Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick Для подписчиковСпециалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, кото...
В архиваторе WinRAR нашли уязвимость возрастом в 19 лет История с уязвимостями в процессорах показала, что дыры в безопасности могут существовать годами до того момента, как их найдут. И хотя такое случается нечасто, это произошло снова. Как стало известно, в архиваторе WinRAR, который вряд ли нуждается в отдельном представл...
Шифр ускорением: изучаем акселерометр Android-устройства на примере задания NeoQUEST-2019 Акселерометр — он же G-сенсор — является одним из самых распространенных датчиков на сегодня. Встретить его можно практически в каждом современном гаджете. Акселерометр выполняет довольно простую задачу — измеряет ускорение устройства. Давайте посмотрим, как он это делает ...
Погружение в драйвер: общий принцип реверса на примере задания NeoQUEST-2019 Как и все программисты, ты любишь код. Вы с ним — лучшие друзья. Но рано или поздно в жизни наступит такой момент, когда кода с тобой не будет. Да, в это сложно поверить, но между вами будет огромная пропасть: ты снаружи, а он — глубоко внутри. От безысходности тебе, как и ...
Обман нейронной сети для начинающих В рамках ежегодного контеста ZeroNights HackQuest 2018 участникам предлагалось попробовать силы в целом ряде нетривиальных заданий и конкурсов. Часть одного из них была связана с генерированием adversarial-примера для нейронной сети. В наших статьях мы уже уделяли внимание ...
Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте Специалисты по кибербезопасности из компании Check Point обнаружили серьезную уязвимость в архиваторе WinRar. Затем они же показали, как при помощи этой уязвимости можно распаковать файл в произвольное место — совсем не то, которое указывает пользователь. Ну а поскольку п...
Security Week 42: аппаратные бэкдоры, уязвимость в Intel NUC Уязвимости в ПО низкого уровня, которое запускается до загрузки операционной системы, бывают не только в «айфонах». На прошлой неделе были закрыты уязвимости в прошивках двух популярных устройств — в игровой и медиаприставке Nvidia Shield TV и в компьютерах семейства Intel N...
Security Week 45: уязвимости Chrome и BlueKeep в дикой природе Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019...
Как решить старую задачу с помощью ML на Python и .Net Бывает, что некоторые задачи преследуют тебя много лет. Для меня такой задачей стала склейка предложений текстов, в которых жестко забит переход на новую строку, а часто еще и перенос слов. На практике, это извлеченный из PDF или с помощью OCR текст. Часто можно было встрет...
Security Week 09: 19-летняя уязвимость в WinRAR Объявляем неделю доисторических багов. Уязвимость в архиваторе WinRAR, обнаруженную и закрытую в конце января, подробно описали специалисты компании Check Point Software (новость, оригинальное исследование). В худшем случае брешь позволяет распаковать вредоносный файл в прои...
WIBAttack. Так ли страшна новая уязвимость SIM-карт [По публичной информации], 21 сентября Ginno Security Lab опубликовала информацию об уязвимости, схожей с Simjacker, которая позволяет с помощью одной вредоносной SMS захватить контроль над мобильными функциями атакованного устройства и тем самым получить возможность отправ...
Удаленное выполнение произвольного кода в протоколе RDP Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе. Читать дальше →
В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...
Открыть RAR или ZIP онлайн: как распаковывать архивы без установки приложений — 6 лучших сервисов Рано или поздно все пользователи сталкиваются со сжатыми файлами — архивами. Несмотря на существование общего формата ZIP, который Windows может распаковать самостоятельно, есть еще популярный формат архивов RAR, требующий специального программного обеспечения. RAR-архив с л...
В WinRAR нашли уязвимость, которая существует 19 лет Уязвимость позволяет запустить произвольный код удаленно.
Вымогатель JNEC.a использует брешь в WinRAR Эксперты обнаружили первый зловред-вымогатель, который эксплуатирует обнаруженную в январе RCE-уязвимость WinRAR. По словам аналитиков, платить выкуп бесполезно — из-за ошибки в коде расшифровать пораженные файлы не смогут даже сами организаторы кампании. Специалисты назвали...
Создание системы формальной верификации с нуля. Часть 1: символьная виртуальная машина на PHP и Python Формальная верификация — это проверка одной программы либо алгоритма с помощью другой. Это один из самых мощных методов, который позволяет найти в программе все уязвимости либо же доказать, что их нет. Более подробное описание формальной верификации можно увидеть на пример...
[Перевод] Разбираем Async/Await в JavaScript на примерах Автор статьи разбирает на примерах Async/Await в JavaScript. В целом, Async/Await — удобный способ написания асинхронного кода. До появления этой возможности подобный код писали с использованием коллбэков и промисов. Автор оригинальной статьи раскрывает преимущества Async...
Разработчики Cisco выпустили патчи для восьми уязвимостей Компания Cisco выпустила патчи для восьми уязвимостей в своих продуктах. В числе исправлений оказались три бага с высоким уровнем угрозы и пять — со средним. Одна из серьезных уязвимостей — CVE-2019-1649 (6,7 балла по шкале CVSS) — связана с работой механизмов безопасной заг...
В WinRAR обнаружили опасную уязвимость, которая просуществовала там 19 лет. В зоне риска оказались 500 млн пользователей Разработчики популярного архиватора WinRAR исправили серьёзную уязвимость, которая просуществовала 19 лет. Она позволяла злоумышленникам извлекать из архива вредоносное программное обеспечение в произвольном месте. Проблема была обнаружена специалистами компании Check Point ...
Уязвимость WinRAR угрожает 500 миллионам пользователей Уязвимость связана с библиотекой unacev2.dll. Она позволяет архиватору поддерживать работу с файлами ACE - некогда популярного формата компрессии, используемого сегодня крайне редко. Все, что требуется от злоумышленника - создать вредоносный архив в формате ACE и назначить е...
Интеграционное тестирование микросервисов на Scala Unit-тестирование — это замечательно, но его одного бывает недостаточно. Часто хочется дополнительно убедиться, что запущенное приложение будет работать. На помощь приходит интеграционное тестирование. Оно все чаще применяется для тестирования сервисов, а Docker позволяет уд...
Microsoft исправила опасную ошибку в коде RDP Октябрьские обновления для продуктов Microsoft совокупно устраняют 59 уязвимостей. Девять из них разработчик оценил как критические, в том числе RCE-баг в клиентском приложении удаленного рабочего стола. «В этом месяце Microsoft выступила скромно: пропатчила 59 уязвимос...
Сервер, ты меня слышишь? BROP-атака на примере задания NeoQUEST-2019 Как найти уязвимость на сервере, не имея информации о нём? Чем BROP отличается от ROP? Можно ли скачать исполняемый файл с сервера через переполнение буфера? Добро пожаловать под кат, разберём ответы на эти вопросы на примере прохождения задания NeoQUEST-2019! Читать дальш...
«И невозможное возможно»: превращаем черный ящик в белый с помощью бинарного анализа На данный момент существует два основных подхода к поиску уязвимостей в приложениях — статический и динамический анализ. У обоих подходов есть свои плюсы и минусы. Рынок приходит к тому, что использовать надо оба подхода — они решают немного разные задачи с разным результа...
Как внедрить статический анализатор в разработку, чтобы всем было хорошо? В процессе работы нам часто задают вопрос: как внедрить статический анализатор в разработку, чтобы всё всем было хорошо. О том, почему для безопасной разработки необходим статический анализатор, мы уже рассказывали. Эта статья будет полезна, если вы выбираете статический ана...
Introscope: ну очень ленивое unit-тестирование Мы на работе пишем много часто меняющейся бизнес-логики на JS (стартап же). Даже слишком много. И всё это хочется по старой привычке тестировать, но как-нибудь побыстрее, чтобы тесты особо не мешали говнокодить, когда это нужно, и не подгонять под тесты особенно сильно струк...
Кейлоггер с сюрпризом: анализ клавиатурного шпиона и деанон его разработчика В последние годы мобильные трояны активно вытесняют трояны для персональных компьютеров, поэтому появление новых вредоносных программ под старые добрые «тачки» и их активное использование киберпреступниками, хотя и неприятное, но все-таки событие. Недавно центр круглосуточн...
Mockdown: самый быстрый способ создания вайрфреймов При создании технического задания клиенты часто отправляют много ссылок на сайты для понимании бизнес задач. Например: хочу регистрация и авторизацию как у twitter, список с новостными блоками как в Яндекс Дзен и т.д. Очень сложно такие части проекта задокументировать, хочет...
Как простой <img> тэг может стать высоким риском для бизнеса? Безопасность на реальных примерах всегда интересна. Сегодня поговорим об SSRF атаке, когда можно заставить сервер делать произвольные запросы в Интернет через img тэг. Итак, недавно занимался тестированием на проникновение одновременно на двух проектах, сразу на двух э...
[Из песочницы] Уязвимости GeekBrains: Зачем платить деньги за курсы если их можно просто скачать? Небольшой сказ о маленькой погрешности, с помощью которой был получен доступ ко всем платным курсам и домашним заданиям на ресурсах. А так же немного о других найденных уязвимостях. Читать дальше →
Apache, ViewState&Deserialisation В данной статье рассмотрим уязвимость на основе подмены сериализованного Java-объекта ViewState и метод её эксплуатации на примере web-приложения виртуальной машины с HackTheBox, использующей технологию Apache MyFaces. Читать дальше →
Разбор уязвимостей EvilParcel Введение В середине апреля мы опубликовали новость о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей в ОС Android. Одна из них — CVE-2017-13156 (также известна как Janus) — позволяет вредоносной программе заражать APK-файлы, не повреж...
Создание в OrCAD символа разъема с «динамическим» текстом При рисовании принципиальной электрической схемы нам приходится совершать кучу рутинных действий. Несколько примеров: рисование библиотеки электрических символов, задание имен цепей в проекте, приведение схемы к виду, пригодному к сдаче в архив и т.д. По этой причине любая п...
Взломщики атакуют баги в коммерческом WordPress-плагине Опасные уязвимости обнаружили в плагине WP Cost Estimation & Payment Forms Builder специалисты компании Wordfence. Бреши позволяют злоумышленникам внедрять произвольные скрипты на целевой сайт под управлением WordPress, а также перезаписывать некоторые файлы на сервере. ...
Вымогатель Unnam3d применяет WinRAR для кодирования файлов Кампания по распространению шифровальщика Unnam3d R@nsomware зафиксирована экспертами портала BleepingComputer. Зловред использует утилиту WinRAR, чтобы переместить файлы жертвы в архив, защищенный паролем, и требует за восстановление информации подарочную карту Amazon на су...
Работа с иерархиями в lsFusion В различных приложениях часто возникает потребность в реализации иерархического представления объектов. Как правило, это используется для их классификации путем задания групп. Эти группы образуют дерево динамической глубины, которая в дальнейшем используется для навигации,...
Аналитики нашли более 100 эксплойтов для уязвимости в WinRAR Аналитики компании McAfee опубликовали отчет, согласно которому злоумышленники активно эксплуатируют брешь в архиваторе WinRAR. Первую вредоносную кампанию специалисты обнаружили уже через несколько дней после появления информации о баге. С тех пор исследователи насчитали бо...
Специалисты Netflix нашли несколько DoS-уязвимостей в Linux и FreeBSD DoS-уязвимости обнаружены в TCP-стеках Linux и FreeBSD. эксплуатация багов может спровоцировать kernel panic и вывести уязвимый сервер из строя.
Хакинг по-древнегречески: итоги online-этапа NeoQUEST-2019 Подводим итоги online-этапа NeoQUEST-2019: под катом расскажем про задания, посмотрим на статистику их прохождения и похвалим победителей! Дисклеймер: продукт может содержать в себе следы арахиса и спойлеры для тех, кто еще не проходил задания, но честно собирается (а така...
Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence Изображение: Knownsec 404 Team Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить во...
Как выглядит zip-архив и что мы с этим можем сделать. Часть 2 — Data Descriptor и сжатие Продолжение статьи Как выглядит zip-архив и что мы с этим можем сделать. Предисловие Доброго времени суток. И снова в эфире у нас нетрадиционное программирование на PHP. В прошлой статье уважаемых читателей заинтересовала тема сжатия в ZIP и сохранение потоков в zip. Попробу...
Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...
В Firefox и Tor устранили две критические уязвимости Разработчики Mozilla и The Tor Project выпустили обновления для браузеров Firefox 66.0.1 и Tor 8.0.8. В этих версиях устранены две критические уязвимости, обнаруженные участниками Pwn2Own-2019. Во второй день соревнования члены команды Fluoroacetate — Ричард Жу (Richard Zhu)...
Решение задания с pwnable.kr 16 — uaf. Уязвимость использование после освобождения (use after free) В данной статье рассмотрим, что такое UAF, а также решим 16-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о ...
Как технологии быстрой разработки могут стать источником неприятных уязвимостей Безопасность на реальных примерах всегда более интересна. Как тестировщик на проникновение, люблю, когда приходят проекты, построенные на фреймворках быстрой разработки (Rapid development), подобно Ruby-on-Rails, Django, AdonisJs, Express и так далее. Они позволяют очень бы...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Исследователь опубликовал код эксплойта для Chrome 73 Компания Exodus Intelligence опубликовала код эксплойта для уязвимости в стабильной версии Google Chrome. Рабочий прототип использует проблему безопасности в движке v8, которую разработчики браузера устранили 18 марта, но пока что не исправили в актуальной версии 73. ИБ-иссл...
Мошенники эксплуатируют 0-day в популярном WordPress-плагине ИБ-исследователи из компании Wordfence обнаружили уязвимость нулевого дня в WordPress-плагине Social Warfare. Преступники используют брешь для внедрения вредоносного кода на сайты жертв посредством XSS-атак. Под угрозой оказались более 70 тыс. веб-ресурсов, на которых устано...
Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...
Хакеры обратили внимание на iOS Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца.Трендом 2019 года стали уязвимости для iOS, которые открывали ранее исправленные ошибки, а также позволили создать джейлбрейк для вер...
90 уязвимостей класса Remote Code Execution в майском «вторнике обновлений» «Мир. Труд. Май» — это не только про приятную работу на даче, но и про установку обновлений, тем более что в этом месяце производители офисного программного обеспечения потрудились на славу и закрыли в сумме 162 уязвимости, из которых 90 позволяют выполнить произвольный код ...
Решение задания с pwnable.kr 19 — unlink. Переполнение буфера в куче В данной статье разберемся с уязвимостью переполнение буфера в куче, а также решим 19-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буд...
Как создатели вредоносного софта пытаются избежать его обнаружения: разбираем на примере Spy.GmFUToMitm Изображение: Unsplash Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили интересный образец вредоносного ПО, распространяющийся в китайском сегменте интернета. Этот софт используется, среди прочего, для осуществления M...
Подключение внешних почтовых ящиков к Zimbra Немногие крупные предприятия могут похвастаться тем, что были крупными изначально. Многие крупные торговые сети, интеграторы, разработчики и ISP начинали свой бизнес с небольших офисов и пары десятков сотрудников, которые усердно работали над будущим успехом своей компании. ...
После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot Lenovo X260 ThinkPad с Windows 10 19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленник...
В загруженном 500 млн раз браузере нашли уязвимость Потенциально опасная функция позволяет загружать вредоносный код и скачивать вспомогательные программные модули в обход серверов Google Play.
Security Week 10: уязвимости в драйверах NVIDIA Вот что мы еще ни разу не обсуждали в формате дайджеста, так это уязвимости в драйверах для видеокарт. Компания NVIDIA опубликовала 28 февраля информацию о восьми уязвимостях: практически все позволяют повышать привилегии или выполнять произвольный код. Одна брешь относится ...
Эксплуатация cookie-based XSS | $2300 Bug Bounty story ⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уяз...
Решение задания с pwnable.kr 08 — leg, и 10 — shellshock. ARM ассемблер. Уязвимость bash В данной статье вспомним синтаксис ARM ассемблера, разберемся с уязвимостью shellshock, а также решим 8-е и 10-е задания с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьют...
Баг в Libarchive допускает выполнение стороннего кода В библиотеке Libarchive, входящей в состав многих ОС и утилит, обнаружена серьезная уязвимость. Баг позволяет злоумышленнику выполнить код на целевом компьютере, если жертва откроет вредоносный архив. Проблема выявлена только в Linux-версии программы и не затрагивает пользов...
Приехали: Android можно взломать картинкой из интернета Фотографии и картинки, загруженные из Интернета, могут стать причиной взлома даже самых современных смартфонов под управлением Android, снабженных наиболее продвинутыми средствами защиты. Это следует из материалов блога разработчиков Google. В публикации говорится о том, чт...
[Перевод] Полное руководство по switch-выражениям в Java 12 Старый добрый switch был в Java с первого дня. Мы все используем его и привыкли к нему — особенно к его причудам. (Кого-нибудь еще раздражает break?) Но теперь все начинает меняться: в Java 12 switch вместо оператора стал выражением: boolean result = switch(ternaryBool) { ...
В десятках тысяч серверов Super Micro нашли уязвимости Уязвимости позволяют злоумышленникам устанавливать "виртуальный" USB-накопитель и удаленно внедрять вредоносное ПО, менять настройки сервера и др.
В Twitter опубликовали эксплоит для неисправленной уязвимости в KDE Простой просмотр вредоносного файла .desktop или .directory может привести к выполнению произвольного кода.
Все свое: туториал по созданию новых действий для UiPath RPA Данная статья – обучающий материал, который позволяет по шагам пройтись по процессу создания и публикации нового компонента для платформы UiPath RPA. Это удобно в разных случаях, например, для простой интеграции с системами компании или в ситуациях, когда компания хочет помо...
Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726 Изображение: Pexels С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельнос...
Linux Quest. Поздравляем победителей и рассказываем про решения заданий 25 марта мы открыли регистрацию на Linux Quest, это Игра для любителей и знатоков операционной системы Linux. Немного статистики: зарегистрировалось на игру 1117 человек, из них 317 — нашли хотя бы один ключ, 241 успешно справились с заданием первого этапа, 123 — второго и...
