[Перевод] Про SSH Agent Введение SSH-agent является частью OpenSSH. В этом посте я объясню, что такое агент, как его использовать и как он работает, чтобы сохранить ваши ключи в безопасности. Я также опишу переадресацию агента и то, как она работает. Я помогу вам снизить риск при использовании пере...
Google превзошла Apple в безопасности Резервные копии Android оказались защищены лучше, чем iOS Исторически так сложилось, что многие функции iOS сначала появлялись именно на Android. Не будем наклеивать ярлыки и обвинять одних в копировании идей других, в конце концов, большое значение имеет именно реализация, ...
Zabbix под замком: включаем опции безопасности компонентов Zabbix для доступа изнутри и снаружи А не пришло ли время разобраться и навести наконец-то порядок с безопасностью в мониторинге? Тем более, в одной из популярных систем мониторинга и встроенная возможность такая имеется. На схеме видно, что зашифровать можно почти все потоки внутри Zabbix. В этой статье мы ...
Компания SplashData опубликовала список самых популярных паролей в мире. «123456» по-прежнему лидирует Компания SplashData опубликовала ежегодный список самых популярных и, следовательно, худших с точки зрения информационной безопасности паролей года, составляемый на основе утечек данных интернет-сервисов. Как и в предыдущих шести списках, самым популярным оказался пароль 123...
[Перевод] Как использовать MySQL без пароля (и рисков для безопасности) Говорят, что луший пароль — тот, который не надо запоминать. В случае с MySQL это реально благодаря плагину auth_socket и его версии для MariaDB — unix_socket. Оба эти плагина — вовсе не новы, о них много говорилось в этом же блоге, например в статье о том, как изменять пар...
Настройка аутентификации в сети L2TP с помощью Рутокен ЭЦП 2.0 и Рутокен PKI Проблематика Ещё совсем недавно многие не знали, как это — работать из дома. Пандемия резко изменила ситуацию в мире, все начали адаптироваться к сложившимся обстоятельствам, а именно к тому, что выходить из дома стало просто небезопасно. И многим пришлось быстро организовы...
Персональные данные 74% населения Израиля оказались в открытом доступе О том, что база данных, содержащая имена, адреса, серии и номера удостоверяющих личности документов, номера телефонов, домашние адреса, возраст, пол, а также политические взгляды около 6,5 млн избирателей, первым сообщил израильский разработчик Ран Бар-Зик (Ran Bar-Zik). Зат...
[Из песочницы] Используем passwordstore.org — менеджер паролей в стиле KISS Всем привет. В этой статье я хотел бы поделиться своим опытом настройки и использования pass — менеджера паролей для Linux и не только, примечательного своей простотой, использованием уже присутствующих в системе инструментов и возможностью работать исключительно из консоли....
Авторизация на сетевом оборудовании через SSH с помощью публичных ключей По умолчанию инженеры подключаются к сетевому оборудованию с помощью имени пользователя и пароля. По протоколу Telnet учетные данные пользователя передаются в открытом виде, а по протоколу SSH в зашифрованном. Чтобы не передавать секретную часть по сети, используется автор...
В Zoom 5.0 улучшили систему безопасности После нескольких скандалов, связанных с вопросами безопасности данных пользователей популярного сервиса видеоконференций, разработчики анонсировали Zoom 5.0. Самым главным нововведением стала поддержка более надежного шифрования. После обновления до версии Zoom 5.0 программа...
12345: самые популярные и самые небезопасные пароли Если один из ваших паролей есть в списке ниже, то для вас это плохая новость — придумайте новый пароль, чтобы сохранить свои данные в безопасности. ...
Шифрование FileVault на Mac: что это такое и нужно ли включать? Сегодня большинство пользователей считают, что их данные более-менее защищены, если для входа в учетную запись надо ввести пароль. Вот только такой способ все же не совсем безопасный. Есть немало способов сброса пароля пользователя, что даст возможность получить доступ ко вс...
[Перевод] Взлом ESP32 путём обхода Secure Boot и Flash Encryption (CVE-2020-13629) Мы провели исследование микроконтроллера Espressif ESP32 на предмет устойчивости к атакам, выполняемым методом внесения сбоев в работу чипов (Fault Injection). Мы постепенно шли к тому, чтобы найти уязвимости, которые позволят нам обойти механизмы защищённой загрузки (Secure...
В детских умных часах обнаружена уязвимость, позволяющая злоумышленникам следить за детьми Компания Rapid7, работающая в сфере кибербезопасности, выявила уязвимость в ряде детских умных часов с поддержкой GPS. Исследователи приобрели на сайте Amazon часы трех марок: Children's SmartWatch, G36 Children's Smartwatch и SmarTurtles Kid's Smartwatch. И...
Hack The Box — прохождение Postman. Redis и WebMin Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье нам придется проэксплуатировать уязвимости в Redis и WebMin, а также подобрать пароль к зашифрованному ключу...
Этичный хакер выявил уязвимость в процессах HackerOne Операторы портала HackerOne выплатили $20 тыс. исследователю, обнаружившему серьезную уязвимость в их собственной платформе для хостинга программ bug bounty. Выявленный недостаток позволял атакующему получить доступ к отчетам клиентов сервиса и другой конфиденциальной информ...
Страшный сон TPM. Взламываем защиту модулей TPM и шифрование BitLocker Для подписчиковМодули TPM часто используются для шифрования дисков с помощью BitLocker даже без ведома пользователя. Система загружается и зашифрованный том разблокируется настолько прозрачно, что пользователь может и не подозревать, что накопитель в его устройстве зашифрова...
Как перенести пароли из Google Chrome в iCloud Недавно компания Apple выпустила финальную версию macOS 10.15.4, которая принесла с собой немало мелких изменений и фиксов. Однако для многих едва ли не самым удобным нововведением, сделанным в новой версии macOS, стала возможность импорта паролей из Google Chrome в Связку к...
Соцсеть Whisper хранила данные сотен миллионов пользователей в открытом доступе Конфиденциальная информация пользователей анонимной социальной сети Whisper хранилась в незащищенной паролем онлайн-базе. Об этом The Washington Post сообщили независимые исследователи по кибербезопасности из Twelve Security. С момента запуска приложения в открытый доступ по...
2 в 1: шифрование с имитозащитой Классическими задачами, которые решаются криптографическими методами, являются обеспечение конфиденциальности и обеспечение аутентичности/имитостойкости хранимых и передаваемых данных. Ранее (примерно до середины 2000-х годов) для решения подобных задач использовались шифров...
[Перевод] 10 практических рекомендаций по безопасности образов Docker. Часть 2 Перевод статьи подготовлен специально для студентов курса «Безопасность Linux». Читать первую часть 5. Не оставляйте чувствительные данные в образах Docker Иногда при создании приложения внутри образа Docker вам нужны такие секретные данные, как приватный SSH-ключ для извл...
Как запретить покупки в App Store по Face ID Изначально можно отключить подтверждение покупок в меню Настройки – Face ID и код-пароль – iTunes Store и App Store. Есть способ отключить подтверждение покупок по Face ID и другим способом. 1. Можно перейти в меню Настройки – Универсальный доступ – Боков...
Повышение привилегий в Windows клиенте EA Origin (CVE-2019-19247 и CVE-2019-19248) Приветствую всех, кто решил прочитать мою новую статью с разбором уязвимостей. В прошлый раз небольшим циклом из трех статей я рассказал об уязвимостях в Steam (1, 2 и 3). В данной статье я расскажу об уязвимостях похожего продукта — Origin, который тоже является лаунчером д...
Способы защиты RDP Использование управления удаленным рабочим столом – это возможность получить доступ к любому ПК или серверу в любой точке мира. Выполняется RDP-соединение при помощи технологии RDP (Remote Desktop Protocol). Данная функция поддерживается не только настольными компьютерами, н...
Chrome предупредит об украденном пароле до входа на сайт Если вы типичный интернет-пользователь, не имеющей привычки использовать различные менеджеры паролей и двухфакторную аутентификацию для входа на сайты, скорее всего, некоторые ваши логины и пароли уже давно утекли в сеть. В Google понимают сложившуюся ситуацию, в связи с чем...
Как спрятать файлы на Android от посторонних У многих из нас есть личные файлы. Есть приложения, которые позволяют их надежно скрыть Многим из нас есть, что скрывать. Вероятно, в в памяти вашего смартфона тоже есть фотографии, видео и другие файлы, которые не стоит видеть посторонним. Несмотря на то, что подавляющее бо...
Как включить шифрование в JetBrains Projector Projector — это способ запускать IntelliJ IDEA на удалённом сервере. Недавно я писал об этом статью, но умолчал о важной для любого параноика вещи — шифровании данных на вебсокете. Генерация и подкладывание ключей — довольно муторный кусок работы. Тут придётся познакомиться ...
IM-мессенджер на своем сервере со сквозным шифрованием На сегодняшний день, очень много IM-мессенджеров предлагают end-to-end шифрование, но вариантов, которые можно быстро развернуть на своем сервере гораздо меньше. Изучая варианты, мой взгляд упал на Delta Chat, о котором на Хабре уже упоминали — мессенджер без централизов...
HackTheBox. Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье получим RCE в веб-сервере nostromo, получим оболочку meterpreter из под активной сессии metasploit, покопаемся в конфигах nostromo, побрутим пароль шифрования SSH ключа и...
Настройка окружения в CLI. WSL / Windows Terminal Есть люди, которые большинство рабочего времени проводят в консоли, есть те, кто пользуются терминалом при необходимости, запуская что-то по инструкциям. Но я думаю, что каждый айтишник, будь он разработчиком, сисадмином, сетевым инженером, или даже senior yaml developer`ом,...
[Перевод] Какова оптимальная длина пароля? Конечно, чем больше, тем лучше. И с помощью менеджера паролей можно очень легко генерировать и автоматически заполнять пароли любой длины. Но нужно ли делать пароли длиной в сотни символов, или есть какой-то эмпирический разумный минимум? Вот интерфейс типичного генератора ...
[Из песочницы] Аппаратный ключ шифрования за 3$ — возможно ли это? Итоговый результат — ключ размером с флешку Повсеместное шифрование и, как следствие, обилие ключей заставляет задуматься об их надежном хранении. Хранение ключей на внешних устройствах, откуда они не могут быть скопированы, уже давно считается хорошей практикой. Я расскаж...
[Перевод] Забудьте о гомоморфном шифровании: теперь у нас есть функциональное шифрование Слышали ли вы о функциональном шифровании (ФШ)? Возможно, вы слышали о нём, и для себя поставили его в один ряд с гомоморфным шифрованием, что не совсем неверно, но и не до конца правильно. Давайте сегодня с вами посмотрим на то, что такое ФШ, разберём пару примеров и то,...
Apple хочет полностью отказаться от паролей. Каким образом? Многие сейчас говорят о том, что в технологическом плане пароли уже устарели. Они были хороши в те времена, когда нам нужно было иметь всего несколько паролей, но в нынешних реалиях вам нужен пароль для всего: от почты и социальных сетей до приложений, которые передают данн...
iOS 14 может подсказать, насколько надежны ваши пароли на сайтах В дополнение к переработанному главному экрану с виджетами, библиотеке приложений и таким функциям, как CarKey, в iOS 14 и iPadOS 14 также появились важные усовершенствования в «Связке ключей» iCloud. Теперь в разделе «Пароли», помимо, собственно, самих паролей, есть отдель...
В Google Chrome улучшат работу с паролями для Windows 10 В Google Chrome, Microsoft Edge и других браузерах на основе Chromium для копирования пароля нужно нажать на значок глаза и после этого просмотреть или скопировать символы. И хотя это довольно очевидное решение, оно не лишено недостатков.
Продолжаем разбирать уязвимости промышленных коммутаторов: выполняем произвольный код без пароля В Positive Research 2019 мы разобрали протокол управления промышленными коммутаторами Moxa. В этот раз мы продолжим эту тему и подробно разберем уязвимость CVE-2018-10731 в коммутаторах Phoenix Contact моделей линейки FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx, выявленну...
SSH, PGP, TOTP в Yubikey 5 Это аппаратный ключ безопасности, который поддерживает протокол универсальной двухфакторной аутентификации, одноразовые пароли и асимметричное шифрование. Если вы добавите его, допустим, в аккаунт на Гитхабе, то для входа в свой аккаунт, понадобится ввести логин/пароль и кос...
Как выглядит лаборатория по взлому iPhone полиции Нью-Йорка У полиции Нью-Йорка есть своя лаборатория по взлому iPhone Всё, что происходит на вашем iPhone, остаётся на вашем iPhone, обещает нам Apple. Не поверить ей трудно. Компания так много делает для обеспечения нашей конфиденциальности, что было бы странно даже думать, что всё эт...
Распознаем повышение привилегий в ABBYY FineReader Цикл о том, как я нахожу уязвимости повышений привилегий в Windows приложениях, продолжается. В предыдущих сериях: Steam (CVE-2019-14743, CVE-2019-15316, CVE-2019-17180) и Origin (CVE-2019-19247, CVE-2019-19248). Но сегодня речь пойдет не об игровом лаунчере, а о прикладном ...
Google сломала умную разблокировку в Android 10 Пользователи смартфонов Google Pixel, Samsung, OnePlus и Nokia пожаловались, что на Android 10 режим Smart Lock перестал работать так же, как прежде. У одних пользователей после обновления даже с активной умной разблокировкой аппарат стал запрашивать биометрическую верифика...
В OpenBSD обнаружены уязвимости повышения привилегий и обхода аутентификации В OpenBSD обнаружены и исправлены четыре серьезные уязвимости, благодаря которым можно было повысить привилегии в системе, а также осуществить обход аутентификации.
Осторожно: популярный менеджер паролей LastPass переиграл условия, не разобравшись можно потерять доступ с ПК или мобильных Команда популярного менеджера паролей LastPass объявила об изменениях в условиях бесплатного предоставления сервиса. Теперь пользователи бесплатных учётных записей могут получать доступ к LastPass только с одного типа устройств — либо компьютеров, либо моби...
HackTheBox. Прохождение OpenAdmin. RCE в OpenNetAdmin и GTFOBins в nano Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье мы проэксплкатируем RCE в OpenNetAdmin, покопаемся в конфигах веб сервера, прокинем порт с помощью SSH Forwarding, крякнем пароль к ключу SSH и используем технику GTFOBin...
ФБР: для каждого IoT-устройства необходима отдельная сеть "Ваш холодильник и ноутбук не должны быть в одной сети", - говорится в сообщении ФБР. Специалисты по киберезопасности из бюро рекомендуют использовать два интернет-шлюза: один для устройств, которые хранят конфиденциальные данные, а другой для цифровых помощников,...
Firefox получил улучшенный менеджер паролей Mozilla выпустила 76-ю версию браузера Firefox. Среди основных изменений в этом релизе – улучшенный менеджер паролей и обновлённый режим «картинка в картинке». Firefox Lockwise Теперь при попытке скопировать учётные данные со страницы «Логины и пароли» в браузере менеджер па...
Microsoft подтвердила проблемы с запоминанием паролей в Windows 10 В течение последних нескольких месяцев мы сообщали подробности о критической уязвимости в Windows 10, которая удаляет пароли, хранящиеся в операционной системе. В Windows 10 приходилось вводить учетные данные своего приложения и веб-сайтов при каждой перезагрузке, что доволь...
Создатели WhatsApp уже тестируют новую полезную функцию WhatsApp является самым популярным приложением для обмена сообщениями в мире, в данном сервисе более двух миллиардов пользователей по всему миру. Разработчики регулярно улучшают свое детище, расширяя его функциональность. Недавно в WhatsApp была добавлена темная тема, ...
Опубликованы худшие пароли 2019 года Разработчики менеджера паролей NordPass опубликовали список из 200 наиболее используемых и слабых паролей уходящего года. «12345» — по-прежнему самый популярный пароль.
Власти США угрожают Apple взломом устройств, если компания не предоставит ключи шифрования Слушание в рамках «Шифрование и законный доступ: оценка преимуществ и рисков для общественной безопасности и конфиденциальности» прошло довольно тяжело для всех ключевых участников.
Избавляемся от паролей в репе с кодом с помощью HashiCorp Vault Dynamic Secrets Привет, Хабр! Меня зовут Сергей, я работаю IT Head в компании Quadcode. Сегодня хотел бы рассказать о том, как я решил проблему с хранением паролей в открытом виде в коде одного из моих pet-проектов. Думаю, это знакомая для многих ситуация. Знакомая — и неприятная. Сразу ска...
Как защитить сайт двухфакторной аутентификацией Что такое авторизация, аутентификация, почему она может быть двухфакторная и зачем это вообще нужно и важно для безопасности? Посмотрим на примере одного из плагинов WordPress, как подключить ее к сайту, настроить и пользоваться. И чувствовать себя чуть более спокойно. О...
Twitter не будет сбрасывать пароли пользователей после взлома Twitter не планирует сбрасывать пароли пользователей после масштабного взлома, который произошёл 15 июля.В ходе атаки хакерам удалось опубликовать твиты от имени крупных общественных деятелей, знаменитостей и компаний, и выманить у пользователей криптовалюту.При этом Twitter...
Хакеры превратили Discord в инструмент для кражи паролей Новая версия трояна AnarchyGrabber ворует пароли и токены пользователей, отключает 2ФА и распространяет малварь среди друзей жертвы. Для этого злоумышленники модифицируют официальный клиент Discord.
Bitwarden – лучший бесплатный менеджер паролей для Android, iOS, macOS и Windows С каждым годом пользователи в информационном пространстве уделяют все больше внимания своей защищенности. Все больше людей используют сложные пароли для различных веб-сайтов и сервисов, чтобы в случае утечки личных данных или взлома учетной записи не Читать полную версию пу...
Полнодисковое шифрование Windows Linux установленных систем. Зашифрованная мультизагрузка Обновленное свое же руководство по полнодисковому шифрованию в рунете V0.2. Ковбойская стратегия: [A] блочное системное шифрование Windows 7 установленной системы; [B] блочное системное шифрование GNU/Linux (Debian) установленной системы (включая /boot); [C] настройка GR...
Blum-Blum-Shub generator и его применение В настоящее время случайные числа используются в различных областях науки. Например, для моделирования различных реальных процессов зачастую нужно учитывать не только поведение исследуемой величины, но и влияние различных непредсказуемых явлений. Кроме того, в некоторых мето...
«Лаборатория Касперского» выпускает два решения на базе собственной безопасной ОС Одно из решений - Kaspersky IoT Secure Gateway - предназначено для защиты IoT-инфраструктуры и безопасного подключения устройств интернета вещей к облаку. Задача второго - KasperskyOS for Thin Client - стать основой для доверенной и управляемой инфраструктуры тонких клиенто...
Chrome 79 для Android уничтожает пользовательские данные Компания Google отозвала обновление Chrome для Android до версии 79, вышедшей 10 декабря. Как выяснилось, программа содержала критическую ошибку, которая приводит к потере данных у части пользователей. Баг связан с изменением каталогов хранения важной информации в Android-ва...
Apple открыла доступ к своей программе Bug Bounty для всех исследователей Корпорация Apple официально открыла свою программу по поиску уязвимостей для всех исследователей безопасности. О том, что Apple Security Bounty станет общедоступной, компания объявила на конференции Black Hat в августе. Ранее в Apple действовала программа, попасть в которую ...
Оригинальный способ генерации мастер-пароля: используй специальный набор костей Каждый раз, когда речь заходит о криптостойком мастер-пароле, на ум приходит стандартные генераторы, встроенные в тот же 1password, KeePass или любой другой менеджер паролей по вкусу. Сначала ты его генерируешь, потом учишь как «Отче Наш», а потом уже на самом деле молишься ...
Okta. Управляй (доступом) и властвуй Один логин/пароль на все рабочие сервисы, или как выгодно, безопасно и удобно настроить доступ для сотрудников ко всем сервисам организации. В этом обзоре расскажу про технологии единого входа на примере нового донора программы TeploDigital – сервиса Okta. Что такое SSO ...
В GeForce Experience нашли серьезную уязвимость Компания NVIDIA исправила серьезную ошибку в программе GeForce Experience, предназначенной для оперативного обновления драйверов видеокарт, оптимизации настроек и стриминга игрового процесса. Уязвимость позволяет злоумышленнику расширить свои привилегии на Windows или вызват...
