Социальные сети Рунета
Пятница, 29 марта 2024

ChipWhisperer: атака по энергопотреблению на Магму Автор статьи: rakf В рамках Summer of Hack 2019 в Digital Security я разбирался с атакой по энергопотреблению и работал с ChipWhisperer. Что это? Анализ энергопотребления — это один из видов атак по сторонним каналам. То есть атак, использующих информацию, которая появляетс...

Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам WannaCry, NotPetya, BadRabbit и другие — вирусы-шифровальщики, которые гремели на весь мир ещё около года-двух назад. Сегодня об атаках таким типов вирусов шума меньше, но истории с атаками всё равно происходят. В этой статье я покажу один из инструментов для остановки ата...

Потенциальные атаки на HTTPS и как от них защититься Половина сайтов использует HTTPS, и их число стабильно увеличивается. Протокол сокращает риск перехвата трафика, но не исключает попытки атак как таковые. О некоторых их них — POODLE, BEAST, DROWN и других — и способах защиты, мы расскажем в нашем материале. Читать дальше...

RAMBleed: извлечь RSA-ключ за 34 часа Представлена новая атака RAMBleed, основанная на методе Rowhammer. Теперь под ударом не только целостность, но и конфиденциальность пользовательских данных. Исследователи продемонстрировали атаку на OpenSSH, в ходе которой им удалось извлечь 2048-битный RSA-ключ. Как они...

[Из песочницы] Обнаружение уязвимостей и оценки стойкости к хакерским атакам смарт-карт и криптопроцессоров со встроенной защитой За последнее десятилетие помимо методов извлечения секретов или выполнения других несанкционированных действий атакующими стали применяться неумышленная утечка данных и манипулирование процессом выполнения программ за счет побочных каналов. Традиционные методы атаки могут ...

Слепая простота В этой статье я расскажу о blind XSS — это довольно простая, но зачастую очень эффективная атака на веб-приложения. Эксплуатация таких векторов атак приводит к захвату админ-панелей различных сервисов, в том числе софтверных гигантов. Читать дальше →

Атаки и безопасность современных Windows систем В данной статье будут представлены видеозаписи методов атак и защиты современных Windows систем: различные вектора и способы перехвата учетных записей, атаки контроллера домена, использование IPv6 и многое другое. Читать дальше →

С 1 ноября в наземном транспорте Киева можно будет рассчитываться бесконтактными банковскими картами С 1 ноября 2019 года в наземном транспорте «Киевпастранса» (автобусах, троллейбусах и трамваях) разрешат оплачивать проезд банковскими картами. Об этом сообщили в КП «ГИВЦ». Функция оплаты бесконтактной банковской картой за транспортные услуги заработает с 1 ноября...

Павел Дуров связал DDoS-атаку на Telegram с протестами в Гонконге — мессенджер атаковали с китайских IP-адресов Компания рассказала об атаке после масштабного сбоя в работе сервиса.

Business Email Compromise: атака, от которой нет защиты Киберпреступники изобрели множество вариантов кибератак, отличающихся по сложности технической реализации и эффективности. Среди них особое место занимает атака, которая удивительна своей технической простотой и результативностью, — Business Email Compromise (BEC), или ата...

[Перевод] Анализ атак на ханипот Cowrie Статистика за 24 часа после установки ханипота на узле Digital Ocean в Сингапуре Пиу-пиу! Начнём сразу с карты атак Наша суперклассная карта показывает уникальные ASN, которые подключались к нашему ханипоту Cowrie за 24 часа. Жёлтый соответствует SSH-соединениям, а красный...

[Из песочницы] Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты Привет, Хабр! Представляю вашему вниманию перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack» автора Sean Coonce. В прошлую среду я потерял более 100000 долларов. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты», котора...

Хакеров не обошли молчанием. Атаку группировки Silence на банки заметил ЦБ Российские банки подверглись массовой атаке хакеров — ЦБ сообщил о фишинговых рассылках группировки Silence. Интересна атака не только масштабом (только Сбербанк получил 1,5 тыс. писем с вредоносными вложениями), но и тем, что рассылка шла с серверов в России. Сейчас в Госду...

Атака WIBattack практически аналогична Simjacker и тоже работает через SIM-карты Эксперты Ginno Security Labs обнаружили проблему, аналогичную использованной в атаке Simjacker. Только теперь предлагается эксплуатировать Wireless Internet Browser (WIB), а не S@T Browser.

Комфортный DevOpsSec: Nemesida WAF Free для NGINX с API и личным кабинетом Nemesida WAF Free — бесплатная версия Nemesida WAF, обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного анализа. Nemesida WAF Free имеет собственную базу сигнатур, выявляет атаки на веб-приложения при минимальном количестве ложных сраба...

По следам RTM. Криминалистическое исследование компьютера, зараженного банковским трояном Об атаках банковского трояна RTM на бухгалтеров и финансовых директоров писали довольно много, в том числе и эксперты Group-IB, но в публичном поле пока еще не было ни одного предметного исследования устройств, зараженных RTM. Чтобы исправить эту несправедливость, один из ...

Android: извлекаем данные с зашифрованной SD-карты и получаем доступ к скрытым методам Для подписчиковСегодня в выпуске: обзор систем безопасности Android, объяснение атак типа Cloak & Dagger, гайд по извлечению данных с зашифрованной карты памяти, обход ограничений на загрузку нативных библиотек и доступ к скрытым Java-методам, уязвимость в Android Downl...

Атаки по обходным каналам: теперь под ударом не только ПК, но и смартфоны (аналитический обзор) Хотя мобильные устройства пользуются всё большим и большим спросом, а атаки на кэш-память по обходным каналам (далее по тексту – кэш-атаки) представляют собой мощнейший способ взлома современной микропроцессорной электроники, до 2016 года существовало лишь несколько публикац...

Атака Simjacker использовалась для слежки за владельцами SIM-карт на протяжении двух лет Исследователи описали атаку Simjacker, которая использует SMS-сообщения для передачи инструкций SIM Toolkit и S@T Browser на SIM-карте.

Итоги кибербитвы The Standoff, или Как PT Expert Security Center следил за атакующими На Positive Hack Days уже в четвертый раз проводилось соревнование The Standoff: это кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC) за контроль над инфраструктурой виртуального города F. Перед атакующими стояли те же цели, к котор...

Власти Китая организовали массовый взлом iOS, Android и Windows Google рассказала о сайтах, с помощью которых хакеры в течение двух лет получали доступ к содержимому айфонов. За этой атакой стоят китайские власти.

Google раскрыл «одну из самых масштабных атак на iPhone» Команда аналитиков безопасности Google Project Zero обнаружила сайты, распространявшие вредоносное программное обеспечение на iPhone. Атаку на пользователей iOS уже назвали одной из самых масштабных.

Как измерять производительность блокчейн сетей. Основные метрики Существует много метрик, относящихся к логике и качеству работы блокчейна. Они помогают определить узкие места в коде и найти логические и оптимизационные проблемы в алгоритмах консенсуса и финальности в блокчейнах. Любая разработка распределенных систем, в том числе блокче...

Шпионские трюки в реальности. Разблокировать смартфон можно отпечатком пальца со стакана Команда X-Lab из компании Tencent Security продемонстрировала на недавнем хакерском мероприятии в Шанхае, как можно разблокировать смартфон с помощью отпечатка пальца, снятого со стеклянного стакана. Об этом рассказало китайское издание South China Morning Post.  ...

DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из области практической информационной безопасности не уделяли ей должного внимания в...

Все российские карты Visa и Mastercard станут бесконтактными Международные платёжные системы Visa и Mastercard потребовали от российских банков начать выпускать только карты с поддержкой бесконтактных платежей. Об этом сообщило издание РБК со ссылкой на источники в банковской сфере.

Qrator Labs защитила Severs.com от высокоскоростных DDoS-атак Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, успешно нейтрализовала DDoS-атаки на международную хостинговую платформу Servers.com, длившиеся c 18 по 20 августа. В их числе была первая в мире зафиксированна...

[Перевод] Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит / с. Часть 1 Меня зовут Мэттью Принс, я один из соучредителей и генеральный директор сервиса CloudFlare. Не думайте, что я буду настолько же интересен, как директор АНБ, но я хотя бы постараюсь быть менее противоречивым. На самом деле я частный профессор права, так что я читал Конституци...

Сайт МКЖД заразили банковским трояном Panda В прошлые выходные эксперты «Лаборатории Касперского» обнаружили и остановили атаку банковского трояна Panda. Для распространения вредоносного ПО злоумышленники использовали скомпрометированный сайт Московской кольцевой железной дороги (МКЖД). Аналитики «Лабор...

Вебинар от Group-IB: «Red Team или Пентест» 12.02.2019 Как повысить готовность вашей организации противостоять масштабным атакам и получить более реалистичное понимание рисков для вашей инфраструктуры? Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Re...

Заместитель начальника департамента информационной безопасности ЦБ Артем Сычев рассказал о методах работы социальных инженеров Он отметил, что участившиеся с начала нового года активные атаки на клиентов банков-физлиц с использованием социальной инженерии и технологии подмены телефонного номера могут коснуться клиентов всех розничных банков вне зависимости от их размера. Схема подобных атак гово...

Первый отечественный чип для бесконтактных платежей будет встроен в карты «Мир» Национальная система платежных карт сертифицировала первый отечественный банковский чип с собственной операционной системой, поддерживающий платежи по бесконтактному интерфейсу. Разработчиком и выпускающим предприятием чипа стало зеленоградское предприятие «Микрон». ...

Репозитории на GitHub подверглись масштабной атаке со стороны биткоин-вымогателей Неизвестные хакеры совершили ряд скоординированных атак на пользователей сервисов для хостинга IT-проектов и их совместной разработки GitHub, GitLab и BitBucket, в результате которых сотни закрытых репозиториев были опустошены, сообщает ZDNet. Так, злоумышленники утверждают,...

Хакеры взломали почти тысячу онлайн-магазинов за сутки Как рассказал исследователь компании Виллем де Гроот, хакеры, очевидно, использовали автоматические инструменты атаки, поскольку достичь такой "производительности" вручную невозможно. Предполагается, что киберпреступники сканировали сайты в поисках незакрытых уязви...

Деградация производительности сети Tor может стоить всего несколько тысяч долларов в месяц Исследователи утверждают, что ощутимо повредить Tor можно простыми атаками на TorFlow, мосты Tor и конкретные узлы. Причем атаки будут стоить далеко не миллионы долларов.

Группа Sea Turtle использует DNS-атаки против целей на Ближнем Востоке и в странах Африки Эксперты Cisco Talos рассказали о длящейся более двух лет вредоносной кампании, связанной с подменой DNS. От атак Sea Turtle пострадали более 40 компаний и организаций в 13 странах мира.

Visa и Ощадбанк запустили бесконтактную систему оплаты проезда в электротранспорте Черновцов Сегодня, 13 февраля 2019 года, Visa и Ощадбанк запустили в Черновцах систему оплаты проезда в троллейбусах с помощью бесконтактных платежных карт и NFC-устройств (включая смартфоны с поддержкой Apple Pay и G Pay) на мобильных терминалах. На первом этапе реализации проекта бе...

Вредоносные расширения для Chrome Аудитория Одноклассников — 71 миллион в месяц. Так же, как и аудитория интернета в целом, наши пользователи подвержены распространенным угрозам безопасности: фишингу, вирусам, переиспользованию паролей. Экономическим двигателем атак на пользователей соцсети, как правило, я...

Flow-протоколы как инструмент мониторинга безопасности внутренней сети Когда речь заходит о мониторинге безопасности внутренней корпоративной или ведомственной сети, то у многих возникает ассоциация с контролем утечек информации и внедрением DLP-решений. А если попробовать уточнить вопрос и спросить, как вы обнаруживаете атаки во внутренней сет...

Безопасность клиентских приложений: практические советы для Front-end разработчика Как вы знаете, большая часть атак BlackHat-хакеров направлена на компрометацию серверных данных web-приложений и сервисов. При этом клиентскую часть сегодня атакуют не реже. Согласно сухому определению, любая атака — это комплекс мер со стороны хакера, направленных на сеть и...

Ethereum Classic уязвима к «атаке 51 процента» Причина состоит в том, что часть криптовалюты могла быть использована ее владельцами дважды. Исключить подобную возможность призвана сама технология блокчейн: она предусматривает фиксацию каждой транзакции в базе данных. Однако существует способ обойти ограничения. Он но...

Поймать нарушителя! Учимся детектировать инструменты атак на Windows Для подписчиковАтаки на Windows в наше время одна из наиболее реальных угроз для компаний. При этом исходный код используемых хакерами инструментов открыт и доступен на GitHub. В этой статье мы поговорим о том, какие существуют средства развития атаки внутри инфраструктуры, ...

Security Week 14: ShadowHammer и supply chain Главная новость прошлой недели — таргетированная атака на владельцев устройств Asus через взломанную утилиту Asus Live Update. Исследователи «Лаборатории Касперского» обнаружили атаку в январе этого года: зараженная утилита для обновления драйверов на ноутбуках и компьютерах...

[Из песочницы] Обнаружение DDoS-атак «на коленке» Приветствую, Хабр! Я работаю в небольшом интернет провайдере масштаба области. У нас транзитная сеть (это значит, что мы покупаем интернет у богатых провайдеров и продаем его бедным). Несмотря на небольшое количество клиентов и такое же небольшое количество трафика протекающ...

Мозг взломаешь: вредоносное ПО захватывает интернет вещей Умные устройства –– часы, смарт-телевизоры, детские игрушки, видеорегистраторы и холодильники –– во всем мире в 2018 году подверглись вирусным атакам в четыре раза чаще, чем в 2017-м. Такие данные «Известиям» предоставила антивирусная лаборатория «Доктор Веб». В этом году ат...

Security Week 15: атака на роутеры с подменой DNS К теме уязвимости в сетевых роутерах мы обращаемся далеко не первый раз, но исследования группы Bad Packets и компании Ixia (новость, отчет Bad Packets, отчет Ixia) интересны тем, что представляют почти полную картину: как ломают роутеры, какие настройки меняют, и что потом ...

Павел Дуров связал атаку на Telegram с протестами в Гонконге Основатель Telegram Павел Дуров заявил, что массированная DDoS-атака на мессенджер, наблюдаемая вчера, осуществлялась из Китая. По мнению Дурова, этот инцидент был связан с протестами в Гонконге, которые координировались через мессенджер. По его словам, IP-адреса хакеров отн...

Как вставить сим-карту/карту памяти в телефон? Очень часто у пользователей возникает проблема, когда требуется заменить сим-карту в смартфоне, либо вставить/вытащить карту памяти. Обычно для извлечения сим-карты или карты памяти приходится делать похоже действия, поому мы расскажем об этом в одном общем материале. Чи...

Опасные 3rd-party драйверы в вашей системе или LOLDrivers А вы знали, что вполне легитимный драйвер может дать злоумышленнику возможность прописаться в вашей системе надолго, оставаясь внутри даже после ее переустановки? Или превратить ваш компьютер в кирпич? Например, некоторые безобидные на вид доверенные (подписанные) драйверы ...

Обнаружение веб-атак с помощью рекуррентных нейронных сетей Обнаружение атак является важной задачей в информационной безопасности на протяжении десятилетий. Первые известные примеры реализации IDS относятся к началу 1980-х годов. Спустя несколько десятилетий сформировалась целая индустрия средств для обнаружения атак. На данный м...

Злоумышленники атаковали российские банки, отправив сообщения тысячам их сотрудников На этой неделе стало известно о масштабной атаке хакерской группировки Silence на российские банки. При этом использовалось «слабое звено» — человеческий фактор. Киберпреступники разослали сообщения с вредоносным содержимым более, чем 80 тысячам сотрудников банков, о чем с...

В ходе атак ShadowHammer пострадала не только компания Asus Эксперты «Лаборатории Касперского» опубликовали дательный отчет об атаках ShadowHammer, из-за которых недавно пострадала компания Asus. Теперь сообщается и о других жертвах злоумышленников.

[Перевод] JWT: Атака на цифровую подпись VS MAC-атака Всем привет. Ни для кого не секрет, что ежемесячно OTUS запускает несколько абсолютно новых уникальных курсов, в этом месяце в их число вошел курс «Пентест. Практика тестирования на проникновение». По устоявшейся традиции, в преддверии старта курса, делимся с вами переводом ...

Множество отелей по всему миру были атакованы злоумышленниками Под атаками оказались не менее 20 брендов отелей в Бразилии, Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции. Основная цель кампании – хищение информации о банковских картах постояльцев.

Обнаружена атака на пользователей Netflix Мошенники отправляют от имени Netflix сообщение, где просят подтвердить учетную запись пользователя. В письме утверждается, что это позволит избежать блокировки аккаунта из-за зафиксированной подозрительной активности.После нажатия кнопки "Обновить" пользователь пе...

Банковские карты россиян снова подвержены атакам мошенников Как сообщает издание «Известия», ссылаясь на аналитиков «Лаборатории Касперского», мошенники создали новый метод воровства данных пользователей российских банков. Информация сотрудников финансовых организаций похищается посредством обычной рабочей почты. Читать полную ст...

Rowhammer-атака RAMBleed позволяет похищать данные, а не только подменять их Сводная группа ученых из США, Австралии и Австрии опубликовала доклад о новой вариации атаки на проблему Rowhammer.

Сеть компании и MitM. Часть 1 Перехватить конфиденциальную информацию? Получить несанкционированный доступ к различным приложениям и системам? Нарушить нормальный режим работы? Все это и многое другое выполняют атаки типа Man in the Middle. Сегодня мы начинаем цикл статей, посвященный атакам «человек п...

Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблем...

Совершена скоординированная вымогательская атака на муниципальные власти Техаса На техасские органы власти была совершена вымогательская атака. Сообщается, что жертв как минимум 23, и по информации СМИ, за атакой стояли вымогатели JSE или Sodinokibi (REvil).

Новая атака шифратора Shade нацелена на российских бизнес-пользователей В январе 2019 года мы зафиксировали резкий рост числа обнаружений вредоносных почтовых вложений JavaScript (в 2018 году данный вектор атаки использовался минимально). В «новогоднем выпуске» можно выделить рассылку на русском языке, предназначенную для распространения шифрато...

Firefox и Chrome позволяют использовать заголовок Alt-Svc для сканирования портов внутренней сети Тришта Тивари(Trishita Tiwari) и Ари Трахтенберг(Ari Trachtenberg) из Бостонского университета опубликовали работу, показывающую новый метод атаки для сканирования портов на хостах внутренней сети пользователя или на локальном хосте(CVE-2019-11728). Атака осуществляется с по...

СЕО Binance рассказал об атаках на биржу и назвал Россию ключевым рынком блокчейн-пространства Криптовалютная биржа Binance ежедневно подвергается 5-10 атакам, но уверенность в собственной безопасности обеспечивает сотрудничество с белыми хакерами. Об этом в эксклюзивном интервью ForkLog рассказал глава биржи Чанпэн Чжао. Полная версия интервью с СЕО Binance будет опу...

