Хакеры: Россия и Китай
По данным «Лаборатории Касперского», в мире киберпреступности сейчас лидируют три крупнейшие «мафии»: китайская, русская (русскоязычная) и латиноамериканская. Отличительной чертой «русских хакеров» всегда было изобретение новых технологий, специализация на создании сетей из заражённых компьютеров,...
Удалённое выполнение кода через загрузку картинок на вашем сервере или локальном компьютере в ghostscript/imagick
Кратко: если у вас на сайте есть загрузка изображений и вы обрабатываете их при помощи популярной библиотеки ImageMagick, то загрузив картинку можно выполнить shell-команду с правами юзера веб-сервера (например: загрузить RAT, майнер, слить исходники, получить доступ к базе, вызвать отказ и т.п.)...
[Перевод] Как выжить охотнику за багами: ежедневная борьба за доход
В принципе, можно сделать карьеру независимой киберищейки – если вы достаточно непритязательны Эван Рикафорт работает из дома, и его офис занимает одну комнату в доме, расположенном на шоссе в Филиппинах, где вместе с ним живёт его семья. Родители 22-летнего компьютерщика работают в продуктовом...
Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз
Ссылки на другие части исследования Информационная безопасность банковских безналичных платежей. Часть 1 — Экономические основы. Информационная безопасность банковских безналичных платежей. Часть 2 — Типовая IT-инфраструктура банка. Информационная безопасность банковских безналичных платежей. Часть...
Как защитить данные в облачных нейросетях — предложен новый метод шифрования
Исследователи из MIT разработали новый метод шифрования для работы с нейронными сетями в облаке — Gazelle. Сервер обрабатывает данные пользователя, не зная их содержания, то есть они остаются анонимными. Рассказываем о системе и её перспективах. Читать дальше →...
Как защитить данные в облачных нейросетях — предложен новый метод шифрования
Исследователи из MIT разработали новый метод шифрования для работы с нейронными сетями в облаке — Gazelle. Сервер обрабатывает данные пользователя, не зная их содержания, то есть они остаются анонимными. Рассказываем о системе и её перспективах. Читать дальше →...
Сотрудник Google смог управлять системой открытия дверей в офисе компании из-за уязвимости в управляющем ПО
Если не заниматься вопросами информационной безопасности в компании, потом может быть мучительно больно В июле этого месяца некий хакер смог найти уязвимость в системе управления автоматическими дверями офиса Google. Он смог открывать двери без использования ключа RFID. К счастью для самой...
Пятая, шестая и заключительная седьмая серия IT ситкома от Cloud4Y
Пятая, шестая и заключительная седьмая серия мини-ситкома про борьбу админа, ИТ-руководителя, генерального директора на полях сражений с мировыми катаклизмами, проверяющими органами, раздолбайством и собственным самолюбием. Просим не судить строго, это наш первый опыт в производстве подобного...
Как сделать стандарт за 10 дней
Приветствую всех! Я работаю в Департаменте информационной безопасности ЛАНИТ, руковожу отделом проектирования и внедрения. В этой статье я хочу поделиться опытом, как на старте карьеры совсем в другой компании подготовил стандарт для организации защиты персональных данных в медучреждениях. Это...
Security Week 33: по ком осциллирует монитор?
В книге Нила Стивенсона «Криптономикон», про которую у нас в блоге был пост, описываются разные виды утечек информации по сторонним каналам. Есть практические, вроде перехвата ван Эйка, и чисто теоретические, для красного словца: отслеживание перемещений человека по пляжу на другой стороне океана,...
Security Week 33: по ком осциллирует монитор?
В книге Нила Стивенсона «Криптономикон», про которую у нас в блоге был пост, описываются разные виды утечек информации по сторонним каналам. Есть практические, вроде перехвата ван Эйка, и чисто теоретические, для красного словца: отслеживание перемещений человека по пляжу на другой стороне океана,...
Обнаружена новая глобальная уязвимость в Android
Исследовательская компания Nightwatch Cybersecurity обнаружила новую глобальную уязвимость в Android под кодовым именем CVE-2018-9489. Читать дальше →...
Firefox будет по умолчанию блокировать слежку за пользователями
Не все ясно представляют, как их отслеживают в интернете. Кто-то знает про куки и прозрачные пиксели, но забывает о фингерпринтинге через теги HTML5 и других методах. Маркетинговые фирмы изобретают новые способы отслеживать пользователей, а мы и сами зачастую помогаем в этом, заходя в свои аккаунты...
Firefox будет по умолчанию блокировать слежку за пользователями
Не все ясно представляют, как их отслеживают в интернете. Кто-то знает про куки и прозрачные пиксели, но забывает о фингерпринтинге через теги HTML5 и других методах. Маркетинговые фирмы изобретают новые способы отслеживать пользователей, а мы и сами зачастую помогаем в этом, заходя в свои аккаунты...
Summ3r 0f h4ck: результаты летней стажировки в Digital Security
Уже третий год подряд мы успешно продолжаем традицию летних стажировок. Как и в прошлые годы, мы взяли стажеров на два технических направления: в отдел исследований и в отдел анализа защищенности. С результатами предыдущих стажировок можно ознакомиться вот здесь: отдел исследований 2016 отдел...
Summ3r 0f h4ck: результаты летней стажировки в Digital Security
Уже третий год подряд мы успешно продолжаем традицию летних стажировок. Как и в прошлые годы, мы взяли стажеров на два технических направления: в отдел исследований и в отдел анализа защищенности. С результатами предыдущих стажировок можно ознакомиться вот здесь: отдел исследований 2016 отдел...
[Перевод] Актуальна ли проблема инъекций в JavaScript?
В былые времена, когда веб разработка строилась на том, что серверные приложения направляли запросы в реляционные базы данных и выдавали на выходе HTML, часто встречался такой код: // ВНИМАНИЕ: Плохой пример!function popup(msg: string): string { return " " + msg + " ";} или такой: // ВНИМАНИЕ:...
[Перевод] Актуальна ли проблема инъекций в JavaScript?
В былые времена, когда веб разработка строилась на том, что серверные приложения направляли запросы в реляционные базы данных и выдавали на выходе HTML, часто встречался такой код: // ВНИМАНИЕ: Плохой пример!function popup(msg: string): string { return " " + msg + " ";} или такой: // ВНИМАНИЕ:...