Security Week 09: инфосек-драма вокруг Nurserycam

На прошлой неделе получил развитие вялотекущий скандал вокруг Footfallcam, британского производителя специализированных веб-камер. Издание The Register в своем материале приводит предысторию: все началось с сообщений нидерландского исследователя OverSoftNL, в которых он еще в начале февраля описал...

Все блоги / Про интернет

Security Week 08: спам в 2020 году

На прошлой неделе аналитики «Лаборатории Касперского» выпустили итоговый отчет по спаму и фишингу за 2020 год. В нем приводятся как абсолютные цифры по срабатыванию систем защиты от фишинга и детектированию вредоносных вложений, так и описание новых методов киберпреступников. Интерес представляет...

Все блоги / Про интернет

Security Week 07: конфуз с зависимостями в софте

На прошлой неделе стало известно сразу о двух громких инцидентах в области кибербезопасности. Представители компании CD Projekt Red, разработавшей игры «Ведьмак» и Cyberpunk 2077, сообщили об успешной атаке на собственную инфраструктуру (см. также обсуждение на Хабре здесь и здесь). Злоумышленники...

Все блоги / Про интернет

Security Week 06: кража данных через синхронизацию Google Chrome

Хорватский исследователь Боян Здрня (Bojan Zdrnja) обнаружил интересный метод эксфильтрации данных через средства синхронизации, встроенные в браузер Google Chrome. Функция Chrome Sync позволяет синхронизировать сохраненные пароли, закладки и историю посещения веб-сайтов между компьютерами,...

Все блоги / Про интернет

Security Week 05: sudo, уязвимость в iOS и атака на исследователей

Прошлая неделя оказалась богатой на события. Начнем с трех уязвимостей в мобильных ОС Apple, которые предположительно были использованы в реальных атаках. В кратком сообщении Apple две уязвимости отнесены к движку WebKit — они обеспечивают выполнение произвольного кода. Еще одна дыра в ядре iOS и...

Все блоги / Про интернет

Security Week 04: атака на Amazon Kindle

Читалки электронных книг Amazon Kindle пользуются широкой популярностью среди обычных пользователей, и не меньшим вниманием — со стороны любителей обходить ограничения максимально закрытой экосистемы Amazon. Несмотря на регулярно обнаруживаемые уязвимости в коде (требуемые для джейлбрейка),...

Все блоги / Про интернет

Security Week 03: атака на Windows и Android в деталях

Команда Google Project Zero опубликовала детальное исследование атаки с использованием уязвимостей нулевого дня в браузере Google Chrome и Windows. Основной задачей этого подразделения Google является поиск новых уязвимостей, так что данное исследование получилось для них нетрадиционным, но от того...

Все блоги / Про интернет

Security Week 02: взлом reCAPTCHA v3 через распознавание голоса

Первый рабочий день после новогодних каникул — это тот самый момент, когда сложно доказать компьютеру, что ты не робот. Проще машине притвориться человеком, и одна из свежих публикаций посвящена как раз этому. Очередную победу в дисциплине «взлом капчи» одержал исследователь Николай Шачер (Nikolai...

Все блоги / Про интернет

Security Week 52+1: кибербезопасность на будущее

Настало время по традиции подвести итоги года. В конце 2018-го мы расставили приоритеты так: Spectre и Meltdown, машинное обучение в контексте восстановления картинки из шума, многочисленные уязвимости в роутерах. Год назад писали о прорехах в приватности, винтажные уязвимости в Windows 10 и атаки...

Все блоги / Про интернет

Security Week 52: управление атакой SunBurst через DNS-запросы

Атака SunBurst (в некоторых источниках также известная как Solorigate) — широко обсуждаемая новость недели. В воскресенье 13 декабря специалисты компании FireEye опубликовали предварительный отчет об атаке, назвав ее глобальной операцией по внедрению в крупные частные и государственные организации....

Все блоги / Про интернет

Security Week 51: почтовые атаки с lookalike-доменов

Эксперты «Лаборатории Касперского» подробно разбирают одну из атак на корпорации с использованием lookalike-доменов — когда фишинговый e-mail отправляется с домена, на одну букву отличающегося от настоящего. Такой подход со стороны атакующего оказывается чуть выгоднее традиционного спуфинга, когда...

Все блоги / Про интернет

Security Week 50: zero-click уязвимость в iPhone, атака на постаматы

Главная новость прошлой недели посвящена уже закрытой уязвимости в мобильных устройствах Apple, обеспечивающей полный взлом устройства с кражей данных, удаленно и без вмешательства пользователя. Набор последствий от эксплуатации дыры в софте можно было бы считать максимально серьезным, если бы не...

Все блоги / Про интернет

Security Week 49: взлом Tesla через Bluetooth

Исследователь Леннерт Вютерс (Lennert Wouters) из Лёвенского католического университета нашел красивый способ угона Tesla Model X через переписывание прошивки фирменного ключа к автомобилю. На фото ниже показано устройство для взлома, состоящего из батареи, компьютера Raspberry Pi и бортового...

Все блоги / Про интернет

Security Week 48: APT-перспективы на 2021 год

На прошлой неделе «Лаборатория Касперского» опубликовала подробную статистику об эволюции киберугроз за третий квартал. Вместе с ней были представлены прогнозы по развитию целевых атак на 2021 год. Традиционные массовые угрозы в этом году менялись под влиянием пандемии и массового перехода офисных...

Все блоги / Про интернет

Security Week 47: обход защиты компьютера в режиме сна

10 ноября компания Intel пропатчила уязвимость CVE-2020-8705 в механизме Intel Boot Guard, которая позволяет обходить ключевые методы защиты компьютера, если он находится в режиме сна. Уязвимость подробно описывает исследователь Трэммелл Хадсон (Trammell Hudson). Он приводит реалистичный сценарий...

Все блоги / Про интернет

Security Week 46: подсматривание паролей в телеконференциях

Исследователи из Техасского университета в Сан-Антонио предложили необычный способ кейлоггинга через анализ движений головы и плеч на видеозаписи (новость, исследование в PDF). С довольно широкими допущениями сценарий выглядит так: подключаемся к видеоконференции, записываем жертву на видео. Если...

Все блоги / Про интернет

Security Week 45: тандем уязвимостей в Windows 10 и Chrome

На прошлой неделе команда Google Project Zero раскрыла детали уязвимости в Windows 10, которая позволяет атакующему получить системные привилегии на компьютере жертвы. Удивительно в проблеме то, что она использовалась в реальной атаке в комбинации с другой, также недавно найденной уязвимостью в...

Все блоги / Про интернет

Security Week 44: серьезная уязвимость в GeForce Experience

Разработчики из NVIDIA залатали две серьезные уязвимости в утилите GeForce Experience. Эта программа устанавливается вместе с драйверами для видеокарт, отвечает за автоматическое обновление ПО и другие функции. В версиях GeForce Experience до 3.20.5.70 нашлась серьезная проблема, в теории...

Все блоги / Про интернет

Назад