почтовом агенте Exim. Пользователям продукта настоятельно рекомендуется обновить его до версии 4.92. В настоящее время Exim используют более половины почтовых серверов в Интернете. Для зло...
Американские военные спустили $32 млн на электронику без защиты от взлома Согласно отчету генерального инспектора Пентагона, который был опубликован на прошлой неделе, в 2018 финансовом году сотрудники Министерства обороны США приобрели электронику на сумму более 32,8 млн долларов, которая при этом содержит уязвимости в области безопасности.
Проблемы QualPwn позволяют взламывать устройства на Android «по воздуху» Несколько опасных уязвимостей под общим названием QualPwn могут использоваться против Android-устройств с чипами Qualcomm на борту. По информации специалистов Tencent, проблемы могут применяться для взлома устройств «по воздуху», без взаимодействия с пользователем.
Российские хакеры взломали иранских, чтобы досадить западным В совместном отчете Агентства национальной безопасности США и Национального центра кибербезопасности Великобритании, на который ссылается издание The Next Web, говорится, что Россия ведет слежку за жителями десятков стран, используя программы иностранных хакеров. Так взломан...
Июльские патчи Oracle устранили более 300 угроз Корпорация Oracle выпустила очередной пакет обновлений безопасности (Critical Patch Update, CPU), закрыв в своих продуктах 319 уязвимостей. Свыше 50 багов получили высшую оценку угрозы, набрав 9,8 балла по шкале CVSS. Больше всего заплаток пришлось на приложения Oracle Finan...
Хакер потребовал у Apple денег за подробности об уязвимости в macOS Исследователь в области кибербезопасности из Германии по имени Линус Хенце обнаружил в macOS опасную уязвимость, которая позволяет третьим лицам получить доступ к сохраненным в «Связке ключей» учетным данным от всех сохраненных аккаунтов. По его словам, брешь присутствует в...
Steam вынудили дать игрокам возможность продавать свои игры из библиотеки Как-то так принято в геймерском сообществе, что игры, покупаемые на интернет-площадках по типу Steam — это немного необычный тип товаров, который нельзя просто взять и перепродать. Но возможно в ближайшее время ситуация изменится.
Кот под колпаком. Часть 2 Всем привет! В прошлой части мы рассказали про существующие решения для «оркестрации» параллельных задач «взлома хешей» на hashcat. В этой части продолжаем рассказывать о проекте Hashtopolis. Рассмотрим подготовку компонентов веб-окружения на сервере. Разберем основные пар...
Хакеры активно обсуждают взлом Интернета вещей Киберпреступники ориентируются на потребительское IoT-оборудование, поскольку оно считается более уязвимым.
Взломщице Capital One предъявили обвинения в компрометации 30 компаний и майнинге криптовалюты Бывшую сотрудницу Amazon Web Services Inc. Пейдж Томпсон обвинили не только во взломе Capital One, но и других компаний, а также использовании скомпрометированных серверов AWS для майнинга криптовалюты.
В iPhone нашли уязвимость для отката прошивки и джейлбрейка Хакер axi0mX выложил в открытый доступ эксплойт Checkm8, который может взломать большинство устройств на iOS. В последний раз аналогичную уязвимость находили в 2010 году. Эксплойт можно запустить на всех устройствах с чипами A5 – A11. Среди них iPhone 4S – iPhon...
Уязвимость в магазине игр Origin, разработанном Electronic Arts, угрожала 300 млн геймеров Команда исследователей Check Point Research и специалисты компании CyberInt обнаружили цепочку уязвимостей, которая могла привести к взлому аккаунтов и краже личных данных 300 миллионов геймеров EA по всему миру.
История успеха nginx, или «Возможно всё, пробуй!» Игорь Сысоев, разработчик веб-сервера nginx, член большой семьи HighLoad++, не просто стоял у истоков нашей конференции. Я воспринимаю Игоря как своего профессионального учителя, мастера, который научил меня работать и понимать высоконагруженные системы, что на десятилетие...
VPN-сервисы отказались от сотрудничества с Роскомнадзором и закрывают сервера в РФ Роскомнадзор получил отказ от большинства VPN-сервисов, которые обязал подключиться к системе блокировок сайтов. Кроме того, владельцы анонимайзеров приняли решение о переносе своих серверов с территории РФ, пишет РосКомСвобода. Реакция VPN-сервисов, получивших уведомление о...
Ряд Ethereum-сервисов оказался под угрозой из-за уязвимости в протоколе JSONRPC Специалисты блокчейн-стартапа Parity Technologies обнаружили в протоколе JSONRPC уязвимость, угрожающую безопасности всей экосистеме Ethereum. В частности, под угрозой взлома оказались сервисы MyEtherWallet, MyCrypto и Infura. The fix is out—please update your nodes ASAP. ht...
Криптоджекинг-кампания Nansh0u: взломаны 50 тысяч серверов Эксперты Guardicore Labs проанализировали непривычно сложные атаки на серверы MS-SQL и PHPMyAdmin, целью которых являлась установка майнера криптовалюты. За три месяца злоумышленникам удалось взломать более 50 тыс. машин, принадлежащих представителям сферы здравоохранения, т...
В актуальной версии vBulletin обнаружена критическая 0-day Анонимный ИБ-исследователь выложил в открытый доступ PoC для уязвимости нулевого дня в CMS vBulletin, позволяющей взламывать интернет-форумы и похищать данные участников. Эксперты опасаются грядущей волны кибератак, от которых могут пострадать сотни миллионов пользователей. ...
Microsoft: Обновления Windows не гарантируют безопасность ПК Microsoft недавно заявила, что повышенные риски безопасности и эксплуатации уязвимостей не являются главной причиной необходимости установки новых обновлений Windows 10
В Drupal залатали баг удаленного выполнения кода Разработчики Drupal сообщили об опасной уязвимости ядра, затрагивающей 7-ю и 8-ю версии CMS. Брешь дает возможность злоумышленнику удаленно выполнить любой PHP-код и перехватить управление сайтом. Создатели CMS оценили баг как в высшей степени критичный и призвали веб-админи...
TikTok заверил, что не подвергает цензуре публикации пользователей В США хотят проверить TikTok на предмет цензуры. Вчера сенатор Марко Рубио направил официальный запрос в Комитет по иностранным инвестициям казначейства страны. В нём он попросил провести расследование в отношении социальной сети. Политик предлагает разобраться, не представл...
Данные миллионов пользователей Facebook попали в открытый доступ Данные пользователей Facebook вновь оказались в открытом доступе, сообщает Bloomberg со ссылкой на исследователей компьютерной безопасности UpGuard. В общей сложности свободный доступ был открыт к более чем 540 миллионов комментариев, лайков и имен. Это уже второй раз за по...
Обнаружен шифровальщик, который использует опасную уязвимость в Windows Эксперты обнаружили некоторые признаки, которые позволяют предположить, что Sodin распространяется по RAAS-модели (вымогатель-как-услуга, от англ. Ransomware-as-a-Service), то есть продаётся на чёрном рынке. С этим связана интересная особенность этого зловреда. Обычно при та...
Программа конференции ZeroNights 2019 В этом году ZeroNights пройдет 12 и 13 ноября в Санкт-Петербурге в клубе А2 (пр. Медиков, 3). На конференции обсудят безопасность различных устройств, проблемы криптографии, уязвимости в популярном программном обеспечении для работы с DICOM, взлом IoT, атаки на механизмы J...
Application Security Manager. Разработчик или безопасник? Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно исп...
В Joomla выявили уязвимость нулевого дня Специалист компании Hacktive Security Алессандро Гроппо (Alessandro Groppo) обнаружил опасную уязвимость в CMS Joomla. По его словам, некоторые версии системы допускают внедрение стороннего PHP-инжекта, что может привести к выполнению вредоносного кода на сервере веб-ресурса...
Bluetooth позволяет следить за устройствами Windows, iOS и macOS Исследователи из Бостонского университета (BU) обнаружили дефект в протоколе связи Bluetooth, который может подвергать большинство устройств стороннему отслеживанию и утечке идентифицируемых данных. Согласно документу под названием «Отслеживание анонимных устройств…
В SIM-картах обнаружена опаснейшая уязвимость ИБ-исследователи обнаружили хакерскую активность, направленную на взлом SIM-карт. Технология получила название Simjacker, перед ней уязвимы почти все существующие SIM-карты и смартфоны любых производителей.
Как сервера договариваются друг с другом: алгоритм распределённого консенсуса Raft Когда кластеры достигают размеров в сотни, а иногда и тысячи машин, возникает вопрос о согласованности состояний серверов относительно друг друга. Алгоритм распределённого консенсуса Raft даёт самые строгие гарантии консистентности из возможных. В этой статье мы рассмотрим R...
Уязвимость Thunderclap ставит под угрозу компьютеры с интерфейсом Thunderbolt Специалисты факультетов компьютерных наук и технологий в Кембриджском университете, Университете Райса и научно-исследовательском институте SRI International в результате совместных исследований обнаружили, что устройства Thunderbolt могут использоваться для взлома подключен...
Скрытые криптовалютные майнеры обнаружены на серверах Windows MS-SQL и PHPMyAdmin Китайская APT-группировка внедряет криптовалютные майнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным специалистов компании Guardicore Labs, начиная с февраля 2019 года злоумышленникам удалось скомпрометировать более 50 тысяч серверов. Вредоносна...
HomePod и другие колонки можно взломать с помощью лазера Взлом голосового ассистента стал возможен даже без голоса Большинство персональных устройств, будь то смартфоны, планшеты или ноутбуки, защищены либо биометрией, либо паролем. Сегодня это является минимально необходимой мерой безопасности, которая позволяет худо-бедно защити...
Ультразвуковой сканер Galaxy S10 взломали с помощью поддельного отпечатка Ультразвуковая технология дактилоскопирования, которой Samsung оснастила Galaxy S10, оказалась далеко не такой надежной, как предполагалось ранее. Это подтвердил энтузиаст, скрывающийся под ником darkshark, который сумел снять блокировку со смартфона при помощи напечатанног...
[Из песочницы] Кросс-компиляция OpenCV 4 для Raspberry Pi и BeagleBone Black Всем привет. Когда я захотел установить OpenCV на свою малинку для одного проекта, я был сильно разочарован результатом. Оказалось, что для новых версий образов Raspbian с поддержкой Python3.7 невозможно установить из репозитория библиотеку столь привычной командой pip inst...
И ещё один Steam Windows Client Local Privilege Escalation 0day В предыдущей серии Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в и...
Чем опасны предустановленные приложения для Android Приложения, которые производители предустанавливают на свои смартфоны, зачастую могут оказаться не менее опасными, чем шпионское ПО из ненадежных источников. Об этом предупреждают исследователи Мадридского университета им. Карлоса III при сотрудничестве экспертов из Междуна...
Уязвимости TPM-FAIL угрожают ПК, ноутбукам, серверам и другим устройствам Группа исследователей раскрыла детали двух проблем, получивших общее название TPM-FAIL. Баги связанны с Trusted Platform Module и позволяют извлекать из TPM криптографические ключи.
Сeph — от «на коленке» до «production» часть 2 (первая часть тут: https://habr.com/ru/post/456446/) CEPH Введение Поскольку сеть является одним из ключевых элементов Ceph, а она в нашей компании немного специфична — расскажем сначала немного о ней. Тут будет сильно меньше описаний самого Ceph, в основном сетевая инфрастр...
Простая уязвимость в автомобильной сигнализации грозила угоном 3 млн машин в мире Специалисты по кибербезопасности британской компании Pen Test Partners обнаружили весьма опасную, хотя и досадную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых компаний ― российской Pandora и американской Viper (в Англии ― Clifford)....
Хакеры не оставляют Atlas в покое — в игре появились приглашения подписаться на PewDiePie Некоторое время назад пользователи пиратской ММО Atlas увидели, как с неба в игре начали падать танки, самолёты и киты. Разработчики из Grapeshot Games заявили, что виной всему взлом учётной записи администратора проекта в Steam. Тогда авторы убедили сообщество, что...
