Где уязвимы более 20 млн транспортных карт в России: разбираем и развиваем MIFARE Classic
Стандарт бесконтактных карт MIFARE Classic создан более 20 лет назад и, несмотря на ряд найденных с тех пор уязвимостей, широко используется до сих пор (в частности в Москве и Санкт-Петербурге). В этой статье мы вспомним, какие уязвимости были найдены, и расскажем, как их можно устранить. Источник:...
ФРИИ: на своих персональных данных россияне могут зарабатывать до 5000 рублей в месяц
28 января отмечается Международный день защиты персональных данных: людям рассказывают, как защитить приватную информацию в интернете, избавиться от трекинга и избежать фишинговых сайтов. По иронии, именно сегодня Фонд развития интернет-инициатив (ФРИИ) предложил внести в российское...
28 января: Международный день защиты персональных данных
Сегодня отмечается Международный день защиты персональных данных. Он учреждён в 2006 году для пропаганды приватности и лучших способов защиты данных, особенно в контексте социальных сетей. До сих пор миллионы людей не знают, как их информация собирается, хранится и используется коммерческими...
Бэкенд WhatsApp, Facebook Messenger, Instagram объединят и добавят сквозное шифрование
Марк Цукерберг планирует интегрировать инфраструктуру сервисов WhatsApp, Instagram и Facebook Messenger, которые принадлежат компании Facebook. Службы продолжат работать как автономные приложения, но их базовая техническая инфраструктура будет унифицирована, сказали NY Times четыре человека,...
Бэкенд WhatsApp, Facebook Messenger, Instagram объединят и добавят сквозное шифрование
Марк Цукерберг планирует интегрировать инфраструктуру сервисов WhatsApp, Instagram и Facebook Messenger, которые принадлежат компании Facebook. Службы продолжат работать как автономные приложения, но их базовая техническая инфраструктура будет унифицирована, сказали NY Times четыре человека,...
В systemd нашли три уязвимости — разбираемся, в чем дело
В начале месяца специалисты по ИБ из Qualys обнаружили сразу три уязвимости в systemd — подсистеме инициализации Linux — позволяющие злоумышленнику получить права суперпользователя. Рассказываем, в чем их суть и какие дистрибутивы им подвержены. Читать дальше →...
CVE-2019-6111 и другие уязвимости в scp
TL;DR; Совсем недавно ( примерно с 1983 года ) оказалось, что OpenSSH, как наследник rsh, для команды scp ( ex. rcp ) позволяет серверу выбрать, какой файл и с какими параметрами вам передать. А уязвимости вывода позволяют скрыть, какой именно файл вам передали. То есть просите вы file.txt, а...
CVE-2019-6111 и другие уязвимости в scp
TL;DR; Совсем недавно ( примерно с 1983 года ) оказалось, что OpenSSH, как наследник rsh, для команды scp ( ex. rcp ) позволяет серверу выбрать, какой файл и с какими параметрами вам передать. А уязвимости вывода позволяют скрыть, какой именно файл вам передали. То есть просите вы file.txt, а...
Обязательную регистрацию по IMEI предлагают сделать платной
В России давно обсуждается идея ввести обязательную регистрацию мобильных устройств по номеру IMEI. В базу собираются включить смартфоны, планшеты, ноутбуки, счётчики ЖКХ и все остальные устройства, которые поддерживают подключение к сотовой сети. По мнению властей, у базы IMEI множество...
Обязательную регистрацию по IMEI предлагают сделать платной
В России давно обсуждается идея ввести обязательную регистрацию мобильных устройств по номеру IMEI. В базу собираются включить смартфоны, планшеты, ноутбуки, счётчики ЖКХ и все остальные устройства, которые поддерживают подключение к сотовой сети. По мнению властей, у базы IMEI множество...
«Секретики» DPAPI. Взгляд на осла
В дополнение к нашей прошлой статье про расшифровку DPAPI-блобов расскажем еще о двух случаях, с которыми нам пришлось столкнуться. Речь пойдет о сохраненных паролях в браузерах MS IE11 и Edge. Стратегия остается прежней – будем все расшифровывать в режиме offline. Для этого необходимо забрать...
«Секретики» DPAPI. Взгляд на осла
В дополнение к нашей прошлой статье про расшифровку DPAPI-блобов расскажем еще о двух случаях, с которыми нам пришлось столкнуться. Речь пойдет о сохраненных паролях в браузерах MS IE11 и Edge. Стратегия остается прежней – будем все расшифровывать в режиме offline. Для этого необходимо забрать...
Huawei может купить российскую компанию «Вокорд»
Один из крупнейших в мире производителей смартфонов заинтересовался российскими технологиями. В поле зрение китайской Huawei попала компания «Вокорд» — ведущий российский разработчик и производитель профессиональных систем видеонаблюдения и аудиорегистрации. В продуктовом портфеле компании: системы...
[Перевод] Микроядро seL4. Формальная верификация программ в реальном мире
Научная статья опубликована в журнале Communications of the ACM, октябрь 2018, том 61, номер 10, стр. 68−77, doi: 10.1145/3230627 В феврале 2017 года со взлётной площадки «Боинга» в Аризоне поднялся вертолёт с обычным заданием: облёт ближайших холмов. Он летел полностью автономно. Согласно...
[Перевод] Микроядро seL4. Формальная верификация программ в реальном мире
Научная статья опубликована в журнале Communications of the ACM, октябрь 2018, том 61, номер 10, стр. 68−77, doi: 10.1145/3230627 В феврале 2017 года со взлётной площадки «Боинга» в Аризоне поднялся вертолёт с обычным заданием: облёт ближайших холмов. Он летел полностью автономно. Согласно...
Технические аспекты блокировки интернета в России. Проблемы и перспективы
Начнем сразу с дисклеймера: ниже принципиально не будет политических вопросов. Административные и юридические вопросы тоже будем обходить настолько, насколько сможем, чтобы полностью не вырывать техническую часть из остальных плоскостей. Блокировки интернета в России уже есть — это данность, с...
Герои двухфакторной аутентификации, или как «походить в чужих ботинках»
Наверное скажу банальность, но люди устроены очень странно (а ИТ-шники вдвойне). Они живо интересуются маркетинговыми новинками и рвутся их внедрять, но при этом равнодушно проходят мимо технологий, которые на самом деле могут защитить их компании от реального вреда. Возьмем для примера технологию...
Пользователи Facebook сдают свои аккаунты в аренду, получая деньги и бесплатные ноутбуки
Не секрет, что многие тематики запрещено рекламировать в социальных сетях. Одна из них — разного рода казино и азартные игры. Но если нельзя использовать рекламную сеть социалки, то можно попробовать рекламировать свои продукты напрямую — при помощи аккаунтов других пользователей. Кроме того, эти...