Решение задания с pwnable.kr 05 — passcode. Перезапись таблицы связей процедур через уязвимость форматной строки В данной статье разберем: что такое глобальная таблица смещений, таблицей связей процедур и ее перезапись через уязвимость форматной строки. Также решим 5-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиват...
Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7 Уязвимости в iOS мы обсудили на прошлой неделе, пришла очередь уязвимостей в Android. Четвертого сентября информацию о проблеме в Android опубликовали исследователи из Zero Day Initiative (новость, бюллетень), причем на момент публикации она так и не была закрыта. В выпущенн...
В systemd нашли три уязвимости — разбираемся, в чем дело В начале месяца специалисты по ИБ из Qualys обнаружили сразу три уязвимости в systemd — подсистеме инициализации Linux — позволяющие злоумышленнику получить права суперпользователя. Рассказываем, в чем их суть и какие дистрибутивы им подвержены. Читать дальше →
Отправляем команды. Как заставить популярный серверный почтовик выполнять произвольный код Для подписчиковВ этой статье я расскажу об уязвимости в агенте пересылки сообщений Exim. Найденная брешь позволяет атакующему выполнить произвольный код на целевой системе, что само по себе очень опасно, а если Exim был запущен от рута, то успешная эксплуатация позволяет пол...
Компания Adobe устранила 118 уязвимостей в своих продуктах Разработчики Adobe выпустили обновления для восьми продуктов, в том числе числе Acrobat, Reader и Photoshop. Всего набор патчей устраняет 118 уязвимостей. По словам разработчиков, они не обнаружили случаев эксплуатации ошибок в дикой природе. Максимальное количество багов ис...
[Перевод] Конференция DEFCON 27. Извлечение пользы из хакерских продуктов для macOS. Часть 2 Конференция DEFCON 27. Извлечение пользы из хакерских продуктов для macOS. Часть 2 Получив с удаленного хакерского C&C-сервера файл с вредоносным кодом, эксплойт приступает к его исполнению. Здесь используется тот же SDF-метод, когда архив с вредоносным ПО распаковывает...
Собирать Docker-образы в werf теперь можно и по обычному Dockerfile Лучше поздно, чем никогда. Или как мы чуть не допустили серьёзную ошибку, не имея поддержки обычных Dockerfiles для сборки образов приложения. Речь пойдёт про werf — GitOps-утилиту, которая интегрируется с любой CI/CD-системой и обеспечивает управление всем жизненным цикл...
«Полный фарш» за 20 000 рублей: Что делать с «убитым» ВАЗ-21099 со «вторички» – рассказал блогер «Старушка» не совсем безнадёжна. ВАЗ-21099 1998 года выпуска оснащён карбюраторным двигателем объёмом 1,5 литра. Автор канала «РУБЛЁВКА» отметил, что этот автомобиль в «полном фарше» – у него третий дубликат ПТС, несколько раз скручен пробег, «мутная» история, а сама машина...
[Из песочницы] Комикс «Паять просто» в обновлённом варианте (2019) Всем добрый день. Одним далёким днём (летним или зимним уже и не упомнить) набрёл я на статью от atarity, где в красках (во всех смыслах) было рассказано о том, как легко и просто можно научиться паять (ссылку на комикс прилагаю). Читать дальше →
Представление произвольных полиномов в виде конечных разностей с произвольным шагом Введение В данной статье рассматривается возможность представление произвольного полинома произвольной целой степени n в виде конечных разностей. Подход в данной статье отличается от уже имеющихся тем, что все формулы выводятся для произвольного полинома с произвольными коэф...
Октябрьский апдейт Android устраняет критические RCE-баги Компания Google выпустила заплатки для трех критических уязвимостей в библиотеках мультимедиа ОС Android (Media framework). Их эксплуатация позволяет злоумышленнику удаленно выполнить свой код. Совокупно октябрьский набор патчей для Android закрывает почти три десятка уязвим...
Хакеры могут получить доступ к контактам iPhone SQLite - самые распространенные в мире базы данных. Они доступны в любой операционной системе, персональном компьютере и на мобильном телефоне. Пользователи SQLite - Windows 10, MacOS, iOS, Chrome, Safari, Firefox и Android. Контакты на вашем iPhone, некоторые из сохраненных...
BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...
В WhatsApp нашли способ читать чужую переписку Как выяснил специалист по кибербезопасности под псевдонимом Awakened, потенциальную жертву можно атаковать с помощью вредоносного GIF-файла. Как только пользователь открывает такую «гифку», хакеры получают возможность смотреть мультимедийные файлы и сообщения на его устройст...
Новое в iOS 13: Как настраивать уведомления почтовых веток в Почте (Mail) iOS на iPhone и iPad У многих пользователей в почтовый ящик электронной почты постоянно приходят письма разной тематики. Уведомления о такой чрезмерной активности могут раздражать. К счастью, штатное приложение Почта в iOS позволяет легко настроить эти оповещения. ПО ТЕМЕ: Менеджер загрузок в Sa...
Релиз Apple iOS 12.2 закрывает полсотни уязвимостей Компания Apple пропатчила 51 уязвимость в iOS, выпустив обновление 12.2. Один из самых серьезных багов позволяет с помощью приложения подслушать разговоры вблизи телефона. Производитель мобильных гаджетов также залатал iTunes, Safari, macOS и iCloud. Согласно бюллетеню, уязв...
PHDays 9: разбор заданий AI CTF Тема безопасности машинного обучения довольно хайповая последнее время и хотелось затронуть именно практическую ее сторону. А тут повод крутой — PHDays, где собираются самые разные специалисты из мира ИБ и есть возможность привлечь внимание к этой теме. В общем-то мы сделал...
Уменьшение размера docker образа с spring boot приложением Добрый день. Недавно передо мной встала задача запуска spring boot 2 приложения в kubernetes кластере используя docker образ. Эта проблема не является новой, достаточно быстро я нашел примеры в гугле и запаковал свое приложение. Я был очень удивлен не найдя alpine образ для ...
Microsoft пропатчила атакуемую уязвимость 0-day Майский набор обновлений для продуктов Microsoft закрывает брешь повышения привилегий, уже используемую в атаках. Уязвимость CVE-2019-0863 связана с функциональностью, отвечающей за формирование и отправку на сервер отчетов об ошибках Windows. Согласно бюллетеню, эксплуатаци...
Cisco закрыла еще почти 50 уязвимостей своего ПО Разработчики Cisco решили серию серьезных проблем в нескольких своих продуктах, устранив угрозы исполнения кода и DoS-атак. Пакет из 47 обновлений включил заплатки к одному критическому багу и нескольким особо опасным ошибкам. Самые серьезные уязвимости были обнаружены в реш...
Убойный текст. Выполняем произвольный код в Vim и Neovim Для подписчиковСегодня поговорим об уязвимости в редакторе Vim и его побратиме Neovim. Для ее эксплуатации не нужно никаких привилегий, пользователю достаточно открыть специально сформированный файл, который выполнит произвольный код на целевой системе.
Max Patrol 8. Обзор инструмента для управления уязвимостями Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, ка...
Новый macOS-зловред использует незакрытый обход Gatekeeper Обнаружены тестовые образцы вредоносной программы, способной обходить блокировку исполнения стороннего кода, выполняемую macOS-утилитой Gatekeeper. С этой целью зловред, получивший в Intego кодовое имя OSX/Linker, использует уязвимость нулевого дня, которая пока не пропатчен...
Домен-фронтинг на базе TLS 1.3. Часть 2 Введение В первой части статьи мы дали краткое описание механизма encrypted SNI (eSNI). Показали каким образом на его основе можно уклоняться от детектирования современными DPI-системами (на примере билайновского DPI и запрещенного РКН рутрекера), а также исследовали новый в...
В банкоматах Diebold Nixdorf обнаружена RCE-уязвимость Один из крупнейших в мире производителей банкоматов предупреждает своих клиентов об уязвимости в банкоматах марки Opteva. Баг позволяет удаленно выполнить произвольный код.
В Android исправлены две критические RCE-уязвимости Инженеры Google представили апрельский набор патчей для Android. Сразу несколько уязвимостей получили статус критических и две из них позволяют выполнить произвольный код.
Тысячи приложений подвержены тому же багу, что недавно был исправлен в WhatsApp Специалисты Trend Micro обнаружили, что недавно исправленная в WhatsApp уязвимость CVE-2019-11932, которая позволяла выполнить произвольный код при помощи файла GIF, опасна для множества других приложений.
Как я провела лето ВКонтакте Лето закончилось, а вместе с тем закончилось и большинство летних стажировок в IT-компаниях. В этом году мне повезло пройти летнюю стажировку ВКонтакте. Это были без преувеличения самые насыщенные два месяца в моей жизни, и мне очень хочется рассказать о том, как это было. ...
Пример разбора C++ кода с помощью libclang на Python На одном личном проекте на C++ мне потребовалось получать информацию о типах объектов во время выполнения приложения. В C++ есть встроенный механизм Run-Time Type Information (RTTI), и конечно же первая мысль была использовать именно его, но я решил написать свою реализацию,...
В Drupal закрыты серьезные бреши Для CMS-системы Drupal версий 7 и 8 вышли обновления, устраняющие два бага удаленного исполнения кода, которые разработчики оценили как критические. Оба они привнесены с появлением в репертуаре Drupal файлов в формате .phar — исполняемых PHP-архивов, поддержка которых была в...
Пользователи Chrome для iOS стали жертвами хакеров Эксперты по IT-безопасности из компании Confiant рассказали об вредоносной рекламной кампании, обрушившейся на iOS-пользователей. Злоумышленники используют уязвимость в браузере Chrome и перенаправляют владельцев iPhone и iPad на вредоносные ресурсы (в основном на домен...
Apple пропатчила iTunes и iCloud для Windows Компания Apple выпустила обновления для iTunes и iCloud, работающих на платформе Windows. В компонентах SQLite и WebKit закрыто 25 уязвимостей, грозящих выполнением произвольного кода, повышением привилегий или раскрытием конфиденциальной информации. В SQLite исправили 4 баг...
Adobe исправила опасные ошибки в Acrobat и Flash Player Компания Adobe выпустила обновления для Flash Player и Acrobat / Reader, закрыв в числе прочих критические уязвимости, грозящие исполнением вредоносного кода. Совокупно новый набор плановых патчей компании устраняет 87 уязвимостей. Основная масса этих проблем (84) содержится...
ODT под прицелом. Как заставить документы OpenOffice запускать произвольные файлы Для подписчиковФишинговые кампании — классическое начало многих хакерских атак. Они направлены на доставку вредоносного файла потенциальной жертве и обычно ведутся по электронной почте. Чаще всего оболочкой для боевой нагрузки служит офисный документ. Мы рассмотрим, как выпо...
Серия опасных уязвимостей найдена в программе Carousel Независимый ИБ-эксперт Дрю Грин (Drew Green) обнаружил серию уязвимостей в системе управления мультимедиа Carousel. Бреши позволяют неавторизованному пользователю загружать на сервер файлы и выполнять сторонний код. Решение Carousel от Tightrope Media Systems позволяет центр...
Критическая уязвимость в продуктах компании Zemana и не только Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация подобных уязвимостей в некоторых продуктах даже в 2018 году не является проблемой. Уупс Читать дал...
WhatsApp устранил критическую уязвимость, позволяющую следить за пользователями WhatsApp объявил об устранении уязвимости мессенджера, позволяющей злоумышленникам устанавливать на смартфон вредоносный код во время простых голосовых звонков. Подробнее об этом читайте на THG.ru.
Обзор goodreads. Ищем книги В последнее время читать стало модно – пользователи стали активнее читать электронные книги, бумажные варианты и так далее. Меня, как большого фаната художественной литературы, это очень радует. Однако, если вы много времени проводите за чтением, то рано или поздно приходит ...
По следам Mirai. Разбираемся, как трояны поражают IoT, на примере самого злого из них Для подписчиковПора отправлять в архивы истории старый анекдот о том, что вредоноса для Linux нужно сначала собрать из исходников, убедиться в том, что в системе есть все нужные библиотеки, и только после этого пытаться запустить, выдав ему предварительно права рута. Сейчас ...
В Telegram появилась архивация чатов В Telegram появилась функция архивации чатов. Теперь пользователь может очистить список чатов, отправив ненужные диалоги в архив и оставив в общем списке только актуальные контакты. Архивные чаты с включенными уведомлениями возвращаются в общий список диалогов, когда в них п...
Вышел апрельский набор патчей для Android Компания Google опубликовала перечень уязвимостей, которые должны быть закрыты в Android в соответствии с уровнем безопасности на начало апреля. Как всегда, список разделен на две группы: бреши, актуальные для всех мобильных устройств под управлением этой ОС (вендоры могут и...
Очередные уязвимости нашли в процессорах Intel и контроллерах Thunderbolt 3 Ну что, вот и очередная порция уязвимостей подъехала. Как-то последнее время их слишком много стали […]
Прекрасное знание школьной программы как показатель не самого высокого интеллекта Добрый день! Сегодня достаточно часто по TV и каналам на youtube можно увидеть эксперименты по “определению уровня интеллекта” у населения. Суть их заключается в том, что взрослым людям задают вопрос из школьной программы. Обычно такие “эксперименты” набирают множество просм...
Как я стал уязвимым: сканируем ИТ-инфраструктуру с помощью Qualys Всем привет! Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов. Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам....
Как багхантеры перехватывали письма в пневмопочте на ZeroNights Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, ...
Хочешь <s>похудеть</s> учиться ИТ самостоятельно? Спроси меня как Есть мнение, с которым я часто сталкиваюсь, — учиться самостоятельно невозможно, нужны профессионалы, которые будут вас вести по этому тернистому пути — объяснять, проверять, контролировать. Попробую опровергнуть это утверждение, а для этого, как известно, достаточно привест...
В стационарных телефонах Avaya нашли RCE-уязвимость ИБ-исследователи обнаружили критическую уязвимость удаленного выполнения кода (RCE) в стационарных IP-телефонах производства компании Avaya, которыми пользуются 90% компаний из списка Fortune 100. Баг дает злоумышленникам возможность перехватить контроль над устройством, про...
Apple ответила Google, что безопасности iOS нет равных Apple ответила на статью Google Project Zero, в которой рассказывалось о серьёзной уязвимости в iOS 10–12. Краткая предыстория: Сотрудники Google нашли дыру в безопасности iOS, которая существовала на протяжении двух лет. С её помощью злоумышленники могли взлома...
«Любит и не любит»: DNS over HTTPS Разбираем мнения относительно особенностей работы DNS over HTTPS, которые за последнее время стали «яблоком раздора» среди интернет-провайдеров и разработчиков браузеров. Читать дальше →
В коммутаторах Cisco Small Business обнаружены баги, позволявшие выполнить произвольный код Найденные уязвимости позволяют обойти аутентификацию, удаленно выполнить произвольный код и осуществить инъекцию команд.
Security Week 49: взлом гостиничной инфраструктуры 28 ноября эксперты «Лаборатории Касперского» опубликовали интересное исследование о систематических атаках на компьютеры в гостиницах. Подтвержденных жертв кампании больше 20, потенциальных — больше тысячи. Исследованные атаки, скорее всего, ведут две разные группировки с не...
Обеспечение безопасности в беспроводных протоколах на примере LoRaWAN Привет, Хабр. Мне хотелось бы в очередной раз поговорить о том, как обеспечивается базовый (читай: минимально необходимый) уровень безопасности данных в беспроводных сетях, используемых в IoT-устройствах, на примере LoRaWAN. Почему именно LoRaWAN? Во-первых, потому, что эт...
Ящик для хранения данных в go-приложениях Небольшая заметка о встраиваемой key-value БД под названием Coffer, написанной на Golang. Если совсем коротко: в остановленном состоянии БД данные лежат на диске, при запуске данные копируются в память. Чтение происходит из памяти. При записи изменяются данные памяти, а изме...
Обзор вирусной активности для мобильных устройств в октябре 2019 года Второй осенний месяц этого года оказался неспокойным для владельцев Android-устройств. Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ – в частности, троянцев-кликеров Android.Click, которые подписывали пользователей на платны...
Web Security Testing Starter Kit Всем привет! Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь,...
Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks В последнее время в Интернете можно найти огромное кол-во материалов по теме анализа трафика на периметре сети. При этом все почему-то совершенно забыли об анализе локального трафика, который является не менее важным. Данная статья как раз и посещена этой теме. На примере ...
[Перевод] Вычисление 2D-коллизий: алгоритм Гилберта — Джонсона — Кирти Я занялся изучением процессов распознавания коллизий, и это привело меня к алгоритму Гилберта — Джонсона — Кирти (Gilbert-Johnson-Keerthi, GJK). Все примеры кода в посте написаны на TypeScript. В примерах используются созданные мной структуры, которые подробно в посте не р...
Построение микросервисной архитектуры на Golang и gRPC, часть 2 (docker) Пришло время заняться контейнерами Прежде всего, мы используем новейший образ Linux Alpine. Linux Alpine — это легкий дистрибутив Linux, разработанный и оптимизированный для запуска веб-приложений в Docker. Другими словами, Linux Alpine обладает достаточным количеством зави...
Ловушка на маковода. Как работает уязвимость в клиенте GitHub для macOS Для подписчиковВ клиенте GitHub для macOS до версии 1.3.4 beta 1 нашлась возможность вызвать удаленное выполнение произвольных команд простым переходом по специально сформированной ссылке. В этой статье я расскажу о причинах возникновения и способах эксплуатации этой уязвимо...
Надоело убираться в своем доме? Закажи профессионалов Согласитесь, убираться в огромной квартире, либо своем частном доме занятие не из легких, особенно когда времени хватает лишь на то, чтобы успеть приготовить поесть и лечь спать, чтобы с утра вновь пойти на работу. Да, если вы живете в небольшой однокомнатной квартире, друго...
Microsoft устранила два бага 0-day, замеченные в атаках Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фрей...
Об использовании DVD-RAM Недавно разбирал коробки с барахлом после переезда, и наткнулся на пару заботливо сохраненных дисков DVD-RAM. Вспомнил, откуда они у меня, и что даже писал статью в блоге. Правилами вроде не запрещено, поэтому решил выложить сюда. Быть может кому будет интересно. DVD-диски д...