[Из песочницы] Альтернативный Slf4j логгер «Бобина» Приветствую, дорогие друзья! Хочу поделиться своими рассуждениями на тему логирования и тем к чему они привели. Возможно по причине некоторого недостатка теоретических изысканий, логирование всегда было некой зоной турбулентности в Java мире. С течением времени, это вызва...
Мобильные сети 4G и 5G позволяют следить за пользователями Одна из тенденций в мире мобильной индустрии в текущем году, о которой мы последнее время нередко говорим, – сети нового поколения 5G. Любая технология, а особенно если она нова, подвержена рискам извне. Не избежали этой участи новые чипсеты для работы с 5G. Исследователи в...
Во всех смартфонах Xiaomi, Samsung и Huawei обнаружили критическую уязвимость для взлома Android Как известно, операционная система Android является «открытой», а ее исходный код доступен абсолютно каждому. В связи с этим в данном ПО постоянно обнаруживают какие-то бреши в системе защиты, которые могут использоваться хакерами для взлома мобильных Сообщение Во всех смар...
Эксперты составили черный список уязвимых плагинов Magento Независимый исследователь Уиллем де Грут (Willem de Groot) вместе с другими специалистами запустил репозиторий небезопасных расширений CMS Magento. На момент публикации в хранилище собрано более 60 плагинов. Инициатива призвана помочь веб-администраторам устранить уязвимости...
Самые популярные браузеры не устояли перед китайскими хакерами Иногда взлом — это благое дело Иногда взлом различных программ и техники бывает полезен. И мы сейчас имеем в виду совсем не тот факт, что обнаружение уязвимостей помогает разработчикам выпускать патчи, и делать свои продукты лучше. Точнее, не совсем об этом. Среди хакр...
C&C новой версии Mirai прячется в Tor-сети Ранее не встречавшийся вариант ботнета Mirai скрывает свои командные серверы в сети TOR. К такому выводу пришли ИБ-специалисты, изучившие образец вредоносной программы. По словам аналитиков, злоумышленники поместили центр управления в анонимную часть Интернета, чтобы избежат...
Уязвимость в Libarchive угрожает многим дистрибутивам Linux Специалисты Google обнаружили опасный баг в составе библиотеки Libarchive. Проблема представляет угрозу для многих дистрибутивов Linux, но не затрагивает Windows и macOS.
Visa разрешит покупки без ПИН-кода на сумму до трех тысяч рублей Решение упростит платежи для клиентов, но может увеличить риски мошенничества, связанного с кражами карт.
Появился опасный троян SpeakUp Как сообщается в отчете Global Threat Index, подготовленном Check Point Software Technologies, новый троян пока не обнаруживается антивирусами ни одного поставщика программ безопасности. Он был распространен с помощью серии эксплойтов, основанных на последовательностях коман...
Компактная С++ библиотека для программирования конечно-разностных методов в операторном стиле. Часть 1. Семантика Представлена семантика разработанной библиотеки pde++ для программирования конечно-разностных методов в операторном стиле. Основными объектами библиотеки являются сеточная функция, сеточная ячейка и сеточные операторы, арифметические соотношения между которыми максимально пр...
Google заплатит $1,5 млн за взлом смартфонов Pixel Google объявила об увеличении вознаграждения за находку уязвимостей в её собственных смартфонах до $1,5 миллионов в рамках программы Android Security Rewards. Такую сумму поисковой гигант выплатит за находку особых уязвимостей – компания ищет эксплойты, которые без…
В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...
Adobe закрыла множественные уязвимости в своих продуктах Компания Adobe выпустила комплект патчей для трех продуктов. Внеочередной набор обновлений устраняет более 80 уязвимостей в приложениях Acrobat и Reader, компонентах CMS-системы Experience Manager и программе Download Manager для Windows. Более половины новых багов имеют кри...
Троян SpeakUp устанавливает бэкдор на Linux-серверы Исследователи из компании CheckPoint рассказали об атаках нового трояна, получившего название SpeakUp. Зловред эксплуатирует уязвимость во фреймворке ThinkPHP, а также другие бреши, чтобы установить бэкдор на Linux-серверы и внедрить в систему майнер криптовалюты. Программа ...
Machine Learning для Vertica Аннотация В данной статье я хочу поделиться собственным опытом работы с машинным обучением в хранилище данных на Vertica. Скажем честно, я не являюсь аналитиком-экспертом, который сможет в деталях расписать все многообразие методик исследования и алгоритмов прогнозирования ...
Антивирусное ПО от Xiaomi позволяло взломать миллионы смартфонов Приложение Guard Provider для поиска вредоносного программного обеспечения, которое Xiaomi устанавливает на свои смартфоны, само оказалось уязвимым для хакерских атак. Об этом сообщили исследователи компании Check Point. Они проанализировали устройство утилиты и пришли к вы...
Китай и Иран используют replay-атаки для борьбы с Telegram В баг-трекерах популярных MTProxy-серверов mtg и mtprotoproxy появились сообщения, о том что в Иране и Китае надзорные органы научились каким-то образом выявлять и блокировать телеграм-прокси, даже испольщующие рандомизацию длины пакета (dd-префикс). В итоге выяснилась занят...
Уязвимость в ProFTPD позволяет копировать файлы без разрешения и выполнять произвольный код При соблюдении определенных условий серверы ProFTPD уязвимы перед удаленным исполнением кода и атаками на раскрытие информации.
В Apache HTTP Server залатали баг эскалации привилегий Разработчики Apache HTTP Server выпустили версию 2.4.39 своей системы, где закрыли шесть брешей. Четыре из них признаны специалистами серьезными, остальные имеют средний рейтинг опасности. Уязвимости допускали эскалацию привилегий, обход механизма аутентификации и неправильн...
Делаем крутой sticky-эффект для слайдера на React Есть много разных библиотек для реализации слайдера со всеми возможными эффектами. Для React одни из лучших это: ReactSlick и Swiper. Но когда для моего проекта потребовался горизонтальный sticky-эффект, то ничего подходящего не нашлось. В этой статье мы попробуем поэтапно...
[Из песочницы] История взлома классической игры на Dendy или Contra на 100 жизней Поскольку некоторая японская компания, до сих пор тщательно бдит свои авторские права. Я не могу предоставить вам ни мою версию рома ни использованный мною исходник. Скажу лишь, что нашёл его в торрент сборнике "Все игры на Dendy". Взяв оттуда переведённую на русский язык яп...
Австралийские веб-хостеры пострадали от взломщиков Специалисты Австралийского центра кибербезопасности (Australian Cyber Security Centre, ACSC) рассказали об атаках злоумышленников на поставщиков хостинговых услуг. Преступники взламывали уязвимые веб-сервера, чтобы добывать криптовалюту, организовывать мошеннические рекламны...
Около 50% россиян готовы продавать свои персональные данные По данным Ipsos и Всемирного экономического форума большинство граждан России хотели бы получить возможность запретить компаниям использовать свои персональные данные. Правда, около 50% опрошенных готовы предоставлять персональные данные за вознаграждение, о чем пишет «Комме...
Хакеры два года взламывали DNS-сервера и похищали данные Специалисты FireEye обнаружили масштабную кампанию, нацеленную на кражу учетных данных сотрудников государственных и коммерческих организаций по всему миру. Злоумышленники перехватывали запросы DNS, чтобы анализировать трафик жертвы и собирать логины, пароли и другую информа...
Хакеры придумали, как взломать 25 тысяч автомобилей Специализирующаяся на кибербезопасности компания Pen Test Partners обнаружила уязвимость, которая поставила под угрозу взлома порятка двадцати пяти тысяч автомобилей.
[Из песочницы] AnyStub, библиотека заглушек соединений в Java В отличие от множества платформ Java страдает от недостатка библиотек заглушек соединений. Если вы давно в этом мире, то наверняка должны быть знакомы с WireMock, Betamax или даже Spock. Многие разработчики в тестах используют Mockito для описания поведения объектов, DataJpa...
Сайты на WordPress атакованы через уязвимость в плагине Yuzo Related Posts Из-за XSS-уязвимости в составе плагина Yuzo Related Posts были атакованы использующие плагин сайты, включая популярный почтовый сервис Mailgun.
Около трети компьютеров, хранящих биометрические данные, подвергались риску заражения вредоносным ПО Как выяснили эксперты Kaspersky ICS CERT, 37% компьютеров и серверов в мире, использующихся для хранения и обработки биометрических данных (таких как отпечатки пальцев, геометрия кисти руки, шаблоны лица, голоса и радужной оболочки глаза), как минимум ...
MEGANews. Самые важные события в мире инфосека за май Для подписчиковВ этом месяце: новые эксплоиты для проблем нулевого дня в Windows, взлом биржи Binance, опасная уязвимость BlueKeep может дать начало второму WannaCry, в процессорах Intel нашли еще несколько серьезных багов, а правоохранительные органы активно закрывают сайты...
В системе безопасности Fortnite нашли 3 уязвимости Специалисты по сетевой безопасности из Check Point сообщили, что нашли 3 уязвимости в системе безопасности Fortnite. Они связаны с обработкой запросов на вход в игру. Проблема могла повлиять на 200 миллионов пользователей. Такой взлом может провернуть любой полуквалифицирова...
Windows 10 содержит 93 опасных уязвимости для взлома На любое электронное устройство сложнее калькулятора должна быть установлена какая-либо операционная система, а наиболее популярной и известной среди таковых в настоящее время является Windows 10, если говорить об ОС для компьютеров, планшетов и ноутбуков. Сегодня, Сообщени...
В загруженном 500 млн раз браузере нашли уязвимость Потенциально опасная функция позволяет загружать вредоносный код и скачивать вспомогательные программные модули в обход серверов Google Play.
Еще два 0-day бага в Windows обнародованы SandboxEscaper Независимый ИБ-специалист SandboxEscaper продолжает публиковать эксплойты для продуктов Microsoft и заявляет о желании продать свои находки заинтересованным лицам. Вслед за тремя 0-day, выложенными накануне, исследовательница разместила на GitHub информацию об обходе уже про...
Искусственный интеллект на примере простой игры. Часть 2 В этот раз выбрана игра «Змейка». Создана библиотека для нейросети на языке Go. Найден принцип обучения, зависимый от «глубины» памяти. Написан сервер для игры между разработчиками. Читать дальше →
Выявлена уязвимость сбора биометрии клиентов банков через смартфоны Как стало известно, сбор биометрии клиентов банков на расстоянии при помощи их смартфонов имеет определенные риски — подобный способ идентификации имеет определенные дыры в безопасности, из-за чего данные можно без проблем подменить.
Смартфоны Xiaomi, Samsung и Sony с завода поставляются с опасным ПО Некоторые смартфоны с завода поставляются с потенциально опасным ПО. Берегитесь его Сегодня сложно придумать более личное и персонализированное устройство, чем смартфон. В его памяти мы храним такой объём конфиденциальных данных, что страшно даже подумать, что кто-то посторо...
Глава Ripple рассказал о перспективах цифровой валюты от JPMorgan CEO калифорнийского стартапа Ripple Брэд Гарлингхаус считает, что запуск стейблкоина от финансового холдинга JPMorgan в целом позитивное событие для биткоин-индустрии, поскольку столь крупный игрок традиционного рынка признал преимущества расчетов на блокчейне. Тем не менее ...
[Перевод] TensorFlow для начинающих. Часть 1: общие сведения, установка библиотеки TensorFlow — это опенсорсная библиотека, созданная Google, которая используется при разработке систем, использующих технологии машинного обучения. Эта библиотека включает в себя реализацию множества мощных алгоритмов, рассчитанных на решение распространённых задач машинного ...