[Перевод] Анализ вредоносного кода Skeleton Key Перевод статьи подготовлен специально для студентов курса «Реверс-инжиниринг». Краткое содержание Исследователи Dell SecureWorks Counter Threat Unit (CTU) обнаружили вредоносное ПО, обходящее проверку подлинности в системах Active Directory (AD), в которых реализована одн...
[Перевод] Основы нейросетей в 100 строках кода (часть 1) В трёх частях этой статьи мы: Напишем нейросеть с нуля на Python и обучим её алгоритмом градиентного спуска. Применим её к датасету The Wisconsin Cancer Data-set и предскажем по 9 различным признакам, является ли опухоль доброкачественной или злокачественной. Подробнее иссл...
Разработчики Intel залатали Plundervolt и еще 15 уязвимостей Компания Intel выпустила 11 рекомендаций по безопасности, относящихся к 16 уязвимостям в ее продуктах. Вендор пропатчил семь ошибок с высоким уровнем опасности, а также ряд менее серьезных недостатков. Эксплуатация багов могла привести к отказу в обслуживании, несанкциониров...
В OpenBSD закрыли четыре уязвимости средств авторизации Разработчики открытой операционной системы OpenBSD устранили в ней четыре уязвимости, позволявшие обойти механизмы защиты и повысить привилегии на целевой машине. На момент публикации баги не получили оценку угрозы по шкале CVSS, однако эксперты не сомневаются в возможности ...
0-day Dropbox открывает максимальный доступ к Windows Независимые исследователи обнаружили в Windows-клиенте Dropbox опасную уязвимость нулевого дня. Ошибка, для которой еще не вышел патч, позволяет злоумышленнику получить максимальные привилегии на машине и открывает доступ к командной строке. Угроза содержится в компоненте, к...
Как извлечь пароли из браузеров: пошаговая инструкция для тех кто все забыл Если вы забыли пароль от своего почтового аккаунта или любимой , вы можете извлечь сохраненные пароли из любого браузера. Мы покажем вам, как это работает в Chrome, Firefox, Edge и Internet Explorer.
Кот атакует! Изучаем открытый стилер StormKitty Для подписчиковОбщеизвестно, что если ты вдруг забыл пароль от какого-нибудь сервиса, но он сохранен в браузере - есть возможность его оттуда достать. Но с такой же легкостью сохраненные пароли достанет и любой троян, попавший к тебе в комп. Сегодня мы рассмотрим один такой ...
Samsung T7 Touch: карманный SSD-накопитель со сканером отпечатков пальцев Компания Samsung Electronics на выставке электроники CES 2020, которая сейчас проходит в Лас-Вегасе (Невада, США), представила портативный твердотельный (SSD) накопитель T7 Touch. Главная особенность новинки заключается в наличии встроенного дактилоскопического сканера для с...
Пароли больше не нужны! Safari в iOS 14 умеет входить на сайты по Face ID и Touch ID Apple предпринимает все для того, чтобы нам нужно было как можно реже использовать пароли. iPhone уже давно можно разблокировать с помощью Face ID, MacBook — отпечатком пальца, а благодаря связке ключей iCloud можно вообще не запоминать пароли на сайтах (они еще и автоматич...
Названы самые уязвимые пароли уходящего года. Проверьте, нет ли среди них вашего Сообщается, что в 2019 году почти ничего не изменилось, а самые популярные пароли очевидны и довольно легко подбираются.
ProtonMail запустил ProtonCalendar в публичный бета-доступ С началом 2020 года можно с уверенностью сказать, что 2019 год стал годом, когда доверие к «Большим технологиям» упало. По мере того, как это происходит, такие компании, как Proton и Mozilla, становятся все более выгодными альтернативами Google, поскольку потребители стремят...
ФБР дало советы по созданию надежных паролей Каждый из нас использует пароли, вот только большинство ленится чуть-чуть напрячься и создать безопасный пароль, из-за чего на регулярной основе происходят взломы аккаунтов.Федеральное бюро расследований (ФБР) дало общественности несколько советов по созданию надежных пароле...
Атаки на Active Directory. Разбираем актуальные методы повышения привилегий Для подписчиковЧтобы скомпрометировать контроллер домена, мало найти известную уязвимость, получить учетные данные пользователя или обнаружить ошибку в настройке политики безопасности. Это обеспечит тебе минимальный доступ, но его может не хватить для достижения всех намечен...
Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel В этой статье я хочу показать, как настроить Stunnel на использование российских криптографических алгоритмов в протоколе TLS. В качестве бонуса покажу, как шифровать TLS-канал, используя алгоритмы ГОСТ, реализованные в криптоядре Рутокен ЭЦП 2.0. Но для начала давайте вооб...
400 000 сайтов оказались под угрозой из-за плагинов Специализирующаяся на кибербезопасности компания Sucuri выявила уязвимости в плагинах InfiniteWP, WP Time Capsule и WP Database Reset, которые в общей сложности касаются как минимум 400 000 интернет-ресурсов по всему миру. Самой серьёзной является «дыра» в InfiniteWP Client ...
WinPassKey: сброс и восстановление пароля Windows Забыли пароль от аккаунта Microsoft? Не беда! Рассказываем, как с помощью простой утилиты устранить проблему.
Популярные приложения для iPhone могут использоваться для кражи пользовательских данных Согласно сообщениям зарубежных СМИ, последние исследования экспертов по безопасности подтвердили, что десятки популярных приложений для iOS могут читать содержимое буфера обмена без разрешения пользователя, а также использоваться для кражи конфиденциальной информации. В...
Как заставить себя менять пароли на Windows хотя бы изредка? Несколько несложных действий, и ОС сама будет предлагать поменять пароль спустя некоторое время. Так намного безопаснее.
Google добавила защиту от спама и фишинга в приложение «Сообщения» для Android Google придумала, как защитить пользователей от спама и фишинговых сообщений Двухфакторная аутентификация уже давно перестала быть способом перестраховки, превратившись в важный инструмент защиты, который успел спасти уже многих. Ведь даже если пароль от вашей учётной записи...
Apple отключит «Войти с Apple» в Fortnite 11 сентября. Как сохранить свой аккаунт После удаления аккаунта разработчика Epic Games — создателя популярной игры Fortnite, Apple также отключает ему доступ к остальным сервисам экосистемы iOS. Удаление одного из них — «Войти с Apple», приведет к тому, что уже 11 сентября игроки Fortnite, которые использовали э...
MS Remote Desktop Gateway, HAProxy и перебор пароля Друзья, привет! Существует множество способов подключения из дома к рабочему месту в офисе. Один из них — это использовать Microsoft Remote Desktop Gateway. Это RDP поверх HTTP. Я не хочу здесь затрагивать настройку самого RDGW, не хочу рассуждать, почему он хорош или плох,...
Обходим запрет messages API Вконтакте через Python Привет, Хабр. В своей предыдущей статье я рассказал о возможности доступа к методам раздела messages через документацию, для чего достаточно было лишь авторизоваться на сайте ВК. Многие тогда заявили, что это не является угрозой личным данным пользователей, а невозможность в...
Киберполиция выявила украинца, который продавал логины и пароли интернет-пользователей, ему грозит 5 лет заключения Сотрудники киберполиции в Хмельницкой области совместно с совместно с другими правоохранительными органами разоблачили 30-летнего местного жителя, который занимался распространением и сбытом информации с ограниченным доступом. Киберполиция установила, что подозреваемый добыв...
Chrome 79 имеет лучшую защиту паролем и предупреждения о фишинге в реальном времени Google выпустил стабильную сборку Chrome 79, которая включила несколько улучшений. Многие из новых функций сосредоточены на безопасности конечного пользователя (защита паролем и защита от фишинга). Кроме того, стало проще видеть, с какой учетной записью вы синхронизированы, ...
CVE-2019-18683: Эксплуатация уязвимости в подсистеме V4L2 ядра Linux В данной статье описана эксплуатация уязвимости CVE-2019-18683 в ядре Linux, которую я обнаружил и исправил в конце 2019 года. Указанный CVE-идентификатор присвоен нескольким аналогичным ошибкам типа «состояние гонки», которые присутствовали в подсистеме V4L2 ядра Linux на п...
Google улучшит работу с паролями в Chrome С появлением менеджеров паролей наша цифровая жизнь стала значительно удобнее. Они не только обеспечивают безопасное хранение защитных комбинаций, но и сами придумывают такие сочетания символов, которые вы бы ни за что не придумали сами, уже не говоря о том, чтобы запоминат...
Как перенести свои пароли в «Связку Ключей iCloud» при помощи Safari Потребуется немного терпения.
Выявлены очередные проблемы с безопасностью данных пользователей Zoom Вчера вечером The Intercept опубликовал отчет, в котором подчеркивается, что утверждение Zoom о наличии сквозного шифрования для своих собраний не соответствует действительности. Компания, занимающаяся видеоконференцсвязью, утверждает о сквозном шифровании на своем веб-сайте...
[Перевод] Безопасная работа с секретами при сборке в Docker Compose Перевод статьи подготовлен в преддверии старта курса «Web-разработчик на Python». Когда вы собираете Docker-образ вам могут понадобиться секреты, например, пароль к приватному репозиторию пакетов. Вы не хотите, чтобы этот секрет в конечном итоге оказался в образе, потому ...
Платформа Zoom под запретом в школах Нью-Йорка Школьникам Нью-Йорка запретили пользоваться Zoom для дистанционного обучения ссылаясь на проблемы в безопасности работы сервиса видеоконференций. Об этом со ссылкой на представителя департамента образования Нью-Йорка сообщил ресурс TechCrunch. Вместо Zoom школьникам р...
Только менять: в чипсетах Intel найдена неустранимая уязвимость Эксперты Positive Technologies годами исследуют подсистему Intel ME (CSME). И не зря! Они находят там много интересного. Сама подсистема Intel Management Engine преследует благую цель ― обеспечить удобное и удалённое обслуживание компьютеров. Но обратная сторона комфорта ― э...
Как сбросить пароль при выходе в Windows: самый простой способ Существует много способов вернуть доступ к операционной системе, если пароль забыт. Узнать пароль при входе нельзя, но зайти в систему можно: делимся одним из самых простых методов без использования стороннего софта.
Мужчину чуть не посадили за файлы соседа, которому он дал пароль от Wi-Fi В Британии мужчину арестовали после того, как он поделился паролем от Wi-Fi с соседом. Этот сосед скачивал непристойные фотографии и видео с юными мальчиками.
Биткоин-кошельки под угрозой: хакеры модифицировали троян для перехвата паролей Google Authenticator Специалисты ThreatFabric зафиксировали модификацию троянского вируса Cerberus, перехватывающего разовые пароли из приложения Google Authenticator. [BLOG] 2020 is the year of the RAT, financially motivated threat actors are working hard on making their #Trojans more successfu...
Как отключить пароль при каждой загрузке Mac После приобретения нового Mac и его первого запуска или чистой установки macOS, операционная система попросит зарегистрироваться, указав логин и пароль. После каждой перезагрузки понадобится ввод пароля от учётной записи администратора. ♥ ПО ТЕМЕ: Как на Mac сохранять откры...
Стилер паролей в антивирусном ПО Avira Free Antivirus Что если я Вам скажу, что единственной функцией одного из компонентов антивирусного ПО, имеющего доверенную цифровую подпись, является сбор всех Ваших учетных данных сохраненных в популярных Интернет-браузерах? А если я скажу что ему без разницы в чьих интересах их собирать?...
[Воркшоп] DMA-атаки на практике. Эксплоит через прямой доступ к памяти В эту субботу 1 февраля 2020 г. в нашем Хакспейсе Нейрон в Москве пройдет мастеркласс по практическому использования DMA-атак. Вместе мы будем взламывать реальный компьютер с зашифрованной файловой системой, имитирующий банкомат или платежный терминал. Ведущий воркшопа Val...
[Перевод] Теперь я понял, почему почти никто не шифрует свою почту Шифрование электронной почты — трудная и болезненная процедура. Недавно я сам понял, насколько. Одна моя знакомая, очень продвинутая в сфере информационной безопасности, прислала мне свой открытый ключ PGP и попросила перейти на шифрование. Нет, она не из АНБ или ЦРУ, прос...
Apple выпускает GM-версию iOS и iPadOS 13.5 для разработчиков Вчера Apple выпустила золотые мастер-версии будущих обновлений для iOS и iPadOS 13.5 для разработчиков, через неделю после выхода четвертых бета-версий и через месяц после выпуска iOS и iPadOS 13.4 с iCloud Folder Sharing, поддержкой iPad trackpad и многим другим. Версии GM ...
[Из песочницы] PRESENT — ультралегкое блочное шифрование (перевод оригинальной статьи PRESENT: An Ultra-Lightweight Block Cipher) Привет, Хабр! Привожу тут перевод оригинальной статьи «PRESENT: An Ultra-Lightweight Block Cipher» за авторством Robert B. Weide Богданова, Лендера, Паара, Пошмана, Робшава, Сеурина и Виккелсоя. Аннотация После внедрения AES потребность в новых алгоритмах блочного шифрова...
Найден новый способ взлома аккаунтов Office 365 В ходе фишинговой кампании используется приложение к Office 365, с помощью которого у пользователей вместо логинов и паролей выманивается полный доступ к их аккаунтам.
Apple рассказала, как защищает своих пользователей Apple занимается вашей безопасностью так, как этого не делает никто Apple очень любит отчёты, ведь они не только придают ей значимости, но и позволяют держать тех, ради кого она ведёт свою деятельность, в курсе текущей повестки. Компания отчитывается регулярно и перед всеми,...
Райтап In the Shadows Это райтап об одном из заданий, которое мы приготовили для отборочного этапа CTFZone, прошедшего в конце ноября. О процессе подготовки к квалификации можно прочитать здесь. Вы начинаете с двумя файлами: decrypt_flag.py и ntfs_volume.raw. Д...
Демистификация JWT Вокруг JWT сложилась много распространенных заблуждений. Одно из них, например, что JWT зашифровано (на самом деле только подписано и закодировано base64url). На практике, я часто встречаюсь с довольно странными решениями, когда в JWT хранится только один идентификатор сесси...
Как хакеры обходят двухфакторную аутентификацию в Google-аккаунтах Доступ к учетной записи по одноразовому, короткоживущему паролю в SMS-сообщении до недавнего времени считался простой и надежной преградой для киберзлодеев. Однако хакеры научились обходить и двухфакторную аутентификацию интернет-аккаунтов. Как это работает Хакеры люб...
Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен Для подписчиковДля успешной атаки на Active Directory, захвата рабочих станций и перемещения по сети настоящему хакеру не обязательно владеть учетными данными пользователей. Но иногда без них не обойтись. А чтобы завладеть учеткой, нужно знать, где в сетях с Active Directory...
В Windows найдена и уже исправлена чрезвычайно опасная уязвимость В операционной системе Windows была обнаружена критическая уязвимость, о нахождении которой сообщило АНБ США.Уязвимость была найдена в операционных системах Windows 10 и Windows Server 2016. О ее находке уже сообщили компании Microsoft, которая выпустила соответствующую запл...
Питер Шифф: я принял пин-код за пароль от биткоин-кошелька Blockchain Критик биткоина и сторонник инвестиций в золото Питер Шифф признался, что перепутал пин-код от кошелька Blockchain с паролем от него. «Моя биткоин-тайна раскрыта. Я принял свой пин-код за пароль. Когда Blockchain обновил свое приложение, я вышел из системы. Я умаялся в попыт...
Немецкий суд заставил почтового провайдера Tutanota установить бэкдор Полнотекстовый поиск в зашифрованной почте Для начала немного контекста. Tutanota — один из немногих почтовых сервисов, которые шифруют входящую почту по умолчанию, как Protonmail, Posteo.de и Mailbox.org. То есть почта хранится на серверах в зашифрованном виде. Провайдер ...
[recovery mode] Удаленная работа в офисе. RDP, Port Knocking, Mikrotik: просто и безопасно В связи с пандемией вируса covid-19 и всеобщим карантином во многих странах единственным выходом многих компаний, чтобы продолжать работу — удаленный доступ к рабочим местам через интернет. Есть много относительно безопасных методов для удаленной работы — но учитывая масштаб...
После удаления Telegram входит в учетную запись без верификации даже после смены пароля После удаления приложения Telegram с Вашего macOs устройства стандартным путем (переносом из папки Applications в корзину) — в нем остаются файлы. Скриншот файлов Это какая-то часть переписки, информация об аккаунте и т.д. Вещи на первый взгляд не страшные — все, что ест...
Имена, пароли, явки: Microsoft бьет тревогу Microsoft провела оценку угроз безопасности своих сервисов и пользователей в период с января по март этого года. Результаты проверки были опубликованы только сейчас, они оказались шокирующими. По данным Microsoft Threat Research Group, десятки миллионов пользователей ис...
Как в Windows 10 установить пароль любой длины (даже один символ) Для вашей безопасности Microsoft требует обеспечить минимальную длину пароля и его сложность для всех своих учетных записей. Если вам потребуется защитить и все локальные учетные записи, то вы можете установить требования для минимальной длины пароля всем пользователям в Win...
В iPhone, iPad и Mac нашли уязвимость, связанную с Wi-Fi Как выяснила компания Eset, из-за ошибки (бага) в нескольких Wi-Fi чипах от Broadcom и Cypress, данные миллиардов пользователей, передаваемые по беспроводной связи, были беззащитны перед попытками злоумышленников получить к ним доступ. Среди уязвимых устройств – некоторые м...
Google призналась, что допустила утечку паролей пользователей Chrome Google Chrome сливает ваши пароли на сторону Google Chrome является одним из наиболее приоритетных продуктов Google, который она не просто обновляет на постоянной основе, исправляя мелкие баги, но и регулярно добавляет новые функции. Только за последние полгода в фирменном б...
Единый реестр российских программ и GPL. Мои пять копеек Несколько дней назад на Хабре была опубликована статья вызвавшая определенный резонанс. Краткий пересказ статьи привело издание CNews, а оттуда тезис о запрете GPL и MPL в Едином реестре перекочевал в статью в Википедии. В исходной статье красноречиво рассказывалось о том, ...
Wapiti — тестирование сайта на уязвимости своими силами В прошлой статье мы рассказали о бесплатном инструменте для защиты сайтов и API от хакерских атак, а в этой решили сделать обзор популярного сканера уязвимостей Wapiti. Сканирование сайта на уязвимости — необходимая мера, которая, вкупе с анализом исходного кода, позволяет ...
Apple представила решение, как сделать SMS-коды безопаснее Автозаполнение паролей — одна из самых удобных функций iOS Время от времени мошенники активизируются и начинают атаковать, как правило, владельцев устройств от Apple. Они обманным путем получают доступ к Apple ID и паролям ни о чем не подозревающих пользователей или пы...
BeeFREE. Переводим людей на удалёнку с 2016 года Привет! Надеемся, вы читаете этот пост в рабочее время, уже будучи переведённым на удалённую работу своим работодателем. У нас же получилось перевести сотрудников на удалёнку довольно быстро по одной простой причине — начиная с 2016 года в компании существует BeeFREE, наш...
Apple потребовала удалить твит пользователя с возможным ключом шифрования iPhone, а потом попросила вернуть его обратно По мнению исследователей кибербезопасности, Apple начала борьбу с джейлбрейками.
Создание зашифрованного диска с «двойным» дном с помощью Veracrypt VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров. В этой статье мы рассмот...
Накопительное обновление KB4589212 было выпущено с исправлениями микрокода Intel Чтобы предотвратить потенциальные проблемы с безопасностью, Microsoft опубликовала новое обновление программного обеспечения для Windows 10. Последнее обновление распространяется на тех, у кого установлена Windows 10 версии 20H2 (обновление за октябрь 2020 г.) или более ра...
Microsoft сообщает о новой уязвимости Компания Microsoft сообщила о новой уязвимости, допускающей удалённое исполнение кода. Эта уязвимость в Windows сейчас используется в ограниченном числе целевых атак.
30 шагов, как привести компьютер в порядок Если у вас появилось немного свободного времени, посвятите его своему железному другу. Тому самому, кого вы обвиняете в заторможенности, на кого проливаете кофе, чью систему охлаждения чистите реже, чем следовало бы. Друг трудится для вас каждый день, мерцает экраном, шурши...