ObjectRepository — .NET in-memory repository pattern для ваших домашних проектов Зачем хранить все данные в памяти? Для хранения данных сайта или бекэнда первым желанием большинства здравомыслящих людей выберет SQL базу данных. Но иногда в голову приходит мысль что модель данных не подходит для SQL: например, при построении поиска или социального графа ...
Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149) Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149). Новая волна криптомайнера Sustes теперь использует для заражений июньскую уязвимость в почтовом сервере Exim. Начиная с 11 августа наши сетевые сенсоры PT Network Attack Discover...
Adobe залатала Flash Player и Application Manager В рамках сентябрьского «вторника патчей» компания Adobe устранила три уязвимости в двух продуктах: Flash Player и Application Manager. Согласно бюллетеням, все выявленные проблемы грозят исполнением вредоносного кода; в реальных атаках ни одна из них не замечена. У...
Уязвимость в клиенте EA Origin допускала удаленное выполнение произвольного кода Эксперты Underdog Security нашли опасную проблему в клиенте Origin для Windows. Потенциальные злоумышленники имели возможность запустить любое приложение на уязвимой машине, отправлять ей PowerShell-команды и скачивать дополнительную малварь.
Adobe залатала инструменты для веб-дизайна Новый набор плановых патчей Adobe оказался скромным: разработчик совокупно устранил 11 уязвимостей в четырех приложениях для Windows и macOS из набора Creative Cloud. Данных об использовании новых проблем в злонамеренных атаках на настоящий момент нет. Всем обновлениям присв...
DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из области практической информационной безопасности не уделяли ей должного внимания в...
Как не продолбать пароли в Python скриптах Хранение паролей всегда было головной болью. В классическом варианте у вас есть пользователь, который очень старается не забыть жутко секретный «qwerty123» и информационная система, которая хранит хеш от этого пароля. Хорошая система еще и заботливо солит хеши, чтобы отрав...
В iPhone нашли уязвимость, позволяющую получить доступ к их файловой системе Исследователь по кибербезопасности обнаружил очередную уязвимость в моделях iPhone от 4s до X. От уязвимости, по его словам, невозможно избавиться при помощи патча. При этом она позволяет проводить процедуру джейлбрейка (операцию для получения доступа к файловой системе смар...
Анализ данных на Scala — суровая необходимость или приятная возможность? Традиционными инструментами в сфере Data Science являются такие языки, как R и Python — расслабленный синтаксис и большое количество библиотек для машинного обучения и обработки данных позволяет достаточно быстро получить некоторые работающие решения. Однако бывают ситуации...
Деливерим фичи быстрее. Опыт Android-разработки в Badoo Всем привет! Меня зовут Анатолий Варивончик. Я работаю в Badoo уже больше года, а мой общий стаж Android-разработки — более пяти лет. В своей практике я и мои коллеги часто сталкиваемся с необходимостью тестировать идеи максимально быстро и просто. Мы не хотим тратить много...
ИИ и 2048. Часть 2: Минимакс + альфа-бета отсечение Метод Монте-Карло мы разобрали, сегодня посмотрим, как компьютерный разум играет в 2048, используя старый добрый минимакс с альфа-бета отсечением. Читать дальше →
Эксплуатация машинного обучения в Почте Mail.ru По мотивам моих выступлений на Highload++ и DataFest Minsk 2019 г. Для многих сегодня почта является неотъемлемой частью жизни в сети. С ее помощью мы ведем бизнес-переписку, храним всевозможную важную информацию, связанную с финансами, бронированием отелей, оформлением з...
Эксперты нашли в Linux уязвимости возрастом в несколько лет Специалисты компании Qualys описали три уязвимости ОС Linux, грозящие утечками данных и нарушением целостности памяти. Проблемы содержатся в большинстве популярных дистрибутивов, где не предусмотрена защита пользовательского пространства (user land). Все уязвимости связаны с...
Уязвимость Excel угрожает 120 миллионам пользователей С помощью Power Query можно встроить вредоносный код в любые таблицы
Исключения в Python теперь считаются анти-паттерном Что такое исключения? Из названия понятно — они возникают, когда в программе происходит исключительная ситуация. Вы спросите, почему исключения — анти-паттерн, и как они вообще относятся к типизации? Я попробовал разобраться, и теперь хочу обсудить это с вами, хабражители. ...
Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...
Операция TA505: сетевая инфраструктура группировки. Часть 3 Анализ сетевой инфраструктуры играет большую роль в исследовании вредоносных кампаний. Сведения о том, какие IP-адреса соответствовали доменному имени в различные промежутки времени, позволяют определить новые серверы злоумышленников. Решение противоположной задачи (ретрос...
Уязвимость в Thunderbolt позволяет взломать почти все Mac новее 2011 года Практически полное отсутствие вирусных программ для macOS компенсируют уязвимости, которые время от времени эксперты в области кибербезопасности в ней находят. Правда, на этот раз брешь нашли не в самой системе, а в интерфейсе Thunderbolt, который используется в компьютерах...
Предсказания от математиков. Разбираем основные методы обнаружения аномалий За рубежом все большую популярность набирает использование искусственного интеллекта в промышленности для предиктивного обслуживания (predictive maintenance) различных систем. Цель этой методики — определение неполадок в работе системы на этапе эксплуатации до выхода её из с...
Операция «Липосакция». Как использовать новую уязвимость в Jira Для подписчиковJira — мегапопулярная система для отслеживания ошибок, организации взаимодействия с пользователями и управления проектами. Уязвимость позволяет атакующему выполнить произвольный код на целевой системе при помощи обычного POST-запроса, не обладая при этом никак...
Приходи с другом: Samsung открывает двери магазинов для четвероногих питомцев Компания Samsung Electronics запустила новую креативную рекламную кампанию для любителей спорта и здорового образа жизни. Новая рекламная кампания имеет свой индивидуальный слоган, который гласит: «Пока не увидишь – не поверишь» и яркую, добрую концепцию ролика. Сери...
Павел Дуров снова утверждает, что WhatsApp небезопасен и советует всем удалить продукт Facebook На днях стало известно об очередной критической уязвимости (CVE-2019-11931) в популярном мессенджере WhatsApp. Дыра, присутствовавшая в версиях ПО и на Android, и iOS, позволяла злоумышленникам устанавливать вредоносное ПО на телефоны через файлы MP4. В компании Facebook, ко...
Топ-7 способов быстрой проверки компетенций IT-специалистов до собеседования Найм IT-специалистов – это непростая задача. Во-первых, сейчас на рынке наблюдается дефицит опытных кадров, они это понимают. Кандидаты часто не готовы тратить много времени на «отборочные мероприятия» работодателя, если их предварительно не заинтересовать. Ранее популярная ...
Где уязвимы более 20 млн транспортных карт в России: разбираем и развиваем MIFARE Classic Стандарт бесконтактных карт MIFARE Classic создан более 20 лет назад и, несмотря на ряд найденных с тех пор уязвимостей, широко используется до сих пор (в частности в Москве и Санкт-Петербурге). В этой статье мы вспомним, какие уязвимости были найдены, и расскажем, как их мо...
[Из песочницы] Матрёшка Си. Слойная система языка программы Попробуем представить химию без Периодической системы Менделеева (1869). Сколько же элементов надо было держать в голове, причём в произвольном порядке… (Тогда — 60.) Для этого достаточно подумать об одном или нескольких сразу языках программирования. Те же чувства, тот же...
Разбор конкурса IDS Bypass на Positive Hack Days 9 На международном форуме Positive Hack Days 2019 впервые проходил конкурс IDS Bypass. Участникам надо было исследовать сегмент сети из пяти узлов, дальше либо эксплуатировать уязвимость сервиса, либо выполнить заданное условие (например, послать определенный HTTP-ответ) и так...
Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...
RubyRussia 2019. Юлиан Покровский: как оптимизировать монолит Несмотря на огромное количество материалов по теме оптимизации монолита, часто хочется убежать от глубоко изучения вопроса и попробовать угадать, как сделать приложение быстрей или компактней. Хорошая новость: принцип Парето работает и здесь. На конференции RubyRussia 28 сен...
Лучшие почтовые клиенты для ПК: выбор ZOOM Большинство пользователей предпочитают использовать для доступа к почтовому ящику браузер или приложение для смартфона. Если ящиков много, а письма приходят сотнями, то удобнее использовать почтовые программы, которые объединят в одном интерфейсе переписку с любым количество...
[Из песочницы] 27 вещей, которые я хотел бы узнать заранее, прежде чем начинать программировать Привет, Хабр! Представляю вашему вниманию перевод статьи «27 things I wish I knew when I started programming» автора Ken Mazaika. Заранее, прежде чем начинать программировать, хотелось бы узнать массу вещей, но вот 27 из них, которые приходят на ум. Читать дальше →
В клиенте Outlook для Android закрыли критическую уязвимость Разработчики Microsoft разместили в магазине Google Play версию 3.0.88 приложения Outlook. В ней закрыта уязвимость CVE-2019-1105, позволявшая злоумышленнику выполнять сторонний код с привилегиями текущего пользователя. Технические детали об уязвимости пока не раскрываются, ...
Оптимальная линейная фильтрация: от метода градиентного спуска до адаптивных фильтров Развивая тему конспектов по магистерской специальности "Communication and Signal Processing" (TU Ilmenau), продолжить хотелось бы одной из основных тем курса "Adaptive and Array Signal Processing". А именно основами адаптивной фильтрации. Для кого в первую очередь была напис...
Уязвимость Bluetooth позволяет узнать местоположение любого iPhone Исследователи из Бостонского университета Дэвид Старобински и Йоханнес Беккер узнали о новой уязвимости Bluetooth в Windows 10, iOS и macOS. В опубликованном материале под названием Tracking Anonymized Bluetooth Devices (Отслеживание анонимизированных Bluetooth-...
ESET: новые схемы доставки бэкдора кибергруппы OceanLotus В посте расскажем, как кибергруппа OceanLotus (APT32 и APT-C-00) недавно использовала один из общедоступных эксплойтов к CVE-2017-11882, уязвимости повреждения памяти в Microsoft Office, и как вредоносное ПО группы обеспечивает персистентность в скомпрометированных системах,...
Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблем...
Кастомизация Django ORM на примере ZomboDB Кастомизация Django ORM на примере ZomboDB Часто при работе с Django и PostgreSQL возникает необходимость в дополнительных расширениях для базы данных. И если например с hstore или PostGIS (благодаря GeoDjango) всё достаточно удобно, то c более редкими расширениями — вроде p...
В Exim устранили еще один RCE-баг Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере. Проблема, получившая идентификатор CVE-2019...
В VLC Media Player исправлена критическая RCE-уязвимость Разработчики VideoLAN исправили критическую double-free уязвимость в VLC Media Player. Баг позволял выполнить произвольный код на уязвимой машине.
Переписываем тестовое задание для junior frontend на TypeScript и react-hooks Привет Хабр, сегодня мы позанимаемся с TypeScript и React-hooks. Данный туториал поможет вам разобраться с основами "тайпскрипта" и поможет в работе над тестовым заданием для фронтендера. Тестовые задания на проекте "Без Воды" — это возможность получить code-review. Дедлайн ...
Осваиваем компьютерное зрение — 8 основных шагов Привет читатель. Для тебя уже не является новостью тот факт, что все на себе попробовали маски старения через приложение Face App. В свою очередь для компьютерного зрения есть задачи и поинтереснее этой. Ниже представлю 8 шагов, которые помогут освоить принципы компьютерног...
Больше 40 драйверов для Windows содержат уязвимости Они позволяют повышать привилегии в системе и выполнять произвольный код.
В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...
О статическом анализе начистоту Последнее время все чаще говорят о статическом анализе как одном из важных средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения безопасности. Статический анализ позволяет находить уязвимости и другие ошибки, его можно использовать в про...
Смотрю и слушаю где хочу. Интегрируем Chromecast в Android-приложение На улице я часто слушаю аудиокниги и подкасты со смартфона. Когда прихожу домой, мне хочется продолжить слушать их на Android TV или Google Home. Но далеко не все приложения поддерживают Chromecast. А было бы удобно. По статистике Google за последние 3 года, количество дева...
Баг в WP Live Chat Support позволяет манипулировать чатами ИБ-исследователи из Alert Logic обнаружили уязвимость в WordPress-плагине WP Live Chat Support. Баг позволяет неавторизованным злоумышленникам получать историю переписки с клиентами и управлять текущими сессиями чатов. Под угрозой оказались более 50 тыс. веб-сайтов, на котор...
SweetFX Configurator - модифицируем графику в играх на свой вкус Знание - сила! В эпоху Интернета совершенно любые знания стали доступны каждому, вопрос лишь в том, где найти источник этих знаний? И сегодня мы продолжаем рубрику, где будем давать вам советы и делиться опытом в виде коротких, но подробных пошаговых инструкций. От создания ...
Автоматизируем переход на React Hooks React 16.18 — первый стабильный релиз с поддержкой react hooks. Теперь хуки можно использовать не опасаясь, что API изменится кардинальным образом. И хотя команда разработчиков react советует использовать новую технологию лишь для новых компонентов, многим, в том числе и мне...
В Joomla выявили уязвимость нулевого дня Специалист компании Hacktive Security Алессандро Гроппо (Alessandro Groppo) обнаружил опасную уязвимость в CMS Joomla. По его словам, некоторые версии системы допускают внедрение стороннего PHP-инжекта, что может привести к выполнению вредоносного кода на сервере веб-ресурса...
Документный червь. Эксплуатируем необычную XSS и обходим CSP на примере CodiMD Для подписчиковЕсть такой сервис для совместного редактирования текста — HackMD. Штука сама по себе полезная, но нас сегодня интересует ее реализация для установки на свой сервер — CodiMD. В ней нашли баг, позволяющий сделать код, который будет передаваться от пользователя к...
Android можно было захватить с помощью PNG-картинки Компания Google пропатчила в Android критическую уязвимость, позволявшую исполнить любой код на мобильном устройстве, послав на него вредоносный файл изображений в формате .PNG (Portable Network Graphics). Согласно бюллетеню Google, эта брешь, как и два других RCE-бага, прив...
В Google Play нашли еще 85 вредоносных приложений 9 миллионов пользователей стали жертвами приложений с назойливой рекламой
Решение задания с pwnable.kr cmd1, cmd2, asm, blukat. Обходим фильтрацию в Linux. Пишем shellcode с помощью pwntools В данной статье посмотрим как обойти легкий фильтр, разберемся как написать shell c помощью pwntools, а также решим несколько заданий с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информацион...
Специалисты Kaspersky нашли 0-day в Chrome Эксперты «Лаборатории Касперского» обнаружили серьезную ошибку нулевого дня в браузере Chrome. Уязвимость позволяет злоумышленникам выполнить вредоносный код, используя недостаток use-after-free в одном из компонентов интернет-обозревателя. Киберпреступники уже взя...
Исследователи из Google: для защиты от Spectre требуется изменение архитектуры процессоров, программные патчи не помогут В январе 2018 года исследователи Google раскрыли в публичном доступе информацию о фундаментальной аппаратной уязвимости в большинстве современных процессоров, имеющих спекулятивное выполнение команд. Уязвимость Spectre (и смежная Meltdown) эксплуатирует механизм предсказания...
DroidScript 1.68 DroidScript — программа поможет легко написать приложения для смартфона или планшета используя javascript. При этом нет необходимости в ПК, просто редактируйте код непосредственно на устройстве. А широкий набор api этому только способствует. Однако есть возможность отладки...
Приложения Facebook и Instagram для Android в опасности. Будьте осторожны Facebook и Instagram представляют для вас опасность. Будьте осторожны Компания Facebook давно перестала ассоциироваться только с одноимённой социальной сетью. Сегодня всё большему числу пользователей, услышавшим название этого бренда, приходит на ум бесконтрольная слежка и с...
Обновляем macOS, iOS, Safari Компания Apple выпустила первые в этом году патчи для своих ОС, веб-браузера и Windows-клиента iCloud. В macOS Mojave, High Sierra и Sierra совокупно закрыто 23 уязвимости. Около половины из них позволяют выполнить произвольный код — таковы, например, брешь CVE-2019-6200 в к...
[Перевод] Бесстрашная защита. Безопасность памяти в Rust В прошлом году Mozilla выпустила Quantum CSS для Firefox, который стал кульминацией восьми лет разработки Rust — безопасного для памяти языка системного программирования. Потребовалось более года, чтобы переписать основной компонент браузера на Rust. До сих пор все основны...
Пользователям WinRAR угрожает 19-летняя уязвимость Уязвимость в WinRAR обнаружили исследователи компании Check Point. Брешь в сторонней библиотеке unacev2.dll затрагивает все версии программы и дает возможность провести атаку методом обхода каталога (Path Traversal). Как выяснилось, брешь крылась в архиваторе на протяжении 1...
Статистика на службе у бизнеса. Методология расчёта множественных экспериментов Добрый день! Как и было обещано в предыдущей статье, сегодня мы продолжим разговор о методологиях, применяемых в A/B-тестировании и рассмотрим методы оценки результатов множественных экспериментов. Мы увидим, что методологии довольно просты, и математическая статистика не т...
Нагрузочное тестирование веб-проекта — без купюр Друзья, добрый день! Продолжаем серию публикаций «без купюр» о проектах, связанных с разработкой, часто с приставкой «веб». Поговорим сегодня о нагрузочном тестировании. Проблема в том, что часто ни клиент, ни руководитель проекта не понимают, зачем оно нужно, какие риски о...
Как мы переделали структуру собеседований, и что из этого вышло Наша команда разработки уже больше 4 лет растёт примерно на 20% в год. Мы постоянно ищем технических специалистов и совершенствуем наём. Перепробовали много подходов, чтобы сделать процесс эффективнее: от изменений порядка этапов отбора до больших конкурсов для аналитиков и ...
[Из песочницы] Сказ о том, как чайник Autoplay Media Studio 8.5.3.0 ломал Как не трудно догадаться, то чайник — это я. Захотелось мне на днях в исходник одной утилитки заглянуть, очевидно сделанной средствами AMS (.cdd файл рядом с .exe и пара lua*.dll). Пару лет назад разбирал детально одну программу сделанную аналогичными средствами и предста...