Зловреды для кражи паролей атаковали российских пользователей более 100 тысяч раз с начала этого года Вредоносное ПО такого типа умеет извлекать различную информацию напрямую из браузеров, в том числе логины и пароли к различным аккаунтам, а также сохранённые данные платёжных карт и содержимое форм для автозаполнения. Некоторые такие троянцы умеют также "вытаскивать&quo...
Баг в Libarchive допускает выполнение стороннего кода В библиотеке Libarchive, входящей в состав многих ОС и утилит, обнаружена серьезная уязвимость. Баг позволяет злоумышленнику выполнить код на целевом компьютере, если жертва откроет вредоносный архив. Проблема выявлена только в Linux-версии программы и не затрагивает пользов...
Google заплатит 1,5 млн долларов за взлом собственных смартфонов Известно, что Google довольно часто прибегает к обновлению систем безопасности операционной системы Android, однако оказать содействие компании, а также заработать на этом, могут и пользователи. Так, представители компании сообщили, что максимальная награда за выявление уязв...
Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...
BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...
Хакеры с Украины заставили Комиссию по ценным бумагам США заняться созданием системы инсайдерского мониторинга Федеральная прокуратура США предъявила обвинения группе украинских хакеров. Они взломали главные информационные базы, связанные с торговлей акциями на американских биржах. Как пишет newirkutsk.ru, используя еще не опубликованную информацию, которая влияет на стоимость акций,...
Бэкдор позволяет перехватить контроль над умным зданием Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений....
[Из песочницы] Rutoken, OpenSSL и локальный УЦ для подписи сообщений Некоторое время назад возникла необходимость в рамках проекта ограничить одновременное число компьютеров, имеющих доступ к web-приложению, работающему в рамках локальной сети заказчика. Решение использовать аппаратные USB-токены для идентификации компьютера пришло само собо...
Обнаружена критическая уязвимость более 50% почтовых серверов Qualys обнаружила уязвимость в агенте пересылки почты Exim, позволяющую удаленно запускать команды на сервере.
Новейшие серверы Huawei будут поставляться с отечественной ОС «Альт» Компании «Базальт СПО» и Huawei подписали сертификат совместимости операционных систем «Альт Сервер» v.9 и «Альт Сервер Виртуализация» с серверами Huawei TaiShan 100/200 2280 на архитектуре ARMv8 64 бит.
Уязвимость в iOS позволяла злоумышленникам получать доступ к содержимому смартфонов iPhone через зараженные сайты В конце зимы исследователи из Google Project Zero обнаружили группу зараженных хакерами сайтов, содержащих код для взлома iPhone через браузер Safari. В результате злоумышленники могли получить доступ ко всем файлам и паролям на iPhone жертвы.
Kubernetes Ingress глазами новичка Что такое ingress? Ingress это базовый тип ресурса в кубертенесе. Если просто объявить объект типа Ingress в кубернетисе то ничего не произойдет. Что бы этот ресурс начал работу в кластере кубернетиса должен быть установлен Ingress Controller, который настроит реверсивный пр...
В службе обновления Webex нашли очередной баг Очередную брешь в программе для организации веб-конференций Cisco WebEx обнаружили ИБ-специалисты компании SecureAuth. Ошибка позволяет заменить исполняемый файл службы обновления на предыдущую версию, содержащую уязвимости. В результате атаки злоумышленник может повысить св...
Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте Специалисты по кибербезопасности из компании Check Point обнаружили серьезную уязвимость в архиваторе WinRar. Затем они же показали, как при помощи этой уязвимости можно распаковать файл в произвольное место — совсем не то, которое указывает пользователь. Ну а поскольку п...
Аутентификация по OTP на Web-сервере Apache В этом посте мы расскажем о том, как настроить аутентификацию по одноразовому паролю на Apache при помощи JAS и Radius. JAS (JaCarta Authentication Server) – автономный высокопроизводительный сервер аутентификации с поддержкой OTP- и U2F-токенов, а также программных токенов ...
[Перевод] Новый материал смог превратить пот в энергию Когда пот капает с вашего лица, можно подумать, это всего лишь признак тяжелой работы. Но как только пот испаряется, он отводит тепло, охлаждая вас. Один молодой исследователь хочет расширить возможности пота. Он желает, чтобы пот помог спортивной одежде ещё больше охлаждать...
Huawei объявила награду за взлом своих смартфонов В рамках программы "bug bounty" для приглашенных специалистов в области информационной безопасности компания готова заплатить до 200 тысяч евро.
Intel устранила опасные баги в своем ПО Компания Intel выпустила патчи для пяти уязвимостей в программных продуктах. Три из этих брешей допускают повышение привилегий при наличии локального доступа; степень их опасности оценена как высокая. Самым серьезным признан баг CVE-2018-12177, присутствующий в утилите подкл...
Миллионы серверов Exim находятся под атаками из-за свежей уязвимости Более половины всех почтовых серверов в интернете находятся под угрозой: злоумышленники уже эксплуатируют свежий баг почтовом агенте Exim.
В библиотеку за новым смартфоном. Apple Carnegie Library открывает свои двери через два дня Несколько дней назад стало известно, что Apple готовится открыть один из своих самых необычных фирменных магазинов. Он расположится внутри одной из библиотек Карнеги, на реставрацию которой Apple потратила более 30 млн долларов. Открытие магазина намечено на 11 мая, но...
Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...
Исследователи смогли заразить цифровой фотоаппарат вирусом-шифровальщиком (ВИДЕО) Найденная специалистами уязвимость связана с протоколом PTP, который используется во многих цифровых камерах для передачи данных. Удаленный взлом и загрузка вируса были продемонстрированы на примере зеркальной камеры Canon.
JerryRigEverything разобрал LG G8 ThinQ Известный блогер Зак Нильсон, автор YouTube-канала JerryRigEverything провел свои традиционные испытания на прочность для смартфона LG G8 ThinQ, и он показал себя довольно крепким орешком. Но после этого Зак решил еще и разобрать «восьмерку», и покопавшись в ней, остался раз...
Введение в разработку CatBoost. Доклад Яндекса Меня зовут Стас Кириллов, я ведущий разработчик в группе ML-платформ в Яндексе. Мы занимаемся разработкой инструментов машинного обучения, поддержкой и развитием инфраструктуры для них. Ниже — мой недавний доклад о том, как устроена библиотека CatBoost. В докладе я рассказал...
Треть корпораций имеют машины с Windows XP В ближайшем будущем окончательно прекратится поддержка Windows 7. Поддержка Windows XP завершилась ещё в 2014 году, однако множество предприятий по-прежнему подвергает себя опасности, используя устаревшие операционные системы.
Исследователь опубликовал код эксплойта для Chrome 73 Компания Exodus Intelligence опубликовала код эксплойта для уязвимости в стабильной версии Google Chrome. Рабочий прототип использует проблему безопасности в движке v8, которую разработчики браузера устранили 18 марта, но пока что не исправили в актуальной версии 73. ИБ-иссл...
43% приложений для Android и 35% для iOS содержат уязвимости Компания Positive Technologies провела исследование приложений Android, представленных в Google Play, и приложений iOS из Apple Store, чтобы выяснить, какую угрозу они представляют для безопасности пользователей. В результатах исследований говорится о том, что 43% прило...
Security Week 36: срок жизни уязвимостей в смартфонах Главная новость прошлой недели — масштабное исследование реальной атаки на устройства на базе iOS, опубликованное экспертом Яном Бером из команды Google Project Zero (новость, блогпост Яна со ссылками на семь дополнительных публикаций). Это редкий пример исследования, в кото...
Security Week 09: 19-летняя уязвимость в WinRAR Объявляем неделю доисторических багов. Уязвимость в архиваторе WinRAR, обнаруженную и закрытую в конце января, подробно описали специалисты компании Check Point Software (новость, оригинальное исследование). В худшем случае брешь позволяет распаковать вредоносный файл в прои...
Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...
Cisco исправила критическую RCE-уязвимость в роутерах RV110W, RV130W и RV215W Инженеры Cisco исправили критическую уязвимость в веб-интерфейсах своих продуктов. Баг набрал 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS V3.
Facebook опубликовал библиотеку для обработки изображений Spectrum Сегодня Facebook объявляет о запуске Spectrum - библиотеки обработки изображений.
Бренду белорусских компьютеров ТОР исполнился год В 2018 году компания “Всё про офис” создала и сертифицировала марку компьютеров и серверов ТОР собственной сборки. Уже год мы продаем компьютеры белорусской сборки, полностью берем на себя гарантийное обслуживание и апгрейд компьютеров, в случае изменения или усложнения зада...
[Перевод] 34 open source библиотеки Python (2019) Мы просмотрели и сравнили 10 000 open source библиотек для Python и выбрали 34 самые полезные. Мы сгруппировали эти библиотеки в 8 категорий. Читать дальше →
Почему не стоит клеить дешёвые плёнки на экран смартфона Защищать дисплей плёнкой можно, только осторожно Какой ритуал совершает большинство пользователей после покупки смартфона? Конечно же, облачают обновку в чехлы, бамперы и защитные плёнки, чтобы уберечь её от царапин, сколов или, чего доброго, более серьёзных повреждений. Пол...
Уязвимость, крадущая данные биткоин-кошельков, оказалась опасна еще для 500 Android-приложений Эксперты норвежской компании по защите приложений Promon обнаружили уязвимость StrandHogg, которая затронула все версии Android и нацелена на похищение конфиденциальных данных. Эксперты предупреждают, масштаб заражения и размер ущерба от уязвимости может оказаться беспрецеде...
MEGANews. Самые важные события в мире инфосека за июнь Для подписчиковВ этом месяце: шифровальщик GandCrab прекратил работу; новый Raspberry Pi 4 почти не уступает десктопам по производительности; Роскомнадзор готовит административное дело против Google; свежая уязвимость в Exim уже находится под атаками, а уязвимости в Firefox ...
В WhatsApp нашли способ читать чужую переписку Как выяснил специалист по кибербезопасности под псевдонимом Awakened, потенциальную жертву можно атаковать с помощью вредоносного GIF-файла. Как только пользователь открывает такую «гифку», хакеры получают возможность смотреть мультимедийные файлы и сообщения на его устройст...
[Перевод] Как сделать контейнеры еще более изолированными: обзор контейнерных sandbox-технологий Несмотря на то, что большая часть ИТ-индустрии внедряет инфраструктурные решения на базе контейнеров и облачных решений, необходимо понимать и ограничения этих технологий. Традиционно Docker, Linux Containers (LXC) и Rocket (rkt) не являются по-настоящему изолированными, пос...
Эксперимент выявил тысячи атак на IoT-ловушки в России Более 500 ловушек были просканированы потенциальными злоумышленниками 561 003 раз за два часа, а пять устройств, расположенных в России, были сканированы 5 370 раз за два часа. Honeypots-ловушки были расположены в России, Мексике, Франции, Германии, Южной Корее, Австралии, В...
NAS-хранилища Lenovo под атакой вымогателей Киберпреступники удаляют файлы с сетевых накопителей Lenovo Iomega и требуют выкуп за их восстановление. Пока неизвестно, каким образом злоумышленники проникают на целевые устройства, однако отмечается, что нападающие могут использовать незащищенный веб-интерфейс. Первые соо...
В UC Browser обнаружена опасная функциональность Эксперты компании «Доктор Веб» предупреждают об опасной уязвимости мобильного браузера UC Browser и его облегченной версии UC Browser Mini. Незащищенная функция загрузки дополнительных компонентов позволяет злоумышленникам устанавливать на Android-устройства нежела...
Apple временно отключила групповые звонки FaceTime из-за серьёзной уязвимости Компания Apple отключила функцию групповых звонков FaceTime в iOS и macOS на время устранения серьезной уязвимости системы безопасности. Ошибка в функции видеовызова позволяла добавить участника в групповой звонок и слышать, что происходит на другой стороне, ещё до ...