Токен Авторизации В настоящее время киберпреступность стала проблемой мирового уровня. Например, Дмитрий Самарцев, директор BI.ZONE в сфере кибербезопасности привёл на Всемирном экономическом форуме следующие цифры. В 2018 году ущерб мировой экономики от киберпреступности составил по его слов...
Взломан самый сложный в мире ключ шифрования Специалистам удалось прийти к цели за существенно меньшее количество времени - 4000 вычислительных лет. По их словам, они смогли этот рекорд вовсе не за счет того, что за прошедшее с предыдущего рекорда (взлом RSA-232) время производительность компьютеров хоть немного, но во...
В Сеть слита база с 8.4 млрд паролей На одном из самых популярных хакерских форумов появился файл, который содержит 8.4 млрд паролей.Все пароли сосредоточены в одном текстовом файле, вес которого составляет 100 ГБ. Все они были получены благодаря утечкам и взломам.Указанные пароли имеют длину от 6 до 20 символо...
В смартфонах Apple обнаружена новая уязвимость, позволяющая украсть любые данные Подробным описанием данной уязвимости поделился программист Томми Миск, который ее и обнаружил.По словам программиста, злоумышленник, воспользовавшийся данной дырой, может получить доступ к любым данным iPhone, включая пароли к банковским картам. Уязвимость обусловлена особе...
Google: 80% приложений из Google Play шифруют данные пользователей Приложения в Google Play стали безопаснее за последний год благодаря шифрованию В эпоху, когда пользователи задумываются о защите своих данных не меньше, чем об удобстве, желание производителей смартфонов отвечать этому требованию выглядит вполне логично. Но если для этого з...
Что случится с вашими фотографиями, если вы удалите Google Фото Пропадут ли ваши фото, если вы удалите приложение от Google? Приложение Google Фото предустановлено на практически всех смартфонах под управлением Android. Но даже если производитель по каким-либо причинам заменил его на свое собственное, то большинство пользователей все-рав...
Эксперты показали, как приложения для iOS могут воровать ваши данные Буфер обмена — довольно простой, но при этом многогранный инструмент, который может обернуть себе на пользу любой злоумышленник Apple довольно категорична в вопросах обеспечения безопасности и чаще всего оказывается на шаг впереди хакеров и злоумышленников, старательно...
Microsoft: 44 млн используют один пароль для всех личных аккаунтов Компания Microsoft представила итоги исследования 3 млрд учетных данных. Оказалось, что более чем в 44 млн случаев пользователи устанавливают одинаковые пароли для всех своих учетных записей. Исследователи отмечают, что если в руки злоумышленников попадает одна подобна...
И еще раз по аппаратные ключи GPG за копейки Началось все с того что я почитав статью Аппаратный ключ шифрования за 3$ — возможно ли это? решил запилить такую штуку. В итоге stlink приехал со второго раза. Первый потерялся в недрах почты. После приезда я выяснил что там стоит чип cks и по второй статье залил прошивку. ...
Самые популярные структуры данных Что такое структура данных? Проще говоря, структура данных — это контейнер, в котором хранятся данные в определенной компоновке (формате, или способе организации их в памяти). Эта «компоновка» позволяет структуре данных быть эффективной в одних операциях и неэффективной в др...
Microsoft: 44 млн пользователей используют один пароль для всех личных аккаунтов В случае попадания пароля к злоумышленникам все аккаунты пользователя можно будет взломать с десяти попыток.
ФБР разблокировало iPhone 11 Pro Max без участия Apple ФБР недавно использовало устройство GrayKey для разблокировки iPhone 11 Pro Max, сообщает Forbes. Этот телефон принадлежал Барису Али Коху, который помог осужденному брату покинуть страну со своим паспортом. Кох заблокировал iPhone 11 Pro Max паролем и Face ID. ...
Названы самые неудачные пароли в мире Эксперты по кибербезопасности назвали 200 самых популярных, а значит наиболее неудачных паролей 2019 года. Они стали известны специалистам в результате взломов или утечек данных.
[Перевод] Обнаружена новая вспышка H2Miner червей, которые эксплуатируют Redis RCE День назад один из серверов моего проекта был атакован подобным червем. В поисках ответа на вопрос «что же это было такое?» я нашел замечательную статью команды Alibaba Cloud Security. Поскольку я не нашел этот статьи на хабре, то решил перевести ее специально для вас <3 ...
Apple объявила войну хакерам, а потом передумала Secure Enclave — это защищённый чип, который хранит пароли, биометрию и другие зашифрованные данные. А теперь его расшифровали Долгое время взломать iPhone было невозможно. В результате такое понятие, как джейлбрейк, практически исчезло из обихода пользователей iOS. Эт...
CacheOut — в процессорах Intel обнаружена очередная уязвимость В процессорах Intel обнаружена очередная уязвимость, связанная со спекулятивным выполнением команд и работой кэш-памяти. Она получила название CacheOut, поскольку позволяет получить доступ к данным, хранящимся в кэш-памяти процессора. В классификаторе уязвимостей CVE он...
Накопительные обновления KB4532693 и KB4524244 вызывают новые проблемы Microsoft вносит изменения, чтобы улучшить общее состояние обновления Windows 10 после того, как процесс обновления недавно столкнулся с некоторыми трудностями, но похоже, что битва Microsoft еще не окончена. В прошлом месяце опционально Windows 10 вызывала проблемы с Wi-Fi,...
PlayStation 5 поддерживает новейший SSВ Samsung со сканером отпечатков пальцев На выставке Consumer Electronic Show 2020 компания Samsung Electronics объявила о выпуске своего новейшего портативного твердотельного накопителя T7 Touch, который получил встроенный сканер отпечатков пальцев на корпусе. Теперь же было подтверждено, что новая игровая к...
Теперь вы можете заработать на поиске багов в устройствах Apple С новой программой поиска багов заработать может каждый Осенью 2016 года Apple запустила собственную программу под названием bug bounty — компания обещала выплачивать вознаграждения до 200 тысяч долларов тем, кто найдет критические баги в iOS. Правда, тогда компания не...
[Перевод - recovery mode ] Учебный проект на Python: алгоритм Дейкстры, OpenCV и UI ( часть 1) Лабиринты — это распространенная головоломка для людей, но они представляют из себя интересную задачу для программирования, которую мы можем решить, используя методы кратчайшего пути, такие как алгоритм Дейкстры. Вспоминаем алгоритм Дейкстры Алгоритм Дейкстры — один из наиб...
Sony заплатит за найденные уязвимости в PS4 Довольно часто крупные производители электроники или каких-то сервисов делают упор на программу поиска уязвимостей со стороны пользователей. То есть, сейчас, к примеру, компания PlayStation запустила свою подобную программу. Суть очень проста — если вы смогли найти какую-то ...
Как iPhone повлиял на безопасность Android-смартфонов Принято считать, что Android в значительной степени уступает iOS по уровню безопасности. Отчасти это действительно так. Большое количество оболочек и нерегулярные обновления банально не позволяют своевременно находить и устранять все уязвимости, которые обнаруживаются в про...
Новая версия Chrome предупредит, если ваш пароль появился в «слитых» базах Заодно упростили переключение между аккаунтами Google.
Обнаружено большое количество вредоносных Android-приложений Японская компания Trend Micro, которая специализируется на безопасности, сообщила об обнаружении в Google Play замаскированных зловредов.Специалисты сообщают, что речь идет о популярных приложениях, число загрузок которых превышает 470 000. Google уже удалила эти программы и...
Новый менеджер паролей сделает Android еще более похожим на iOS Пусть многие критикуют Android или iOS, особенно, если пользуются противоположной системой, но надо быть более рассудительным и понимать, что плюсы есть и там, и там. Если посмотреть на них, то начинаешь представлять, как выглядела бы идеальная операционная система. Именно ...
Хакеры стали брать больше денег за взлом iPhone, потому что Apple усилила защиту Несмотря на то что искоренить джейлбрейк полностью Apple пока не удалось, за последнее время компания серьёзно повысила уровень безопасности iPhone. Об этом свидетельствует повышение закупочной цены инструмента для взлома смартфонов от компании GrayShift. Как сообщил Mother...
Более безопасное подключение к SSH с помощью DNSSEC Все, кто использует SSH знают, что при первом подключении к серверу, появляется сообщение с подтверждением отпечатка ключа. Дальше ключ сохраняется на стороне клиента, и больше это сообщение не показывается до момента пока сохраненный ключ не изменится. Но в чем практическ...
Уязвимости IoT-девайсов открывают доступ к домашней сети Найденные уязвимости могут быть использованы для осуществления атак методом Man-in-the-Middle (MitM, пер. с англ. "атака посредника" или "человек посередине"), когда злоумышленник перехватывает данные, передаваемые между каналами связи, извлекает полезну...
Jitsi Meet: опенсорсная альтернатива «шпионскому» видеоприложению Zoom В связи с массовым переходом на удалённую работу приложение для видеоконференций Zoom резко выросло в популярности. Но это не идеальный вариант с точки зрения безопасности. Хотя Zoom предлагает end-to-end шифрование для текстовых чатов, а шифрование видеоконференций можно ак...
Шифрование TEA, XTEA, XXTEA В данной статье рассматриваются блочные симметричные алгоритмы шифрования, которые используют сеть Фейстеля в качестве основы, как и большинство современных блочных шифров. А точнее, описываются алгоритмы шифрования TEA, XTEA, XXTEA и их криптоанализ Читать далее
Google улучшил защиту паролей в Chrome Google запустил ряд новых функций в Chrome, призванных усилить защиту учётных данных пользователей. Предупреждения о краже пароля Теперь при вводе логина и пароля на сайтах браузер будет предупреждать пользователей в том случае, если их учётные данные были скомпрометированы ...
Пропал курсор мыши на Windows, что делать? Указатель курсора стал для нас уже настолько привычным инструментом работы, что мы понимаем всю его значимость, только когда он зависает или перестает отображаться на главном экране. С исчезновением курсора легко довольно быстро выйти из себя – работать в таком режиме неудоб...
CacheOut – новая уязвимость в процессорах Intel, позволяющая воровать данные из кэш-памяти Уже можно сбиться со счёта, перечисляя все уязвимости, обнаруженные в процессорах Intel за последние 2 года. И вот появилась информация об очередной уязвимости, получившей название CacheOut. Уязвимость CacheOut связана со спекулятивным выполнением команд и приводит к утечке ...
Android и Россия установили неприятные антирекорды Антивирусная компания ESET опубликовала отчёт за прошедший 2019 год по по безопасности мобильных устройств. Она рассматривала уязвимости платформ iOS и Android, а также наиболее распространенные угрозы. Как оказалось, 99% мобильных вредоносных программ обнаружива...
Как включить или выключить пин-код на телефоне Защита смартфона для многих является приоритетом. Это неудивительно, учитывая, что мы храним в нем всю свою жизнь. Контакты, банковские карты, пароли, приватную переписку, документы по работе и многое-многое другое. Все это надо как-то защитить. Для этого производители прид...
Гениальный набор DiceKeys генерирует суперсложные пароли одним броском кубиков Специалист по криптографии Университета Калифорнии Стюарт Шехтер разработал набор кубиков, который позволяет решить многие проблемы современных паролей. Он состоит из 25 кубиков с цифрами и символами, с помощью которых можно сгенерировать математически непредсказуемый крипто...
Более миллиарда iPhone и смартфонов Android под угрозой Словацкая компания ESET, специализирующаяся на кибербезопасности, обнаружила уязвимость, которая присутствовала более чем на одном миллиарде устройств с поддержкой Wi-Fi. Уязвимость получила название Kr00k. Специалисты выяснили, что источником проблемы стали микр...
Мошенничество в сфере блокчейн: опасности и методы защиты Технологии блокчейн гарантируют криптоактивам независимость от внешних регуляторов. Распределенный реестр хранит информацию о содержимом всех кошельков, обеспечивая сохранность средств. Впрочем, существует множество нюансов, которые позволяют ...
Китай принял свой «пакет Яровой» В конце прошлого года китайское правительство представило новый закон о киберпезопасности, так называемую Многоуровневую схему кибебезопасности (Cybersecurity Muti-Level Protection Scheme, MLPS 2.0). Закон, вступивший в силу в декабре, фактически означает, что правительств...
Видеоурок Теплицы: как пользоваться менеджером паролей Bitwarden Менеджеры паролей бывают разные, но по сути они делятся на те, что хранят базу паролей у вас на компьютере, и те, что хранят ее у себя на сервере. Если говорить про первые, то Вова Ломов рекомендует KepassXC, если про вторые — Bitwarden. Менеджер паролей Bitwarden условно бе...
Security Week 32: уязвимость в GRUB2 29 июля компания Eclypsium опубликовала исследование новой уязвимости в загрузчике Grub2, массово используемом в системах на базе Linux — от ноутбуков и IoT-устройств до серверов. Суть уязвимости довольно простая: ошибки при обработке текстового конфигурационного файла grub....
Власти США ищут способ запретить шифрование в сервисах Apple и Facebook Сквозное шифрование — это не про безопасность, уверены в Сенате США Несмотря на то что сквозное шифрование является важной составляющей в обеспечении безопасности данных, это совершенно не значит, что оно способно защитить от всего и сразу. Практика показала, что даже ...
Нейросеть — обучение без учителя. Метод Policy Gradient Доброго времени суток, Хабр Настоящей статьей открываю цикл статей о том, как обучать нейронные сети без учителя. (Reinforcement Learning for Neuron Networks) В цикле планирую сделать три статьи по теории и реализации в коде трех алгоритмов обучения нейронных сетей без учи...
PostgreSQL Antipatterns: навигация по реестру Сегодня не будет никаких сложных кейсов и мудреных алгоритмов на SQL. Все будет очень просто, на уровне Капитана Очевидность — делаем просмотр реестра событий с сортировкой по времени. То есть вот лежит в базе табличка events, а у нее поле ts — ровно то самое время, по кото...
Microsoft запустила программу вознаграждений за нахождение уязвимостей в Xbox Live Microsoft запустила новую программу Xbox Bounty, предназначенную для вознаграждения пользователей, будь то геймеры или исследователи безопасности, за нахождение уязвимостей в сервисе Xbox Live. Сумма вознаграждения будет варьироваться от 500 до 20 000 долларов, хотя на само...
Как восстановить доступ к аккаунту Google Аккаунт Google нужен не только для использования почты Gmail или YouTube: без него не настроить учетную запись смартфона на Android. Что делать, если вы забыли пароль к учетке Google?
Описание основ криптопреобразования AES Доброго времени суток, Хабр! Примерно 3 месяца назад проходил собеседование frontend разработчиком и самый первый вопрос, который мне задали: “Что такое AES?” Ну как бы аморфное представление я все же имел о симметрично блочном шифровании AES, было дело даже использовал в од...
Секретная информация? Используй 2FA для VPS/VDS Часто задаваемый вопрос, как надежно защитить свой VPS / выделенный сервер от взлома? Поэтому я решил написать инструкцию о внедрении двухфакторной аутентификации. 2FA является вторым уровнем защиты данных, благодаря которому получить доступ к учетной записи можно только ...
Memory forensics, Rubber Duck и пароли GPO. Решение задач с r0от-мi. Часть 2 Данная статья содержит решений заданий, направленных на криминалистику оперативной памяти, разбора пэйлоада для USB Rubber Duck, а так же расшифрования перехваченных паролей групповой политики Windows. Организационная информацияСпециально для тех, кто хочет узнавать что-то...
Apple рассказала, зачем сканирует ваши фотографии в iCloud В прошлом году Apple решила, что имеет право сканировать ваши фотографии, а вы и не знали Apple всегда очень трепетно относилась к конфиденциальности своих пользователей, а потому готова была горой становиться на защиту их персональных данных. Однажды компания даже стала фиг...
Как разблокировать iPhone без ввода пароля и Touch ID или Face ID Разблокировка – это, пожалуй, одна из немногих механик iOS, которая по минимуму изменилась за прошедшие 10 лет. На моей памяти их было всего три. Первый раз – когда Apple оснастила iPhone 5s сканером отпечатков пальцев, второй раз – когда отказалась от жеста Slide to unlock...
Хит-парад убогих уязвимостей Microsoft Уж кого нельзя обвинить в скупости на разного рода ошибки и уязвимости, так это корпорацию Microsoft. За примером далеко ходить не надо — достаточно посмотреть на Windows 10, просто утопающую в багах. Упрекать разработчиков не стоит: они «старательно» выпускают патчи, испр...
Google добавила в Chrome проверку паролей и защиту от фишинга Google Chrome будет защищать ваши пароли от взлома, а вас — от фишинговых атак Chrome – пожалуй, один из немногих продуктов Google, почти каждое обновление которого добавляет ему новых функций. Ночные темы, менеджеры паролей, блокировщики рекламы, изоляция сайтов – как...
[Перевод] Нажималка для YubiKey Если вы работаете в сфере информационных технологий, то у вас, возможно, есть аппаратный ключ безопасности YubiKey. У меня такой имеется. Это — YubiKey 5C Nano, показанный на следующем снимке. YubiKey 5C Nano Если вы работаете в области, не связанной с компьютерами, но пр...
Береги пароль смолоду Согласно статистике "Лаборатории Касперского", в 2019 г. количество пользователей, атакованных программами для кражи паролей, увеличилось на 72% по сравнению с прошлым годом. Компания зафиксировала атаки на устройствах 2 млн клиентов. Данные "Лаборатория" собрала своими реше...
Для AMD нашёлся свой Spectre: обнаружены критические уязвимости в процессорах Zen/Zen 2 Интересная и перспективная процессорная архитектура AMD Zen и её последующие версии заслуженно привлекли к себе внимание и любовь потребителей. Но каждая медаль имеет две стороны. Оборотной стороной растущей популярности процессоров AMD стало растущее же число обнаруженных у...
Как на андроиде посмотреть сохранённые пароли Пароли – это явление, с которым мы живём уже много лет. Несмотря на то что современные смартфоны, планшеты и даже некоторые компьютеры оснащаются биометрическими датчиками идентификации, отказаться от цифробуквенных защитных комбинаций человечеству пока не удалось. Однако п...
[Перевод] Конференция DEFCON 27. Изготовление дубликатов механических ключей с ограниченным доступом. Часть 2 Конференция DEFCON 27. Изготовление дубликатов механических ключей с ограниченным доступом. Часть 1 Давайте поговорим об одном из основных продуктах компании «Медеко» – это замок M3. Наша компьютерная программа выдала вот такой профиль заготовки ключа, и все что нам теперь ...
Критическая уязвимость в роутерах TP-Link позволяла перехватить управление устройством без пароля Инженеры TP-Link устранили уязвимость в маршрутизаторах серии Archer. Используя баг, злоумышленник мог получить контроль над устройствами через локальную сеть и Telnet.
Самые защищенные мессенджеры на Android Безопасность превыше всего! Миллионы людей ежедневно обмениваются сообщениями по всему миру. Но задумывались ли вы хотя бы раз, что происходит с сообщением, когда вы его отправляете? Перехватывается ли он какими-либо сторонними пользователями? Или, быть может, сервера компан...
В России заблокировали еще один сервис защищенной электронной почты В реестр запрещенных сайтов 14 февраля внесли немецкий сервис Tutanota. В компании назвали это решение российских властей актом против шифрования и конфиденциальной связи в России. Ранее под блокировку попали и другие почтовые сервисы.
Что такое XSS-уязвимость и как тестировщику не пропустить ее По моему наблюдению довольно много тестировщиков когда-либо слышали такое понятие, как XSS-уязвимость. Но мало кто может просто и на пальцах рассказать на собеседовании про нее. Или эффективно проверить веб-сайт на наличие этой уязвимости. Давайте вместе разберемся со всем э...
Security Week 08: вирусы возвращаются При обсуждении компьютерных угроз «вирусом» часто называют любую вредоносную программу, но это не совсем правильно. Классический вирус — это феномен доинтернетной эпохи, когда информация передавалась между компьютерами в основном на дискетах, и для распространения вредоносно...