[Из песочницы] Это Karma, детка, или почему атака на беспроводные сети, которая должна была кануть в лету, все еще жива Сегодня беспроводные точки доступа окружают нас повсюду: в кафе, ресторанах, в торговых центрах и в транспорте. Это перестало быть чем-то необычным, и мы спокойно подключаемся к незащищенной сети или постоянно держим включенным режим поиска знакомых точек вокруг. Именно поэ...

Telegram подвергся хакерской атаке Мессенджер Telegram предупредил о мощной DDoS-атаке на свои серверы, из-за которой пользователи в Северной и Южной Америке, а также в других странах могут столкнуться с неполадками. Об этом команда сервиса сообщила в своем Twitter-аккаунте: «Мы сейчас подвергаемся мощной DDo...

Вебинар Group-IB 27 июня «Противодействие социоинженерным атакам: как распознать уловки хакеров и защититься от них?» Более 80% компаний подверглись социоинженерным атакам в 2018 году. Отсутствие отработанной методики обучения персонала и регулярной проверки его готовности к социотехническим воздействиям приводят к тому, что сотрудники все чаще становятся жертвами манипуляций злоумышленни...

Сеть компании и MitM. Часть 2 Перехватить конфиденциальную информацию? Получить несанкционированный доступ к различным приложениям и системам? Нарушить нормальный режим работы? Все это и многое другое выполняют атаки типа Man in the Middle. Сегодня мы продолжаем цикл статей, посвященный атакам «челове...

Это всё, что останется после тебя: криминалистические артефакты шифровальщика Troldesh (Shade) Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, ...

[Перевод] Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 2 Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 1 Но что еще хуже… Я попытался разработать проект для своих студентов, и получалось забавно, но проблема заключалась в том, что нельзя было посмотреть «убиваемые» адреса, так как эт...

Еще одно промышленное предприятие подверглось атаке вируса Triton Кибератака очень похожа на ту, что была осуществлена в 2017 году на нефтехимический завод в Саудовской Аравии. Специалисты компании FireEye утверждают, что как минимум еще одно крупное промышленное предприятие подверглось кибератаке, очень похожей на ту, что была осуществ...

[Из песочницы] Собственное исследование, что нам могут рассказать открытые источники? Вдохновившись статьей Group-IB о масштабной хакерской атаке на банки и предприятия от лица госучреждений решил разузнать про RTM немного больше. Цель – не только найти причастных к данной атаке, но и показать насколько доступно проведение такого расследования при наличии ...

Security Week 38: слежка за мобильными устройствами через SIM-карту Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять л...

Security Week 17: атаки по цепи поставок В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют довере...

Хакеры атаковали обновленный сайт Росстата Официальный портал Росстата подвергся хакерской атаке 16-го сентября. Масштабная DDoS-атака длилась практически два часа и привела к сбою в работе сайта. В официальном сообщении ведомства, касающемся данного случая, указывается на неустойчивую работу ресурса и предпринимаемы...

Банковские карты можно будет оформить в мессенджерах Это стало возможным благодаря объединению двух решений — идентификации клиента оператором сотовой связи и реализации банковского интерфейса в мессенджерах.

Древности: трудный выбор звуковой карты для DOS-игр Звуковая карта — один из самых важных элементов ретрокомпьютера, а для многих это основная причина сборки такового. В отличие от офисного софта компьютерные игры не стареют: запускать их на аутентичном железе — это приятная и почетная задача. Хотя и не обязательная: есть же ...

Русскоговорящие кибергруппировки затаились Такие выводы сделала "Лаборатория Касперского" на основании мониторинга данных об APT-атаках в первые три месяца 2019 года. Эксперты предполагают, что, возможно, затишье связано с изменениями в этих структурах. Самой "громкой" кампанией прошедшего периода...

WIBattack: уязвимость в SIM-картах, аналогичная Simjacker Специалисты по мобильной кибербезопасности сообщили о новом методе взлома сотовых телефонов с использованием функциональности SIM-карты, который они назвали WIBattack. Обнаруженная экспертами уязвимость позволяет с помощью служебного SMS-сообщения выполнять на устройстве SIM...

Освобождаем руки нескольким аналитикам: API Livy для автоматизации типовых банковских задач Привет, Хабр! Не секрет, что для оценки платежеспособности клиентов банки используют данные из различных источников (кредитное бюро, мобильные операторы и т.д.). Количество внешних партнёров может достигать нескольких десятков, а аналитиков в нашей команде наберётся лишь не...

Что упускают хакеры при взломе банка на PHDays Банк из года в год становится особенной сущностью для итогов «Противостояния» на PHDays. В 2017 хакеры смогли вывести из банка больше денег, чем в нем было. В 2018 году успешность финальной атаки на банк при отключенном нами антифроде (по замыслу организаторов) обеспечила ...

Security Week 43: тайная жизнь IoT-ханипотов «Лаборатория Касперского» выпустила новое исследование атак на IoT-устройства, в котором достаточно подробно описаны как методы сбора информации о подобных атаках, так и результаты. Статистика собирается с так называемых «ханипотов — устройств, которые с разной степенью дост...

Visa разрешит не вводить ПИН-код при бесконтактной оплате покупок до 3 000 рублей С середины апреля владельцы карт от Visa смогут не вводить ПИН-код при бесконтактной оплате покупок стоимостью до 3 000 рублей. Об этом сообщило авторитетное издание «РБК» со ссылкой на три своих анонимных источника в банковской сфере. На данный момент использующие платёжную...

Зафиксирован резкий всплеск атак банковских троянцев Buhtrap и RTM По данным «Лаборатории Касперского», банковские троянцы Buhtrap и RTM активно атакуют пользователей, при этом около 90% …

Как выглядят современные целевые атаки Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведе...

Черный список сетей для Asterisk После установки Asterisk и вывода шлюза в интернет, сразу же начинаются атаки с попытками подключится и совершить звонки. Чтобы облегчить работу другим системным администраторам, выкладываю черный список сетей. Читать дальше →

Биткоин-стартап Circle приостановил работу исследовательской команды Базирующийся в Бостоне биткоин-стартап Circle объявил о паузе в реализации исследовательской программы. Circle Research subscribers: We’ve decided to take a break and pause activity while we evaluate our contribution and overall strategy for the future of Circle Research. St...

[Перевод] Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов Эта статья является частью серии «Fileless Malware». Все остальные части серии: Приключения неуловимой малвари, часть I Приключения неуловимой малвари, часть II: скрытные VBA-скрипты Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли ...

Альтернатива Apple Pay и Google Pay. Национальная платёжная система «Мир» запустила бесконтактный сервис Mir Pay для смартфонов Android Национальная платёжная система «Мир» объявила о запуске в России сервиса бесконтактной оплаты Mir Pay для смартфонов Android.  Чтобы воспользоваться сервисом, потребуется смартфон с операционной системы Android начиная от версии 6.0, поддержкой т...

1. Анализ зловредов с помощью форензики Check Point. SandBlast Network Добро пожаловать на новый цикл статей, на этот раз по теме расследования инцидентов, а именно — анализу зловредов с помощью форензики Check Point. Ранее мы публиковали несколько видео уроков по работе в Smart Event, но на этот раз мы рассмотрим отчеты форензики по конкретн...

Операция TA505: как мы анализировали новые инструменты создателей трояна Dridex, шифровальщика Locky и ботнета Neutrino География атак группы TA505 за 2019 год Наша команда аналитиков Threat Intelligence из PT Expert Security Center на протяжении полугода следит за активностью киберпреступников из TA505. Сфера интересов злоумышленников — финансовая, а цели расположены в десятках стран на ...

[Перевод] Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 1 Меня зовут Сэм Боун, я здесь, чтобы поговорить с вами о DoS-атаках, и вы мне в этом поможете. Мы немного поговорим о хактивистах, которые использовали такие атаки, потому что я нахожу их интересными. Они наглядно показывают, сколько вреда вы можете нанести различными видами ...

Порталы госорганов подвергались хакерским атакам 140 миллионов раз в 2018 году Как заявили в АО НИТ, все атаки были отражены.

[Перевод] Изучаем Docker, часть 5: команды Сегодняшняя часть цикла материалов по Docker, перевод которого мы публикуем, посвящена командам Docker. Документация Docker содержит подробнейшее описание великого множества команд, но тот, кто только начинает работу с этой платформой, может в них и потеряться, поэтому здесь...

Мошенники приняли кадровое решение. Под атаки с подменой номера попали менеджеры банков Сотрудники банков стали новой целью атак мошенников с подменой номера, получивших широкое распространение в 2019 году. Используя звонки от имени коллег, мошенники целенаправленно атакуют банкиров. Эксперты отмечают, что новая схема может быть эффективнее ставших уже привычны...

Чем опасны хакерские атаки на IoT-устройства: реальные истории Инфраструктура современного мегаполиса строится на устройствах интернета вещей: от видеокамер на дорогах до крупных ГЭС и больниц. Хакеры в состоянии сделать любое подключенное устройство ботом и использовать дальше для совершения DDoS-атак. Мотивы могут быть самыми разными...

[Из песочницы] Карты лояльности. Google Pay API for Passes в ASP.NET Приложения-хранилища банковских карт стремительно вошли в нашу жизнь благодаря Apple Wallet и Google Pay. Обе платформы, помимо банковских, позволяют также работать и с другими типами карт — картами лояльности, подарочными картами, билетами на мероприятия, посадочными талона...

Представлена банковская карта Apple Card с большим кэшбэком Американская Apple представила свою первую банковскую карту Apple Card, которую может оформить любой владелец iPhone. Подробнее об этом читайте на THG.ru.

[Перевод] Windows Notification Facility: cамая недокументированная поверхность атаки Под катом представлен перевод презентации "The Windows Notification Facility: The Most Undocumented Kernel Attack Surface Yet", представленной Alex Ionescu и Gabrielle Viala на конференции BlackHat 2018. О чем пойдет речь в публикации Что такое Windows Notification Facilit...

DeviceLock: к телефонным атакам на клиентов Сбербанка причастны инсайдеры DeviceLock, российский производитель DPL-систем (Data Leak Prevention), проанализировала январскую атаку …

Winnti: атака на цепочки поставок – под прицелом азиатские разработчики игр Не впервые злоумышленники атакуют игровую индустрию, компрометируют разработчиков, добавляют бэкдоры в среду сборки игр, а затем распространяют вредоносное ПО под видом легитимного. В апреле 2013 года «Лаборатория Касперского» сообщала о подобном инциденте. Эта атака приписа...

Баги в CMS Magento позволяют перехватывать онлайн-платежи Специалисты по информационной безопасности рассказали об опасных уязвимостях в CMS Magento, эксплуатация которых позволяет злоумышленникам перехватывать платежные операции и красть данные банковских карт покупателей онлайн-магазинов. Разработчики залатали ошибки в актуальных...

Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...

На The Pirate Bay перестали появляться новые торренты У The Pirate Bay 2018 год был особенно сложным. Попытки (и не всегда безуспешные) разделегировать домен ресурса, нехватка средств на содержание трекера, атаки со стороны правительственных органов разных стран и компаний. Все это привело к тому, что в работе The Pirate Bay с...

Реактивный раздатчик ok.ru/music Я работаю в команде платформы Одноклассников и сегодня расскажу про архитектуру, дизайн и детали реализации сервиса раздачи музыкальных треков. Читать дальше →

DNS-атаки на роутеры D-Link и других производителей длятся уже более трех месяцев Эксперты предупреждают уже о третьей волне атак на домашние роутеры производства D-Link, ARG, DSLink, Secutech и TOTOLINK.

Новое про Apple Card: цена обслуживания, активация и штрафы за просрочку Этим летом Apple запустит новый сервис Apple Card — кредитную банковскую карту с интеграцией в Wallet, повышенным кэшбэком и удобной аналитикой трат. Впервые о нем заговорили на презентации 25 марта, и к этому времени журналистам удалось узнать некоторые подробности о...

Как обнаружить атаки на Windows-инфраструктуру: изучаем инструментарий хакеров С каждым годом растет количество атак в корпоративном секторе: например в 2017 году зафиксировали на 13% больше уникальных инцидентов чем в 2016 г., а по итогам 2018 — на 27% больше инцидентов, чем в предыдущем периоде. В том числе и тех, где основным рабочим инструментом ...

Сразу несколько хакерских групп атакуют кластеры Elasticsearch Специалисты Cisco Talos предупредили о всплеске атак на незащищенные кластеры Elasticsearch. За атаками стоят как минимум 6 разных группировок.

«Сбербанк» для всех владельцев банковских карт «Мир» устроил второй день рождения Как известно, с 2014 года на территории России любой желающий может получить банковскую карту «Мир», которая работает на базе отечественной платежной системы, повлиять на работу которой другие страны мира каким-либо образом не могут. Тем не Сообщение «Сбербанк» для всех вла...

POS-троян DMSniff атакует кинотеатры и рестораны Специалисты компании Flashpoint опубликовали отчет с анализом работы зловреда DMSniff, который используется в атаках на POS-терминалы по меньшей мере с 2016 года. Программа похищает сведения о банковских картах, обрабатываемых точкой продаж, и применяет алгоритм автоматическ...

Хакеры воруют и отмывают деньги через сервисы доставки еды и бронирования отелей По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам. Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда...

«Лаборатория Касперского» обнаружила целевую атаку на компьютеры Asus Представители «Лаборатории Касперского», известной линейкой популярного антивирусного ПО, сделали заявление об очередном нападении хакеров на системы, работающие под управлением ОС Windows 10. Однако целью атаки была лишь определённая группа компьютеров.

[Перевод] TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках? Недавно Венесуэла пережила серию отключений электричества, которые оставили 11 штатов этой страны без электроэнергии. С самого начала данного инцидента правительство Николаса Мадуро утверждало, что это был акт саботажа, который стал возможен благодаря электромагнитным атак...

Шпаргалки по безопасности: CSRF Не смотря на то, что в последнем публиковавшемся перечне уязвимостей OWASP Top 10 2017 CSRF атаки отнесены к разряду “Удалены, но не забыты”, мы решили, что не будет лишим еще раз напомнить о том, как защититься от CSRF атак, опираясь на те же правила, предоставляемые OWAS...

Google Pay получил поддержку карт МИР и Maestro Несмотря на множество отраслей, в которых продукты Google занимают лидирующие позиции, сервис бесконтактной оплаты поискового гиганта остается самым непопулярным из тройки, состоящей из Apple Pay, Samsung Pay и Google Pay. Даже в России, где чрезвычайно распространены досту...

Организация онлайн-трансляций в особых условиях Всем привет! В этой статье я бы хотел рассказать о том, как IT команда сервиса онлайн-бронирования отелей Ostrovok.ru настраивала онлайн-трансляции различных корпоративных мероприятий. В офисе Ostrovok.ru существует особая переговорная комната – «Большая». Каждый день в не...

«Яндекс» и сайты некоторых СМИ пострадали от DNS-атаки из Роскомнадзора Специалистам хорошо известно, что в механизме блокировок есть серьёзная уязвимость, допускающий внедрение в реестр блокировки произвольных IP-адресов. Для проведения атаки нужно ввести в DNS-записи любого заблокированного домена целевые IP-адреса, которые вы хотите «заблокир...

Решение задания с pwnable.kr 22 — brainfuck. Атака типа ret2libc В данной статье решим 22-е задание с сайта pwnable.kr и узнаем категорию атак, подразумевающих перезапись адреса в GOT на адрес нужной нам функции из библиотеки. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер инф...

[Перевод] Малварь, который читает мемы Давно не было статей про стеганографию. Вот вам пример того, как хакеры маскируют свои атаки под безобидный трафик, используя соц-сети. Читать дальше →

Ну, Android, а ты OMA CP… Недавно мы «порадовали» пользователей iPhone проблемами безопасности BLEee, но вряд ли мы сторонники какого-либо из фронтов в извечном споре Apple vs. Android, и готовы рассказать «отличную» новость про Android, если, конечно, в вашей душе есть место для злорадства. Исследо...

[Из песочницы] Арифметика fixed-point на C++ Сегодня расскажу Вам что такое fixed-point, зачем он нужен и как его можно использовать. Существует такая проблема когда производительность приложения может заметно ухудшиться из-за особенностей вычисления на числах с плавающей точкой. Как правило CPU заточен под целочислен...

К телефонным атакам на клиентов Сбербанка причастны инсайдеры DeviceLock – российский производитель DPL-систем (Data Leak Prevention) проанализировал январскую атаку на клиентов Сбербанка. В компании пришли к выводу, что столь масштабная и успешная атака стала возможной благодаря кратковременному доступу злоумышленников к инфор...

Многие банки не готовы противостоять хакерским атакам У 29% банков были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом.

Атак банковских троянов за год стало на 16% больше Количество атак на Android выросло в три раза.

ChronoPay обнаружила уязвимость при оплатах банковскими картами онлайн Процессинговая компания ChronoPay, активный участник Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ РФ, предупредила о возможности подмены данных получателя платежа при некоторых ...

В 2018 году хакеры провели 687 кибератак на российские банки и похитили с карт 1,4 млрд рублей Российские банки ознакомились со статистикой финансового мошенничества за 2018 год и получили рекомендации для защиты от киберугроз. Соответствующий доклад опубликовал Центр мониторинга и реагирования на компьютерные атаки Банка России FinCERT. Согласно исследованию, 177 из ...

Программа конференции ZeroNights 2019 В этом году ZeroNights пройдет 12 и 13 ноября в Санкт-Петербурге в клубе А2 (пр. Медиков, 3). На конференции обсудят безопасность различных устройств, проблемы криптографии, уязвимости в популярном программном обеспечении для работы с DICOM, взлом IoT, атаки на механизмы J...

Новый билд Nemesida WAF Free для NGINX В прошлом году мы выпустили Nemesida WAF Free — динамический модуль для NGINX, блокирующий атаки на веб-приложения. В отличие от коммерческой версии, основанной на работе машинного обучения, бесплатная версия анализирует запросы только сигнатурным методом. Особенности рели...

Microsoft: более миллиона компьютеров по всему миру всё еще уязвимы для вирусов В мае 2019 года Microsoft удалось найти в Windows серьезную уязвимость, через которую могли распространяться вирусы-вымогатели WannaCry и Petya. Однако пользователи вовсе не торопятся качать обновления безопасности. Как сообщает Microsoft, по всему миру существует как миним...

Softline внедрила решения «Лаборатории Касперского» в КБ «СТРОЙЛЕСБАНК» Softline внедрила комплексную систему защиты от целевых атак на базе решений «Лаборатории Касперского» в коммерческом банке «СТРОЙЛЕСБАНК» (ООО). Теперь заказчик может выявлять и блокировать сложно обнаруживаемые атаки ...