Во всех имплементациях SCP за последние 36 лет содержались уязвимости Специалисты F-Secure обнаружили четыре уязвимости, представляющие угрозу для всех имплементаций SCP. Вредоносный SCP-сервер может вносить неавторизованные изменения на стороне клиента.
Почему пользоваться программами для отслеживания состояния здоровья может быть опасно Фитнес приложения могут быть не такими полезными, как кажется Современные технологии затрагивают почти каждый аспект нашей жизни в настоящее время. Гаджеты и приложения — это уже не просто более производительные устройства и программы, призванные сделать нашу жизнь луч...
На Ebay продаётся инструмент для взлома смартфонов. За $100 вместо $15 000 Новые модели UFED продаются за 15 тысяч долларов, а старые модели кто-то сплавляет на вторичный рынок по бросовым ценам — от 100 долларов.
Безопасность iOS 13.1 поставлена под сомнение iOS 13.1 повержена хакерами Apple ежегодно совершенствует безопасность своих операционных систем — для этого компания нанимает лучших специалистов в области информационных технологий. iOS 13 не стала исключением из этого правила — разработчики внедрили в ОС новые...
Какую опасность таят в себе наши смартфоны Долгое время было принято считать, что смартфоны представляют опасность для человеческого организма, потому что излучают радиацию. По этой причине многие предпочитали на носить аппарат ни в кармане брюк, ни во внутреннем кармане пиджака или куртки, выделяя для него немного ...
Echobot: наследник Mirai с широким кругозором Исследователь из Akamai Technologies обнаружил Mirai-подобного зловреда, который распространяется с помощью 26 эксплойтов разной давности. Примечательно, что его операторы пытаются использовать уязвимости не только в прошивках роутеров, NAS-устройств и IoT, но также в сетево...
Стали известны самые уязвимые ко взлому сайты знакомств в России Представители компании “Ростелеком-Солар” провели исследование, направленное на изучение степени защищенности от взлома приложений для знакомств, которые наиболее популярны в России.
Фейковый взлом EOS: эксперты объясняют природу транзакции на $3,6 трлн Информация о выводе из сети EOS 1 трлн монет ($3,6 трлн) оказалась фейком. Пост о предполагаемом взломе сети появился в Twitter-аккаунте Whale Alert. 🚨 🚨 🚨 🚨 🚨 🚨 🚨 🚨 🚨 🚨 1,000,000,000,000 #EOS (3...
[Перевод] Рассказ о том, почему я до сих пор использую jQuery Многие, когда речь заходит о jQuery, говорят так: «Просто пользуйтесь обычным JavaScript. Библиотека jQuery вам не нужна». Что тут сказать? Я не нуждаюсь во многих вещах, но, несмотря на это, хорошо, когда они есть. Так и jQuery. Я в этой библиотеке не нуждаюсь, но её, опред...
Устанавливаем Kali Linux с графическим интерфейсом на виртуальный сервер TL;DR в статье описывается установка Kali Linux с графической средой на виртуальный сервер с ISO-образа по VNC. Такой системой можно пользоваться как полноценным десктопом. Большинство хостеров предоставляют только консольный доступ к виртуальным серверам и ограниченный в...
Библиотека Apple Arcade уже насчитывает 100 игр Компания Apple продолжает активно наполнять библиотеку игр Apple Arcade. Сервис Apple Arcade стал доступен пользователям […]
Хакеры взломали сервер NASA. Rомпьютерная сетевая безопасность одной из ведущих исследовательских лабораторий мира находится на весьма посредственном уровне, что и стало причиной ее успешного хакерского взлома в апреле 2018 года. Злоумышленники, использовали неавторизированный компьютер на базе Raspberr...
В Instagram обнаружена уязвимость, позволяющая взламывать чужие аккаунты Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) обнаружил уязвимость в сервисе Instagram, позволяющую перехватить контроль над чужой учетной записью. Мутия выяснил, что один и тот же идентификатор устройства (уникальный идентификатор, применяемый сервера...
Хакеры могут удалённо вмешиваться в управление электросамоката Xiaomi M365 По информации, опубликованной группой Zimperium zLabs, занимающейся вопросами безопасности, электрический самокат Xiaomi M365, используемый во многих странах мира для городского проката, имеет уязвимость, позволяющую хакерам получить полный дистанционный контроль над транспо...
Китайские власти ополчились на DDoS-сервисы В Китае проведены многочисленные аресты в целях ограничения деятельности, связанной с созданием ботнетов и сдачей их в аренду для проведения DDoS-атак. Согласно сообщению в блоге ZDNet, среди задержанных числятся два предполагаемых оператора сети, объединяющей 200 тыс. взлом...
Представлен PoC атаки на страничный кэш в Windows и Linux Операционные системы Windows и Linux уязвимы для атаки, которая позволяет злоумышленникам перехватывать работу с клавиатурой, нарушать границы песочницы и похищать пароли. К такому выводу пришла команда исследователей, состоящая из ученых, представителей вендоров и специалис...
Майнер для Linux удаляет с сервера облачные системы защиты Необычный сценарий атаки на серверы под управлением Linux обнаружили эксперты исследовательской группы Unit 42. Зловред, нацеленный на установку майнера, не проявляет вредоносной активности на зараженном компьютере, пока не получит права администратора и не удалит системы бе...
Российские хакеры пошли дальше использования уязвимостей и модифицируют Chrome и Firefox для отслеживания зашифрованного трафика пользователей Многие злоумышленники для взлома просто используют уязвимости в браузерах, но одна группа пошла дальше. Об этом рассказали специалисты «Лаборатории Касперского». В компании обнаружили, что хакеры из российской группы Turla научилась модифициров...
Шифровальщик Sodin оказался знаковым явлением Эксперты «Лаборатории Касперского» изучили устройство шифровальщика Sodin, также известного под именами Sodinokibi и REvil. Специалисты предупреждают, что в ближайшем будущем этот сложный Windows-зловред может нанести немалый ущерб, так как он использует нестандарт...
В популярной Ruby-библиотеке Bootstrap-Sass нашли бэкдор Скомпрометировав разработчика, злоумышленники добавили бэкдор в библиотеку Bootstrap-Sass. Вредоносную версию успели загрузить 1477 раз.
Facebook раскрыла код библиотеки функций для понимания смысла текста В соцсети в качестве преимущества PyText указывают то, что библиотека оптимизирована как для экспериментов, так и для рабочего применения.
Black Shark 2 Pro набирает в AnTuTu 405 000 баллов, предположительно опережая ROG Phone II Вчера мы рассказали о результатах ожидаемого смартфона Xiaomi Black Shark 2 Pro в Geekbench, но большинство все-таки привыкло сравнивать показатели в AnTuTu, и сегодня эта возможность появилась. Новая модель преодолевает очередную психологическую отметку и набирает 405 тыся...
Виртуальный Су-30-СМ поступил в войска Как сообщает телеканал «Звезда», новый тренажёр был установлен взамен тренажёрного комплекса Ми-29СМТ. Он получил модернизированную версию оборудования последней модели, которое полностью воссоздаёт кабину современного истребителя Су-30-СМ. В тренажёр, в частности, встроена ...
Facebook переименовал Архив объявлений в Библиотеку рекламы Facebook объявил о запуске Библиотеки рекламы – новой версии Архива объявлений, увидевшего свет в 2018 году. Ранее на этом портале содержалась детальная информация о политической рекламе. В частности, на кого она была нацелена, сколько показов получила, кто её разместил и ка...
Защищена ли от кибератак силовая инфраструктура вашего ЦОД? Уязвимости промышленного интернета вещей в ЦОД Большинством энергетического оборудования в центре обработки данных можно управлять дистанционно и точно также настраивать его через удаленные терминалы. Благодаря этому злоумышленник в теории может получить контроль над этими ...
[Перевод] Рукопожатие SSH простыми словами Secure Shell (SSH) — широко используемый протокол транспортного уровня для защиты соединений между клиентами и серверами. Это базовый протокол в нашей программе Teleport для защищённого доступа к инфраструктуре. Ниже относительно краткое описание рукопожатия, которое происхо...
Разработка мобильного приложения без сервера Очень часто при разработке мобильных приложений (возможно с веб-приложениями та же проблема) разработчики попадают в ситуацию, когда бэкэнд не работает или не предоставляет нужных методов. Такая ситуация может происходить по разным причинам. Однако, чаще всего на старте ра...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...
Тысячи Android-приложений могут содержать RCE-уязвимость Уязвимость выполнения стороннего кода в WhatsApp присутствует и в других приложениях для Android. К такому выводу пришли специалисты TrendMicro, нашедшие около 3000 потенциально опасных программ в Google Play и сторонних файловых архивах. Баг эксплуатируется через вредоносны...
Безопасные push-уведомления: от теории к практике Привет, Хабр! Сегодня расскажу о том, чем мы с коллегами заняты уже несколько месяцев: о пуш-уведомлениях для мобильных мессенджеров. Как я уже говорил, в нашем приложении главный упор сделан на безопасность. Поэтому мы выясняли, есть ли у пуш-уведомлений “слабые места” и ...
Зимние куртки от Gro-Gro Shop Довольно часто мы сталкиваемся с проблемой неуютных зимних вещей, которые препятствуют нашему активному образу жизни, тем самым подвергая «сидению дома на диване». Одной из основных проблем также является одежда, которая не греет или промокает, что конечно же недопустимо при...
Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elasticsearch с логами информационных систем (ИС) этих компаний. В первом случае — это десятки тысяч (а может и сотни...
Данные миллионов пользователей Facebook снова оказались в открытом доступе Специалисты UpGuard обнаружили два облачных сервера Amazon, на которых хранились более 540 млн записей, связанных с Facebook, собранных двумя сторонними компаниями. Речь может идти о десятках миллионов пользователей соцсети, пишет ZDNet. UpGuard – калифорнийская компания в о...
Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.
Как проверить легальность используемых программ 1С Использование нелицензионных программ 1С и обновлений к ним грозит не только рисками технических сбоев некорректно и непрофессионально установленных и настроенных программ, но и серьезными юридическими проблемами. Выплата значительной компенсации за нарушение авторски...
[Перевод] Конференция DEFCON 27. Извлечение пользы из хакерских продуктов для macOS. Часть 2 Конференция DEFCON 27. Извлечение пользы из хакерских продуктов для macOS. Часть 2 Получив с удаленного хакерского C&C-сервера файл с вредоносным кодом, эксплойт приступает к его исполнению. Здесь используется тот же SDF-метод, когда архив с вредоносным ПО распаковывает...
Взлом Capital One привел к утечке данных 106 млн человек Более 100 млн американцев и 6 млн канадцев пострадали в результате взлома компрометации Capital One. В руки третьих лиц попали номера социального страхования, имена, адреса и многое другое.
Из-за взлома банка Capital One пострадало более 106 млн клиентов Американская банковская холдинговая компания Capital One Financial Corp сообщила о взломе компьютерной сети, происшедшем в марте, в результате чего злоумышленник получил доступ к персональной информации более 106 млн клиентов.
Экономим на «винде». Как оптимизировать затраты на софт на примере бухгалтерии Для подписчиковВ сфере IT существует несколько вполне законных способов сэкономить. Можно перевести предприятие на Linux, можно использовать Zentyal вместо службы Active Directory, а еще можно настроить под Linux сервер 1С, переведя работу бухгалтерии на бесплатную платформу...
В WinRAR обнаружили опасную уязвимость, которая просуществовала там 19 лет. В зоне риска оказались 500 млн пользователей Разработчики популярного архиватора WinRAR исправили серьёзную уязвимость, которая просуществовала 19 лет. Она позволяла злоумышленникам извлекать из архива вредоносное программное обеспечение в произвольном месте. Проблема была обнаружена специалистами компании Check Point ...
Новый вариант Mirai атакует телевизоры и системы проведения презентаций Инфицированные устройства объединяются в ботнеты и могут в дальнейшем использоваться для организации мощнейших DDoS-атак. Mirai атакует устройства с открытыми Telnet-портами и получает контроль над ними путем перебора предустановленных логинов и паролей, библиотека которых и...