Решение задания с pwnable.kr 25 — otp. Ограничение рамера файла в Linux В данной статье решим 25-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях: PWN; крипто...
Эксплуатация Microsoft Edge от CVE до RCE на Windows 10 В рамках данной статьи мы достаточно подробно рассмотрим процесс написания эксплоита под уязвимость в Microsoft Edge, с последующим выходом из песочницы. Если вам интересно узнать, как выглядит этот процесс, то welcome под кат! Читать дальше →
Миграция с одной ERP-системы на другую Очень часто переход компании на новую ERP-систему останавливает не финансовые затраты на покупку и доработку, а необходимость миграции со старой системы. У них есть сотни или даже тысячи пользователей, которые выполняют свои бизнес-процессы в одной программе, и каким-то обр...
Эксперты Google обнаружили сайты, годами атаковавшие пользователей iOS Специалисты Google Project Zero нашли 14 уязвимостей в iOS, которые были сгруппированы в пять цепочек эксплоитов и применялись против пользователей с 2016 года. Для заражения достаточно было просто зайти на вредоносный сайт.
Дыру в безопасности для взлома WhatsApp с помощью видео залатали Команда Facebook, которой сейчас принадлежит популярный WhatsApp, опубликовала заявление, в котором говорится об устранении найденной не так давно уязвимости в WhatsApp. Критическую уязвимость CVE-2019-11931 в приложениях WhatsApp для Android и iOS позволяла злоу...
Вскрытая камера. Как искать уязвимости в «умных» гаджетах на примере популярной IP-камеры Для подписчиковЗа последние несколько лет все чаще обсуждается проблема безопасности домашних гаджетов. Этичные хакеры тоже исследуют все больше девайсов — обычно с неутешительными выводами. В этой статье я покажу все этапы проверки хардверной безопасности на примере распрос...
В службе обновления Webex нашли очередной баг Очередную брешь в программе для организации веб-конференций Cisco WebEx обнаружили ИБ-специалисты компании SecureAuth. Ошибка позволяет заменить исполняемый файл службы обновления на предыдущую версию, содержащую уязвимости. В результате атаки злоумышленник может повысить св...
[Из песочницы] Когда стоит сохранять длину массива в локальную переменную в C# Читая Хабр, я наткнулся на статью "Стоит ли сохранять длину массива в локальную переменную в C#?" (которая была в разделе «лучшее»). Мне кажется глупый вопрос, не совсем корректные измерения (почему нет измерений для вложенных циклов?) и странный вывод. Длину масс...
Майнер для Linux удаляет с сервера облачные системы защиты Необычный сценарий атаки на серверы под управлением Linux обнаружили эксперты исследовательской группы Unit 42. Зловред, нацеленный на установку майнера, не проявляет вредоносной активности на зараженном компьютере, пока не получит права администратора и не удалит системы бе...
Основы компьютерных сетей. Тема №9. Маршрутизация: статическая и динамическая на примере RIP, OSPF и EIGRP Всем привет! Спустя продолжительное время возвращаемся к циклу статей. Долгое время мы разбирали мир коммутации и узнали о нем много интересного. Теперь пришло время подняться чуть повыше и взглянуть на сторону маршрутизации. В данной статье поговорим о том, зачем нужна ма...
В Magento исправили RCE-уязвимость Разработчики популярной ecommerce-платформы рекомендуют пользователям срочно обновиться, так как в Magento исправили уязвимость, позволяющую злоумышленнику выполнить произвольный код.
Баг в mIRC позволяет выполнить в Windows сторонний код Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows. Как выяснили исследователи, приложение допускает внедр...
Бревно в глазу: какие уязвимости есть у систем видеонаблюдения Найти кусочек земной поверхности, не попадающий в поле зрения какой-либо камеры, становится всё сложнее, если говорить о более-менее крупных городах. Кажется, ещё немного, и настанет то самое светлое будущее, в котором преступники не смогут скрыться от бдительного правосуд...
К вопросу о bitset «Не пора ли, друзья мои, нам замахнуться на Вильяма, понимаете ли, нашего Шекспира? ». Прочитал недавно пост про кастомную клавиатуру и в очередной раз подумал, что было бы неплохо написать эталонную (то есть такую, которую не стыдно подписать своим именем и выложить на вс...
Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...
Посмотрел на картинку — помог хакеру: Google обнаружила в Android новую серьёзную уязвимость Компания Google обнаружила в операционной системе Android серьёзную уязвимость, позволяющую при желании запустить на чужом смартфоне произвольный код. Для этого требуется всего лишь картинка. Конечно, не всё так просто. На самом деле нужен специальным образом сконфигури...
[Из песочницы] CQRS: принцип «разделяй и властвуй» на службе у программиста Слоеная архитектура – это спасение в мире корпоративной разработки. С ее помощью можно разгрузить железо, распараллелить процессы и навести порядок в коде. Мы попробовали использовать паттерн CQRS при разработке корпоративного проекта. Всё стало логичнее и … сложнее. Недавно...
Бэкдор позволяет перехватить контроль над умным зданием Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений....
Изучаем сборку микросхемы оперативной памяти на примере Hynix GDDR3 SDRAM Для многих микросхема это черный ящик с нанесенной на нее маркировкой. Заглядываем в микросхему оперативной памяти и смотрим, что внутри. Небольшой реверс-инжиниринг в сборку. Статья для тех, кому интересна микроэлектроника и кто хочет познакомиться с ней. Читать дальше →
Создатели Foxit Reader закрыли восемь серьезных уязвимостей Разработчики PDF-редактора Foxit Reader исправили восемь серьезных уязвимостей в своем продукте. Баги позволяли злоумышленнику удаленно выполнить вредоносный код в целевой системе и перехватить управление. Патчи включены в Foxit Reader 9.7, доступный для загрузки на официаль...
Решение задания с pwnable.kr 03 — bof. Переполнение буфера в стеке В данной статье разберем такой тип уязвимости, как переполнение буфера в стеке, и решим 3-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я...
Решение задания с pwnable.kr 24 — simple login. Наложение стекового фрейма В данной статье решим 24-е задание с сайта pwnable.krи узнаем про наложение стекового фрейма. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказыват...
Решение задания с pwnable.kr 23 — md5 calculator. Разбираемся со Stack Canary. Подключаем библиотеки C в python В данной статье решим 23-е задание с сайта pwnable.kr, узнаем, что такое stack canary и подключим libc в python. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду п...
Quester — Платформа для создания и прохождения квестов (Beta) Доброго времени суток! Цель статьи — открыть публике платформу, которая разрабатывается в свободное от работы время и одновременно проверить, как данная платформа выдержит хабраэффект. Содержание Описание платформы Что доступно на сегодняшний день Технические детали (мы вс...
Обновить панель управления для CPaaS: заново придумать UI/UX и внедрить IDE нормального человека Возможно, вы уже успели попробовать новую панель, пока она была в открытой бете: в старой панели была специальная кнопка для переключения. Как бы то ни было, теперь новая панель доступна всем. И это не просто релиз, а настоящее переосмысление UI/UX управления аккаунтами Vox...
Мониторинг postgres внутри Openshift Доброго времени суток жители Хабра! Сегодня хочу рассказать вам, как нам очень хотелось мониторить postgres и еще пару сущностей внутри кластера OpenShift и как мы это сделали. На входе имели: Openshift Helm Prometheus Читать дальше →
В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...
В WordPress 5.1.1 закрыли уязвимость, грозящую CSRF-атаками Разработчики WordPress выпустили обновление безопасности 5.1.1, в состав которого вошли 14 исправлений безопасности. Они устраняют CSRF-уязвимость системы и упрощают переход на новые версии PHP. Брешь позволяла потенциальным злоумышленникам использовать систему комментирован...
Брешь runC позволяет атакующим запускать произвольный код Старший инженер SUSE Алекса Сараи (Aleksa Sarai) сообщил о серьезной бреши в инструменте для запуска контейнеров runC. Уязвимость CVE-2019-5736, обнаруженная исследователями Адамом Иванюком (Adam Iwaniuk) и Борисом Поплавски (Borys Popławski), позволяет злоумышленнику переза...
Deep Learning — не только котики на мобилках или как мы производим дефектовку тележек локомотивов Буквально пару дней назад компания Aurorai передала в опытную эксплуатация систему распознавания дефектов и контроля состояния тележек для локомотивов Ермак. Задача нетривиальная и очень интересная, первым этапом которой было предложено оценить состояние тормозных колодок ...
Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос Совсем недавно, в начале лета, появились массовые призывы к обновлению Exim до версии 4.92 из-за уязвимости CVE-2019-10149 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр). А на днях выяснилось, что вредонос Sustes решил воспользоваться этой уязвимостью. Те...
[Перевод] Мир вирусов MS-DOS Этот пост является текстовой версией выступления, которое я провел на 35-м Chaos Computer Congress в конце 2018 года. И так я должен признать, что MS-DOS слегка возмущает меня, несмотря на то, что вредоносные программы MS-DOS всегда в некоторой степени очаровывали меня, ...
Real CTF 2019: почувствуй себя кибер-детективом В Высшей школе экономики пройдет RealCTF, участие в котором даст вам приближённый к реальности опыт поиска и эксплуатации уязвимостей в различных областях и технологиях. Вас ждут задания как в привычных категориях вроде reverse, crypto, web, так и новых, вроде АСУ ТП. В фина...
В WordPress найдена критическая уязвимость шестилетней давности Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все версии CMS, выпущенные за последние 6 лет.
В macOS-версии приложения Evernote закрыли RCE-уязвимость Независимый исследователь обнаружил опасный баг в Evernote для macOS. Проблема позволяла удаленно выполнить произвольный код.
Уязвимость в SIM-картах позволяет взломать миллиарды смартфонов Эксперты по кибербезопасности нашли в SIM-картах уязвимость, которая позволяет взломать более миллиарда существующих смартфонов. С её помощью злоумышленники могут перехватывать звонки и сообщения пользователей, а также видеть местоположение.
LordOfMice: Превращаем обычную мышь в игровую с помощью разгона! В наше время цены на игровую периферию известных брендов зачастую поражают своей неадекватностью. Хотя, стоит уточнить, что неодекватными эти цены зачастую кажутся лишь нашим соотечественникам, особенно школьного возраста, но факт остается фактом. А ведь многим из нас иногд...
Решение задания с pwnable.kr 02 — collision. Коллизия в хеш-функции В данной статье вспомним про колизии в хеш-функциях, и решим второе задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказы...
Угрозы LokiBot и NanoCore распространяются с помощью образов ISO Специалисты Netskope обнаружили не совсем обычную вредоносную кампанию: злоумышленники распространяют малварь LokiBot и NanoCore через письма и образы ISO.
Вредоносное ПО для криптоджекинга впервые обнаружено в образах контейнеров Docker Специалисты по кибербезопасности компании Palo Alto Networks обнаружили червя, заразившего 2000 машин ПО для скрытого майнинга Monero (XMR). Вредоносная программа распространяется через образы контейнеров Docker из открытого депозитария Docker Hub. Docker представляет собой ...
Фриланс-вебдев — как и с кем НЕ стоит работать КДПВ взята отсюда Часто слышу истории вида "пробовал фрилансить — не понравилось" и встречаю много заблуждений по поводу этого типа работ, потому что люди просто начали "не с той стороны". Постараюсь исправить ситуацию этим постом. Сразу оговорюсь — большая часть того, что з...
Внеочередной патч для IE устраняет уязвимость 0-day Разработчики Microsoft выпустили экстренные обновления для Internet Explorer и Microsoft Defender (ранее Windows Defender — Защитник Windows). Браузер содержат критическую уязвимость, уже используемую в атаках, поэтому его рекомендуется залатать как можно скорее. Новая пробл...
Обзор смартфона Meizu 16xs Meizu — компания, у которой есть своё достаточно крепкое фан-комьюнити в России. Смартфоны этого бренда любят и ценят, благо китайцы действительно выдают добротные устройства. Правда часто спорят вокруг стоимости этих аппаратов, некоторые считают, что цена могла бы быть и ...
[Из песочницы] Автоматически экспортируем Google Forms в Notion с помощью IFTTT и Django Всем доброго дня! Думаю, статья будет интересна всем, кто пользуется Notion, но по какой-то причине не мог переехать на него полностью. Предистория Я разрабатываю свой проект. На лэндинге после ввода емейла выдается ссылка на соцопрос на базе Google Forms. Ответы записывают...
[Перевод] 50-летний модем: взгляд изнутри Несколько лет назад автор побывал на барахолке, организованной W6TRW на автостоянке компании Northrop Grumman в Редондо-Бич, Калифорния. Между телевизоров, напоминающих белых медведей, и множества зарядных устройств для телефонов и блоков питания проглядывался деревянный я...
Echobot атакует умные устройства Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в августе 2019 года. Исследовательская группа предупреждает о новой вариации ботнета Mirai - Echobot, который начал широкомасштабные атаки на умные устройства. Echo...
Решение задания с pwnable.kr 17 — memcpy. Выравнивание данных В данной статье разберемся с выравнием данных, а также решим 17-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказыват...
[Из песочницы] Создание Android приложения с использованием Anko Layouts и Anko Coroutines Примерно год назад я начал использовать Kotlin в своих Android проектах. Мне хотелось попробовать что-то новое, что было бы интересно изучать. Тогда я и наткнулся на Anko. К тому времени писать UI на xml порядком осточертело. Мне всегда нравилось писать интерфейс руками, не...
Новая спам-атака на пользователей Microsoft Office Последние пару недель исследователи из Microsoft наблюдают активизацию спам-рассылок, нацеленных на эксплуатацию уязвимости CVE-2017-11882. Зловредные письма, по всей видимости, ориентированы на жителей европейских стран, так как они оформлены на разных языках, используемых ...
В умных коммутаторах Cisco нашли критические уязвимости Компания Cisco исправила три серьезных бага в прошивке интеллектуальных коммутаторов семейства Small Business 220. Уязвимости позволяют обходить механизм аутентификации устройства, запускать на нем сторонний код, а также внедрять команды оболочки и выполнять их с root-привил...
Решение задания с pwnable.kr 21 — horcuxes. Возвратно-ориентированное программирование и ROP-цепочки В данной статье решим 21-е задание с сайта pwnable.kr, направленное на составление ROP-цепочки. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказыв...
Как устроена консолидация архивов в DeviceLock DLP Не так давно мы выпустили новую минорную версию 8.3.75005 программного комплекса предотвращения утечек данных DeviceLock DLP и помимо других улучшений, включили в нее довольно полезную для крупных компаний функцию консолидации данных с серверов хранения. Хотелось бы рассказ...
У Microsoft Edge выявили новую уязвимость На сайте GitHub появился эксплойт для уязвимости CVE-2018-8629, который нашли ребята с Phoenhex. Эксплойт был обнаружен в движке Chakra браузера Edge. Эта уязвимость позволяет выполнить удаленно код с правами администратора за счет выхода рамок выделенной памяти. Те, кто уст...
Эксперт Google сообщил о 0-day уязвимости в роутерах TP-Link SR20 В домашних роутерах TP-Link SR20 была выявлена уязвимость, позволяющая локальному атакующему осуществить исполнение произвольных команд с правами суперпользователя.
WhatsApp снова под ударом. Хакеры используют файлы MP4 Проблемы мессенджера WhatsApp продолжаются. Буквально неделю назад обнаружилось, что приложение способствует более быстрой разрядке различных смартфонов. Теперь же в WhatsApp нашли новую критическую уязвимость, которая присутствует и в версии для Android, и в версии для...
Бэкдор и шифратор Buhtrap распространялись с помощью Яндекс.Директ Чтобы нацелить кибератаку на бухгалтеров, можно использовать рабочие документы, которые они ищут в сети. Примерно так в последние несколько месяцев действовала кибергруппа, распространяющая известные бэкдоры Buhtrap и RTM, а также шифраторы и ПО для кражи криптовалют. Больши...
Google рассказала об опасной уязвимости в Android Google Pixel тоже уязвимы для вредоносных атак Google — очень большая корпорация с обилием дочерних компаний и ответвлений, ведущих независимую от основного предприятия деятельность. Эта независимость даёт многим из них право не учитывать мнение Google во многих вопрос...
В Jira Service Desk нашли критические уязвимости и Jira Service Desk Data Center, устранив угрозу раскрытия информации. Злоумышленники могли воспользоваться двумя багами, чтобы получить важные данные о корпоративной инфраструктуре и выполнить сторонний код. Уязвимости CVE-2019-14994 и CVE-2019-15001 позволяли проводить ата...
AvaloniaUI особенности на примере MessageBox Avalonia ui — восхитительный фреймворк, к которому хочется возвращаться снова и снова. Так давайте же вернемся к нему еще раз и рассмотрим некоторые особенности вместе с моим message box. Читать дальше →
В системе авторизации SCADA WebAccess нашли критические баги Три опасные уязвимости в программном продукте SCADA WebAccess компании Advantech обнаружили специалисты сингапурской компании Attila Cybertech. Баги позволяют киберпреступнику обойти систему авторизации приложения, а также осуществить внедрение стороннего кода в SQL-запрос. ...
Взломщики эксплуатируют уязвимости в WordPress-плагине Злоумышленники используют бреши в плагине YellowPencil, установленном на более чем 30 тыс. сайтов на базе WordPress. Создатель расширения просит владельцев веб-ресурсов срочно установить обновление. По словам исследователей, за атаками стоят те же преступники, которые в тече...
Пять ключевых вопросов для ритейла при миграции к нам в облака Какими вопросами задались бы ритейлеры типа X5 Retail Group, Open, Auchan и прочие при переезде в Cloud4Y? Для ритейлеров настали сложные времена. Привычки покупателей и их хотелки за последнюю декаду изменились. Online-конкуренты вот-вот станут наступать на хвост. Покуп...
[Перевод] MSI/55 — старый терминал для заказа товаров филиалом в центральном магазине Устройство, показанное на КДПВ, предназначалось для автоматической отправки заказов из филиала в центральный магазин. Для этого нужно было, предварительно введя в него артикулы заказываемых товаров, позвонить по номеру центрального магазина и отправить данные по принципу а...
