Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...
Исследователи нашли новые уязвимости в протоколе WPA3 ИБ-специалисты обнаружили две новые уязвимости в стандарте беспроводных подключений WPA3. Баги позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, и методом подбора выяснить пароль WiFi-сети. Разработчики протокола планируют о...
Новый стандарт защиты Wi-Fi взломали ещё до выхода первых роутеров В 2017 году Мэти Ванхоф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) раскрыли ряд критических уязвимостей протокола WPA2, который используется практически во всех современных защищенных сетях Wi-Fi. Уязвимости получили общее название KRACK (Key Reinstallation Attacks).
Дыру в безопасности для взлома WhatsApp с помощью видео залатали Команда Facebook, которой сейчас принадлежит популярный WhatsApp, опубликовала заявление, в котором говорится об устранении найденной не так давно уязвимости в WhatsApp. Критическую уязвимость CVE-2019-11931 в приложениях WhatsApp для Android и iOS позволяла злоу...
Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности Изображение: Unsplash Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. А в некоторых случаях таких новых уязвимостей оказывается больше одной. Читать дальше →
[Перевод] Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов Эта статья является частью серии «Fileless Malware». Все остальные части серии: Приключения неуловимой малвари, часть I Приключения неуловимой малвари, часть II: скрытные VBA-скрипты Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли ...
[Перевод] Обзор инструментов для безопасности GitHub репозиториев Введение Когда вы начинаете создавать репозиторий на GitHub, одной из первых вещей, о которых вы должны подумать, является безопасность. В случае, если вы создаете свой собственный репозиторий GitHub или часто контрибьютите в репозиторий, вам необходимо знать, содержит ли...
Почему вам не придется обновлять свой MacBook ради USB 4 На днях группа компаний по развитию USB, куда входят Apple, HP, Intel, Microsoft и другие корпорации, анонсировала новый стандарт USB 4, который в скором времени должен заменить существующую спецификацию. Вот только по сути это уже существующий стандарт Thunderbolt 3, прост...
Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...
[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 43. Протоколы маршрутизации Distance Vector и Link State Сегодняшний видеоурок о протоколах маршрутизации Distance Vector и Link State предваряет одну из самых важных тем курса CCNA – протоколы маршрутизации OSPF и EIGRP. Эта тема займет 4 или даже 6 следующих видеоуроков. Поэтому сегодня я кратко расскажу о нескольких концепциях,...
В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...
Злоумышленники опробуют новый эксплойт для Exim Зафиксированы первые попытки массовой эксплуатации недавно обнародованной уязвимости в почтовом агенте Exim. Пользователям продукта настоятельно рекомендуется обновить его до версии 4.92. В настоящее время Exim используют более половины почтовых серверов в Интернете. Для зло...
Siemens опубликовала патчи для своего промышленного ПО Компания Siemens выпустила пакет обновлений для своих промышленных информационных систем. Разработчики опубликовали 16 рекомендаций по безопасности, одна из которых содержит две критические бреши. Максимальные 10 баллов по шкале CVSS получила уязвимость в продукте WibuKey пр...
Мошенники атакуют: в Mozilla критическая уязвимость, а приложения Android похищают данные Coinbase Security и исследователь в сфере безопасности Google Сэмюэл Гросс обнаружили в браузере Mozilla Firefox уязвимость, позволявшую манипулировать объектами Javascript. Она уже использовалась для атак на пользователей криптовалют. Об этом сообщается на Medium. Уязвимост...
Компания Cisco опубликовала очередной пакет обновлений Разработчики Cisco выпустили серию обновлений к своим продуктам, устранив более 40 уязвимостей. Самые серьезные баги обнаружились в точках доступа Aironet, аналоговых телефонных адаптерах SPA100, системе управления беспроводным доступом и управляемых свитчах для малого бизне...
В PDF-файлах найдена критическая уязвимость, которая превращает их в «зомби» Система шифрования файлов PDF содержит критическую уязвимость, сообщают немецкие эксперты по кибербезопасности. Речь идет о защите, встроенной в сам стандарт PDF, а не о шифровании внешними инструментами. На основе найденной уязвимости специалисты смоделировали атаку, котора...
Личные данные пользователей подвергались опасности из-за серьёзных уязвимостей в браузере Chrome на Android и в сервисе Google Photos В декабре прошлого года специалисты компании Positive Technologies обнаружили критическую уязвимость в браузере Chromium, которая позволяла получить доступ к личным данным пользователей, и сообщили об этом компании Google. Через несколько недель поисковый гигант исправил про...
В WiFi WPA3 найдены новые уязвимости Разработчик стандарта беспроводной связи WiFi Alliance создал новый протокол шифрования WPA3, который наделён лучшей безопасностью, но на самом деле у него есть множество проблем.
В Штатах ГОСТы тоже так себе. Фатальная уязвимость в YubiKey FIPS, которую можно было избежать Привет, %username%! 13 июня 2019 года компания Yubico, производитель устройств для двухфакторной аутентификации, выпустила уведомление о безопасности в котором говорится о критической уязвимости некоторых устройств Yubikey FIPS. Давайте посмотрим что это за уязвимость и к...
ТОП-10 уязвимостей IoT-устройств К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей. В среднем между временем подключения...
40 миллионов флагманских смартфонов Samsung под угрозой, включая новейшие Galaxy S10 и Note10 На прошлой неделе Google обнаружила незакрытую уязвимость Android, которая имеется в популярных флагманах Xiaomi, Samsung и Huawei. А теперь компания Samsung подтвердила наличие двух десятков уязвимостей в системе безопасности, которые охватывают 40 миллионов пользовате...
Майнинг-пулы реализовали «атаку 51%» в сети Bitcoin Cash Крупные майнинг-пулы BTC.com и BTC.top осуществили «атаку 51%» для отмены транзакции другого майнера, который попытался получить доступ к средствам, которые ему не принадлежали, сообщает CoinDesk. Так, в ходе последнего хардфорка, который состоялся 15 мая, неизвест...
Владельцы старых Mac оказались под угрозой Не так давно мы публиковали материал, в котором рассказали про новую уязвимость в процессорах Intel. Выяснилось, что проблеме подвержены не только персональные компьютеры на Windows, но и Mac. К счастью, Apple среагировала оперативно и частично устранила уязвимость в macOS ...
Уязвимости прошлых лет по-прежнему используются для атак и представляют большую опасность Эксперты компании Fidelis Cybersecurity изучили уязвимости, наиболее популярные у злоумышленников в первом квартале 2019 года.
Система Windows Hello прошла сертификацию FIDO2 Консорциум FIDO сертифицировал Windows 10 версии 1903, которая выйдет в конце мая 2019 года. Microsoft взяла курс на полный отказ от паролей еще в 2015 году. На смену традиционного способа авторизации должна прийти технология идентификации Windows Hello. Согласно данным комп...
В блоках релейной защиты ABB исправили 10-балльный баг Специалисты «Лаборатории Касперского» обнаружили критическую ошибку в системах релейной защиты производства ABB. Как оказалось, интеллектуальные электронные устройства (ИЭУ) серии Relion 670 подвержены уязвимости, которая позволяет читать и удалять любые файлы на у...
Обзор современных протоколов в системах промавтоматики В прошлой публикации мы рассказали о том, как работают шины и протоколы в промышленной автоматизации. В этот раз сфокусируемся на современных рабочих решениях: посмотрим, какие протоколы используются в системах по всему миру. Рассмотрим технологии немецких компаний Beckhof...
5G-сети оказались уязвимы для атак разного типа В этом году в некоторых странах началось коммерческое использование сетей связи пятого поколения (5G), которые предоставляют значительно более высокую скорость соединения с минимальными задержками. Однако вопрос обеспечения конфиденциальности и безопасности пользовательских ...
Laravel: объясняем основные понятия. Часть вторая: «Практика» Всем привет! Продолжаем серию авторских публикаций в преддверии старта курса «Framework Laravel». В прошлой статье мы с вами посмотрели на теоретические основы Laravel. Однако теорию любого фреймворка можно изучать достаточно долго и ничего не понять, пока сам не напишешь н...
В Windows 10 закрыты две опасные уязвимости, найденные экспертом Positive Technologies Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений без...
Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...
Участились DDoS-атаки с использованием протокола CoAP Специалисты по защите от DDoS из Arbor Networks зафиксировали серию атак с отражением и усилением трафика (DrDoS) при помощи устройств, использующих протокол передачи данных CoAP. Подавляющее большинство таких посредников расположены в Китае и являются частью децентрализован...
Эксперты взломали пароли WiFI-сетей на основе WPA3 Независимые ИБ-исследователи Мати Ванхойф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) обнаружили серию уязвимостей в стандарте беспроводных подключений WPA3. Ошибки системы рукопожатий между точкой доступа и сетевым устройством позволяют злоумышленнику взламывать пароли WiFi-с...
Уязвимость Thunderclap делает компьютеры уязвимыми для атак через порт Thunderbolt, последние версии macOS и Windows 10 уже защищены Группа исследователей обнаружила новую уязвимость безопасности в спецификации передачи данных Thunderbolt, которая получила название Thunderclap. Данная уязвимость может сделать компьютеры открытыми для серьезных атак со стороны другого оборудования с интерфейсами USB-C или ...
В промышленном оборудовании Moxa найдено 10 уязвимостей Эксперты по промышленной безопасности US-CERT сообщили об уязвимостях коммутаторов тайваньского производителя Moxa. В подборку вошли 10 брешей, большая часть которых получила выше девяти баллов по шкале CVSS. Проблемы были обнаружены в четырех сериях свитчей Moxa: IKS-G6824A...
В Windows 10 закрыты две опасные уязвимости Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений без...
6 роутеров с поддержкой Wi-Fi 6: выбор ZOOM Wi-Fi 6 – он же 802.11ax – самый быстрый стандарт беспроводной связи, существующий на данный момент. В продаже уже начали появляться роутеры с поддержкой новой технологии – эти модели все еще достаточно дорогие, но во многом превосходят предшественников на основе Wi-Fi 5 (80...
Эксперты обнаружили очередную RDP-уязвимость в Windows Эксперты Центра реагирования на киберугрозы Университета Карнеги —Меллона предупредили об уязвимости в протоколе удаленного рабочего стола (RDP) Windows. Дыра позволяет обойти экран блокировки сеанса и получить доступ к целевому устройству с правами текущего пользователя. Ба...
Пакет обновлений SAP исправляет три критических уязвимости Компания SAP выпустила ряд патчей для своих продуктов. Немецкий разработчик бизнес-приложений исправил серьезные уязвимости, которые могли привести к обходу процедур аутентификации, несанкционированному доступу к файлам и утечке конфиденциальных данных, а также представил за...
А вы готовы к DNS flag day 2019? 1 февраля 2019 года заработают новые стандарты протокола DNS (Domain Name System, система доменных имен). Дату в сети прозвали Flag Day. Новый стандарт EDNS, работа над которым началась в 1999 году, призван решить недостатки старого протокола, он позволит использовать ...
В iOS 13 выявлена уязвимость, которая позволяет обойти экран блокировки и получить доступ к информации о контактах Выход мобильной операционной системы iOS 13 запланирован на следующую неделю. Тем не менее, исследователям по вопросам информационной безопасности уже удалось обнаружить в ней уязвимость, которая позволяет обойти экран блокировки и получить доступ к информации о всех контакт...
GraphQL Voyager как инструмент для поиска уязвимостей В настоящее время все больше компаний начинают использовать GraphQL. Это относительно новая технология (если быть более точным, то это язык запросов), которая призвана решить существующие проблемы REST. Если вы еще не знакомы с GraphQL, то рекомендую начать с ресурсов: ...
Россия лидирует по количеству киберугроз для Android Проанализировав деятельность злоумышленников и популярные схемы атак, эксперты пришли к выводу, что количество уязвимостей Android-устройств уменьшилось, однако доля действительно опасных образцов вредоносного ПО заметно возросла.Так, число мобильных угроз сократилось на 8% ...
Хакеры взломали почти тысячу онлайн-магазинов за сутки Как рассказал исследователь компании Виллем де Гроот, хакеры, очевидно, использовали автоматические инструменты атаки, поскольку достичь такой "производительности" вручную невозможно. Предполагается, что киберпреступники сканировали сайты в поисках незакрытых уязви...
[Из песочницы] Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты Привет, Хабр! Представляю вашему вниманию перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack» автора Sean Coonce. В прошлую среду я потерял более 100000 долларов. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты», котора...
Security Week 43: тайная жизнь IoT-ханипотов «Лаборатория Касперского» выпустила новое исследование атак на IoT-устройства, в котором достаточно подробно описаны как методы сбора информации о подобных атаках, так и результаты. Статистика собирается с так называемых «ханипотов — устройств, которые с разной степенью дост...
Самыми защищенными Android-версиями приложений для покупки одежды признаны MANGO, ASOS и SHEIN Популярность сервисов для покупки одежды через мобильные приложения с каждым годом набирает обороты. По оценкам экспертов аналитического агентства Data Insight, за первые 3 квартала 2018 года онлайн-ретейлеры одежды и обуви практически половину своей прибыли (47%) получ...
Потенциальные атаки на HTTPS и как от них защититься Половина сайтов использует HTTPS, и их число стабильно увеличивается. Протокол сокращает риск перехвата трафика, но не исключает попытки атак как таковые. О некоторых их них — POODLE, BEAST, DROWN и других — и способах защиты, мы расскажем в нашем материале. Читать дальше...
В Beam Wallet обнаружена критическая уязвимость Разработчики приватной криптовалюты Beam на базе протокола MimbleWimble обнаружили критическую уязвимость в кошельке Beam Wallet, затрагивающую и десктопную версию, и интерфейс командной строки. CRITICAL VULNERABILITY IN BEAM WALLET 9.1.2019 20:20 GMT Critical Vulnerability ...
Firefox и Chrome будут шифровать DNS-запросы и обходить цензуру Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес или его большую часть, что можно легко объединить с другой информацией, чтобы установить вашу личность. Из статьи Лин Кларк «DoH в картинках» На Хабре неодно...
Отравленные документы. Как использовать самые опасные баги в Microsoft Office за последнее время Для подписчиковНепропатченный Office — по-прежнему бич корпоративной безопасности и путь на компьютер пользователя: человек открывает документ и сам дает преступнику (или пентестеру) рут на своем компьютере. В этой статье мы разберем несколько далеко не новых, но в свое врем...
Cisco начинает выпуск оборудования для работы в сетях Wi-Fi 6 Cisco Systems объявила в понедельник о старте внедрения аппаратного обеспечения с поддержкой стандартов Wi-Fi следующего поколения. REUTERS/Sergio Perez В частности, компания анонсировала новые точки доступа и коммутаторы для предприятий с поддержкой Wi-Fi 6, нового стандарт...
Security Week 38: слежка за мобильными устройствами через SIM-карту Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять л...
Специалисты нашли 36 новых уязвимостей в протоколе 4G LTE Каждый раз переход на всё более новый стандарт сотовой связи означает не только повышение скорости обмена данными, но также позволяет сделать связь более надёжной и защищённой от несанкционированного доступа. Для этого берутся найденные в предыдущих протоколах уязвимости, та...
Новые уязвимости в 4G и 5G позволяют шпионить за абонентами Группа исследователей в области безопасности обнаружила уязвимости в сотовых сетях, которые позволяют злоумышленникам перехватывать звонки и отслеживать местоположение владельцев телефонов. Более того, проблемы затрагивают не только используемый повсеместно стандарт связи 4G...
Как общаются машины: протокол Modbus Протокол Modbus — самый распространенный промышленный протокол для M2M-взаимодействия. Является стандартом де-факто и поддерживается почти всеми производителями промышленного оборудования. Благодаря универсальности и открытости, стандарт позволяет интегрировать оборудовани...
Спецификации USB4 будут опубликованы в середине года Организация USB Promoter Group объявила о том, что готовится вскоре опубликовать спецификации USB4. USB4 объединит протоколы USB и Thunderbolt. В основе USB4 как раз лежит Thunderbolt 3 со скоростью передачи данных до 40 Гбит/с. Само собой, USB4 сохранит совместимость ...
Cisco вне графика пропатчила менеджер сети ЦОД Компания Cisco Systems выпустила экстренные патчи для двух критических уязвимостей в Data Center Network Manager. В обоих случаях эксплойт позволял захватить контроль над атакуемой системой. Продукт Data Center Network Manager (DCNM) предоставляет пользователям платформу для...
VMWare пропатчила баги, вскрытые в ходе Pwn2Own 2019 Компания VMware пропатчила критические уязвимости в программных продуктах Workstation, ESXi и Fusion. Баги позволяли злоумышленнику выполнить вредоносный код на устройстве, добиться отказа в обслуживании и использовать в своих целях API гостевой машины. Заплатки доступны пол...
SamsPcbGuide, часть 9: Гальваническая изоляция, безопасность и печатные платы Данная статья продолжает рассмотрение вопроса, поднятого @olartamonov, а именно, обеспечение безопасности в высоковольтных приложениях. В статье будут рассмотрены физические основы пробоя диэлектриков, а также новый стандарт безопасности. Читать дальше →
Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...
Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...
Октябрьский апдейт Android устраняет критические RCE-баги Компания Google выпустила заплатки для трех критических уязвимостей в библиотеках мультимедиа ОС Android (Media framework). Их эксплуатация позволяет злоумышленнику удаленно выполнить свой код. Совокупно октябрьский набор патчей для Android закрывает почти три десятка уязвим...
В прошлом году безопасность Марка Цукерберга обошлась Facebook в 22,6 млн долларов За прошлый год компания Facebook более чем удвоила расходы на обеспечение безопасности генерального директора Марка Цукерберга (Mark Zuckerberg). В течение последних трех лет Цукерберг получал базовый оклад 1 доллар, а компенсации по статье «другое» ...
Безопасный Wi-Fi? Что нового в WPA3 В июне 2018-го года объединение крупнейших производителей беспроводных устройств WECA, более известные как Wi-Fi Alliance, представило новый протокол безопасности WPA3. Давайте разберемся, чем новый протокол защиты беспроводной связи Wi-Fi отличается от предыдущих и когда он...
Самая небезопасная ОС. Как популярность iOS ставит ее пользователей под угрозу Для подписчиковМы много писали о безопасности мобильной ОС Apple и о том, как отдельные уязвимости системы можно использовать для доступа к информации. И в каждой такой статье звучала мысль: несмотря на отдельные недостатки, iOS у Apple получилась грамотно спроектированной и...
Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...