Android: извлекаем данные с зашифрованной SD-карты и получаем доступ к скрытым методам Для подписчиковСегодня в выпуске: обзор систем безопасности Android, объяснение атак типа Cloak & Dagger, гайд по извлечению данных с зашифрованной карты памяти, обход ограничений на загрузку нативных библиотек и доступ к скрытым Java-методам, уязвимость в Android Downl...
Преступники украли данные миллионов клиентов StockX Интернет-биржа одежды и обуви StockX сообщила о взломе своих баз данных, который привел к компрометации 6,8 млн записей с персональной информацией пользователей. По данным экспертов, похищенные сведения уже можно купить на подпольных площадках. Компания не уточняет детали ин...
Canva дарит НКО доступ к платным функциям графического редактора Canva — онлайн-редактор для создания графики и документов — объявляет о старте программы “Canva для НКО”, в рамках которой представители некоммерческих организаций России смогут воспользоваться функционалом премиум-пакета Canva Pro для создания изображений и печа...
Европа оценила риски 5G Европейская комиссия сообщила, что большинство стран-членов Европейского Союза (24 из 28) уже завершили оценку рисков, связанных с переходом на сети пятого поколения.
Умный сервис кэша на базе ZeroMQ и Tarantool Руслан Ароматов, главный разработчик, МКБ Привет, Хабр! Я работаю бэкенд-разработчиком в Московском кредитном банке, и за время работы у меня накопился некоторый опыт, которым я хотел бы поделиться с сообществом. Сегодня я расскажу, как мы писали свой собственный сервис к...
Quanta начинает поставку x86-совместимых серверов для сетей 5G Тайваньский производитель оборудования Quanta Computer, как сообщается, начал поставки серверов на x86-совместимых процессорах производства Intel новому японскому оператору связи Rakuten Mobile Network (RMN), который будет использовать их в сетях 5G. В этом проекте Quan...
Где учиться пентесту. Обзор площадок для практики навыков этичного хакера Для подписчиковВ этой статье мы выясним, какие площадки позволяют оттачивать мастерство взлома и ценятся специалистами по безопасности. Они позволяют этичным хакерам быть этичными до последнего, при этом не терять хватку, регулярно практиковаться со свежими уязвимостями и ос...
В клиенте Outlook для Android закрыли критическую уязвимость Разработчики Microsoft разместили в магазине Google Play версию 3.0.88 приложения Outlook. В ней закрыта уязвимость CVE-2019-1105, позволявшая злоумышленнику выполнять сторонний код с привилегиями текущего пользователя. Технические детали об уязвимости пока не раскрываются, ...
[Из песочницы] Сравнение популярных CLI-библиотек для Python: click, cement, fire и другие Python — отличный язык для консольных приложений, и это подчёркивает большое количество библиотек для этих задач. Но какие вообще библиотеки существуют? А какую лучше взять? В этом материале сравниваются популярные и не очень инструменты для консольного мира и дана попытка...
Facebook подал в суд на NSO Group за взлом WhatsApp Руководство Facebook утверждает: почти полторы тысячи пользователей WhatsApp подверглись хакерской атаке весной этого года по вине израильской компании. Целью рассылки вредоносного ПО была слежка за высокопоставленными лицами, политиками, общественными деятелями.
Ботнет Bashlite нацелился на умные устройства Belkin WeMo Создатели IoT-бота Bashlite расширили его возможности: теперь он умеет проводить несколько вариантов DDoS-атак, обладает функциями бэкдора, а также способен удалять клиенты конкурентов. Очередной вариант Bashlite нацелен на линейку оборудования WeMo компании Belkin и доставл...
Бразилия стала «испытательным полигоном» для нового типа атак Впервые атаки были описаны летом прошлого года специалистами компании Radware, месяц спустя эти наблюдения подтвердили и исследователи Netlab, подразделения китайской компании Qihoo 360. Речь идет об атаках на роутеры с подменой их DNS-настроек. В результате пораженные устро...
Samsung сама боится сломать Galaxy Fold Основной претензией к складному Galaxy Fold стала его надежность. Несмотря на то что смартфон так и не дали в руки даже гостям мероприятия, на котором состоялся его релиз, стремление производителя спрятать аппарат за стеклянной витриной свидетельствовало именно о его неувер...
В Евросоюзе не считают Huawei угрозой Вчера был опубликован отчет, подготовленный государствами Европейского Союза и посвященный вопросам информационной безопасности применительно к сетям 5G, которые рассматриваются как решающие для конкурентоспособности блока в современном мире. Предупреждая о риск...
Apple предложит один миллион долларов за взлом iPhone Безопасность и конфиденциальность личных данных — один из главных приоритетов Apple на сегодняшний день, о чём неоднократно высказывался генеральный директор компании Тим Кук. Корпорация непрерывно совершенствует механизмы защиты ОС, постоянно нанимая на работу именит...
Киберпреступники заинтересовались анализами ДНК Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инцидент...
Аналитики Kaspersky рассказали об Android-бэкдоре BRATA Исследователи «Лаборатории Касперского» обнаружили новый Android-бэкдор, который с января атакует исключительно бразильских пользователей. Операторам зловреда удалось опубликовать его в Google Play, где специалисты насчитали более 20 вариаций программы. Специалисты...
Павел Дуров выступил с манифестом против Facebook В начале недели газета Financial Times (FT) сообщила, что израильская компания NSO Group разработала вредоносное программное обеспечение, которое использует уязвимость WhatsApp для сбора данных о его пользователях. Для его установки хакеры осуществляли голосовые звонки....
Matrix 1.0 — релиз протокола децентрализованного обмена сообщениями 11 июня 2019 разработчики Matrix.org Foundation объявили о релизе Matrix 1.0 — протокола для реализации федеративной сети, построенной на основе линейной истории событий (events) внутри ациклического графа (DAG). Самым распространённым способом использования протокола являет...
Защищаем удаленный сервер на Windows как можем Тема безопасности сервера Windows не раз поднималась, в том числе и в этом блоге. Тем не менее мне хотелось бы еще раз освежить в памяти старые методы защиты и рассказать о малоизвестных новых. Разумеется, будем использовать по максимуму встроенные средства. Итак, предполож...
DICE блокирует игроков в Battlefield V за использование утилит для понижения графики В шутере Battlefield V началась волна блокировок игроков за использование программ, которые понижают качество графики. Решение DICE объяснил блогер с YouTube-канала jackfrags. Он опубликовал десятиминутный ролик, в котором продемонстрировал причину банов. Автор пока...
Взлом айфона теперь обходится в 100 долларов На Ebay и других интернет-площадках все чаще можно встретить продажу устройств UFED, которыми пользуется ФБР, АНБ и другие силовые ведомства США. При их официальной стоимости от 5 до 15 тысяч купить такой гаджет можно всего за 100 долларов.
Сервер, ты меня слышишь? BROP-атака на примере задания NeoQUEST-2019 Как найти уязвимость на сервере, не имея информации о нём? Чем BROP отличается от ROP? Можно ли скачать исполняемый файл с сервера через переполнение буфера? Добро пожаловать под кат, разберём ответы на эти вопросы на примере прохождения задания NeoQUEST-2019! Читать дальш...
Умные четки для молитв оказались недостаточно ... Дорога к спасению в наше время вымощена проблемами кибербезопасности. Не так давно мы рассказывали вам об умных четках за $110, при помощи которых Ватикан планирует приучить к молитвам молодое поколение. Они были представлены в среду, но уже в четверг один из исследоват...
Названы сайты, которые могут отключиться в Рунете с 1 февраля 1 февраля 2019 года наступит DNS Flag Day: будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound. Они начнут принимать только трафик, соответствующий стандарту EDNS (RFC 6891). Трафик со старых и необновлённых серве...
Конфигурация сервера хранения Synology UC3200 включает два контроллера На сайте компании Synology опубликовано сообщение о выпуске сервера хранения Unified Controller UC3200 — первого сервера iSCSI IP SAN в каталоге Synology с двумя контроллерами, построенного на архитектуре Active-Active. Каждый контроллер основан на четырехъядерно...
Fusion 360 - редактируем готовые компоненты. Меняем T-slot, на V-slot Всем привет. Продолжаем изучать Fusion 360. Подготовил для вас очередной видеоурок.В данном видео расскажу и покажу вам как во Fusion 360 можно поменять готовый компонент из библиотек готовых компонентов на примере конструкционного профиля T-slot и V-slot. Как обещано в виде...
WordPress 5.2 повысит защищенность сайтов Авторы CMS WordPress, на которой работают более трети интернет-сайтов, представили новый релиз своего продукта с расширенными возможностями безопасности. Версия WordPress 5.2 упростит веб-администраторам защиту своих площадок от вредоносного ПО и позволит оперативно отслежив...
Комбо для Drupal. Как захватить сайт с Drupal, используя новые уязвимости Для подписчиковВ этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на не...
В антивирусном приложении смартфонов Xiaomi нашли бэкдор Исследователи Check Point описали сценарий MitM-атаки через антивирусное приложение Guard Provider, предустановленное на смартфонах Xiaomi. Злоумышленник может взломать соединение, по которому обновляются базы вредоносного ПО, и внедрить сторонний код на целевое устройство. ...
Microsoft пропатчила атакуемую уязвимость 0-day Майский набор обновлений для продуктов Microsoft закрывает брешь повышения привилегий, уже используемую в атаках. Уязвимость CVE-2019-0863 связана с функциональностью, отвечающей за формирование и отправку на сервер отчетов об ошибках Windows. Согласно бюллетеню, эксплуатаци...
Из кошелька Fusion Network похищено $6,5 млн. Создатели проекта подозревают работу инсайдеров Цена токена Fusion (FSN) обвалилась более чем вдвое после того, как разработчики финансовой блокчейн-платформы Fusion Network объявили о взломе своего кошелька. Об этом пишет Decrypt. Согласно опубликованному в ночь на воскресенье заявлению представителей проекта в официальн...
В Jira Service Desk нашли критические уязвимости и Jira Service Desk Data Center, устранив угрозу раскрытия информации. Злоумышленники могли воспользоваться двумя багами, чтобы получить важные данные о корпоративной инфраструктуре и выполнить сторонний код. Уязвимости CVE-2019-14994 и CVE-2019-15001 позволяли проводить ата...
Данные пользователей Binance предположительно слиты в один из Telegram-чатов В сети распространилась информация о том, что биткоин-биржа Binance якобы подверглась взлому и «тысячи KYC-данных» пользователей оказались в одной из групп мессенджера Telegram. BREAKING; Thousands of #Binance users KYC data has been hacked and all ID’s are posted in a...
Facebook удалит устаревшие и редко используемые интересы для таргетинга Facebook удалит тысячи устаревших и редко используемых интересов для таргетинга, таких как названия старых фильмов и музыкальных групп. Это будет сделано в ближайшие месяцы. В компании заверили, что большинство рекламодателей не заметят этих изменений. Устаревшие интересы бу...
Резервное копирование windows серверов в AWS Имеем windows сервер в AWS и задача настроить резервное копирование. Можно использовать снапшоты, но тогда возникнет проблема с целостностью данных. Ещё хочется хранить недельные и месячные снапшоты, а lifecycle в снапшотах этого не предлагает. Новый сервисе AWS Backup тоже ...
Состоялся релиз Kali Linux 2019.1 Состоялся rolling-release Kali Linux 2019.1, который содержит множество обновлений: обновленные пакеты, обновленное ядро 4.19.13, обновленные инструменты, а также 5 версию знаменитого фреймворка Metasploit. Kali Linux представляет из себя дистрибутив, содержащий множество...
[Из песочницы] snmp-мониторинг принтеров в The Dude Snmp В сети много инстркций как установить сервер монитринга The Dude от Mikrotik. Сейчас пакет сервера мониторинга выпускают только для RouterOS. Я использовал версию 4.0 для Windows. Здесь я хотел рассмотреть, как сделать мониторинг принтеров в сети: отслеживать уров...