В Android нашли серьезную уязвимость Она позволяет шпионить за пользователями.
В «Архиве интернета» появилось 2 500 классических DOS-игр. Их можно запустить в браузере Классика, которую можно попробовать бесплатно.
Надежное программирование в разрезе языков — нубообзор. Часть 1 В очередной раз провозившись два дня на написание и отладку всего четырехсот строк кода системной библиотеки, возникла мысль — “как бы хорошо, если бы программы писались менее болезненным способом”. И в первую очередь, поскольку отладка занимает гораздо больше времени, чем ...
Создаем виджет с помощью пользовательских CSS-свойств: встраиваем кастомную ссылку на сайт NHL Автор курса Нетологии «HTML-верстка», Стас Мельников, показал пример верстки виджета, который можно встроить на сторонний сайт. В прошлый раз мы рассказали, что такое пользовательские свойства, а сейчас на примере сайта NHL покажем, как с их помощью встроить кастомную ссыл...
Adobe закрыла десятки брешей в Acrobat и Reader В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение. Уязвимость 0-day зарегистриров...
Avalonia мои за и против Я очень много пишу про Авалонию и часто восторгаюсь этим фреймворком, но, как и у любой технологии, у нее есть свои достоинства и недостатки, о них и хотелось бы поговорить. Читать дальше →
SAP выпустила июньский комплект патчей Специалисты Onapsis рассказали об июньских изменениях в ERP-программах SAP. Согласно отчету, компания-разработчик повысила оценку уровня опасности бага в платформе Solution Manager со среднего на высокий, а также внесла ряд исправлений безопасности в свои продукты. Проблемы ...
Уязвимость в ProFTPD позволяет копировать файлы без разрешения и выполнять произвольный код При соблюдении определенных условий серверы ProFTPD уязвимы перед удаленным исполнением кода и атаками на раскрытие информации.
MIRO — открытая платформа indoor-робота. Часть 4 — Программная составляющая: ARDUINO (AVR) Продолжаем разбирать программную составляющую платформы MIRO. Хочется более подробно рассмотреть именно программное обеспечение под AVR. Поэтому вопросу посвятим две части. В первой опишем общую структуру библиотеки, а во второй — реализацию некоторых ключевых методов клас...
Adobe закрыла 24 критические уязвимости в своих продуктах Апрельский набор патчей Adobe совокупно устраняет 43 бреши в восьми разных продуктах, в том числе Acrobat Reader, Flash Player и Shockwave. Оценку «критический» получили 24 бага, позволяющие удаленно выполнить любой код в системе. Наибольшее количество уязвимостей ...
Ошибка в WhatsApp позволяет исправлять чужие сообщения Специалисты по кибербезопасности сообщили, что нашли ряд уязвимостей в популярном мессенджере WhatsApp, которые позволяют хакерам изменять сообщения как в групповых, так и в приватных чатах.
И ещё один Steam Windows Client Local Privilege Escalation 0day В предыдущей серии Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в и...
Решение задания с pwnable.kr 04 — flag. Упакованные исполяемые файлы В данной статье разберем: как и для чего применяется упаковка исполняемых файлов, как их обнаружить и распаковать, и решим 4-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информацио...
В Drupal исправили критическую уязвимость В ветках 8.5.x и 8.6.x исправлена уязвимость, позволяющая удаленно выполнить произвольный код.
«Форд Мангал»: Старый Ford Mondeo, превращённый в печь для пиццы, «взорвал» сеть Комментаторы восхитились оригинальной доработке французского автолюбителя, заявив, что именно так нужно поступать с, отжившим своё, «автохламом». Чтобы превратить старенький Ford Mondeo SW в стильную и необычную печь для пиццы, художнику пришлось срезать с него колёса, выре...
ОK, а мне точно нужен Kubernetes? В большой компании часто очень тяжело согласовывать выделение ресурсов под рабочие задачи. Весь Agile с хрустом разбивается о стену трёхнедельного согласования с ИБ новой инфраструктуры. Поэтому к нам часто приходят запросы на перевод инфраструктуры на контейнеры, чтобы вы...
[Перевод] Kubernetes: сборка образов Docker в кластере Чтобы собирать образы Docker в контейнере и при этом обойтись без Docker, можно использовать kaniko. Давайте узнаем, как запускать kaniko локально и в кластере Kubernetes. Дальше будет многабукаф Читать дальше →
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 2 В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Astaroth крадет данные с помощью утилит антивирусов и ОС Новый штамм трояна Astaroth использует легитимные утилиты Windows, компоненты антивируса Avast и систему безопасности GAS Tecnologia для похищения пользовательской информации. Об этом сообщили специалисты компании Cybereason, которые изучили механизм работы зловреда в ходе а...
Выбор стратегии жизненного цикла программного обеспечения при наличии нескольких зависимых фронтэндов Жизненный цикл программного обеспечения известен большинству современных программистов. Даже школьник, написав свою первую программу <?php echo "Hello, Хабр! На пхп" ?> или fprintf( 'Привет Хабр на Матлабе!\n'); понимает технологический процесс. Думает над зада...
В программах VMware залатали баг оболочки runC Компания VMware выпустила патчи для нескольких продуктов, затронутых уязвимостью в среде выполнения контейнеров runC. Брешь дает злоумышленнику возможность запустить сторонний код на устройстве, повысить привилегии или привести к сбою обработчика Docker-приложений. Обновлени...
JavaScript: Большое целое Ну почему Не так давно JavaScript похвастался новым примитивным типом данных BigInt для работы с числами произвольной точности. Про мотивацию и варианты использования уже рассказан/переведен необходимый минимум информации. А мне бы хотелось обратить чуть больше внимания на превнесенн...
SEMconf 2019 — конференция по контекстной рекламе SEMconf: забудьте все, чему вас учили в школе! 18 октября, Москва. Помнишь, как радовался, что школьные годы позади — с дурацкими предметами, вредными учителями и невкусной столовской едой? А потом — бац! И универ. И вот т...
Эволюция H2 — оконные функции, CTE, JSON/XML во встраиваемой базе данных Есть open source проекты которые стали коммерчески успешным мейнстримом, как например PostgreSQL/Elasticsearch. Другие, к примеру RethinkDB, проиграли на рынке и остановили разработку. А проект H2 database встраиваемой базы данных, написанной на языке java, развивается и здр...
Второй чемпионат по программированию: разбираем задачи ML-трека В октябре состоялся второй чемпионат по программированию. Мы получили 12 500 заявок, более 6000 человек попробовали свои силы в соревнованиях. В этот раз участники могли выбрать один из следующих треков: бэкенд, фронтенд, мобильную разработку и машинное обучение. В каждом тр...
Проверка исходного кода библиотек .NET Core статическим анализатором PVS-Studio Библиотеки .NET Core — один из самых популярных C# проектов на GitHub. Неудивительно, с учётом его широкой известности и используемости. Тем интереснее попробовать выяснить, какие тёмные уголки можно найти в исходном коде этих библиотек, что мы и попробуем сделать с помощью...
Эксперты Kaspersky нашли дроппер Necro.n в Google Play Специалисты «Лаборатории Касперского» обнаружили в Google Play троян-загрузчик Necro.n с более 100 млн загрузок. По их словам, изначально приложение было безопасным, а вредоносные функции добавил сторонний разработчик. Программа, привлекшая экспертов, CamScanner — ...
Конечно, дали власть и очередь из пулемета. Рак и прочее…опыт с медициной Доброго времени прочтения, уважаемые читатели Хабра. Увы, мы все смертны, даже программисты. Когда ставят диагноз — не знаешь куда бежать. Попробую описать свой опыт… Мне поставили страшненький диагноз в том году. Что дальше делать никто не сказал… Читать дальше →
Рекламщик Xhelper проник на 45 тысяч Android-устройств Вредоносное ПО Xhelper атакует Android-устройства и сохраняет активность даже после сброса системы до заводских настроек. Зловред способен доставлять на смартфон различную полезную нагрузку, но пока не совершает деструктивных действий, ограничиваясь демонстрацией рекламных с...
Сервера Cyber Hunter официально открыты, ценные призы в честь запуска Издатель NetEase Games объявил, что королевская битва с элементами песочницы Cyber Hunter тепеь доступна во всем мире. В честь запуска серверов разработчики подготовили несколько событий, в рамках которых игроки могут получить ценные внутриигровые предметы: Hunter Attack. В...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 3 В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 4 В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 5 В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/n...
Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...
Генерация документов с помощью ONLYOFFICE DocumentBuilder Привет, Хабр. Я хочу рассказать об утилите под названием DocumentBuilder, которая позволяет генерировать документы, таблицы и презентации, а также показать, как можно его использовать для решения ваших задач, на примере создания резюме из шаблонов. Работает билдер следующи...
Уязвимость в браузере Internet Explorer позволяет злоумышленникам красть файлы с ПК под управлением Windows Исследователь безопасности Джон Пейдж (John Page) опубликовал подробные сведения об уязвимости XXE (XML eXternal Entity), обнаруженной в браузере Internet Explorer, которая позволяет злоумышленникам красть файлы с ПК под управлением Windows. Уязвимостью можно воспользов...
Files UWP v0.5.0 – добавлены вкладки в Проводник Пользователь Duke7553 сделал большое обновление UWP-Проводника, которое содержит множество улучшений, и как вы уже догадались – новый пользовательский интерфейс. Хотя некоторые вещи не работают (или работают плохо), был достигнут значительный прогресс в том, чтобы сделать пр...
iOS 12.4 официально взломана. Кто виноват? Apple уделяет большое значение обновлениям своих операционных систем и издавна прививает это же чувство своим пользователям. Поэтому в Купертино всегда советуют устанавливать все апдейты без исключения, даже если они, на первый взгляд, не включают в себя новых функций. В ко...
Mountain Car: решаем классическую задачу при помощи обучения с подкреплением Как правило, модификации алгоритмов, полагающиеся на особенности конкретной задачи, считаются менее ценными, так как их сложно обобщить на более широкий класс задач. Однако это не означает, что такие модификации не нужны. Более того, часто они могут значительно улучшить резу...
Первый митап по Flutter в Петербурге – 26 сентября Мы в Wrike очень любим Dart и Flutter. На связке Dart+Angular пишем фронтенд основного продукта, SPA Wrike, а флаттер просто бескорыстно любим и создаем на нем внутренние тулы. Два года назад мы придумали русскоязычное сообщество дарт и флаттер разработчиков (сейчас в нем бо...
Security Week 40: уязвимость в BootROM мобильных устройств Apple В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет д...
[Из песочницы] Phoenix LiveView: когда вам больше не нужен JavaScript* * для создания динамической страницы Не так давно 12.12.2018 был анонсирован выход новой библиотеки для фанатов phoenix framework под названием Phoenix LiveView. Я бы хотел поделиться с вами впечатлениями от ее использования и phoenix в целом, а в следующей статье попробова...
Разработчики Cisco пропатчили IMC Supervisor и UCS Director Компания Cisco исправила множественные уязвимости в ключевых компонентах своей серверной платформы UCS (Unified Computing System). Вендор залатал 18 уязвимостей в модулях UCS Director и Integrated Management Controller (IMC). Четыре бага оценили как критические, а остальным ...
Решение задания с pwnable.kr 22 — brainfuck. Атака типа ret2libc В данной статье решим 22-е задание с сайта pwnable.kr и узнаем категорию атак, подразумевающих перезапись адреса в GOT на адрес нужной нам функции из библиотеки. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер инф...
MEGANews. Самые важные события в мире инфосека за февраль Для подписчиковВ этом месяце: в первом чтении принят законопроект о «суверенном Рунете», северокорейские хакеры атаковали российские компании, в даркнете продают терабайты утекших данных, в WinRAR нашли уязвимость 19-летней давности, а в Microsoft понимают, что Internet Expl...
[Из песочницы] Асинхронный PHP и история одного велосипеда После выхода PHP7 появилась возможность сравнительно небольшой ценой писать долгоживущие приложения. Для программистов стали доступны такие проекты, как prooph, broadway, tactician, messenger, авторы которых берут на себя решение наиболее частых проблем. Но что если сделать ...
Летние программы на 2019 год для обучения подростков программированию за рубежом Хотя за окном еще горы снега и мороз, тем не менее многие родители (а иногда и сами подростки) начинают задумываться, чем занять чадо во время длинных летних каникул. Если вы считаете, что летом дети расслабляются настолько сильно, что осенью им крайне тяжело включиться в уч...
Apple отключила одну из функций Apple Watch. Она позволяла подслушивать пользователей Случаев, когда Apple отключала какую-то функцию в своих устройствах уже после ее релиза, можно пересчитать по пальцам одной руки. Из наиболее известных на ум приходят два примера. Так, в 2013 году компания убрала из финальной бета-сборки iOS 7 поддержку iCloud Keychain, пот...
Решение задания с pwnable.kr 01 — fd. Файловые дескрипторы и процессы В данной статье разберем: что же такое файловый дескриптор, как процессы получают доступ к определенным потокам ввода/вывода, и решим первое задание с сайта pwnable.kr. Читать дальше →
2. Анализ зловредов с помощью форензики Check Point. SandBlast Agent Продолжаем наш цикл статей по форензике от Check Point. В предыдущей статье мы рассмотрели новый отчет сетевой песочницы, которая помогает ловить 0-day атаки на периметре сети. К сожалению (для “безопасников”), периметр уже давно потерял четкие границы. Мобильные устройств...
Монады с точки зрения программистов (и немного теории категорий) Введение Как узнать, что человек понял, что такое монады? Он сам вам об этом расскажет в первые 5 минут общения и обязательно попробует объяснить. А ещё напишет об этом текст и по возможности где-нибудь его опубликует, чтобы все остальные тоже поняли, что такое монады. Среди...
[Перевод] Как встроить С-библиотеку в Swift-фреймворк В 2014 году был представлен Swift, новый язык для разработки приложений экосистемы Apple. Новинка принесла не только новые возможности и функции, но и проблемы — тем, кто хотел пользоваться старыми добрыми C-библиотеками. В этой статье я рассмотрю одну из них — бандлинг C-...
Почему летом так мало конференций? Конечно, они проводятся, но их количество по сравнению с осенними и весенними очень невелико. Хочется изменить эту тенденцию, так как все в нашей команде уверенны, что летние мероприятия — это здорово. В этой короткой статье мы изложим мысли на эту тему и будем рады подиску...
В WhatsApp нашли опасную уязвимость Уязвимость позволяет злоумышленникам устанавливать на смартфоны шпионские программы.
Решение задания с pwnable.kr 07 — input. Разбираемся с pwntools В данной статье разберем решение многоуровнего задания с помощью библиотеки pwntools. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о след...
Как повысить продуктивность команды в несколько раз Как часто бывает в жизни: приходит новый менеджер и ставит задачу повысить количество реализуемых фич в 2 раза за следующий спринт. Разработчики, конечно, стараются, работают, остаются на выходные, выполняют поставленный план, но потом почему-то все увольняются. Большинство...
Знакомьтесь: ransomware Nemty c поддельного сайта PayPal В сети появился новый шифровальщик Nemty, который предположительно является преемником GrandCrab или Buran. Вредоносное ПО главным образом распространяется с поддельного сайта PayPal и обладает рядом интересных особенностей. Подробности о работе этого ransomware – под катом....
В Snapchat появились новые фильтры для фото и видео, меняющие пол Мессенджер Snapchat представил новые фильтры для фото и видео. С помощью одного из них мужчины превращаются в женщин, а женщины — в мужчин. За несколько дней эти «маски» стали хитом, чтобы их протестировать, многие пользователи начали заново устанавл...
[Из песочницы] Перемещение объекта по нажатии кнопки в Unity3d на C# Доброго времени суток. Сегодня поговорим про движение объекта по нажатию кнопки на экране в Unity3D. Эта тема очень проста, но часто используется в разного рода играх. Читать дальше →
Steam Windows Client Local Privilege Escalation 0day Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятн...
Security Week 32: дыра в iMessage, приватность голосового ввода 22 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройств...
Как мы тестировали технологию распознавания лиц и что из этого вышло Технологии биометрии стремительно проникают в нашу жизнь. Распознавание лиц появляется в гаджетах. Банки по всему миру приходят к использованию этой технологии в банкоматах. Камеры сети видеонаблюдения, подключенные к системе распознавания лиц, призваны помочь правоохранит...
[Перевод] Учебник по JavaFX: CSS-стилизация Как стилизовать компоненты JavaFX, используя старый добрый CSS. Все посты в серии о JavaFX: Учебник по JavaFX: начало работы Учебник по JavaFX: Hello world! Учебник по JavaFX: FXML и SceneBuilder Учебник по JavaFX: основные макеты Учебник по JavaFX: расширенные макеты Уче...
Уязвимость в Outlook для Android угрожала 100 000 000 пользователей В приложении Outlook для Android устранили XSS-баг, позволявший выполнить вредоносный код на стороне клиента.
KPI технической поддержки Миран " — А у вас случайно нет такого знакомого с красным лицом, тремя глазами и ожерельем из черепов? — спросил он. — Который между костров танцует? А? Еще высокий такой? И кривыми саблями машет? — Может быть и есть, — сказал он вежливо, — не могу понять о ком именно вы говорит...
Ради денег: поиск и эксплуатация уязвимостей в мобильных платежных терминалах Карточные платежи становятся все более популярными. Мобильные платежные терминалы (mPOS-терминалы) способствуют развитию этой тенденции, снижая барьеры входа на рынок карточных платежей для небольших фирм и частных предпринимателей. При этом при определенных условиях опера...
Новая прошивка для принтера Anycubic Photon S с антиалиасингом Может еще не все знают, но недавно Эникубик анонсировал новую прошивку для своего фотополимерного принтера Photon S. После того, как я выпросил у техподдержки старую версию прошивки (на всякий случай, чтобы можно было откатиться назад), я прошил принтер новой версией и немно...
На стороне добра: как Оптимус Прайм привез Kingston и HyperX на выставку CES 2019 Ничто человеческое не чуждо гигантским роботам-трансформерам. Например, старый добрый глава трансформеров-автоботов Оптимус Прайм махнул в Вегас, чтобы размять шины на дорогах порока. Но вместо того, чтобы пуститься во все тяжкие, привез на выставку CES 2019 целую гору новин...