ASUS не согласилась с оценкой "Лаборатории Касперского" по хакерской атаке Представитель компании ASUS Ник Ву (Nick Wu) заявил, что атака затронула лишь несколько сотен устройств, тогда как ИБ-эксперты оценили общее число жертв в 1 млн.

В каких приложениях ждать неизвестный вредоносный код? Сегодня просматривал статистику Wildfire и стало интересно по каким приложениям ходит неизвестный вредоносный код (zero-day) и как часто. На картинке приведена статистика по приложениям и частоте атак через это приложение. В первом столбце имя приложения. Во втором столбце у...

Шок: «Сбербанк» рассказал, как правильно пользоваться банковской картой Банковские карты существуют в мире уже около 50 лет, пускай жителям России они и стали доступны относительно недавно. В настоящее время почти у каждого россиянина имеется пластиковая карта, при помощи которой миллионы россиян оплачивают покупки, Сообщение Шок: «Сбербанк» ра...

[Перевод] Семь трендов кибербезопасности на 2019 год Каждый год пользователи получают одни и те же примитивные советы по информационной безопасности: не используйте один пароль для разных аккаунтов, разлогинивайтесь после того, как заходили в аккаунт с общего компьютера, не вступайте в переписку с бывшим королем, которому нужн...

Известный разработчик объяснил, почему хардфорк биткоина неприемлем для защиты от «атаки 51%» Разработчик Bitcoin Core Грегори Максвелл заявил, что люди, призывающие к хардфорку биткоина для обеспечения защиты от «атаки 51%», демонстрируют фундаментальное непонимание первой криптовалюты. Greg Maxwell responds to the question: «Why not hard-fork Bitcoin...

Информационная безопасность (16.03 – 15.04.2019) Эксперты ESET предупреждают о новой фишинговой атаке в мессенджере WhatsApp. Как считает ESET, атака направлена на жителей Бразилии и испаноговорящих стран — сообщения составлены на португальском и испанском языках...

В Microsoft сообщили об атаках хакеров на спортивные и антидопинговые организации по всему миру Как говорится в сообщении компании, за атаками стоит группировка Strontium, известная также под названием Fancy Bear/APT28. Ранее эти хакеры, которых связывали с российскими властями, уже предпринимали подобные атаки.

В 2018 году 37% компаний в мире были атакованы криптомайнерами Check Point Software Technologies представила исследовательский отчет, посвященный основным инструментам, которые хакеры используют для атак на организации по всему миру.

Между креслом и монитором сидит главная уязвимость в системе: VAP-персона Источник: Proofpoint Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-т...

Анонс FunTech QA-automation meetup Всем привет! Приглашаем QA-инженеров на наш первый митап по тестированию, посвящённый автоматизации. Программа «Автотесты, объединяющие подходы, платформы и сердца», Михаил Чирков, ivi.ru Преимущества и недостатки кроссплатформенных автотестов (в нашем случае речь о плат...

Финтех-дайджест: Mir Pay для Android, отмена запрета на снятие наличных с анонимных кошельков, ИИ-стартапы не совсем ИИ Привет, Хабр. Сегодня мы расскажем вот о чем: «Мир» запустила аналог Apple Pay (работает только с Android); 40% ИИ-стартапов на самом деле не работают с ИИ; Отменен полный запрет на снятие наличных с анонимных кошельков и карт; Банковские карты укрепляют позиции (снова)...

Как устроен балансировщик команд в World of Tanks Blitz WoT Blitz — это мобильный танковый шутер, в котором игроки сражаются в формате 7 на 7. Матчмейкер, или балансировщик это механизм, который на основе очереди игроков, желающих попасть в бой, формирует состав команд. У танков есть следующие важные для матчмейкинга параметры...

Использование джейлбрейка для извлечения данных: риски и последствия В своём новом блоге на Хабре я хочу поделиться уникальной информацией о том, как именно мы извлекаем данные из смартфонов. На собственном сайте мы выложили ряд статей на эту тему, рассказав, казалось бы, всё возможное о способах извлечения данных из смартфонов и планшетов Ap...

Первая хакерская атака в истории Многие думают, что первая хакерская атака произошла на заре интернета… А что, если я скажу вам, что первая атака произошла в 1903 году? Читать дальше →

[Перевод] Реализация остальных возможностей PEG После того, как я собрал все части генератора PEG-парсеров воедино в предыдущем посте, я готов показать как реализовать и некоторые другие интересные штуки. Содержание серии статей о PEG-парсере в Python PEG парсеры Реализация PEG парсера Генерация PEG парсера Визуализация р...

Зачем нужна титановая «кредитка» Apple В рамках весенней презентации в театре Стива Джобса компания Apple представила собственную банковскую карту — и назвала ее Apple Card. Она регистрируется через приложение Pay на iPhone и может использоваться в любом терминале оплаты с поддержкой бесконтактных платежей.

Криптовалюта Ethereum Classic подверглась атаке 51% Обнаружена атака двойной траты на блокчейн криптовалюты Ethereum Classic. По неофициальным подсчетам, атакующим удалось «заработать» около миллиона долларов.

Новые карты «Мир» получат чип для бесконтактной оплаты Национальная система платежных карт (НСПК) сертифицировала первый чип российского производства для бесконтактных платежей. Ожидается, что он будет использоваться в платежной системе «Мир».

Как решать NP-трудные задачи с помощью параметризованных алгоритмов Научно-исследовательская работа, пожалуй, самая интересная часть нашего обучения. Идея в том, чтобы ещё в университете попробовать себя в выбранном направлении. Например, студенты с направлений Software Engineering и Machine Learning часто идут делать НИРы в компании (в осно...

[Перевод] Приключения неуловимой малвари, часть IV: DDE и поля документа Word Эта статья является частью серии «Fileless Malware». Все остальные части серии: Приключения неуловимой малвари, часть I Приключения неуловимой малвари, часть II: скрытные VBA-скрипты Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли ...

Как сделать два приложения из одного. Опыт Тинькофф Джуниор Привет, меня зовут Андрей и я занимаюсь приложениями Тинькофф и Тинькофф Джуниор для платформы Android. Хочу рассказать о том, как мы собираем два похожих приложения из одной кодовой базы. Тинькофф Джуниор — это мобильное банковское приложение, ориентированное на детей ...

Gate.io возместит $200 000, потерянные пользователями из-за атаки 51% на Ethereum Classic Представители Gate.io заявили, что биржа покроет убытки на примерно 40 тысяч ETC (около $200 тысяч), которые понесли ее пользователи из-за продолжающейся «атаки 51%» на блокчейн Ethereum Classic. [https://t.co/8kWqgDWNXb Research] confirms the ETC 51% attack. 4 of the 7 roll...

Исследователи приблизили коллизионные атаки на SHA-1 к реальности Исследователи смогли "удешевить" атаку на SHA-1 c заданным префиксом. В сущности, это более дешевая и эффективная версия коллизионной атаки SHAttered, разработанной экспертами Google в 2017 году.

Атаки Simjacker представляют угрозу для пользователей из 29 стран мира Специалисты компании AdaptiveMobile Security опубликовали список стран, где мобильные операторы предоставляют пользователям SIM-карты, уязвимые для атак Simjacker.

Против биржи FTX подали иск на $150 млн за предполагаемую атаку на Binance Futures Против биржи криптовалютных деривативов FTX подан иск на $150 млн в Калифорнии. Ее обвиняют в атаке на Binance Futures, рэкете, продаже нелицензированных ценных бумаг в США и рыночных манипуляциях. @FTX_Official was just hit with a 150 mil lawsuit in California court. Charge...

Атака LockerGoga на заводы Norsk Hydro: инженеры восстанавливают ИТ-системы Компания Norsk Hydro, крупнейший мировой производитель алюминия, восстанавливает собственные ресурсы после тяжелой атаки вируса-вымогателя. Заводы остановлены, платить отказались.

Разработка команды запроса данных из базы В настоящий момент занимаюсь реализацией взаимодействия с поставщиком KYC услуг. Как обычно ничего космического. Нужно просто выбрать из своей базы данных некий достаточно объемный комплект экземпляров различных записей, выгрузить их поставщику услуг и попросить поставщика з...

Атаки хакеров становятся еще более изощренными Киберпреступники продолжают искать новые возможности для осуществления атак по всей поверхности цифровых структур используют тактики обхода, а также методы противодействия анализу.

[Из песочницы] Электронная карта виноделия России. Замысел и наполнение Поводом для моей регистрации и этой публикации стал прочитанный пост о посещении завода "Коктебель", в истории которого усомнился автор (ссылка). Фейковых вин не существует в продаже. Лично меня очень интересует российское виноделие. Обладая при этом минимальными н...

Новая CPDoS-атака угрожает сайтам, полагающимся на популярные CDN CloudFront, Cloudflare, Fastly, Akamai и многие другие уязвимы перед новой атакой CPDoS на отравление веб-кэша.

ShadowHammer – атака на цепочку поставок «Лаборатория Касперского» обнаружила новую целевую атаку на цепочку поставок. Исследование компании выявило, что …

Новая уязвимость Spoiler затрагивает все поколения процессоров Intel Core Исследователи из Вустерского политехнического института в Массачусетсе и университета в Любеке (Германия) опубликовали документ, в котором рассказали о новой уязвимости процессоров Intel. Уязвимость получила имя «Spoiler» и она не относится к уязвимостям Spectre и Meltdown, ...

Терминалы для бесконтактной оплаты проезда появились на всех станциях метро Пассажиры могут расплатиться картами, поддерживающими технологии PayPass и PayWave, а также с помощью смартфонов с функцией бесконтактной оплаты. Для этого нужно приложить банковскую карту или гаджет к терминалу.Если в вестибюле есть два таких устройства, то они установлены ...

Банковский троян использует снимки экрана для хищения информации Эти вредоносные программы имеют ряд схожих признаков: они написаны на Delphi, содержат функционал бэкдоров, состоят из нескольких компонентов, маскируются под легитимные документы и ПО, а также нацелены на испано- и португалоговорящие страны Латинской Америки.Для атаки злоум...

Большинство атак приходится порты 22, 80 и 443 Специалисты компании Alert Logic проанализировали атаки на 4000 своих клиентов и перечислили в своем отчет основные слабые стороны компаний.

Реализация пула соединений в WCF для .Net Core с использованием HttpClientFactory Наш продукт разрабатывается на платформе .Net Core 2.2 с использованием WCF 4.5 для взаимодействия с SOAP сервисом клиента. В процессе работы сервиса разработчики шины данных заметили высокую нагрузку на сервер. Далее стали появляться проблемы с доступом к сервису. В результ...

Интересные факты об истории Китайской лунной программы и космической миссии «Чанъэ-4» Многое скрыто за заборами полигонов и стенами лабораторий Китайской академии космических технологий при реализации лунных научно-исследовательских космических программ, но часть информации потом все равно любезно предоставляется в открытый доступ. Читать дальше →

Apple опровергла некоторые утверждения Google относительно взлома iOS Спустя неделю после того, как исследовательская группа Google сообщила о длившихся два года атаках на iPhone, Apple ответила резким заявлением, в котором опровергает некоторые утверждения исследователей. В частности, Apple указывает, что попытки взлома ...

Численное моделирование – история одного проекта Привет, Хабр и его уважаемые читатели! В статье (ссылка) мы рассказали о нашем опыте внедрения инструментов численного моделирования в исследовательскую практику металлургической компании. Рады, что тема нашла поддержку и вызвала интерес у читателей ресурса. Сегодня мы рас...

«Лаборатория Касперского»: пользователи macOS всё чаще сталкиваются с фишингом По итогам первой половины 2019 года «Лаборатория Касперского» обнаружила почти 6 миллионов фишинговых атак на пользователей устройств на базе macOS. Приблизительно каждая восьмая атака (12%) при этом была нацелена ...

Найдена платформа для шпионажа за россиянами Антивирусная компания ESET обнаружила шпионскую платформу Attor, которую злоумышленники использовали для атак на пользователей из России и Восточной Европы. Эти атаки проводились с 2013 года.

Кибершпионская платформа Attor используется для слежки за российскими пользователями Шпионская платформа Attor применялась для таргетированных атак на пользователей из России и Восточной Европы. По данным ESET, атаки велись как минимум с 2013 года.

Microsoft заявила об атаках хакеров на антидопинговые организации Атакам подверглись спортивные и антидопинговые организации по всему миру. По данным корпорации, к ним причастны хакеры из группы Fancy Bear, которую власти США ранее связывали с российскими силовиками

Несколько испанских компаний подверглись атакам шифровальщика Направленные атаки шифровальщика вывели из строя как минимум две испанские компании: консалтинговую фирму Everis, работающую в сфере ИТ, а также радиокомпанию Sociedad Española de Radiodifusión (Cadena SER).

[Перевод] Настоящее реактивное программирование в Svelte 3.0 Заголовок статьи может показаться немного кричащим, впрочем как и сам фреймворк Svelte и те идеи, что стоят за ним. Если вы ещё не знаете ничего про Svelte, пристегнитесь, сейчас мы рванём навстречу революции. Учтите, что это не урок по началу работы со Svelte. Уже существуе...

Атака вымогателей вывела из строя большинство электронных служб Йоханнесбурга Хак-группа Shadow Kill Hackers взяла на себя ответственность за атаку на системы Йоханнесбурга. Злоумышленники требуют от городских властей 4 биткоина (примерно 35 000 долларов по текущему курсу).

Group-IB: количество атак прогосударственных и финансово мотивированных хак-групп растет Эксперты Group-IB обнародовали отчет Hi-Tech Crime Trends 2019-2020, посвященный атакам на различные индустрии и объекты критической инфраструктуры, а также кампаниям, направленным на дестабилизацию сети интернет в отдельных странах.

Visa и Mastercard обяжут банки России выпускать лишь бесконтактные карты Международные платежные системы обяжут российские банки выпускать только карты с функцией бесконтактной оплаты: Visa уже в этом апреле, Mastercard — через два года. Эти карты дороже обычных с чипом, и издержки ряда банков вырастут.

BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...

[Из песочницы] Qbot возвращается. Varonis представила подробный анализ банковского трояна Qbot Исследовательская группа по безопасности Varonis обнаружила и исследовала глобальную кибератаку, использующую новый штамм вредоносного программного обеспечения Qbot. Кампания активно нацелена на американские корпорации, но поразила сети по всему миру — с жертвами по всей Евр...

Операторы связи в 29 странах уязвимы для атак Simjacker Специалисты компании Adaptive Mobile опубликовали список стран, чьи мобильные пользователи уязвимы для атаки Simjacker, эксплуатирующей недостатки вшитых в SIM-карты программ. По мнению экспертов, большинство операторов, использующих ненадежные чипы, работает в Центральной и...

Как ускорить работу с API на языке R с помощью параллельных вычислений, на примере API Яндекс.Директ (Часть 2) В прошлой статье я рассказал о том, что такое многопоточность, и привёл примеры её реализации на языке R при работе с API Яндекс.Директ с помощью пакетов doSNOW, doParallel и конструкции foreach. Данная статья является продолжением, но может быть рассмотрена как автономное р...

Шоу Трумана – 2019: как нейросети научили фальсифицировать новостную картину Чтобы создать для любого из нас «индивидуальную» новостную картину и фальсифицировать подобранные в ней сообщения СМИ, сегодня достаточно усилий одного программиста. Об этом «Известиям» рассказали специалисты по искусственному интеллекту и кибербезопасности. Совсем недавно, ...

Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...

Искусственный интеллект в файтинге Shadow Fight 3 Геймдизайнеры регулярно сталкиваются с задачей создать интересный ИИ. Этот процесс может быть как относительно простым, так и крайне сложным, в зависимости от нужд проекта и целей, которые вы преследуете. Старший геймдизайнер Banzai Games Михаил Драговаловский рассказал пр...

В России участились хакерские атаки на медицинские учреждения Как сообщили в "Лаборатории Касперского", объектами атак весной и в начале лета 2019 года стали до десяти крупных государственных медучреждений, расположенных в южных регионах страны. Хакеров интересовали финансовые документы.

Новые особенности атак программ-вымогателей При таких атаках на компьютер жертвы устанавливается вредоносное ПО, которое шифрует важные для пользователя файлы либо блокирует систему целиком, после чего злоумышленник требует выкуп за разблокирование. Растущее количество таких атак заставляет ...

Telegram под DDoS-атакой В среду, 12 июня, мессенджер Telegram в ряде стран работал с перебоями. Для многих сервис был вообще недоступен — как оказалось, из-за мощной DDoS-атаки. В Твиттере представители Telegram сообщили, что их серверы находятся под DDoS-атакой и пользователи могут испытывать труд...

IronPython на стороне зла: как мы раскрыли кибератаку на госслужбы европейской страны Наши специалисты из экспертного центра безопасности всегда держат руку на пульсе и следят за появлением новых интересных и опасных угроз. Именно так в начале апреля 2019 года была обнаружена целевая атака на государственные органы Хорватии. В данном отчете рассмотрена цепо...

Как запустить растущий b2c стартап после хакатона Предисловие Думаю, многие читали статью о том, выживают ли команды после хакатона. Как писали в комментах к этой статье, статистика удручающая. Поэтому хотелось бы рассказать о себе, дабы подправить статистику и дать несколько практических советов по тому, как не сдуться по...

[Перевод] Извлечение данных при машинном обучении Хотите узнать о трех методах получения данных для своего следующего проекта по ML? Тогда читайте перевод статьи Rebecca Vickery, опубликованной в блоге Towards Data Science на сайте Medium! Она будет интересна начинающим специалистам. Получение качественных данных — это пе...

[Перевод] Современная игра для NES, написанная на Lisp-подобном языке What Remains — это повествовательная игра-адвенчура для 8-битной видеоигровой консоли NES, выпущенная в марте 2019 года как бесплатный ROM, запускаемый в эмуляторе. Она создавалась небольшой командой Iodine Dynamics на протяжении двух лет с перерывами. В настоящий момент игр...

Модифицированная версия TeamViewer используется для атак на посольства в Европе Специалисты компании Check Point обнаружили вредоносную кампанию, направленную против европейских посольств и государственных финансовых органов. Предполагается, что за атаками стоят русскоязычные хакеры, но аналитики не считают, что те работают на правительство.

Российские банки запустят получение пластиковых карт через мессенджер Клиентам, желающим получить банковскую карту, вскоре не нужно будет посещать офис, писать заявление, предоставлять документы и данные биометрии и даже устанавливать мобильное приложение. Достаточно будет сообщить о своем желании через мессенджер в см...

Мошенники разослали письма с вирусом-майнером от лица российских компаний Специализирующаяся на кибербезопасности компания Group-IB сообщила о новых атаках вируса-вымогателя Troldesh. Теперь он не только шифрует файлы, но еще и майнит криптовалюту. Group-IB сообщает о новой атаке вируса-вымогателя Troldesh на российские компании. На этот раз злоум...