По прогнозу Digitimes Research, мировые поставки серверов в этом квартале увеличатся на 12,8% Аналитики Digitimes Research попытались спрогнозировать ситуацию на рынке серверов. Согласно их ожиданиям, в третьем квартале 2019 года поставки серверов вырастут по сравнению со вторым кварталом на 12,8%. При этом в годовом исчислении показатели останутся на прежнем ур...
Объявлены пароли, которые чаще всего взламывают Британский Национальный центр кибербезопасности опубликовал результаты исследования с паролями, которые чаще всего поддаются взлому в сети. Возглавляет список пароль 123456, он использовался в 23,2 млн учётных записей жертв взлома по всему миру. Затем идёт...
Космическая радиация может быть не так опасна, как мы думаем Космическое пространство, как известно, является суровой средой. Там нет воздуха, практически нет гравитации (микрогравитация не в счет). Кроме того, в космосе очень холодно, да еще и подстерегает невидимая опасность в виде солнечной радиации. Как известно, радиационное обл...
GandCrab приходит через взлом MySQL Злоумышленники проводят сканирование TCP-порта 3306 в поисках уязвимых серверов MySQL для установки шифровальщика GandCrab. По данным Sophos, в рамках текущей кампании вредоносная программа была растиражирована в Сети более 3 тыс. раз. Отыскав в Интернете защищенный слабым п...
[Перевод] Успех социального эксперимента с поддельным эксплойтом для nginx Прим. перев.: Автор оригинальной заметки, опубликованной 1 июня, решил провести эксперимент в среде интересующихся информационной безопасностью. Для этого он подготовил поддельный эксплойт к нераскрытой уязвимости в веб-сервере и разместил его в своём твиттере. Его предполож...
[Перевод] Типы для HTTP-API, написанных на Python: опыт Instagram Сегодня мы публикуем второй материал из цикла, посвящённого использованию Python в Instagram. В прошлый раз речь шла проверке типов серверного кода Instagram. Сервер представляет собой монолит, написанный на Python. Он состоит из нескольких миллионов строк кода и имеет неско...
Вирус для iOS крадет данные пользователей iCloud Уходящая неделя стала одной из самых разочаровывающих для пользователей техники Apple. Сгладить ситуацию не смогли даже ежедневные обновления. За прошедшие 5 дней независимые исследователи сообщили сразу о нескольких уязвимостях, которые присутствовали в фирменных устройств...
IDC: Во втором квартале в России продано 32 тысячи серверов всех типов Это на 10% меньше по сравнению с тем же периодом предыдущего года, отмечают аналитики.
Как запускается сервер Запуск сервера — длинная и сложная последовательность действий, зависящая от аппаратной составляющей, настроек и используемого программного обеспечения. Многие, даже опытные и квалифицированные системные администраторы, плохо себе представляют, что именно происходит в проце...
Бойтесь уязвимостей, воркэраунды приносящих. Часть 1: FragmentSmack/SegmentSmack Всем привет! Меня зовут Дмитрий Самсонов, я работаю ведущим системным администратором в «Одноклассниках». У нас более 7 тыс. физических серверов, 11 тыс. контейнеров в нашем облаке и 200 приложений, которые в различной конфигурации формируют 700 различных кластеров. Подавл...
Поражение Крейга Райта, террористы в Telegram и уязвимость Lightning Network: самые запоминающиеся события недели В традиционном воскресном дайджесте — биткоин вновь упал ниже $10 000, хешрейт вновь обновил исторический максимум, суд принял решение в деле Клеймана против Райта, в протоколе Lightning Network обнаружили опасную уязвимость, крупные террористические группировки уличил...
Разработчикам 70% приложений для iOS плевать на вашу безопасность Пожалуй, никто другой не заботится о конфиденциальности пользователей так, как это делает Apple. Компания прикладывает массу усилий, чтобы защитить личные данные пользователей и добровольно отказывается от сбора информации об их действиях и предпочтениях. Такая позиция, без...
В Drupal закрыты серьезные бреши Для CMS-системы Drupal версий 7 и 8 вышли обновления, устраняющие два бага удаленного исполнения кода, которые разработчики оценили как критические. Оба они привнесены с появлением в репертуаре Drupal файлов в формате .phar — исполняемых PHP-архивов, поддержка которых была в...
В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...
Более 20 тысяч владельцев Oracle EBS под угрозой PayDay Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформ...
Сотрудник Google сумел взломать iOS 12 Йен Бир, сотрудник команды Google Project Zero, занятой исследованиями в области информационной безопасности, обнаружил уязвимость в iOS 12.1.2, которая может использоваться для взлома операционной системы. Об этом исследователь сообщил в официальном блоге проекта. На основ...
Прокси-бот Ngioweb портирован на Linux Злоумышленники взломали тысячи WordPress-сайтов, создали ботнет и осуществляют проксирование трафика по заказу. Проведенный в Qihoo 360 анализ показал, что в качестве прокси-агента предприимчивые хакеры используют Linux-версию Ngioweb — вредоносной программы, впервые засвет...
[Из песочницы] Анонимны ли бесплатные мессенджеры? После вступления в силу нового Федерального закона от 01.05.2019 №90-ФЗ "О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации". Появилась новая волна негодований большого колличества пользоват...
Какие услуги аэропорта "Киев" можно купить онлайн На официальном сайте аэропорта, который ежедневно посещают тысячи человек, есть возможно забронировать и оплатить различные услуги: https://iev.aero/services
13-летний школьник хотел получить работу, а попал в суд за взлом Apple На момент взлома подростку было 13 лет. Сейчас ему 17 и он признал свою вину в суде по делам несовершеннолетних Аделаиды. По словам адвоката, его клиент не преследовал никакого злого умысла и всего лишь хотел, чтобы его заметили и взяли в компанию.
Microsoft обвинила в массовых взломах через принтеры хакеров из России Представители корпорации Microsoft заявили, что выявленные случаи взлома ПК через подключенные принтеры оказались делом рук российских хакеров. Информация об этом была доведена до широкой общественности во время последней конференции по вопросам кибербезопасности, состоявшей...
[Из песочницы] Проблемы основных паттернов создания data-driven apps на React.JS Для создания интерфейсов React рекомендует использовать композицию и библиотеки по управлению состоянием (state management libraries) для построения иерархий компонентов. Однако при сложных паттернах композиции появляются проблемы: Нужно излишне структурировать дочерние эле...
Критический баг в SAP NetWeaver позволял угнать приложение Компания SAP выпустила августовский комплект патчей, исправляющий 13 уязвимостей в продуктах вендора. Три новых бага и одно обновление для уже внедренной заплатки получили критический рейтинг угрозы. Серьезные проблемы исправлены в сервере Java-приложений NetWeaver, решении ...
Навигация внутри Android приложения Введение При Андроид разработке мы используем разные архитектурные решения(паттерны). Например Mvp, Mvvm, Mvi и т.д… Каждый из этих паттернов решает несколько важных задач и поскольку они не идеальны они нам оставляют кое-какие нерешенные задачи. К примеру этих задач относят...
Злоумышленники взломали веб-приложение института в США Злоумышленники взломали веб-приложение Технологического института Джорджии (Georgia Tech) и получили доступ к личной информации студентов, преподавателей и сотрудников. Под угрозой оказались данные 1,3 млн человек. Атака произошла 14 декабря 2018 года, однако обнаружить это ...
Хакеры Северной Кореи впервые покусились на Россию Исследователи компании Check Point раскрыли атаку, совершенную на российские организации северокорейской хакерской группировкой Lazarus, за которой числятся взлом серверов Sony Pictures Entertainment и похищение $81 млн у ЦБ Бангладеш. Атаку провело коммерческое подразделени...
Security Week 08: взлом VFEMail в прямом эфире Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон по...
В Интернет попали персональные данные 703 тысяч сотрудников РЖД В РЖД заверяют, что персональные данные пассажиров похищены не были. 27 августа компания DeviceLock, специализирующаяся на предотвращении утечек данных с корпоративных компьютеров, заявила, что неизвестные выложили в свободный доступ персональные данные 703 тыс. работнико...
[Из песочницы] Настройка reverse proxy для Nextcloud и ONLYOFFICE Привет, Хабр! Я занимаюсь тестированием редакторов документов ONLYOFFICE, а также тестированием интеграции редакторов в сторонние сервисы. К нам часто обращаются пользователи с различными проблемами при настройке, решения которых просто так не найти. Одна из самых популярных...
Ускоряем PHP-коннекторы для Tarantool с помощью Async, Swoole и Parallel В экосистеме PHP на данный момент существует два коннектора для работы с сервером Tarantool ― это официальное расширение PECL tarantool/tarantool-php, написанное на С, и tarantool-php/client, написанный на PHP. Я являюсь автором последнего. В этой статье я хотел бы подели...
Компоненты-агностики в Angular Когда работаешь над библиотекой переиспользуемых компонентов, вопрос API встает особенно остро. С одной стороны, нужно сделать надежное, аккуратное решение, с другой — удовлетворить массу частных случаев. Это относится и к работе с данными, и к внешним особенностям различных...
Linux-ботнет AESDDoS нацелился на Docker-системы Операторы ботнета AESDDoS ищут неправильно настроенные контейнеры Docker и внедряют в них троян для сбора информации и организации DDoS-атак. Об этом сообщили ИБ-специалисты, изучившие новый вариант вредоносной программы. Злоумышленники сканируют Интернет в поисках открытых ...
Случайное увеличение груди обошлось фармкомпании в $8 миллиардов Результатом работы филадельфийского суда общей юрисдикции стал прецедент, потенциально являющийся основной для вынесения положительных решений по огромному количеству аналогичных дел. Пострадавшими по ним проходят более десяти тысяч человек. Johnson & Johnson уже пыталис...
Российские хакеры взламывают сети в восемь раз быстрее "коллег" из других стран К такому выводу пришли в компании CrowdStrike, изучив 30 тысяч кибератак, произошедших в 2018 году. По скорости взлома связанные с правительством хакеры из России оставили далеко позади хакеров из КНДР и Китая.
Хакеры выложили в сеть личные данные тысяч полицейских и агентов спецслужб Портал TechCrunch рассказал о взломе хакерами ресурсов, связанных с ФБР. Оттуда злоумышленники скачали личные данные тысяч федеральных агентов и сотрудников правоохранительных органов США и выложили их в открытом доступе.
МТС открыл огромную онлайн-библиотеку для абонентов других операторов Оператор МТС открыл свой сервис МТС Библиотека для абонентов других российских операторов.
В Bellingcat отследили биткоин-транзакции ГРУ, связанные с выборами в США Исследовательская группа Bellingcat отследила транзакцию на 0,026043 BTC от 1 февраля 2016 года, которую специальный прокурор по делу о российском вмешательстве в выборы президента США Роберт Мюллер связал с деятельностью Главного разведывательного управления РФ (ГРУ) и взло...
Практическое применение трансформации AST-деревьев на примере Putout Введение Каждый день при работе над кодом, на пути к реализации полезного для пользователя функционала, становятся вынужденные (неизбежные, либо же просто желательные) изменения кода. Это может быть рефакторинг, обновление библиотеки или фреймворка до новой мажорной версии, ...
Вредоносные Python-библиотеки воровали ключи SSH и GPG Из PyPI были удалены две вредоносные библиотеки, пойманные на краже ключей SSH и GPG из проектов разработчиков. Одна из библиотек оставалась незамеченной почти год.
Обнаружен простой способ взлома домашних умных колонок Исследователи выявили очередную уязвимость, которая позволяет взломать домашнюю колонку дистанционно. А все благодаря высокой чувствительности микрофонов, которыми оснащены большинство колонок.