KRACK на практике. Как работает атака на Wi-Fi с применением нашумевшей техники Для подписчиковОсенью 2017 года мир узнал о новой угрозе безопасности сетей Wi-Fi. Она затрагивает абсолютно все устройства и программные платформы. Каким бы сложным и длинным ни был пароль, это не поможет, потому что KRACK — уязвимость самого протокола обмена ключами шифров...
С начала года операторы связи зарегистрировали более 766 тыс. РЭС и ВЧУ по упрощенному порядку электронной регистрации Согласно новому порядку, РЭС и ВЧУ теперь регистрируются посредством внесения соответствующих записей в созданный Роскомнадзором реестр зарегистрированных РЭС и ВЧУ. С момента внесения записи в реестр РЭС считается зарегистрированным. Факт регистрации также подтверждается вы...
Microsoft работает над исправлением уязвимости в Internet Explorer В веб-браузере Internet Explorer была обнаружена уязвимость (CVE-2020-0674), которая связана с обработкой объектов в оперативной памяти скриптовым движком. Злоумышленники могут эксплуатировать уязвимость для удалённого запуска вредоносного кода на компьютере жертвы. Для это...
[Перевод] Охота за ошибками в Kubernetes официально открыта Прим. перев.: Две недели назад стартовала программа Bug Bounty у Kubernetes — долгожданный и важный шаг для столь масштабного Open Source-проекта. В рамках этой инициативы любой энтузиаст, обнаруживший проблему в безопасности K8s, может получить награду в объёме от 100 USD (...
[Перевод] Random Forest, метод главных компонент и оптимизация гиперпараметров: пример решения задачи классификации на Python У специалистов по обработке и анализу данных есть множество средств для создания классификационных моделей. Один из самых популярных и надёжных методов разработки таких моделей заключается в использовании алгоритма «случайный лес» (Random Forest, RF). Для того чтобы попытать...
[Перевод] Жизнь байта данных Любой облачный провайдер предлагает услугу хранения данных. Это могут быть холодные и горячие хранилища, Ice-cold, и т.д. В облаке хранить информацию довольно удобно. Но как вообще хранили данные 10, 20, 50 лет назад? Cloud4Y перевёл интересную статью, рассказывающую как р...
Web Cryptography API: пример использования Доброго времени суток, друзья! В этом туториале мы рассмотрим Web Cryptography API: интерфейс шифрования данных на стороне клиента. Данный туториал основан на этой статье. Предполагается, что вы немного знакомы с шифрованием. Что конкретно мы будем делать? Мы напишем прос...
Игры EA Play станут доступны в подписке Xbox Game Pass для ПК 18 марта Команда Xbox объявила, что уже завтра, 18 марта 2021 года, подписчикам Xbox Game Pass Ultimate и Xbox Game Pass для ПК откроется доступ к библиотеке EA Play без дополнительной платы. Стоит напомнить, что на консолях EA Play добавили в Xbox Game Pass Ultimate ещё в ноябре пр...
В Сеть слили данные более 20 млн пользователей популярных VPN-сервисов Как сообщает «Коммерсантъ», злоумышленники выставили на продажи базу данных 21 млн пользователей бесплатных VPN-сервисов GeckoVPN, SuperVPN и ChatVPN для операционной системы Android. В базе данных оказались адреса электронной почты, пароли и логины пользова...
TOTP (Time-based one-time Password algorithm) С ростом числа угроз кибербезопасности, для разработчиков становится все более и более необходимым обновлять стандарты безопасности веб-приложений и быть при этом уверенными в том, что аккаунты пользователей в безопасности. Для этого в настоящее время многие онлайн-приложени...
Китай создал квантовый сигнал связи с помощью спутника Китайские ученые создали квантовую линию связи. Ее длина превышает тысячу километров. Международная команда ученых объявила о первой одновременной передаче зашифрованного квантового сообщения, которое было отправлено с космического спутника на два наземных телескопа, располо...
Считывание защищенной прошивки из флеш-памяти STM32F1xx с использованием ChipWhisperer В предыдущей статье мы разбирались с Vcc-glitch-атаками при помощи ChipWhisperer. Нашей дальнейшей целью стало поэтапное изучение процесса считывания защищенной прошивки микроконтроллеров. С помощью подобных атак злоумышленник может получить доступ ко всем паролям устройст...
Линейный криптоанализ на примере блочного алгоритма шифрования NUSH В современном мире остро стоит вопрос о конфиденциальности данных при обмене ими и их хранении, которая достигает за счет все возможных способов шифрования. Однако при появление новых алгоритмов шифрования начинают проводиться работы по изучению способов нарушить конфи...
Как скрыть приложение на Андроид Безопасность – штука очень многогранная и неуниверсальная. Для одних это регулярные обновления, которые рассылает Google, для других – надёжный пароль, который не смогут подобрать посторонние, для третьих шифрование, а для четвёртых – сокрытие всего и вся. Причём те, кто ви...
[Перевод] ECMAScript 4: версия, которой не было Вы наверняка заметили, что в системах сборки кода используются спецификации ECMAScript 3, затем ECMAScript 5 и так далее. ECMAScript 4 не используется никогда. Почему?Я подумал, что было бы интересно изучить историю ECMAScript 4 и выяснить, чего мы лишились.Согласно Википеди...
Apple признала, что просматривает фотографии пользователей iPhone Американская технологическая компания официально подтвердила, что контролирует все хранящиеся на смартфонах iPhone и передающиеся через фирменный сервис iCloud фотографии. Делается это с целью мониторинга контента, содержащего детскую порнографию и файлы, свидетельствующие о...
Стиль рабочего экрана заблокирован. Что делать Несмотря на то что нас читают в основном продвинутые пользователи Android, квалификация которых зачастую позволяет поправлять даже авторов, разбираться в мобильной ОС от Google досконально могут лишь единицы. Поэтому нет ничего удивительного, что время от времени многие из ...
В миллионах смартфонов и планшетов на Android обнаружена серьезная уязвимость Уязвимости в смартфонах, которые работают под управлением операционной системы Android, обнаруживаются регулярно, поэтому выпуск заплаток является привычным делом. Google выпускает ежемесячные исправления систем безопасности в течение многих лет. XDA Developers сообщает...
Знакомство с wal-g системой бекапирования PostgreSQL WAL-G — простой и эффективный инструмент для резервного копирования PostgreSQL в облака. По своей основной функциональности он является наследником популярного инструмента WAL-E, но переписанным на Go. Но в WAL-G есть одна важная новая особенность — дельта-копии. Дельта-копи...
10 полезных функций Telegram, о которых вы могли не знать Мессенджер Telegram — не только модное приложение, но и многофункциональная программа для общения. Главный минус сервиса — отсутствие видеозвонков, но зато Дуров и его команда берут другими приятными плюшками. Мы собрали в одной статье 10 полезных функций Телеграм, о которых...
Security Week 20: взлом компьютера через Thunderbolt Давно в нашем дайджесте не было задорных исследований про аппаратные уязвимости. Голландский исследователь Бйорн Рютенберг нашел семь дыр в контроллерах Thunderbolt (сайт проекта, научная работа, обзорная статья в Wired). Так или иначе все уязвимости позволяют обходить ключе...
Как сделать полезным приложение «Файлы» на iPhone и iPad Как только приложение «Файлы» было выпущено вместе с iOS 11, оно стало одним из моих наиболее часто используемых приложений на iPhone и iPad. Ведь помимо возможности доступа ко всем моим документам iCloud Drive, в «Файлах» есть также интеграция с другими облачными хранилища...
Чёртова дюжина вредных советов по безопасности сайта Безопасности мало не бывает. Слабый пароль и логин admin на входе – это лишь пара пунктов. Представим, что еще можно сделать, чтобы свести к нулю условный индекс безопасности сайта. Все пункты, что я перечислю ниже, – исключительно сарказм. Грустный, печальный, но, увы, все...
Как проверить надежность пароля и узнать насколько быстро его можно взломать По статистике, с каждым годом активность хакеров растет все больше и больше. Каждый день множество пользователей по всему миру становятся жертвами злоумышленников и подвергаются взлому. При этом, избежать данной участи можно, просто установив достаточно сложные пароли для св...
Отечественную криптозащиту протестируют на виртуальных сим-картах Это следует из технического задания, подготовленного ведомством для научно-исследовательской работы по применению eSIM в России, на которое ссылается "КоммерсантЪ ". По результатам тестирования подрядчик должен к 25 декабря подготовить "дорожную карту" ис...
Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 3 В предыдущих постах (первая и вторая части) мы рассмотрели техники пяти тактик MITRE ATT&CK: первоначальный доступ (initial access); выполнение (execution); закрепление (persistence); повышение привилегий (privilege escalation); предотвращение обнаружения (defense ev...
Как узнать, заходил ли кто-то в ваш Gmail и что с этим делать Сейчас, когда вопрос личной безопасности стоит особенно остро, многие из нас даже думать забыли о безопасности виртуальной. Этим активно пользуются мошенники, которые подсовывают наивным пользователям фишинговые сайты под видом официальных ресурсов для получения пропусков, ...
Павел Дуров советует удалить WhatsApp Создатель Telegram заявил, что ранее в WhatsApp нашли уязвимость, позволяющую киберпреступникам и правительственным спецслужбам получить данные пользователей. 20 ноября создатель Telegram Павел Дуров призвал пользователей удалить WhatsApp из-за обнаруженных в мессенджере ...
Bitwarden: храните пароли безопасно Если у вас есть хотя бы пять паролей к разным аккаунтам, держать их в голове становится непросто. На помощь приходят менеджеры паролей. Это небольшие программные решения, которые позволяют хранить пароли (а иногда и другие ценные данные) в защищенной базе. Парольные менедже...
NVIDIA исправила опасную уязвимость в GeForce Experience Windows-версия приложения NVIDIA GeForce Experience получила исправление для бага, с помощью которого локальный атакующий мог спровоцировать отказ в обслуживании, а также повысить свои привилегии в системе.
Apple хочет улучшить Связку ключей Компания Apple уже достаточно давно добавила в свои операционные системы инструмент для хранения паролей в iCloud. Делать это можно с помощью Связки ключей. Однако, как сообщают сетевые источники, в будущем купертиновцы могут несколько расширить возможности фирменного менедж...
Как отключить пароль на iPhone и iPad при установке бесплатных приложений из App Store Устанавливая приложения из App Store, пользователи вынуждены вводить пароль от аккаунта Apple ID каждый раз, даже если игра или программа распространяется на безвозмездной основе. Многих это раздражает, однако не все знают, что iOS (iPadOS) позволяет отключить пароль на iPho...
Исправление проблем под Docker. Казалось бы, при чём здесь GIT? Докер под Windows — это постоянные приключения. То ему нужно обновить операционку, иначе последние версии не ставятся, то он забывает, как подключаться к сети. В общем, каждый день от него новости. «Поставил и забыл» — это не про Docker Desktop for Windows. Особенно, когда...
Сколько стоит взломать почту: небольшой анализ рынка хакеров по найму Адрес электронной почты — ключевой элемент защиты личных данных. На него часто завязаны другие учетные записи пользователя. Завладев чужим e-mail, злоумышленник в состоянии восстановить или сбросить пароли связанных со взломанной учеткой сервисов. Если человек не используе...
Google выпустила сразу два обновления Android Компания Google выпустила сразу два обновления операционных системы Android, ориентированных на исправление серьёзных уязвимостей в системе безопасности. Обновление 2020-07-01 включает исправление семь «дыр» в безопасности, 2020-07-05 — семнадца...
CacheOut: у процессоров Intel обнаружили очередную уязвимость Очередная уязвимость была обнаружена в процессорах Intel. Данная уязвимость получила название CacheOut, по той причине, что она дает доступ к информации, хранящейся в кэш-памяти процессора. Подробнее об этом читайте на THG.ru.
Microsoft понадобилось 10 дней, чтобы удалить исходники Windows XP с принадлежащего им GitHub В исходниках Windows XP нашли секретную тему в стиле Mac В сентябре вся индустрия всполошилась после новости об утечке исходных кодов Windows XP и Windows Server 2003. Новость оказалась не фейком. Исходные коды настоящие, и из них скомпилировали рабочие версии обеих ОС. ...
Удалёнка. 15 правил для тех, кто никогда не пробовал, но приспичило Удалённая работа — это отлично. Грустно может быть только если вы никогда так не работали, а сейчас пришлось. Но в этом тоже ничего страшного, главное — соблюдать простые правила. Из-за сами знаете чего мы всей HTML Academy покинули офис и дружно сидим по домам (своим), п...
[Из песочницы] Валидация данных в iOS приложениях Думаю, каждый из нас сталкивался с задачей валидации данных в приложениях. Например, при регистрации пользователя нужно убедиться что email имеет правильный формат, а пароль удовлетворяет требованиям безопасности и так далее. Можно привести массу примеров, но все в итоге сво...
BenQ Instashow заняла 1-е место в Европе по продажам среди систем для беспроводных презентаций с максимальным уровнем безопасности Особенностью системы BenQ InstaShow является отсутствие связи каких-либо программ на устройствах пользователей с приемниками и передатчиками беспроводного подключения, что принципиально исключает доступ к ключам шифрования Беспроводное подключение к системам отображения и...
OSINT в Telegram Протокол Telegram известен своей доступностью и открытостью. У него есть множество публичных реализаций: tdlib/td, rubenlagus/TelegramApi, vysheng/tg, LonamiWebs/Telethon и другие. Однако, даже имея в распоряжении столь богатый инструментарий и объемную документацию (https...
[Перевод] Процедурная генерация многоэтажных 3D-подземелий В последнее время я играл в несколько roguelike, поэтому решил попробовать написать собственный процедурный генератор подземелий. Существует множество способов решения этой задачи, и я выбрал алгоритм автора TinyKeep, описанный здесь. Я расширил этот алгоритм, чтобы он рабо...
Apple выпустила iOS 13.4 beta 2 для всех. Как скачать Apple довольно пунктуальная компания и обычно старается следовать намеченному заранее плану, выпуская даже тестовые версии обновлений для своих ОС по графику. В обычных условиях между выходами закрытой бета-сборки, предназначенной для разработчиков, и общедоступной, проходи...
В России могут создать единый реестр турагентов Предлагаемые изменения в Закон "Об основах туристской деятельности в Российской Федерации" направлены на совершенствование отношений, связанных с турагентской деятельностью, на повышение защиты интересов потребителей туристских услуг, создание прозрачного и контрол...
Доступ к переписке россиян затребовали в ФСБ В ФСБ направили информационные письма компаниям, включенным в реестр организаторов распространения информации, с требованием обеспечить сотрудникам ведомства постоянный доступ к ресурсам и ключи дешифровки с возможностью прочтения пользовательской переписки.
Apple выпустила iOS 13.3 beta 4, tvOS 13.3 beta 4 и watchOS 6.1.1 beta 4 iOS 13.3 beta 4 вышла спустя больше двух недель после выпуска предыдущей сборки Вы тоже это заметили? За последние две недели Apple не выпустила ни одного обновления для своих операционных систем, будь то мелкий патч с баг-фиксами или тестовая сборка iOS 13.3, испытания кото...
Zoom уличили в отсутствии end-to-end шифрования видеоконференций Сервис видеосвязи Zoom утверждает на своём сайте, а также в White Paper, что поддерживает end-to-end шифрование для видеоконференций. Однако исследование The Intercept показало, что это не так. На вопрос, используется ли end-to-end шифрование для видеоконференций, представит...
Может ли ФБР взломать iPhone без помощи Apple? Не совсем ФБР не могут взломать iPhone без Apple, и это правда Вы заметили, что Apple постоянно кому-то противостоит? Как правило, это в основном защита от нападок со стороны, но факт остаётся фактом. То Spotify закатит истерику из-за того, что Apple, видите ли, взимает комиссию за тр...
[Из песочницы] Кажется, мой iPhone забыл пароль от корпоративной Wi-Fi сети Всем привет! Уже и не думал что вернусь к этому кейсу, но Cisco Open Air Wireless Marathon подтолкнул меня вспомнить и рассказать про личный опыт, когда чуть больше года назад мне довелось потратить довольно много времени над изучением проблемы с беспроводной сетью на базе ...
Apple нашла новый способ бороться со взломами iPhone Недавно один из исследователей безопасности опубликовал в Twitter ключ шифрования iPhone. Apple потребовала удалить его, сославшись на Закон об авторском праве в цифровую эпоху (DMCA). Позже пользователи сети заподозрили компанию в применении этого же закона для попытки удал...
Google удалила популярное приложение AnTuTu из каталога Play Store Google жестко расправляется с компаниями, которые нарушают правила Play Store, поэтому за последние пару недель сотни приложений были удалены с цифровой платформы Android. Хотя многие из этих приложений могут быть признаны виновными, некоторые могут быть побочными жертвами, ...
Security Week 50: атаки Man-in-the-middle в Confluence и Linux Сразу несколько новостей этой недели описывают атаки типа Man-in-the-middle, а также средства борьбы с ними. Начнем с относительно курьезной новости: уязвимость нулевого дня случайно обнаружил пользователь Твиттера SwiftOnSecurity — анонимная персона, специализирующаяся преи...
Обновленный Google Chrome покажет, не украден ли ваш пароль В последнем обновлении Chrome «корпорация добра» решила добавить несколько новых функций в свой браузер для обеспечения безопасности при просмотре веб-страниц. При следующей попытке входа на сайт, Chrome предупредит вас о возможности взлома ваших логина и пароля ...
Microsoft вновь латает дыру, используемую в атаках Декабрьский набор плановых патчей для продуктов Microsoft оказался довольно скромным. Он устраняет всего 36 уязвимостей, в том числе семь критических и одну, уже найденную и используемую злоумышленниками. Согласно бюллетеню разработчика, уязвимость нулевого дня CVE-2019-1458...
В интерфейсе Thunderbolt обнаружены уязвимости Исследователь компьютерной безопасности Бьёрн Руйтенберг (Björn Ruytenberg), работающий в техническом университете Эйндховена, рассказал об уязвимостях, обнаруженных в компьютерах, оснащенных интерфейсом Thunderbolt. По его словам, эти уязвимости приводят к тому, ч...
Смените раскрытые пароли. Что это значит и как реагировать Как вы обеспечиваете безопасность своих аккаунтов на разных сервисах? Логично, что паролями. А откуда вы их берёте, где храните и как часто меняете? Большинство из нас, как ни странно, просто лепят один и тот же пароль на все свои аккаунты, облегчая злоумышленникам задачу п...
Фишинг учетных данных Windows В первом квартале 2020 года число фишинговых атак на пользователей по всему миру выросло вдвое по сравнению с аналогичным периодом 2019 года — с 9% до 18%. Такие данные приводит “Лаборатория Касперского”. В операционных системах семейства Windows у некоторых программ и пр...
Приложения против браузера: где безопаснее общаться? Что безопаснее: мессенджеры или браузеры? XXI век — век мобильных приложений и разнообразных соцсетей по интересам. Беспокоясь о сохранности данных своих пользователей, разработчики со всего мира тестируют все новые и новые способы защиты и шифрования данных, таким обр...
Android: уязвимость StrandHogg и обход ограничений на доступ к камере и микрофону Для подписчиковСегодня в выпуске: подробности уязвимости StrandHogg, которая позволяет подменить любое приложение в любой версии Android; обход защиты на доступ к камере, микрофону и местоположению; обход защиты на снятие скриншотов; хорошие и плохие приемы программирования ...
HackTheBox. Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье разберем атаку на OAuth2 аутентификацию через, а также зарегистрируем свое приложение для угона куки администратора. В добавок к этому, проэксплуатируем RCE в веб-сервере...
DeviceLock: десять самых популярных в мире логинов и паролей сохраняют лидерство Ситуация характерна и для России: десятка пин-кодов в стране тоже осталась неизменной (среди них — «пароль», «йцукен», «любовь»).
Apple не может защитить владельцев iPhone от слежки популярных приложений Пользователи гаджетов «яблочной» корпорации столкнулись с большими проблемами, которые могут повлечь за собой финансовые потери. Как оказалось, популярные приложения организаций Air Canada, Singapore Airlines, Hotels и Hollister следят за юзерами. Они наблюдают за действиям...
Неотъемлемые помощники в деле разведки наиболее эффективной в мире спецслужбы (часть 2) Часть 1 Даже имея доступ к конфиденциальным и секретным документам польза будет равна почти нулю, если у шпиона не будет возможности сделать их копии. Можно положиться на память и запомнить материал, потом записать с помощью блокнота и ручки, зарисовать. Довольно-таки неэффе...