В Штатах ГОСТы тоже так себе. Фатальная уязвимость в YubiKey FIPS, которую можно было избежать Привет, %username%! 13 июня 2019 года компания Yubico, производитель устройств для двухфакторной аутентификации, выпустила уведомление о безопасности в котором говорится о критической уязвимости некоторых устройств Yubikey FIPS. Давайте посмотрим что это за уязвимость и к...
Древности: компьютерная реклама 1997 года Старые устройства, переносные и настольные, нужно рассматривать в контексте — собственных пожеланий из молодости или же особенностей тогдашнего рынка околокомпьютерного железа. Это сделать непросто, но когда пытаешься, простое собирание гаджетов расширяется в настоящее архив...
[Из песочницы] Чего нельзя требовать и за что нельзя хвалить сотрудников, если вы хотите, чтобы они хорошо работали Уже давно сформулировал для себя этот подход. Возможно, он очевиден, но хуже от этого не становится. Сначала сами пункты. Никогда не требуйте и не хвалите сотрудников за: вовремя приходят на работу или с обеда ходят в соответствии с дресс-кодом задерживаются на работе,...
В Microsoft Exchange нашли 0-day уязвимость PrivExchange Опубликован proof-of-concept эксплоит, позволяющий атакующему повысить привилегии до администратора на контроллере домена.
В бета-версии iOS 13 нашли уязвимость Она позволяет получить доступ к сохранённым в системе паролям.
[Перевод] Как работает рендеринг 3D-игр: обработка вершин В этом посте мы рассмотрим этап работы с вершинами. То есть нам придётся снова достать учебники по математике и вспомнить линейную алгебру, матрицы и тригонометрию. Ура! Мы выясним, как преобразуются 3D-модели и учитываются источники освещения. Также мы подробно объясним р...
Баги в CMS Magento позволяют перехватывать онлайн-платежи Специалисты по информационной безопасности рассказали об опасных уязвимостях в CMS Magento, эксплуатация которых позволяет злоумышленникам перехватывать платежные операции и красть данные банковских карт покупателей онлайн-магазинов. Разработчики залатали ошибки в актуальных...
RAMBleed: извлечь RSA-ключ за 34 часа Представлена новая атака RAMBleed, основанная на методе Rowhammer. Теперь под ударом не только целостность, но и конфиденциальность пользовательских данных. Исследователи продемонстрировали атаку на OpenSSH, в ходе которой им удалось извлечь 2048-битный RSA-ключ. Как они...
Apple выпустила обновления почти для всей линейки продуктов Майский пакет обновлений Apple включает более 100 заплаток к iOS, macOS, Safari, tvOS и watchOS. Разработчики устранили уязвимости, которые позволяли выполнять сторонний код, повышать привилегии пользователя и проводить прочие несанкционированные операции с устройствами. Спе...
[Из песочницы] Красивые точные часы из старого смартфона Речь в статье пойдёт о том, как старый ненужный мобильник переделать в отличные настенные часы с крупными цифрами, всегда точным временем и резервным питанием. Я расскажу о некоторых выясненных особенностях сихронизации времени в ОС Андроид, а также о разных электрических...
Уязвимость библиотеки Windows грозит отказом в обслуживании Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал уязвимость криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагруз...
Уязвимость «ВКонтакте». В профилях и группах появлялись фейковые посты Примерно в 19:30 по московскому времени во многих группах и профилях «ВКонтакте» начали появляться одинаковые посты, сообщающие о скором появлении рекламы в сообщениях в социальной сети. Если пользователь переходил по приложенной ссылке, то аналогичные записи начинали появл...
macOS-зловред подменяет выдачу Google на результаты Bing Необычный зловред для macOS нашли ИБ-специалисты. Программа устанавливает в систему собственный прокси-сервер и прослушивает трафик, передаваемый браузером Safari. Единственным видимым последствием взлома является подмена поисковой выдачи Google на аналогичные результаты Bin...
[Из песочницы] DevOps в разработке: автоматизация написания кода веб-приложений Доброго времени суток, уважаемые Хабражители! Сегодня DevOps находится на волне успеха. Практически на любой конференции, посвященной автоматизации, можно услышать от спикера мол “мы внедрили DevOps и тут и там, применили это и то, вести проекты стало значительно проще и т....
Миллионам серверов Exim угрожает уже вторая опасная уязвимость за последние месяцы Все серверы Exim, работающие под управлением версии 4.92.1 и раньше, уязвимы перед новой проблемой, позволяющей выполнить произвольный код с root-привилегиями.
[Из песочницы] Ревизия уровней доступа пользователей с помощью Power BI на примере CMS Битрикс (БУС) В статье показан пример применения Power BI для анализа доступов пользователей на сайте под управлением 1С-Битрикс. Читать дальше →
[Из песочницы] Инкрементальные бэкапы postgresql с pgbackrest — курс молодого бойца от разработчика Дисклеймер Я — разработчик. Я пишу код, с базой данных взаимодействую лишь как пользователь. Я ни в коем случае не претендую на должность системного администратора и, тем более, dba. Но… Так вышло, что мне нужно было организовать резервное копирование postgresql базы данны...
Мир! Труд! iOS! Да здравствует оффер за 1 день Мы рады анонсировать hiring event для iOS-разработчиков. Всё просто: участник присылает нам тестовое задание до 13 мая, затем мы объявляем результаты участников и приглашаем авторов лучших решений к нам в офис 24 мая (где, собственно, и пройдёт наш hiring event). В день...
NB-IoT, Narrow Band Internet of Things. Режимы энергосбережения и команды управления Добрый день всем! В предыдущей части обсуждалась общая информация и особенности технологии NB-IoT, а здесь предлагаю подробно рассмотреть режимы энергосбережения PSM и eDRX, а также команды, с помощью которых этими режимами можно управлять. Читать дальше →
MIRO — открытая платформа indoor-робота. Часть 3 — Программная составляющая: ESP8266 Начинаем разбирать программную составляющую платформы MIRO. Посмотрим, как правильно «готовить» ARDUINO UNO с помощью ESP8266 для прошивки и взаимодействия без проводов. Читать дальше →
Легкое управление конфигурациями микросервисов с помощью microconfig.io Одной из основных проблем при разработке и последующей эксплуатации микросервисов является грамотная и аккуратная настройка их инстансов. В этом, на мой взгляд, может помочь новый фреймворк microconfig.io. Он позволяет довольно элегантно решить некоторые рутинные задачи наст...
[Перевод] .NET Core с блокнотами Jupyter — Preview 1 Когда вы думаете о блокнотах Jupyter, на ум, вероятно, приходит код Python, R, Julia или Scala, а не .NET. Сегодня мы рады сообщить, что вы можете писать .NET-код в Jupyter Notebooks. Try .NET развился, чтобы поддерживать больше интерактивных возможностей в Интернете с помо...
Критический баг в SAP NetWeaver позволял угнать приложение Компания SAP выпустила августовский комплект патчей, исправляющий 13 уязвимостей в продуктах вендора. Три новых бага и одно обновление для уже внедренной заплатки получили критический рейтинг угрозы. Серьезные проблемы исправлены в сервере Java-приложений NetWeaver, решении ...
Тик-так: время умных часов ушло, но теперь ими притворяются браслеты Давайте поговорим об умных часах. Я писал несколько топиков об умных часах на Хабре (раз и два), затем рынок немного умер, а сейчас он находится таком интересном положении — благодаря способности фитнес-браслетов притворятся полноценными часами — что хочется снова пообщаться...
[Из песочницы] Нидерланды, или туда и обратно Добрый день дорогие хабровчане! Продолжая линию тренда на эмиграцию, хотелось бы затронуть мой личный опыт, который может быть полезен другим. Пост я постараюсь разделить на две части, первая из которых будет посвящена практической информации, а вторая моим собственным ощу...
Tic Tac Toe, часть 3: Undo/Redo с хранением команд Tic Tac Toe, часть 0: Сравнение Svelte и React Tic Tac Toe, часть 1: Svelte и Canvas 2D Tic Tac Toe, часть 2: Undo/Redo с хранением состояний Tic Tac Toe, часть 3: Undo/Redo с хранением командВ этой части рассмотрена реализация игры Tic Tac Toe с помощью паттерна Command, с ...
Число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%. Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. Среди них наиболее распространены уязвимости, связанны...
[Из песочницы] Чётные числа Фибоначчи Навеяно комментарием под постом Фибоначчи на собеседовании. Пользователь pavellyzhin упомянул следующую задачу на собеседовании (комментарий): Больше года назад откликнулся на вакансию «php-программист», прислали ТЗ и там было задание с Фибоначчи: выбрать все четные числа Фи...
Яндекс.Аура — новая социальная сеть. Мы раздаём приглашения Несколько дней назад Яндекс разрешил вход в новую залипалку. Яндекс.Аура — социальная сеть, в которую сегодня можно влезть только по приглашениям. причём для этого у вас обязательно должен быть электронный почтовый ящик на одноимённом сервисе. Хотите попробовать — сообщите...
Вычисляем потенциальных «злых» ботов и блокируем их по IP Доброго дня! В статье расскажу как можно пользователям обычного хостинга отловить IP адреса генерирующие излишнюю нагрузку на сайт и затем блокировать их при помощи средств хостинга, будет «чуть-чуть» php кода, несколько скриншотов. Читать дальше →
Взломщики создавали на сайтах аккаунты администратора Исследователь Майки Винстра (Mikey Veenstra) сообщил о новом витке развития активной вредоносной кампании на WordPress. Злоумышленники, которые ранее атаковали уязвимые плагины, чтобы показывать нежелательные рекламные баннеры и привлекать трафик на мошеннические сайты, тепе...
В прошивке бюджетных Android-смартфонов нашли уязвимости, позволяющие красть данные Крупные недорогие бренды смартфонов на базе ОС Android встраивают в прошивку устройств потенциально вредоносное ПО. Об этом свидетельствует отчет исследовательской компании Kryptowire. Зачастую предустановленные приложения представляют собой небольшие, не имеющие бренда комп...
Отличия Xiaomi Mi9 SE от флагманского Mi9? Xiaomi Mi9 получился отменным флагманом. Да, на фоне конкурентов он стоит весьма доступных денег. Однако многим не нужна топовая производительность, зато хотелось бы сэкономить, не жертвуя качеством. И тут на помощь приходит Xiaomi Mi9 SE. Неплохая начинка, три задние камеры...
Рукописи не горят: секрет долговечности свитков Мертвого моря, датируемых 250 годом до н.э В современных музеях и архивах древние тексты, рукописи и книги хранятся в определенных условиях, что позволяет сохранить их первозданный вид для будущих поколений. Самым ярким представителем нетленных рукописей считаются свитки Мертвого моря (Кумранские рукописи), впервые...
[Из песочницы] LTSP сервер на базе CentOS7 Доброго времени суток, уважаемые жители Хабра. Вдохновившись статьей LTSP: Терминальный сервер на Linux решил сделать тоже самое только на CentOS 7. Побродив по просторам интернета и найдя лишь обрывки информации, а так же старенькую инструкцию для CentOS 5 взялся проходит...
В протоколе LTE нашли 36 новых уязвимостей Группа южнокорейских специалистов обнаружила 51 уязвимость в протоколе LTE, и 36 из них оказались новыми.
Дыра в безопасности macOS позволяет злоумышленникам обойти встроенную защиту при установке приложения не из App Store Apple, вероятно, столкнулась с очередной уязвимостью технологии Gatekeeper, которая обеспечивает запуск только доверенного программного обеспечения на компьютере Mac. Исследователь безопасности Филиппо Кавалларин (Filippo Cavallarin) обнаружил и подробно описал новую уязвимо...
TDMS Фарватер. Механизм автозаполнения основных надписей на чертежах и реквизитов документов Нас часто спрашивают, чем TDMS Фарватер отличается от других систем электронного документооборота. При этом в качестве примера обычно указывают, так называемые, системы общего назначения: программы, которые «как бы могут управлять, любыми процессами». Как мы уже писали в одн...
Как дебажить переменные окружения в Linux Часто бывает так, что приходишь на машину и обнаруживаешь какой-то скрипт, запущенный под системным пользователем неделю назад. Кто его запустил? Где искать этот run.php? Или добавляешь запись в /etc/crontab, а скрипт там падает с ошибкой «command not found». Почему? И что д...
Уязвимости в WPA3 позволяют раскрыть пароль от сети Wi-Fi Специалисты нашли в общей сложности пять «дыр» в новом протоколе.
[Перевод] Рискованная музыка на линейном принтере старинного мейнфрейма от IBM Мы в нашем Музее компьютерной истории недавно приобрели набор перфокарт для компьютерной музыкальной программы 50-летней давности. Тогда у большинства компьютеров не было звуковых карт, но творческие программисты нашли способы выдавать музыку при помощи линейных принтеров. М...
[Из песочницы] Имитатор чтения статей Добрый день уважаемые. Хотелось бы поделиться своей историей и маленьким лайфхаком. Думаю у всех офисных работников бывает ситуация, когда после вкусненького обеда сильно разморило и хочется вздремнуть. На самом деле, дневной сон очень полезен как для организма, так и для р...
BlessRNG или проверяем ГСЧ на честность В геймдеве часто нужно что-нибудь завязать на рандоме: у Unity для этого есть свой Random, а параллельно с ним существует System.Random. Когда-то давно на одном из проектов сложилось впечатление, что оба могут работать по-разному (хотя должны иметь равномерное распределени...
[Из песочницы] Фундаментальная проблема тестирования Введение Добрый день, хабровчане. Решал я тут давеча тестовое задание на вакансию QA Lead для одной финтех компании. Первая задача, составить тест-план с полным чек-листом и примерами тест-кейсов для проверки электрического чайника, решается тривиально: ГОСТ 7400-81. Электр...
Использование камеры Fish eye на Raspberry Pi 3 с ROS — часть 2 Добрый день уважаемые читатели Хабра! Это вторая часть рассказа об использовании fish eye камеры на Raspberry Pi 3. Первую часть можно найти здесь. В этой статье я расскажу о калибровке fish eye камеры и применении камеры в детекции объектов с помощью пакета find_object_2d. ...
10++ способов работать с аппаратными регистрами на С++ (на примере IAR и Cortex M) Рис. И. Кийко Всем доброго здравия! Помните наверное бородатый анекдот, а может быть и правдивую историю про то, как студента спрашивали о способе измерить высоту здания с помощью барометра. Студент привел, по-моему около 20 или 30 способов, при этом не назвав прямого(ч...
Укрощение Горыныча, или Декомпиляция eBPF в Ghidra Автор статьи Nalen98 Добрый день! Тема моего исследования в рамках летней стажировки «Summer of Hack 2019» в компании Digital Security была «Декомпиляция eBPF в Ghidra». Нужно было разработать на языке Sleigh систему трансляции байткода eBPF в PCode Ghidra для возможност...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...
Как открыть архив в iOS с приложением «Заметки» Не так давно мы рассказывали, как заархивировать файл на iOS и отправить его адресату. Но что делать, если архив получили вы? Открыть с помощью приложения «Файлы». Можно, но есть еще более простой способ. С архивами умеет работать стандартное приложение Заметки, которое рег...
Работа с форматом конфигураций 1С: Предприятие Решил опубликовать исходный код C# для работы с форматом конфигураций 1С: Предприятие. https://github.com/elisy/MdInternals MdInternals понимает формат cf, cfu, epf, erf, распаковывает содержимое в удобочитаемые Xml и текстовые файлы и загружает обратно. Позволяет програм...
Правда о железнодорожных тормозах: часть 3 — приборы управления Пришло время поговорить об устройствах, предназначенных для управления тормозами. Эти устройства называются «кранами», хотя долгий путь эволюции увел их достаточно далеко от кранов в привычном нам бытовом смысле, превратив в достаточно сложные устройства пневмоавтоматики. С...
Tic Tac Toe, часть 1 В статье "Сравнение: Svelte и React" я попробовал повторить разработку игры Tic Tac Toe. Там я выполнил только первую часть исходного туториала для React'а без поддержки истории ходов. В этой статье мы начнем разработку этой игры с применением фреймворка Svelte с поддержкой ...
В библиотеке libssh2 для Linux закрыли девять брешей Разработчики Linux-библиотеки libssh2 залатали девять уязвимостей в очередной версии продукта — 1.8.1. Эксплуатация брешей позволяла злоумышленникам выполнить вредоносный код на пораженном устройстве или вызвать отказ в обслуживании. Баги обнаружил ИБ-специалист компании Can...
CVE-2019-6111 и другие уязвимости в scp TL;DR; Совсем недавно ( примерно с 1983 года ) оказалось, что OpenSSH, как наследник rsh, для команды scp ( ex. rcp ) позволяет серверу выбрать, какой файл и с какими параметрами вам передать. А уязвимости вывода позволяют скрыть, какой именно файл вам передали. То есть прос...
Мгновенная настройка привычных файловых ассоциаций Автоматизировал задание файловых ассоциаций, то есть выбор программы которая будет открывать файл из Explorer/Finder. И делюсь. Сначала проблематика. Файлы нужных расширений часто не открываются по умолчанию ничем, а если открываются, то каким-нибудь iTunes. Под windows нужн...
Уязвимость в Android позволяет подменять сообщения в WhatsApp и Telegram Уязвимости на Android – изменчивы, многогранны и вечны. От них не спасают даже регулярные обновления безопасности, которые Google выпускает каждый месяц. Но если одни уязвимости дискредитируют саму операционку, то другие на корню подрывают доверие пользователей к сторонним ...
DisplayPort-LVDS Доброго времени суток, Хабр! И снова хочу предложить Вашему вниманию проект аппаратного конвертера, но теперь уже DisplayPort-LVDS построенный на одной (!) микросхеме Texas Instruments. Читать дальше →
Быстрое и надежное резервное копирование данных в облако 2 В моей предыдущей статье я описал пример скрипта, который может заархивировать и закинуть в облако определенный объем файлов пользователя без его участия, тем самым обеспечив простейшее резервное копирование файлов пользователя. Скрипт обеспечивает закрытие следующих вопросо...