Google выпускает криптографический ключ на USB-C. На что он способен? Обеспечение «цифровой безопасности» крайне важно в наши дни В последние годы Google является одним из ключевых игроков в разработке самых разных технологий и стандартов, связанных с двухфакторной аутентификацией (2FA). Помимо того, что вы можете использовать свои у...
Устанавливаем GUI на Windows Server Core В прошлом нашем посте мы рассказали как готовим стандартные клиентские виртуальные машины и показали на примере нашего нового тарифа Ultralight за 120 рублей, как мы создавали стандартный образ Windows Server 2019 Core. В службу поддержки стали поступать заявки как работать...
Apple не пожалеет миллион за выявление критической уязвимости в iPhone Компания объявила о рекордном вознаграждении, которое смогут получить специалисты в области информационной безопасности за найденные пробелы в киберзащите.
Лучшие программы для взлома Wi-Fi сетей Android-смартфон способен на многое. В том числе и на то, чтобы взломать беспроводную сеть В одном из наших предыдущих материалов мы уже рассказывали вам о лучших хакерских приложениях. Чтобы не пропускать такие материалы — подпишитесь на наш канал в Телеграм, если эта...
Facebook пропатчила Fizz — свою реализацию протокола TLS Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалис...
DDoS-бот Godlua использует DoH для сокрытия трафика Новый Linux-зловред проникает на серверы Confluence с помощью эксплойта, открывает бэкдор и ждет команд на проведение DDoS-атаки. Отличительная черта Godlua, как его называют в Qihoo 360, — использование протокола DoH (DNS поверх HTTPS) для получения URL центра управления из...
Ученые обнаружили уязвимость AKA-протокола мобильной связи Команда европейских исследователей обнаружила брешь в протоколе аутентификации и согласования ключа (Authentication and Key Agreement, AKA). Проблема ставит под угрозу пользователей нового поколения мобильной связи 5G и распространяется на сети 3G и 4G. По словам специалисто...
[Перевод] Фаззинг в стиле 1989 года С наступлением 2019 года хорошо вспомнить прошлое и подумать о будущем. Оглянемся на 30 лет назад и поразмышляем над первыми научными статьями по фаззингу: «Эмпирическое исследование надёжности утилит UNIX» и последующей работой 1995 года «Пересмотр фаззинга» того же автора ...
Новая критическая уязвимость в ОС Windows может вызвать эпидемию масштаба WannaCry и Petya Cогласно информации, предоставленной компанией Microsoft, для успешной атаки злоумышленнику необходимо лишь иметь сетевой доступ к компьютеру или серверу с уязвимой версией операционной системы Windows. Для эксплуатации уязвимости злоумышленнику достаточно отправить специаль...
[Перевод] Лямбды: от C++11 до C++20. Часть 1 Добрый день, друзья. Сегодня мы подготовили для вас перевод первой части статьи «Лямбды: от C++11 до C++20». Публикация данного материала приурочена к запуску курса «Разработчик C++», который стартует уже завтра. Лямбда-выражения являются одним из наиболее мощных дополнений...
Разработчики SAP выпустили 14 патчей для своих систем Разработчики SAP выпустили сентябрьский пакет исправлений, куда вошли 14 патчей. Четыре из них пришлись на критические уязвимости, включая два дополнения к выпущенной ранее заплатке для SAP Diagnostics Agent. Критически важные доработки SAP Diagnostics Agent Об уязвимости CV...
Уязвимости в ПО 4G-роутеров позволяют получить полный контроль над устройством Исследователь под ником "g richter" из Pen Test Partners поделился сведениями об ошибках, обнаруженных в устройствах 4G, во время конференции хакеров DEF CON в августе этого года. Он заявил, что многие существующие модемы и маршрутизаторы 4G небезопасны - при этом ...
Kaspersky о безопасности решений для удаленного доступа Эксперт «Лаборатории Касперского» Павел Черемушкин изучил безопасность промышленных систем удаленного доступа (Virtual Network Computing, VNC). В результате исследования в четырех таких решениях было обнаружено 37 уязвимостей, многие из которых годами переходят из ...
Вышли февральские патчи для продуктов SAP На этой неделе компания SAP выпустила набор заплаток, закрывающий 14 брешей в разных ERP-продуктах. Разработчик также внес коррективы в три ранее выпущенных патча. Из новых уязвимостей одна признана критической, три — очень опасными. Февральский список самых серьезных пробле...
Aruba представила разработки в области сетевой безопасности и мобильности на базе ИИ Aruba, компания Hewlett Packard Enterprise, объявила о выходе новой линейки беспроводных точек доступа стандарта …
Вышло первое обновление безопасности для Android 10 В нем исправлено 49 критических уязвимостей
Новая уязвимость Spoiler затрагивает все поколения процессоров Intel Core Исследователи из Вустерского политехнического института в Массачусетсе и университета в Любеке (Германия) опубликовали документ, в котором рассказали о новой уязвимости процессоров Intel. Уязвимость получила имя «Spoiler» и она не относится к уязвимостям Spectre и Meltdown, ...
Gmail начал поддерживать новый стандарт безопасности MTA-STS Почтовый сервис Gmail внедрил поддержку нового стандарта безопасности MTA-STS. Об этом сообщается в блоге G Suite Updates. SMTP MTA Strict Transport Security (MTA-STS) – это новый интернет-стандарт, который повышает безопасность электронной почты, требуя аутентификации и без...
Watchbog атакует Linux-серверы через дыры в Jira и Exim ИБ-исследователь из Intezer Labs обнаружил новую версию трояна Watchbog, загружающего на Linux-серверы майнер Monero (XMR). Доставка зловреда осуществляется через уязвимости в ПО Atlassian Jira и почтовом агенте Exim. По данным поисковиков Shodan и BinaryEdge, угроза актуаль...
Security Week 47: нетривиальные уязвимости В прошлом году у нас уже был дайджест про нетривиальные атаки. Тогда речь шла про DoS-атаку на ПК через акустическое воздействие на жесткий диск и кражу пользовательских данных через хак со стилями CSS. А на прошлой неделе как раз было опубликовано два исследования про уязви...
Microsoft сообщает о новых игровых функциях в Windows 10 May 2019 Update Обновление Windows 10 May 2019 Update постепенно появляется в первой волне совместимых устройств. Среди различных функций, таких как Windows Sandbox и светлой темы, Windows 10 версии 1903 также представляет новую функцию для геймеров.Последнее обновление Windows 10 версии 19...
Как создать приложение для сферы финансов: 5 API в помощь разработчику Всем привет! Продолжаю свое исследование сферы финансов с точки зрения технологий. В прошлом материале мы изучали существующие торговые терминалы и их особенности, а сегодня предлагаю поговорить, собственно, о разработке финансовых приложений. Для нового топика я подобра...
Камера в смартфонах Google Pixel и Samsung может тайно шпионить за пользователями Камера вашего смартфона может устанавливать за вами слежку, пусть и не без посторонней помощи Android – одна из немногих — если вообще не единственная – операционных систем, чей недостаток обратился в преимущество. Благодаря несовершенствам платформы Google может кажды...
Онлайн-банки не прошли проверку на безопасность Эксперты Positive Technologies обнаружили серьезные проблемы безопасности во всех существующих онлайн-банках, из которых более 60% содержат критические уязвимости. Существующие бреши грозят потерей денежных средств и раскрытием конфиденциальных данных. По словам специалистов...
Уязвимости URGENT/11 угрожают безопасности сотен миллионов устройств 11 уязвимостей в VxWorks (RTOS), получившие общее название URGENT/11, представляют опасность для IoT-устройств, SCADA, критически важных систем и различного оборудования, включая медицинское.
В протоколе Tendermint обнаружена критическая уязвимость В протоколе Tendermint Core, на базе которого работает кроссплатформенная блокчейн-платформа Cosmos, обнаружена критическая уязвимость. Recently, a high-severity security vulnerability that impacts all versions of Tendermint Core was reported. A non-breaking patch for the is...
ESET: каждая пятая уязвимость в iOS является критической Компания ESET обнародовала результаты исследования, посвящённого безопасности мобильных устройств под управлением операционных систем семейства Apple iOS.
Уязвимость в Drupal уже эксплуатируют хакеры Критическую уязвимость в CMS Dripal, обнаруженную в конце прошлой недели, уже атакуют злоумышленники. На уязвимые сайты устанавливают криптовалютный майнер.
В Jira Service Desk нашли критические уязвимости и Jira Service Desk Data Center, устранив угрозу раскрытия информации. Злоумышленники могли воспользоваться двумя багами, чтобы получить важные данные о корпоративной инфраструктуре и выполнить сторонний код. Уязвимости CVE-2019-14994 и CVE-2019-15001 позволяли проводить ата...
Обновленная брешь POODLE угрожает тысячам веб-ресурсов Специалист компании Tripwire Крейг Янг (Craig Young) повысил вредоносный потенциал уязвимости POODLE. По словам исследователя, даже спустя пять лет после обнаружения угроза актуальна для множества организаций по всему миру, а предложенные им методы ускоряют атаку и повышают ...
Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...
ITV|AxxonSoft интегрировала в «Интеллект» контроллер Axis A1001 В платформу безопасности «Интеллект» добавлена поддержка сетевого дверного контроллера Axis A1001. Это первое устройство, интегрированное в программное обеспечение ITV | AxxonSoft по стандарту ONVIF Profile C, который разработан для систем контроля доступа на основе I...
Подробности реализации протоколов RSTP и проприетарного Extended Ring Redundancy В сети можно найти много материалов про протокол RSTP. В рамках данной статьи я предлагаю сравнить протокол RSTP с проприетарным протоколом от Phoenix Contact – Extended Ring Redundancy. Читать дальше →
Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726 Изображение: Pexels С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельнос...
Новые слухи о зеленом и лавандовом цветах для iPhone XR 2019 года На прошлой неделе японский блог Mac Otakara заявил, что версия iPhone XR 2019 года будет доступна в новых цветах Green и Lavender, а существующие цвета Blue и Coral будут прекращены. Белый, черный, желтый и красный (Product Red) будут как обычно. Репортер Bloomberg Марк Гурм...
Нейтрализована волна DDoS-атак на российский платёжный сервис QIWI В четверг, 24 января, платежный сервис QIWI подвергся DDoS-атаке скоростью 200 Гбит/сек (~10 миллионов пакетов в секунду) в пике с комбинацией векторов LDAP-амплификации и SYN-флуда.Техника атаки типа Amplification (усиление) заключается в том, что на сервер, содержащий серв...
SAP опубликовала апрельский набор заплаток Разработчики SAP выпустили очередной пакет обновлений, который устраняет несколько серьезных уязвимостей как собственных продуктов компании, так и их сторонних компонентов. Опубликованные патчи защищают пользователей от утечек информации и прочих вмешательств в работу корпор...
В России разработан стандарт протокола LoRaWAN для рынка IOT Технический комитет «Кибер-физические системы» представил проект предварительного национального стандарта «Информационные технологии. Интернет вещей. Протокол обмена для высокоемких сетей с большим радиусом действия и низким энергопотреблением».
IT-компании объединили усилия для защиты промышленности Более 10 технологических компаний, включая Microsoft, BlackBerry Cylance, Fortinet и Splunk Tecnology, создали альянс для укрепления безопасности в промышленных инфраструктурах. Эксперты объединения, названного Operational Technology Cyber Security Alliance (OTCSA), займутся...
Победа на PHDays 9. Делимся лайфхаками в трёх частях. Часть 2 Всем привет! Меня зовут Виталий Малкин. Я руководитель отдела анализа защищённости компании «Информзащита» и по совместительству капитан команды True0xA3. Чуть больше недели назад мы победили в одном из самых престижных соревнований белых хакеров в СНГ. В прошлой статье (есл...
Исправление уязвимости Intel ZombieLoad снижает производительность процессоров Новая обнаруженная уязвимость в процессорах Intel позволяет злоумышленникам получать доступ к конфиденциальной информации. Атака получила название ZombieLoad. Суть уязвимостиНовая уязвимость была обнаружена в процессорах Intel учеными из Технологического университета…
Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7 Уязвимости в iOS мы обсудили на прошлой неделе, пришла очередь уязвимостей в Android. Четвертого сентября информацию о проблеме в Android опубликовали исследователи из Zero Day Initiative (новость, бюллетень), причем на момент публикации она так и не была закрыта. В выпущенн...
В среде разработки CoDeSyS нашли десятибалльную уязвимость В инструменте программирования промышленных контроллеров CoDeSys V3 немецкой компании 3S-Smart Software Solutions GmbH нашли критическую уязвимость, которая дает злоумышленнику возможность вызвать состояние отказа в обслуживании, удаленно выполнить любой код или получить дос...
Binance сертифицирована по международному стандарту безопасности Криптовалютная биржа Binance объявила, что прошла сертификацию на соответствие стандарту управления информационной безопасностью ISO/IEC 27001. #Binance has received ISO27001 accreditation, certified by the DNV & UKAS, two world-renowned international accreditation bodie...
Безопасность IoT остается серой зоной для компаний Почти половина компаний оказалась не в состоянии отследить уязвимости в используемых IoT-устройствах. Бизнес призывает власти создать единые стандарты безопасности, которые защитят как сами организации, так и их клиентов. Таковы результаты исследования компании Gemalto, охва...
Инженер Google обнаружила критическую уязвимость в iMessage Инженер по вопросам безопасности Google Project Zero Наталья Сильванович обнаружила критическую уязвимость в iMessage, через которую можно было получить доступ к данным, хранимым на iPhone. Всего за период с апреля по июнь 2019 года Наталья и её коллега, Samuel Groß, нашли ...
Стандарт памяти LPDDR5 наконец утверждён. Смартфоны станут ещё быстрее Комитет инженерной стандартизации полупроводниковой продукции (JEDEC) обновила стандарт памяти LPDDR5, которая найдёт применение в мобильных устройствах, ноутбуках и автомобильных системах. Говоря о характеристиках, в первую очередь стоит отметить возросшую скорость пер...
Безопасность IoT. Выпуск 1. Умные часы, фитнес-трекеры и весы В своей прошлой статье я рассказывал, как съездил на DefCamp. Сегодняшняя статья — первая часть публикации о моих исследованиях в области безопасности интернета вещей, которые легли в основу выступления на конференции. IoT быстро развивается: сейчас насчитывается более 260...
Исследователи научились шпионить за пользователями Android Исследователи обнаружили возможность следить за владельцами Android-смартфонов и скрытно управлять их устройствами. Под угрозой владельцы как минимум 10 моделей телефонов, включая Google Pixel 2, Huawei Nexus 6P и Samsung Galaxy S8+. Проблема содержится в системном интерфейс...
Ключи от домена: у всех российских банков обнаружены пробелы в защите Подавляющее большинство российских банков не соответствуют даже базовым требованиям к настройке безопасности веб-ресурсов. Нынешний уровень их защиты позволяет преступникам рассчитывать на результативные атаки и доступ к персональным данным клиентов. Такой вывод можно сделат...
Apple сделала macOS Catalina доступной для всех Разработчики macOS сделали общедоступной очередную версию своей системы для настольных компьютеров и ноутбуков. Пользователи получат расширенные возможности для интеграции устройств, разработанных Apple, новые мультимедийные и игровые сервисы, а также дополнительные функции ...
Шифруйся грамотно! Изучаем перспективные мессенджеры для приватной переписки Для подписчиковТайна переписки заботит не только тру-хакеров, но и миллионы простых пользователей, которые совсем не хотят, чтобы их интимные фотки стали достоянием общественности. В прошлой статье мы исследовали приватность и безопасность самых популярных мессенджеров. Наст...
Electronic Arts устранила критическую брешь в клиенте Origin Компания Electronic Arts исправила брешь в игровой платформе Origin. Баг затронул только компьютеры под ОС Windows и позволял злоумышленникам повысить привилегии до уровня авторизованного пользователя. Патч для этой уязвимости был выпущен в понедельник, 15 апреля. Дейли Би (...
В Apple News+ нашли первую серьёзную уязвимость В ходе вчерашнего мероприятия, Apple представила обновленный новостной агрегатор Apple News+. Компания сумела договориться с многими популярными новостными изданиями и журналами, и теперь все они будут доступны для чтения на iPhone, iPad и Mac в рамках одного приложения. Пр...
Разработчики Zcash сообщили об устранении критической уязвимости в 2018 году Zcash Company, стоящая за разработкой криптовалюты Zcash, раскрыла детали уязвимости, которая позволяла злоумышленникам создавать в неограниченном количестве несуществующие монеты ZEC. Согласно отчету в блоге компании, 1 марта 2018 года назад криптограф Zcash Ариэль Габизон ...
0-day в Chrome использовали вместе с уязвимостью в Windows 7 Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно на прошлой неделе, с уязвимостью нулевого дня в Windows 7.
Microsoft пропатчила уже обнародованные уязвимости Июньский набор обновлений для продуктов Microsoft устраняет 88 уязвимостей; более 20 из них признаны критическими. Вендор также закрыл четыре бреши в Windows, уже ставшие достоянием общественности. Несмотря на это, они оценены как существенные; данных об их использовании в а...
В списке целей ботнета GoldBrute более 1,5 млн хостов Ботнет GoldBrute атакует хосты с открытым RDP-доступом и угрожает более чем 1,5 млн устройств. К такому выводу пришли ИБ-специалисты, которым удалось изучить код вредоносной программы и результаты сканирования потенциально уязвимых портов, а также список логинов и паролей дл...
В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...
HTTP/3: разрушение основ и дивный новый мир Вот уже больше 20 лет мы смотрим веб-странички по протоколу HTTP. Большинство пользователей вообще не задумывается о том, что это такое и как оно работает. Другие знают, что где-то под HTTP есть TLS, а под ним TCP, под которым IP и так далее. А третьи – еретики считают, что ...
Microsoft рассказала о разработке приложений для устройств с двумя экранами В прошлом месяце Microsoft поделилась своим видением устройств с двумя экранами, представив миру Surface Neo и Surface Duo. Они разработаны для того, чтобы помочь людям повысить эффективность работы на мобильных форм-факторах. Теперь же компания поделилась первой информацие...
Первый взгляд на новый Microsoft Surface Pen с беспроводной зарядкой Уже завтра, 2 октября, состоится грандиозное мероприятие Microsoft, посвящённое анонсу новых устройств Surface. Впрочем, прошлой ночью в сеть утекло большое количество рендеров, так что мы смогли познакомиться с Surface Pro, Surface Pro с процессором ARM и Surface Laptop 3....
Комбо для Drupal. Как захватить сайт с Drupal, используя новые уязвимости Для подписчиковВ этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на не...