Сотни тысяч RSA-ключей оказались уязвимы для взлома Эксперты компании Keyfactor научились взламывать RSA-сертификаты, которые защищают данные IoT-устройств и веб-ресурсов. Исследователи подчеркивают, что проблема содержится не в технологиях шифрования, а в их практической реализации. Криптографический алгоритм RSA появился в ...
Обезл***вание д***ных — это не просто рандомизация В банке есть проблема: нужно давать доступ к базе данных разработчикам и тестировщикам. Есть куча клиентских данных, которые по PCI DSS требованиям Центробанка и законам о персональных данных вообще нельзя использовать для раскрытия на отделы разработки и тестирования. К...
Ботнет Mirai воскрес и атакует IoT-устройства Ботнет Emotet занял в феврале второе место в рейтинге самого активного вредоносного ПО в мире. Специалисты Check Point обнаружили, что Emotet начал использовать новые векторы атак. Первый - это фишинговая СМС-рассылка, которая нацелена на пользователей США. Сообщения якобы о...
Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 4 В предыдущих постах (первая, вторая и третья части) мы рассмотрели техники семи тактик MITRE ATT&CK: первоначальный доступ (initial access); выполнение (execution); закрепление (persistence); повышение привилегий (privilege escalation); предотвращение обнаружения (de...
В Windows обнаружена «чрезвычайно пугающая» дыра в безопасности Агентство национальной безопасности США объявило о найденной критической уязвимости в операционной системе Windows компании Microsoft. Об этом рассказало авторитетное издание Bloomberg. АНБ обратилось с находкой в Microsoft и компания уже отчиталась о...
Ахиллесова пята процессоров Intel. Найдена самая опасная и неустранимая уязвимость Ну что же, спустя более чем два года история с постоянно обнаруживающимися уязвимости в процессорах Intel достигла своего апогея. Специалисты российской компании Positive Technologies обнаружили новую уязвимость, которая гораздо опаснее всех предыдущих вместе взятых. Уя...
[Перевод] Алгоритм сжатия Хаффмана В преддверии старта курса «Алгоритмы для разработчиков» подготовили для вас перевод еще одного полезного материала. Кодирование Хаффмана – это алгоритм сжатия данных, который формулирует основную идею сжатия файлов. В этой статье мы будем говорить о кодировании фиксирован...
Microsoft исправила уязвимость в Windows, которую обнаружило АНБ Компания Microsoft исправила серьёзную проблему в различных версиях Windows, которую обнаружило Агентство национальной безопасности США (АНБ). Уязвимость связана с обработкой сертификатов и криптографии в Windows 10 и позволяет злоумышленникам подделывать цифровую подпись, ...
Британский суперкомпьютер ARCHER подвергся атаке Один из мощнейших суперкомпьютеров Великобритании был атакован неизвестными злоумышленниками. В итоге пользователей предупредили, что их пароли и ключи SSH могли быть скомпрометированы, а администраторы ARCHER утверждают, что атакам подверглись и другие высокопроизводительны...
[Перевод] Реализация технологии SSO на базе Node.js Веб-приложения создают с использованием клиент-серверной архитектуры, применяя в качестве коммуникационного протокола HTTP. HTTP — это протокол без сохранения состояния. Каждый раз, когда браузер отправляет серверу запрос, сервер обрабатывает этот запрос независимо от других...
Microsoft в своём репертуаре. Исправление «чрезвычайно пугающей» дыры Windows 10 не удаётся установить Компания Microsoft выпустила январское накопительное обновление Windows 10 пару дней назад. Помимо всего прочего, апдейт включает исправление критической уязвимости, которую обнаружило Агентство национальной безопасности США. Специалисты по безопасности объявили ...
Гильоши другим манером Гильоши — это характерные узоры на бумажных деньгах и других ценных бумагах. Подробный рассказ о них с отступлением в историю можно найти в предыдущей статье. Там же приводился и алгоритм рисования, строящий гильоши по точкам. Довольно бесполезный, надо заметить, если мы ри...
Как на любом Android включить автозаполнение паролей из Android 11 Автозаполнение паролей – штука чрезвычайно удобная. Несмотря на то что первоначально этот инструмент появился именно на iOS, Google довольно быстро смекнула, что Android тоже в нём нуждается, и реализовала его у себя. Правда, получилось у поискового гиганта далеко не так кр...
Android 10 может сломать ваш Xiaomi Mi 8 Европейские пользователи Xiaomi Mi 8 довольно давно получили оболочку MIUI 11, однако до сих пор она была основана на базе Android 9. На этой неделе для европейкой версии флагмана Xiaomi, выпущенного два года назад, наконец начали распространять финальную версию MIUI 11...
Записи тысяч видеозвонков пользователей Zoom утекли в Сеть Видео были размещены на YouTube и Vimeo. Среди прочих в открытом доступе оказались записи школьных уроков, онлайн-консультаций с врачами и рабочих встреч. Судя по всему, файлы хранились в облаке, а доступ к ним не был защищен паролем.
Вредоносный плагин атакует пользователей Office 365 Специалисты компании PhishLabs рассказали о необычной кампании, нацеленной на угон аккаунтов пользователей Office 365. Как сообщили ИБ-аналитики, злоумышленники не стремятся украсть логин и пароль пользователя, но пытаются установить на его устройство вредоносный плагин с ши...
Нейросеть научили распознавать речь по губам при помощи алгоритма распознавания записи голоса Hal 9000 прекрасно читал по губам, правда, по-английски Нейросети сейчас умеют многое, и постепенно их обучают все большему количеству умений. На днях стало известно о том, что объединенная команда исследователей из США и Китая смогла обучить нейросеть распознавать речь по...
Что известно о новой уязвимости кабельных модемов Специалисты из датской компании, которая проводит консультации в сфере ИБ, обнаружили новую критическую уязвимость Cable Haunt (CVE-2019-19494). Она связана с чипами Broadcom, которые ставят в кабельные модемы — устройства для двусторонней передачи данных по коаксиальному ил...
[Из песочницы] Обязанности администратора Salesforce: Что должно быть сделано и когда Привет, Хабр! Представляю вашему вниманию перевод «Salesforce administrator responsibilities: What needs to be done and when» автора David Taber. Что администратор Salesforce делает весь день, неделю или месяц? Вот общее краткое изложение. Salesforce администраторы отвечаю...
Фишеры атакуют игроков The Elder Scrolls Online Участники многопользовательской игры The Elder Scrolls Online предупреждают о кибератаке, нацеленной на кражу учетных данных и внутриигровых предметов. Мошенники рассылают личные сообщения якобы от лица разработчиков игры и под угрозой блокировки просят сообщить им пароль от...
Ищем уязвимости в TikTok при помощи OSINT Вступление TikTok — одно из самых популярных приложений для просмотра мобильного видео. В нём зарегистрировано 800 миллионов пользователей. Пользователи создают контент с помощью фильтров, музыки, эффектов. Видео создаются странные, но захватывающие внимание. Для столь об...
Эти приложения Android лучше удалить со смартфона, пока не поздно Специализирующаяся на безопасности японская компания Trend Micro обнаружила подборку оптимизаторов и утилит в онлайн-магазине Google Play, которые могут загрузить 3 тысячи разных вариантов вредоносного кода и заразить смартфон. Приложения довольно популярны, их о...
В 2019 году количество попыток отмывания денежных средств выросло почти в три раза Такие данные приведены в отчёте Kaspersky Fraud Prevention , подготовленном "Лабораторией Касперского". По статистике, среди приложений для удалённого управления устройством лидировали AnyDesk, Team Viewer, AirDroid и AhMyth. После установки такого ПО вероятность, ...
Автомобили в Голландии: статистика и информация за 2019 год Привет Хабр. Эта статья является продолжением цикла про Велоинфраструктуру в Голландии. В этот раз речь пойдет про автомобили. Недавно в одном из проектов довелось получить доступ к данным с камеры, распознающей автомобильные номера. Зная номер, можно получить довольно м...
FOSS News №3 — обзор новостей свободного и открытого ПО за 10-16 февраля 2020 года Всем привет! Продолжаем обзор новостей свободного и открытого ПО. Всё традиционно – новости о внедрениях, открытии исходников, новых программах и бонус, небольшой интерактив в конце чтобы познакомиться с программными предпочтениями друг друга. В выпуске №3 за 10-16 февра...
Используем Google Tag Manager Server-Side вместо Zapier Появление Google Tag Manager Server Side привнесло большое количество возможностей в мир маркетологов и дата аналитиков. Так как инструмент новый не все понимают чем он может быть полезен конкретно для их компании. Одно из преимуществ GTM на сторонне сервера в том что вы мо...
Как удалить свои данные с сайта в Google Chrome и зачем это нужно Конфиденциальность – как туалетная бумага: её начинаешь ценить только тогда, когда она заканчивается. Несмотря на то что сам я довольно спокойно отношусь к защите своей приватности, целенаправленно на рожон тоже не лезу, исправно соблюдая базовый свод правил обеспечения без...
Яндекс.Диск стал удобнее для любителей хранить всё важное на рабочем столе. Но за деньги Яндекс объявил о запуске новой функции для облачного хранилища Яндекс.Диск. Речь идёт об автоматическом сохранении папок в программе для Windows. Как поясняют разработчики, Яндекс.Диск теперь умеет автоматически сохранять все файлы с рабочего стола, а также из ст...
[Из песочницы] Ещё раз про аппаратные ключи GPG за копейки В февралe 2020 года на Хабре появилась увлекательная статья про преобразованию программатора ST-Link v2 в аппаратный ключ шифрования. Уже тогда в комментариях появились жалобы на то, что результат не удаётся повторить, но они остались без ответа. За прошедшее время до меня ...
[Перевод] Как написать собственную файловую систему на языке Rust Исходные данные и результаты работы программ должны где-то храниться для дальнейшего использования. Их хранение нужно организовать так, чтобы мы могли быстро получить нужную информацию. За эту задачу отвечает Файловая система (FS): она предоставляет абстракцию для устройств,...
Кругом враги: показано, как информация с ПК может утечь через блок питания Всего две недели назад мы сообщали о том, как хакеры могут украсть данные с компьютера, используя вибрацию корпусных вентиляторов рабочей машины. Разработчик этого метода Мордехай Гури (Mordechai Guri) из Университета имени Давида Бен-Гуриона в Негеве (Израиль) представил ин...
Сбой в работе LastPass лишил пользователей доступа к учетным записям Пользователи LastPass массово жалуются в социальных сетях, так как в работе менеджера паролей уже несколько дней наблюдаются серьезные проблемы.
Хостим Bitwarden — open-source менеджер паролей Менеджеры паролей действительно полезны и важны как для отдельных пользователей, так и для организаций, и они пригодятся, когда у вас много разных учетных записей и паролей. Обычно люди не любят пользоваться сторонними менеджерами паролей с сервисной архитектурой — неизвес...
Банковские приложения в опасности Данные основаны на результатах анализа четырнадцати мобильных приложений семи банков России и стран СНГ (для Google Play и App Store) экспертами Positive Technologies в 2019 г. Согласно результатам исследования, ни одно приложение не обладало приемлемым уровнем защищенности....
[Перевод] Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI Доброго времени суток, читатель! 22 апреля в GitLab выпустили релиз 12.10 и сообщили о том, что теперь CI-процесс может авторизовываться в Hashicorp's Vault через JSON Web Token (JWT), и для авторизации нет необходимости хранить токен для доступа к нужным policy в переменных...
Декриптор вымогателя Ryuk повреждает большие файлы В обновленной версии вымогателя Ryuk был незначительно изменен алгоритм шифрования файлов, из-за чего декриптор, который злоумышленники предоставляют жертвам после получения выкупа, может работать некорректно. Об этом сообщили специалисты компании Emsisoft, которые проанализ...
[Перевод] OCR для PDF в среде .NET — как извлечь текст из недоступных для поиска PDF документов Извлечение текста — одна из популярных задач обработки PDF документов. Вам потребуется извлечь текст из PDF, чтобы: проиндексировать документ для полнотекстового поиска распарсить некоторые данные (например, названия и цены товаров в прайс-листе) выделить, удалить или замен...
[Перевод] Single sign-on для SSH своими руками TL;DR В этот статье мы установим single sign-on для SSH от Google. За кулисами мы воспользуемся OpenID Connect (OICD), краткосрочными SSH сертификатами, несколькими хитростями конфигурации SSH, и опенсорсными пакетами step-ca и step от Smallstep. Мы настроим SSH Certificate ...
Новая бета-версия Android 12 содержит множество исправлений Компания Google выпустила новую бета-версию операционной системы Android 12, которая содержит множество исправлений. Версия Android Developer Preview 2.2. предназначена для разработчиков, которые должны подготовить свои приложения к моменту релиза финальной версии. По с...
Как сбросить пароль iPhone или пароль экранного времени Многие из нас хоть раз, да забывали пароль от своего iPhone. Чаще всего это происходит, когда пытаешься «оживить» старый телефон, пароль на котором устанавливал несколько лет назад. Про пароль от Apple ID и говорить не стоит — многие часто придумывают сложные комбинац...
Как обойти блокировку любого устройства на iOS и Android Иногда в жизни происходят ситуации, когда необходимо получить доступ к заблокированному смартфону. Например, вы просто забыли пароль, а возможно, произошла блокировка устройства в результате программного сбоя. Бывают и экстренные случаи. Например, необходимо получить доступ ...
Роскомнадзор отзывает иск об ограничении доступа к ресурсу Mailbox.org 31 января 2020 года в ответ на требования Роскомнадзора компания Heinlein Support GmbH, владеющая почтовым сервисом Mailbox.org, предоставила сведения, необходимые для внесения в реестр организаторов распространения информации (ОРИ). Ранее Роскомнадзор обратился с иском в Та...
Как пользователи из России могут пользоваться Telegram, если он заблокирован? Когда Эдвард Сноуден обвинил спецслужбу АНБ в шпионаже за американскими гражданами и компаниями, доверие пользователей к официальным СМИ, государственным веб-сайтам и правительству в целом было в значительной степени подорвано. В последние годы все больше и больше пользовате...
Microsoft знает о критической ошибке в Windows 10 [KB4532693] В Windows 10 возникли серьезные проблемы из-за проблемного обновления «KB4532693», которое было выпущено 11 февраля с исправлениями для различных уязвимостей безопасности. Как и каждый выпуск Patch Tuesday, KB4532693 должен был стать важным накопительным обновлением, однако ...
Три кейса инвентаризации рабочих станций в условиях удалённой работы Управление рабочими станциями при их физическом отсутствии в офисе — новый вызов для компаний, которые перевели сотрудников на удалённый режим работы. При наличии прав администратора, пользователи, непреднамеренно могут установить софт, который окажется эксплойтом для чьего-...
[Перевод] Если данные не помещаются в память. Простейшие методы Самка трубкозуба с детёнышем. Фото: Scotto Bear, CC BY-SA 2.0 Вы пишете программу для обработки данных, она отлично проходит тест на небольшом файле, но падает на реальной нагрузке. Проблема в нехватке памяти. Если у вас 16 гигабайт ОЗУ, вы не сможете туда загрузить стоги...
Как сделать резервную копию Android перед тем, как сбросить настройки Хотя многие из нас хранят большую часть наших личных данных в облаке в различных сервисах, таких, как Dropbox, Gmail и Google Photos, или пользуются потоковыми сервисами, некоторые персональные данные все равно будут храниться локально. Если вам надо будет сбросить настройк...
Как восстановить пароль от учетной записи macOS Активные пользователи яблочных компьютеров вряд ли могут забыть пароль от своей учетной записи. Однако в редких случаях восстановить доступ к отдельной «учетке» все же бывает нужно. Сделать это можно несколькими способами.Читать дальше... ProstoMAC.com.| Постоянная ссылка |...
Аккаунты Facebook защитят от взлома аппаратными ключами Глава отдела безопасности Facebook Натаниэль Глейхер (Nathaniel Gleicher) сообщил, что компания планирует развернуть поддержку аппаратных ключей, которые люди смогут использовать для повышения безопасности своей учетной записи Facebook. Глейхер сказал, что компания расс...
API, ради которых наконец-то стоит обновиться с Java 8. Часть 2 Продолжаем рассказ про API, которые появились в новых версиях Java. 1. Files.mismatch() Появился в: Java 12 На практике довольно часто возникает необходимость проверить, являются ли два файла в точности одинаковыми или нет. С помощью метода Files.mismatch(), появившегося в ...
Агрегация маршрутов для списков РКН и чем это грозит добропорядочным сервисам Данная статья сугубо технического характера, затрагивающая один из аспектов блокировки ресурсов по спискам РКН и имеет актуальность для сервисов, ориентированных (в том числе) на жителей РФ. Краткий обзор способов блокировки Для блокировки по спискам РКН обычно используют сл...
Hack The Box. Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье намучаемся с нагрузками metasрloit и msfvenom, сделаем Office документ с нагрукой msvenom, рассмотрим поиск ...
Какие функции в Android 10 я ценю больше всего Android 10 вышла уже достаточно давно – аж прошлой осенью, — а многие до сих пор либо так и не получили обновления, либо, если получили, то даже не пытались в нём разобраться. По сути, в этом нет ничего странного, потому что для большей части пользователей важен тольк...
«Лаборатория Касперского»: уязвимостью нулевого дня Windows уже успели воспользоваться злоумышленники «Лаборатория Касперского» обнаружила уязвимость нулевого дня в ОС Windows, которую злоумышленники уже успели использовать во вредоносной операции WizardOpium. Программа-эксплойт для этой уязвимости позволяла организаторам атак повышать ...
Как восстановить удаленные данные на Android-устройстве (или хотя бы попытаться) Наверняка каждый по случайности удалял какой-нибудь важный файл: фото, документ или что-нибудь еще. Но в случае с Android это не значит, что все потеряно. Теоретически есть возможность восстановить что угодно. Шансы зависят от типа файла, способа удаления и... везения. Про...
FOSS News №4 — обзор новостей свободного и открытого ПО за 17-23 февраля 2020 года Всем привет! Продолжаю обзор новостей свободного и открытого ПО (и немного железа). Всё самое главное про пингвинов и не только, в России и мире. В выпуске №4 за 17-23 февраля 2020 г.: Исследование RedHat: Open Source вытесняет проприетарное ПО из корпоративного сегмен...
В новой почте Яндекса появилось резервное копирование Команда Яндекса объявила о расширении функциональности универсального сервиса Яндекс.Почта 360 — там появилась функция создания резервных копий. При активации в настройках автоматического копирования, сервис будет создавать копии всех удалённых писем, котор...
Ключ лицензии Windows 10 Pro 2020 Windows 10 Pro - одно из лучших решений для бизнеса. Здесь разработчики открывают новые возможности для удаленного доступа, а также работы с различными видами документов, которые сохранены на устройствах или в облаке. Все эти дополнительные функции вряд ли могут понадоби...
Laravel-Дайджест (29 июня – 5 июля 2020) Подборка новых статей по фреймворку Laravel. Разберемся как работает шифрование во фреймворке. Аутентифицируем пользователя по отпечатку пальца. Развернём приложение по методу zero-downtime. Спарсим данные с сайтов и выведем в удобной для себя форме. И устроим видео-стриминг...
Как наладить безопасный доступ к серверам в режиме удалённой работы Тут на Хабре уже десятки статей, повествующих, как люди переживали переход на удалёнку, как переживали первые дни удалёнки, потом – как прошла первая неделя, и всё такое прочее. Иногда между описанием эмоций проскакивали какие-то дельные советы. Мы как люди с 12-летним опы...
[Из песочницы] A* pathfinding на C#: двоичные кучи и борьба с аллокациями Сегодня мы разбираем один из популярнейших алгоритмов поиска пути. Работать будем с двумерным массивом целочисленных координат. Сначала кратко ознакомимся с методами обхода графов, напишем собственно поиск пути, а затем перейдём к самому вкусному: оптимизации быстродействия...
Интернет-магазин Keysworlds предлагает самые дешевые ключи на Microsoft Office в 2020 году Люди все чаще жалуются на падение продуктивности труда. В первую очередь это связано с массовым переходом на удаленную работу: теперь у многих рабочий день начинается утром и длится до поздней ночи. Еще одной из причин падения стало то, что при переходе на «удаленку» все важ...