ТЕСТ: Какой вы алкоголик? Алкоголь приходит на помощь, когда хочется хорошенько отдохнуть после тяжёлой трудовой недели, что-нибудь отметить или просто полечить израненное сердечко. Вот только последствия его употребления часто могут быть весьма неожиданными. Пройдите наш тест и узнайте, в кого вы пр...
Пользоваться ES File Explorer теперь опасно. В приложении найдены уязвимости Французский исследователь безопасности, известный под псевдонимом Эллиот Алдерсон (Elliot Alderson) обнаружил уязвимость в популярном файлменеджере ES File Explorer, которая позволяет получить доступ к данным других пользователей, подключенных к той же Wi-Fi сети. Всё, что д...
Обучение моделей TensorFlow с помощью Службы машинного обучения Azure Для глубокого обучения нейронных сетей (DNN) с помощью TensorFlow служба «Машинное обучение Azure» предоставляет пользовательский класс TensorFlow средства оценки Estimator. Средство оценки TensorFlow в пакете Azure SDK (не следует путать с классом tf.estimator.Estimator) по...
Application Security Manager. Разработчик или безопасник? Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно исп...
Уязвимость в WinRAR уже используется в атаках Исследователи обнаружили распространяемый через спам RAR-файл с вредоносным загрузчиком, который устанавливается на Windows посредством эксплуатации недавно опубликованной уязвимости в архиваторе WinRAR. Брешь проявляется при работе с ACE-файлами и позволяет распаковать их с...
Новый интерфейс Google Chrome разочаровал пользователей Начиная с версии Chrome 69, в браузере стали внедрять новый интерфейс. До Google Chrome 71 его можно было включить или выключить, но теперь старый интерфейс уже недоступен. И это вызвало возмущение многих пользователей. zdnet.com
Баг в прошивке видеокарт AMD Radeon допускает RCE Драйверы двух моделей видеокарт AMD Radeon содержат уязвимость, эксплуатация которой дает злоумышленнику возможность удаленно выполнить сторонний код через гостевой аккаунт виртуальной машины. К такому выводу пришли инженеры компании Talos, опубликовавшие описание бага. Эксп...
[Из песочницы] Сборка БЭМ-проекта при помощи Webpack В статье речь пойдет о сборке БЭМ-проектов с помощью бандлера Webpack. Я покажу один из примеров конфигурации, не нагружая читателей лишними сущностями. Материал подойдет тем, кто только начинает знакомство с БЭМ. Сначала коснемся теоретических аспектов методологии, а в раз...
iTunes открыл путь для вирусов на Windows Несмотря на то, что в новой OS Catalina компания Apple отказалась от iTunes, заменив её несколькими приложениями, версия для Windows не просто ещё доступна, но и может принести своим пользователям неприятный сюрприз, сообщает PCMag. Как выяснилось, созданная Apple программа ...
Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и ч...
Уязвимость в Apple iTunes позволяет запустить вредоносное ПО на компьютерах с Windows Шифровальщик-вымогатель BitPaymer/IEncrypt был обнаружен сотрудниками службы безопасности в компании Morphisec.
Преобразуем изображение в звук — что можно услышать? Привет Хабр. В недавней публикации здесь на сайте описывалось устройство, позволяющее незрячим людям «видеть» изображение, преобразуя его с помощью звуковых волн. С технической точки зрения, в той статье не было никаких деталей вообще (а вдруг украдут идею за миллион), но с...
Американец сделал дом на колёсах из старой машины скорой помощи Основные этапы превращения с фотографиями до и после.
[Из песочницы] Технологические соревнования Радиофест-2019 Дорогие друзья, мы рады сообщить, что в конце октября состоится Радиофест-2019 — технологические соревнования по радиотехнике. Все официальные нормативные документы, регламент с описанием конкурсных заданий и заявка на участие доступны на сайте тут, здесь же, на просторах Ха...
Настройка резервного копирования и восстановления Zimbra OSE целиком и отдельными ящиками, не используя Zexstras 1. С чего начать С чего начинается резервное копирование? Планирование. При резервировании любой системы, необходимо составить план резервного копирования: что именно, как часто, как долго хранить, хватит ли свободного пространства? Из ответов на эти вопросы вытекает ответ н...
[Из песочницы] Продвинутый Debug Debug Area — полезная функция в работе iOS разработчика в Xcode. Как только мы начинаем осваивать разработку под iOS, и пытаемся отойти от привычного и любимого print метода, и найти более быстрые и удобные методы понимания состояния системы в определенный период мы начинаем...
Удаляем лишние фичи и продукты, чтобы улучшить бизнес Юрий Андрейкович, Senior Product Manager в Wrike, рассказал на конференции ProductSense в Минске, когда и зачем надо удалять фичи из продукта. Я работаю в Wrike — это сервис для совместной работы и управления проектами. В Wrike более миллиона пользователей, но наши прямые...
Уязвимость в Instagram позволяет делиться приватными постами пользователей Издание BuzzFeed сообщило об уязвимости безопасности в Instagram, которая позволяет публично делиться приватными постами пользователей. В своём материале BuzzFeed показал, как с помощью нескольких кликов в любом браузере можно узнать URL закрытых записей и историй, которые х...
Найден старейший экземпляр таблицы Менделеева Разбиравший богатства доктор Алан Эйткен (Alan Aitken) помимо пробирок и реактивов обнаружил в чулане свернутую пачку учебных пособий явно многолетней давности. Его внимание привлекла таблица Менделеева, на которой не было элементов, открытых после 1885 года. Последующее изу...
Google выпустила первое обновление после релиза Android 10 Ежемесячные обновления Android не такие уж и ежемесячные Меня всегда очень веселит, когда в споре о безопасности iOS и Android, фанаты “зелёного робота” ссылаются на то, что Google, в отличие от Apple, каждый месяц выпускает обновления с баг-фиксами. Поэтому, считают они, An...
В Google Play нашли два вредоносных приложения с 1,5 млн загрузок В этих программах была реализована новая техника, которая позволяла тайно кликать на рекламные объявления без ведома пользователей.
[Из песочницы] Оформление PL/SQL кода и формирования PL/SQL документации (pldoc), аналогично JavaDoc Внутри команды нужно разработать свои стандарты и правила, а оформление документации — это одно из главных правил работы в команде. Ну, поехали… Ссылка на сам инструмент pldoc. По ссылки хорошо все расписано как работать и формировать документацию, но чтобы было проще приве...
Баги в USB-приемниках Logitech частично останутся без патчей Независимый ИБ-исследователь Маркус Менгс (Marcus Mengs) опубликовал информацию о серии уязвимостей в оборудовании Logitech. Баги позволяют злоумышленнику перехватывать данные, которые поступают на уязвимое устройство, незаметно для жертвы внедрять нажатия клавиш и захватыва...
[Из песочницы] Управление текстом и локализация в веб-приложении Доброго времени суток, хабравчане! В данной статье я расскажу о простом варианте решения задачи управления текстом и локализацией в веб-приложении, который вы сможете сами реализовать или же воспользоваться готовым. Давно хотелось поделиться собственными мыслями и опытом… н...
Замена дисплея на примере Meizu M6 Часто в ремонт приходят телефоны, для которых это не первое «посещение» сервисного центра. Наш Meizu M6 – как раз таки из этих «бывалых». Характерные трещины для дисплеев-аналогов (тонкое стекло, высокое образование стеклянной крошки), темно-синее окошко датчика…
Решение задания с pwnable.kr 11-coin1, 12-blackjack, 13-lotto. Ошибки в логике приложений В данной статье рассмотрим решения 3-х заданий с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях: ...
Вредоносное ПО AgentTesla распространяется по России Согласно отчету Global Threat Index, AgentTesla - усовершенствованная RAT, переводится как "Троян удаленного доступа" или "средство удалённого управления".AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредон...
Как снизить пинг в онлайн-играх на Windows при помощи Leatrix Latency Fix Быстрый интернет на территории пост-советских стран - достаточно дорогое удовольствие. Вследствие чего многие игроки из регионов, которые не могут позволить себе хотя бы условный 10-мегабитный интернет, страдают из-за высокого пинга и оправдывают ситуацию словами "да зачем м...
Уязвимость в iPhone позволяла сайтам узнать любого из вас С развитием интернета и онлайн-сервисов мы настолько привыкли к слежке в интернете, что стали называть ее просто сбором данных. В конце концов, зачем лишний раз накручивать себя, если противопоставить этому все равно нечего. Но деанонимизированные голосовые команды и клики ...
Найден новый способ взломать переписку пользователей Android Android-пользователям угрожает опасность взлома. Опять Существует масса способов взломать смартфон конкретного пользователя и получить доступ к его переписке и файлам, которые хранятся в памяти. Обычно этим занимаются троянские приложения, которые выдают себя за доброкачеств...
Патч для RCE-уязвимости в LibreOffice можно обойти В начале июля команда LibreOffice выпустила обновление для своего офисного пакета. В версии 6.2.5 разработчики закрыли две серьезных уязвимости, одна из которых давала злоумышленникам возможность удаленно получить полный доступ к компьютеру с помощью документа с вредоносным ...
Эксперты насчитали более 100 эксплоитов для уязвимости в WinRAR Обнаруженная в феврале уязвимость в WinRAR 19-летней давности уже активно используется преступниками. ИБ-специалисты насчитали более 100 уникальных эксплоитов.
Больше чем антиспам: как выжать максимум из Security Email Gateway Пока большой Enterprise выстраивает эшелонированные редуты от потенциальных внутренних злоумышленников и хакеров, для компаний попроще головной болью остаются фишинговые и спам-рассылки. Если бы Марти Макфлай знал, что в 2015 году (а уж тем более в 2020) люди не то что не из...
В Android обнаружили уязвимость нулевого дня Исследователи Google Project Zero нашли в ядре Android уязвимость, с помощью которой можно получить root-доступ к мобильному устройству. По словам аналитиков, как минимум один эксплойт на ее основе уже применяется в кибератаках. Как работает обнаруженная 0-day в Android Уязв...
Cisco пропатчила роутеры, WSA, ПО для конференц-связи На этой неделе компания Cisco Systems выпустила очередной набор заплат, закрыв два десятка уязвимостей в разных продуктах. Степень опасности 12 багов оценена как высокая, остальных — как умеренная. Наиболее серьезны проблемы, выявленные в программном обеспечении маршрутизато...
В очередной версии Google Chrome закрыли 60 уязвимостей Компания Google выпустила обновление для своего браузера Chrome. В версии 73 исправили 60 багов, ни один из которых не является критическим. Недавно обнаруженную 0-day, которая давала преступникам возможность выполнить произвольный код, уже закрыли в версии 72.0.3626.121. Ch...
Automator: Как создать умную папку Многие пользователи не догадываются, какие обширные возможности предоставляет такой мощный инструмент, как Automator. На первый взгляд программа достаточно сложна в освоении, однако разобравшись, можно увидеть, что управление происходит довольно интуитивно и наглядно. Сегод...
3. Типовой сценарий внедрения Check Point Maestro В прошлых двух статьях (первая, вторая) мы рассмотрели принцип работы Check Point Maestro, а также технические и экономические преимущества этого решения. Теперь хотелось бы перейти к конкретному примеру и описать возможный сценарий внедрения Check Point Maestro. Я покажу ...
Microsoft устранила баг 0-day, уже используемый в атаках Февральский набор обновлений для продуктов Microsoft устраняет два десятка критических уязвимостей. Четыре закрываемых бреши, степень опасности которых признана высокой, уже стали достоянием общественности. Пропатчена также уязвимость нулевого дня в Internet Explorer, уже вз...
Кодировки, шифр сдвига, брут хешей и создание картинки с помощью PIL python. Решение задач с r0от-мi Cryto. Часть 1 Данная статья содержит решений заданий Encoding ASCII и Encoding UU направленные на кодировки, Hash Message Digest 5 и Hash SHA-2 — на нахождение прообраза хеша, Shift cipher — шифр сдвига, и Pixel Madness — на составление картинки. Организационная информацияСпециально дл...
Функция buildargv с помощью Ragel Забавное использование Ragel State Machine Compiler для создания функции разбора строки на int argc, char *argv[]. Все началось с того, что понадобилась функция buildargv, чтобы разбирать строку для последующей передачи в int main (int argc, char *argv[]) { body } Ну ладно п...
В RDP-клиентах для Windows и Linux нашли десятки уязвимостей Популярные RDP-клиенты для удаленного администрирования обладают уязвимостями, которые позволяют злоумышленникам проводить реверсивные атаки или получить несанкционированный доступ к файлам через общий буфер обмена. К такому выводу пришли ИБ-специалисты компании Check Point ...
Инженер Google обнаружила критическую уязвимость в iMessage Инженер по вопросам безопасности Google Project Zero Наталья Сильванович обнаружила критическую уязвимость в iMessage, через которую можно было получить доступ к данным, хранимым на iPhone. Всего за период с апреля по июнь 2019 года Наталья и её коллега, Samuel Groß, нашли ...
Погружаемся в opensource-экосистему Android Disclaimer о том, что пост не призывает к радикальным формам фанатизмаКаждый выбирает свой "уровень погружения". Вам не обязательно следовать каждому пункту из этого поста. Моя цель — показать, насколько хорошо развита экосистема на данный момент и чего вы можете и не можете...
Dropbox ограничивает синхронизацию: теперь всего 3 устройства Сервис Dropbox весьма удобен — с его помощью можно хранить в облаке довольно много данных, причем все они доступны с любого подключенного к облаку девайса. Вернее, были доступны — несколько дней назад сервис установил новое ограничение: владельцам бесплатных аккаунтов тепе...
Эти приложения крадут ваши данные. Срочно удалите их! Уже не первый раз в магазин приложений от Google попадают программы, которые наносят вред вашему смартфону и могут выкрасть конфиденциальную информацию. Вот и недавно исследователи из Digital Security обнаружили ранее неизвестный тип рекламного вредоносного ПО в более, чем ...
Cisco пропатчила опасные уязвимости в IP-телефонах Компания Cisco Systems пропатчила пять серьезных уязвимостей, объявившихся в ее IP-телефонах бизнес-класса. Пользователям затронутых устройств настоятельно рекомендуется обновить прошивки. Наличие уязвимостей подтверждено для некоторых моделей стационарных телефонов серии 88...
Уязвимость в Thunderbolt позволяет получить доступ к данным пользователя Некоторое время назад специалисты из Кембриджского университета, Университета Райса и SRI International обнаружили в интерфейсе Thunderbolt уязвимость, которая позволяет получить доступ к пользовательским данным, хранящимся в памяти яблочных компьютеров, а также внедрить в с...
[Из песочницы] Кое-что об inode Периодически, с целью переезда в ЦРС собеседуюсь в разных крупных компаниях, в основном питера и москвы на должность DevOps. Обратил внимание, что во многих компаниях (во многих хороших компаниях, например в яндексе) задают два сходных вопроса: что такое inode; по каким ...
[Из песочницы] IBM Integration Bus и с чем его едят Добрый день, уважаемый читатель. Существует такой класс продуктов как ESB. Как упоминается в Википедии это — связующее программное обеспечение, обеспечивающее централизованный и унифицированный событийно-ориентированный обмен сообщениями между… и далее по тексту. Примеров...
[Из песочницы] Прокачиваем разработку на Vue с помощью паттернов: HOC Паттерн HOC (Higher Order Component) очень популярен у React-разработчиков. А вот Vue-разработчики его как-то обходят стороной. Очень зря. Попробуем разобраться в этом. Читать дальше →
Третья уязвимость Steam Windows Client, но не 0day В предыдущих сериях Не так давно я рассказал о двух уязвимостях Стима: CVE-2019-14743 и CVE-2019-15316. Там была целая история о том, как я пытался зарепортить их, у меня не получалось, меня забанили, и только после публичного раскрытия и помощи сообщества удалось достичь ре...
[recovery mode] Команда Google Project Zero нашла серьезную уязвимость в ядре macOS Команда Google Project Zero хорошо известна своим умением находить недостатки безопасности как в собственных продуктах компании, так и в продуктах других фирм. Её члены обнаруживают недостатки в программном обеспечении, сообщают о них производителям в частном порядке и дают ...
В «Пятерочке» появились электронные ценники Вы могли и не заметить изменения, так как на первый взгляд они очень похожи на старые добрые бумажки, однако теперь там электронная бумага с тремя видами чернил. Таким образом наконец можно будет избавиться от несоответствия указанных цен за товар.
Обзор Orico 2588US3. Внешний корпус для SSD/HDD 2.5" Согласитесь, обычные USB-носители не могут похвастаться своей большой памятью, что не позволяет хранить в них информацию с большим объемом. На помощь приходят жесткие диски SSD/HDD. Для их подключения к ПК или ноутбуку необходимы специальные боксы. Сегодня мы бы хотели предс...
На популярном торрент-трекере обнаружено многоуровневое вредоносное ПО PirateMatryoshka распространяется под видом взломанных версий платных программ. Её находят на торренте, скачивают и затем запускают, тем самым открывая путь на компьютер троянцу, цель которого - осуществить скрытую загрузку вредоносного контента. Бдительность пользователя у...
В Android нашли опасную уязвимость Брешь в защите ОС позволяет злоумышленникам вставлять поддельные экраны авторизации в легитимные приложения для кражи учетных данных.
В продуктах Cisco объявились новые уязвимости Компания Cisco Systems обнародовала две уязвимости, затрагивающие миллионы сетевых устройств. Одна из них связана с работой механизмов безопасной загрузки системы (Secure Boot) и пока не пропатчена. Другая объявилась в пользовательском веб-интерфейсе устройств, работающих по...
[Перевод] IntelliSense для C++ в Visual Studio теперь работает на основе примеров в вашем коде С тех пор, как мы анонсировали IntelliSense for templates, от вас поступили отличные предложения. Одно очень популярное предложение состояло в том, чтобы Template Bar автоматически заполнял вариант на основе примеров в коде. В Visual Studio 2019 версии 16.1 Preview 2 мы доба...
В Голландии арестовали создателя билдеров Rubella и Cetan Государственная прокуратура Нидерландов сообщила о задержании предполагаемого разработчика программ-компоновщиков вредоносных документов. Согласно заявлению, 20-летний житель Утрехта распространял билдеры Rubella, Cetan и Dryad на теневых форумах. Полиция изъяла у него крипт...