[Перевод] ZIO & Cats Effect: удачный союз Cats Effect стал своего рода «Reactive Streams» для функционального Scala-мира, позволив объединить всю разнообразную экосистему библиотек вместе. Многие отличные библиотеки: http4s, fs2, doobie — реализуются только на базе тайп классов из Cats Effect. А библиотеки типа ZIO...
Первый взгляд на мастера настройки потоковой передачи игр Project xCloud на Xbox One Компания Microsoft продолжает работу над сервисом потоковой передачи игр Project xCloud, который будет выпущен в двух вариантах. В первом случае xCloud будет позволять транслировать игры напрямую с серверов Microsoft, предоставляя вам возможность игры практически в любой то...
В WordPress 5.1.1 закрыли уязвимость, грозящую CSRF-атаками Разработчики WordPress выпустили обновление безопасности 5.1.1, в состав которого вошли 14 исправлений безопасности. Они устраняют CSRF-уязвимость системы и упрощают переход на новые версии PHP. Брешь позволяла потенциальным злоумышленникам использовать систему комментирован...
Microsoft выпустила новое накопительное обновление для Windows 10 October 2018 Update (17763.253) Компания Microsoft выпустила новое накопительное обновление для Windows 10 October 2018 Update с кодовым названием KB4480116. После его установки номер сборки системы изменится на 17763.253. Как и прежде, обновление не несёт в себе новых функций, а направлено на устранение ...
Практика использования библиотеки lottie в мобильном приложении банка Привет, Хабр! В свое время Product Owner попросил подумать нас о создании эффективного процесса по внедрению анимации в наше приложение на android/ios. В то время мы делали задачу по предзаполнению заявки личными данными на кредитный продукт, и на ответ от сервера требовало...
Похищены данные более 100 миллионов клиентов банка Capital One Утечка затронула граждан, обращавшихся в компанию за выпуском кредитных карт в период с 2005 по 2019 годы. Похищена и другая информация - около 140 тысяч номеров социального страхования, 80 тысяч номеров банковских счетов граждан США и более 1 миллиона номеров социального ст...
Оптимизация сборки мусора в высоконагруженном .NET сервисе Ежедневно в сервисе Pyrus работают десятки тысяч сотрудников из нескольких тысяч организаций по всему миру. Отзывчивость сервиса (скорость обработки запросов) мы считаем важным конкурентным преимуществом, так как она напрямую влияет на впечатление пользователей. Ключевой мет...
4G-роутер в роли универсального сервера для IoT Роутеры серии ICR-3200 призваны заменить классическую связку: одноплатный компьютер + модем + роутер. Теперь можно запускать всю необходимую логику прямо на роутере. Благодаря мощному ARM-процессору, 512 МБ оперативной памяти и ~2ГБ встроенной флеш-памяти, на роутере можно ...
Уязвимость в Android позволяет подменять сообщения в WhatsApp и Telegram Уязвимости на Android – изменчивы, многогранны и вечны. От них не спасают даже регулярные обновления безопасности, которые Google выпускает каждый месяц. Но если одни уязвимости дискредитируют саму операционку, то другие на корню подрывают доверие пользователей к сторонним ...
«Зомби» не страшны. AMD заявила, что её продукты не подвержены и уязвимости ZombieLoad тоже Несколько дней назад AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout. Напомним, это две из трёх уязвимостей, входящих в группу Microarchitectural Data Sampling (MDS). Теперь же AMD обновила своё заявление, добавив в него и третью уязвимость —...
Google заплатит Франции 550 миллионов долларов, чтобы закрыть дело об уклонении от налогов Компания Google согласилась во Франции выплатить штраф в размере 500 миллионов евро, чтобы урегулировать дело о налоговом мошенничестве, заведенное четыре года назад. Французские следователи пытались выяснить, не скрывала ли компания Google, чья европейская штаб-кварти...
Windows XP все еще жива! Для нее вышло обновление безопасности Если вы все еще используете операционную систему Windows XP или Windows Server 2003 (а также Windows 7, Windows Server 2008 и 2008 R2), то вам необходимо обновиться. Microsoft выпускает срочное исправление для данных операционных систем, чтобы заблокировать удаленно использу...
Малый бизнес забывает обновлять критически важное ПО Компания Alert Logic опубликовала отчет о киберрисках в сфере малого и среднего бизнеса, основанный на изучении данных о 8,2 млн ИБ-инцидентов, случившихся у более чем 4 тыс. ее клиентов. По мнению аналитиков, ключевой проблемой небольших организаций являются слабое шифрован...
Атака на хостинг. Как я раскрутил эскалацию привилегий в Plesk Для подписчиковРут на shared-хостинге — не обязательно публичная уязвимость в ядре Linux. В этой статье будет разобрана уязвимость в популярной хостинг-панели Plesk, позволяющая повысить привилегии на хостинговом сервере и получить доступ ко всем соседям.
[Из песочницы] Особенности HttpUrlConnection из java.net Здравствуйте, сегодня постараюсь рассказать о том, как можно отправить запрос и прочитать ответ от HTTP сервера, используя URLConnection из библиотеки JRE. Сейчас изучаем Java в онлайн режиме. Вся наша команда использует Slack для работы и общения. Заинтересовала возможнос...
[Перевод] Что необходимо сделать, чтобы вашу учетную запись Google не украли Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования. Прав...
Что такое «этичный взлом» — как зарабатывать деньги, будучи хакером? Когда мы думаем о хакерах, то в первую очередь в голову приходят загадочные личности в худи, которые воруют конфиденциальные данные крупных компаний. На основе таких представлений понятие «этичного взлома» или «этичного хакинга» воспринимается исключительно как оксюморон. О...
Уязвимость в браузере Internet Explorer позволяет злоумышленникам красть файлы с ПК под управлением Windows Исследователь безопасности Джон Пейдж (John Page) опубликовал подробные сведения об уязвимости XXE (XML eXternal Entity), обнаруженной в браузере Internet Explorer, которая позволяет злоумышленникам красть файлы с ПК под управлением Windows. Уязвимостью можно воспользов...
Половина цифровых проектов банков уязвима для хакеров Об этом говорится в отчете Positive Technologies, подготовленном для "Известий ". Половина пилотов и более 70% смарт-контрактов (наиболее востребованный в финансовой среде инструмент на блокчейне) содержат уязвимости к хакерским атакам, пишут аналитики Positive Tec...
Эксплойт для BlueKeep применяется в реальных атаках Уязвимость BlueKeep, связанная с недостатками реализации протокола RDP в ОС Windows, эксплуатируется в дикой природе. К такому выводу пришли ИБ-специалисты после анализа журнала ошибок тестовых систем с незащищенным портом 3389. Киберпреступники используют ранее опубликованн...
Опыт перевода Maven-проекта на Multi-Release Jar: уже можно, но ещё сложно У меня есть маленькая библиотека StreamEx, которая расширяет возможности Java 8 Stream API. Библиотеку я традиционно собираю через Maven, и по большей части меня всё устраивает. Однако вот захотелось экспериментов. Некоторые вещи в библиотеке должны работать по-разному в раз...
Библиотека Symbols GOST для DipTrace Ниже на скрине представлена часть символов библиотеки. В общей сложности библиотека содержит около 300-сот УГО выполненных по стандартам ГОСТ (ЕСКД). Библиотека разрабатывается и поддерживается мной. Все предложения, пожелания по добавлению символов (УГО) или компонентов...
Открытые библиотеки для визуализации аудиоконтента Мы изучили несколько тематических тредов на GitHub, Hacker News и Reddit, посвященных инструментам для визуализации аудиоконтента. Рассказываем о часто упоминаемых открытых библиотеках и решениях, которые пригодятся разработчикам веб-приложений или игр. Читать дальше →
ФНС заключила контракт на поставку двух тысяч серверов российского производства Государственный контракт стоимостью 600 миллионов рублей достался компании «Депо Компьютерс».
Google готова платить до $1,5 млн за особые уязвимости на Android Когда в 2015 году Google впервые запустила программу поиска уязвимостей в Android, самое большое вознаграждение, которое можно было получить, составляло $38 тыс. Вместе с ростом популярности Android росла и сумма награды, поэтому всё больше исследователей в области безопасно...
OpenVPN, о котором вы так мало знали OpenVPN, как много в этом слове. Мультиплатформенный, гибко настраиваемый, бесплатный VPN сервер с открытым исходным кодом, являющийся фактически стандартом "defacto" для организации доступа к внутренним корпоративным сетям. Большинство администраторов используют его с настр...
Критика протокола и оргподходов Telegram. Часть 1, техническая: опыт написания клиента с нуля — TL, MT В последнее время на Хабре стали чаще появляться посты о том, как хорош Telegram, как гениальны и опытны братья Дуровы в построении сетевых систем, и т.п. В то же время, очень мало кто действительно погружался в техническое устройство — как максимум, используют достаточно пр...
Данные российских налогоплательщиков утекли в Сеть? Исследователи обнаружили на серверах Amazon базу персональных данных 20 млн россиян, с указанием ИНН и объемов налоговых выплат. По свидетельству британской аналитической компании Comparitech, эта информация хранилась на сервере Elasticsearch в открытом виде около года. Пров...
Настройка сервера для развертывания Rails приложения при помощи Ansible Не так давно мне было необходимо написать несколько ansible playbooks для подготовки сервера к деплою rails приложения. И, на удивление, я не нашел простого пошагового мануала. Копировать чужой плейбук без понимая происходящего я не хотел и в итоге пришлось читать документац...
Файлы по рельсам. Как читать любые файлы с сервера через Ruby on Rails Для подписчиковТы наверняка в курсе, что такое Ruby on Rails, если когда-нибудь сталкивался с веб-девом. Этот фреймворк в свое время захватил умы разработчиков и успешно применяется до сих пор. Любая уязвимость в нем означает огромное количество потенциальных целей. В этот р...
Взломщик Upbit переместил украденные активы на более чем $8 млн По данным Twitter-аккаунта Whale Alert, с причастных к взлому криптовалютной биржи Upbit адресов переведено 55 тысяч Ethereum (ETH) на неопознанные кошельки. Стоимость перемещенных средств составляет более $8 млн. Приблизительно в течение двух часов хакеры произвели десять т...
Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством Специализирующаяся на вопросах компьютерной безопасности американская компания Zimperium выявила серьезную уязвимость в электрических самокатах Xiaomi. Как утверждается, ошибка, связанная с управлением транспортным средством посредством Bluetooth, может быть использована зло...
Троян Neutrino вернулся в формате ботнета Исследователи обнаружили масштабную вредоносную кампанию ботнета Neutrino, направленную на внедрение майнеров на веб-серверы. Ее отличительная черта — агрессивное поведение по отношению к конкурентам: при обнаружении стороннего вредоносного ПО Neutrino взламывает его веб-инт...
Казахстан выбирает оборудование ЭЛАР Оборудование под маркой ЭЛАР было поставлено сразу в три основные библиотеки Актюбинской области Казахстана, - высокопроизводительные сканеры ЭларСкан появились в Актюбинской областной универсальной научной библиотеке им. С. Баишева, Актюбинской областной юношеской библиотек...
Техподдержка 3CX отвечает — 5 правил безопасности IP-АТС Взломы АТС 3CX, которые приводят к серьезным последствиям, случаются достаточно редко. Тем не менее, наши клиенты иногда становятся жертвами мошенников. Как показала практика, в основном это связано или с неверными настройками системы, или с использованием устаревшей версии ...
[Перевод] Грокаем PyTorch Привет, Хабр! У нас в предзаказе появилась долгожданная книга о библиотеке PyTorch. Поскольку весь необходимый базовый материал о PyTorch вы узнаете из этой книги, мы напоминаем о пользе процесса под названием «grokking» или «углубленное постижение» той темы, которую вы ...
Еврокомиссия заплатит за уязвимости в Filezilla, VLC Media Player, 7-zip и еще в 12 бесплатных программах В январе будущего года в рамках проекта Free and Open Source Software Audit (FOSSA) стартует программа поиска уязвимостей в бесплатных программах, спонсируемая Европейской комиссией. Список программ, которые используют в своей деятельности институты Евросоюза, в...
