[Перевод - recovery mode ] SQL Injection для eBay
Хронометраж событий: Дата обноружения 19/05/2014 Дата баг-репорта eBay: 19/05/2014 Дата баг-фикса: 24/05/2014 Читать дальше →...
Июньская уязвимость в ядре Linux: подсистема futex. Возможность локального повышения привилегий. CVE-2014-3153
Лето началось жарко. Совсем недавно мы пофиксили CVE-2014-0196, позволяющую получить локального рута, как на подходе еще одна подобная локальная уязвимость: CVE-2014-3153. И хоть рабочего эксплойта публично пока что нет, затронуты все актуальные версии ядер: от 2.6.32 и до 3.14.5. Примечание для...
[Перевод] OpenSSL: новая уязвимость: возможность выполнить MITM атаку (CVE-2014-0224)
Атака OpenSSL MITM CCS injection За несколько последних лет в разных криптографических библиотеках были обнаружены несколько серьезных уязвимостей. Хотя только некоторые из них могли быть реально массово использованы перед тем, как их подробности становились общедоступными, и были выпущены патчи с...
Разбор заданий конкурса «Конкурентная разведка» на PHDays IV
Если верить выступавшему на PHDays IV Андрею Масаловичу, успешные специалисты в области competitive intelligence зарабатывают по меньшей мере тысячу евро в день. Что же делают эти герои? Сегодня мы расскажем о некоторых практических аспектах сбора конфиденциальных данных на примере онлайн-конкурса...
Сувениры от EFF для владельцев рилеев Tor
Фонд электронных рубежей объявил о начале акции Tor Challenge, чтобы стимулировать создание новых узлов в сети Tor. В акции может участвовать любой новый узел по передаче трафика Tor, созданный 4 июня 2014 года или позже, а также любой старый узел, который после этой даты увеличит пропускную...
Новый инвариант числа. Исследование натурального ряда чисел (НРЧ)
В арифметике натуральных чисел иногда возникает необходимость поиска делителей составного числа N. Простая операция, обратная умножению чисел, на сегодняшний день неизвестна. Ее отсутствие создает определенные трудности при решении некоторых практических задач,...
Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ
Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы...
Анализ безопасности сетевых Unity3D игр в VKontakte
Привет. Надеюсь этот пост не приведет к плохим последствиям и все будет хорошо и мир наполнится светом! Почему все настолько плохо в социальных unity3d играх ВКонтакте? Выдались свободные выходные и посвятил я их одному интересному делу — выявить слабые места в безопасности приложений. Т.к. работаю...
Google предложит пользователям GMail использовать end-to-end шифрование
Корпорация Google готовится выпустить специальное расширение для браузера Google Chrome, которое позволит пользователям сервиса GMail зашифровывать сообщения перед отправкой, чтобы исключить возможность перехвата сообщений. Расширение под простым названием End-to-End использует стандарт OpenPGP, но...
5 июня 2014 года — всемирный день против интернет-слежки
Ровно через год после публикации первых документов Эдварда Сноудена несколько общественных организаций и веб-сайтов организовали совместную акцию Reset The Net в знак протеста против прослушки интернет-трафика со стороны спецслужб. Читать дальше →...
Автор банковского трояна Zeus объявлен в розыск
Вчера стало известно, что правоохранительные органы США и Министерство юстиции сообщили о проведении специальной операции по выведению из строя ботнета Zeus Gameover. Эта последняя модификация универсального вредоносного банковского инструмента Zeus использует структуру P2P пиров для организации...
Эксплуатация концептуальных недостатков беспроводных сетей
Беспроводные сети окружают нас повсеместно, вокруг миллионы гаджетов, постоянно обменивающихся информацией сл Всемирной Паутиной. Как известно — информация правит миром, а значит рядом всегда может оказаться кто-то очень сильно интересующийся данными, что передают ваши беспроводные устройства. Это...
Организаторы обмена информацией будут сливать спецслужбам все данные о действиях пользователей
И не только действиях. Мне показалось важным, чтобы в поле зрения сообщества Хабра попала следующая информация, которая оказалась у меня на руках. А именно — проекты подзаконных актов к вступающему в силу одиозному закону о блогерах, которые сейчас готовятся и проходят последние стадии согласования...
Wi-Fi сети: проникновение и защита. 1) Матчасть
Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше. При таком тренде не может не радовать то, что 80% владельцев сетей не...
(25 мая, Киев) Бойцы невидимого фронта или повесть о том, как в сжатые сроки защититься от DDoS-атак
В предыдущей статье я сделал обзор основного развития DDoS-атак и рассмотрел решения Radware. Обзор обзором, но, эффективность решения познается в боевых условиях. Не так давно (около 25 мая в Киеве) мне волей судьбы поступила миссия буквально за два дня организовать защиту государственного...
[Из песочницы] Основные международные стандарты и лучшие практики проведения аудита информационных технологий
В 60-х годах прошлого века, начало внедрения информационных систем для бухгалтерского учета в коммерческом секторе, привело к появлению новой профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing Auditors Association»,...
Выводим MySQL из окружения
Как только ваша информационная система становится рабочей (prоduction), появляется необходимость иметь как минимум две копии ее базы данных. Первая, резервная, с некоторой частотой создается при помощи штатных утилит и представляет собой согласованный дамп (consistent dump). Цель его создания —...
[recovery mode] Подмена (встраивание) спам-ссылок на страницы сайта плагинами браузеров, cpatext, Content-Security-Policy
В конце января в логах нашей внутренней системы анализа пользовательских кликов на сайте kidsreview.ru появились сотни переходов по странным линкам вида: compareiseries.in/goto.php?url=aHR0cDovL24uYWN0aW9ucGF5LnJ1L2NsaWNrLzUyZDhmODY2ZmQzZjViMjYxYTAwNDFjNS82OTIzMy81MDI1OS9zdWJhY2NvdW50 Читать дальше...