Команда разработчиков из ЦЕРН запустила защищённый анонимный почтовый сервис ProtonMail
Несколько сотрудников Европейской лаборатории по ядерным исследованиям (ЦЕРН) разработали почтовый сервис ProtonMail, который претендует на то, чтобы стать одним из самых защищённых — всё содержимое почтовых ящиков шифруется на стороне клиента, а серверы ProtonMail расположены в Швейцарии, которая...
Месяц поиска уязвимостей: как мы к нему готовились и как его пережили
21 апреля совместно с Hacker One мы запустили программу поиска уязвимостей. 20 мая завершился конкурс, ставший первым шагом этой программы. Сегодня мы хотим рассказать, как мы укрепляли нашу оборону, готовясь к конкурсу, как исследователи искали в ней бреши и что они помогли нам найти. Читать...
Очень сложный выбор: 3 способа защитить виртуальную машину
Защищать или не защищать виртуальные среды от зловредов – вопрос давно и без особой дискуссии закрытый в пользу первого варианта. Другое дело – как защищать? Концепцию безагентового антивируса для платформы VMware мы разработали уже достаточно давно: подробнее о ней можно прочитать в этом посте...
eBay сообщает о взломе: меняйте пароли
Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей. Специалисты компании утверждают, что личные данные пользователей и финансовая...
eBay сообщает о взломе: меняйте пароли
Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей. Специалисты компании утверждают, что личные данные пользователей и финансовая...
Ладар Левисон рассказал, как его заставили закрыть Lavabit
Владелец защищённого сервиса электронной почты Lavabit Ладар Левисон наконец-то сообщил подробности судебного процесса, в результате которого почтовый сервис пришлось закрыть в августе прошлого года. Lavabit — анонимный почтовый сервис, которым пользовался Эдвард Сноуден, находясь в Шереметьево...
Ладар Левисон рассказал, как его заставили закрыть Lavabit
Владелец защищённого сервиса электронной почты Lavabit Ладар Левисон наконец-то сообщил подробности судебного процесса, в результате которого почтовый сервис пришлось закрыть в августе прошлого года. Lavabit — анонимный почтовый сервис, которым пользовался Эдвард Сноуден, находясь в Шереметьево...
ФБР объявили в розыск китайских граждан из группы APT1
Зимой прошлого года мы писали об отчете американской компании Mandiant (ныне входит в состав FireEye), который посвящен китайской группе APT1 (aka Comment Crew). Это условное название получила группа хакеров из т. н. подразделения PLA Unit 61398 Народно-освободительной армии Китая, которое...
Авторизация по венозному рисунку пальца как замена банковских карт
Компанией Hitachi разработала сканер-считыватель «Finger Vein» для работы с венозным рисунком пальца, который планируется использовать для аутентификации в современных системах. Компанией Itcard S.A, которая предоставляет сервисное обслуживание банков в Польше, совместно с японскими инженерами...
Пару слов о перехвате HTTP/HTTPS трафика iOS приложений
В этой статье я расскажу о простом методе заработка в сети перехвата HTTP/HTTPS трафика iOS приложений, включая трафик приложений использующих certificate pinning (а это например Twitter, Facebook и куча других приложений). От прочих методов, где бедным людям рекомендуют в командной строке руками...
Сломайте SafeCurl и получите 0.25 Bitcoin!
Разработчик с ником fin1te пишет безопасную обертку над curl, которая позволяет защититься от SSRF-атак, и в связи с этим проводит контест: если вы сможете скачать файл btc.txt, который расположен на демо-сервере SafeCurl safecurl.fin1te.net и доступен только с source IP 127.0.0.1 и 37.48.90.196...
Атаки HTML5: что нужно знать
Все последние версии браузеров поддерживают HTML5, следовательно, индустрия находится на пике готовности принять технологию и адаптироваться к ней. Сама технология создана такой, чтобы сделать простым процесс включения и обработки графического и мультимедиа-контента в вебе, без использования...
Правоохранительные органы задержали хакерскую группу Blackshades
Правоохранительные органы ЕС и США объявили о проведении специальной операции по задержанию заказчиков, операторов, а также создателей средства удаленного доступа (или бэкдора), который известен как Blackshades RAT (ESET: Win32/VB.NXB, Microsoft: Worm:Win32/Ainslot, Symantec: W32.Shadesrat)....
Храним пароли с помощью редактора vim
Старина Сноуден Мюллер говорил: «Верить, в наше время, нельзя никому. Порой даже, самому себе.» Себе я не верю и пароли забываю начисто. Онлайн-сервисам для хранения паролей не доверяю. Есть опенсорсные программы для хранения паролей к ним доверия побольше, но лень их устанавливать, держать у себя,...
[Из песочницы] Опасная безопасность
Здравствуйте уважаемые хабражители, недавно думал на тему применимости различных услуг в области ИБ и вот что получилось. В настоящее время многие разработчики предлагают централизованные решения по контролю состояния информационной безопасности и выявлению вредоносной (хакерской) активности в...
[Из песочницы] Опасная безопасность
Здравствуйте уважаемые хабражители, недавно думал на тему применимости различных услуг в области ИБ и вот что получилось. В настоящее время многие разработчики предлагают централизованные решения по контролю состояния информационной безопасности и выявлению вредоносной (хакерской) активности в...
Конкурс «Большой ку$h» на PHDays: образ системы ДБО доступен для скачивания
Хотите безнаказанно украсть деньги с банковских счетов? Примите участие в конкурсе «Большой ку$h» на Positive Hack Days IV! Состязание призвано проверить знания и навыки в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО). Конкурсное...
[Перевод] Взламываем D-Link DSP-W215 Smart Plug
D-Link DSP-W215 Smart Plug — беспроводное устройство для мониторинга и контроля за электрическими розетками. Его пока нельзя купить в магазинах Amazon или Best Buy, но прошивка уже доступна для скачивания на сайте D-Link. TL;DR: DSP-W215 содержит ошибку переполнения буфера, которая позволяет...