Google превратила приложение «Сообщения» в аналог iMessage для Android Сегодня ночью Google выпустила тестовое обновление для своего сервиса «Сообщения» под Android. Ключевой фишкой апдейта стала повсеместная (ну, почти) поддержка RCS (rich communication service). Этот стандарт, работающий от Сети, позволит пользователям использовать приложени...
Рабочая станция в Docker контейнере Для чего? Мне постоянно приходят всякие идеи и некоторые из них сразу хочется попробовать, но рабочая станция не всегда под рукой, поэтому я настраивал IDE на всем что попадется под руку. В итоге устройства начали захламляться, а поддерживать и обновлять их стало тяжело. Что...
Ускоряем OpenVPN на роутере Openwrt. Альтернативная версия без паяльника и хардварного экстремизма Всем привет, недавно прочитал давнюю статью о том, как можно ускорить OpenVPN на роутере, перенеся шифрование на отдельную железку, которая припаивается внутри самого роутера. У меня аналогичный с автором случай — TP-Link WDR3500 с 128 мегабайтами оперативки и бедным проце...
На рынок выходит система корпоративных коммуникаций с функцией распознавания лиц Технология осуществляет аутентификацию пользователей при регистрации на запланированное мероприятие. Это позволяет повысить безопасность доступа к контенту, хранящемуся в коммуникационной системе, а также автоматически идентифицировать участников конференции и определять их ...
В накопителях Greenliant G3200 объемом до 1,92 ТБ используется флеш-память SLC NAND Компания Greenliant Systems начала отгрузку ознакомительных образцов твердотельных накопителей EnduroSLC Industrial Enterprise EX G3200. Серия включает устройства типоразмера 2,5 дюйма объемом от 800 ГБ до 1,92 ТБ. В них используется флеш-память SLC NAND. Накопители осн...
Apple массово блокирует Apple ID пользователей VPN За последние несколько месяцев ему пришлось пять раз пройти процедуру полного сброса пароля учетной записи.Парень предположил, что причина регулярной блокировки Apple ID в использовании VPN-сервисов, на что получил положительные ответы и подтверждение от других пользователе...
ESP-NOW — альтернативный протокол обмена данными для ESP8266 и ESP32. Основные понятия Технология ESP-NOW — это упрощенный протокол связи WiFi с передачей коротких пакетов между парами сопряженных устройств, разработанный и выпущенный Espressif в 2016.07 для микроконтроллеров ESP8266 и ESP32. При этом дополнительные процедуры, связанные с поддержкой протокола...
AirTag взломали и смогли отправить текстовое сообщение через сеть Локатора Сеть приложения Локатор (Find My) с недавнего времени используется Apple для отслеживания местонахождения не только устройств, но и также вещей и предметов, на которых установлен AirTag. Маячок сам подключается к любому ближайшему iPhone, Mac или другому устройству Apple. К...
Microsoft делает эти функции необязательными в Windows 10 Windows 10 поставляется со множеством функций как для обычных пользователей, так и для корпоративных. В Windows 10 есть довольно много функций, которые юзеры не используют, и они по умолчанию отключены. Такие функции не являются обязательными, но они могут помочь при использ...
PS5 подверглась критике из-за муторного процесса переноса сохранений в Marvel's Avengers Работа PlayStation 5 с кроссген-играми снова подверглась критике на этой неделе. Владельцы Marvel’s Avengers узнали, что им нужно будет вручную перенести свои сохранения с PlayStation 4 в версию проекта текущего поколения. В Twitter официальная учётная запись Marvel’s Avenge...
[Перевод] Знакомимся с методом обратного распространения ошибки Всем привет! Новогодние праздники подошли к концу, а это значит, что мы вновь готовы делиться с вами полезным материалом. Перевод данной статьи подготовлен в преддверии запуска нового потока по курсу «Алгоритмы для разработчиков». Поехали! Метод обратного распространени...
Security Week 04: криптопроблемы в Windows 10 Главной новостью прошлой недели стала уязвимость в криптобиблиотеке Windows, связанная с некорректной проверкой цифровых сертификатов. Проблема была закрыта кумулятивным патчем, вышедшим во вторник, 14 января. По данным Microsoft, реальных атак до раскрытия информации замече...
Удалил контакты на iPhone — как восстановить? С кем не бывало — хранишь себе спокойно контакты на айфоне, а потом, когда возникает необходимость связаться с человеком, начинаешь судорожно искать его в списке контактов. И не находишь. Куда же он мог деться? Вариантом множество: от ошибки, вызванной синхронизацией, до сл...
Apple представила специальную версию сайта iCloud.com для iPhone и Android Спустя 8 лет Apple всё-таки решилась выпустить мобильную версию iCloud.com Несмотря на то что Apple всегда стремилась обеспечить удобство своих пользователей при взаимодействии с фирменными сервисами, иногда в Купертино – осознанно или нет – всё-таки допускают осечки. Но одн...
Лучшие офисные приложения на Android Носить целый «офис» в кармане? Почему бы и нет! Возможность использовать свой смартфон не только для того, чтобы кому-то позвонить или отправить сообщение, но и применять его в качестве рабочего инструмента — это уже давно стандарт для любого продвинутого пол...
Опасно ли держать открытым RDP в Интернете? Нередко я читал мнение, что держать RDP (Remote Desktop Protocol) порт открытым в Интернет — это весьма небезопасно, и делать так не надо. А надо доступ к RDP давать или через VPN, или только с определённых "белых" IP адресов. Я администрирую несколько Windows Serv...
Вредоносные Python-библиотеки воровали ключи SSH и GPG Из PyPI были удалены две вредоносные библиотеки, пойманные на краже ключей SSH и GPG из проектов разработчиков. Одна из библиотек оставалась незамеченной почти год.
Реализация ARP-спуфинга на Python Введение В данной статье я бы хотел продемонстрировать то, как можно реализовать собственную программу ARP-спуфинга на Python. Реализаций уже тысячи, но почти все они с использованием библиотеки Scapy и пары методов. Возможно данную библиотеку использовать эффективнее, не сп...
[Перевод] «Привет, мир»: разбираем каждый шаг хэш-алгоритма SHA-256 SHA-2 (Secure Hash Algorithm), в семейство которого входит SHA-256, — это один самых известных и часто используемых алгоритмов хэширования. В тексте подробно покажем каждый шаг работы этого алгоритма на реальном примере. SHA-2 отличается безопасностью (его тяжелее взломать,...
Как подписывать почтовую переписку GPG-ключом, используя PKCS#11-токены Современные почтовые сервисы из года в год совершенствуют свою систему безопасности. Сначала появились механизмы аутентификации через СМС, сейчас уже совершенствуются механизмы машинного обучения для анализа подозрительной активности в почтовом ящике. А что если кто-то по...
Google записывает вас почти во всех своих приложениях. Как удалить Google записывает почти всё, что вы говорите, даже если вы об этом не знаете Практика сбора пользовательских данных, начинавшаяся как побочная деятельность для компаний, имеющих доступ к соответствующей информации, постепенно превратилась в одно из ключевых направлений очень...
В Windows меньше уязвимостей, чем в Debian Linux Исторически Windows не была заточена под безопасность, но Microsoft стала более серьезно относиться к ней начиная с Windows XP, которая включала в себя широкий спектр функций безопасности и мощный брандмауэр. В ответ на растущие проблемы безопасности Microsoft также начала о...
Атака Plundervolt ломает защиту Intel SGX Исследователи из трех европейских университетов опубликовали сведения об атаке, которой они дали называние Plundervolt. Эта атака эксплуатирует уязвимость в процессорах Intel, связанную с возможностями разгона, чтобы нарушить целостность данных в анклавах Intel SGX. ...
Microsoft выпустит антивирус Defender для iOS. Зачем? Несмотря на то что для iPhone практически всегда существовала процедура джейлбрейка, позволявшая взломать iOS, именно он считался самым защищённым смартфоном на рынке. Ни один аппарат под управлением Android не мог составить ему конкуренцию, когда речь заходила о безопаснос...
Говорят, Zoom теперь небезопасен. Объясняем, за что именно критикуют сервис «Теплица социальных технологий» – оператор программы TeploDigital, в рамках которой многие некоммерческие организации могут получить качественные международные IT-сервисы по сниженным ценам. Одним из таких сервисов является сервис для организации звонков и вебинаров Zoom. ...
WhatsApp перестанет работать на этих устройствах 1 февраля После недавнего прощания с Windows Phone мессенджер WhatsApp также прекратит поддержку мобильных устройств, которые работают под управлением iOS 7 и Android 2.3.7, а также более старых версий этих ОС. Изменения вступят в силу 1 февраля 2020. Как было в случае с Windows ...
Сравнение процессоров Байкал-М и Эльбрус-8СВ Сравнение процессоров Байкал-М и Эльбрус-8СВ Недавно у меня по работе появился компьютер на базе процессора Байкал-М (BE-M1000), а также у меня есть удалённый доступ к компьютерам на процессорах Эльбрус, поэтому я решил сравнить их производительность в различных тестах. Чит...
Более миллиарда пользователей Windows под угрозой. Официально Компания Microsoft предупредила пользователей операционной системы Windows о двух критических уязвимостях, которые пока не закрыты и в настоящий момент вовсю используются хакерами. Данные уязвимости присутствуют в Windows 7, 8.1 и всех поддерживаемых верси...
«Тинькофф» спрятал на своём сайте секретное послание конкурентам На днях «Тинькофф» объявил о запуске «суперприложения» на базе мобильного банка. Известно, что Сбербанк, Яндекс и Mail.ru тоже работают над подобными сервисами. Послание конкурентам по этому поводу в «Тинькофф» решили зашифровать на официальном сайте.
Xiaomi запускает в России бесконтактную оплату через Mi Band Лично я довольно прохладно отношусь к продукции Xiaomi и не разделяю энтузиазма её фанатов, но даже я искренне восхищаюсь линейкой фитнес-браслетов Mi Band. Ведь китайцам не просто удалось создать самый популярный трекер для занятий спортом, они открыли этот рынок миллионам...
Удаленное исполнение кода в SMB v3: CVE-2020-0796 Никогда такого не было, и вот опять. Microsoft распространила информацию о наличии RCE-уязвимости в протоколе SMB версий 3.1.1 и выше. Уязвимости подвержены системы с Windows 10 1903 и выше, включая серверные издания. По имеющейся на данный момент информации — уязвимости п...
Мобильный сайт Азино 777 Онлайн игровой клуб Азино 777 работает уже много лет на территории бывшего СНГ. Геймеры с большим удовольствием отдают именно этому клуб своё предпочтение, так как казино создало самые надёжные и безопасные условия для своих посетителей. Каждый игрок сможет найти здесь для с...
Microsoft предлагает до 20 000 долларов за уязвимости в Xbox Компания Microsoft официально запустила bug bounty программу для своей игровой платформы Xbox. За обнаруженные уязвимости исследователям заплатят от 500 до 20 000 долларов США.
[Перевод] Усложняем Sci-fi-модели процедурно: что такое Greeble и как его использовать Для начала позвольте мне пожаловаться, что «greeble» — ужасное слово, которое нужно изгнать из словаря. Ну, сняв камень с души, перейдём к объяснениям. Greeble — это мелкие повторяющиеся детали, добавляемые к модели, чтобы придать ей ощущение масштаба и определённой эстети...
Марафон удалёнки, неделя 1: рабочее место Вот там на самом верху сайта у нас иконка бегуна, который символизирует Марафон удалёнки. Эту душеспасительную движуху мы затеяли, чтобы самим не сойти с ума в изоляции. А заодно, надеемся, эта активность поможет кому-то прокачать навыки удалённой работы. Эту неделю — с 20...
Из Chrome Web Store удалено 49 расширений. Они воровали данные криптовалютных кошельков Из Chrome Web Store удалили почти пять десятков вредоносных расширений, имитировавших такие приложения криптовалютных кошельков, как Ledger, MyEtherWallet, Trezor, Electrum и так далее. Все они похищали приватные ключи и мнемонические фразы пользователей.
Apple выпустила iOS 14 beta 7 с новыми обоями Apple выпустила седьмую бета-версию iOS 14 и iPadOS 14 для разработчиков. Обновление уже доступно для загрузки с помощью Wi-Fi через меню «Обновление ПО», а также на специализированном портале Apple. Помимо обычных изменений для обновлений вроде повышения стабильности работ...
Vulnhub. Прохождение Sunset: nightfall Сегодня в нашем прохождении серии Sunset следующая коробочка – nightfall. Автор: whitecr0wz И как обычно мы начинаем с определения IP-адреса. netdiscover IP нашей машины будет 192.168.1.106. Сканирование Просканируем все порты nmap -p- 192.168.1.106 Просканировав все ...
[Из песочницы] Фундаментальное решение системы линейных уравнений. Взгляд со стороны Добрый день! В данной статье я попробую взглянуть по новому на алгоритм поиска общего решения системы линейных уравнений. Задача, которой мы займемся звучит так. Найти общее решение следующей системы уравнений Такую задачу решают, приведя исходную систему к треугольному...
Новый метод биометрии: биоакустическая подпись Южнокорейские учёные изобрели новый метод биометрической идентификации: по звуковым волнам, проходящим через тело (палец). Оказывается, этот сигнал достаточно уникален у каждого человека. И лишён главной уязвимости оптических методов биометрии, таких как сканирование отпеч...
Security Week 52: безопасность умных колонок и IP-камер Еще в октябре исследователи из компании SRLabs показали, как можно менять поведение умных колонок Amazon Echo и Google Home для подслушивания разговоров или даже фишинга паролей (новость, исследование). Для последнего даже существует специальный термин — vishing, он же voice...
В Dropbox нашли уязвимость нулевого дня, патча для которой пока нет В Dropbox для Windows обнаружили уязвимость, которая позволяет злоумышленникам получить привилегии уровня SYSTEM. Патча для нее пока нет, но разработчики 0Patch уже выпустили временную «заплатку».
[Перевод] Создание CI/CD-цепочки и автоматизация работы с Docker Я написала мои первые сайты в конце 90-х. Тогда приводить их в рабочее состояние было очень просто. Был Apache-сервер на каком-нибудь общем хостинге, на этот сервер можно было войти по FTP, написав в браузерной строке нечто вроде ftp://ftp.example.com. Потом надо было ввести...
Код безопасности изменился в WhatsApp. Что делать Единственное, на мой взгляд, преимущество WhatsApp перед другими мессенджерами состоит в популярности. Даже если ваш собеседник не является продвинутым пользователем смартфона, можете быть уверены, что уж WhatsApp-то у него точно установлен. Это как Сбербанк. Вы можете поль...
Клара у Карла пароли украла и за битки продала: расшифровка эфира с Ашотом Оганесяном Неделю назад в нашем инстаграм-аккаунте выступил Ашот Оганесян — технический директор и основатель DeviceLock. Ашот ведет телеграм-канал Утечки информации и уже 20 лет занимается проблемами DLP. Во время эфира Ашот отвечал на вопросы, которые задавали в комментариях в ин...
[Перевод] Trusted Types — новый способ защиты кода веб-приложений от XSS-атак Компания Google разработала API, которое позволяет современным веб-приложениям защитить свой фронтенд от XSS-атак, а конкретнее — от JavaScript инъекций в DOM (DOM-Based Cross Site Scripting). Межсайтовый скриптинг (XSS) — наиболее распространённый тип атак, связанных с уяз...
Как выбрать безопасный браузер? В последнее время проблема конфиденциальности в Сети получила большое распространение. Беспокоясь о сохранности данных своих пользователей, разработчики со всего мира тестируют все новые и новые способы защиты и шифрования данных, таким образом совершенствуя уже накопленный...
Функция-конвертер для отправки сообщений на русском языке в Телеграмм из Микротик РоутерОС Мессенджер Телеграмм крайне удобен для уведомления о работе IT-оборудования, чем активно пользуются СисАдмины. Популярные WhatsApp и Viber поддерживают API но в них нет встроенной технологии создания своих ботов. РоутерОС известной компании Микротик не позволяет штатными с...
VPN в домашнюю локалку TL;DR: я устанавливаю Wireguard на VPS, подключаюсь к нему с домашнего роутера на OpenWRT, и получаю доступ к домашней подсети с телефона. Если вы держите на домашнем сервере личную инфраструктуру или у вас дома множество девайсов управляемых по IP, то вы наверняка хотите...
Как скачать популярный набор утилит для Android со скидкой 50% Для работы с Android нужны серьезные утилиты Рано или поздно каждый сталкивается с необходимостью восстановить удаленные сообщения, фото или видео на смартфоне, перенести данные между двух мобильных устройств или наладить корректную работу телефона после неудачной установки ...
Как работать из дома. Чек-лист удаленщика В интернете огромное количество заметок на тему удаленной работы, с лаконичным обзором минусов, плюсов и известными советами, как вытащить себя из рутины, начиная с «Первым делом снимите пижаму». В блоге Surf мы уже затрагивали эту тему в статье моей коллеги, которая поделил...
Разработчики ПО Zoom выпустили новое обновление Разработчики программы Zoom представили новое обновление 5.0. Разработчики проделала огромную работу над улучшением шифрования и добавили новые функции безопасности. Сервис Zoom теперь поддерживает 256-битное GCM-шифрование AES, что обеспечивает защиту данных и защиту от н...
Ubiquiti Networks сообщила о взломе и просит клиентов сменить пароли Производитель сетевого оборудования и IoT-устройств, компания Ubiquiti Networks, разослал своим клиентам электронные письма с уведомлением о хакерской атаке. Неизвестные злоумышленники могли получить доступ к конфиденциальной информации пользователей.
Это приложение сбрасывает пароль iPhone за 5 минут без iTunes Рано или поздно многие сталкиваются с необходимостью сбросить пароль на iPhone. Причем не всегда это случается, если забыл пароль: у нас в редакции, например, был случай, когда один из авторов уронил свой айфон на паркет (бедолага), экран разбился вдребезги и он просто не м...
[Перевод] Использование алгоритма Прима для генерации соединённых друг с другом пещер Я решил объяснить один из алгоритмов генерации карты, используемых в моей игре In the House of Silence. Главное преимущество этого способа заключается в том, что в отличие от других алгоритмов, он никаким образом не может сгенерировать карту с разделёнными частями. Гене...
Суперскорость привела к удорожанию Xiaomi Mi 10 Ранее глава Xiaomi Лей Цзюнь (Lei Jun) и глава бренда Redmi Лу Вейбинг (Lu Weibing) официально подтвердили, что Xiaomi Mi 10 станет первым в мире смартфоном, в котором используется оперативная память LPDDR5. Ранее Micron Technology объявила о начале массовых поставок пе...
Хакеры научились разблокировать iPhone без подбора пароля Мы уже слышали ранее о таком программно-аппаратном комплексе как GrayKey. Данное устройство позволяло взломать любой iPhone с помощью быстрого подбора паролей. Достаточно подключить телефон к специальной черной коробочке, и спустя какое-то время совершится та самая магия, к...
Хакеры слили в открытый доступ учетные данные 500 000 аккаунтов Fortinet VPN Исследователи сообщают, что на хакерских форумах распространяется список, состоящий почти из 500 000 логинов и паролей для входа в Fortinet VPN. Якобы эти учетные данные были скопированы с уязвимых устройств прошлым летом. Злоумышленники пишут, что уязвимость, использованная...
Полиция «доказала» вину россиянина в продаже наркотиков по Wi-Fi без пароля Суд в Ставрополе обвинил жителя Томска в продаже наркотиков и дал ему 11 лет колонии строгого режима. В качестве доказательства вины мужчины использовали IP-адрес, с которого «закладчик» якобы получал задания. Проблема в том, что осуждённый пользовался Wi-Fi без пароля, дост...
Как открыть меню Разработка (консоль разработчика) в Safari на Mac и для чего оно нужно Далеко не каждый пользователь macOS знает, что в штатном браузере Safari присутствует скрытое меню «Разработка». В этом материале мы расскажем о возможностях этого раздела. ♥ ПО ТЕМЕ: Как увидеть сохраненные пароли сайтов в Safari и программ на iPhone и iPad. Для чего...
