PVS-Studio для Java
В седьмой версии статического анализатора PVS-Studio мы добавили поддержку языка Java. Пришло время немного рассказать, как мы начинали делать поддержку языка Java, что у нас получилось и какие дальнейшие планы. И, конечно, в статье будут приведены первые испытания анализатора на открытых проектах....
Крупнейший дамп в истории: 2,7 млрд аккаунтов, из них 773 млн уникальных и 120 млн новых
Известный специалист по безопасности Трой Хант уже несколько лет поддерживает сайт Have I Been Pwned (HIBP) с миллионами записей об украденных аккаунтов. Каждый может проверить там свой email на предмет утечки. Трой Хант следит за хакерскими форумами, покупает базы данных, которые выставляют на...
Преимущества анализа приложений 7 уровня в межсетевых экранах. Ч.1
Почему появилась эта статья? Неоднократно приходил к коллегам-безопасникам, которые пользуются межсетевым экраном нового поколения и видел, что они продолжают писать правила по номерам портов. На мое предложение перейти писать по имени приложений, слышал «А вдруг так не заработает?». Если вам тоже...
Инфраструктура открытых ключей. Цепочка корневых сертификатов X509 v.3
Неумолимо приближается час «Ч»: «использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается!». Читать дальше →...
[Перевод] [Интересное из-за бугра] Как мы остановим технологическую зависимость?
Гайд, как вернуть время, которое у нас забирают наши девайсы. Прим. переводчика: Это скорее не гайд, а размышление на тему современной зависимости от смартфонов и приложений. Статье уже 11 месяцев, поэтому увидев фразу “недавно”, учитывайте этот факт. Статья была переведена из интереса к позиции...
Военные США халатно относятся к вопросам кибербезопасности
Кибербезопасность — одна из наиболее важных сфер современности. Без надежной защиты компании и частные лица подвергаются разнообразным угрозам — от похищения корпоративных секретов и денег со счетов до кражи фотографий, которые не предназначены для посторонних глаз. Еще более опасная ситуация —...
Додокод или как путаются в рабочей системе понятия «кодовое слово» и «цифровой код подтверждения» по смс
Иногда пользователю невольно приходится становиться тестировщиков новых, не до конца проверенных изменений на действующем сайте или в обновленном алгоритме системы безопасности, который подтверждает статус пользователя, отсылая ему код по смс. Вот что случается, когда пользователь привык к одному...
[Перевод] Математики доказали, что многочлены не помогут взломать RSA
Недавно в журнале Quanta вышел материал, в котором автор рассказывал про удивительный с точки зрения неискушенных читателей феномен, доказанный математиками. Его суть в том, что почти все многочлены определенного типа — неприводимые, то есть не поддаются разложению. Это доказательство применяется...
PVS-Studio 7.00
Сегодня важный день – после 28 релизов шестой версии мы выпускаем PVS-Studio 7.00, где ключевым новшеством является поддержка языка Java. Однако за 2018 год накопилось много других важных изменений, касающихся С++, С#, инфраструктуры и поддержки стандартов кодирования. Поэтому предлагаем вашему...
Zimbra Collaboration Suite и борьба с фишингом
Ни для кого не секрет, что одной из главных внешних угроз для предприятий и организаций на сегодняшний день является электронная почта. Возможность использования социальной инженерии, превратили электронную почту в благодатную почву для совершения киберпреступлений. Например, доподлинно известен...
Взлом Amazon Echo и Google Home для защиты приватности
Специалисты по безопасности скептически относятся к понятиям «умный дом» и «интернет вещей». Производители норовят собрать побольше данных о пользователях, что чревато утечками. Недавно Amazon отправила по неверному адресу 1700 разговоров одного пользователя с домашним помощником Alexa. Это...
[] Реализация honeypot на маршрутизаторах Cisco
Пришла в голову мысль сделать на маршрутизаторе Cisco некое подобие известного пакета fail2ban, используя средства только самого маршрутизатора. Работает это так. В списке доступа, прикреплённом к интерфейсу граничного интернет-маршрутизатора, создаются правила-ловушки. Когда правило срабатывает, в...
[Перевод] Руководство и шпаргалка по Wireshark
Даже поверхностное знание программы Wireshark и её фильтров на порядок сэкономит время при устранении проблем сетевого или прикладного уровня. Wireshark полезен для многих задач в работе сетевого инженера, специалиста по безопасности или системного администратора. Вот несколько примеров...
На The Pirate Bay перестали появляться новые торренты
У The Pirate Bay 2018 год был особенно сложным. Попытки (и не всегда безуспешные) разделегировать домен ресурса, нехватка средств на содержание трекера, атаки со стороны правительственных органов разных стран и компаний. Все это привело к тому, что в работе The Pirate Bay стали возникать перебои,...
Решение суда США: власти не имеют права заставлять человека разблокировать телефон пальцем или лицом
Власти США не могут заставить гражданина разблокировать телефон, защищённый биометрическими методами, такими как сканирование лица (типа Face ID) или сканирование пальца (Touch ID и проч.). Хотя биометрическая защита легко поддаётся взлому, но сам пользователь имеет полное право отказаться от...
Свобода полетов в ваших руках с DJI Smart Controller
На прошедшую в Лас-Вегасе международную выставку потребительской электроники CES 2019 компания DJI, помимо популярных дронов и новейшего стабилизатора OSMO Pocket, привезла очень любопытный гаджет. DJI Smart Controller — пульт дистанционного управления со встроенным ультраярким дисплеем и...
[Перевод] Звук тишины: сколько безумных гаджетов требуется для достижения обстановки, оптимальной для сна?
Зимними ночами приложение для генерации белого шума, работающее на моём смартфоне, выдаёт звук кондиционера воздуха: дребезжащий металлический звук, похожий на механический шум, раздающийся в глубине вентиляционной системы огромного офисного здания. (Приложение также может предложить такие звуки,...
На Pwn2Own предлагают Tesla Model 3 тому, кто взломает систему защиты электромобиля
Конференция CanSecWest привлекает многих специалистов по информационной безопасности. Рассказать о собственных достижениях в плане проверки на прочность защищенных и не очень систем хочется многим. Кроме того, в рамках конференции обычно проводится конкурс профессионалов по кибербезопасности...