Как превратить саму сеть в полноценную систему защиты?
Многие предприятия до сих пор строят свою систему защиты опираясь на уже устаревший периметровый подход, сосредотачивая все средства безопасности в одной-двух контрольных точках сети, полностью забывая про наличие обходных каналов — Wi-Fi, флешек, 4G, ActiveSync и т.п. Да и про внутреннего...
Ошибка в системе безопасности Steam: восстановление пароля без ввода проверочного кода
В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки. Проблема широко обсуждается пользователями ресурса Reddit. Согласно данным, представленным на видео,...
Ошибка в системе безопасности Steam: восстановление пароля без ввода проверочного кода
В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки. Проблема широко обсуждается пользователями ресурса Reddit. Согласно данным, представленным на видео,...
Чек-лист проверки анонимности сёрфинга
Несколько дней назад на хабре проскочила заметка об определении пользователей VPN. В комментариях я опубликовал ссылку на наш сервис с похожей функциональностью, написанием которого я совсем недавно занимался. Главная идея — определить, скрывается пользователь во время сёрфинга в сети или нет, и по...
Чек-лист проверки анонимности сёрфинга
Несколько дней назад на хабре проскочила заметка об определении пользователей VPN. В комментариях я опубликовал ссылку на наш сервис с похожей функциональностью, написанием которого я совсем недавно занимался. Главная идея — определить, скрывается пользователь во время сёрфинга в сети или нет, и по...
Удар из прошлого: DdoS-атака RIPv1, или чем опасны старые роутеры
Атаки, использующие устаревший протокол маршрутизации RIPv1, снова были замечены с 16 мая 2015 года, после более чем годичного забвения. Их зафиксировали компании Akamai и DDoS-GUARD. Самые поздние из них использовали небольшое число устройств (маршрутизаторов, роутеров), которые поддерживают...
Удар из прошлого: DdoS-атака RIPv1, или чем опасны старые роутеры
Атаки, использующие устаревший протокол маршрутизации RIPv1, снова были замечены с 16 мая 2015 года, после более чем годичного забвения. Их зафиксировали компании Akamai и DDoS-GUARD. Самые поздние из них использовали небольшое число устройств (маршрутизаторов, роутеров), которые поддерживают...
[Из песочницы] SibirCTF 2015: как это было
Уже второй год подряд в городе Томске проводятся соревнования по информационной безопасности SibirCTF. В этом году к нам приехало в два раза больше команд, чем в том году, чего мы, конечно же, не ожидали. Поэтому мы хотели бы рассказать об этом мероприятии хабрасообществу. Читать дальше →...
[Из песочницы] SibirCTF 2015: как это было
Уже второй год подряд в городе Томске проводятся соревнования по информационной безопасности SibirCTF. В этом году к нам приехало в два раза больше команд, чем в том году, чего мы, конечно же, не ожидали. Поэтому мы хотели бы рассказать об этом мероприятии хабрасообществу. Читать дальше →...
Персональные данные: насколько реально попасть под проверку Роскомнадзора?
Из всех часто задаваемых вопросов на тему хранения, обработки и защиты персональных данных по частоте возникновения уверенно лидирует следующий: «Может кто-нибудь адекватно пояснить, как распространяется сей ФЗ на обычную фирму, которая имеет локальную инсталляцию 1С и считает зарплату?». А...
Билайн автоматически меняет html теги
HTML код до и после работы Билайна. Найдите отличия! Недавно я написал две статьи про оператора связи Билайн: Билайн автоматически добавляет тулбар с поиском Mail.Ru Билайн автоматически добавляет тулбар и изменяет дизайн сайтов В тот раз изменения, которые вносил оператор связи никак не...
Семинар про криптографию и PGP Keysigning party
На семинаре про криптографию, который завтра пройдет в Яндексе, состоится PGP Keysigning party. Если хочется подписать свои ключи и пообщаться с криптопараноиками, приходите. Для того, чтобы поучаствовать в подписи ключей, лучше заранее загрузить свой публичный ключ на biglumber....
АНБ выложило на GitHub утилиту для обеспечения сетевой безопасности
Агентство национальной безопасности (АНБ) США выпустило open-source инструмент для обеспечения сетевой безопасности госорганизаций и коммерческих компаний. Система называется SIMP (Systems Integrity Management Platform), ее код размещен в репозитории АНБ на GitHub. В официальном пресс-релизе...
АНБ выложило на GitHub утилиту для обеспечения сетевой безопасности
Агентство национальной безопасности (АНБ) США выпустило open-source инструмент для обеспечения сетевой безопасности госорганизаций и коммерческих компаний. Система называется SIMP (Systems Integrity Management Platform), ее код размещен в репозитории АНБ на GitHub. В официальном пресс-релизе...
[Из песочницы] Перевод книги «Пахан/шкворень/авторитет (Kingpin)». Глава 34. «DarkMarket»
Начало и план перевода тут: «Шкворень: школьники переводят книгу про хакеров». «Глава 34» была выбрана участником летнего лагеря, который пожелал остаться анонимным, в качестве самостоятельно проекта. (Любое сходство с «правилом 34» является случайным) DarkMarket Парень сидит на жестком...
Хакеров из Anonymous или Китая заподозрили в атаке на Нью-Йоркскую биржу
Недавно мы писали о причинах масштабных технологических сбоев на биржах. В начале июля 2015 года на Нью-Йоркской фондовой бирже (NYSE) произошла серьезная авария, в результате которой торги были остановлены на несколько часов. Представители торговой площадки объяснили случившееся ошибкой в работе...
Хакеров из Anonymous или Китая заподозрили в атаке на Нью-Йоркскую биржу
Недавно мы писали о причинах масштабных технологических сбоев на биржах. В начале июля 2015 года на Нью-Йоркской фондовой бирже (NYSE) произошла серьезная авария, в результате которой торги были остановлены на несколько часов. Представители торговой площадки объяснили случившееся ошибкой в работе...
Аудит безопасности сайта глазами заказчика
В этом топике я хочу рассказать, как проходит коммерческий аудит безопасности сайта, в чем отличие от bounty-программ и «свободного рисерча». Читать дальше →...