Group-IB рассказала о крупной кибератаке Silence на российские банки Масштаб действий хакерской группировки увеличивается: она проводит атаки не только на отечественные, но и на европейские и ближневосточные финансовые компании.

Атаки на домен При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена. Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена. К примеру, по итогам пентеста в одной компании мы ...

Почему нельзя ходить по крылу у края и угол атаки Этот случай рассказал мой отец. Он был авиационным инженером на заводе и отвечал за конечную сдачу изделия заказчику. Приземлялся истребитель, который буквально недавно выкатили из цеха окончательной сборки. Мягкое касание, штатная посадка. В общем, обычный испытательный пол...

[Перевод] XXE: XML external entity В этой статье мы объясним, что такое инъекция внешних сущностей XML, опишем некоторые общие примеры, поясним, как найти и использовать различные виды XXE-инъекций, а также обобщим, как предотвратить атаки с их помощью. Читать дальше →

[Перевод] Новости из мира OpenStreetMap №456 (09.04.2019-15.04.2019) Карта Заметок, классифицирует заметки OSM на основе содержимого 1 | Leaflet | Map data OpenStreetMap contributors, ODbL — Imagery openstreetmap.de Карты [1] Участник miche101 представил Карту заметок, инструмент, который пытается классифицировать заметки, публикуемые на с...

Эксперт в области кибербезопасности, остановивший атаку WannaCry, признался в создании вредоносных программ Британский эксперт в области кибербезопасности Маркус Хатчинс (Marcus Hutchins), в заслугу которому ставят нейтрализацию глобальной атаки вымогательского ПО WannaCry в 2017 году, признал себя виновным в создании вредоносных программ. Он был обвинен в Соединенных Штатах...

В архитектуре процессоров Intel обнаружены новые уязвимости Специалисты компании Intel сообщили о новом классе атак по сторонним каналам, затрагивающем все современные процессоры производителя. По информации вендора, спекулятивное выполнение кода может привести к утечке конфиденциальных данных из памяти чипа. Группа проблем связана с...

Мой переезд в Норвегию Я решил написать эту статью, потому что в интернете мало информации именно о переезде в Норвегию. Люди в основном описывают жизнь, процесс поиска работы и тому подобное. Ниже я постарался рассказать о подготовке документов, регистрации в стране, открытии банковского счёта,...

Как волонтёры со всего мира создают прямой эфир ICPC-2019 Меня зовут Лида Перовская, я работаю в Яндексе, а ещё с 2015 года помогаю организовывать прямой эфир International Collegiate Programming Contest. ICPC — студенческий чемпионат мира по программированию — проводится ежегодно с 1970-х. Это чуть ли не единственная олимпиада п...

OpenSSH защитили от атак по сторонним каналам Набор утилит OpenSSH будет хранить приватные ключи шифрования в оперативной памяти, чтобы защищать данные от атак по сторонним каналам. Об этом сообщил один из ведущих разработчиков протокола, Дэмиен Миллер (Damien Miller). По его словам, обновление снизит вероятность атак S...

Чанпэн Чжао: крупная биржа атаковала Binance, когда мы были еще маленькими и никому неизвестными Глава крупнейшей по объемам торгов биткоин-биржи Binance Чанпэн Чжао рассказал, что в самом начале работы, когда площадка только делала свои первые шаги в индустрии, она подверглась атаке со стороны одного крупного игрока. В своей недавней записи на LinkedIn Чжао пишет, что ...

Отчет: число атак скрытых майнеров выросло почти на треть В новом отчете McAfee Labs говорится, что число атак с использованием скрытых майнеров в I квартале этого года выросло на 29% по сравнению с предыдущим периодом. По словам исследователей, атакам подвержены пользователи различных операционных систем — как Microsoft Windows, т...

Майнинг-пулы реализовали «атаку 51%» в сети Bitcoin Cash Крупные майнинг-пулы BTC.com и BTC.top осуществили «атаку 51%» для отмены транзакции другого майнера, который попытался получить доступ к средствам, которые ему не принадлежали, сообщает CoinDesk. Так, в ходе последнего хардфорка, который состоялся 15 мая, неизвест...

Отчет о проблемах и доступности интернета в 2018-2019 годах Здравствуй, Хабр! В этом году при написании итогового документа о работе компании за год, мы решили отказаться от пересказа новостей и, хотя полностью избавиться от воспоминаний о произошедшем не удалось, нам хочется поделиться с тобой тем, что все таки получилось сделать ...

ESET обнаружила фишинговую атаку на пользователей Apple Эксперты полагают, что целью кампании является получение персональных данных, а также доступ к банковским счетам пользователей.

Сеть криптовалюты Vertcoin подверглась неудачной атаке 51% В воскресенье, 1 декабря, криптовалюта Vertcoin подверглась атаке 51%, однако оказалась для ее организаторов не совсем удачной – расходы на ее проведение явно не окупились. О неудачной попытке осуществить атаку на сеть сообщил ведущий разработчик Vertcoin Джеймс Лавджой. Ver...

Новые атаки MageCart используют неправильно настроенные бакеты AWS S3. Пострадали более 17 000 сайтов Эксперты компании RiskIQ сообщили о новом витке атак MageCart. Теперь преступники ищут плохо настроенные бакеты AWS S3 и ломают все, до чего могут добраться.

[Из песочницы] Иранские хакеры украли терабайты данных у Citrix Как сообщает Citrix через свой блог, ФБР проинформировало их об атаке хакеров на внутренние ИТ-ресурсы компании. Citrix начали расследование и установили, что был неавторизованный доступ к внутренним документам. Читать дальше →

Поиск JS-фреймворка для генерации UI Как-то я захотел попробовать реализовать одно маленькое клиент-серверное приложение. Реализация в задумке была такая: на клиентской стороне рисуем с помощью какого-нибуть JS-фреймворка окошки, на серверной стороне обрабатываем вызовы с клиента с помощью скомпилированного пр...

Со счетов пользователей карт «Кукуруза» вывели 2 млн рублей Около 80 человек пострадали от атаки киберпреступников на пользователей сервиса «Кукуруза» — владельцев бонусной платежной карты, выпущенной РНКО «Платежный центр» для компаний «Связной» и «Евросеть» (сейчас это объединенная компания &...

Kyiv Smart Card: С 1 ноября в Киеве перестанут продавать бумажные билеты и жетоны, уберут кондукторов и дадут возможность оплачивать проезд банковскими картами Директор департамента информационно-коммуникационных технологий КГГА Юрий Назаров объявил, что с 1 ноября в Киеве планируют полностью прекратить продажу бумажных билетов в наземном транспорте, а также жетонов и зеленых бесконтактных карт в метрополитене. Также чиновник сообщ...

Security Week 36: срок жизни уязвимостей в смартфонах Главная новость прошлой недели — масштабное исследование реальной атаки на устройства на базе iOS, опубликованное экспертом Яном Бером из команды Google Project Zero (новость, блогпост Яна со ссылками на семь дополнительных публикаций). Это редкий пример исследования, в кото...

Обнаружена новая версия зловреда Shamoon Образец вредоносного ПО был загружен в базу VirusTotal из Франции 23 декабря.Исполняемый файл носит имя Baidu PC Faster и даже снабжен цифровым сертификатом подлинности от Baidu. Сертификат, впрочем, был выпущен 25 марта 2015 года и срок его действия истек 26 марта 2016.Sham...

Что такое транспортные экспресс-карты в Apple Pay и как ими пользоваться С iPhone оплачивать проезд гораздо удобнее, чем вы думали Apple нас балует, и даже не думайте со мной спорить. Из-за длительной программной поддержки фирменных устройств двухлетний цикл обновлений Android-смартфонов кажется нам смешным, а удобство и логичность Apple Pay заст...

На сеть Ethereum Classic осуществлена атака 51% Разработчики Ethereum Classic, изначально отрицавшие атаку 51% на сеть этой криптовалюты, в понедельник вечером признали этот факт, предположив, что она оказалась связана с тестированием новых майнеров. Первые сообщения о том, что на Ethereum Classic ведется атака 51%, появи...

Spring Data JPA В статье опишу использование Spring Data. Spring Data — дополнительный удобный механизм для взаимодействия с сущностями базы данных, организации их в репозитории, извлечение данных, изменение, в каких то случаях для этого будет достаточно объявить интерфейс и метод в нем, ...

Исследователи Google помогли Apple пресечь масштабную хакерскую атаку на пользователей iPhone Участники проекта Google Project Zero, занимающиеся исследованиями в области информационной безопасности, сообщили об обнаружении одной из самых масштабных атак на пользователей iPhone, в ходе которой использовались веб-сайты, распространяющие вредоносное программное обеспеч...

Как поделить архитектуру и реализацию и не поругаться Создание новой системы — многоэтапный процесс: проработка концепции и дизайна, проектирование архитектуры, реализация, тестирование, релиз. Проектирование архитектуры и реализация — это те этапы, которыми в первую очередь занимаются разработчики. Большинство разработчиков лю...

Имитация целевых атак как оценка безопасности. Киберучения в формате Red Teaming Когда дело доходит до кибербезопасности, то, как правило, ни одна организация не является на 100% защищенной. Даже в организациях с передовыми технологиями защиты могут быть проблемные моменты в ключевых элементах — таких как люди, бизнес-процессы, технологии и связанные ...

[Перевод] Нейросети и глубокое обучение, глава 3, ч.3: как выбрать гиперпараметры нейросети? Содержание Глава 1: использование нейросетей для распознавания рукописных цифр Глава 2: как работает алгоритм обратного распространения Глава 3: ч.1: улучшение способа обучения нейросетей ч.2: почему регуляризация помогает уменьшать переобучение? ч.3: как выбрать гиперпара...

На дне Кораллового моря найден авианосец времен Второй мировой войны Paul Allen Авианосец USS Wasp затонул в сентябре 1942 года. Корабль атаковала японская подлодка I-19, и в него попали две торпеды: спасти авианосец уже было нельзя, и он был затоплен эсминцем «Лэнсдаун»; тогда в результате атаки погибли 176 и были ранены 366 членов экип...

Новая атака на Android-устройства помогает имитировать нажатия на экран Перед атакой Tap 'n Ghost уязвимы многие устройства с емкостными сенсорными экранами и поддержкой NFC.

Рекомендательная система для Directum Club. Часть первая, коллаборативная Каждый день пользователи по всему миру получают большое количество различных рассылок — только через сервис MailChimp ежедневно рассылают миллиард писем. Из них открывают 20.81%. Ежемесячно пользователи наших сайтов получают рассылки с отобранными редактором материалами. Эти...

Атака дронов вызвала пожар на крупнейшем нефтяном заводе В ночь на субботу загорелись два нефтяных объекта в Саудовской Аравии. Один из них — крупнейший в мире нефтеперерабатывающий завод. Возгорание произошло из-за атаки дронов.

Умные часы с NFC, которыми можно платить: выбор ZOOM Поддержка NFC в умных часах позволяет отказаться от использования пластиковых банковских карт: сегодня гаджетами можно рассчитываться в магазинах, оплачивать парковку и проезд общественном транспорте. Однако для бесконтактной оплаты устройство не только должно быть оснащено ...

Хакеры организовывают фишинг-атаки под видом сотрудников редакции ForkLog Основатель криптовалютной биржи Codex и CEO Attic Lab Сергей Васильчук едва не стал жертвой фишинговой атаки, которую злоумышленники пытались провести под видом сотрудника редакции ForkLog. Примечательно, что это уже третий инцидент в череде атак на топ-менеджеров биткоин-би...

ESET: умные гаджеты Amazon помогали злоумышленникам следить за пользователями Международная антивирусная компания ESET обнаружила опасные уязвимости в колонках Amazon Echo первого поколения и электронных книгах Amazon Kindle восьмого поколения. Они позволяют злоумышленникам осуществлять т.н. KRACK-атаки (атаки ...

«Сбербанк» изменил правила переводов между банковскими картами В современном понимании банковская карта – это универсальный инструмент для работы с деньгами, потому как с ее помощью их можно как получать, так и отдавать кому-либо. На фоне высокого уровня удобства использования пластиковых карт, жители Сообщение «Сбербанк» изменил прави...

Российские компании подверглись атаке вымогателя Shade Специалисты ESET и «Лаборатории Касперского» сообщают о новой волне фишинговых писем, при помощи которых распространяется вредоносный шифровальщик Shade. Атака нацелена на российские компании. Письма злоумышленников обычно замаскированы под уведомления от ка...

Пост-анализ: что известно о последней атаке на сеть серверов криптоключей SKS Keyserver Хакеры использовали особенность протокола OpenPGP, о которой известно более десяти лет. Рассказываем, в чем суть и почему её не могут закрыть. Читать дальше →

Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...

«ПриватБанк» запустил мгновенный выпуск виртуальных банковских карт, которые являются полноценными аналогами пластиковых карт Государственный «ПриватБанк» запустил услугу мгновенного оформления виртуальной банковской карты в Privat24. И теперь, чтобы получить банковскую карту, не нужно идти в отделение. В отличие от Интернет-карты, виртуальная карта является полноценной банковской международной кар...

Фишинговая атака на биткоин-инвесторов длилась почти год. Она обошлась хакерам всего в $160 Компания по кибербезопасности Prevailion обнаружила, что инструменты для нацеленной на криптовалютных инвесторов масштабной фишинговой атаки MasterMana Botnet обошлись всего в $160. MasterMana Botnet массово рассылает электронные письма от имени существующих фирм с инфициров...

Какие бюджетные смарт-часы поддерживают NFC и бесконтактные платежи Будьте осторожны. Наличие чипа — не гарантия работы бесконтактных платежей.

Школьников обвинили в DDoS-атаках Такова статистика, полученная "Лабораторией Касперского" на основе работы решения Kaspersky DDoS Protection.Пиковым месяцем квартала стал сентябрь - за 30 дней в начале осени было зафиксировано 53% всех DDoS-атак в отчётном периоде. И что характерно, более половины...

Антифишинг и Тайгер Оптикс защитят сотрудников от цифровых атак Тайгер Оптикс, дистрибьютор инновационных решений в сфере информационной безопасности и Антифишинг, российская исследовательская компания и разработчик программного обеспечения, подписали дистрибьюторское соглашение.

[Перевод] Работа над PEG на Core Developer Sprint В этой статье я не буду рассказывать о новых фичах генератора парсера — я достаточно описал его в предыдущих частях. Вместо этого хочу рассказать что я делал на Core Developer Sprint на прошлой неделе, прежде чем всё сотрётся из моей памяти. Хотя большая часть материала так ...

Уязвимость в runC угрожает безопасности Docker, Kubernetes и не только Обнаруженная в runC уязвимость может использоваться для атаки на хост-систему и получения root-доступа.

В Беларуси заработал Garmin Pay – сервис бесконтактных платежей для любителей спорта Garmin Pay – это сервис по бесконтактной оплате за товары и услуги в сети POS-терминалов с помощью спортивных часов Garmin, без физического присутствия банковской карточки или телефона.

Как удалить негативные отзывы и отбить атаку на репутацию: личный опыт Честный рассказ о том, как один персонаж написал про нас около тысячи анонимных отзывов, как мы их удаляли и как сделать это самим за несколько часов. Читать дальше →

Нейросетевой синтез речи с помощью архитектуры Tacotron 2, или «Get alignment or die tryin'» Нашей команде поставили задачу: повторить результаты работы искусственной нейронной сети синтеза речи Tacotron2 авторства DeepMind. Это рассказ о тернистом пути, пройденном нами в ходе реализации проекта. Читать дальше →

Xiaomi запустит в РФ платежный сервис В ходе ПМЭФ китайская и американская компании объявили о том, что заключили соглашение о сотрудничестве на территории России. Чтобы воспользоваться Mi Pay необходимо будет обладать банковской картой MasterCard и смартфоном или трекером Xiaomi с NFC. О сроках запуска проекта ...

«Сбербанк» выпустил революционную банковскую карту Сейчас на рынке существует огромное множество банков, а в России таких более четырех сотен, услугами которых пользуется вся страна. У многих россиян имеются банковские карты, при помощи которых можно оплачивать товары и услуги, в том Сообщение «Сбербанк» выпустил революцион...

Как выстрелить себе в ногу в C и C++. Сборник рецептов Haiku OS История встречи статического анализатора PVS-Studio с кодом операционной системы Haiku уходит в далёкий 2015-й год. Это был интереснейший эксперимент и полезный опыт для команд обоих проектов. Почему эксперимент? Анализатора для Linux тогда не было и не будет ещё полтора год...

Банковская карта Apple меняет цвет в зависимости от покупок Совсем скоро в США состоится запуск банковской карты Apple Card. Как выяснилось, карта может визуализировать характер расходов владельца, меняя свой цвет.

Как мы делали платежную систему для криптовалюты: пять основных проблем Привет, Хабр! На связи компания B2Broker, провайдер ликвидности и технологических решений для брокерской и биржевой индустрии. Один из наших продуктов — трейдинговая платформа B2BX.exchange. Когда летом 2017 года мы запускали платформу, то задумались о том, как принимать кри...

Опыт разработки сервиса Refund Tool с асинхронным API на Kafka Что может заставить такую большую компанию как Lamoda с отлаженным процессом и десятками взаимосвязанных сервисов существенно менять подход? Мотивация может быть совершенно разная: от законодательной до присущего всем программистам желания экспериментировать. Но это вовсе н...

ФСБ: каждая третья атака хакеров приходится на банковскую сферу Предотвращение нападений на 7 тыс. российских объектов и странах ОДКБ стало возможным «при взаимодействии с зарубежными партнерами из 122 стран».

Патентную атаку обрушили на чипы от Intel Американская корпорация Intel столкнулась с патентной атакой со стороны компании Fortress Investment. Последняя приобрела за короткое время более одной тысячи патентов в сфере полупроводниковых технологий, после чего направила массу исков против практически всех моделей проц...

Grayscale Investments заявила об отсутствии прямого риска активам в Ethereum Classic после атаки 51% Инвестиционная компания Grayscale Investments заверила своих клиентов, что не видит прямого риска активам фонда в Ethereum Classic после того, как ранее на этой неделе сеть криптовалюты подверглась атаке 51%. Об этом пишет CoinDesk. Как заявили в компании, несколько клиентов...

Ситуация: новая волна атак с перехватом DNS-запросов — разбираем базовые методы защиты Специалисты по ИБ зафиксировали рост числа атак DNS hijacking на сайты частных и правительственных компаний. Рассказываем, кто пострадал и как защититься. Читать дальше →

«Сбербанк» исполнил заветную мечту миллионов владельцев банковских карт Любая банковская карта – это простой, но функциональный инструмент для работы с деньгами. С его помощью можно расплачиваться в магазинах, снимать наличные, а также выполнять массу других действий без каких-либо запретов и ограничений. Активнее всех Сообщение «Сбербанк» испо...