В системе подсветки Gigabyte RGB Fusion найдена уязвимость Специалист по компьютерной безопасности Грэхем Сазерлэнд обнаружил критическую уязвимость в программном обеспечении Gigabyte RGB Fusion, которое используется для настройки системы подсветки на совместимых материнских платах, видеокартах и периферийном оборудовании. Как он об...
Siemens залатала критические баги в своих продуктах Компания Siemens представила майский комплект обновлений безопасности, в который вошли девять новых патчей и четыре доработанные версии ранее выпущенных заплаток для продуктов вендора. Наиболее серьезные уязвимости закрыты в прошивке коммутаторов SCALANCE, ПО логических конт...
iOS 12.2 оказалась уязвима перед хакерами Apple регулярно рассказывает нам о высокой защищённости своей мобильной операционной системы. Эти заявления не являются голословными: компания действительно совершенствует программные и аппаратные механизмы защиты, и как результат — хакерам всё сложнее выполнить проце...
Эксперты нашли следы EternalBlue в атаке на Балтимор Вымогатели, которые в начале мая атаковали Балтимор, по данным ИБ-экспертов, воспользовались уязвимостью EternalBlue. Инцидент произошел 7 мая, однако город до сих пор разбирается с последствиями атаки, не желая платить выкуп в несколько десятков тысяч долларов. Злоумышленни...
В Win32k закрыты еще две уязвимости, замеченные в атаках В рамках апрельского «вторника патчей» Microsoft устранила две уязвимости в Win32k, уже используемые в реальных атаках. Схожие проблемы, связанные с этим системным компонентом, разработчик уже решал, притом всего месяц назад. Текст бюллетеней, посвященных брешам CV...
Oracle выпустила экстренные патчи для уязвимости в WebLogic, которую уже атакуют хакеры В минувшие выходные специалисты зафиксировали новую волну атака на серверы Oracle WebLogic. Злоумышленники использовали свежую уязвимость нулевого дня.
Вскрытая камера. Как искать уязвимости в «умных» гаджетах на примере популярной IP-камеры Для подписчиковЗа последние несколько лет все чаще обсуждается проблема безопасности домашних гаджетов. Этичные хакеры тоже исследуют все больше девайсов — обычно с неутешительными выводами. В этой статье я покажу все этапы проверки хардверной безопасности на примере распрос...
Intel пыталась купить молчание исследователей, обнаруживших новые уязвимости в ее процессорах Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; прои...
Решение задания с pwnable.kr 08 — leg, и 10 — shellshock. ARM ассемблер. Уязвимость bash В данной статье вспомним синтаксис ARM ассемблера, разберемся с уязвимостью shellshock, а также решим 8-е и 10-е задания с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьют...
В Android исправлены две критические RCE-уязвимости Инженеры Google представили апрельский набор патчей для Android. Сразу несколько уязвимостей получили статус критических и две из них позволяют выполнить произвольный код.
Клиенты Cloudflare получили доступ к HTTP/3 Облачный провайдер Cloudflare, который обеспечивает работу около 10% существующих интернет-ресурсов, открыл для своих клиентов возможность использовать протокол HTTP/3. Владельцы доменов, размещенных на инфраструктуре Cloudflare могут включить соответствующую опцию в панели ...
Посмотрел на картинку — помог хакеру: Google обнаружила в Android новую серьёзную уязвимость Компания Google обнаружила в операционной системе Android серьёзную уязвимость, позволяющую при желании запустить на чужом смартфоне произвольный код. Для этого требуется всего лишь картинка. Конечно, не всё так просто. На самом деле нужен специальным образом сконфигури...
Эксперты составили черный список уязвимых плагинов Magento Независимый исследователь Уиллем де Грут (Willem de Groot) вместе с другими специалистами запустил репозиторий небезопасных расширений CMS Magento. На момент публикации в хранилище собрано более 60 плагинов. Инициатива призвана помочь веб-администраторам устранить уязвимости...
В роутерах Cisco ASR 9000 закрыта опасная уязвимость Компания Cisco Systems пропатчила критическую уязвимость в сервисных маршрутизаторах серии ASR 9000. Согласно бюллетеню, атака через эту лазейку позволяет получить доступ к устройству на уровне администратора, а также вызвать на нем состояние отказа в обслуживании. Уязвимост...
Security Week 26: спам в сервисах Google Чаще всего в наших еженедельных дайджестах мы обсуждаем какие-то новые факты или события, связанные с информационной безопасностью. В некоторых случаях такие открытия представляют чисто теоретический интерес: например, уязвимости типа Spectre в современных процессорах вряд л...
Разбираем уязвимости проверки сертификатов SSL/TLS в небраузерном софте Первоначально разработанный для браузеров, SSL/TLS-протокол позже стал стандартом де-факто вообще для всех защищенных интернет-коммуникаций. Сейчас он используется для удаленного администрирования виртуальной инфраструктуры, развернутой в облаке, для передачи платежных рекв...
BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...
Около миллиона машин уязвимы к атакам BlueKeep Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот ...
Apple впервые будет транслировать Special Event на YouTube Это первый раз, когда Apple будет транслировать в прямом эфире одно из своих ключевых событий на YouTube. Такой шаг значительно расширит доступ к событию на всех платформах и сможет привлечь новую аудиторию. В прошлом году Apple предложила пользователям живое видео в Twitter...
Уязвимость в соцсети «ВКонтакте» привела к волне спама Пользователи «ВКонтакте» столкнулись со спамерской атакой, построенной на не известной ранее уязвимости. По имеющимся сведениям, организаторы кампании пытались отомстить администрации соцсети за отказ платить по программе bug bounty. Вечером 14 февраля по «ВКо...
[Перевод] Руководство для начинающих по SELinux Перевод статьи подготовлен для студентов курса «Безопасность Linux» SELinux или Security Enhanced Linux — это улучшенный механизм управления доступом, разработанный Агентством национальной безопасности США (АНБ США) для предотвращения злонамеренных вторжений. Он реализует ...
Взгляд изнутри: аспирантура в EPFL. Часть 4.1: повседневная жизнь Посещая любую страну важно не путать туризм с эмиграцией. Народная мудрость В прошлых статьях (часть 1, часть 2, часть 3) мы затронули тему профессиональную, что ждёт молодого и ещё зелёного выпускника ВУЗа при поступлении, а также во время обучения в Швейцарии. Следующая ч...
Microsoft отказывается исправлять уязвимость в Windows 10 Mobile Microsoft прекратила разработку операционной системы Windows 10 Mobile, что означает, что пользователи больше не получают важные обновления, но обновления для системы безопасности по-прежнему предоставляются каждый вторник исправлений. Windows 10 Mobile все еще существует, н...
Qualcomm представила новый датчик 3D Sonic Max, который может серьезно повысить безопасность смартфонов В прошлом году компания Qualcomm придерживалась подхода, отличного от остальной индустрии смартфонов, когда она анонсировала встроенный в дисплей сенсор 3D Sonic. Вместо того, чтобы полагаться на оптическое изображение вашего пальца для аутентификации, система 3D Sonic испол...
[Перевод] Работа над PEG на Core Developer Sprint В этой статье я не буду рассказывать о новых фичах генератора парсера — я достаточно описал его в предыдущих частях. Вместо этого хочу рассказать что я делал на Core Developer Sprint на прошлой неделе, прежде чем всё сотрётся из моей памяти. Хотя большая часть материала так ...
Разработчики Intel закрыли 77 багов, включая ZombieLoad v2 Компания Intel выпустила очередной пакет обновлений, куда вошли заплатки к 77 уязвимостям. Пользователей защитили от утечек системных данных, взлома аутентификационных ключей и потери контроля над Windows-устройствами. Уязвимости TPM-FAIL Две проблемы обнаружились в модулях ...
Аппаратный CTF. Легкий способ узнать ключ шифрования, когда у тебя под рукой осциллограф и ноутбук Для подписчиковХардварные crackme в этом сезоне снова набирают популярность. Их полюбили организаторы профильных конференций, и они все чаще встречаются в тематических конкурсах. В этой статье мы разберем один из реальных прошлогодних примеров и заодно узнаем, как выглядит а...
В системе умного дома Fibaro обнаружены критические уязвимости Наиболее серьёзными оказались проблемы в облачной инфраструктуре устройства, а также потенциальная возможность удалённого исполнения вредоносного кода. С помощью этих программных уязвимостей злоумышленник может получить права суперпользователя и начать манипулировать системо...
Adobe устранила серьезные баги в Connect и Digital Edition В рамках первого в новом году «вторника патчей» в Adobe Digital Edition и Adobe Connect закрыты две бреши; их степень опасности оценена как существенная. Согласно бюллетеню Adobe, уязвимость CVE-2018-12817 в программе для чтения электронных книг появилась из-за воз...
USB4 увеличит скорость передачи данных по кабелям USB Type-C до 40 Гбит/с Только на прошлой неделе мы писали про стандарт USB 3.2, который может появиться в устройствах до конца текущего года, а USB Promoter Group уже заговорила о USB4 со скоростью передачи данных 40 Гбит/с. Архитектура USB4 определяет метод совместного динамического использования...
Баги в CMS Magento позволяют перехватывать онлайн-платежи Специалисты по информационной безопасности рассказали об опасных уязвимостях в CMS Magento, эксплуатация которых позволяет злоумышленникам перехватывать платежные операции и красть данные банковских карт покупателей онлайн-магазинов. Разработчики залатали ошибки в актуальных...
Не очередной язык программирования В последнее время на рынке появилось огромное количество новых языков программирования: Go, Swift, Rust, Dart, Julia, Kotlin, Hack, Bosque – и это только из числа тех, которые на слуху. Ценность того, что эти языки привносят в мир программирования, тяжело переоценить, но,...
Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...
[Перевод] Предложения относительно уязвимостей и защиты моделей машинного обучения В последнее время эксперты все чаще затрагивают вопрос безопасности моделей машинного обучения и предлагают различные способы защиты. Самое время детально изучить потенциальные уязвимости и средства защиты в контексте популярных традиционных систем моделирования, таких как...
Google выпустила первое обновление Android в этом году Компания Google представила январское обновление безопасности, распространение которого уже началось среди владельцев смартфонов линейки Google Pixel, а значит, в скором времени оно станет доступно для установки на аппараты сторонних производителей. Апдейт, ставший первым в...
Атака на хостинг. Как я раскрутил эскалацию привилегий в Plesk Для подписчиковРут на shared-хостинге — не обязательно публичная уязвимость в ядре Linux. В этой статье будет разобрана уязвимость в популярной хостинг-панели Plesk, позволяющая повысить привилегии на хостинговом сервере и получить доступ ко всем соседям.
Критический баг в SAP NetWeaver позволял угнать приложение Компания SAP выпустила августовский комплект патчей, исправляющий 13 уязвимостей в продуктах вендора. Три новых бага и одно обновление для уже внедренной заплатки получили критический рейтинг угрозы. Серьезные проблемы исправлены в сервере Java-приложений NetWeaver, решении ...
Фишинг стал главной угрозой 2018 года Такие данные опубликовала компания Trend Micro Incorporated в Ежегодном обзоре кибератак , с которыми компании по всему миру столкнулись в 2018 году. "Каждые пару-тройку лет ландшафт угроз радикально меняется, поэтому даже самые инновационные подходы к защите стремитель...
Баг в BMC-контроллерах позволяет переписать их прошивку Серьезную уязвимость, связанную с реализацией AHB-мостов контроллеров удаленного доступа, обнаружил ИБ-специалист Стюарт Смит (Stewart Smith) из IBM Linux Technology Center. Баг затрагивает ряд устройств различных производителей и позволяет злоумышленникам изменять конфигура...
Смартфоны на платформе Android уязвимыми для продвинутых фишинговых SMS-атак Нужно всего одно SMS-сообщение, чтобы получить полный доступ к электронной почте жертвы. Получатель SMS-сообщения не может проверить, приходят ли настройки от его сотового оператора или от мошенников. Самое опасное, что любой может купить USB-ключ за 10 долларов и провести м...
В 32% расширений для Chrome нашли проблемы с безопасностью Почти треть приложений и расширений для Chrome используют уязвимые сторонние библиотеки. К такому выводу пришли специалисты Duo Labs после анализа более чем 120 тыс. плагинов, представленных в Интернет-магазине Chrome. Как выяснили аналитики, большинство дополнений к браузер...
Внутри у самых глубоководных существ нашли пластик Jamieson et al., RSOS, 2019 Группа британских исследователей отправила специальные аппараты в шесть наиболее глубоких океанических областей, в том числе и в Бездну Челленджера в Марианской впадине, самую глубокую точку планеты. Каждый из аппаратов оснащался оборудование...
Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблем...
«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак Пока визионеры разного масштаба, авторы сценариев антиутопических фильмов и хайтек-сериалов и прочие выдумщики и алармисты рисуют разной степени убедительности картины о восстании «умных» устройств или применении смарт-дома как орудия убийства или терроризма, специалисты по...
Взломщики эксплуатируют уязвимости в WordPress-плагине Злоумышленники используют бреши в плагине YellowPencil, установленном на более чем 30 тыс. сайтов на базе WordPress. Создатель расширения просит владельцев веб-ресурсов срочно установить обновление. По словам исследователей, за атаками стоят те же преступники, которые в тече...
Суровая практика: как сделать Wi-Fi сеть в городском парке В прошлом году у нас был пост про проектирование общественного Wi-Fi в гостиницах, а сегодня мы зайдем с другой стороны и расскажем о создании Wi-Fi сетей на открытых пространствах. Казалось бы, что тут может быть сложного — бетонных перекрытий нет, а значит, можно раскидать...
Microsoft устранила два бага 0-day, замеченные в атаках Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фрей...
[Перевод] Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 1 Привет, я Зак Фейзел, я буду говорить быстро, если будет слишком быстро, можете меня притормозить. Днём я пентестер, ночью диджей и фотограф, меня можно найти в «Твиттере» по нику @zfazel. Люди всегда спрашивают меня насчёт дипломов. Я не из тех людей, которые перечисляют ку...
Cisco залатала девятибалльную дыру в DNA Center Компания Cisco представила очередной комплект патчей для своих продуктов. В набор вошли апдейты, закрывающие 26 уязвимостей, три из которых имеют критический уровень опасности. Заплатки получили сетевое решение SD-WAN, центр управления платформой Digital Network Architecture...
Ученые обнаружили 36 уязвимостей в стандарте LTE Исследователи из Южной Кореи выявили три дюжины брешей в стандарте передачи данных LTE, который используется в большинстве мобильных устройств для подключения к Интернету. Уязвимости позволяют злоумышленникам добиваться отказа в обслуживании, отслеживать местоположение жертв...
Баг в защитном решении Cisco грозит постоянным DoS Компания Cisco закрыла две серьезные уязвимости, затрагивающие Email Security Appliance (ESA) — комплекс средств для обеспечения безопасности электронной почты. Эксплойт в обоих случаях позволяет вызвать состояние отказа в обслуживании и осуществляется через отправку вредоно...
Более 20 тысяч владельцев Oracle EBS под угрозой PayDay Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформ...
Microsoft закрыла две уязвимости, используемые в атаках Длинный список проблем, устраняемых сентябрьским набором патчей для продуктов Microsoft, содержит две уязвимости нулевого дня, уже взятые на вооружение злоумышленниками. Им присвоены идентификаторы CVE-2019-1214 и CVE-2019-1215; первая найдена в Windows-драйвере Common Log F...
Adobe исправила опасные ошибки в Acrobat и Flash Player Компания Adobe выпустила обновления для Flash Player и Acrobat / Reader, закрыв в числе прочих критические уязвимости, грозящие исполнением вредоносного кода. Совокупно новый набор плановых патчей компании устраняет 87 уязвимостей. Основная масса этих проблем (84) содержится...
Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам WannaCry, NotPetya, BadRabbit и другие — вирусы-шифровальщики, которые гремели на весь мир ещё около года-двух назад. Сегодня об атаках таким типов вирусов шума меньше, но истории с атаками всё равно происходят. В этой статье я покажу один из инструментов для остановки ата...
[Перевод] Последствия переписывания компонентов Firefox на Rust В прошлых статьях цикла мы обсудили безопасность памяти и безопасность потоков в Rust. В этой последней статье посмотрим на последствия реального применения Rust на примере проекта Quantum CSS. Движок CSS применяет правила CSS на странице. Это нисходящий процесс, который с...
Компания Apple подтвердила блокировку батарей iPhone и объяснила ее причину Как известно, Apple препятствует замене аккумулятора в современных смартфонах iPhone, программным путем блокируя доступ к сведениям о состоянии батареи, если замена произведена не в собственном сервисном центре Apple или не в авторизованном сервисном центре. Это касаетс...
Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА? Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последст...
Во всех устройствах Apple и Microsoft обнаружена уязвимость Bluetooth, Android оказался непробиваем Несмотря на постоянное совершенствование, протокол и устройства на основе технологии Bluetooth всё ещё богаты на уязвимости. Вчера на 19-й по счёту конференции Privacy Enhancing Technologies Symposium группа исследователей по безопасности из Университета Бостона поделилась и...
Джед Маккалеб: 90% существующих криптовалютных проектов — полное дерьмо Сооснователь протокола Stellar и технический директор компании Interstellar Джед Маккалеб считает, что большинство финансовых институтов не будут использовать биткоин, однако по-прежнему выступает в поддержку открытых и публичных блокчейнов. Об этом он сказал в интервью Yaho...
Польше не по карману отказ от оборудования Huawei для сетей 5G Польша вряд ли исключит все оборудование Huawei из своих мобильных сетей следующего поколения, заявил агентству Reuters министр правительства. В частности, это будет сделано во избежание увеличения расходов для операторов мобильной связи. Как неоднократно сообща...
Ноябрьские патчи SAP Компания SAP SE выпустила набор патчей, устраняющий 11 уязвимостей в девяти продуктах. Степень опасности одной из новых проблем оценена как высокая, остальных — как умеренная. Разработчик также обновил бюллетени, посвященные критическим уязвимостям в программах Business Clie...
«Яндекс» и сайты некоторых СМИ пострадали от DNS-атаки из Роскомнадзора Специалистам хорошо известно, что в механизме блокировок есть серьёзная уязвимость, допускающий внедрение в реестр блокировки произвольных IP-адресов. Для проведения атаки нужно ввести в DNS-записи любого заблокированного домена целевые IP-адреса, которые вы хотите «заблокир...
Лучшее из опыта создания чистых и быстрых Angular приложений На написание этой статьи сподвигли поиски JavaScript front-end разработчиков в свою компанию в Ставрополе. Т.к. длительное время не удавалось найти толкового программиста и тогда мы решили запустить программу стажировки с большим количеством обучающего материала по Angular &...