Apple готовит такую вкусную пиццу, что её назвали лучшей в США Сотрудники Apple рассказали, что компания готовит очень вкусную пиццу. Некоторые называют её лучшей в США. Apple серьёзно относится к приготовлению пиццы. В старой штаб-квартире была дровяная печь, а дизайнеры придумали специальную упаковку, которая лучше сохраняет теп...
Как конвертировать видео в GIF-анимацию при помощи WhatsApp Один из самых популярных на сегодняшний день мессенджеров WhatsApp продолжает обрастать функциями, о которых большинство пользователей даже не догадываются. Когда в конкурирующих Telegram и Viber появились стикеры, многие упрекали разработчиков в том, что они до сих пор не ...
Google выпустила июльские патчи для Android Новый набор заплат для Android закрывает 33 уязвимости, в том числе девять критических. Из последних три содержатся в фреймворке мультимедийных приложений (Media framework), одна — в компоненте уровня System, остальные — в компонентах производства Qualcomm Technologies. Наиб...
Как выглядит zip-архив и что мы с этим можем сделать Доброго времени суток, уважаемый Хабр! За последние пол года кривая дорожка моих пет-проектов завела меня в такие дебри, откуда до сих пор выбраться не представляется возможным. И начиналось то все безобидно — сайт с картинками, но чувство перфекционизма, погоня за халявой,...
Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...
[Перевод] Тестирование инфраструктуры как код с помощью Pulumi. Часть 2 Всем привет. Сегодня делимся с вами заключительной частью статьи «Тестирование инфраструктуры как код с помощью Pulumi», перевод которой подготовлен специально для студентов курса «DevOps практики и инструменты». Тестирование развертывания Рассмотренный стиль тестирования —...
[Перевод] PowerShell в роли инструмента для пентеста: скрипты и примеры от Varonis Хакеры любят использовать PowerShell для запуска «fileless malware» — бестелесных вредоносных программ, которые не являются традиционными бинарными файлами с компилированным вредоносным кодом, и по этой причине подчас не могут быть обнаружены антивирусными решениями. Powe...
VMWare пропатчила баги, вскрытые в ходе Pwn2Own 2019 Компания VMware пропатчила критические уязвимости в программных продуктах Workstation, ESXi и Fusion. Баги позволяли злоумышленнику выполнить вредоносный код на устройстве, добиться отказа в обслуживании и использовать в своих целях API гостевой машины. Заплатки доступны пол...
Что такое троян, бэкдор и уязвимость нулевого дня Среднестатистический интернет-пользователь имеет довольно смутное представление о том вредоносном ПО, с которым ему так или иначе приходится контактировать едва ли не каждый день. В материале ниже попробуем разобраться с некоторыми вполне актуальными угрозами, избегая сложны...
Какие мультфильмы интересны новому поколению В ярком и зрелищном мире мультфильмов не все так бесспорно, как хотелось бы. Родители, педагоги и психологи иногда вступают в дискуссии о том, чего больше от них — пользы или вреда? Если не пускать просмотр фильмов на самотек, лишь бы чем-то занять детей, а правильно организ...
Неидейный бизнес «Наш главный актив — люди». Эта хрень написана, наверное, на сайте каждой компании. Только почему-то этот актив используется только… Стоп, дальше не важно. Только используется. Стоит за станком, сидит за компьютером, лежит под машиной. Желательно – молча. А что будет, если ...
Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...
Находим текст на вывесках и упаковках с помощью смартфона Проблема автоматического поиска текста на изображениях существует достаточно давно, как минимум с начала девяностых годов прошлого века. Они могли запомниться старожилам повсеместным распространением ABBYY FineReader, умеющим переводить сканы документов в их редактируемые ва...
GandCrab распространяется через вики-систему Confluence Злоумышленники используют RCE-уязвимость в Atlassian Confluence для распространения шифровальщика GandCrab. Заплатка для бреши CVE-2019-3396 вышла 20 марта, однако далеко не все пользователи вики-системы успели ее установить. Согласно отчету ИБ-компании Alert Logic, начало в...
[Что не так с GraphQL]… И как с этим бороться В прошлом материале, мы рассмотрели неудобные моменты в системе типов GraphQL. А теперь мы попробуем победить некоторые из них. Всех заинтересованных, прошу под кат. Читать дальше →
Охота за ошибками, Blind-XSS и лисьи хитрости Лисы знают толк в охоте :) Многие наверняка уже слышали о BugBounty, поиске уязвимостей с вознаграждениями и сопутствующих историях об этом. Я, как один из «охотников за ошибками», начал свой путь чуть больше года назад на площадке HackerOne. За это время мне удалось много...
«Секретики» DPAPI. Взгляд на осла В дополнение к нашей прошлой статье про расшифровку DPAPI-блобов расскажем еще о двух случаях, с которыми нам пришлось столкнуться. Речь пойдет о сохраненных паролях в браузерах MS IE11 и Edge. Стратегия остается прежней – будем все расшифровывать в режиме offline. Для это...
[Перевод] Samsung SSD 860 QVO 1 ТB и 4 ТB: первый потребительский SATA QLC (2 часть) Часть 1 Часть 2 Произвольное чтение В первом тесте производительности произвольного чтения используются очень короткие пакеты операций, выполняемые по одному, без очереди. Накопители имеют такое время простоя между пакетами, чтобы рабочее время составило 20%, поэтому термич...
[Из песочницы] Функциональные компоненты с React Hooks. Чем они лучше? Относительно недавно вышла версия React.js 16.8, с которой нам стали доступны хуки. Концепция хуков позволяет писать полноценные функциональные компоненты, используя все возможности React, и позволяет делать это во многом более удобно, чем мы это делали с помощью классов. М...
[Из песочницы] Изоморфизм спешит на помощь «Изоморфизм» — одно из базовых понятий современной математики. На конкретных примерах на Haskell и C# я не только растолкую теорию для нематематиков (не используя при этом никаких непонятных математических символов и терминов), но и покажу как этим можно пользоваться в повсе...
США обвинили двух румын в заражении вредоносными программами более 400 000 компьютеров Два гражданина Румынии обвинены в США во взломе огромного количества компьютеров и хищении данных кредитных карт и другой конфиденциальной информации. Как утверждается, 37-летний Раду Миклаус и 36-летний Богдан Николеску похитили данные кредитных карт и другую конфиденц...
[Перевод] Программный поиск общего кода с помощью oEmbed Всем доброго времени суток! Хочу поделиться переводом статьи ""Programmatically Discovering Sharing Code With oEmbed" автора Drew McLellan. Введение На многих сайтах размещены мультимедиа и контент, которыми можно поделиться в другой платформе с помощью некоторого HTML-кода...
[Из песочницы] Redux — Не нужен! Заменяем с помощью useContext и useReducer в React? Доброго времени суток, Хабровчане! Хочу рассказать о том, как я недавно узнал о неких "хуках" в React. Появились они относительно недавно, в версии [16.8.0] от 6 февраля 2019 года (что по скоростям развития FrontEnd — уже очень давно) Прочитав документацию я заострил свое в...
Вся мощь IntelliJ IDEA на примере одного языка (в картинках) Классическая модель разработки любых приложений подразумевает наличие хорошей документации по пользовательскому интерфейсу и API, а также, при необходимости, хорошего покрытия исходного кода комментариями. В этом случае, доработка системы начинается с изучения документации, ...
Уязвимость BearLPE в Windows получила микропатч Команда 0patch из компании ACROS Security выпустила свою заплатку для уязвимости в планировщике задач Windows 10, не дожидаясь выхода официального патча. Эксперты также раскрыли некоторые технические детали проблемы. Брешь нулевого дня, получившая название BearLPE, выявила и...
Жизненный цикл ML в боевых условиях В реальном внедрении ML само обучение занимает от силы четверть усилий. Остальные три четверти — подготовка данных через боль и бюрократию, сложный деплой часто в закрытом контуре без доступа в интернет, настройка инфраструктуры, тестирование и мониторинг. Документы на сотни...
Чёрная Пятница: Развод и обман? В последнее время все активно следят за Чёрной Пятницей, но если одни ждут громадные скидки на товары, другие во всём ищут обман и подвох. Так это или нет, имеет ли смысл охотиться за гаджетами на Чёрную Пятницу и какие разводы ждут нас всех — мы решили разобраться! В...
Некоторые аспекты оптимизации LINQ-запросов в C#.NET для MS SQL Server LINQ вошел в .NET как новый мощный язык манипуляции с данными. LINQ to SQL как часть его позволяет достаточно удобно общаться с СУБД с помощью например Entity Framework. Однако, достаточно часто применяя его, разработчики забывают смотреть на то, какой именно SQL-запрос буде...
Хакеры используют популярный сервис Google для распространения вирусов Кибрпреступники нашли новый способ распространения программ, содержащих вредоносный код — с помощью сервиса Google Alerts.
[Перевод] Как запустить несколько пайплайнов с помощью GitLab CI/CD Запуск и визуализация пайплайнов при настройке GitLab CI/CD для нескольких проектов. Непрерывная интеграция (CI) — это практика автоматизации сборки и тестирования кода до его слияния с основной веткой. Она позволяет разработчикам вливать код довольно часто и рано, снижая п...
Разбираем концовку «Чужого» Привет, %username%. Я, как обычно, не успокоюсь. А всему причина пентафторид иода и прошлая статья! В общем, все мы (надеюсь) помним начало творчества Ридли Скотта и просто потрясающий фильм «Чужой», который я рекомендую, несмотря на то, что он 1979 года. К концу этой с...
Площадка для летних мероприятий В прошлом году, когда мы запустили в поселке летнюю школу программирования, к нам обратилось несколько человек с предложением о проведении своих мероприятий на нашей базе. Имеющаяся на тот момент инфраструктура не позволяла проведение других мероприятий одновременно со школо...
Музей DataArt. Распаковываем и запускаем «Радио-86РК» Коллекцию DataArt пополнил уникальный экспонат — тестовый образец персонального компьютера «Радио-86РК», предназначенного для сборки радиолюбителями. Мы попросили Глеба Ницмана — идеолога нашего музея — выступить в традиционном для видеоблогеров жанре «распаковки». Читать ...
[Из песочницы] Deploy Symfony + React приложения на AWS посредством CI Добрый день, в данной статье я покажу как развернуть Symfony 4 приложение на AWS. В официальной документации есть пример подобного процесса, однако мой вариант не столь тривиален, как загрузка zip архива с приложением. На дворе 2019, в моде docker, микросервисная архитектура...
Обзор HIPER TWS SPORT. Беспроводные наушники для фитнеса и спорта Большинство беспроводных наушников формата TWS ориентированы на обычную повседневную эксплуатацию в качестве разговорной гарнитуры и, к сожалению, не позволяют комфортно заниматься фитнесом и спортом. Тестируемые сегодня наушники HIPER TWS SPORT сохраняя преимущество в виде ...
Системная утилита HP допускает подмену DLL Специалисты HP залатали опасный баг в приложении Touchpoint Analytics Client. Уязвимость позволяла злоумышленнику повысить свои привилегии на целевом компьютере и выполнить вредоносный код с системными правами. Исследователи компании SafeBreach, обнаружившие недостаток, раск...
MOBILE FIRST: Hackathon в OZON Когда релиз раз в две недели, новые фичи приходят от бизнеса, и технический долг требует свое — приходит время хакатона. Меня зовут Дмитрий Антышев, я iOS-разработчик в OZON, расскажу о том, как 27 февраля мы провели первый хакатон для мобильной команды. Читать дальше →
Антивирусное ПО от Xiaomi позволяло взломать миллионы смартфонов Приложение Guard Provider для поиска вредоносного программного обеспечения, которое Xiaomi устанавливает на свои смартфоны, само оказалось уязвимым для хакерских атак. Об этом сообщили исследователи компании Check Point. Они проанализировали устройство утилиты и пришли к вы...
Эксперты сообщили о росте числа атак на промышленные системы Аналитики «Лаборатории Касперского» изучили угрозы для систем промышленной автоматизации (АСУ) во второй половине 2018 года. По сведениям экспертов, в России за этот период вредоносные объекты были обнаружены почти на половине компьютеров. Данные для отчета собраны...
Существенно ускоряем выполнение задач на примере дополнительной настройки обновленной памяти HyperX FURY DDR4 Выбор оперативной памяти для рабочего или игрового ПК – головная боль для тех, кто хочет одновременно получить максимум производительности и не опустошить свой кошелёк. Нет, сегодня мы не будем в очередной раз говорить «такая-то память стоит столько и является оптимальным вы...
Как удалить вирус с рекламой на весь экран с Android-телефона? Очень часто со мной связываются знакомые, описывающие проблему со смартфоном. И почти всегда это касается рекламных вставок на весь экран, которые появляются совершенно случайно и мешают использованию устройства. Проблема заключается в том, что до настоящего момента не было...
43% приложений для Android и 35% для iOS содержат уязвимости Компания Positive Technologies провела исследование приложений Android, представленных в Google Play, и приложений iOS из Apple Store, чтобы выяснить, какую угрозу они представляют для безопасности пользователей. В результатах исследований говорится о том, что 43% прило...
Не сканированием единым, или как построить процесс управления уязвимостями за 9 шагов 4 июля мы проводили большой семинар по управлению уязвимостями. Сегодня мы публикуем расшифровку выступления Андрея Новикова из Qualys. Он расскажет, какие этапы нужно пройти, чтобы выстроить рабочий процесс управления уязвимостями. Спойлер: до сканирования мы доберемся толь...
В iOS 13 и iPadOS нашли серьезную уязвимость Блогеры обратили внимание на существенную уязвимость, которая была обнаружена в операционных системах iOS 13 и iPadOS. Она позволяет злоумышленникам подсмотреть пароли пользователя в приложении Настро...
Финансовая ловушка в Яндекс.Деньги Привет, Хабр! Хотел бы поделиться с вами одной особенностью Яндекс.Денег, которая выглядит, как ловушка для ваших денег и, на мой взгляд, является хорошим примером непродуманного UX. Хочется верить, что это было сделано не нарочно, а эта небольшая статья или как-то оградит ч...
[Перевод] Часто задаваемые вопросы о системах типов Автор статьи, перевод которой мы сегодня публикуем, говорит, что источником вдохновения для её написания послужил этот пост и комментарии к нему. По его словам, IT-специалисты имеют неправильные представления о типах, используют некорректную терминологию и, обсуждая вопросы,...
Победа на PHDays 9. Делимся лайфхаками в трёх частях. Часть 3 Всем привет! Прошло уже несколько недель с момента нашей победы, эмоции схлынули, поэтому время браться за оценку и разбор того, что у нас не получилось. В нашей работе не важно — победили мы в соревновании или нашли уязвимость в реальном проекте, но всегда важно провести ра...
Удалите это Android-приложение. Оно распространяет вирусы Вирусы для Android — везде, даже в Google Play Думаю, не ошибусь, если предположу, что большинство наших читателей используют для загрузки приложений только Google Play. Самый распространённый довод в пользу фирменного каталога Google – это безопасность. Многим кажется...
Новая критическая уязвимость в ОС Windows может вызвать эпидемию масштаба WannaCry и Petya Cогласно информации, предоставленной компанией Microsoft, для успешной атаки злоумышленнику необходимо лишь иметь сетевой доступ к компьютеру или серверу с уязвимой версией операционной системы Windows. Для эксплуатации уязвимости злоумышленнику достаточно отправить специаль...
Новая уязвимость позволяет шпионить за устройствами Apple по Bluetooth В это сложно поверить, но за последние пару месяцев в устройствах Apple было обнаружено столько уязвимостей, сколько не удавалось обнаружить за несколько лет. Сначала приложение «Локатор» давало посторонним людям возможность отслеживать потерянные устройства, подающие сигна...
[Из песочницы] Создание слайдера диапазона значений для фильтра без использования Jquery Очень часто на сайтах интернет-магазинов, и не только, можно фильтры со слайдером выбора диапазона значений. В одном из проектов мне тоже понадобилось сделать такой слайдер. Первое, что приходит в голову — найти уже готовый и вставить себе на сайт. Тут то я и столкнулся с п...
Сотрудник Google сумел взломать iOS 12 Йен Бир, сотрудник команды Google Project Zero, занятой исследованиями в области информационной безопасности, обнаружил уязвимость в iOS 12.1.2, которая может использоваться для взлома операционной системы. Об этом исследователь сообщил в официальном блоге проекта. На основ...
[Из песочницы] Rabbit MQ в системе обработки обращений жителей Недавно успешно сдали пользователям в эксплуатацию систему обработки обращений граждан. Суть такая, что когда у вас нет дома воды, отопления или рядом с вашим домом огромная яма на дороге, вы можете пожаловаться на проблему в гос.органы. Есть разные площадки, где можно под...
[Перевод] Как увеличить стартап до 50 сотрудников, не утратив культуру Важные шаги, которые необходимо предпринять на этапах первоначального роста компании Один из самых недооцененных секретов успешного стартапа — умение не просто сделать хороший продукт, но и построить отличную компанию. Эти два аспекта тесно переплетаются: стартап не будет...
5 типовых задач на собеседованиях по JavaScript: разбор и решения От переводчика: опубликовали для вас статью Марии Перна (Maria Antonietta Perna), которая рассказывает о типовых задачах по JavaScript, чаще всего предлагаемых соискателям-разработчикам на собеседованиях. Статья будет полезна, в первую очередь, начинающим программистам. ...
Устойчивость обучения GAN (Копаем глубже) В предыдущей статье на примере игрушечных моделей я попытался проанализировать почему же, собственно, у нас получается достаточно эффективно обучать GAN’ы. Сейчас же мы попробуем обобщить некоторые результаты и, самое главное, попробуем проанализировать как влияет архитект...
Почему нельзя выбрасывать старую бытовую технику? Что делать со старой техникой и электроникой? Когда люди решаются купить новую бытовую технику, старую часто несут на свалку. Рассказываем, почему не...
Критическая уязвимость MacOS Mojave активно эксплуатируется злоумышленниками Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения. Читать дальше →