«Сбербанк» изменил правила внесения денег на все банковские карты Финансовое учреждение «Сбербанк» вот уже как очень давно делает все возможное ради того, чтобы повышать популярность банковских карт в России, а для этого в ход идут все средства и методы. Делается это не только для Сообщение «Сбербанк» изменил правила внесения денег на все...

«Сбербанк» сильно ограничил переводы на банковские карты С использованием банковских карт можно не только оплачивать различные услуги и товары, но еще и обмениваться с их помощью деньгами. Такие можно как отправлять кому-либо, так и принимать. Делать это своим клиентам позволяют «Сбербанк», а Сообщение «Сбербанк» сильно ограничил...

«Нетипичное отношение к финансам» — что если сотрудники сами будут управлять доходами. Разговор с Флант В мире, где только свой бизнес может сделать тебя по-настоящему богатым, люди до сих пор идут работать по найму. Во-первых, не все счастливы быть бизнесменами, а жить надо. Во-вторых, на работе все понятно и безопасно — ты выполняешь свою функцию, а большинство рисков беру...

Оплата проезда картой или смартфоном в России набирает популярность В сентябре этого года во всех автобусах, трамваях, электробусах и троллейбусах Мосгортранса появилась возможность оплатить проезд банковской картой или смартфоном. Официальный сайт Мосгортранса сообщает, что сервис стремительно набирает популярность. Услугой бесконтактн...

Toolbox для исследователей — третий выпуск: поиск источников и работа с ними Работа над любым исследовательским проектом включает в себя поиск и изучение множества источников информации. Организация этого процесса — непростая задача. Сегодня мы расскажем об инструментах, которые призваны оптимизировать различные ее составляющие. Toolbox для исследо...

Российские хакеры похитили 3 миллиона долларов из банков Бангладеш Эксперты компании Group-IB полагают, что за атаками стоит российская хакерская группировка Silence - она заявила о себе в прошлом году успешными атаками на финансовые учреждения в Российской Федерации. Теперь же хакеры "накопили достаточный опыт и уверенность в себе и с...

«Прямая линия с Владимиром Путиным» подверглась атакам Все зафиксированные во время мероприятия атаки относились к классу DDoS и были своевременно обнаружены и отражены благодаря внедренной компанией системе выявления и защиты от сетевых атак. Атаки фиксировались фактически с начала мероприятия и до его завершения. Максимальный ...

Конкуренция развернулась в киберпространстве. DDoS-атаки участились и подешевели «Ростелеком» обнаружил двукратный рост числа DDoS-атак в рунете за 2018 год. Основной удар приняли компании из игровой индустрии, интернет-торговли и финансового сектора. Подобные атаки легко организовать, что, по мнению экспертов, делает их популярным инструментом для борьб...

Финтех-дайджест: бесплатные переводы в системе СБП, уязвимость банков к атакам и другие новости Сегодня в дайджесте: Бесплатные переводы средств между банками, которые входят в систему СБП; Степень уязвимости банков к атакам злоумышленников; Финансовая грамотность населения растет; Криптовалюты остаются непопулярным средством платежа. Переводы без комиссии Почт...

[Перевод] 13 приёмов работы с npm, которые помогают экономить время Каждый день миллионы разработчиков, создавая свои JavaScript-приложения, обращаются к npm (или к Yarn). Выполнение команд наподобие npm init или npx create-react-app стало привычным способом начала работы над практически любым JavaScript-проектом. Это может быть сервер, клие...

[Перевод] PostgreSQL 11: Эволюция секционирования от Postgres 9.6 до Postgres 11 Отличной всем пятницы! Все меньше времени остается до запуска курса «Реляционные СУБД», поэтому сегодня делимся переводом еще одного полезного материала по теме. В процессе разработки PostgreSQL 11 была проделана впечатляющая работа по улучшению секционирования таблиц. Секц...

«Сбербанк» запустил совершенно новый вид банковских карт Как многие наверняка хорошо знают, мир электронных платежей не ограничивается одними только банковскими картами Visa, MasterCard и «Мир», потому что таких гораздо больше. Сегодня, 20 ноября 2019 года, порадовать всех в очередной раз решила кредитная Сообщение «Сбербанк» зап...

Исследователи Google выявили атаки на персональные данные в iPhone, длившиеся два года Исследовательская группа Google обнаружила, что длившиеся два года непрерывные атаки на устройства iPhone могли давать злоумышленникам доступ к контактам, фотографиям и данным местоположения пользователей. «Несколько инфицированных вебсайтов» ...

Превращая FunC в FunCtional: как Serokell победили в Telegram Blockchain Competition Вы наверняка слышали о том, что Telegram собирается запустить блокчейн-платформу Ton. Но вы могли пропустить новость, что не так давно Telegram объявил конкурс на реализацию одного или нескольких смарт-контрактов для этой платформы. Команда Serokell с богатым опытом разрабо...

«Сбербанк» выпустил новое поколение банковских карт «Мир» С 2014 года на территории России существует национальная платежная система «Мир», на базе которой с тех самых пор активно выпускаются банковские карты. Их главный плюс в том, что они совершенно независимы от других стран мира, Сообщение «Сбербанк» выпустил новое поколение б...

В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...

Security Week 08: взлом VFEMail в прямом эфире Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон по...

[Перевод] Реализация PEG парсера Вдохновленный лишь частичным пониманием PEG, я решил попробовать его реализовать. Результат может получиться и не самым лучшим среди парсеров PEG общего назначения — их уже много (например, TatSu написан на Python и генерирует код Python) — но это хороший способ разобраться ...

Теперь атакам MageCart подвергаются не сайты, а маршрутизаторы Специалисты IBM обнаружили доказательства того, что злоумышленники создают специальные скрипты для размещения на Layer 7 маршрутизаторах и последующей кражи банковских карт.

Dunidle 1200000041 Собирайте золото, обновляйте и создавайте свою команду с самыми могущественными героями. Loot очаровал волшебное легендарное оружие из легендарного сундука, чтобы сражаться против монстров из разных подземелий и самых эпических боссов. Особенности: • Простой и автоном...

[Перевод] Конференция DEFCON 19. Взламываем MMORPG ради веселья и прибыли. Часть 2 Конференция DEFCON 19. Взламываем MMORPG ради веселья и прибыли. Часть 1 Джош Филлипс: как мы говорили, все хаки довольно просты, и их использование иногда не требует никаких навыков, достаточно просто творческого подхода к делу. Для использования «суперсилы» вам не обязате...

В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...

Новости недели: «Яндекс» и западные спецслужбы, ФАС борется с онлайн-казино, Минтранс регулирует работу BlaBlaCar В новом дайджесте читайте: «Яндекс» подвергался атакам западных спецслужб; Google планирует за деньги раздавать интернет с воздушных шаров; Минтранс занялся регуляций деятельности BlaBlaCar и других транспортников; НАСА планирует отправить ровер на Титан; Дональд Трамп ...

ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи  конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...

Новая спам-атака на пользователей Microsoft Office Последние пару недель исследователи из Microsoft наблюдают активизацию спам-рассылок, нацеленных на эксплуатацию уязвимости CVE-2017-11882. Зловредные письма, по всей видимости, ориентированы на жителей европейских стран, так как они оформлены на разных языках, используемых ...

Microsoft рассказала о главных киберугрозах в 2018 году Количество фишинговых атак в мире увеличилось более чем на 350%.

Опубликован OpenSSH 8.1 Разработчики OpenSSH представили очередную версию пакета программ для работы по протоколам SSH 2.0 и SFTP. Релиз устранил серию опасных уязвимостей, позволявших определить приватные ключи и вмешаться в защищенный обмен данными. Среди таких угроз эксперты выделили баг в коде ...

Результаты Pwn2Own: Tesla Model 3 взломана, на ней поехал домой автор нового метода атаки Несколько недель назад на Хабре публиковалась новость о том, что Илон Маск пообещал привезти Tesla Model 3 на конференцию Pwn2Own и отдать электромобиль тому, кто сможет его взломать. При этом предприниматель высказывал сомнение в том, что кому-то удастся обойти защитные с...

«Сбербанк» заставил пользователей банковских карт «Мир» прыгать от счастья Вот уже как почти пять лет на территории России существует национальная платежная система «Мир», на базе которой с самого момента ее появления выпускаются банковские карты. Такими граждане РФ пользовались крайне неохотно, а после принятия закона, Сообщение «Сбербанк» застав...

Собираем свой Nginx парой команд Привет! Меня зовут Сергей, я работаю инфраструктурным инженером в команде API платформы tinkoff.ru. В этой статье я расскажу о проблемах, с которыми сталкивалась наша команда при подготовке балансировщиков на основе Nginx для различных проектов. Также расскажу об инструмен...

Как простой <img> тэг может стать высоким риском для бизнеса? Безопасность на реальных примерах всегда интересна. Сегодня поговорим об SSRF атаке, когда можно заставить сервер делать произвольные запросы в Интернет через img тэг. Итак, недавно занимался тестированием на проникновение одновременно на двух проектах, сразу на двух э...

Три дзена reactive extensions "Reactive Extensions" — это больше, чем фреймворк. Хотя бы потому, что существует практически идентичная реализация (с поправкой на особенности конкретного языка и соответствующих практик оптимизации) под каждый популярный ЯП. Есенин утверждает, что «большое видится на расст...

Google заполучила технологию изготовления смарт-часов Fossil и команду разработчиков Google объявила о заключении сделки с Fossil Group, в рамках которой она получила доступ к технологиям изготовления смарт-часов американского производителя. Помимо интеллектуальной собственности, согласно условиям контракта стоимостью $40 млн в Google перешла часть команды р...

«Сбербанк» изменил тарифы на обслуживание банковских карт «Мир» Сейчас на территории России популярность с каждым днем набирают банковские карты на базе платежной системы «Мир», созданной несколько лет назад по поручению правительства РФ. Ее особенность в том, что она может работать автономно от других Сообщение «Сбербанк» изменил тариф...

Не только смс и токен: многофакторная аутентификация на базе SafeNet Authentication Service Обычно при фразе “многофакторная аутентификация” люди в первую очередь вспоминают про смс-коды, которые приходят, когда оплачиваешь картой онлайн-покупки. Чуть реже на ум приходит флешка с цифрами, токен. Сегодня я расскажу про другие способы многофакторной аутентификации и...

MaxPatrol SIEM выявляет атаки с тактикой «Закрепление» по матрице ATT&CK В MaxPatrol SIEM загружен пакет экспертизы, предназначенный для выявления атак с применением тактик модели MITRE ATT&CK: теперь система сможет выявлять атаки с тактикой «Закрепление». Новые правила корреляции позволяют обнаруживать ...

ESET обнаружила платформу для кибершпионажа за пользователями российских сервисов Международная антивирусная компания ESET изучила шпионскую платформу Attor, которая применялась для таргетированных атак на пользователей из России и Восточной Европы. По данным исследователей, атаки велись как минимум ...

Как создавать успешные команды и управлять ими Снова всех приветствую! Как и обещал, я продолжаю писать о менеджменте в IT. В прошлой статье я рассказал о поиске и найме новых игроков в команду. Но какими бы классными и талантливыми людьми они ни были, они пока не команда. Можно провести параллель с футболом: вы можете к...

[Из песочницы] Карта ДТП Расскажу вам о проекте “Карта ДТП” – интерактивной карте аварий в России. Карта упрощает анализ ДТП и помогает найти реальные причины происшествий. Как пришла идея, где брали данные и зачем открыли исходный код. За 2018 год в ДТП на дорогах России погибли 19088 человек Ч...

Архитектура компьютера. Цифровой логический уровень Компьютер — это машина, которая может выполнять вычисления через исполнение примитивных операций. Она может понимать только два сигнала, которые принимаются за 0 и 1. Организация архитектур машин представляется как ряд уровней, каждый из которых надстраивается над нижележа...

Официально: «Сбербанк» запретил переводы денег на банковские карты При помощи современных банковских карт можно не только что-то оплачивать, как было много лет назад, но еще и получать деньги, а также, кроме того, производить их отправку. Как правило, денежные средства при переводе между банковскими Сообщение Официально: «Сбербанк» запрети...

В России запустили сервис бесконтактной оплаты Mir Pay для Android Пользователи смартфонов под управлением Android из России получили дополнительную возможность оплачивать покупки бесконтактным способом. Теперь в дополнение к Google Pay и Samsung Pay в стране заработал новый сервис, основанный на работе модуля ближнего поля (NFC). Им стал ...

Sodinokibi прячется за ложными сообщениями администраторов Операторы шифровальщика Sodinokibi продвигают его через фальшивые веб-страницы, которые они разворачивают на взломанных WordPress-сайтах методом оверлея. Как проходят атаки Sodinokibi через взломанные сайты Об угрозе сообщил в Twitter независимый ИБ-эксперт под ником @Securi...

[Перевод] V8: один год со Spectre 3 января 2018 года Google Project Zero и другие раскрыли первые три из нового класса уязвимостей, которые затрагивают процессоры со спекулятивным выполнением. Их назвали Spectre (1 и 2) и Meltdown. Используя механизмы спекулятивного выполнения CPU, злоумышленник может времен...

ТОП-10 уязвимостей IoT-устройств К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей. В среднем между временем подключения...

Новая атака представляет угрозу даже для TLS 1.3 Группа специалистов описала новый вариант атаки Блейхенбахера, представляющий угрозу для новейшего TLS 1.3.

StealthWatch базовые понятия и минимальные требования. Часть 1 Данная статья посвящена довольно новому продукту мониторинга сети Cisco StealthWatch. Основываясь на данных телеметрии вашей инфраструктуры, StealthWatch может выявлять самые разные кибератаки, включая: APTs DDoS атаки нулевого дня наличие ботов в сети кража данных (da...

Мальтийский банк приостановил работу из-за атаки Один из крупнейших банков Мальты, Bank of Valletta, пострадал от кибератаки и был вынужден увести в оффлайн всю свои инфраструктуру.

«Сбербанк» возвращает 30% от суммы покупок всем владельцам банковских карт «Мир» Как многие наверняка отлично знаю, с лета 2018 года все россияне, получающие от государства социальные выплаты или пособия, должны обязательно использовать банковские карты «Мир», которые выпускаются с самого 2014 году, когда в России только появилась Сообщение «Сбербанк» в...

«Сбербанк» сделал всем владельцам банковских карт выплату 5 000 рублей Банковскую карту от кредитной организации «Сбербанк», самой крупной в своем классе на территории России, используют более чем 80 млн россиян, которые регулярно что-то оплачивают с ее помощью. Такая позволяет не только не иметь дело с Сообщение «Сбербанк» сделал всем владель...

[Перевод] Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена Обнаруженная в этом году уязвимость в Exchange позволяет любому пользователю домена получить права администратора домена и скомпрометировать Active Directory (AD) и другие подключенные хосты. Сегодня мы расскажем, как работает эта атака и как ее обнаружить. Читать дальше ...

Check Point Global Threat Index: атаки криптомайнеров и программ-вымогателей Команда исследователей Check Point Research опубликовала отчет самых активных угроз в феврале 2019 года. В топ-10 угроз Threat Index по России — …

SPA Meetup 5: интеграция Jest с QA, мощный UIKit, библиотеки компонентов, DI для масштабирования, платформенные команды Привет! Это пост-отчёт с митапа Moscow SPA 5, серии встреч для фронтенд-разработчиков, которым интересна тематика веб-приложений (Single Page Application). Вместе с докладчиками из Mail.Ru, Яндекса, ВКонтакте, Тинькофф и Авито мы говорили об интеграции Jest с QA-инфраструкту...

Облачный хостер iNSYNQ пострадал от атаки шифровальщика Уже больше недели провайдер облачных услуг iNSYNQ не может вернуться к нормальной работе после атаки шифровальщика MegaCortex.

Apple Card: сравнение с картами Тинькофф и Рокетбанка На мероприятии в театре Стива Джобса Apple представила свою банковскую карту — Apple Card. Пока сервис еще не доступен в России, я разбираюсь во всех плюсах Apple Card и сравниваю их с бонусами банковских карт от «Тинькофф» и «Рокетбанка».

Быстрее и точнее: гибридная система разнотипных кубитов Некоторые идеи ярко зарождаются и быстро умирают ввиду сложности, дороговизны или даже ненужности реализации. Акулы-убийцы с лазерными установками на голове — звучит очень круто, очень сложно и невероятно нелепо. Однако некоторые идеи в своей реализации обещают если не «зо...

Анализ инцидентов, связанных с кибератаками на блокчейн-проекты Все помнят взлет криптовалюты в 2017 году, когда кто-то впервые о ней узнал, а кто-то смог сколотить состояние или даже успел потерять его. История криптовалюты берет начало в 90-х годах прошлого столетия, а большую популярность она получила в 2009 году, когда появился битко...

Внимание! Опасный баг в реализации C++ std::map::merge в Visual Studio 2017 Если Вы используете стандарт C++17 в MS Visual Studio 2017 — будьте осторожны: текущая реализация содержит критический баг в реализации std::map::merge и std::set::merge. Подробности — под катом. Читать дальше →

Простая реализация небольших CAM на ПЛИС Введение Как-то раз мне потребовалось по работе реализовать небольшой блок ассоциативной памяти. Почитав, как это делается у Xilinx на BlockRAM (BRAM) или на SRL16, я несколько опечалился, так как их реализации занимали довольно много места. Решил попробовать сделать его сам...

Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...

[Перевод] Самодельные магнитные карты для калькулятора Casio PRO fx-1 Автор приобрёл калькулятор Casio PRO fx-1 без предназначенных для него магнитных карт. Как они выглядят, показано здесь. По фотографиям автор определил, что длина у них составляет 93 мм, что несколько больше, чем у банковской карты. Карты такой длины существуют, но редки и...

Firefox защитит пользователей браузера от атак класса Spectre и Meltdown Компания Mozilla перерабатывает браузер Firefox в рамках проекта Project Fission, используя технологию Site Isolation, которая разделяет код Firefox по изолированным процессам ОС. Как утверждается, это поможет защитить пользователей от атак класса Spectre и Meltdown, ко...

«Сбербанк» заставил владельцев банковских карт Visa, MasterCard и «Мир» плакать от горя В настоящее время на территории России принимают к оплате где-либо банковские карты на базе только трех платежных систем, в список которых входят Visa, MasterCard и «Мир». Именно при помощи таких граждане РФ на постоянной основе Сообщение «Сбербанк» заставил владельцев банк...

«Сбербанк» заставил всех пользователей банковских карт «Мир» прыгать от счастья С каждым днем спрос на банковские карты на базе платежной системы «Мир» растет, а происходит это в первую очередь из-за законодательного новшества, которое обязало всех граждан РФ получать зарплату за свой труд только на российские Сообщение «Сбербанк» заставил всех пользов...

