С конкурсного сервера CloudFlare был успешно украден SSL-ключ
11 апреля исследователи компании CloudFlare опубликовали в своём блоге статью «Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?», в которой они задались вопросом, возможно ли извлечь приватные ключи, используя нашумевшую уязвимость Heartbleed. Попытка извлечь из...
В АНБ знали о уязвимости Heartbleed два года назад
Агентству национальной безопасности было известно о уязвимости, которая недавно получила название Heartbleed, на протяжении как минимум двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации. Это стало известно от двух неназываемых...
В АНБ знали о уязвимости Heartbleed два года назад
Агентству национальной безопасности было известно о уязвимости, которая недавно получила название Heartbleed, на протяжении как минимум двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации. Это стало известно от двух неназываемых...
История хакерских взломов информационных систем (1903-1971)
1903 Фокусник и изобретатель Джон Невиль Маскелин сорвал публичную демонстрацию, где Джон Флеминг показывал якобы безопасную беспроводную передачу данных(Маркони), послав оскорбительные сообщения морзянкой, которые высветились на экране перед публикой. Статья в NewScientist Читать дальше →...
Вышла новая версия opensource межсетевого экрана pfSense 2.1.2. Не прошло и недели
10 апреля 2014 года был представлен выпуск дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.1.2. Дистрибутив основан на кодовой базе FreeBSD 8.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно множество образов для...
Мульти-факторная аутентификация (MFA) в Amazon AWS в Linux
Новости про крупную уязвимость в OpenSSL заставила подумать про укрепление безопасности учётных записей на важных ресурсах, в том числе — и в Amazon Web Services. Кроме создания отдельных аккаунтов с ограничеными привилегиями я решил установить ещё и двухфакторную аутентификацию. Нашел пункт, и тут...
Время менять пароли
Сегодня на главной Яндекса мы будем показывать всем пользователям ссылку на страницу с нашими советами о том, как важно следить за своими паролями и регулярно менять их. Вы, вероятно, догадываетесь, почему мы так делаем. CVE-2014-0160 — одна из самых серьезных уязвимостей, найденных за последние...
Кондолиза Райс, бывшая глава госдепа США, вошла в совет директоров Dropbox
Пятничная пятиминутка интересных фактов: бывшая глава гос.департамента США, Кондолина Райс (как по мне, так фигура вполне одиозная), вошла в совет директоров Dropbox. По уверению администрации сервиса, им был нужен человек с опытом международных отношений, чтобы разруливаь проблемы в иностранных...
Роскомнадзор посоветовал размещать сайты на отечественных хостинг-площадках
Сегодня Роскомнадзор выпустил пресс-релиз, в котором предостерег владельцев веб-сайтов от использования популярного зарубежного CDN-сервиса CloudFlare. По словам федеральной службы, представители сервиса не реагируют на запросы об удалении сайтов, находящихся на данном сервисе и размещающих...
Роскомнадзор посоветовал размещать сайты на отечественных хостинг-площадках
Сегодня Роскомнадзор выпустил пресс-релиз, в котором предостерег владельцев веб-сайтов от использования популярного зарубежного CDN-сервиса CloudFlare. По словам федеральной службы, представители сервиса не реагируют на запросы об удалении сайтов, находящихся на данном сервисе и размещающих...
Heartbleed: что говорят вендоры
Пока индустрия, в целом, отходит от удара, нанесенного ей Heartbleed, отдельные компании выпустили свои пресс-релизы и комментарии, в которых разъясняют свою причастность к сабжу. Ниже дана справка по известным вендорам в кратком виде. Сервис: Facebook Затронут уязвимостью: неясно Нужно сменить...
Почему после обнаружения Heartbleed мы не предлагаем пользователям Почты Mail.Ru менять пароли
Короткий ответ на вопрос, озвученный в заголовке: потому, что этого не требуется. Heartbleed, одна из самых критичных уязвимостей в истории OpenSSL, не ударила по нашим пользователям. Чуть более подробный ответ – под катом. Читать дальше →...
Анализ приложения защищенного виртуальной машиной
В данной статье будет рассмотрено построение защиты приложения с использованием различных программных «трюков» таких как: сброс точки входа в ноль, шифрование тела файла и декриптор накрытый мусорным полиморфом, сокрытие логики исполнения алгоритма приложения в теле виртуальной машины. К сожалению,...
Тестирование безопасности клиент-серверного API
2 года назад я выступал на конференции CodeFest с темой «Пентест на стероидах. Автоматизируем процесс» и делал пересказ выступления в качестве статьи. В этом году я с большим удовольствием снова принял участие в конференции и выступил с темой «BlackBox тестирование безопасности клиент-серверного...
[Перевод] Пользователями мобильных телефонов теперь интересуется не только АНБ
Одна из крупнейших правительственных организаций США потребовала, чтобы американские операторы собирали и хранили персональную информацию, которая, при обнародовании, может содержать детали частной жизни абонентов. Агентство также потребовало, чтобы компании предоставляли правительству отчеты о...
Сравнение сканеров вредоносного кода на сайте
В настоящий момент существует не так много сканеров для поиска вредоносного кода и вирусов на хостинге, но даже при их малом числе никто не проводил оценок эффективности этих инструментов применительно к задаче поиска вредоносов на сайте. Поэтому возникла идея взять типовой взломанный и зараженный...
Справочник по уязвимости OpenSSL Heartbleed
Что может узнать атакующий Приватный ключ TLS сервера, приватный ключ TLS клиента (если клиент уязвим), cookies, логины, пароли и любые другие данные, которыми обменивается сервер и его клиенты. При этом не нужно прослушивать канал связи, достаточно послать специально сформированный пакет, и это...
Продолжение работы Microsoft Security Essentials на Windows XP после 8 апреля 2014
Сегодня столкнулся с прекращением работы антивируса Microsoft Security Essentials на Windows XP. Как известно, 8 апреля 2014 года закончилась поддержка Windows XP, поэтому в Microsoft решили отключить и антивирус для этой системы. Сообщения о том, что MSE будет работать ещё год для этой системы, не...