Киберпреступники вновь атакуют сайты на Drupal Специалисты компании Akamai Technologies выяснили, что злоумышленники все еще пользуются уязвимостью Drupalgeddon2, пропатченной полтора года назад. Исследователи обнаружили следы атак в журналах сканеров безопасности, а также провели анализ полезной нагрузки, найденной на о...
Критическая уязвимость в ОС Windows грозит новой волной массовых вирусных заражений Стало известно о новой критичной уязвимости, которая грозит новой волной массовых вирусных заражений. Уязвимости …
Объемы фишинга снижаются, несмотря на изменения в Whois Как сообщает Антифишинговая рабочая группа (APWG), объемы фишинга сократились почти в два раза по сравнению с прошлым годом.Так, в четвертом квартале 2018 года было зафиксировано 138 328 фишинговых атак, а в третьем, втором и первом кварталах - соответственно, 151 014,...
В службе обновления Webex нашли очередной баг Очередную брешь в программе для организации веб-конференций Cisco WebEx обнаружили ИБ-специалисты компании SecureAuth. Ошибка позволяет заменить исполняемый файл службы обновления на предыдущую версию, содержащую уязвимости. В результате атаки злоумышленник может повысить св...
Взлом WPA3: DragonBlood Несмотря на то, что новый стандарт WPA3 еще толком не введен в эксплуатацию, недостатки безопасности в этом протоколе позволяют злоумышленникам взломать пароль Wi-Fi. Читать дальше →
Microsoft заплатит до 30 тыс долларов за уязвимости, найденные в их новом браузере Microsoft запустила новую программу для Chromium Edge, в рамках которой компания планирует награждать программистов, сумевших найти уязвимости в их новом браузере. Данная инициатива говорит о том, что компания всерьез задумалась о безопасности своего приложения.
Отсутствие PoC не смущает злоумышленников Новое исследование показало, что в реальных атаках используется только порядка 5,5% уязвимостей, раскрываемых публично, притом в половине случаев атакующие пишут эксплойт с нуля. Эти результаты группа исследователей из аналитической компании Cyentia, НКО RAND Corporation и П...
В прошлом году Apple на безопасность Тима Кука потратила 310 000 долларов, но это в 30 раз меньше, чем аналогичные затраты Facebook В Сети появилась достаточно необычная информация, указывающая на то, сколько та или иная компания потратила в прошлом году на безопасность своих руководителей. К примеру, Apple потратила на обеспечение безопасности Тима Кука 310 000 долларов, и это далеко не самая...
Австралийские веб-хостеры пострадали от взломщиков Специалисты Австралийского центра кибербезопасности (Australian Cyber Security Centre, ACSC) рассказали об атаках злоумышленников на поставщиков хостинговых услуг. Преступники взламывали уязвимые веб-сервера, чтобы добывать криптовалюту, организовывать мошеннические рекламны...
Специалисты прогнозируют атаки с использованием BlueKeep Уязвимость протокола RDP в операционных системах Windows может быть использована злоумышленниками для кибератак и нуждается в немедленной установке обновлений безопасности. К такому выводу пришли ИБ-специалисты, разработавшие PoC эксплуатации CVE-2019-0708 и инструменты для ...
Apple выпустила обновление для iOS, исправляющее уязвимость в FaceTime В конце января в приложении FaceTime была обнаружена серьёзная уязвимость, позволяющая при определённых действиях прослушивать пользователей. Несмотря на то, что с момента оповещения о данной уязвимости, прошло лишь чуть более недели, Apple успела извиниться, пообещать ...
Microsoft пропатчила атакуемую уязвимость 0-day Майский набор обновлений для продуктов Microsoft закрывает брешь повышения привилегий, уже используемую в атаках. Уязвимость CVE-2019-0863 связана с функциональностью, отвечающей за формирование и отправку на сервер отчетов об ошибках Windows. Согласно бюллетеню, эксплуатаци...
WordPress преследуют баги в плагинах сторонних разработчиков В 2018 году число уязвимостей, связанных с CMS WordPress, возросло втрое по сравнению с 2017-м, однако наиболее масштабные атаки зафиксированы на сайты под управлением Drupal, в которой найдено несколько критических багов. Такие данные содержатся в отчете, опубликованном ком...
Privileged Access Management как приоритетная задача в ИБ (на примере Fudo PAM) Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом мног...
USB-IF анонсировала окончательные спецификации USB4 Форум разработчиков USB (USB-IF), организация поддержки для продвижения и внедрения технологии USB, объявила о публикации спецификации USB4, крупного обновления для архитектуры USB следующего поколения, которая дополняет и основывается на существующем USB 3.2. и архитектуры ...
[Из песочницы] Почему вы должны думать о функциональном программировании Привет, Хабр! Представляю вашему вниманию перевод своей статьи «Why you should think about functional programming», посвященной функциональному программированию. Почему вы должны думать о функциональном программировании? Давайте ответим на следующие вопросы: всегда ли в...
Apple iPad Pro 12,9” (Late 2018): сравниваем новый планшет с его непосредственным предшественником Вслед за 11-дюймовой моделью мы изучили 12,9-дюймовую, попользовались устройством в реальной жизни и сравнили его с непосредственным предшественником 2017 года на деле. В этой статье мы поделимся с вами нашими впечатлениями, а заодно расскажем о новых аксессуарах для iPad Pr...
Защищена ли от кибератак силовая инфраструктура вашего ЦОД? Уязвимости промышленного интернета вещей в ЦОД Большинством энергетического оборудования в центре обработки данных можно управлять дистанционно и точно также настраивать его через удаленные терминалы. Благодаря этому злоумышленник в теории может получить контроль над этими ...
Сеть компании и MitM. Часть 2 Перехватить конфиденциальную информацию? Получить несанкционированный доступ к различным приложениям и системам? Нарушить нормальный режим работы? Все это и многое другое выполняют атаки типа Man in the Middle. Сегодня мы продолжаем цикл статей, посвященный атакам «челове...
Атаки и безопасность современных Windows систем В данной статье будут представлены видеозаписи методов атак и защиты современных Windows систем: различные вектора и способы перехвата учетных записей, атаки контроллера домена, использование IPv6 и многое другое. Читать дальше →
Новые уязвимости в стандарте WPA3 В стандарте WPA3 были обнаружены две новые уязвимости, позволяющие злоумышленникам получить доступ к сети. Они были обнаружены теми же исследователями, которые ранее обнаружили пять уязвимостей. Была выявлена специалистами Мэти Ванхофом (Mathy Vanhoef) и Эйалом Роненом (Eyal...
В протоколе LTE нашли 36 новых уязвимостей Группа южнокорейских специалистов обнаружила 51 уязвимость в протоколе LTE, и 36 из них оказались новыми.
Кто использует протокол аутентификации SAML 2.0 У себя в блоге мы часто затрагиваем вопросы защиты данных и авторизации. Например, мы рассказывали о новом стандарте для беспарольной авторизации WebAuthn и даже брали интервью у одного из его разработчиков. Также обсуждали технологию DANE для аутентификации доменных имен по...
Opera обещает запустить новый бесплатный VPN Интернет-провайдеры сегодня ненадёжны. Потому не только в нашей стране, а в принципе по всему миру, пользователям сети часто приходится использовать VPN-сервисы. Opera была одним из немногих браузеров, позволявших при необходимости активировать VPN и использовать его совер...
Баг в iMessage позволяет взломать любой iPhone удаленно Всем известно, какое пристальное внимание Apple уделяет безопасности своих операционных систем. Но даже корпорация такого масштаба не всегда способна вовремя выявить все критические ошибки и уязвимости, которые могут быть использованы злоумышленниками. Не стал исключением и...
Security Week 33: интересное с Black Hat / DEF CON 2019 На прошлой неделе в Лас-Вегасе прошла очередная двойная конференция Black Hat / DEF CON. Если первое мероприятие плавно движется в сторону делового междусобойчика, второе по-прежнему остается лучшей конференцией для хакеров (преимущественно в хорошем смысле этого слова), для...
В Adobe Flash и ColdFusion закрыты опасные уязвимости Компания Adobe выпустила обновления для Flash Player и платформы ColdFusion, в которых объявились программные ошибки, грозящие исполнением произвольного кода. Совокупно разработчик устранил 11 уязвимостей в трех продуктах, включая маркетинговое решение Adobe Campaign. В итог...
Microsoft: более миллиона компьютеров по всему миру всё еще уязвимы для вирусов В мае 2019 года Microsoft удалось найти в Windows серьезную уязвимость, через которую могли распространяться вирусы-вымогатели WannaCry и Petya. Однако пользователи вовсе не торопятся качать обновления безопасности. Как сообщает Microsoft, по всему миру существует как миним...
В VLC Media Player нашли критическую уязвимость Постаралось немецкое агентство сетевой безопасности CERT-Bund.
Trend Micro опубликовала новое исследование о безопасности в банковской сфере в условиях PSD2 В исследовании The Risks of Open Banking — Are Banks and their Customers Ready for PSD2? рассказывается о существующих и новых рисках, с которыми придётся столкнуться финансовым структурам, и о возможных методах киберпреступников, желающих воспользоваться уязвимостями новой ...
SandboxEscaper нашла еще три 0-day в продуктах Microsoft Киберпреступник может получить административные привилегии в операционных системах Windows 10, Windows Server 2016 и 2019, используя уязвимость в планировщике задач. Об этом сообщила независимый ИБ-специалист под псевдонимом SandboxEscaper, опубликовавшая код эксплойта и вид...
Используем пайпы для пивотинга Ни для кого не секрет, что корпоративные IPS становятся все умнее и умнее. Сейчас уже никого не удивишь IPS с SSL-митмом на периметре сети или даже внутри корпоративной сети между сегментами. В то же время, по-мимо всем известных IPS, стали появляться и распространяться разл...
HTTPS не всегда такой безопасный, как кажется. Уязвимости найдены у 5,5% сайтов HTTPS Один из топовых сайтов Alexa (центральный кружок), защищённый HTTPS, с поддоменами (серым) и зависимостями (белым), среди которых есть уязвимые (штриховая заливка) В наше время значок защищённого соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьёзн...
Атаки на домен При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена. Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена. К примеру, по итогам пентеста в одной компании мы ...
Блокчейн: что нам стоит PoC построить? Глаза боятся, а руки чешутся! В прошлых статьях мы разобрались с технологиями, на которых строятся блокчейны (Что нам стоит блокчейн построить?) и кейсами, которые можно с их помощью реализовать (Что нам стоит кейс построить?). Настало время поработать руками! Для реализаци...
В королевстве PWN. Препарируем классику переполнения буфера в современных условиях Для подписчиковСколько раз и в каких только контекстах не писали об уязвимости переполнения буфера! Однако в этой статье я постараюсь предоставить универсальное практическое «вступление» для энтузиастов: от существующих на данный момент механизмов безопасности компилятора GC...
Июльские патчи Oracle устранили более 300 угроз Корпорация Oracle выпустила очередной пакет обновлений безопасности (Critical Patch Update, CPU), закрыв в своих продуктах 319 уязвимостей. Свыше 50 багов получили высшую оценку угрозы, набрав 9,8 балла по шкале CVSS. Больше всего заплаток пришлось на приложения Oracle Finan...
Proof-of-Stake: взгляд изнутри В интернете ходит много обывательских статей и рассуждений, но достаточно мало информации по существу. В определённый момент автору стало понятно, что механика и множество связанных нюансов безопасности до конца не понятны даже многим разработчикам криптовалют. Это вскрылос...
Новая прошивка для Samsung Galaxy S9 улучшила камеру смартфона Компания Samsung начала распространение новой прошивки для флагманского смартфона Samsung Galaxy S9, которая получила номер G960FXXU2CSA2. Данное обновление предназначено для улучшения качество фотографий, которые делаются на фронтальную камеру смартфона. В частности, г...
Новый штамм Mirai атакует сразу через 13 эксплойтов Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует сразу 13 эксплойтов для атак на целевые устройства. IoT-бот оснащен компонентами для атаки на роутеры различных производителей, IP-камеры...
[Перевод] MVC без C: Что изменит SwiftUI в архитектуре приложений? MVC был давним стандартом в паттернах проектирования, используемых для написания iOS приложений. Структура iOS приложений, которые создавались ранее, была основана на одном базовом компоненте, который присутствует везде, и называется он — Controller. На WWDC19 был представле...
В библиотеке jQuery устранена серьезная уязвимость В jQuery закрыта уязвимость, которая позволяет провести DoS-атаку или получить права администратора веб-приложения, использующего эту JavaScript-библиотеку на стороне клиента. Эксперт по кибербезопасности Лиран Тал (Liran Tal) из Snyk обнаружил брешь 26 марта; пропатченная в...
Авиапассажирам угрожает уязвимая система бронирования Система бронирования авиабилетов Amadeus, которую использует почти половина компаний по всему миру, оказалась уязвима перед брутфорс-атаками. Злоумышленники могут получить персональную информацию пассажиров, поменять их регистрационные данные и воспользоваться накопленными б...
Новый стандарт карт памяти от Huawei Huawei готовится к новому стандарту карт памяти - NM. Тесты показывают, что карты работают наравне со своими аналогами microSD. Они используют протокол eMMC 4.5 с рейтингом скорости UHS-I U3, обещая пиковые скорости чтения 90 МБ / с и постоянную скорость записи 30 МБ / с...
В онлайн-оплате картами найдена уязвимость Компания ChronoPay предупредила об уязвимости в протоколе 3D Secure, через который производится оплата с банковских карт на сайтах и в мобильных приложениях.
ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...
Moscow Node.js Meetup 10: Архитектура Node.js-приложений, Hot Reload в Node.js и секретный доклад Друзья, это становится доброй традицией. Мы не встречались почти 11 месяцев – прошлая наша встреча была накануне Нового года и у самого Кремля. А в этом году Node.js исполнилось 10 лет, а это значит время провести юбилейный 10-й митап Msocow Node.js Meetup! В то время, как ...
43% приложений для Android и 35% для iOS содержат уязвимости Компания Positive Technologies провела исследование приложений Android, представленных в Google Play, и приложений iOS из Apple Store, чтобы выяснить, какую угрозу они представляют для безопасности пользователей. В результатах исследований говорится о том, что 43% прило...
Tоп-10: лучшие доклады HolyJS 2019 Piter Этой весной прошла HolyJS 2019 Piter — большая конференция для JavaScript-разработчиков. Вместе с программным комитетом конференции мы составили для вас список лучших докладов, посвящённых следующим темам: Алгоритмы на графах; Протокол Chrome DevTools и Puppeteer; Статичес...
[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 36. Канальный протокол STP Сегодня мы изучим канальный «протокол покрывающего дерева» STP. Многих людей эта тема пугает из-за кажущейся сложности, потому что они не могут понять, что именно делает протокол STP. Надеюсь, что в конце этого видеоурока или на следующем уроке вы поймете, как работает это «...
Третья уязвимость Steam Windows Client, но не 0day В предыдущих сериях Не так давно я рассказал о двух уязвимостях Стима: CVE-2019-14743 и CVE-2019-15316. Там была целая история о том, как я пытался зарепортить их, у меня не получалось, меня забанили, и только после публичного раскрытия и помощи сообщества удалось достичь ре...
Стали известны частоты CPU и GPU гибридных процессоров Ryzen 5 3400G и Ryzen 3 3200G Несколько дней назад мы знакомились с первыми результатами тестирования гибридного процессора AMD Ryzen 5 3400G. В тестах 3DMark новинка показала на 7-10% больший результат, нежели предшественник. И это ожидаемо, ведь Ryzen 5 3400G от Ryzen 5 2400G отличается лишь часто...
Тенденции безопасности в области промышленных сетей в 2019 году Ключевые выводы исследования В 2018 году значительно выросло число атак, направленных на устаревшее программное обеспечение OT-cистемКиберпреступники используют в своих интересах отсутствие стандартизированного протокола для OT-сетейАтаки на OT-системы не дифференцируются п...
Хакеры используют уязвимость Windows для кибератак Речь об уязвимости в компоненте win32k.sys, которая позволила киберпреступникам организовать целевую атаку на пользователей из Восточной Европы.
Как обнаружить атаки на Windows-инфраструктуру: изучаем инструментарий хакеров С каждым годом растет количество атак в корпоративном секторе: например в 2017 году зафиксировали на 13% больше уникальных инцидентов чем в 2016 г., а по итогам 2018 — на 27% больше инцидентов, чем в предыдущем периоде. В том числе и тех, где основным рабочим инструментом ...
Небезопасное хранение данных – основной недостаток мобильных приложений По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, считают эксперты, и общий уровень защищенности клиентских частей мобильных приложений для о...
«Я бы открыл на юге России особую зону ИТ» — 10 вопросов программисту #11. Новый сезон Прошлым летом мы запустили рубрику «10 вопросов программисту», и на протяжении 10 выпусков в ней было довольно весело. Хорошие люди, у которых не всегда есть доступ к огромной аудитории, смогли высказаться. Кто-то нашел понимание, кто-то наткнулся на критику. Перед 11 вы...
За три месяца 2019 года в мире обезврежено почти 14 млрд угроз Такие данные опубликовала компания Trend Micro Incorporated в очередном обзоре киберугроз, обнаруженных Trend Micro Smart Protection Network в первом квартале 2019 года.Среди угроз, связанных с электронной почтой, в январе-марте отмечен достаточно резкий рост количества вред...
На iPhone XR приходилось около 32% продаж iPhone в США в ноябре В течение ноября на iPhone XR приходилось примерно 32% продаж iPhone XR в США, согласно новым данным о продажах, распространенным Consumer Intelligence Research Partners. Для сравнения, iPhone XS и XS Max, более дорогие iPhone, были ответственны за 35 % продаж вместе взятых....
NHK использует стандарт сжатия JPEG XS для трансляции видео 8K Новый стандарт сжатия изображения JPEG XS, о котором впервые было объявлено в апреле 2018 года, уже находит практическое применение. По сообщению источника, японская вещательная корпорация NHK использует стандарт сжатия JPEG XS для трансляции видео с разрешением 8K, за...
Аляска тает в 100 раз быстрее, чем мы думали: зрелищный таймлапс Современные теоретические модели таяния мировых ледников сосредоточены в основном на расплаве, в котором струи талой воды вызывают локальное таяние вдоль поверхности ледника. Однако исследователи недавно определили неожиданно высокую скорость таяния, используя новую технол...
[Из песочницы] Рендеринг 3D графики с помощью OpenGL Введение Рендеринг 3D графики — непростое занятие, но крайне интересное и захватывающее. Эта статья для тех, кто только начинает знакомство с OpenGL или для тех кому интересно, как работают графические конвейеры, и что они из себя представляют. В этой статье не будет точных ...