Этот уникальный стартап Кенеса Ракишева купила Alibaba Что интересного вы знаете об Израиле? Если речь идет о технологиях, то, конечно, сразу вспоминается аналог американской Силиконовой долины – Silicon Wadi. Да, в Израиле действительно растет и успешно развивается мощный технологический хаб, которому суждено собрать воед...

Блокчейну предложена репутация Придумавший блокчейн человек, подписывавшийся как Сатоши Накомото — скорее всего это псевдоним, придумал остроумный способ пиара своей концепции. Он создал биткойн — распределенную систему виртуальных денег. Первоначально они были никому не нужны, но новинка попала в унисон ...

Смартфон Samsung вместо терминала PoS. Представлено приложение Samsung Pay Touch Платёжный сервис Samsung Pay отличается от своих конкурентов тем, что телефоны с поддержкой этого сервиса (не все) могут взаимодействовать с обычными банковскими терминалами, предназначенными только для карт с магнитной лентой. Samsung — не единственная компания, ...

Новости недели: Центр управления автономным Рунетом, биткоин на отметке $8000, уязвимость в процессорах Intel В этом дайджесте читайте: правила работы Центра мониторинга и управления автономным Рунетом; российские госструктуры 9 лет работали под наблюдением китайцев; биткоин подорожал с $5000 до $8000; за год число атак на сайты увеличилось на 60%; в процессорах Intel обнаружил...

Атаки на трасты между доменами Рано или поздно в ходе пентеста встает задача компрометации всего леса — при условии, что есть какие-либо права в одном из доменов. В такие моменты возникает куча вопросов о трастах, их свойствах и самих атаках. Попробуем во всем этом разобраться. Читать дальше →

[Из песочницы] DDoS-атака на RDP-службы: распознать и побороть. Успешный опыт от Tucha Расскажем вам прохладную историю о том, как «третьи лица» пытались помешать работе наших клиентов, и как эта проблема была решена. Как всё началось А началось всё с утра 31 октября, в последний день месяца, когда многим позарез необходимо успеть закрыть срочные и важные воп...

Портирование Qt на STM32 Добрый день! Мы в проекте Embox запустили Qt на STM32F7-Discovery и хотели бы об этом рассказать. Ранее, мы уже рассказывали как нам удалось запустить OpenCV. Qt — это кроссплатформенный фреймворк, который включает в себя не только графические компоненты, но и такие вещи ка...

Зависит ли уровень счастья сотрудников от интересных задач? Расскажут СКБ Контур, Dodo Pizza, Staply и Alternativa Games Хоть сейчас и мало кого заинтересуешь «печеньками» и «кикером в офисе», эйчары до сих пор в описаниях вакансий машинально делают упор на удобном расположении офиса, бесплатном кофе и классных тимбилдингах. Но это, скорее, верхушка айсберга, приятное дополнение к тому, что ...

НБУ: Треть безналичных платежей банковскими картами в POS-терминалах Украины осуществляется бесконтактно Национальный банк Украины опубликовал данные по рынку платежных карт по итогам первого полугодия 2019 года. Общее количество операций (безналичных и получения наличных) с использованием платежных карточек, эмитированных украинскими банками, по итогам первого полугодия 2019 с...

MaxPatrol SIEM выявляет атаки на Linux-системы В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы для выявления атак в операционных системах семейства Linux . Он помогает обнаружить подозрительную сетевую активность приложений и учетных записей, что позволит ...

ESET: группировка Buhtrap переключилась на кибершпионаж Международная антивирусная компания ESET сообщила, что инициатором недавней атаки с использованием уязвимости нулевого дня является известная хакерская группировка Buhtrap. Киберпреступная организация известна атаками на компании в России ...

[Из песочницы] Что такое быть Team Leader Всем привет! Меня зовут Артур Дементьев, я бы хотел поделиться личным опытом и написать несколько статей о том, что из себя представляет менеджмент в IT. А также рассказать о том, на какие грабли наступал и каких ошибок можно было избежать. Все статьи я буду писать, основыва...

Беты Apple живьем: мелочи, о которых не рассказали на презентации Официально новые версии операционных систем Apple появятся только через несколько месяцев, но бета-версии можно «пощупать» уже сейчас. Для этого нужен аккаунт разработчика, компьютер с iTunes, Xcode 11 beta и файлы прошивок: iOS 13, iPad OS 13, TV OS 13, Watch OS 6 и MacOS 1...

Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА? Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последст...

«Сбербанк» ввел налог 1% за переводы между банковскими картами Кредитная организация «Сбербанк» не просто так крайне агрессивно навязывает банковские карты каждому своему клиенту. Помимо того, что в таком случае она будет на постоянной основе получать деньги за их обслуживание, так еще сможет зарабатывать на Сообщение «Сбербанк» ввел н...

«Сбербанк» заставил прыгать от восторга всех пользователей банковских карт «Мир» Пуская платежная система «Мир» и была запущена еще в 2014 году, то есть пять лет назад, но пользоваться банковскими картами на ее базе до сих пор не очень выгодно, если сравнивать их с зарубежными аналогами. Сообщение «Сбербанк» заставил прыгать от восторга всех пользовател...

«Сбербанк» заставил всех держателей банковских карт «Мир» прыгать от счастья Будучи крупнейшим в России финансовым учреждением, в том числе с государственным участием, «Сбербанк» продолжает делать все, что можно, чтобы продвигать среди россиян банковские карты «Мир», работающие на базе национальной платежной системы. Такие появились в стране Сообщен...

За два месяца от идеи до первой продажи: опыт команды Genesis 22 ноября завершилась программа преакселерации конкурса «Цифровой прорыв», участие в которой приняли 53 лучших команд финалистов. В сегодняшнем посте мы расскажем о команде, которая в ближайшем будущем избавит нас от бессмысленного и беспощадного процесса сбора показаний сче...

[Из песочницы] Be remote: распределенные команды — тренд на практике Анна Антонова, руководитель направления по работе с экспертами Преакселератора ФРИИ Про тренд и при чем тут я В США с 2005 по 2017 годы количество людей, работающих удаленно, выросло на 115%. Список крупных компаний, сотрудники которых полностью или почти полностью работают...

Проблемы общего кода в микросервисах Всем привет! Недавно на конференции PGConf в Москве один из докладчиков демонстрировал «микросервисную» архитектуру, упомянув мимоходом, что все микросервисы наследуют от одного общего базового класса. Хотя никаких пояснений по реализации не было, создалось впечатление, что...

«Сбербанк» заблокирует банковские карты при получении переводов Как многие наверняка отлично знают, в настоящее время банки на территории России стараются делать все для того, чтобы доставлять клиентам максимально много неудобств. Так, в частности, при попытке передать кому-либо денежные средства банковская карта может Сообщение «Сберба...

Lyft переманивает водителей конкурента Uber дешёвым ремонтом и бесплатным банковским сервисом Служба заказа такси Lyft ввела для своих водителей оказание бесплатных банковских услуг, а также ремонтное обслуживание автомобилей с большими скидками, видимо, в надежде переманить на свою сторону водителей конкурирующей компании Uber. TIMOTHY A. CLARY / Getty Images Lyft о...

Sucuri: 51% взломанных в 2018 году сайтов были атакованы в SEO-целях Больше половины сайтов, взломанных в 2018 году, подверглись атакам по причинам, связанным с SEO. Об этом свидетельствуют результаты исследования компании в области кибербезопасности Sucuri. Эти атаки осуществлялись для того, чтобы злоупотребить ранжированием сайта в поисковы...

[Из песочницы] Асимметричное шифрование на практике Приветствую вас, хабравчане! Проблемы безопасности — это слабое место большинства из нас. Всем нам неприятно сталкиваться и тем более терять что—то ценное из—за случайного клика мышью. И именно поэтому я решила поделиться найденными материалами с вами. В стремлении развеят...

Команда FIN8 вернулась с финансовым бэкдором Badhatch Кибергруппировка FIN8 обновила свой тулкит для атак на PoS-терминалы, добавив в него новые функции. По сообщению ИБ-специалистов, в ходе исследования вредоносной активности злоумышленников они обнаружили ранее неизвестный штамм бэкдора PowerSniff, он же PunchBuggy. Обновленн...

История одного проекта: когда в команде нет senior developer От переводчика: публикуем для вас статью разработчика Джека Финлея. Джек рассказывает о собственном кейсе — попытке организовать работу командой джуниоров, где все равны и нет технического руководителя. Статья будет полезна для начинающих программистов. Некоторые проект...

GandCrab приходит через взлом MySQL Злоумышленники проводят сканирование TCP-порта 3306 в поисках уязвимых серверов MySQL для установки шифровальщика GandCrab. По данным Sophos, в рамках текущей кампании вредоносная программа была растиражирована в Сети более 3 тыс. раз. Отыскав в Интернете защищенный слабым п...

Введение в Spring, или что делать, если по всему проекту @Autowired и @Component, а вы не понимаете, что это Приветствую тебя, Хабр! Эта статья будет полезна тем, кто уже начал изучать Java и даже успел добиться некоторых успехов в понимании Java Core, и вот услышал слово Spring. И, возможно, даже не один раз: знание Spring Framework, как минимум, фигурирует в описаниях множества ...

Check Point: количество атак на мобильный банкинг возросло в два раза Исследователи представили отчет, посвященный основным тенденциям в кибератаках в первом полугодии 2019 года. Резко выросла доля атак на мобильный банкинг и облачные хранилища, а одной из самых распространенных угроз стала банковская малварь.

Полезные и интересные гаджеты для ПК с AliExpress, с ними работа за ПК станет намного комфортнее. Не пропусти: будет интересно! Всем привет! Существует множество гаджетов для ПК, которые весьма полезны. Сегодня мы посмотрим на подборку самых лучших гаджетов, которые сделают работу за ПК намного комфортнее. Я думаю, вы найдете, что то интересное для себя и своих близких. Итак, начнем!

Xamarin.Forms — простой пример Host-based Card Emulation В этой статье будем реализовывать так называемую Host-based Card Emulation (HCE, Эмуляция банковской карты на телефоне). В сети много подробных описаний этой технологии, здесь я сделал акцент именно на получении работающих приложений эмулятора и ридера и решении ряда практич...

Сервер, ты меня слышишь? BROP-атака на примере задания NeoQUEST-2019 Как найти уязвимость на сервере, не имея информации о нём? Чем BROP отличается от ROP? Можно ли скачать исполняемый файл с сервера через переполнение буфера? Добро пожаловать под кат, разберём ответы на эти вопросы на примере прохождения задания NeoQUEST-2019! Читать дальш...

Заметка: Онлайн-чат средствами SSH Привет, Сообщество! Не так давно пользователь с ником maximmasterr рассказал про свою реализацию системы онлайн-чата посредством использования технологии SSH. В этой заметке мне бы хотелось поделиться с вами ещё одной реализацией SSH-чата, которую разработал Андрей Петров....

Ловушка (тарпит) для входящих SSH-соединений Не секрет, что интернет — очень враждебная среда. Как только вы поднимаете сервер, он мгновенно подвергается массированным атакам и множественным сканированиям. На примере ханипота от безопасников можно оценить масштаб этого мусорного трафика. Фактически, на среднем сервере ...

APT-группа Platinum вооружилась бэкдором Titanium Специалисты «Лаборатории Касперского» рассказали о бэкдоре Titanium, который APT-группировка Platinum использует в атаках на организации в Юго-Восточной Азии. Зловред получает команды через код, зашифрованный в PNG-изображениях, и может манипулировать файлами на ин...

«Сбербанк» для всех банковских карт изменил правила получения зарплаты Банковская карта – это универсальный инструмент, позволяющий распоряжаться денежными средствами, находящимися на банковском счете. С их помощью можно оплачивать любые товары и услуги, что «Сбербанк» настоятельно и рекомендует всем своим клиентам делать, чтобы таким образом ...

«Сбербанк» заставил всех владельцев банковских карт «Мир» прыгать до небес Как известно, с лета 2018 года все лица, которые получают заработную плату или социальные пособия от государства обязаны принимать такие только на банковские карты «Мир», работающие на базе отечественной платежной системы. Получать деньги на любые Сообщение «Сбербанк» заста...

«Сбербанк» запустил новые правила зачисления денег на банковские карты Популярность банковских карт на территории России стремительно растет, а происходит это из-за множества причин, в том числе из-за того, что их активно продвигает «Сбербанк», будучи самым крупным и известным в стране банком, у которого крайне Сообщение «Сбербанк» запустил но...

«Сбербанк» в 20 раз увеличил начисление бонусов «Спасибо» за оплату банковскими картами Для повышения привлекательности своих фирменных банковских карт еще несколько лет назад «Сбербанк» запустил специальную программу лояльности под названием «Спасибо», которая позволяет получать кэшбэк таким образом, при котором он будет начисляться в виде бонусных баллов, а ...

Visa запустила новый способ снятия наличных с банковских карт Хоть российские банки и выпускают банковские карты под своим брендом, однако все они работают на базе той или иной платежной системы, и именно она в первую очередь решает, по каким правилам они будут обслуживаться в Сообщение Visa запустила новый способ снятия наличных с ба...

eSIM в России, рекорды продаж телевизоров Xiaomi и хакерские атаки при просмотре порно — главные новости за неделю Интересные новости из мира техники, которые вы могли пропустить.

Восхождение на Эльбрус — Разведка боем. Техническая Часть 1. Регистры, стеки и другие технические детали Как и обещали, продолжаем рассказывать про освоение процессоров Эльбрус. Данная статья является технической. Информация, приведенная в статье, не является официальной документацией, ведь получена она при исследовании Эльбруса во многом как черного ящика. Но будет безусловно ...

В "Яндексе" заявили, что закон о суверенном Рунете ухудшит работу сервисов компании Об этом рассказал директор по развитию сетевой инфраструктуры "Яндекса" Алексей Соколов. Он сравнил недавнюю атаку хакеров на компанию с учениям в рамках принятого депутатами закона, отметив, что фильтрация трафика через системы DPI создает большие проблемы.

Китайские хакеры совершили две атаки на российские госучреждения в 2019 году Разработчик ПО в области информационной безопасности Positive Technologies обнаружил, что в 2019 году хакерская группировка Calypso с азиатскими корнями атаковала как минимум две государственные организации в РФ. Жертвами злоумышленников также стали госучреждения Бразилии, И...

Google готовится запустить новый банковский сервис на основе Google Pay Google хочет выйти на рынок финансовых услуг. Потому что почему бы и нет Apple, Google, Facebook – все они, хоть и разными способами, но смогли добиться успеха, став лучшими в своём деле. Однако времена, когда можно было выезжать только на одном продукте, давно прошли, и теп...

Хакеры подключились к обновлениям. «Лаборатория Касперского» сообщила об атаках на компьютеры Asus Хакеры внедрили вредоносный код в софт для автоматических обновлений компьютеров Asus, выяснила «Лаборатория Касперского». Потенциально жертвами атаки могли стать около 1 млн пользователей Asus, однако злоумышленников интересовало всего несколько сотен конкретных устройств. ...

[Перевод] Управление стейтом с помощью React Hooks – без Redux и Context API Всем привет! Меня зовут Артур, я работаю ВКонтакте в команде мобильного веба, занимаюсь проектом VKUI — библиотекой React-компонентов, с помощью которой написаны некоторые наши интерфейсы в мобильных приложениях. Вопрос работы с глобальным стейтом у нас пока открыт. Существу...

Мифы о работе PFE Часто, когда рассказываешь о своей работе знакомым и друзьям (как в этой статье), они восторгаются и по-честному завидуют тому, какая интересная у меня работа. Я, в целом, с ними согласен, но хотелось бы снять розовые очки и рассказать о другой стороне работы полевого инжене...

Рисовать — это 10% работы UX-дизайнера Привет, Хабр! Меня зовут Никита. Год назад я пришёл работать в Промсвязьбанк UX-дизайнером в команду по разработке интерфейсов ДБО для малого и среднего бизнеса. В то время нашей команде прилетали совершенно разные задачи, с разных продуктов. Зачастую уже в виде четко описан...

Участник группировки TipTop получил два года условно Суд решил судьбу участника группировки TipTop, которая с 2015 года воровала деньги со счетов россиян. По оценкам ИБ-экспертов, ее участники заразили более 800 тыс. Android-устройств и ежедневно похищали до 700 тыс. рублей. Методы и инструменты TipTop Злоумышленники брали в а...

Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...

Autodesk Maya: полезные базовые функции для работы с 3Д моделями Недавно я столкнулся лицом к лицу с таким зверем как Autodesk Maya. За плечами у меня не было опыта в работе с 3Д моделированием и пришлось в экстренном порядке прокачиваться, начиная с основ, а также ознакомится с функциональностью данного ПО, чтобы проверить работу плагина...

Хакеры использовали инструмент Asus Live Update для распространения вредоносного бэкдора на компьютерах с Windows В контексте: Касперский сказал, что атака смогла скрыться от радаров так долго из-за того, что троянский апдейтер был подписан с использованием законных сертификатов от Asus. Таким образом, никто никогда не подозревал, что что-то не так, сообщает ITbukva.com.По сообщениям, х...

Что есть что и кто есть кто на рынке защиты от DDoS «Мальчик, который делал нам сайт, уже настроил защиту от DDoS». «У нас же стоит защита от DDoS, почему сайт лег?» «Сколько-сколько тысяч хочет Qrator?» Чтобы нормально отвечать на такие вопросы заказчика/начальника, неплохо бы знать, что скрывается за названием «защита от D...

Unity Package Manager Unity — платформа, которая существует довольно давно и постоянно развивается. Однако, работая в ней с несколькими проектами одновременно, все еще можно столкнуться со сложностями в использовании общих исходников (.cs), библиотек (.dll) и остальных ассетов (изображения, звуки...

Получение разрешения на работу в Чехии: смена работодателя в случае дуальной трудовой карты Добрый день, уважаемые читатели! Я уже писал о том, как можно получить дуальную трудовую карту чтобы легально работать в Чехии, уже находясь в стране. Сейчас я бы хотел рассказать о процедуре смены работодателя в случае дуальной трудовой карты. Кому интересно, прошу под кат...

«Сбербанк» заставил миллионы владельцев банковских карт «Мир» прыгать от восторга С лета 2018 года десятки миллионов россиян обязаны использовать банковские карты «Мир», потому что с тех самых пор, на основании нового закона, только на такие можно получать социальные пособия и зарплату от государства. С тех Сообщение «Сбербанк» заставил миллионы владельц...

[Перевод] Опасная лёгкость, с которой можно обмануть военный искусственный интеллект Война с применением ИИ начинает доминировать в стратегиях США и Китая, однако готовы ли к этому технологии? В прошлом марте китайские исследователи объявили о намерении провести гениальную и потенциально разрушительную атаку на один из наиболее ценных технологических актив...