Установка SKR v1.4 (не турбо) + TMC2208 (UART) на Ender 3 с родным дисплеем Мой первый пост. И рассчитан он для начинающих печатников (коим я и являюсь), обладателей очень популярного Creality Ender 3. Писк моторов (ночью очень раздражает) и желание печатать водорастворимым филаментом для поддержек, сподвигло на апгрейд, с условием сохранения ро...
Canon взломан: сервера лежат, информация украдена, хакеры требуют денег По данным интернет-издания BleepingComputer онлайн-сервисы компании Canon подверглись мощной хакерской атаке. В настоящий момент не работают более двух десятков американских сайтов производителя фото и видеоаппаратуры, а также почтовые сервисы, внутренние корпоративные платф...
GSoC 2019: Проверка графов на двудольность и трансформеры монад Прошлым летом я участвовал в Google Summer of Code — программе для студентов от компании Google. Ежегодно организаторы отбирают несколько Open Source-проектов, в том числе от таких известных организаций, как Boost.org и The Linux Foundation. Для работы над этими проектами Go...
Анонсирован выпуск PhysX SDK 5.0 Компания Nvidia анонсировала выпуск новой версии кроссплатформенного программного инструмента для моделирования физических эффектов в компьютерной графике — PhysX SDK 5.0. Первым среди новшеств, реализованных в новой версии PhysX, производитель упоминает поддержк...
Хакеры могут использовать роботы-пылесосы для подслушивания за пользователем Роботы-пылесосы обрели достаточно широкую популярность во всем мире, но теперь оказалось, что в них есть подвох, связанный с безопасностью.Группа исследователей выяснила, что роботы-пылесосы можно взломать и использовать в качестве микрофона. Причем интересно то, что в самом...
Непричёсанные мысли по поводу формата сохранения: теория Начнём с вводных. Мы разрабатываем программу, которая будет сохранять свои данные в файл, и при этом… будет расширяться, и существенно (отпадают уровни и сохранения большинства игр: после пары патчей бросаем игру и пишем новую); тем не менее программа не рассчитывает на то...
[Перевод] Node.js, Tor, Puppeteer и Cheerio: анонимный веб-скрапинг Веб-скрапинг — это метод сбора данных с веб-сайтов. Этот термин обычно используется в применении к автоматизированному сбору данных. Сегодня мы поговорим о том, как собирать данные с сайтов анонимно. Причина, по которой некто может захотеть анонимности в деле веб-скрапинга, ...
Представлены твердотельные накопители Kingston KC2500 Kingston Digital, подразделение компании Kingston Technology, представило твердотельные накопители KC2500. Эти накопители типоразмера M.2 с интерфейсом PCIe Gen3 x 4 и поддержкой протокола NVMe предназначены для настольных ПК, рабочих станций и высокопроизводительных вы...
Сбои в работе сервиса Mail.ru Начиная с 11 часов, пользователи сервисов Mail.ru испытывают трудности с использованием продуктов компании. Большинство проблем юзеров связаны с электронной почтой – корреспонденция не приходит и не отправляется, рассортированные письма не отображаются. Также пользователи от...
Эксперты CyberArk Labs выявили баги в популярных антивирусах Согласно отчету CyberArk Labs, высокие привилегии антивирусного ПО делают его более уязвимыми. В итоге защитные решения могут использоваться для атак с манипуляциями с файлами, и малварь получать повышенные права в системе. Ошибки такого рода были обнаружены в продуктах Kasp...
Работа на удаленке: как настроить круглосуточный доступ к офисному компьютеру и его файлам Если раньше удаленный формат работы был просто трендом, то сейчас стал необходимостью. И многие из-за принудительного режима самоизоляции столкнулись с проблемой доступа к файлам и приложениям, хранящимся на офисном компьютере. В этой статье расскажу о нашем решении — Para...
На хакерском форуме опубликованы данные 10,6 миллиона гостей отелей группы MGM Resorts Специалисты сервиса Under the Breach, который специализируется на отслеживании утечек данных, сообщили о том, что на одном из крупных хакерских форумов опубликованы персональные данные гостей отелей группы MGM Resorts. Эта компания контролирует сеть отелей и казино во многих...
Подписка на ОС Windows 10 может быть включена в пакет Microsoft 365 для потребителей Несколько недель назад стало известно о том, что Microsoft готовится представить новый пакет услуг и сервисов Microsoft 365, предназначенный для потребителей. Предполагалось, что пользователи смогут получить в рамках данного предложения доступ к Office 365 Personal или Offic...
Инвесторы компании-владельца генератора паролей LastPass договорились о её продаже за $4,3 млрд Но если компания получит более выгодное предложение в течение 45 дней, то сможет расторгнуть соглашение.
Как получить обновление Windows 10 May 2020 Update прямо сейчас Microsoft наконец-то анонсировала Windows 10 May 2020 Update, следующую версию Windows 10 для вашего ПК. Обновление начнет развертываться для потребителей уже в мае, но вы можете его получить уже сегодня, если вы выберите один из каналов Windows Insider. Обновление за май 20...
Файлы из приватных чатов Slack подвержены утечкам Механизм обмена файлами в Slack содержит серьезную уязвимость, которая может привести к несанкционированному раскрытию конфиденциальной информации. Об этом заявили ИБ-специалисты израильской компании Polyrize. По мнению экспертов, файлы, размещенные в приватной переписке или...
ProxyLogon. Как работает уязвимость в Microsoft Exchange Server и как ее используют хакеры Для подписчиковКогда злоумышленники отыскивают в каком-нибудь софте уязвимости нулевого дня, начинается веселье. А если это происходит с очень популярным и широко распространенным ПО, веселье начинает приобретать оттенки драмы. Именно это и случилось с Microsoft Exchange Ser...
[Перевод] Алгоритм AdaBoost Перевод статьи подготовлен в преддверии старта продвинутого курса «Математика для Data Scienсe». Введение Алгоритм AdaBoost можно использовать для повышения производительности любого алгоритма машинного обучения. Машинное обучение стало мощным инструментом, позволяющим д...
Как ученые взломали сложнейший криптографический код: новый рекорд Хоть решенный алгоритм и слабее практический криптографии, которую в наши дни используют для обеспечения безопасности данных, однако даже такое достижение стало для современной вычислительной техники весьма выдающимся. В общей сложности системе потребовались 35 000 000 вычис...
[Перевод] Как Секретная служба США перепутала киберпанк-RPG с учебником для хакеров Только одна книга с правилами ролевой игры имеет на обложке сообщение «Книга, конфискованная Секретной службой США!» Эта RPG — GURPS Cyberpunk, дополнение 1990 года к Generic Universal Roleplaying System, изданной Steve Jackson Games. Утром 1 марта 1990 года автора GURPS C...
[Перевод] Kha vs HTML5: Компилируем JavaScript в C++ Предлагаю вашему вниманию перевод доклада Роберта Конрада с прошедшего в октябре прошлого года HaxeUp Sessions 2019 Linz. Данный доклад посвящен процессу портирования на консоли игры CrossCode, изначально написанной на HTML5. Если вам понравится перевод, то рекомендую также ...
Apple выпустила релизную версию iOS 13.3.1. Что нового iOS 13.3.1 вышла спустя всего три этапа бета-тестирования Минувшая осень была особенно богатой на обновления iOS. С момента выхода iOS 13 компания Apple выпустила не только несколько патчей с исправлениями, но и три вполне себе функциональных апдейта, содержащих ряд значимых...
[Из песочницы] Почему Array.isArray(Array.prototype) возвращает true? Сегодня мы с вами разберемся в следующем: что за метод такой Array.isArray(), как он устроен под капотом, что изменилось с ним после выхода ES6, почему он возвращает для Array.prototype значение true и еще много связанных с этим методом тем. Читать далее
Google решила сделать процесс обновления Android проще Android будет обновляться быстрее Процесс обновления смартфонов – очень сложен. Несмотря на то что, в отличие от компьютеров на Windows, они устанавливают апдейты довольно быстро, не вынуждая пользователя ждать по полчаса, это всё равно неудобно. Но если избавиться от необхо...
В Windows 10 обнаружен баг, из-за которого повредить файловую систему можно всего одной короткой командой По сообщениям сетевых источников, в Windows 10 обнаружилась серьёзная уязвимость нулевого дня, эксплуатация которой позволяет повредить файловую систему NTFS с помощью однострочной команды. Проблема затрагивает Windows 10 1803 и более поздние версии программной платформы, вк...
DNS-over-HTTPS и риски для персональных данных — обсуждаем мнения экспертов 25 февраля Mozilla сделали DNS-over-HTTPS (DoH) протоколом по умолчанию в своем браузере для всех американских пользователей. В целом ИТ-сообщество встретило это решение положительно, заметив, что шифрование DNS-трафика повысит безопасность в интернете. Но нашлись и те, кто ...
[Из песочницы] IPSec всемогущий Добрый день, друзья. Не секрет, что многим из нас хоть раз, но пришлось столкнуться с необходимостью настройки VPN. Являясь активным читателем Хабра я заметил, что несмотря на обилие статей про IPSec, многим он всё равно представляется чем-то сложным и перегруженным. В данно...
«Код безопасности» представил Secret Net Studio 8.6 c контролем административных привилегий Компания «Код безопасности» объявила о выходе новой версии продукта Secret Net Studio, предназначенного для комплексной защиты рабочих станций и серверов от внешних и внутренних угроз. В версии 8.6 был усилен контроль ...
Легко ли взломать iPhone и как это делают спецслужбы Если вы думаете, что спецслужбы, которые взламывают iPhone подозреваемых в совершении преступлений, всесильны, это, конечно, не так. По данным Motherboard, до половины всех смартфонов, проходящих в качестве вещественного доказательства по уголовным делам, так и остаются в с...
Дешёвая и быстрая печать на чековом термопринтере У нас, айтишников, часто возникает задача напечатать что-то простое и одноразовое – например, логин и пароль новому сотруднику, тикет для монтажника или что-то в этом роде. Тратить бумагу и картридж на подобное очень дорого. При этом есть принтеры с ультрадешёвой скоростной ...
Программируем на iPad Pro Можно ли заменить программисту MacBook на iPad Pro? Программисты для работы часто предпочитают использовать MacBook. Ноутбуки Apple имеют консоль Bash и схожи с Linux, при этом предлагают плавный и приятный интерфейс, чего до сих пор не может дать нам Linux (даже Ubuntu 19.1...
Google удалила из Google Play 25 приложений. Удалите и вы Защитные механизмы Google Play, которые Google использует для выявления вредоносных приложений, очень эффективны. Они действительно очень круто выявляют программы-нарушители, а потом удаляют их. Правда, есть в их работе небольшая загвоздка. Так уж получилось, что срабатываю...
Эффективная работа из дома: общее и личное Моё домашнее рабочее место Да, о работе из дома есть уже миллион текстов, в том числе и на Хабре. Но многие советы из них вроде «оденьтесь по-офисному, и тогда будет рабочий настрой» для меня выглядят слишком обобщающими. Люди разные, и одним формальная одежда действительно...
[recovery mode] Кросскомпиляция выполняемых файлов Rust для Windows из Linux Наверное не будет уж очень удивительным если я тут, на IT площадке Хабра, скажу что я иногда балую себя программированием. Основная OS у меня Linux, но иногда приходится собирать исполняемые файлы и для Windows. И естественно что перегружаться в Windows только для сборки exe...
[Перевод - recovery mode ] Делаем быстрее POSTGRESQL COUNT (*) Часто жалуются, что count (*) в PostgreSQL очень медленный. В этой статье я хочу изучить варианты, чтобы вы получили результат как можно быстрее. Почему count (*) такой медленный? Большинство людей без проблем понимают, что следующий запрос будет выполняться медленно: S...
В свободном доступе оказались миллиарды логинов и паролей от электронной почты В интернете появились данные учетных записей владельцев почтовых ящиков на платформах Gmail и Hotmail. В общей сложности речь идет о 3,2 миллиардов адресов, что является крупнейшей утечкой за все время. Информацию об этом распространили представители издания BGR.
Шифрование данных на виртуальном сервере Немного здоровой паранойи еще никому не вредило. Помимо мессенджеров с оконечным шифрованием, шифрованием файлов на смартфонах «из коробки» и обязательным использованием SSL на сайтах, не лишним будет защитить данные на виртуальных серверах. Тем более, современные технолог...
Улучшаем Кузнечик на Rust Порой, простое и красивое решение лучше правильного и выдержанного. Возможно, именно так бы и было, если в жизни всё происходило как в учебниках. На практике же, нужно пройти долгий путь, чтобы создать задуманное.Отступая от лирики, в данной статье я хочу рассказать заинтере...
[Перевод] Как в ЦРУ десятилетиями читали зашифрованную переписку союзников и противников Более полувека правительства всех стран доверяли единственной компании сокрытие переписки, которую вели их шпионы, солдаты и дипломаты Эта компания, Crypto AG, первого своего успеха добилась, заключив во время Второй Мировой войны контракт на создание кодирующих машин для ...
В приложении «Сбербанк Онлайн» появились чужие номера: как их удалить Клиенты Сбербанка обнаружили посторонние телефонные номера в приложении «Сбербанк Онлайн». Несмотря на то, что основной номер при этом остался неизменным, многих насторожило то, что у них в личном кабинете появился еще один неизвестный номер, к которому привязана банковская...
Безалаберность пользователей PayPal позволяющая украсть их аккаунт и деньги [Исправлено] Добрый день, уважаемые коллеги! Я являюсь пользователем популярного платежного сервиса системы PayPal. Также, по совместительству, являюсь специалистом по технической безопасности в области защиты персональных данных. Хочу рассказать вам, каким образом я обнаружил уязвимость...
Почему нужно включить двухфакторную аутентификацию в Telegram Telegram можно взломать, если не установлена двухфакторная аутентификация Можете называть меня жертвой влияния Павла Дурова, но мой любимый мессенджер – это Telegram. Несмотря на то, что начинал я, как и все, с WhatsApp, со временем я и мои знакомые дружно перешли в Telegram...
Инвесторы компании-владельца генератора паролей LastPass договорились о её продаже частным инвесткомпаниям за $4,3 млрд Но если компания получит более выгодное предложение в течение 45 дней, то сможет расторгнуть соглашение.
[Из песочницы] 7 основополагающих принципов ITIL Сегодня ценность ITIL многими ставится под сомнение. Одни утверждают, что это дорого и работает только в крупных инфраструктурах, другие говорят, что применять можно даже в небольших структурах. Я придерживаюсь идеи, что истина где-то посередине. Полностью следовать рекоменд...
WhatsApp содержит уязвимость, позволяющую украсть чужие логины и пароли Самым популярным и известным в мире сервисом для общения является WhatsApp, который пользуется невероятно большой популярностью по всему миру. Его на постоянной ежедневной основе используют более чем 1,6 млрд человек, проживающих в различных частях мира, Сообщение WhatsApp ...
Уязвимость в Laravel. Разбираем эксплоит, который дает удаленное выполнение кода в популярном PHP-фреймворке Для подписчиковВ библиотеке Ignition, поставляемой с Laravel, обнаружилась уязвимость, которая позволяет неавторизованным пользователям выполнять произвольный код. В этой статье мы посмотрим, где разработчики Ignition допустили ошибку, и разберем два метода ее эксплуатации.
Универсальный роутинг для React приложений Если попытаться в двух словах описать, в чем заключается функция роутинга на фронтэнде веб-приложений, то можно придти к выводу, что каждый популярный фреймоворк совершенно по-разному представляет это себе. Даже, сравнивая версии одного и того же фреймоворка, можно придти к ...
[Перевод] Мониторинг вашей инфраструктуры с помощью Grafana, InfluxDB и CollectD У компаний, которым необходимо управлять данными и приложениями на более чем одном сервере, во главу угла поставлена инфраструктура. Для каждой компании значимой частью рабочего процесса является мониторинг инфраструктурных узлов, особенно при отсутствии прямого доступа д...
Секретное оружие PlayStation 5 В ходе выставки Consumer Electronic компания Samsung показала новый твердотельный накопитель 980 Pro, который стал первым потребительским SSD Samsung с PCIe 4.0. Заявленная скорость чтения составляет 6500 МБ/с (хотя источник говорит о 7000 МБ/с), записи — 5000 МБ...
В Китае вступил в силу закон о криптографии Принятый ранее парламентом КНР законопроект о криптографии официально вступил в силу с 1 января 2020 года. Документ стандартизует криптографические приложения и процесс управления публичными/приватными ключами. Кроме того, отмечает China Money Network, новый закон призван за...
В Drupal закрыли опасную уязвимость Разработчики Drupal анонсировали выпуск обновлений 7.69, 8.7.11 и 8.8.1, содержащих патчи для нескольких уязвимостей. Самая серьезная из них присутствует в сторонней библиотеке Archive_Tar — CMS-система использует ее для архивирования файлов, содержимое которых требует интер...
Неподдерживаемую Windows 7 до сих пор можно бесплатно обновить до Windows 10 Как мы уже сообщали, 14 января 2020 года компания Microsoft прекратила поддержку операционной системы Windows 7, несмотря на ее высокую популярность.Интересно, что неподдерживаемую Windows 7 до сих пор можно бесплатно обновить до Windows 10, хотя официально указанная возможн...
[Перевод] Интеграция чат-бота Dialogflow с Angular-приложением Существует множество публикаций о разработке чат-ботов с использованием возможностей платформы Dialogflow. Но для выхода на решение, которое применимо на практике, просто создать бота недостаточно. Бота надо подключить к веб-интерфейсу. Это — интересная и сложная задача. Чат...
Adobe пропатчила Acrobat, Photoshop и Brackets Компания Adobe Systems в плановом порядке устранила 25 уязвимостей в Acrobat / Reader, Photoshop, текстовом редакторе Brackets и платформе ColdFusion. Семнадцать проблем безопасности грозят исполнением произвольного кода и признаны критическими. Данных об использовании каког...
Разработчики ASUS и Acer исправили опасные ошибки в своем ПО Эксперты компании SafeBreach обнаружили способ выполнить сторонний код на компьютерах Acer и ASUS. Угроза связана с собственным предустанавливаемым ПО производителей. В случае Acer проблема содержится в приложении Acer Quick Access. Оно автоматизирует настройку часто использ...
«Дружба» Windows 10 и iPad Pro стала более крепкой В 2006 году компания Apple отказалась от архитектуры IBM PowerPC в пользу чипов от Intel, это позволило запускать на MacBook’ах операционную систему Windows. Идея была реализована с помощью Boot Camp Assistant, который устанавливал «окна» на отдельный раздел. Теперь с...
Индексируемое бинарное дерево Попалась мне задача следующего вида. Необходимо реализовать контейнер хранения данных обеспечивающий следующий функционал: вставить новый элемент удалить элемент по порядковому номеру получить элемент по порядковому номеру данные хранятся в сортированном виде Читать даль...
2-х факторная аутентификация пользователей VPN посредством MikroTik и SMS Здравствуйте коллеги! Сегодня, когда накал страстей вокруг «удалёнки» немного спал, большинство админов победило задачу удаленного доступа сотрудников к корпоративной сети, пришло время поделиться моей давней наработкой по повышению безопасности VPN. В этой статье не будет м...
Разработчики Chrome 79 залатали две критические уязвимости Разработчики Google представили Chrome 79. Создатели браузера добавили несколько функций, реализованных в сторонних расширениях, укрепили поддержку HTTPS и устранили более 50 уязвимостей. Контроль скомпрометированных паролей Список новых возможностей Chrome включает уведомле...
[Перевод] Чем отличаются Dagger, Hilt и Koin под капотом? Dagger и Koin, без сомнения, являются двумя самыми популярными фреймворками для внедрения зависимостей на Android. Обе эти библиотеки служат одной цели и кажутся очень похожими, но работают они по-разному.А при чем здесь Hilt? Hilt — это библиотека, которая использует Dagger...
Выбираем лучшие Android-браузеры в 2020 году: когда стандартный жутко бесит При наличии огромного количества приложений-браузеров, найти в Google Play тот, который более всего соответствует вашим потребностям, непросто. Конечно, вы можете просто использовать браузер, предустановленный в вашем смартфоне, но вряд ли это будет лучшим решением. Незави...