В VLC Media Player исправлена критическая RCE-уязвимость Разработчики VideoLAN исправили критическую double-free уязвимость в VLC Media Player. Баг позволял выполнить произвольный код на уязвимой машине.
AMD может запустить графические процессоры RDNA 2 следующего поколения на CES 2020 AMD предположительно собирается провести мероприятие на CES 2020, чтобы продемонстрировать свое следующее видеокарту Radeon. Ожидая огромного успеха с графическими процессорами первого поколения «RDNA», AMD продемонстрирует улучшенную линейку, используя новую улучшенную архи...
Взломщики похищают аккаунты Office 365 и G Suite через IMAP Специалисты ИБ-компании Proofpoint сообщили о массовых атаках на корпоративных пользователей облачных сервисов Office 365 и G Suite. Злоумышленники обходят двухфакторную авторизацию и получают доступ к учетным записям через протокол IMAP. За шесть месяцев они проникли в отсл...
История о том, как мы иконку PVS-Studio меняли Релиз 7.0 ознаменовал новую веху в истории анализатора PVS-Studio – теперь доступен анализ не только кода, написанного на C, C++, C#, но также и Java. Кроме этого глобального нововведения продолжают улучшаться и дорабатываться существующие механизмы анализа, добавляются ди...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 3 В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 5 В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 4 В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Будущие обновления Chrome могут сломать популярные блокировщики рекламы В октябре прошлого года компания Google рассказала о планах улучшить безопасность своего браузера и побороть навязчивую и неуместную рекламу на веб-страницах. В частности, поисковый гигант рассказал о том, какие изменения в API будут реализованы в ближайшем будущем. Как оказ...
Citrix пропатчила критические уязвимости в SDWAN-решениях В популярной платформе управления программно-определяемыми сетями выявлены уязвимости, позволяющие без авторизации выполнять команды с привилегиями root. Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance (ранее линейка NetScaler SD-WAN) настоятельно рекомендуется ...
В бионических протезах найдены новые уязвимости Обо всех найденных уязвимостях "Лаборатория Касперского" сообщила производителю - российской компании Motorica, которая специализируется на разработке современных бионических протезов верхних конечностей. Исследовавшаяся инфраструктура представляет собой облачный ...
Программа конференции ZeroNights 2019 В этом году ZeroNights пройдет 12 и 13 ноября в Санкт-Петербурге в клубе А2 (пр. Медиков, 3). На конференции обсудят безопасность различных устройств, проблемы криптографии, уязвимости в популярном программном обеспечении для работы с DICOM, взлом IoT, атаки на механизмы J...
[Перевод] Разбираемся в протоколе консенсуса Stellar Протокол консенсуса Stellar впервые описан в научной статье Дэвида Мазьера в 2015 году. Это «федеративная система византийского соглашения», которая позволяет децентрализованным вычислительным сетям без лидеров эффективно достигать консенсуса по какому-либо решению. Платёж...
[Перевод] WolframClientForPython | Новая клиентская библиотека Wolfram Language для Python Оригинал перевода в моём блоге Получение полного доступа к языку Wolfram Language из языка Python Язык Wolfram (Wolfram Language) дает программистам в руки уникальный язык с огромным множеством сложных алгоритмов, а также встроенных знаний об окружающем мире. На протяжении...
Вышел апрельский набор патчей для Android Компания Google опубликовала перечень уязвимостей, которые должны быть закрыты в Android в соответствии с уровнем безопасности на начало апреля. Как всегда, список разделен на две группы: бреши, актуальные для всех мобильных устройств под управлением этой ОС (вендоры могут и...
В iOS есть серьезная «дыра», которую вы не замечали годами Высокоуровневая защита, которую пользователям iPhone обеспечивают алгоритмы шифрования и биометрические сканеры, меркнет на фоне – не побоюсь этого слова – уязвимости, годами существующей в iOS. Какой смысл говорить о безопасности Face ID, якобы ошибающегося один раз из мил...
7 долгожданных фантастических киноремейков и продолжений: голосуй за лучший Сиквелы, приквелы, перезапуски и спин-оффы — излюбленные приемы кинопродюсеров, гарантированно приносящие прибыль. Почти всегда они вызывают спорную реакцию: кому-то приятно увидеть знакомую историю в новом свете, а кто-то негодует, что вместо оригинальной идеи эксплуатируют...
[Из песочницы] Как создать модель точнее transfermarkt и не предсказывать или что больше всего влияет на стоимость трансферов Я постараюсь рассказать вам насколько легко получить интересные результаты, просто применив совершенно стандартный подход из тьюториала курса по машинному обучению к не самым используемым в Deep Learning данным. Суть моего поста в том, это может каждый из нас, надо просто по...
Во всех видеокартах Nvidia найдены критические уязвимости Срочно обновите драйверы видеокарты!
Хорошее не бывает дешёвым. Но бывает бесплатным В этой статье я хочу рассказать о Rolling Scopes School – бесплатном курсе по JavaScript / фронтенду, который прошла, и который мне очень понравился. Узнала я об этом курсе случайно, информации в сети о нём, на мой взгляд, немного, а курс отличный и заслуживает внимания. Дум...
Впечатляющие пейзажи Wilderless — новой игры в открытом мире от автора Nimian Legends Серия Nimian Legends — это две игры, созданные в первую очередь для того, чтобы продемонстрировать возможности современных смартфонов. Разработчик проектов, Prototop Games, объявил, что работает над новой игрой, которая будет называться Wilderless. Как и Nimian Legends, нови...
[Из песочницы] Решения для работы с фидбеком и клиентским опытом: от небольших сервисов до платформ-тяжеловесов Если пользователь получил классный клиентский опыт, он скоро вернётся за новой покупкой. Как убедиться, что всё прошло хорошо (или, наоборот, узнать о критических проблемах)? Спросить у клиента. Теперь всё больше компаний используют решения для работы с user feedback. Они ...
Capcom не выпустит Resident Evil в 2019 году Capcom работает над новой игрой Resident Evil и набирает игроков для нового проекта. В новом финансовом отчете Capcom четко указывается, что новая игра Resident Evil не будет выпущена в этом году. Iceborne DLC от Monster Hunter World станет единственным крупным релизом. Такж...
iOS 13.2 Beta включает в себя значок с изображением нового дизайна AirPods По слухам, Apple работает над AirPods третьего поколения с активным контролем шума (ANC), также известным как шумоподавление или активное шумоподавление (ANR). Известный аналитик Минг-Чи Куо (Ming-Chi Kuo) предположил, что обновленные AirPods могут появиться в конце этого ил...
Обзор вирусной активности в апреле 2019 года В почтовом трафике по-прежнему преобладает вредоносное ПО, использующее уязвимости программ Microsoft Office. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большая часть обнаруженных угроз приходится на долю вредоносных расширений для...
Windows XP все еще жива! Для нее вышло обновление безопасности Если вы все еще используете операционную систему Windows XP или Windows Server 2003 (а также Windows 7, Windows Server 2008 и 2008 R2), то вам необходимо обновиться. Microsoft выпускает срочное исправление для данных операционных систем, чтобы заблокировать удаленно использу...
[Перевод] Шардинг в Блокчейне Всем привет, я один из разработчиков Near Protocol, который, среди прочего, реализует шардинг, и в этой статье хочу подробно рассказать что вообще такое шардинг в блокчейне, как он работает, и коснуться ряда проблем, которые возникают при попытке его построить. Хорошо извест...
Cisco залатала SD-WAN, Webex, защитные решения На прошлой неделе компания Cisco выпустила набор обновлений, закрывающих около 30 уязвимостей в различных продуктах. Одна из брешей оценена как критическая, 16 — как высокой степени опасности. Самая серьезная уязвимость (CVE-2019-1651) затрагивает сетевое решение SD-WAN; она...
Adobe закрыла десятки брешей в Acrobat и Reader В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение. Уязвимость 0-day зарегистриров...
Павел Дуров рекомендует удалять WhatsApp со своих смартфонов Создатель одного из самых популярных мессенджеров Telegram Павел Дуров обратился ко всем пользователям, призывая их удалить со своих устройств WhatsApp. Обосновывая свою позицию, Павел Дуров заявил, что WhatsApp не является безопасным средством для общения и хранения ин...
Предустановленное ПО Android-смартфонов полно уязвимостей Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннег...
В цифровых камерах Canon закрыли несколько уязвимостей Компания Canon исправила шесть уязвимостей в системном ПО своих цифровых камер. Баги, затрагивающие десятки моделей, позволяли злоумышленнику выполнить на устройстве вредоносный код и загрузить на него собственный вариант прошивки. ИБ-специалисты, которые обнаружили недостат...
iOS 12.1.4 теперь доступна с исправлением ошибки групповых звонков FaceTime Сегодня Apple выпустила новое обновление iOS 12.1.4 для iPhone, iPad и iPod touch с новым программным обеспечением, разработанным для исправления коварной ошибки Group FaceTime, нарушающей конфиденциальность, которая может быть использована для прослушивания разговоров. Ново...
Новый Chrome предупредит об использовании TLS 1.0/1.1 Компания Google опубликовала новый релиз браузера Chrome. В 72-й версии приложения закрыто 58 уязвимостей, 18 из которых являются критическими или серьезными. Кроме того, в сборке 72.0.3626.81 более не поддерживается технология HPKP, а разработчикам сайтов, применяющих устар...
Android: извлекаем данные с зашифрованной SD-карты и получаем доступ к скрытым методам Для подписчиковСегодня в выпуске: обзор систем безопасности Android, объяснение атак типа Cloak & Dagger, гайд по извлечению данных с зашифрованной карты памяти, обход ограничений на загрузку нативных библиотек и доступ к скрытым Java-методам, уязвимость в Android Downl...
Больше об Android Q: поддержка Face ID, новые системные настройки На прошлой неделе XDA получил доступ к ранней тестовой сборке Android Q, следующей версии самой популярной мобильной ОС в мире. Тогда прошивка показала наличие темной темы, зарождающегося ПК-режима, расширенные функции управления разрешениями и прочее.
Не только 108 Мп, но и звук. Производитель обещает для Xiaomi Mi CC9 Pro большую акустическую камеру Компания Xiaomi продолжает массированную атаку по всем фронтам в социальных сетях, выкладывая всё больше подробностей о горячо ожидаемом смартфоне Xiaomi Mi CC9 Pro. Новая порция информация касается аудиовозможностей смартфона. На новых тизерных картинках Xiaomi ...
[Перевод] Исчерпывающий список различий между VB.NET и C#. Часть 2 В первой части статьи тема превосходства VB.NET над C# по рейтингу TIOBE нашла живой отклик в комментариях. Поэтому по совету AngReload посмотрим на тренды StackOverflow. C# все еще силен! Революция, о которой так долго говорили в прошлый раз, отменяется! Ура, товарищи! Или...
У IoT стало протоколом больше Центр компетенций "Технологии беспроводной связи и интернета вещей" (ЦК НТИ БСИВ) при Сколковском институте науки и технологий (Сколтехе) разработал стандарт "Протокол беспроводной передачи данных для высокоемких сетей на основе сверхузкополосной модуляции рад...
Хакеры используют облачное хранилище Asus для установки бэкдора Plead на ПК Вкратце: исследователи в области безопасности сообщают, что хакерская группа BlackTech развертывает вредоносное ПО Plead, используя атаки MitM на уровне маршрутизатора на Тайване. Группа, очевидно, использует уязвимость в программном обеспечении Asus WebStorage для загрузки ...
Новая эра Wi-Fi началась. Сертифицированы первые устройства с поддержкой новейшего стандарта Wi-Fi 6 (IEEE 802.11ax) В развитии технологии Wi-Fi сделан очередной шаг — 16 сентября начала работу программа сертификации Wi-Fi CERTIFIED 6. Сертификация по этой программе гарантирует соответствие оборудования спецификации IEEE 802.11ax, определяющей новейший стандарт беспроводной технологии Wi-F...
Microsoft и NIST научат бизнес ставить патчи Компания Microsoft и Национальный институт стандартов и технологий США (US National Institute of Standards and Technology, NIST) создадут практическое руководство по установке патчей в корпоративных инфраструктурах. Эксперты намерены повысить грамотность бизнеса в вопросах И...
Как найти Wi-Fi в любой точке мира — Топ-3 приложения Лучшие приложения с бесплатными базами открытых точек доступа Wi-Fi в России и других странах. Оказавшись в незнакомом городе или новой стране,...
Что нужно знать о последнем патче Cisco для маршрутизаторов Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать». Фото — ulleo — PD Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратур...
Преступники могут получить доступ к информации клиентов в каждом онлайн-банке По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.Угро...
Samsung перевела Galaxy S7 на новую методику обновления Подход Apple к обновлениям своих смартфонов всегда отличался от подхода ее конкурентов. Если в Купертино старались обеспечивать iPhone апдейтами на протяжении не менее четырех-пяти лет, то редкий аппарат под управлением Android мог рассчитывать на получение хотя бы трех нов...
[Из песочницы] Ограничение прав локального пользователя в Linux до минимума Как то раз появилась следующая задача: создать локального пользователя в ОС Linux, с ограниченным доступом к папкам и файлам, включая не только редактирование, но и просмотр, а также возможность использовать только разрешенные утилиты. Что бы не изобретать велосипед, первы...
Google обещает заплатить до 1,5 млн долларов за взлом смартфонов Pixel 3 и 4 Компания Google опубликовала новые условия программы Android Security Rewards, призванной стимулировать поиск уязвимостей в ее смартфонах. Сейчас в программе участвуют устройства Pixel 4, Pixel 3a, Pixel 3a XL, Pixel 3 и Pixel 3 XL. Программа распространяется на ранее ...
Давний баг в Linux-драйвере WiFi грозит захватом системы В Linux обнаружена удаленно эксплуатируемая уязвимость, потенциально позволяющая полностью скомпрометировать систему. Проблема актуальна для ОС на базе ядра Linux версий 5.3.6 и ниже. Вариант патча уже предложен и, видимо, будет включен в состав очередного обновления Linux, ...
Что почитать и посмотреть для старта в Data Science: книги, словари и курсы Подборка ресурсов по математике, статистике и программированию для начинающих Дата Сайентистов. Ознакомьтесь с материалами, если вы планируете учиться на онлайн-курсах. Так вы опередите одногруппников, а заодно прокачаете полезный навык — изучать дополнительные материалы сам...
Мобильные сети 4G и 5G позволяют следить за пользователями Одна из тенденций в мире мобильной индустрии в текущем году, о которой мы последнее время нередко говорим, – сети нового поколения 5G. Любая технология, а особенно если она нова, подвержена рискам извне. Не избежали этой участи новые чипсеты для работы с 5G. Исследователи в...
iOS 12 — самая стабильная и быстрая версия системы за последние 9 лет Выход каждой новой версии iOS (как и любой другой ОС) сопровождается тысячами жалоб пользователей iPhone и iPad, которые недовольны замедлившейся работой устройств или критическими ошибками, мешающими полноценно использовать гаджет. В прошлом году Apple заявила, что...
Security Week 46: микрофоны, лазеры и безопасность обучаемых машин Про взлом умных колонок на расстоянии с использованием лазера на прошлой неделе написали почти все СМИ (новость, сайт проекта, научное исследование, пост на Хабре). Тема и правда привлекательная: такой хак в стиле фильмов про Джеймса Бонда. Исследователи из университетов США...
[Перевод] XXE: XML external entity В этой статье мы объясним, что такое инъекция внешних сущностей XML, опишем некоторые общие примеры, поясним, как найти и использовать различные виды XXE-инъекций, а также обобщим, как предотвратить атаки с их помощью. Читать дальше →
[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 27. Введение в AСL. Часть 1 Сегодня мы начнем изучение списка управления доступом ACL, эта тема займет 2 видеоурока. Мы рассмотрим конфигурацию стандартного списка ACL, а на следующем видеоуроке я расскажу про расширенный список. На этом уроке мы рассмотрим 3 темы. Первая – что такое ACL, вторая — в ...
Обеспечение безопасности в беспроводных протоколах на примере LoRaWAN Привет, Хабр. Мне хотелось бы в очередной раз поговорить о том, как обеспечивается базовый (читай: минимально необходимый) уровень безопасности данных в беспроводных сетях, используемых в IoT-устройствах, на примере LoRaWAN. Почему именно LoRaWAN? Во-первых, потому, что эт...
Проект устранения цифрового неравенства в РФ активно развивается В Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязь) рассказали о реализации масштабного проекта по устранению цифрового неравенства в нашей стране. Данная инициатива, напомним, предусматривает организацию скоростного доступа в ...
Software Defined Radio — как это работает? Часть 10 Привет, Хабр. В «юбилейной» части цикла про SDR хочется рассказать об одном из протоколов, благодаря которому многие радиолюбители «невольно» приобщились к миру цифровых широкополосных сигналов. Этот стандарт также являлся первой (и насколько известно, единственной) попытко...
В стандарте связи LTE обнаружено 36 уязвимостей Южнокорейские эксперты по вопросам информационной безопасности обнаружили 36 уязвимостей в стандарте связи LTE, которые позволяют реализовать широкий спектр атак. Некоторые из них могут быть достаточно пагубными. Выявленные уязвимости могут создавать небольшие временные труд...
Один день из жизни разработчика В прошлой статье мы рассказали о том, как проходит обычный день нашего системного инженера. Сегодня же расскажем про один день из жизни нашего разработчика. Добро пожаловать под кат. Читать дальше →
[Перевод] Особенности рендеринга в игре Metro: Exodus c raytracing Предисловие После выхода последней игры из серии «Метро» я потратил несколько часов на изучение её внутренней работы и решил поделиться тем, что может показаться интересным с технологической точки зрения. Я не буду проводить подробный анализ или изучать дизассемблированный ...
[Из песочницы] Вам есть, что скрывать Привет, Хабр! Представляю вашему вниманию перевод статьи автора «You don’t have nothing to hide» автора Sharon Flitman. Кажется, приватность в 21м веке становится все более размытым понятием. В не столь далеком прошлом лишь несколько моих друзей знали, где я нахожусь в ...
Создан миниатюрный квантовый чип. Квантовые смартфоны не за горами? Миниатюрные квантовые чипы —это уже реальность Исследователи из Наньянского технологического университета, что в Сингапуре, разработали квантовый коммуникационный чип. Он обеспечивает тот же уровень безопасности при передаче данных, что и существующие аналоги. И при эт...
Устаревший ключ DNSSEC подверг угрозе корневые сервера Как сообщает VeriSign, корневые сервера DNS подверглись массовой атаке запросами о данных DNNSEC после того, как был обновлён главный криптографический ключ.Начиная с октября, когда было произведено обновление, количество запросов к корневым серверам увеличилось в 75 раз - с...