«Сбербанк» изменил основные правила получения зарплат на банковские карты Все больше и больше жителей России с каждым днем получают свою заработную плату не в наличном виде в конверте, а на свою банковскую карту, которая может быть выпущена каким-либо финансовым учреждением на территории страны. Тем Сообщение «Сбербанк» изменил основные правила п...

VPS с видеокартой (часть 2): вычислительные возможности В предыдущей статье мы не затронули некоторые интересные аспекты использования виртуальных серверов с видеоадаптерами. Пришло время дополнить тестирование. Для использования физических видеоадаптеров в виртуальных средах мы выбрали технологию RemoteFX vGPU, которая поддер...

[Перевод] PEG парсеры Несколько лет назад меня кто-то спросил имеет ли смысл превести Python на PEG-парсер (или на грамматику PEG; я не помню точно кто и когда это было). Тогда я немного посмотрел на него, но так и не пришёл к какому-либо выводу, а потому и отбросил эту тему. Недавно я узнал боль...

Невпечатляющий рост биткоина, шантаж биржи Binance, атака на Coinbase и другие события недели Подводя итоги недели, вспоминаем о таинственном «KYC-хакере», изощренной атаке на Coinbase, петиции с призывом не сливать XRP и криптовалютных инициативах США и Китая. Замедление роста биткоина Неделя началась с энергичного движения цены BTC, на фоне роста хешрейта подскочив...

Нейтрализована DDoS-атака на телеканал «Дождь» С 17:08 по 19:54 по московскому времени специалисты Qrator Labs зафиксировали серию DDoS-атак на сервер "Дождя". Сеть Qrator успешно отфильтровала нелегитимный трафик, заблокировав около 800 IP-адресов. Атаки были организованы на уровень приложений (L7), скорость в...

[Из песочницы] USB-звуковая карта на YM3812 Я люблю старые компьютерные игры. Люблю старое железо, но не настолько, чтобы коллекционировать его дома. Другое дело – поковырять какой-нибудь старый чип и попробовать самому что-нибудь воспроизвести, совместить старое с новым. В данной статье история о том, как я подключил...

Полмиллиона онлайн-магазинов уязвимы для кибератак Компания Foregenix проанализировала 9 миллионов интернет-магазинов по всему миру на степень уязвимости перед кибератаками. В результате исследования выяснилось, что в зоне повышенной опасности находятся более полумиллиона сайтов. Около 200 тысяч проверенных ресурсов работают...

Исследователи рассказали об уязвимостях в 26 PoS-криптовалютах Эксперты из Иллинойского университета в Урбане-Шампейне рассказали об атаке Fake Stake, которая представляет угрозу для 26 proof-of-stake криптовалют.

Безопасность сетей 5G и телекоммуникаций По мнению специалистов Trend Micro, многие компании и целые отрасли уже сейчас стремятся воспользоваться преимуществами сетей 5G, но не имеют опыта работы с телекоммуникационными технологиями. Поэтому им будет намного сложнее справиться с атаками киберпреступников, которые у...

Стажировка в ABBYY: компания, с которой можно на «ты» Всем привет! В этом посте я хочу рассказать вам о моей летней стажировке в ABBYY. Постараюсь осветить все моменты, которые обычно интересны студентам и начинающим разработчикам при выборе компании. Надеюсь, что кому-то данный пост поможет определиться с планами на следующее ...

Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и ч...

Продажи кошельков Ledger резко возросли после атаки на Binance Недавняя хакерская атака на криптовалютную биржу Binance положительно сказалась на продажах аппаратных кошельков Ledger. Об этом заявил СЕО компании Паскаль Готье в ходе конференции Atomic Swap, сообщает The Block. Так, соответствующие показатели удвоились сразу после взлома...

Григорий Петров: работа с сетью в Ruby 28 сентября на конференции RubyRussia DevRel компании Evrone Григорий Петров расскажет о том, как общаются микросервисы. В сегодняшнем интервью Иван Соловьев поговорил с Григорием о теме его предстоящего выступления и не только об этом. Расскажи о себе, чем ты занимаешь...

Динамическая генерация DAG в Airflow Всем привет! Меня зовут Антон, в Ростелекоме я занимаюсь разработкой центрального хранилища данных. Наше хранилище состоит из модулей, в качестве оркестратора которых используются несколько инстансов Informatica, часть из которых мы хотим перевести на Airflow в рамках перехо...

10 лучших техник веб-хакинга 2018 Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite. Под катом в...

«Находки аудиомана»: карты звуков как способ погрузиться в атмосферу незнакомого города Картами звуков (sound maps) принято называть географические карты, на которые нанесена разного рода аудиоинформация. Сегодня расскажем о нескольких таких сервисах. Читать дальше →

«Сбербанк» изменил правила зачисления денег на банковские карты клиентов Все больше и большей жителей России с каждым днем используют безналичный способ оплаты чего-либо, находя его максимально удобным для расчетов в магазинах и заведениях. При помощи банковских карт можно не только оплачивать что-либо, но еще Сообщение «Сбербанк» изменил правил...

[Из песочницы] Рендеринг 3D графики с помощью OpenGL Введение Рендеринг 3D графики — непростое занятие, но крайне интересное и захватывающее. Эта статья для тех, кто только начинает знакомство с OpenGL или для тех кому интересно, как работают графические конвейеры, и что они из себя представляют. В этой статье не будет точных ...

Обеспечение безопасности в беспроводных протоколах на примере LoRaWAN Привет, Хабр. Мне хотелось бы в очередной раз поговорить о том, как обеспечивается базовый (читай: минимально необходимый) уровень безопасности данных в беспроводных сетях, используемых в IoT-устройствах, на примере LoRaWAN. Почему именно LoRaWAN? Во-первых, потому, что эт...

Мобильный фишинг — угрозы, которым нет конца Вслед за Google подход «mobile first» приняли на вооружение не только дизайнеры, но и киберпреступники, которые в поисках выгоды следуют за трендом: Еще в 2016 году доля мобильного интернет-трафика превысила трафик десктопов. В 2019 трафик мобильных пользователей составляе...

[Перевод] Изучаем Docker, часть 6: работа с данными В сегодняшней части перевода серии материалов о Docker мы поговорим о работе с данными. В частности — о томах Docker. В этих материалах мы постоянно сравнивали программные механизмы Docker с разными съедобными аналогиями. Не будем отходить от этой традиции и здесь. Данные в ...

Google умолчала об уязвимости в Android, но рассказала про iOS Джеки в шоке На прошлой неделе Google опубликовала доклад о масштабной хакерской атаке, направленной на пользователей iOS. Исследователи компании рассказали об особых сайтах, посещение которых с iPhone приводило к их заражению. В результате злоумышленники более двух лет имел...

WhatsApp и Telegram угрожают безопасности Android-устройств Эксперты обнаружили вектор атаки на мобильные устройства через сохраненный контент WhatsApp и Telegram. Метод подмены медиафайлов (Media File Jacking) дает злоумышленникам несколько возможностей — от подстановки своих реквизитов в чужие финансовые документы до подделки голос...

[Перевод] Выявление мошенничества с помощью алгоритмов случайного леса, нейронного автокодировщика и изолирующего леса Согласно отчёту Nilson о ситуации с банковскими картами и мобильными платежами, суммарный объём потерь в результате мошенничества ещё в 2016-м достиг $22,8 млрд, что на 4,4% больше, чем в 2015-м. Это только подтверждает необходимость для банков научиться распознавать мошен...

Windows 10 избавит от необходимости безопасно извлекать флешки и прочие USB-накопители Со стародавних времен Microsoft приучила пользователей отключать флешки и прочие USB-накопители в два этапа: сначала необходимо воспользоваться диалогом «Безопасного извлечения устройств и дисков» в панели задач, а уже потом физически достать накопитель. Тол...

[Из песочницы] Как научиться программировать в 9 лет самостоятельно Многие считают, что в 9-10 лет можно программировать максимум на Scratch’е. Но это не так. В 9 лет можно и на C# Windows Forms программки пилить. Главное – желание. С чего все началось Все началось тогда, когда я захотел сделать полноценный компьютер в Minecraft. Я устроил...

[Перевод] Mayhem — машина, способная находить уязвимости в программах и исправлять их Программа заняла первое место в конкурсе Cyber Grand Challenge от DARPA, посвящённом автоматизации этичного взлома В 2011 года, когда инвестор Марк Андриссен сказал, что «программы поедают мир», эта идея была свежей. Сейчас очевидно, что ПО проникает во все аспекты наших ж...

Google обнаружил, что хакеры годами собирали личные данные пользователей iPhone Специалисты по безопасности Google раскрыли беспрецедентную массовую атаку хакеров на iPhone. В компании заявили, что данная операция продолжалась на протяжении 2,5 лет, пока ее не обнаружили эксперты Google в январе 2019 года. Для атаки злоумышленники использовали несколько...

Telegram как корпоративный стандарт Эффективная коммуникация в команде — как хорошие дороги в стране: без них только на трехколесных телегах за три месяца из Москвы в Питер, а не сильную экономику строить. И, если в команде нет удобных коммуникационных инструментов, работать такая команда будет трудно и неэффе...

«Сбербанк» заставил всех владельцев банковских карт прыгать от счастья Чтобы снять деньги с какой-либо банковской карты нужно обязаться вводить защитный PIN-код, который обычно состоит из четырех цифр. Он хранится не в карточке, а на уровне банка. Проще говоря, карта является неким ключом к деньгами, Сообщение «Сбербанк» заставил всех владельц...

Как россияне платят онлайн в 2019 году Компания Mediascope изучила, как и за что россияне платят в интернете. Исследование проводилось среди россиян в возрасте 12-55 лет из городов с населением более 700 тыс. человек (6 федеральных округов) и городов Дальневосточного ФО с населением более 600 тыс. человек, котор...

Реализация пользовательского интерфейса OpenStack LBaaS При реализации пользовательского интерфейса балансировщика нагрузки для виртуального приватного облака мне пришлось столкнуться с существенными трудностями. Это привело меня к размышлениям о роли фронтенда, чем хочу поделиться в первую очередь. А далее обосновать свои разм...

Интернет вещей – главная цель для современных хакеров «В ближайшем будущем главной целью для атак хакеров станет Интернет вещей», – уверены в Avast, компании, лидирующей на рынке продуктов для онлайн-безопасности. Чтобы не быть голословными, исследователи развернули в России и других странах более 500 серверов-ловушек, выдающ...

Puppetry 3: автоматизированное тестирование без единой строки кода Я думаю, нет смысла убеждать кого-либо в значимости автоматизированного тестирования. Тем не менее, функциональные тесты зачастую крайне сложны в написания и еще более в поддержке. Существует немало решений, призванных упростить разработку тестов. Я хочу рассказать об одном ...

[Перевод] Для чего пригодится дефолтная реализация интерфейсов? В моем последнем посте я обещал рассказать о некоторых случаях, в которых, я думаю, имеет смысл рассмотреть использование дефолтной реализации в интерфейсах. Эта фича, конечно, не отменяет множество уже существующих соглашений по написанию кода, но я обнаружил, что в некотор...

Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...

Хак-группа Lazarus использует малварь Dtrack для атак на индийские финансовые организации Специалисты «Лаборатории Касперского» обнаружили в сетях индийских финансовых организаций и исследовательских центров ранее неизвестное шпионское ПО, созданное группировкой Lazarus.

Модели натурального ряда чисел и его элементов: Геометрическая (плоскостная) модель натурального ряда     Задача криптографического анализа шифра (атака на шифр) предполагает построение и исследование модели криптографической системы (алгоритма шифра и его элементов), а также ситуации, в рамках которой осуществляется криптоанализ. Для шифра RSA такой моделью его элемента д...

MSK VUE.JS meetup #3 в Mail.ru Group: материалы с митапа В сентябре в нашем офисе прошел большой митап по разработке на прогрессивном фреймворке vue.js. Мероприятие посетили 400 человек — это не может не радовать. В программе было 3 доклада: команда Delivery Club рассказала про технологическую сторону своей новой web-версии клие...

VDI: Дешево и сердито Добрый день уважаемы Хабровчане, друзья и знакомые. В качестве предисловия хочу рассказать о реализации одного интересного проекта или как сейчас модно выражаться, одного интересного кейса касаемо развертывания VDI инфраструктуры. Казалось, статей по VDI много, тут есть и ...

Дистанционная магистратура за границей: заметки перед диссертацией Пролог Существует несколько статей, например Как я поступил на дистанционное образование в магистратуру Walden (США), Как поступить в магистратуру в Англии или Дистанционное обучение в Stanford University. Все они обладают одним недостатком: авторы делились ранним опытом обу...

В России оплата банковскими картами стала популярнее, чем наличными По данным за июнь 2019 года доля покупок по банковским картам в России впервые превысила 50%.

Intel предложила концепцию памяти с защитой от «спекулятивных» атак С самого начала 2018 года началось буквально нашествие уязвимостей в процессорных микроархитектурах, парад которых открыли Meltdown и Spectre. Позже исследователи в сфере информационной безопасности добавили к ним L1TF, SGXSpectre, SWAPGSAttack, Zombieload, MDS и другие уязв...

«Сбербанк» изменил правила банковских переводов денег с карты на карту Вот уже как много лет на территории России существует финансовое учреждение «Сбербанк», которое делает все возможное для того, чтобы наращивать свою прибыль, хотя оно уже итак является самой богатой компанией в стране среди всех, которые Сообщение «Сбербанк» изменил правила...

Как мы делали облачный FaaS внутри Kubernetes и побеждали в Тинькофф-хакатоне Начиная с прошлого года у нас в компании начали организовывать хакатоны. Первое такое состязание прошло весьма успешно, о нем мы писали в статье. Второй хакатон прошел в феврале 2019 и был не менее успешным. О целях проведения последнего не так давно писал организатор. Уч...

Как не слить 10 миллионов бюджета вашего заказчика, играясь с Agile В этом посте я расскажу о тех проблемах с которыми в течении года сталкивалась наша Scrum Front End команда при работе над приличным проектом. Мы начинали разрабатывать проект с нуля используя стек технологий React + Typescript. Оглядываясь назад я вижу многие миллионы выбро...

Унифицированные сервисы goszakup.gov.kz — Версия 2 Я работаю разработчиком в компании АО «Центр Электронных Финансов». Один и наших проектов — портал Государственных закупок Республики Казахстан — goszakup.gov.kz. Год назад мы запустили большой проект — Унифицированные сервисы (OpenData). Для реализации была использована ме...

Россиянам разрешат оформлять банковские карты в мессенджерах Скоро в России оформить дебетовую карту можно будет без документов и посещения офиса банка. Хватит только мессенджера на телефоне: Telegram, Viber, Line или Messenger от Facebook.

Мошенники сняли все деньги с банковского счёта россиянина после перевыпуска SIM-карты Мошенники вывели с банковской карты москвича более 420 тысяч рублей, просто перевыпустив его SIM-карту.

Больше и мощнее: как мы обеспечили работу нового оборудования в ЦОД MediaTek Нередко компании сталкиваются с необходимостью установить новое, более мощное оборудование в уже существующих помещениях. Иногда решить эту задачу бывает непросто, но существует ряд стандартных подходов, помогающих выполнить ее. О них мы сегодня расскажем на примере ЦОД Medi...

Напиши свою песню за 10 минут (модуль textgenrnn Python3) Сегодня попробуем обучить свою собственную нейронную сеть, чтобы писала текст для песен. Обучающей выборкой будут тексты группы "Руки Вверх". Ничто не мешает чтобы поменять данные на тексты своих любимых групп. Для извлечения данных с веб-сайтов используем Python3 (модуль B...

Обман автоматизированных камер наблюдения В последние годы возрос интерес к моделям машинного обучения, в том числе для распознавания зрительных образов и лиц. Хотя технология далека от совершенства, она уже позволяет вычислять преступников, находить профили в социальных сетях, отслеживать изменения и многое друго...

Linux Foundation займется open source чипами Linux Foundation открыли новое направление — CHIPS Alliance. В рамках этого проекта организация будет развивать свободную систему команд RISC-V и технологии для создания процессоров на её основе. Расскажем подробнее, что происходит в этой сфере. Читать дальше →

Side-channel атака, связанная со страничной памятью, работает против Windows и Linux Объединенная группа ИБ-специалистов рассказала о новой атаке по стороннему каналу, которая не зависит от железа и представляет угрозу для Windows, Linux и, скорее всего, macOS.

CEO биржи Kuna предупредил о фишинговой атаке на криптовалютные проекты: их сотрудник уже потерял активы с двух площадок Один из саппорт-менеджеров криптовалютной биржи Kuna стал жертвой фишинговой атаки. В результате были украдены все деньги с его личных счетов на биржах Binance и Hotbit, а также слита личная переписка в Telegram. Об этом сообщил основатель биржи Kuna Михаил Чобанян. По его с...

Стильная Авалония Стили, по умолчанию, что в wpf, что в авалонии, крайне нейтральны, и далеко не всегда подходят под нужные нам задачи, и немногие начинающие разработчики дружат с ними. В этой заметке я бы хотел рассказать про основы работы со стилями и показать пару интересных примеров. Чит...

Армия РФ отбила 118 атак на авиабазу Хмеймим «Неудобную» правду об обороне базы рассказали в Минобороны. 7 сентября официальный представитель Министерства обороны РФ генерал-майор Игорь Конашенков сообщил журналистам о количестве атак на российскую военную базу Хмеймим в Сирии. «Террористы пытаются прорваться через с...

Digital-мероприятия в Москве cо 23 по 29 сентября Подборка мероприятий на неделю Figma Moscow Meetup 23 сентября (понедельник) Берсеневская наб 6с3 бесплатно На митапе выступит сооснователь и глава Figma Дилан Филд, а представители из команд Яндекса, Miro, Digital October и МТС поделятся своим опытом. Большинство докладов...

Отсутствие PoC не смущает злоумышленников Новое исследование показало, что в реальных атаках используется только порядка 5,5% уязвимостей, раскрываемых публично, притом в половине случаев атакующие пишут эксплойт с нуля. Эти результаты группа исследователей из аналитической компании Cyentia, НКО RAND Corporation и П...

Астрахань избавилась от порнографических QR-кодов Министерство культуры и туризма региона Астраханской области приняло решение снять с исторических зданий таблички с QR-кодами, которые полгода вели на порносайты или предлагали знакомства в Tinder. При клике владелец устройства автоматически оформлял себе подписку стоимост...

Криптовалютная биржа Cryptopia приостановила работу из-за атаки Новозеландская криптовалютная биржа Cryptopia сообщила, что понесла «значительные убытки» в результате кибератаки.

[Перевод] Какой будет постквантовая криптография? Идёт гонка за создание новых способов защиты данных и коммуникаций от угроз, исходящих от сверхмощных квантовых компьютеров Мало кто из нас обращал внимание на небольшой символ замочка, появляющийся в наших веб-браузерах каждый раз, когда мы заходим на сайт интернет-магази...

