Свежие публикации
MongoDB, Elastic, кривые руки программистов госструктур и законы открывают данные россиян злоумышленникам
Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса. Самым существенным недостатком выявленных уязвимостей является то, что никто...
Ищем уязвимости в UC Browser
Введение В конце марта мы сообщали, что обнаружили скрытую возможность загрузки и запуска непроверенного кода в UC Browser. Сегодня разберём подробно, как эта загрузка происходит и как хакеры могут использовать её в своих целях. Некоторое время назад UC Browser рекламировали и распространяли очень...
PHDays 9: приглашаем на секцию по безопасной разработке
На форуме Positive Hack Days 9 в течение двух дней пройдет секция по безопасной разработке сообщества Positive Development User Group. Участников ждут 12 выступлений: в первой части каждого дня пройдут технические доклады, во второй — посвященные бизнес-процессам. Читать дальше →...
История компьютеров: ночь в музее Яндекса
Мы в Яндексе очень любим компьютеры, поэтому не так давно открыли свой небольшой музей. Здесь мы собираем редкие экземпляры вычислительной техники и знание о людях, которые повлияли на их развитие. Наши экспонаты работают, их можно трогать руками и запускать программы. В этом году мы присоединяемся...
Mail.ru Group разрешила прямые сделки между рекламодателями и издателями в myTarget
Теперь рекламодатели и площадки могут договариваться об условиях размещения напрямую....
[Перевод] Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена
Обнаруженная в этом году уязвимость в Exchange позволяет любому пользователю домена получить права администратора домена и скомпрометировать Active Directory (AD) и другие подключенные хосты. Сегодня мы расскажем, как работает эта атака и как ее обнаружить. Читать дальше →...
Слепая простота
В этой статье я расскажу о blind XSS — это довольно простая, но зачастую очень эффективная атака на веб-приложения. Эксплуатация таких векторов атак приводит к захвату админ-панелей различных сервисов, в том числе софтверных гигантов. Читать дальше →...
«Невзламываемый» eyeDisk защищён сканом радужной оболочки глаза, но передаёт пароль в открытом виде
USB-накопитель eyeDisk с биометрической защитой, который «невозможно взломать» Самые современные методы биометрической защиты не всегда означают повышенную безопасность. Провал разработчиков eyeDisk на самом деле показывает более общие тенденции. К сожалению, в IT-отрасли случается так, что под...
Делаем простой гидроакустический модем
Привет, глубокоуважаемые! В этой статье, по многочисленным просьбам мы расскажем как сделать простейший гидроакустический модем: немного цифровой обработки сигналов, немного программирования, немного самодельных печатных плат и капля практической гидрологии. Всем заинтересованным — милости просим...
В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue
Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного...
Facebook крутит рекламу лохотрона, подделку под «Сбербанк»
Вечером 14 мая Facebook крутит рекламу лохотрона. Модерация без проблем соцсети пропустила объявление, в котором неизвестные приглашают будущих пострадавших пройти опрос, рассказать о себе… В комментариях к рекламе SMM-служба банка предупреждает: "Не сообщайте о себе никаких данных и особенно коды...
Software Defined Radio — как это работает? Часть 1
Привет Хабр. Продолжая цикл статей про радио, есть смысл рассказать про последние достижения в этой области — Software Defined Radio. Я не знаю адекватного перевода термина на русский, поэтому оставим так, да и термин SDR уже прижился в технических и радиолюбительских кругах. За последние 100 лет...
Удаленное выполнение произвольного кода в протоколе RDP
Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе. Читать дальше →...
Водители частники оплатят за «220 Вольт» CapEx в машины доставки
Магазин "220 Вольт" запустил android-приложение "Курьер220" — за 20000 рублей владельцы грузовиков и крупных легковых машин смогут заключить "курьерский контракт" и получить доступ к заказам на перевозку. Платформа копирует модель Uber: капитальные расходы на транспорт и его обслуживание несёт...
«HumHub» — русскоязычная реплика социальной сети в I2P
Сегодня в сети I2P заработала русскоязычная реплика социальной сети с открытым исходным кодом — «HumHub». Подключиться к сети можно двумя способами — посредством использования I2P или через клирнет. Читать дальше →...
[Перевод] Фаззинг в стиле 2000 года на современных приложениях Windows 10
Рис. 1. Ушиблен, но не сломлен. Калькулятор Windows, чей код недавно опубликован на Github, оказался одним из двух протестированных приложений, которые не зависли и не упали в противостоянии с фаззером оконных сообщений разработки 2000 года. Размер окна специально увеличен, чтобы показать артефакты...
✉️ Вам письмо: как подружить таргетинг и офлайн-продажи, портрет российского телеграмера, альтернатива скидкам и другие новости диджитала
...
30-летний юбилей безудержной незащищённости
Когда «чёрные шляпы», – будучи санитарами дикого леса киберпространства, – оказываются особенно успешными в своём чёрном деле, жёлтые СМИ пищат от восторга. В результате мир начинает смотреть на кибербезопасность серьёзней. Но к сожалению не сразу. Поэтому, несмотря на всевозрастающее количество...