Linksys Velop WiFi 6 — Mesh-система с поддержкой стандарта Wi-Fi 6 Linksys анонсировала свою первую систему Wi-Fi Mesh с поддержкой нового стандарта Wi-Fi 6, который оптимизирован для большего количества подключенных к интернету устройств. Система Velop WiFi 6 доступна в двух вариантах: в виде отдельного маршрутизатора за $399 либо в качест...
SandboxEscaper нашла еще один способ обойти патч Microsoft Независимая исследовательница с ником SandboxEscaper опубликовала еще один PoC эскалации привилегий в Windows 10. По информации ИБ-эксперта, манипуляции с браузером Edge и другими приложениями позволяют атакующему получить доступ к файлам ОС с правами уровня SYSTEM. Сторонни...
Это начало конца. Microsoft решила не исправлять серьёзную уязвимость в мобильном Windows Компания Microsoft опубликовала подробности о уязвимости CVE-2019-1314 в системе безопасности фирменной мобильной операционной системы Windows 10 Mobile. Она позволяет получить доступ к галерее фото на устройстве с помощью голосового помощника Cortana без разблок...
Внеочередной патч для IE устраняет уязвимость 0-day Разработчики Microsoft выпустили экстренные обновления для Internet Explorer и Microsoft Defender (ранее Windows Defender — Защитник Windows). Браузер содержат критическую уязвимость, уже используемую в атаках, поэтому его рекомендуется залатать как можно скорее. Новая пробл...
[Перевод] Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 1 Меня зовут Сэм Боун, я здесь, чтобы поговорить с вами о DoS-атаках, и вы мне в этом поможете. Мы немного поговорим о хактивистах, которые использовали такие атаки, потому что я нахожу их интересными. Они наглядно показывают, сколько вреда вы можете нанести различными видами ...
Как меняется популярность 2G, 3G и 4G на фоне внедрения 5G В мире постепенно начинает внедряться сотовая связь пятого поколения 5G. Ресурс GSMArena поделился интересным исследованием — насколько быстро внедрялись, становились популярными и переставали использоваться прошлые поколения связи. Авторы использовали отно...
Ну, Android, а ты OMA CP… Недавно мы «порадовали» пользователей iPhone проблемами безопасности BLEee, но вряд ли мы сторонники какого-либо из фронтов в извечном споре Apple vs. Android, и готовы рассказать «отличную» новость про Android, если, конечно, в вашей душе есть место для злорадства. Исследо...
За год Xiaomi взлетела с 85 на 11 место в мировом рейтинге компаний с самым большим количеством патентов в области ИИ Исполнительный директор Xiaomi Лей Цзунь (Lei Jun) не так давно говорил о том, что компания добилась больших успехов в разработках, связанных с искусственным интеллектом и Интернетом вещей, и планирует в течение следующих 5 лет инвестировать в данное направление около 1...
Турнир Pwn2Own Tokyo 2019 принес участникам более $315 тысяч Участники хакерского турнира Pwn2Own Tokyo 2019 получили $315 тыс. за 18 уязвимостей, которые они обнаружили в умных колонках, телевизорах, роутерах и смартфонах. Уже третий раз подряд главную награду соревнования получили Амат Кама (Amat Cama) и Ричард Жу (Richard Zhu) — их...
Toshiba имеет новый форм-фактор для NVMe-ssds Toshiba отмечает, что современные SD-карты могут работать намного быстрее и что твердотельные накопители NVME могут быть намного меньше. Производитель памяти называет стандарт «xfmexpress», он сочетает в себе преимущества nvme-ssd в формате m.2 с преимуществами bga-ssd, прип...
IBM MQ и JMeter: Первый контакт Привет, Хабр! Это приквел моей предыдущей публикации и в то же время ремейк статьи Автоматизированное тестирование сервисов, использующих протокол MQ с помощью JMeter. На этот раз расскажу о своем опыте примирения JMeter и IBM MQ для счастливого тестирования приложений на ...
Баг в mIRC позволяет выполнить в Windows сторонний код Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows. Как выяснили исследователи, приложение допускает внедр...
В системе управления питанием Rockwell нашли критический баг Компания Rockwell Automation признала наличие двух уязвимостей в своем устройстве для управления электропитанием PowerMonitor 1000, входящем в линейку Allen-Bradley. Баги в прошивке позволяют злоумышленнику обойти систему авторизации и получить права администратора, а также...
Microsoft запустила инициативу по производству ПК с защищенным ядром По мере эволюции современных средств защиты злоумышленники все чаще используют уязвимости микропрограммного обеспечения устройств. По данным национальной базы уязвимостей института NIST, за последние три года наблюдался почти пятикратный рост количества уязвимостей микрокода...
[Перевод] Сила дженериков в Swift. Часть 2 Добрый день, друзья. Специально для студентов курса «iOS Разработчик. Продвинутый курс» мы подготовили перевод второй части статьи «Сила дженериков в Swift». Связанные типы, условия where, сабскрипты и прочее… В статье «Сила дженериков в Swift. Часть 1» описывались gene...
\"Мегафон\" откажется от покупки дата-центров и будет строить собственные \"Мы внимательно изучали рынок дата-центров на предмет существующих предложений, - сказал он. - В результате принято решение самостоятельно строить дата-центры, используя самые современные решения. Это связано с тем, что существующие дата-центры либо представляют услуги про...
В Блокноте Windows найдена уязвимость повреждения памяти Аналитик проекта Google Project Zero Тавис Орманди (Tavis Ormandy) обнаружил уязвимость повреждения памяти в приложении «Блокнот» операционной системы Windows. Как утверждает специалист, баг дает возможность атакующему выполнить сторонний код и запустить в рамках п...
Porsche планирует электрифицировать свой самый продаваемый внедорожник Macan Компания Porsche объявила о намерении, электрифицировать внедорожник Macan. Уже в следующем поколении самый продаваемый внедорожник Porsche заодно станет первым полностью электрическим компактным внедорожником компании. В прошлом году было продано около 90 000 экземпляр...
Хабрамегарейтинг: лучшие статьи и статистика Хабра за 12 лет. Часть 2/2 Привет Хабр. В первой части были рассмотрены некоторые закономерности развития такого интересного ресурса, как habrahabr. Материал получился длинный, так что продолжение здесь. В этой части мы заодно посмотрим как строить такие картинки, и наконец, завершим нашу статистику ...
Информация о миллионах клиентов Creative Cloud под угрозой Сведения о 7,5 млн пользователей Adobe Creative Cloud обнаружены в незащищенной базе данных на общедоступном сервере. В рамках платформы более 15 млн клиентов работают с Photoshop, Lightroom, Illustrator и другими продуктами разработчика. На момент публикации специалисты ком...
Снова новый. Анонсирован выход спецификации нового разъема USB Type-C Как мы уже сообщали, сегодня группа USB Promoter Group объявила о предстоящем выпуске спецификации USB — серьезного обновления архитектуры USB, которое основывается на ее предыдущих поколениях. В новом поколении самого распространенного интерфейса для периферийных...
Эксперты обнаружили уязвимости в трех VR-платформах ИБ-исследователи Алекс Радоча (Alex Radocea) и Филип Петтерссон (Philip Pettersson) на конференции REcon рассказали об уязвимостях удаленного исполнения кода в платформах виртуальной реальности Steam VR, High Fidelity и VRChat. По их словам, обнаруженные дыры открывали возмо...
SMARTlife: Какие фильмы из 2018 вы забыли посмотреть в 2019 - 5 лучших картин В 2018 году было мало хороших фильмов. Но редакция портала Smartphone.ua собрала в этой статье пять лучших картин, который понравились нам больше всего. Их можно посмотреть на KinoHold - это онлайн кинотеатр, где бесплатно и в хорошем HD качестве собраны лучшие фильмы 2019 и...
[Перевод] Черновик FAQ: Почему стандарты С++ выходят каждые три года? У WG21 есть строгий график (см. P1000) выпуска стандарта каждые три года. И никаких задержек. В течение каждого цикла мы регулярно получаем вопросы «ну почему так строго?», особенно от новых участников комитета, которые не знакомы с его историей и причинами текущего положе...
Состоялся глобальный релиз пошаговой RPG Skylanders: Ring of Heroes Издатель Com2uS наконец выпустил RPG Skylanders Ring of Heroes, первый бета-тест которой начался еще летом прошлого года. Как и прошлые части серии, Ring of Heroes – это спин-офф серии Spyro со знакомыми персонажами. На старте разработчики предлагают игрокам 80 различных ск...
Мир лучше без Windows XP Поддержка Windows XP была официально закрыта в апреле 2014 года, но это не значит, что все от нее отказались.Независимо от того, имеем ли мы в виду старые компьютеры, чье оборудование не может работать под управлением Windows 10, или предприятия, которым необходимо придержив...
[Перевод] Провоцирование сбоев браузера при помощи поведенческого фаззинга В этой статье я расскажу вам, как я использовал фаззинг, чтобы найти несколько сбоев в Firefox. Обычно целью фаззинга является нахождение сбоя, указывающего на повреждение памяти, но моя цель заключается в другом: я хочу обнаружить неожиданную реакцию браузера. Это могут б...
Неизвестные туннели Linux. Осваиваем новые способы строить виртуальные сети Для подписчиковКлассические туннели, такие как GRE и IPIP, знакомы каждому админу. Однако Linux не ограничивается ими. Малоизвестные опции классических туннелей и более новые протоколы могут существенно упростить решение задач. В этой статье мы рассмотрим несколько не самых ...
Adobe исправила патч для опасной дыры в Acrobat Reader Прошло лишь девять дней после выхода плановых патчей для Acrobat и Reader, а компания Adobe вновь призывает обновить продукт. Оказалось, что патч, спешно созданный для бреши 0-day, можно обойти. Уязвимость нулевого дня, о которой идет речь, разработчик закрыл в рамках феврал...
Во всех iPhone 11 обнаружен критический недостаток Уже стало традицией, что после каждого нового поколения фирменных смартфонов Apple в сети появляется множество сообщений о различных проблемах, с которыми сталкиваются их покупатели. С момента запуска iPhone 11 в продажу не прошло и одного Сообщение Во всех iPhone 11 обнару...
Huawei: «6G появится не раньше 2030 года» Вчера в Боао (Хайнань) прошел очередной форум в рамках Asia 2019 Annual Meeting. Ян Чаобин, президент линейки 5G-продуктов Huawei, принял участие в разделе форума под названием «5G: достижения IoT» и открытом обсуждении после блока. Он рассказал, что, хотя некоторые уже гов...
Консоль Microsoft следующего поколения будет более мощной, чем PlayStation 5 После подтверждения на прошлой неделе спецификаций PlayStation 5, консоли следующего поколения стали горячей темой в отрасли. В последнем слухе утверждается, что, как бы ни была мощна консоль Sony, она не будет столь же продвинутой, как преемник Microsoft Xbox One X, сообщае...
Vivo V11i протестирован с Android 9.0 Рie Компания Vivo, как и другие производители, начала распространять обновление до Android 9.0 Рie для своих смартфонов в конце прошлого года. Скоро соответствующая прошивка будет выпущена для Vivo V11i. В базе данных популярного тестового пакета Geekbench появились доказа...
Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + Multi-interfaces + SpamAssassin-learn + Bind Данная статья о том как настроить современный почтовый сервер. Postfix + Dovecot. SPF + DKIM + rDNS. С IPv6. С шифрованием TSL. С поддержкой нескольких доменов — часть с настоящим SSL сертификатом. С антиспам-защитой и высоким антиспам-рейтингом у других почтовых серверов. С...
Это всё, что останется после тебя: криминалистические артефакты шифровальщика Troldesh (Shade) Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, ...
Программы-вымогатели Представители компании сообщили, что обнаружили уязвимость ещё в марте, а в мае начали работать над созданием защитного программного патча. На прошлой неделе Canon опубликовала предупреждение, не рекомендуют использовать небезопасные сети Wi-Fi, отключить сетевые функции, ко...
Shadowsocks через Cloudflare CDN - повышаем безопасность в Сети Атака государства на Интернет продолжается, поэтому в этой статье я хочу рассказать об еще одном способе повысить защищенность своих данных и обезопасить он-лайн общение. Речь пойдет о безопасном и очень быстром proxy, созданном нашими китайскими собратьями - Shadowsocks.
Новые смартфоны iPhone получат более быстрые модули Wi-Fi Сейчас уже никто не спорит с тем, что смартфоны iPhone, выпущенные прошлой осенью, не продемонстрировали тот уровень продаж, на который рассчитывала компания Apple. Очевидно, что Apple прилагает все усилия для того, чтобы новые iPhone, которые будут представлены в сентя...
Google готова заплатить более миллиона долларов за взлом своего продукта Система безопасности Android может стать лучше Крупные компании, что логично, не очень то любят, когда их продукты подвергаются взлому. Мало того, что это удар по их репутации, так он еще и ставит под угрозу личные данные пользователей и в перспективе может нанести гигантски...
[Перевод] Представляем «CLI Builder»-ы В этой статье мы рассмотрим новый API Angular CLI, который позволит вам расширять существующие возможности CLI и добавлять новые. Мы обсудим, как работать с этим API, и какие существуют точки его расширения, позволяющие добавлять новый функционал в CLI. Читать дальше →
[Перевод] Зачем ЯОП? Зачем Racket? Это продолжение статьи «Зачем Racket? Зачем Lisp?», которую я написал примерно через год после того, как открыл для себя Racket. Будучи новичком, я не мог понять дифирамбов, которые со всех сторон сыпались в адрес Lisp. Я не знал, что и думать. Как понимать, что Lisp в конце...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Каждый пятый россиянин имеет доступ к файлам с прошлого места работы У 20% россиян есть доступ к файлам и электронным документам с прошлого места работы. Такие …
Обеспечение надежной работы Zextras Team в сложных корпоративных сетях В прошлой статье мы рассказали вам о Zextras Team — решении, которое позволяет добавить в Zimbra Collaboration Suite Open-Source Edition функциональность корпоративных текстовых и видео-чатов, а также возможность проводить видеоконференции с большим числом участников, без не...
Найдена одна из самых крупных уязвимостей в iOS Исследователь по кибербезопасности под псевдонимом «axi0mX» рассказал об уязвимости для iOS-устройств, работающих на процессорах от A5 (iPhone 4S) до A11 (iPhone 8 и iPhone X). Он назвал эксплоит checkm8 и опубликовал его в открытом доступе на GitHub.
[Из песочницы] Асимметричное шифрование на практике Приветствую вас, хабравчане! Проблемы безопасности — это слабое место большинства из нас. Всем нам неприятно сталкиваться и тем более терять что—то ценное из—за случайного клика мышью. И именно поэтому я решила поделиться найденными материалами с вами. В стремлении развеят...
[Перевод] Архитектура программного обеспечения переоценена, простой и понятный дизайн — недооценен Вашему вниманию предлагается перевод поста Гергелия Ороса, занимающего должность Engineering Manager в Uber. В нем он делится своим взглядом на проектирование крупномасштабных систем, основанном на собственном практическом опыте работы в Uber и Microsoft. В сочетании с ком...
Киберпреступники заинтересовались анализами ДНК Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инцидент...
"Мегафон" будет строить собственные дата-центры Об этом сообщил ТАСС официальный представитель компании."Мы внимательно изучали рынок дата-центров на предмет существующих предложений, - сказал он. - В результате принято решение самостоятельно строить дата-центры, используя самые современные решения. Это связано с тем...
Работа децентрализованной биржи 0x оказалась прервана из-за обнаруженной уязвимости Разработчики протокола 0x были вынуждены на время приостановить работу своей децентрализованной биржи, объяснив это обнаруженной уязвимостью в версии 2.0. По заявлению представителей проекта, средства пользователей находятся в целости и сохранности, однако им необходимо мигр...
Цены российского черного рынка на пробив персональных данных (плюс ответ на ответ Тинькофф Банка) В конце прошлого года я делал обзор цен черного рынка на российские персональные данные, и вот пришло время его обновить и дополнить. Заодно посмотрим изменение цен и предложений на этом «рынке», а также реакцию «Тинькофф Банка» на вот это вот все. Поехали... Читать дальше...
Trend Micro сообщает о 265-процентном росте числа бесфайловых атак Полученные в 2019 году результаты, таким образом, подтверждают многочисленные прогнозы, сделанные Trend Micro в прошлом году. А именно, злоумышленники теперь работают умнее и ориентируются на предприятия и среды, которые обеспечат им наибольшую отдачу от вложенных усилий.&qu...
Security Week 40: уязвимость в BootROM мобильных устройств Apple В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет д...
Отправляем команды. Как заставить популярный серверный почтовик выполнять произвольный код Для подписчиковВ этой статье я расскажу об уязвимости в агенте пересылки сообщений Exim. Найденная брешь позволяет атакующему выполнить произвольный код на целевой системе, что само по себе очень опасно, а если Exim был запущен от рута, то успешная эксплуатация позволяет пол...
CryptoPro JCP на Linux. Как легко и безболезненно перейти на новый стандарт шифрования Для подписчиковС 2020 года использование шифрования по ГОСТ Р 34.10—2001 окажется под запретом, а значит, все организации, которые взаимодействуют с госструктурами, вынуждены срочно внедрять следующий стандарт — 2012 года. Если ты работаешь в одной из них, то не проходи мимо...
За два дня «белые» хакеры заработали на Pwn2Own $510 тысяч За два первых дня соревнования Pwn2Own-2019 в Ванкувере этичные хакеры нашли и продемонстрировали 14 уязвимостей в браузерах и платформах виртуализации. Это принесло им в общей сложности $510 тыс. Pwn2Own проводится в рамках конференции по информационной безопасности CanSecW...
Уязвимость в runC угрожает безопасности Docker, Kubernetes и не только Обнаруженная в runC уязвимость может использоваться для атаки на хост-систему и получения root-доступа.
Началась сертификация поддержки Wi-Fi 6 Организация Wi-Fi Alliance сообщила, что начала работу программа сертификации Wi-Fi CERTIFIED 6. Оборудование Wi-Fi CERTIFIED 6 соответствует спецификации IEEE 802.11ax, в которой закреплены новые возможности, позволяющие «существенно повысить общую производительн...
Как власти Казахстана пытаются прикрыть свой провал с внедрением сертификата Этот пост раньше назывался «Как власти Казахстана используют Хабр для пропаганды» Модераторы Хабра посчитали что заголовок не соответствует содержанию, и я вынужден его изменить на текущий. Еще они из «новостей» хотели перенести в «статьи», так как это мое частное мнение — я...