[Перевод] Время для новой теории денег Понимая деньги просто как кредит, мы получаем мощный инструмент для наших сообществ. Причина, по которой наша финансовая система регулярно попадает в беду с периодическими волнами депрессии, вроде той, с которой мы сейчас сражаемся, может быть связана с неверным пониманием ...

Отбитые мошенники: банки массово предупреждают об атаках на счета клиентов Банки начали активно информировать клиентов о мошенниках через рассылки по SMS и почте, в интернет-банке, на своих сайтах и в соцсетях. Об этом «Известиям» рассказали в топ-30 кредитных организаций. Таким образом они заочно признают факт утечек пользовательских данных и пыта...

В преддверии «чёрной пятницы» фишеры стали в два раза чаще атаковать российские интернет-магазины Помимо этого, увеличилась доля фишинговых атак, мишенями которых стали интернет-магазины. Причём особенно заметно этот рост наблюдается в России: если две недели назад на секцию электронной торговли в Рунете была направлена приблизительно каждая 20-я фишинговая атака, то на ...

Вредоносный код в овечьей шкуре. Как работает атака на анклав SGX Для подписчиковЗа годы хаотичной эволюции набор команд ассемблера x86-64 стал порождать самые причудливые сочетания. Сегодня мы рассмотрим творческий подход к использованию TSX-инструкций изнутри анклавов — защищенных участков памяти. Результатом будет рабочий эксплоит, кото...

Раскрыты пять пропатченных уязвимостей в iOS Участники команды Google Project Zero раскрыли подробности о пяти из шести найденных ими уязвимостей в iOS. Все они позволяли проводить удаленные атаки на систему без взаимодействия с пользователем. Компания исправила ошибки в последнем обновлении системы, 12.4, которое вышл...

[Из песочницы] Опыт разработки ассета Unity для поиска пути в 3D пространстве Вас приветствует команда «Graceful Algorithms»! В качестве эксперимента нами было принято решение вести «дневники» разработчиков, в которых мы будем делиться опытом и освещать некоторые интересные результаты проводимых нами экспериментов. Это наша дебютная статья по проект...

Российских хакеров обвиняют в срыве Олимпиады-2020 Хакерские атаки, организованные группой, известной под названиями APT28, Sofacy, Fancy Bear и Strontium, начались 16 сентября этого года, пишет издание The Next Web. Это произошло накануне появления сообщений о планах Всемирного антидопингового агентства (WADA) в отношении р...

Java это не только кровавый энтерпрайз, но и быстрые latency-sensitive приложения Я занимаюсь алгоритмической торговлей в Райффайзенбанке. Это довольно специфичная область банковской сферы. Мы делаем торговую платформу, работающую с низкими и предсказуемыми задержками. Успех приложения зависит в том числе и от скорости работы приложения, поэтому нам прихо...

Siri, Alexa и Google Home можно скомпрометировать с помощью лазера Эксперты из Мичиганского Университета и японского Университета электро-коммуникаций разработали технику атак под названием Light Commands, которая позволяет с помощью лазера подавать неслышные команды микрофонам умных устройств.

Обман нейронной сети для начинающих В рамках ежегодного контеста ZeroNights HackQuest 2018 участникам предлагалось попробовать силы в целом ряде нетривиальных заданий и конкурсов. Часть одного из них была связана с генерированием adversarial-примера для нейронной сети. В наших статьях мы уже уделяли внимание ...

Опыт моделеварения от команды Computer Vision Mail.ru Меня зовут Эдуард Тянтов, я руковожу командой Computer Vision в Mail.ru Group. За несколько лет существования наша команда решила десятки задач компьютерного зрения, и сегодня расскажу вам о том, какие методики мы используем для успешного создания моделей машинного обучени...

CodeSide. Новая игра для знаменитого соревнования Russian AI Cup Сообщество участников чемпионатов и команда Mail.ru Group в сотрудничестве с Codeforces.com приглашают вас на самую настоящую бойню, от которой вы получите бессонные ночи и мозоли на руках, поскольку будете участвовать в одном из самых живых и интересных чемпионатов по про...

Группировки MageCart совершенствуют свои инструменты ИБ-специалисты продолжают наблюдать за активностью группировок, практикующих атаки MageCart. Эксперты RiskIQ рассказали о выводе из строя инфраструктуры Группы 4.

Правительство распределило 6,2 миллиарда рублей на проекты НТИ Об этом говорится на официальном сайте проекта .Как указано в распоряжении "О бюджетных ассигнованиях на реализацию проектов Национальной технологической инициативы", средства будут направлены, в частности, на реализацию дорожных карт НТИ, организацию и проведение ...

E-commerce под ударом Как отметил генеральный директор Qrator Labs Александр Лямин, результаты исследования оказались неожиданными. Как показал опрос, лишь каждая десятая из опрошенных компаний не сталкивалась с проблемами в области информационной безопасности. Наиболее характерными инцидентами я...

Шифровальщик NextCry атакует облачные хранилища NextCloud Пользователи облачного хранилища NextCloud столкнулись с атаками нового шифровальщика, который уничтожает сохраненные резервные копии. По мнению ИБ-экспертов, зловред проникает в системы через обнаруженную недавно уязвимость движка PHP-FPM. Об угрозе сообщили посетители фору...

Security Week 12: клавиатурные атаки Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX...

Россия – «пионер» в организации атак с подменой GPS-сигнала В 66-страничном докладе описаны 9883 случая подобных инцидентов, имевших место как в России, так и за ее пределами. Впрочем, говорить о новизне подобных атак в прямом смысле, разумеется, нельзя: их теоретическая возможность была описана достаточно давно. Однако авторы доклад...

Представлен PoC атаки на страничный кэш в Windows и Linux Операционные системы Windows и Linux уязвимы для атаки, которая позволяет злоумышленникам перехватывать работу с клавиатурой, нарушать границы песочницы и похищать пароли. К такому выводу пришла команда исследователей, состоящая из ученых, представителей вендоров и специалис...

Firefox 66 предупредит пользователей о MitM-атаках В браузере Firefox появится страница с предупреждением о возможной атаке «человек посередине». Новая функция запланирована к релизу в 66-й версии обозревателя, которая должна выйти в марте этого года. ИБ-специалисты обращают внимание, что в ряде случаев сообщение о...

WIBattack. Очередная уязвимость SIM-карт позволяет удалённо совершать звонки, отправлять SMS, следить за местоположением и запускать WAP-браузер с определённым URL Недавно обнаруженная уязвимость SIM-карт Simjacker – не единственная проблема, которая подвергает риску владельцев телефонов. Исследователи безопасности из Ginno Security Lab подробно описали ещё один эксплойт, получивший название WIBattack, который компрометирует приложение...

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 1 Первоначальный доступ к мобильному устройству (Initial Access) Я начинаю очередной цикл публикаций (см. предыдущие), посвященных изучению тактик и техник осуществления хакерских атак, включенных в базу знаний MITRE ATT&CK. В разделе будут описаны техники, применяемые зло...

«Сбербанк» увеличил в 20 раз объем бонусов «Спасибо» за оплату банковской картой Чтобы сделать банковские карты более популярными финансовое учреждение «Сбербанк» еще много лет назад запустило бонусную программу «Спасибо». До лета 2018 года ее условия были крайне просты – за оплату чего-либо с использованием пластиковых карт пользователь Сообщение «Сбер...

«Сбербанк» начал тестировать онлайн-переводы клиентам без карты — они смогут получить наличные по коду из SMS Сервис тестируется с февраля 2019 года, рассказал источник в банковской сфере, но когда он будет запущен для всех — неизвестно.

Пять изощрённых кибератак, которые нарушили работу бизнеса DDoS-атака через принтеры, отель-заложник и цифровая эпидемия.

Приложение Pay Touch позволяет смартфонам Samsung принимать платежи с карт Несмотря на то что Samsung не первой пришло в голову оплачивать покупки смартфоном, именно ее наработки оказались наиболее ценными для развития технологии бесконтактной оплаты. Сначала корейцы придумали способ расплачиваться при помощи Samsung Pay на терминалах без поддержк...

[Перевод] Введение в Example Mapping Прежде чем взяться за работу над user story, очень важно определить для себя критерии приемки. Это можно сделать, когда вы детализируете бэклог или планируете  ближайший спринт. Некоторые команды для этого проводят специальные встречи, которые называются 3 Амиго (подробнее о...

В умных коммутаторах Cisco нашли критические уязвимости Компания Cisco исправила три серьезных бага в прошивке интеллектуальных коммутаторов семейства Small Business 220. Уязвимости позволяют обходить механизм аутентификации устройства, запускать на нем сторонний код, а также внедрять команды оболочки и выполнять их с root-привил...

Герой, который остановил вирус WannaCry, признался в ... Маркус Хатчинс (Marcus Hutchins), исследователь безопасности, наиболее известный тем, что в 2017 году нашел способ остановить широко распространенный и крайне опасный вирус-шифровальщик под названием «WannaCry Ransomware», признал себя виновным в том, что заразил...

Security Week 18: атака ShadowHammer в деталях В конце марта издание Motherboard опубликовало статью о потенциальном взломе инфраструктуры компании Asus. Получив частичный доступ к ресурсам компании, злоумышленники смогли распространить среди клиентов, установивших утилиту Asus Live Update для своевременной загрузки новы...

[Перевод] Стратегии деплоя в Kubernetes: rolling, recreate, blue/green, canary, dark (A/B-тестирование) Прим. перев.: Этот обзорный материал от Weaveworks знакомит с наиболее популярными стратегиями выката приложений и рассказывает о возможности реализации наиболее продвинутых из них с помощью Kubernetes-оператора Flagger. Он написан простым языком и содержит наглядные схемы, ...

В NFC-приложении Android нашли серьезную уязвимость Специалисты компании Checkmarx раскрыли детали опасной уязвимости в ОС Android. Злоумышленники могут эксплуатировать баг, допускающий манипуляцию с NFC-метками, для перенаправления жертв на вредоносный сайт и других целей. Разработчики исправили недостаток в последней версии...

Китайцы стали использовать на дорогах роботов-полицейских Работа дорожной полиции и опасна и трудна, равно, как и работа многих других подразделений правоохранительных органов. Для того, чтобы помочь тем, кто отвечает за выполнение правил дорожного движения, Китай выпустил роботов-полицейских. Они станут помогать правоохранителям...

Бойтесь уязвимостей, воркэраунды приносящих. Часть 1: FragmentSmack/SegmentSmack Всем привет! Меня зовут Дмитрий Самсонов, я работаю ведущим системным администратором в «Одноклассниках». У нас более 7 тыс. физических серверов, 11 тыс. контейнеров в нашем облаке и 200 приложений, которые в различной конфигурации формируют 700 различных кластеров. Подавл...

Стажировка в Mars Digital Technologies. Как мы применяли глубокое обучение на производстве M&M’s Всем привет! Ежегодно порядка 200 студентов и выпускников присоединяются к Mars в России в качестве стажеров или участников лидерской программы. Дмитрий Коржиманов, прошел стажировку в IT-хабе Mars этим летом. В нашем блоге Дмитрий рассказывает о проекте, над которым он р...

Операция Sea Turtle: атака с подменой DNS-записей Наибольшую тревогу вызывает сам метод проведения атаки. Киберпреступники смогли скомпрометировать системы нескольких доменных регистраторов и регистратур и подменить DNS-записи сайтов интересующих их жертв. Таким образом, трафик перенаправлялся на подконтрольные хакерам серв...

Группировка Buhtrap переключилась на кибершпионаж ESET выяснила, что инициатором недавней атаки с использованием уязвимости нулевого дня является группировка Buhtrap, цели которой с 2015 года сменились интересным образом.

Новые подробности о Apple Card В конце марта Apple анонсировала комплексный финансовый инструмент Apple Card: компания предлагает пользователям виртуальную банковскую карту с высоким уровнем безопасности и с качественной интеграцией в экосистему Apple. Есть и другие полезные опции: полная и детальная ста...

Tank Sim: Battlefront 2.2 Tank Sim Battlefront — получите премиум-класс свободного симулятора танков, который разработан любителями танковых битв для любителей танковых сражений! Симулятор поставляется с легендарными танковыми моделями типа T90, T95, модель10 и другими модификациями. Для танковы...

Отображение текста в Android Отображение текстовой информации — наверное, самая базовая и важная часть многих Android-приложений. В данной статье пойдет речь о TextView. Каждый разработчик, начиная с «Hello World», постоянно сталкивается с этим элементом пользовательского интерфейса. Периодически в раб...

«Сбербанк» ввел единый налог 4% для владельцев банковских карт Сейчас в России существует несколько сотен финансовых учреждений, все из которых имеют свои собственные правила по отношению к своим клиентам, но все они обязаны в полной мере исполнять каждое требование не только законодательства РФ, но Сообщение «Сбербанк» ввел единый нал...

Эти Android-приложения воруют ваши деньги. Удалите их В Google Play масса вредоносного ПО. Главное — научиться его вовремя вычислять Приложения для Android — это всегда лотерея. В конце концов, никогда не знаешь, с чем столкнёшься при установке той или иной программы, если даже в Google Play то и дело проникают всев...

[Из песочницы] Звёздная карта или как балансировать знания в команде при влиянии Soft Skill-ов Многие команды разработчиков сталкиваются с проблемой «узкого горлышка», когда слишком много вопросов, связанных с разными аспектами разработки упираются в одного, наиболее квалифицированного специалиста. Менее опытные участники команды при этом не знают, куда им расти, и в ...

За три месяца 2019 года в мире обезврежено почти 14 млрд угроз Такие данные опубликовала компания Trend Micro Incorporated в очередном обзоре киберугроз, обнаруженных Trend Micro Smart Protection Network в первом квартале 2019 года.Среди угроз, связанных с электронной почтой, в январе-марте отмечен достаточно резкий рост количества вред...

Компас команды Привет! Меня зовут Маша, я Scrum Master в ivi. Работаю с командами биллинга и веб-разработки и помогаю ребятам организовывать рабочие процессы так, чтобы не только эффективно достигать целей, которые ставит бизнес, но и получать удовольствие от того, что ты делаешь. В своих ...

Для кибератак на американские цели используются серверы и хостинговая инфраструктура в самих США Сейчас многие в Соединенных Штатах полагают, что правоохранительные органы страны эффективно и оперативно устраняют киберугрозы внутри, но бессильны в ситуациях, когда атаки направляются из других стран, на которые не распространяется юрисдикция США. Данные Bromium рисуют, м...

Основная причина уязвимостей – ошибки администраторов На сайте проекта «Нетоскоп» опубликованы результаты научно-исследовательских работ, проведенных в 2018 году в рамках научно-технического сотрудничества. В прошлом году были проведены два исследования, охватывающих большой спектр проблем, связанных с перехватом трафика и под...

Краткий анализ доступных данных январской атаки, в которой на виртуальные угрозы приходилось реагировать реально В прошлые годы проводились централизованные атаки с использованием IP-телефонии, теперь новый виток, но уже с использованием электронной почты. Проанализируем доступные электронные данные по этой атаке. Читать дальше →

Россиян призвали заклеить камеру и микрофон во всех ноутбуках Как известно, за личными данными россиян, а особенно за банковскими данными, ведется самая настоящая охота. Хакеры из десятков стран мира регулярно устраивают атаки на сервера российских компаний с целью заполучить в свои руки ценные сведения. Сообщение Россиян призвали зак...

Отображение и оптимизация вывода на терминал в вебе Не так давно я столкнулся с довольно простой и одновременно интересной задачей: реализация read-only терминала в веб приложении. Интереса задаче придавали три важных аспекта: поддержка основных ANSI Escape sequences поддержка минимум 50 000 строк данных отображение данных п...

Подборка датасетов для машинного обучения Привет, читатель! Перед тобой статья-путеводитель по открытым наборам данных для машинного обучения. В ней я, для начала, соберу подборку интересных и свежих (относительно) датасетов. А бонусом, в конце статьи, прикреплю полезные ссылки по самостоятельному поиску датасетов....

Как мы внедрили онбординг новых разработчиков Привет, Хабр! Меня зовут Екатерина, я тимлид команды Биллинга сервиса МойСклад. Примерно два с половиной года назад команда разработки МоегоСклада состояла из 20 человек. За это время мы выросли в три раза, только с начала 2019 года у нас появилось три новых команды. На фон...

У пользователей Apple Card воруют деньги с карт. Что происходит? Титановая Apple Card — пожалуй, одна из самых красивых банковских карт в мире На прошлой неделе стало известно о первом случае мошенничества с Apple Card — титановую карту одного из пользователей «клонировали» и смогли совершить операцию с ее помощью. Это хорошее...

MIRO — открытая платформа indoor-робота. Часть 5 — Программная составляющая: ARDUINO (AVR), лезем «под капот» В этот раз заглянем чуть глубже в реализацию некоторых ключевых методов библиотеки для ARDUINO (AVR), отвечающих за перемещение робота MIRO. Эта часть будет интересна всем, кто задавался вопросом о том, как управлять линейной и угловой скоростью робота на ARDUINO, оснащенн...

«Сбербанк» рассказал, как нужно правильно пользоваться банковской картой Не секрет, что банковские карты с каждым днем становятся все более популярными на территории России, а причин у этого крайне много. Тем не менее, «Сбербанк» и другие банки в стране, когда они выдают карточку, даже Сообщение «Сбербанк» рассказал, как нужно правильно пользова...

Работа с командами APDU на примере EToken "… Путь не так уж сложен для понимания. Силы природы, естественные наклонности, схемы событий… Примитивное миропонимание замечает только четыре стихии и дальше этого не идёт. Словно вселенная сводится к четырём доступным созерцанию понятным явлениям." Стивен Эриксон. «Полноч...

[Перевод] Конфиденциальность данных, IoT и Mozilla WebThings От переводчика: краткий пересказ статьиЦентрализация устройств умного дома (вроде Apple Home Kit, Xiaomi и прочих) — это плохо, потому что: Пользователь становится зависим от определённого вендора, ведь устройства не могут общаться между собой за пределами одного произво...

Регистратор доменов Web.com заявил о возможной утечке Информационную систему доменного регистратора Web.com и его дочерних компаний взломали. Как следует из заявления на сайте организации, злоумышленники могли получить доступ к персональным данным клиентов, однако вряд ли узнали номера их банковских карт. В качестве меры безопа...

[Перевод] Использование коэффициента отклоненных дефектов для улучшения отчета об ошибках Отличной всем пятницы, друзья! В конце июня мы запускаем новую группу по курсу «QA-специалист», этому и будет посвящена сегодняшняя публикация. Существует множество показателей по которым можно измерить эффективность работы команды тестировщиков. Одним из них является коэ...

Все материалы на данном сайте взяты из открытых источников или присланы посетителями сайта и предоставляются исключительно в ознакомительных целях. Права на материалы принадлежат их владельцам. Администрация сайта ответственности за содержание материала не несет. (Правообладателям)