В Exim устранили еще один RCE-баг Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере. Проблема, получившая идентификатор CVE-2019...
Серверы Huawei будут поставляться с ОС «Альт» Компании «Базальт СПО» и Huawei подписали сертификат совместимости операционных систем «Альт Сервер» v.9 и «Альт Сервер Виртуализация» с серверами Huawei TaiShan 100/200 2280 на архитектуре ARMv8 64 бит. Событие состоялось ...
Хранение данных в облаке становится опаснее Компаниям нужно больше внимания уделять защите своих облачных сред, поскольку злоумышленники все чаще ищут и эксплуатируют уязвимости в таких сервисах.
Камера в смартфонах Google Pixel и Samsung может тайно шпионить за пользователями Камера вашего смартфона может устанавливать за вами слежку, пусть и не без посторонней помощи Android – одна из немногих — если вообще не единственная – операционных систем, чей недостаток обратился в преимущество. Благодаря несовершенствам платформы Google может кажды...
[Перевод] Как встроить С-библиотеку в Swift-фреймворк В 2014 году был представлен Swift, новый язык для разработки приложений экосистемы Apple. Новинка принесла не только новые возможности и функции, но и проблемы — тем, кто хотел пользоваться старыми добрыми C-библиотеками. В этой статье я рассмотрю одну из них — бандлинг C-...
Определены 20 самых взламываемых паролей в мире Как бы нас не предупреждали, мы продолжаем использовать в интернете ненадежные пароли, что приводит к регулярным взломам тех или иных аккаунтов. ***
Group-IB рассказала о попытках взлома переписки в Telegram через СМС Мошенники заходили в чужой аккаунт через мобильный Интернет, скорее всего, используя одноразовые сим-карты.
Разработка монолитной Unix подобной OS — Библиотека С В предыдущей статье мы научились запускать Hello World ядро и написали пару функций для работы со строками. Теперь пришло время расширить библиотеку С чтобы можно было реализовать kprintf и другие необходимые функции. Поехали! Читать дальше →
В пермских модельных библиотеках можно не только читать В пятницу, 8 ноября, в Перми открылась так называемая «модельная» библиотека №1 им. Л.Н. Толстого, позиционируемая как инновационное пространство с высокотехнологичными элементами библиотечного обслуживания — интерактивным столом, 3D-принтером, очками дополненной реальности,...
Быстрый старт с WebComponents Веб-компоненты это набор стандартов определяющих программные интерфейсы для организации компонентной архитектуры. Все они реализованы в современных версиях браузеров, т.е. не требуют подключения библиотек или транспиляторов кода, однако, если нужна совместимость например с I...
Работа децентрализованной биржи 0x оказалась прервана из-за обнаруженной уязвимости Разработчики протокола 0x были вынуждены на время приостановить работу своей децентрализованной биржи, объяснив это обнаруженной уязвимостью в версии 2.0. По заявлению представителей проекта, средства пользователей находятся в целости и сохранности, однако им необходимо мигр...
Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...
CPX 360. Главный ресерчер Check Point о взломе WinRAR и о хакерах на службе компании Для подписчиковНа ежегодной конференции компании Check Point в Вене мы встретились с главой исследовательского подразделения компании Янивом Балмасом. Янив рассказал «Хакеру» о том, как штатные ресерчеры помогают Check Point быть в курсе новых угроз, а также раскрыл подробно...
[recovery mode] Асинхронная библиотека для работы с API Mikrotik Категорически приветствую. Недавно мне понадобилось поработать с Mikrotik через его API. Вроде бы ничего примечательного, есть официальная библиотека , есть еще на гитхабе обёртка, но вот беда — мне надо было работать асинхронно через asyncio и использованием плюшек async/aw...
Новые уязвимости связи 5G позволяют отслеживать расположение смартфона и отправлять ложные оповещений о чрезвычайных ситуациях Связь нового поколения 5G во многом быстрее и безопаснее, чем 4G. Однако новое исследование демонстрирует, что оно также имеет уязвимости, которые могут подвергнуть риску пользователей смартфонов. Исследователи в области безопасности Университета Пердью и Университета Айовы ...
Intel пыталась купить молчание исследователей, обнаруживших новые уязвимости в ее процессорах Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; прои...
Преступники могут получить доступ к информации клиентов в каждом онлайн-банке По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.Угро...
Вице-премьер Акимов предупредил о рисках для российской экономики из-за давления властей США на Huawei "Если будет тормозиться экономика Китая, то будет тормозиться спрос на углеводороды и на иные товары сырьевого производства это больно ударит по российскому экспорту", - сказал Акимов, указав и на риски "технологических фрагментаций".
[Перевод] 8 ошибок начинающих JavaScript-разработчиков, мешающих стать профессионалом Быть JavaScript-разработчиком круто, поскольку на рынке труда постоянно растет нужда в хороших JS-программистах. В наше время очень много фреймворков, библиотек и прочего, что можно использовать в работе, — и в значительной степени мы должны быть благодарны за это opensou...
[Из песочницы] Применение Go в производственных системах. Валидаторы Добрый день, Хабр! Я довольно часто начинаю утро с просмотра хабра и наконец решил внести свой вклад в данный процесс изучения интересного. Если всё сложится, то это первая моя статься из цикла применения языка GO на производственных системах. Я хочу рассказать некоторые т...
Кибератака на Asus: хакеры взломали фирменное приложение компании и получили доступ к компьютерам сотен тысяч человек Как злоумышленники получили доступ к серверам компании и как проверить свой компьютер.
Процессор Intel Core i5-9600K (Coffee Lake Refresh) и другие Core i5 для платформы LGA1151 Выход в свет процессоров «девятого» поколения Core в октябре этого года сопровождался массой материалов, посвященных старшим, восьмиядерным моделям этого семейства: Core i7-9700K и i9-9900K — именно из-за того, что они восьмиядерные. Третий же представленный осенью процессор...
Microsoft запустила лабораторию для совместной работы и исследований в Azure Также компания удвоила до 40 тысяч долларов вознаграждения за обнаружение уязвимостей в своих облачных сервисах в рамках программы Online Services Bounty.
Группировка Buckeye украла эксплойты АНБ до Shadow Brokers ИБ-эксперты обнаружили APT-группировку, которая применяла уязвимости Equation Group за год до их обнародования в апреле 2017-го. В своих кампаниях преступники из Китая использовали комплекс из двух 0-day, чтобы установить контроль над компьютерами пользователей и украсть пер...
Не просто кирпич, а аэродинамический кирпич. Tesla Cybertruck удивляет коэффициентом аэродинамического сопротивления Пикап Tesla Cybertruck получился крайне необычным. Мы уже говорили о том, почему машина имеет столь рубленные формы. Но как на счёт аэродинамики? Сама Tesla коэффициент аэродинамического сопротивления не указывает. Для пикапа он не особо важен, но, с другой стороны, реч...
Хватит быть глупым инди-разработчиком На играх сложно зарабатывать. Тысячи неудачных попыток приходятся на одну историю успеха. Вы можете получать прибыль на разработке игр одним способом: разумно вести бизнес, принимая все риски и решения, связанные с ним.
Стохастический градиентный спуск(SGD) для логарифмической функции потерь(LogLoss) в задаче бинарной классификации Предыдущая часть (про линейную регрессию, градиентный спуск и про то, как оно всё работает) — habr.com/ru/post/471458 В этой статье я покажу решение задачи классификации сначала, что называется, «ручками», без сторонних библиотек для SGD, LogLoss'а и вычисления градиентов, ...
Для взлома обычных iPhone хакеры используют прототипы iPhone для разработчиков На просторах сайта Motherboard появилась информация о том, как злоумышленники взламывают смартфоны iPhone. ***
В опасности миллионы смартфонов Xiaomi, Samsung и Huawei. Google обнаружила незакрытую уязвимость Android Исследователи компании Google из команды безопасности Project Zero обнаружили незакрытую уязвимость в мобильной операционной системе Android. Она ставит под удар безопасность на популярных смартфонах нескольких производителей, включая Xiaomi, Samsung и Huawei. Эк...
Около 20 000 записей платежных карт из восьми городов США оказались на черном рынке Эксперты по безопасности Gemini Advisory обнаружили, что в результате кибератаки пострадали жители Покателло, Айдахо и Оклахомы. Также взлом коснулся городов Флориды, Калифорнии и Айовы. Некоторые города были атакованы повторно, то есть обновленное ПО осталось уязвимым. Сам ...
DDoS-атака в Иране велась через прокси-серверы Telegram Иранский облачный провайдер Arvan Cloud столкнулся с DDoS-атакой, построенной на базе прокси-серверов Telegram. Эксперты предупреждают, что новый метод можно использовать для затруднения работы любых сайтов и веб-сервисов. Проблемы начались утром 6 ноября и продолжались в те...
В блоках релейной защиты ABB исправили 10-балльный баг Специалисты «Лаборатории Касперского» обнаружили критическую ошибку в системах релейной защиты производства ABB. Как оказалось, интеллектуальные электронные устройства (ИЭУ) серии Relion 670 подвержены уязвимости, которая позволяет читать и удалять любые файлы на у...
Цифровая платформа поможет рассчитывать риски при проверках в сфере транспорта Автоматизированная информационная система управления рисками при осуществлении государственного контроля (надзора) в сфере транспорта создана в соответствии с реформой контрольно-надзорной деятельности, стартовавшей в 2016 году. В рамках реформы обеспечивается переход к план...
В беспроводном VPN-оборудовании Cisco обнаружена RCE-брешь Компания Cisco сообщила о проблеме в трех продуктах класса SOHO. Угроза выполнения стороннего кода обнаружилась в интернет-консоли, используемой для настройки VPN-роутеров Cisco RV130W Wireless-N Multifunction и RV215W Wireless-N, а также VPN-брандмауэра RV110W Wireless-N. У...
Не забудьте повысить шанс ответа клиенту, используя повторный запрос в L7 балансировке Используя nginx для балансировки HTTP трафика на уровне L7 есть возможность направить запрос клиента на следующий сервер приложений, если целевой не возвращает положительный ответ. Проба механизма пассивной проверки состояния работоспособности сервера приложений показало нео...
Технология обратной виртуализации серверов пришла в Россию Российский системный интегратор BCC (со штатом более тысячи человек и штаб-квартирой в Санкт-Петербурге …
Что нам стоит дорогу построить. Часть 1 Ежедневный маршрут большинства из нас ограничивается поездкой из дома на работу и обратно. И самое сложное препятствие, которое может замедлить наше передвижение, — это пробки. Но в нашей стране есть огромное количество мест, куда можно добраться только на спецтранспорте. Та...
К бесплатной сети Wi-Fi подключено уже 76% московских библиотек С начала этого года бесплатный интернет заработал еще в 55 библиотеках Москвы. Теперь воспользоваться сетью Wi-Fi можно в 336 городских читальнях …
Eset обнаружила уязвимость в приложении Cirque du Soleil Программа была загружена в Google Play и AppStore накануне мирового турне Cirque du Soleil. На текущий момент приложение успели скачать более 100 тысяч раз.
Правительственные агентства предлагают $1 миллион за взлом WhatsApp или iMessage Шпионам, агентам спецслужб и представителям властей стало сложнее жить. Электронные гаджеты, в первую очередь смартфоны, становятся все более защищенными и расценки на их взлом растут. Это прямо следует из последней публикации от компании Zerodium — стартапа, который в...
Хакерам предложат взломать самую дешевую Tesla Дэвид Лау, начальник подразделения разработки программного обеспечения автомобилей: «Работа с сообществом исследователей кибербезопасности неоценима для нас. Мы с нетерпением ждем результатов Pwn2Own, чтобы наградить участников за отличную работу и улучшить продукт». Автомоб...