В сети Cosmos состоялся хардфорк для устранения критической уязвимости Команда Tendermint, работающая над проектом Cosmos, сообщила об успешном проведении хардфорка в основной сети после того, как была обнаружена критическая уязвимость. 🚨 Attn: All Hands, Cosmos Hub 🚨 There was a critical security vulnerability found on #CosmosS...
Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...
Так мог бы выглядеть будущий видеосервис Apple Несмотря на то что до даты предполагаемого релиза собственного видеосервиса Apple остается меньше трех месяцев, мы практически ничего о нем не знаем. Единственное, что известно к настоящему моменту, — это сроки запуска, который ориентировочно запланирован на апрель, г...
Официально: анонс Samsung Galaxy S10 состоится 20 февраля Накануне компания Samsung объявила на своей странице в Twitter дату проведения Samsung Unpacked Event. Следующий флагман южнокорейского бренда будет анонсирован 20 февраля в Сан-Франциско. Мероприятие будет транслироваться в прямом эфире на официальном веб-сайте Samsung, а з...
Как микроконтроллер может читать данные на скорости 1.6 Gbps Всем доброго времени суток! никогда такого не было и вот опять. С моей прошлой статьи прошло уже достаточно времени, а оно ставит новые задачи. И если раньше я передавал данные на скорости 100 Mbps, то теперь пришлось замахнутся на 1600 Mbps… На КПДВ — герой нашего романа ...
Промышленные брандмауэры Cisco получили серию патчей Компания Cisco закрыла 19 уязвимостей в программном обеспечении для межсетевых экранов Adaptive Security Appliance (ASA) и Firepower. Все баги имеют высокую степень опасности и получили от 7,2 до 8,8 балла по шкале CVSS. Обновленные версии прошивок доступны клиентам компании...
Состоялся релиз протокола EOSIO 2.0 – фокус на безопасности и масштабировании сети EOS Разработчик протокола EOS компания Block.one представила EOSIO 2.0, новую версию ПО, призванную повысить безопасность и масштабируемость сети. Как говорится в сообщении Block.one, EOSIO 2.0 станет первой реализацией протокола, где в целях расширения возможностей сети и созда...
Слух дня: консоль Sony PlayStation 5 представят 12 февраля 2020 года Игровые консоли нового поколения мы увидим в следующем году. Пока неизвестно, когда они появятся в продаже, но, если верить свежим слухам, анонс Sony PlayStation 5 намечен на 12 февраля. В этот день Sony якобы проведёт мероприятие PlayStation Meeting 2020, где покажут ...
Cisco исправила критическую RCE-уязвимость в роутерах RV110W, RV130W и RV215W Инженеры Cisco исправили критическую уязвимость в веб-интерфейсах своих продуктов. Баг набрал 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS V3.
Оказывается, iPhone 11 Pro следит за пользователями в обход запретов Смартфон iPhone 11 Pro постоянно собирает и передаёт данные о местоположении, даже когда пользователь отключил соответствующие сервисы в настройках. Об этой проблеме рассказал специалист по безопасности Брайан Кребс (Brian Krebs) в своём блоге KrebsOnSecurity. По...
Спецификация Lightning Network прошла первый формальный тест на безопасность Первая формальная проверка спецификации сети Lightning Network (LN) на безопасность дала положительные результаты, пишет CoinDesk. В своей работе под названием A Composable Security Treatment of the Lightning Network, участие в которой также приняла компания IOHK, исследоват...
Эксперты назвали ТОП-10 стран с самым крупным импортом автомобилей в Россию В течение 11 месяцев прошлого года российские компании ввезли в РФ 213 000 новых и подержанных автомобилей. Специалисты из «АВТОСТАТ» подготовили ТОП-10 стран, больше всего импортирующих на территорию России. Согласно полученной информации, каждая третья машина приезжает в ...
Раскрыты пять пропатченных уязвимостей в iOS Участники команды Google Project Zero раскрыли подробности о пяти из шести найденных ими уязвимостей в iOS. Все они позволяли проводить удаленные атаки на систему без взаимодействия с пользователем. Компания исправила ошибки в последнем обновлении системы, 12.4, которое вышл...
Wi-Fi 6 поколения уже здесь. Чем он так хорош? С постоянно растущим объемом информации возрастает и нужда в увеличении пропускной способности. Еще несколько лет назад передача потокового видео в разрешении 4К казалась очень сложной, да и подходящие для его воспроизведения телевизоры (не то что смартфоны) можно было по п...
Опасная уязвимость 5 лет позволяла взламывать Android через браузер Уязвимость в «Google Фото», которая позволяла деанонимизировать практически любого из нас, оказалась не единственной сложностью для Google, стремящейся обеспечить безопасность своих пользователей. Еще один изъян, открывающий злоумышленникам доступ к конфиденциальной информа...
В самокатах Xiaomi найдена уязвимость, которая позволяет любому управлять ими удаленно Электрический транспорт — хорошо, а еще лучше, когда его можно взять с собой — например, самокат. Но чем сложнее технология, тем больше у нее появляется уязвимостей. Так, американская компания Zimperium, которая специализируется на безопасности мобильных устройс...
Слепая простота В этой статье я расскажу о blind XSS — это довольно простая, но зачастую очень эффективная атака на веб-приложения. Эксплуатация таких векторов атак приводит к захвату админ-панелей различных сервисов, в том числе софтверных гигантов. Читать дальше →
Ученые впервые получили лазерный свет, имеющий форму фракталов Фракталы каждый из нас видит в окружающем нас мире по многу раз за один день, даже не подозревая об этом. Раковина улитки, листья растений и рисунок изморози на лобовом стекле автомобиля - это лишь немногие из примеров фракталов, существующих в природе. С точки зрения науки ...
Huawei ежедневно подвергается миллиону кибератак Ссылаясь на представителя компании Huawei Technologies, источник утверждает, что китайский производитель ежедневно выдерживает около 1 миллиона кибератак. Они исходят как изнутри страны, так и из-за ее пределов. В заголовке источник уточняет, что атаке подвергается обор...
[Из песочницы] Распутывание клубка уязвимостей на сайтах После своей первой статьи, опубликованной на codeby, которая вошла в топ 3 публикаций недели, я был очень мотивирован написать следующую. Но 11 класс накладывает ограничения на свободное время подготовкой к егэ и олимпиадами. Поэтому вторую я пишу лишь спустя несколько меся...
Эксперты предупредили о небезопасных роутерах NETGEAR Исследователи Talos Intelligence обнаружили уязвимости в беспроводных роутерах NETGEAR. Из-за некорректной настройки рукопожатия между клиентом и точкой доступа злоумышленник может перехватить закрытые данные сетевых устройств. Баги содержатся в модуле ядра NetUSB одного из ...
Как настроить Linux для входа в домен с использованием алгоритмов ГОСТ Введение Протокол Kerberos 5 сейчас активно используется для аутентификации. Особенностью данного протокола является то, что он осуществляет аутентификацию, базируясь на трех китах: Симметричное шифрование Хеширование ЭЦП Третья доверенная сторона Начиная с пятой версии п...
Опубликован эксплоит для уязвимости в Outlook для Android Для RCE-уязвимости в Outlook для Android, о которой стало известно на прошлой неделе, опубликован работающий эксплоит.
В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...
Уязвимость в Windows позволяет установить контроль над компьютером жертвы Уязвимость CVE-2019-1132 представляет собой локальное повышение привилегий в компоненте win32k.sys. После развертывания эксплойта злоумышленники получали возможность устанавливать практически полный контроль над компьютером жертвы.В Windows 8 и более поздних версиях ОС преду...
От пяти копеек до игры божеств Доброго дня. В прошлой своей статье я затронул тему настольно-ролевых конкурсов, которые, как и всевозможные инди-джемы для разработчиков софта, помогают концептам и наброскам развиться в нечто большее. В этот раз расскажу о истории другого своего конкурсного проекта. Наст...
Security Week 15: атака на роутеры с подменой DNS К теме уязвимости в сетевых роутерах мы обращаемся далеко не первый раз, но исследования группы Bad Packets и компании Ixia (новость, отчет Bad Packets, отчет Ixia) интересны тем, что представляют почти полную картину: как ломают роутеры, какие настройки меняют, и что потом ...
Новый стандарт Wi-Fi 6 официально представлен Wi-Fi Alliance официально представила новый стандарт Wi-Fi IEEE 802.11ax, который более известен как Wi-Fi 6. С появлением Wi-Fi 6 компании могут официально сертифицировать свои совместимые с данным стандартом устройства. В целом Wi-Fi 6 получил значительные улучшения произв...
Баг в Docker позволяет читать файлы за пределами контейнера Ведущий разработчик Linux-дистрибутива SUSE Алекса Сараи (Aleksa Sarai) сообщил об уязвимости в упаковщике Docker, которая позволяет атакующему совершить побег из песочницы и выполнять операции с файлами на целевом хосте. Баг требует доступа к контейнеру во время копирования...
Google обещает переработанный пластик для всех устройств Google Alphabet в понедельник объявил, что к следующему году нейтрализует выбросы углерода от поставок потребительского оборудования и к 2022 году включит переработанный пластик в каждый из своих продуктов. К 2020 году Google обещает поставки с нейтральным уровнем выбросов у...
Microsoft исправила опасную ошибку в коде RDP Октябрьские обновления для продуктов Microsoft совокупно устраняют 59 уязвимостей. Девять из них разработчик оценил как критические, в том числе RCE-баг в клиентском приложении удаленного рабочего стола. «В этом месяце Microsoft выступила скромно: пропатчила 59 уязвимос...
Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...
Siemens закрыла 10-балльную уязвимость в цифровой подстанции Разработчики Siemens залатали десятибалльную брешь в ADMS-платформе Spectrum Power, предназначенной для управления энергетическими сетями, а также сбора и анализа параметрических данных. Уязвимость позволяла нападающему выполнить вредоносную команду на уровне ОС целевого уст...
TCP против UDP или будущее сетевых протоколов Перед каждым сервисом, генерирующим хотя бы 1 Мбит/сек трафика в интернете возникает вопрос: «Как? по TCP или по UDP?» В прикладных областях, в том числе и платформах доставки уже сложились предпочтения и традиции принятия подобных решений. По идее, если бы, к примеру, одна...
Бэкдор позволяет перехватить контроль над умным зданием Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений....
Глобальная точка доступа Somewear Используйте телефон в качестве устройства спутниковой связи с глобальной точкой доступа Somewear. С помощью приложения и точки доступа Somewear у вас есть доступ к множеству цифровых товаров, где бы вы ни находились. Глобальная точка доступа позволяет вам наслаждаться дв...
Пострадавшие от кибератак запаздывают с обращениями к сервису реагирования на киберинциденты По данным "Лаборатории Касперского", пострадавшие организации предоставили данные, необходимые для подробного анализа, благодаря чему для них удалось восстановить подробную хронологию действий атакующих и выявить векторы первичной компрометации. Чем раньше организа...
Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей ...
Безопасность клиентских приложений: практические советы для Front-end разработчика Как вы знаете, большая часть атак BlackHat-хакеров направлена на компрометацию серверных данных web-приложений и сервисов. При этом клиентскую часть сегодня атакуют не реже. Согласно сухому определению, любая атака — это комплекс мер со стороны хакера, направленных на сеть и...
Security Week 17: атаки по цепи поставок В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют довере...
ProКонтент 2019: три хардовых доклада и частушка Привет, Хабр! У нас прошла конференция по разработке технической документации – ProКонтент 2019. Мне довелось изнутри посмотреть на процесс рождения конференции и даже выступить с пятиминутным мини-докладом. Не претендуя на объективность, очень кратко расскажу про доклады, к...
Xiaomi Mi Band 4 получил сертификацию Bluetooth 5.0 и будет поддерживать NFC В июне 2018 года, когда были запущены смартфоны серии Mi 8, появился еще один удивительный продукт — Mi Band 3. Последний является одним из самых продаваемых браслетов на планете. Поэтому, когда мы узнали, что смартфоны линейки Mi 9 будут представлены в первом квартале 2019 ...
Уязвимость библиотеки Windows грозит отказом в обслуживании Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал уязвимость криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагруз...
На более чем 44% полных нод в сети биткоина установлен клиент с критической уязвимостью Больше половины полных нод в основной сети биткоина все еще не установили обновление клиента Bitcoin Core, в котором была устранена критическая уязвимость, позволявшая саботировать работу 90% узлов для осуществления двойной траты. Об этом в начале месяца сообщил Cointelegrap...
[Перевод] Эволюция переключения контекста x86 в Linux В прошлые выходные, изучая интересные факты об аппаратном переключателе контекста 80386, я вдруг вспомнил, что первые версии ядра Linux полагались именно на него. И я погрузился в код, который не видел уже много лет. Сейчас я решил описать это чудесное путешествие по истор...
Безопасный доступ к полям регистров на С++ без ущерба эффективности(на примере CortexM) Рис. взят с сайта www.extremetech.com/wp-content/uploads/2016/07/MegaProcessor-Feature.jpg Всем доброго здравия! В прошлой статье я рассмотрел вопрос о проблеме доступа к регистрам микроконтроллера с ядром CortexM на языке С++ и показал простые варианты решения части про...
Первые тесты новейшего CPU Ryzen 5 3600: на уровне и даже быстрее, чем Core i7-8700K Несколько дней назад компания AMD представила процессоры Ryzen третьего поколения. Нам пока показали лишь пять моделей, младшей из которых является шестиядерный CPU Ryzen 5 3600 стоимостью 200 долларов. Учитывая опыт прошлых поколений, вероятно, именно Ryzen 5 3600 и 3...
[Из песочницы] Это Karma, детка, или почему атака на беспроводные сети, которая должна была кануть в лету, все еще жива Сегодня беспроводные точки доступа окружают нас повсюду: в кафе, ресторанах, в торговых центрах и в транспорте. Это перестало быть чем-то необычным, и мы спокойно подключаемся к незащищенной сети или постоянно держим включенным режим поиска знакомых точек вокруг. Именно поэ...
Тотальный бойкот HTTP. Google Chrome вскоре будет по умолчанию блокировать весь «смешанный» контент Google продолжает предпринимать шаги для вытеснения старого протокола HTTP в пользу нового HTTPS. Еще несколько лет назад Google начал учитывать поддержку HTTPS при ранжировании результатов поиска с индексацией HTTPS-страниц по умолчанию. Затем в фирменном браузере Chrome (с...
Группировка Hidden Cobra вооружилась новым зловредом Эксперты Национального центра кибербезопасности США (National Cybersecurity and Communications Integration Center, NCCIC) обнаружили новый зловред в арсенале APT-группировки Hidden Cobra. Программа под названием Electricfish представляет собой продвинутый сетевой шлюз, позво...
Слух: на E3 2019 Microsoft расскажет о новых консолях Xbox В прошлом году компания Sony сделала заявление о том, что впервые пропустит крупнейшую ежегодную выставку игровой индустрии E3 2019, но её главный конкурент Microsoft планирует провести там свою пресс-конференцию. Более того, как сообщает французское новостное издание JeuxVi...
Видеоурок Теплицы: как настроить доступ к сайту по SSH и защитить передачу данных Если у вас уже есть сайт, или вы только планируете его запуск, вопросы безопасности должны стоять на первом месте. К сожалению, безопасность сайта это целый комплекс мер, и учесть все сложно, особенно не специалисту. Но есть ряд фундаментальных действий, которые могут выполн...
Сеть компании и MitM. Часть 1 Перехватить конфиденциальную информацию? Получить несанкционированный доступ к различным приложениям и системам? Нарушить нормальный режим работы? Все это и многое другое выполняют атаки типа Man in the Middle. Сегодня мы начинаем цикл статей, посвященный атакам «человек п...
Apple выпустила обновление iOS 12.1.4 с устранением ошибки в Group FaceTime и пообещала вознаграждение 14-летнему подростку, который первым нашёл её Компания Apple выпустила новую версию мобильной операционной системы iOS 12.1.4, которая устраняет проблемы безопасности в работе функции Group FaceTime. Эта ошибка была выявлена на прошлой неделе. Она обеспечивала звонящему абоненту незаявленную возможность подслушать посре...
[Перевод] Ожидаемые новые возможности JavaScript, о которых полезно знать С момента выхода стандарта ECMAScript 2015 (его ещё называют ES6) JavaScript серьёзно изменился и улучшился. Это очень хорошая новость для всех JS-разработчиков. Более того, теперь новая версия ECMAScript выходит каждый год. Возможно, вы не обратили особого внимания на то, ч...
Камера Android позволяет шпионить за сотнями миллионов пользователей Уязвимость в системе безопасности позволяла любым приложениям управлять родным приложением «Камера» в операционной система Android без необходимых разрешений со стороны пользователя, в том числе снимать фото. Об этом рассказал в статье глава отдела безопасно...
Апрельские патчи Oracle закрыли 297 брешей Компания Oracle выпустила очередной ежеквартальный набор патчей для своих продуктов. На сей раз заплатки закрывают 297 уязвимостей. Это несколько больше, чем в январском обновлении, которое устраняло 284 бреши. Разработчики залатали дыры в бизнес-платформе Fusion Middleware,...
«Технология» получения уравнений динамики ТАУ. И почему System Identification is sucks, а рулит «честная физика» При обсуждении предыдущей статьи про модельно-ориентированное проектирование возник резонный вопрос: если мы используем данные эксперимента, а можно ли поступить еще проще, засунуть данные в System Identification и получить модель объекта, не заморачиваясь с физикой вообще? ...
В первом полугодии 2019 года обнаружено более 100 миллионов атак на умные устройства Данные были получены с помощью специальных ловушек, так называемых honeypots, - сетей виртуальных копий различных приложений и подключённых к интернету устройств.Злоумышленники заражают сети умных устройств для проведения DDoS-атак или чтобы использовать их в качестве прокси...
Аудит выявил критический баг в эмуляторе терминала iTerm2 для macOS Спонсируемый Mozilla аудит выявил критическую уязвимость в эмуляторе терминала iTerm2, которая приводит к удаленному выполнению команд.
Какие инструменты сетевого мониторинга выбились в лидеры по версии Gartner В феврале 2019 года Gartner выпустил новый Magic Quadrant for Network Performance Monitoring and Diagnostics (MQ for NPMD). NPMD инструменты — это решения для мониторинга сетевого трафика и инфраструктурных метрик сетевых устройств. Большая часть вендоров поставляет комплекс...
Специалисты Microsoft изучили попытки применения BlueKeep Эксперты Microsoft предупредили пользователей о растущей угрозе кибератак на базе уязвимости BlueKeep. Как выяснили специалисты, преступники создали новый эксплойт, который уже применяется для распространения зловредов-криптомайнеров. Уязвимость BlueKeep (CVE-2019-0708) соде...