TikTok безвозвратно удалил сотни тысяч аккаунтов, связанных с порно и проституцией Из-за невероятной популярности TikTok во всем мире, команда сервиса приняла решение более серьезно относиться к контенту, который публикуют пользователи, и начала проводить тотальные чистки.Сервис начал навсегда удалять аккаунты нарушителей. К таковым относятся мошенники, не...
[Перевод] Django: краткое руководство по интернационализации Перевод приложения на разные языки и его локализация — это нечто такое, чем приходится заниматься всем разработчикам. В материале, перевод которого мы сегодня публикуем, представлено краткое руководство по интернационализации Django-приложений. Часть того, о чём тут пойдёт ...
Что делать, если забыл пин-код телефона Неприятная ситуация, в которую попадали многие владельцы смартфонов, сейчас встречается не так часто, как раньше, но все равно случается. Я говорю о забытом ПИН-коде от телефона. Системы биометрической разблокировки сделали свое дело и теперь пароль часто просто не нужен. С...
Как удалить обновление iOS, загруженное (загружаемое) на iPhone или iPad, освободив место Одним из преимуществ iOS является постоянный выход обновлений, применимых к большинству устройств. Гаджет сам проверяет наличие новой версии прошивки и скачивает ее потом «по воздуху». Это позволяет устройству обновиться без лишних хлопот в виде подключения к компьютеру, раб...
Статическое тестирование безопасности опенсорсными инструментами Уязвимости в своём коде хочется находить как можно быстрее, а значит нужно автоматизировать этот процесс. Как именно автоматизировать поиск уязвимостей? Существует динамическое тестирование безопасности, существует статическое — и у обоих свои преимущества и недостатки. Сег...
Apple рассказала, какие изменения ждут Safari Безопасность в интернете – это явление, которое хоть и существует, но совершенно незаметно для рядовых пользователей. В отличие от паролей и биометрии, используемых в смартфонах, защитные механизмы мировой паутины нельзя потрогать, но именно в незаметности заключается их пр...
Чек-лист устранения SQL-инъекций По всему миру происходят атаки с использованием SQL-инъекций, которые продолжают представлять угрозу информационной безопасности. Успешная атака с использованием таких уязвимостей может привести к компрометации персональных данных и несанкционированному доступу к серверу. А ...
Zoom придется сосредоточится на вопросах безопасности и конфиденциальности В условиях, когда удаленная работа на дому превратилась в обычное дело, «зумбомбинг» может иметь крайне нежелательные последствия. Компания Zoom решила временно полностью прекратить разработку новой функциональности для своих продуктов, с тем чтобы сосредоточиться на реше...
[Из песочницы] Keylogger для Windows с изменением прав в DACL Здесь будет рассмотрено создание Keylogger на базе .Net C# с вызовами системных функций. Сами системные функции в кратце описываются, но лучше прочитать официальную документацию от Microsoft. Ссылка на репозиторий с рабочей сборкой приведена в конце, так же как и ссылка на д...
Волк в овечьей шкуре. Создаем поддельную точку доступа на ESP8266 для сбора паролей Для подписчиковFree_Wi-Fi… как же приятно видеть подобное оповещение на экране смартфона или другого гаджета, когда ты присел отдохнуть в кафе торгового центра или аэропорта перед вылетом. Так уж устроен человек, что тянет его ко всему дармовому. Однако каждому известно, где...
[Перевод] Внутри многокристального секционного микропроцессора Am2901 от AMD 1970-х годов Вы, возможно, знакомы с современными процессорами производства компании Advanced Micro Devices. Но AMD начала производить процессоры ещё в 1975 году, когда впервые представила свой Am2901. Это был т.н. многокристальный секционный процессор: каждый из чипов обрабатывал по 4 б...
Security Week 15: настоящие и воображаемые уязвимости Zoom В четверг 2 апреля издание The Guardian поделилось впечатляющими цифрами о платформе для веб-конференций Zoom: рост посещаемости этого сервиса составил 535%. Определенно Zoom лучше конкурентов смог воспользоваться ситуацией, получив прирост если не в деньгах, то точно в попу...
DiskDigger Photo Recovery для Android: Как восстановить удаленные с SD-карты фото Проблема бэкапа данных в наши дни стоит особенно остро. Массовые пользователи зачастую пренебрегают базовыми правилами цифрового этикета и не сохраняют данные в облако или хотя бы на ПК или внешний носитель. А потом эти же люди удивляются: “куда пропали мои фотографии?...
Выпущена новая сборка Microsoft Edge Dev 83.0.478.5 Microsoft выпустила новую сборку Microsoft Edge на базе Chromium под номером 83.0.478.5 для канала Dev, которая принесла с собой несколько новых функций, а также различные исправления и улучшения. Эта сборка является кандидатом на выпуск на канале Beta, и она немного новее,...
Xiaomi предлагает супергаджет для тех, кто в доме хозяин Компания Xiaomi представила на своей фирменной платформе коллективного финансирования Youpin новое полезное устройство для хозяйственных пользователей. Электрическая отвёртка Wowstick SD начнёт продаваться с 9 февраля по цене 28 долларов. В комплект к отвёртке вх...
Автоматизация журналиста. Часть 1: Задачи и календари Уже больше 15 лет я работаю техническим журналистом. Помогаю рассказывать о продуктах, технологиях и, что уж тут скрывать, встраиваюсь в стратегию хантинга. На меня есть спрос, поэтому много лет для меня ребром стоит задача повышения эффективности работы. Как говорится, вок...
API, ради которых наконец-то стоит обновиться с Java 8. Часть 1 На сегодняшний день Java 8 является самой популярной версией Java и ещё довольно долго будет ей оставаться. Однако с тех пор уже выпущено пять новых версий Java (9, 10, 11, 12, 13), и совсем скоро выйдет ещё одна, Java 14. В этих новых версиях появилось гигантское количество...
Программист из Сан-Франциско забыл пароль к кошельку с 7002 биткоинами Забытый пароль стоимостью 259 000 000 $
Данные 235 миллионов аккаунтов Instagram, YouTube и TikTok утекли в сеть. Что делать? Простой пример: вы пристегнули велосипед на улице замком к фонарному столбу. В каком случае вероятность того, что его украдут будет выше, в этом, или если он хранится дома? Ответ очевиден и пусть пример немного грубый, но практически так и работает то, что ваши учетные данн...
Серверы Huawei на процессорах Kunpeng 920 получат российскую «импортонезависимую» операционную систему Компании Huawei и РЕД СОФТ сообщили о подписании соглашения о технологическом сотрудничестве. Предмет соглашения — продажи на российском рынке комплексных решений, в которых объединены флагманские продукты двух компаний: серверы Huawei Taishan 200 (модель 2...
В ОС Windows обнаружена новая уязвимость нулевого дня Эксперты "Лаборатории Касперского" сообщили Microsoft об обнаруженной угрозе, и компания выпустила патч, который устраняет эту уязвимость.Найти брешь в Windows специалистам "Лаборатории Касперского" помогло исследование другой уязвимости нулевого дня. В н...
[Перевод] 6 рекомендаций по разработке безопасных Go-приложений В последние годы Golang распространяется всё шире и шире. Успешные проекты, вроде Docker, Kubernetes и Terraform, сделали огромные ставки на этот язык программирования. Go стал стандартом де-факто в области создания инструментов командной строки. А если говорить о безопаснос...
JPEG. Алгоритм сжатия И снова здравствуйте! Я нашел эту статью, написанную еще мае 2019-ого года. Это — продолжение серии статей о WAVE и JPEG, Вот первая. Эта публикация включит в себе информацию об алгоритме кодирования изображений и о самом формате в целом. Щепотку истории Столовую ложку стать...
Роскомнадзор внёс «Яндекс.Дзен» в реестр организаторов распространения информации по «закону Яровой» Теперь сервис обязан хранить данные пользователей и предоставлять их госорганам.
Google тестирует автозаполнение паролей на Android с помощью биометрии Автозаполнение на Android станет безопаснее Apple часто обвиняют в медлительности при внедрении новых функций iOS, что в Купертино объясняют стремлением извлечь из нововведения максимум пользы. Именно поэтому многие возможности становятся доступны пользователям мобильной ОС ...
Шифрование по-индийски. Взламываем Tally ERP 9: аналог 1С из страны контрастов Tally ERP 9 — своеобразный индийский аналог системы 1С:Предприятие. Производитель определяет его как программное обеспечение, созданное «для наслаждения». Сегодня мы собираемся насладиться продуктом по полной программе, взломав зашифрованные данные и проанализировав совершен...
Что такое ProgPoW? 1 Что такое ProgPoW? ProgPoW — сокращение от Programmatic Proof-of-Work («программируемое доказательство выполнения работы»), также иногда используется шуточный вариант PorgyPoW (от названия птиц поргов из пятого эпизода фильма «Звездные войны: последние джедаи») — это обнов...
[Из песочницы] C++ и Численные Методы: Приближенное интегрование по Ньютону-Котесу Методы Ньютона-Котеса — это совокупность техник приближенного интегрирования, основанных на: разбиении отрезка интегрирования на равные промежутки; аппроксимации подинтегральной функции на выбранных промежутках многочленами; нахождении суммарной площади полученных криволин...
Как закрыть все открытые приложения на Mac (macOS) в один клик Пользователи Windows, выключая PC, автоматически закрывают все активные приложения, тем самым убивая лишние процессы и освобождают системные ресурсы. А вот пользователи macOS вообще редко когда выключают или перезагружают свою машину, а выгружать приложения по одному долго и...
Взломать админа Во многих случаях, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты — социальные качества, необходимые для установления быстрой связи и доверия. Кевин Митник Проверка осведомленности персонала об ИБ-угрозах являетс...
Узбекистан потребовал от иностранных интернет-платформ хранить персональные данные граждан на территории страны Об этом сообщает D-Russia со ссылкой на Podrobno.uz."Узбекистан отправил запросы в Facebook Inc (Facebook Messenger, Instagram, WhatsApp), Google (Google Messenger, YouTube), Mail.ru ("ВКонтакте", "Одноклассники"), Microsoft Skype, Telegram, Tencent...
Почему я никогда не скачиваю приложения для Android из интернета Операционная система Android открывает пользователям поистине большие возможности. Благодаря её открытости с ней можно делать всё что угодно – от кастомизации отдельных элементов интерфейса до установки каких угодно приложений, которые можно скачивать откуда угодно. Но если...
Samsung T55 в трех вариантах Официально представлена новая линейка изогнутых мониторов под названием Samsung T55, которая представлена тремя вариантами. Правда стоит сказать, что производитель н совсем интересно подал свои мониторы, да и в целом изогнутая матрица сейчас мало кого волнует, так как произв...
Хит-парад паролей (анализ ~5 млрд паролей из утечек) В прошлом году мы в DeviceLock провели анализ утекших паролей. На тот момент в нашей «коллекции» паролей было около 4 млрд уникальных пар логин/пароль. За время, прошедшее с прошлого исследования, «коллекция» пополнилась почти 900 млн новыми уникальными логинами и паролями. ...
Полный коннект Всем привет.Тем кто перешел на "удаленку"!Как известно у каждого RDP подключения(подключение к удалённому рабочему столу) есть свое время ожидания в режиме простоя.Режим простоя это когда сервер не получает никакой информации от средств ввода(мышка,клавиатура) и спустя какое...
Apple удалила симулятор заражения Plague Inc. из китайского App Store Сегодня Apple удалила из китайского App Store популярную игру Plague Inc. по требованию властей. Это связано с коронавирусом Covid-19, из-за которого игра вырвалась в ТОП. В ней геймеру предлагается создать свой вирус и заразить им весь мир, чтобы уничтожить чел...
Wi-Fi сети в опасности! Защита WPA2 оказалась уязвима Изменение пароля не спасет от взлома. Wi-Fi сети в опасности! Защита WPA2 оказалась уязвима. Исследователь из Левенского католического университета в Бельгии Мэти Ванхоф обнаружил ряд критических уязвимостей в технологии, которая обеспечивает безопасность соединения для все...
Как узнать забытый пароль от вайфая (Wi-Fi сети) на компьютере Windows: 4 способа При подключении нашего устройства к сети Wi-Fi обычно нам приходится вводить для нее пароль. Это разовая операция, затем подсоединение будет осуществляться уже автоматически. В результате пароль со временем способен просто потеряться или забыться. А ведь он может потребовать...
Шутки и отсылки в «Гриффинах» на английском, которые нужно объяснять «Гриффины» — это своеобразный мультик для взрослых, который очень любят в США. По стилю он похож на «Симпсоны», но шутки в нем куда более жесткие. В русскоговорящих странах мультик был принят довольно холодно. Главная причина — практически все гэги и шутки завязаны на амери...
Как использовать «Связку ключей» на iPhone и Mac «Связка ключей iCloud» является очень полезной функцией в экосистеме Apple. Она работает на iPhone, iPad, iPod Touch и Mac. «Связка ключей» позволяет запоминать, хранить и вводить логины, пароли, номера банковских карт и другую личную информацию, в зависи...
Samsung удалит все фотографии и альбомы из Samsung Cloud Сегодня днем компания Samsung объявила, что сервис Samsung Cloud сосредоточится на предоставлении базовых функций резервного копирования, синхронизации и восстановления данных мобильного телефона, таких как контакты и заметки. C 31 августа 2021 года Samsung Cloud прекра...
Microsoft выпусит антивирус на Android и iOS. Вот смешные! Компания Microsoft с особенным энтузиазмом в последнее время относится к мобильным продуктам. Так, например, не так давно она выпустила отдельное приложение Office со встроенным Word, Excel и PowerPoint. Приложение хоть и выступило лишь в качестве обертки над тремя уже суще...
Злоумышленники эксплуатируют уязвимость корпоративных VPN Аналитики «Лаборатории Касперского» сообщили о серии атак на финансовые и телекоммуникационные компании Восточной Европы и Средней Азии. Преступники использовали уязвимость корпоративных VPN-сервисов, чтобы украсть учетные данные для доступа к финансовой информации...
Microsoft настоятельно рекомендует всем пользователям обновить Windows 10 Компания Microsoft настоятельно рекомендует пользователям компьютеров на базе Windows 10 установить последнее обновление операционной системы.Связано это с тем, что последний апдейт закрывает четыре очень серьезные бреши в системе безопасности ОС. Злоумышленники, воспользова...
Эволюция методов mesh denoising: от простых фильтров до 3D глубокого обучения В этой обзорной статье вы узнаете, что такое mesh denoising, какие методы использовались и используются для устранения шума на полигональных сетках (от классических фильтров до передовых графовых нейронных сетей), и получите общее представление о развитии направления. С пом...
Как увеличить разрешение фото без потери качества с помощью ИИ в Gigapixel AI Наверняка многие из вас сталкивались с такой проблемой, когда находишь на просторах интернета красивую картинку и хочешь скорее установить ее себе на рабочий стол, но низкое разрешение изображения не позволяет этого сделать. Или же перед вами стоит более профессиональная зад...
Надежно храним домашнюю фото и видео коллекцию на компьютере или ноутбуке В наш цифровой век домашняя фото и видео коллекция - это одна из самых ценных вещей, которые хранятся на наших компьютерах. Если вы по неосторожности потеряли ее, то это катастрофа. Давайте обсудим методы, которые сохранят ее при отказе HDD или заражении шифровальщиком.
Apple отрицает, что хакеры взламывали почту через уязвимости в iOS Apple ответила на недавнюю публикацию компании ZecOps о найденных уязвимостях в стандартном почтовом клиенте iOS. Эксперты ZecOps утверждают, что начиная с iOS 6 в системе были уязвимости, которые позволяли злоумышленникам получить полный доступ к электронной по...
[Перевод] 5 алгоритмов регрессии в машинном обучении, о которых вам следует знать Источник: Vecteezy Да, линейная регрессия не единственная Быстренько назовите пять алгоритмов машинного обучения. Вряд ли вы назовете много алгоритмов регрессии. В конце концов, единственным широко распространенным алгоритмом регрессии является линейная регрессия, главны...
WhatsApp поразил «новогодний вирус» В популярном мессенджере WhatsApp появился так называемый «новогодний вирус». Злоумышленники действуют по банальной схеме, однако, учитывая праздничный период, она является довольно эффективной. Речь идет о сообщениях, которые содержат ссылки на веб-страницы...
Названы главные киберугрозы 2020 года Компания Avast представила ежегодный доклад Threat Landscape Report с прогнозами в области кибербезопасности на 2020 год.Какие тенденции можно выделить?Во-первых, злоумышленники будут искать новые методы распространения угроз. Глава направления по исследованию угроз компании...
О фейковых криптовалютах (Ethereum, Tron, Ripple и пр) К сожалению, концепция криптовалют, несмотря на своё изящество, не нашла понимания у основной массы пользователей. "Среднему пользователю" неважно, лежат ли его деньги в распределённом блокчейне или на каком-то конкретном сайте. Для него это всё равно "где-то в сети". Когда ...
Бизнес раскритиковал законопроект Минкомсвязи по большим данным В АБД “Коммерсанту” подтвердили отправку письма, в пресс-службе Минкомсвязи сообщили, что пока его не видели.По итогам 2019 года рынок данных в России оценивался в 45 млрд руб., к 2024 году вырастет до 100 млрд руб., уточняют в ассоциации. Поправки к закону "...
Безопасность Android — вот над чем стоит задуматься Как сделать Android безопасным? Безопасность — крайне серьезная штука, которая важна, наверное, каждому пользователю. Кто хочет, чтобы за вами следили или могли украсть данные? Никто этого не хочет. Кто хочет, чтобы крупные компании знали, где вы находитесь? Кто хочет,...
Немного SQL алхимии О популярной библиотеке SQLAlchemy для работы с разными СУБД из Python было написано довольно много статей. Предлагаю вашему вниманию обзор и сравнение запросов с использованием ORM и SQL подходов. Данное руководство будет интересно прежде всего начинающим разработчикам, пос...
10 лучших облачных сервисов для хранения и синхронизации данных в 2020 году Современные облачные сервисы помогают сохранять гигабайты фотографий, документов, файлов и прочих данных. Мы собрали в одной статье лучшие из подобных хранилищ. Несмотря на то, что у них есть общие черты, каждый сервис по своему уникален, имеет оригинальные фишки, преимущест...
Как московский офис FunCorp перешёл на удалёнку за 1 день 16 марта московский офис FunCorp перешёл на удалённый режим работы. Как решились на этот шаг, какие риски закрыли и с какими сложностями столкнулись в первую неделю — делимся своим опытом в этой статье. С чего всё началось Уже в конце февраля во всех чатах и соцсетях акти...
Критическая уязвимость в WhatsApp позволяет удалить всю переписку у собеседника Наиболее известным и популярным сервисом для общения в мире является WhatsApp, используют который на постоянной основе более чем 1,6 млрд человек. Многие годы создатели этого мессенджера уверяли всех в том, что он является крайне безопасным, Сообщение Критическая уязвимость...
Количество атак, связанных с коронавирусом, выросло на 30% Атаки от лица ВОЗ и ООНХакеры часто прибегают к использованию имени Всемирной организации здравоохранения (ВОЗ) для осуществления своих атак. Так, недавно киберпреступники осуществили фишинговую рассылку от лица ВОЗ (англ. World Health Organization, WHO) с использованием дом...
Создаем свой шахматный движок: алгоритм игры компьютера Продолжаю рассказывать, как докручиваю свой шахматный движок, и это вторая часть статьи. Она небольшая, здесь я подсвечу настройку ИИ в игре. Сыграем с соперником в лице собственного компьютера. В первой статье я начал с истории и поделился реализацией ходов. Было много ...
Как отключить автозаполнение на Android Автозаполнение – штука очень полезная. Благодаря ей мы можем не тратить время на ручное перебивание самого широкого спектра данных, которые периодически требуются нам в интернете. Логины, пароли, номера банковских карт, имя и фамилия, адрес доставки, коды из SMS и много чег...
Google допустила утечку паролей из Chrome По подсчётам ИБ-специалистов, могли пострадать от 15 до 50% пользователей браузера.
Apple хочет стандартизировать одноразовые SMS-пароли Приложения научатся считывать коды из SMS
Худшие пароли 2019 года привычно примитивные: 123456 и 123456789 лидируют Остальные пароли тоже легко подобрать.