Новые устройства сетевых маршрутизаторов Orbi Калифорнийская сетевая компания продемонстрировала два новых дополнения к своему семейству сетевых маршрутизаторов Orbi, предназначенная для покрытия интернета в мертвые зоны вашего дома, и мобильную точку доступа Nighthawk 5G, которая обеспечивает высокоскоростные соединени...
Кто хочет стать миллионером? Mail.ru обещает миллион рублей за уязвимости в новом браузере Atom Mail.ru Group представила новый браузер Atom с акцентом на безопасность и приватность пользователей. Для проверки компания запустила публичную программу поиска уязвимостей. Пользователям, которые найдут серьёзную уязвимость в Atom обещана награда в размере одного...
Авторский курс по обучению Ардуино для собственного сына Здравствуйте! Прошлой зимой я рассказывал на страницах Хабра о создании робота-«охотника» на Ардуино. Я занимался этим проектом со своим сыном, хотя, по сути, 95% всей разработки осталось за мной. Робота мы доделали (и уже, кстати, разобрали), но после этого возникла новая ...
Клавиатурные расширения на iOS могут получить лишние права Разработчики Apple сообщили об уязвимости iOS, позволяющей сторонним клавиатурам получить полный набор привилегий на iOS-устройстве. Об этой проблеме стало известно уже после выхода версии ОС 13.1, которая устранила возможность несанкционированного доступа к контактам пользо...
В игровом клиенте GOG закрыто шесть опасных уязвимостей Эксперты Cisco Talos обнаружили набор серьезных уязвимостей в клиенте игровой платформы GOG. Бреши, которые уже закрыты в актуальной версии программы, позволяли взломщику повысить привилегии в системе и получить доступ к закрытым данным. Платформа GOG.com — это цифровой мага...
Обзор и отличия iPhone 11 Pro от iPhone XS Max На первый взгляд в iPhone 11 Pro и Pro Max изменений немного: новая камера да процессор. Но если копнуть глубже, открывается целый ворох улучшений. Их даже набралось на полноценный обзор iPhone 11 Pro. Изучая новинку, разберёмся заодно и с отличиями iPhone 11 Pro от iPhone X...
Аудит безопасности облачной платформы MCS SkyShip Dusk by SeerLight Построение любого сервиса обязательно включает в себя постоянную работу над безопасностью. Безопасность — это непрерывный процесс, который включает в себя постоянный анализ и улучшение защищенности продукта, мониторинг новостей про уязвимости и мн...
Гни свою линию. Meizu 17 удивляет очень узкими рамками экрана Meizu является одной из немногих компаний в индустрии, которая не использует в своих смартфонах вырезы или отверстия в дисплеях. Компания придерживается симметричного дизайна в духе Samsung Galaxy S8/S9, продолжая уменьшать ширину рамок, но не добавляя никаких выре...
Криптомайнеры доминируют в ландшафте угроз Компания Check Point выпустила первую часть отчета 2019 Security Report. В отчете освещены основные инструменты, которые киберпреступники используют для атак на организации по всему миру, и предоставляет специалистам по кибербезопасности и руководителям компаний информацию, ...
Расширяем возможности UObject в Unreal Engine 4 Всем привет! Меня зовут Александр, я уже более 5 лет работаю с Unreal Engine, и почти все это время — с сетевыми проектами. Поскольку сетевые проекты отличаются своими требованиями к разработке и производительности, нередко необходимо работать с более простыми объектами, та...
Почему Apple больше не дает установить iOS 13.2 Обновление iOS 13.2 больше нельзя установить В ночь на 15 ноября Apple перестала подписывать iOS 13.2. Это значит, что владельцы iPhone, iPad и iPod Touch больше не смогут установить эту версию операционной системы. Однако с момента релиза iOS 13.2 прошло не так много времен...
Анонс Windows 10 Insider Preview Build 18312 (Fast) Добрый вечер, друзья! Сегодня компания Microsoft выпустила новую предварительную сборку Windows 10 19H1 для участников программы Windows Insider, использующих быстрый канал обновлений. Как обычно, предлагаем вашему вниманию список изменений на русском языке. Напоминаем, что...
В WordPress найдена критическая уязвимость шестилетней давности Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все версии CMS, выпущенные за последние 6 лет.
Исследователи Check Point Research обнаружили уязвимость в украинской стриминговой платформе В украинской стриминговой платформе Ministra найдены критические уязвимости, которые могут привести к серьезным нарушениям со стороны операторов связи.
SwiftUI для прошлого конкурсного задания Telegram Charts (март 2019 года): все просто Сразу начну с замечания о том, что приложение, о котором пойдет речь в этой статье, требует Xcode 11 и MacOS Catalina , если вы хотите использовать Live Previews, и Mojave, если будете пользоваться симулятором. Код приложения находится на Github. В этом году на WWDC 2019,...
Microsoft представила новый браузер для Windows и macOS На ежегодной ежегодной конференции Ignite 2019 компания Microsoft официально представила новый Microsoft Edge на движке Chromium для Windows и macOS. Новый Microsoft Edge использует тот же движок Chromium, что и браузер Chrome от Google. Microsoft ведёт его разра...
Переписка 10 миллионов пользователей «китайского Tinder» оказались в открытом доступе Об этом сообщает Zecurion со ссылкой на Дэррила Бурка, специалиста по кибербезопасности и автора блога Respect My Securitay. Эксперту без усилий удалось обойти безопасность Sweet Chat и просмотреть личные данные пользователей, в частности, переписку и вложенные фотографии....
[Перевод] Бесстрашная защита. Безопасность потоков в Rust Это вторая часть цикла статей «Бесстрашная защита». В первой мы рассказывали про безопасность памяти Современные приложения многопоточны: вместо последовательного выполнения задач программа использует потоки для одновременного выполнения нескольких задач. Все мы ежедневно ...
Philips Momentum 436M6 - телевизор или монитор Philips Momentum 436M6 больше похож на телевизор, чем на классический дисплей ПК. Philips Momentum 436M6 использует стандарт VESA DisplayHDR-1000, который на данный момент является новым этапом развития мониторов. Производитель не забыл о геймерах используя в своей мод...
«Лаборатория Касперского» об APT-атаках в первом квартале 2019 года В первом квартале 2019 года русскоговорящие кибергруппировки в основном ушли в тень. Лишь немногие …
Баг iOS 13 позволяет каждому просмотреть все ваши пароли Не секрет, что Apple уделяет огромное внимание теме безопасности и конфиденциальности. Но даже у такой крупной корпорации бывают проколы. Вчера пользователи Reddit обнаружили довольно серьёзную уязвимость iOS 13. Выяснилось, что все сохраненные учетные записи с паролями, а ...
Galaxy S10 сможет заряжать iPhone и другие смартфоны, поддерживающие Qi Впервые о том, что будущий флагман Samsung получит поддержку реверсивной беспроводной зарядки (то есть сможет не только сам заряжаться, но и заряжать другие устройства), заговорили ещё прошлой осенью. В конце января в сети появилось изображение демонстрационного стенда с воз...
Решение задания с pwnable.kr 16 — uaf. Уязвимость использование после освобождения (use after free) В данной статье рассмотрим, что такое UAF, а также решим 16-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о ...
Security Week 35: статистика утекших паролей и атаки через Google Drive Прошедшая неделя отметилась как минимум двумя громкими событиями в сфере инфобезопасности. Впервые за долгое время для актуальных моделей Apple iPhone со свежей прошивкой iOS 12.4 доступен джейлбрейк (новость, пост на хабре). Джейлбрейк эксплуатирует уязвимость, которую закр...
Western Digital представила новую линейку продуктов WD Red Сегодня компания Western Digital представила новые линейку продуктов для хранения данных WD Red. В нее вошли три модели, которые в первую очередь нацелены для использования в NAS-системах и могут обеспечить при работе хорошую производительность, долговечность, ёмкость. Цены...
[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 44. Введение в OSPF Сегодня мы начнем изучение маршрутизации по протоколу OSPF. Эта тема, как и рассмотрение протокола EIGRP, является важнейшей во всем курсе CCNA. Как видите, раздел 2.4 называется «Настройка, проверка и неполадки единичной зоны и мультизоны OSPFv2 для протокола IPv4 (за исклю...
Разработчиков Microsoft не тревожит публикация PoC-эксплоитов для уязвимостей в IE и Edge Представители Microsoft не считают опасными уязвимости в браузерах IE и Edge, для которых на прошлой неделе были опубликованы эксплоиты.
Древности: ThinkPad 380E, эконом-класс 90-х и Windows 95 Коллекционирование старой техники может быть слегка нечестным к реалиям времени, которое пытаешься изучить. Большинство винтажных ноутбуков на старте продаж стоили или дорого (ThinkPad 600, ThinkPad T22) или очень дорого (ThinkPad X301). Если бы в те времена я не был беззабо...
Эксперты подделали подписи в программах для просмотра PDF Исследователи из Рурского университета в Бохуме рассказали об уязвимости системы цифровой подписи, используемой в приложениях для просмотра PDF-файлов. Чтобы заранее оповестить разработчиков ПО о найденных брешах, с октября 2018 года ученые сотрудничали со специалистами Феде...
Презентацию Apple iPhone 11 можно будет посмотреть в прямом эфире на YouTube Компания Apple планирует транслировать свое большое событие iPhone 11 на платформе YouTube во вторник. Трансляция на YouTube значительно увеличит количество людей, которые смогут следить за презентацией. В прошлом году Apple расширила трансляцию iPhone до Twitter, а ещ...
Уязвимости в стандарте связи позволяют следить за 5G-смартфонами Группа ученых Университета Пердью и Университета Айовы опубликовала доклад об уязвимостях протоколов LTE 4G и LTE 5G, угрожающих большинству мобильных устройств. Метод назвали ToRPEDO — TRacking via Paging mEssage DistributiOn (Отслеживание через обработку служебных сообщени...
Windows 10 версии 1903 требует 32 Гб на накопителе, но не везде Недавно вышла Windows 10 May 2019 Update и было объявлено, что системные требования слегка подрастут и отныне потребуется накопитель минимум на 32 Гб. Microsoft немного прояснила данную ситуацию. Оказывается это относится только к OEM-партнерам, которые используют чистую уст...
[Из песочницы] Критическая уязвимость в admin-ajax.php На прошлой неделе столкнулся с крайне неприятным фактом. Зайдя на свой сайт, обнаружил, что он переадресовывает меня на неведомый мне ресурс, на который крайне сильно ругается антивирус Dr. Web Сайт работает на WordPress актуальной версии 5.1 Все выходящие обновления для д...
Нестрашные хакеры: почему не работает закон о критической инфраструктуре Вступивший в силу в 2019 году закон «О безопасности критической информационной инфраструктуры» так и не заработал, признали власти. До сих пор не составлен реестр объектов, атаки на которые окажутся наиболее опасными для страны.
Любой клиент Exchange может стать администратором домена Уязвимость Microsoft Exchange Server позволяет злоумышленнику повысить привилегии любого зарегистрированного в системе почтового аккаунта до уровня администратора домена. Это выяснил ИБ-специалист Дирк-Ян Моллема (Dirk-jan Mollema), выложивший PoC атаки на GitHub. Аналитик п...
Как мы закрываем уязвимости в ОС Astra Linux Special Edition Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их ус...
Отказоустойчивая балансировка VoIP-трафика. Переключение нагрузки между дата-центрами в пик-тайм Несколько слов о том, чем мы занимаемся. DINS участвует в разработке и поддержке UCaaS сервиса на международном рынке для корпоративных клиентов. Сервис используют как малые компании и стартапы, так и большой бизнес. Клиенты подключаются через интернет по SIP протоколу повер...
Обнаружена опасная многолетняя уязвимость в Android Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данн...
Что представляет из себя новый интерфейс в сборке Xbox One Build 18362 Компания Microsoft неожиданно для обозревателей выпустила новую панель Xbox в каналах Xbox Alpha и Skip Ahead. Давайте посмотрим, что она из себя представляет.На прошлой неделе Microsoft представила нечто под названием Home Experiment. Компания тестирует новую панель для игр...
lifecell запускает поддержку eSIM, стартовый пакет «lifecell eSIM» обойдется в 150 грн На прошлой неделе «ТриМоб» первым запустил eSIM в Украине, а теперь о поддержке данного стандарта объявил еще один украинский мобильный оператор lifecell. Соответствующее сообщение появилось на facebook-странице оператора: «lifecell всегда на шаг впереди и это не пустые...
Новое приложение 3CX для Android — ответы на вопросы и рекомендации На прошлой неделе мы выпустили обновление 3CX v16 Update 3 и новое приложение (мобильный софтфон) 3CX для Android. Софтфон предназначен для работы только с 3CX v16 Update 3 и выше. У многих пользователей возникли дополнительные вопросы о работе приложения. В этой статье мы о...
Microsoft Edge для macOS В прошлом месяце мы анонсировали первые предварительные сборки следующей версии Microsoft Edge для Windows 10. Сейчас мы рады сообщить, что канал Microsoft Edge Canary стал доступен и для macOS. Теперь на сайте Microsoft Edge Insider можно найти сборки для компьютеров с macO...
Убийца iOS: джейлбрейк с помощью checkra1n в вопросах и ответах Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность...
Security Week 49: взлом гостиничной инфраструктуры 28 ноября эксперты «Лаборатории Касперского» опубликовали интересное исследование о систематических атаках на компьютеры в гостиницах. Подтвержденных жертв кампании больше 20, потенциальных — больше тысячи. Исследованные атаки, скорее всего, ведут две разные группировки с не...
Meizu выпустит Flyme 8 на следующей неделе Компания Meizu объявила дату выхода долгожданной прошивки Meizu Flyme 8. Он состоится в следующий вторник, 13 августа. Flyme 8 выйдет на три месяца позже, чем Flyme 7, которая была запущена в апреле прошлого года. Тестирование новой прошивки началось ещё в первом квартале эт...
[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 18. Основы маршрутизации Сегодня мы приступим к изучению роутеров. Если вы прошли мой видеокурс с первого по 17-й урок, то уже изучили основы свитчей. Сейчас мы переходим к следующему устройству – роутеру. Как вы знаете из предыдущего видеурока, одна из тем курса CCNA так и называется – Cisco Switch...
Россия отрепетировала скрытую атаку атомных подводных лодок Пресс-служба Тихоокеанского флота сообщила, что на базе ее подводных сил, на Камчатке, прошло полномасштабное учение, в рамках которого в том числе отрабатывалась скрытность и безопасность вывода двух атомных подводных лодок из пункта постоянного базирования.
SSD на базе QLC — убийца жёстких дисков? На самом деле нет SSD-накопители уже давно вышли из разряда дорогой и ненадежной экзотики и стали привычным компонентом компьютеров всех уровней, от бюджетных офисных «печатных машинок» до мощных серверов. В этой статье мы хотим рассказать о новом этапе эволюции SSD — очередном повышении уро...
Свежую уязвимость в vBulletin уже используют ботнеты 0-day уязвимость в vBulletin, подробности о которой были опубликованы на прошлой неделе, уже взяли на вооружение операторы ботнетов.
iPhone 11 получит разъём USB-C вместо Lightning? В 2018 Apple впервые отказалась от своего проприетарного разъёма Lightning в пользу более распространенного и современного USB Type-C. Новый разъём получил своё применение в линейке профессиональных планшетов iPad Pro. Инсайдеры уверены — на этом компания не остановит...
Число утечек из медицинских учреждений выросло на 16% В 2018 г. аналитический центр компании InfoWatch зарегистрировал 429 утечек из различных учреждений медицинской сферы по всему миру: больницы, поликлиники, военные госпитали, лаборатории, аптеки, медицинское страхование и т.д. Это почти на 16% больше, чем в 2017 г. Число ско...
Google заплатит за уязвимости, найденные в Facebook, Instagram и WhatsApp Указанные приложения были подведены под действие баунти-программы Google Play Security Reward Program (GPSRP), представленной на платформе HackerOne. До этого под программу подпадало всего восемь популярных приложений сторонних разработчиков, которые Google выбрала по частны...
[Перевод] Лямбды: от C++11 до C++20. Часть 2 Привет, хабровчане. В связи со стартом набора в новую группу по курсу «Разработчик C++», делимся с вами переводом второй части статьи «Лямбды: от C++11 до C++20». Первую часть можно прочитать тут. В первой части серии мы рассмотрели лямбды с точки зрения C++03, C++11 и C+...
Принцип увеличения гибкости характеристик современных автомобильных ДВС Насколько важно иметь совершенный код в программе для ее быстрой и качественной работы? Настолько же важно для ДВС тратить меньше энергии там, где этих затрат можно избежать. Прошлая статья из-за упрощений вызвала вопросы критического характера у части хабра-людей. В этой я...
[Из песочницы] Процесс компиляции программ на C++ Цель данной статьи: В данной статье я хочу рассказать о том, как происходит компиляция программ, написанных на языке C++, и описать каждый этап компиляции. Я не преследую цель рассказать обо всем подробно в деталях, а только дать общее видение. Также данная статья — это необ...
Duet2 WiFi V1.3 - клон от MKS Когда думаешь что уже спроектировал достаточно хороший принтер, всегда попадается на глаза какая-то новая идея. Причем постоянно попадается.Вот попалась идея быстрой смены филамента в процессе печати, даже несколько идей, разных. Понравилась идея E3D использовать сменные печ...
Ключи шифрования Bluetooth можно ослабить Специалисты CISPA (Центр IT-безопасности, приватности и подотчетности) определили уязвимость Bluetooth, которая может привести к раскрытию информации и несанкционированному повышению привилегий. Баг CVE-2019-9506 получил 9,3 балла по шкале CVSS, что соответствует критическом...
Для Hearthstone анонсировано новое дополнение «Натиск драконов», релиз 10 декабря На фестивале BlizzCon 2019, который прошел в прошлую пятницу, компания Blizzard так и не поделилась важной информацией о Diablo Immortal. Только на сайте появился пост с новой информацией, из которого можно сделать следующие выводы: разработчики не знают, когда игра выйдет, ...
Adobe исправила RCE-уязвимость в ColdFusion Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода, а также обход механизмов контроля доступа. Оставшийся недостаток оценен как важный и связан с возм...
Использование Spring state machine на практическом примере Использование Spring state machine на примере протокола РОСЭУ. В статье описано использование Spring state machine на примере установки соединения согласно технологии РОСЭУ. Соединение устанавливается между двумя операторами ЭДО в режиме точка-точка или через роуминговый це...