Зачем кофемашине своя учетная запись?
Прошлогодняя громкая новость о кофемашине, которая заразила компьютеры одного из европейских нефтехимических заводов вирусом-вымогателем, а также другие участившиеся случаи с участием бытовых приборов, приборов-роботов, дронов и других смарт устройств и систем, используемых в городе, офисе, на...
Новая уязвимость Mikrotik? Нет, но стоит проверить свои устройства
Второго августа получил рассылку “MikroTik: URGENT security advisory” о том, что некий ботнет использует уязвимость Winbox Service для взлома и заражения устройств. Из текста рассылки стало ясно, что уязвимость закрыта еще 23 апреля 2018 года в версии v6.42.1. Начал проверять подшефные устройства и...
Обзор актуальных протоколов достижения консенсуса в децентрализованной среде
Эта статья посвящена поверхностному обзору ключевых подходов к достижению консенсуса в децентрализованной среде. Материал позволит разобраться с задачами, которые решают рассмотренные протоколы, областью их применения, особенностями проектирования и использования, а также позволит оценить...
Отключение проверок состояния среды исполнения в Android-приложении
В прошлой статье я делал обзор на OWASP Mobile TOP 10 и тогда у меня не было годного кейса для демонстрации необходимости защиты исходного кода. Интересный кейс для демонстрации появился только недавно и кому интересно посмотреть на наш опыт обхода проверок состояния среды, давайте под кат. Читать...
В США набирает обороты секс-фишинг
Как сообщает в своем блоге известный журналист, специализирующийся на информационной безопасности Брайан Кребс, в США в последние две недели получил распространение новый вид вымогательства. В целом подход злоумышленников в чем-то схож с подходом, использовавшимся с шифрователями, но важное отличие...
В США набирает обороты секс-фишинг
Как сообщает в своем блоге известный журналист, специализирующийся на информационной безопасности Брайан Кребс, в США в последние две недели получил распространение новый вид вымогательства. В целом подход злоумышленников в чем-то схож с подходом, использовавшимся с шифрователями, но важное отличие...
Reddit взломан, утекла база с паролями и email за 2005-2007 годы
Один из крупнейших социальных хабов интернета, Reddit, в среду заявил о проникновении в свою сеть киберпреступников. Злоумышленнику удалось получить доступ к различным данным: базе с email-адресами и паролями пользователей, зарегистрированных с 2005 по 2007 год, электронные письма пользователей,...
Firefox легко обходит защиту в новом интерфейсе Gmail
Недавно компания Google представила новый дизайн Gmail. При желании каждый пользователь может перейти на него, а скоро всех пользователей G Suite переведут принудительно. В этом дизайне реализовано несколько новых функций безопасности, в том числе так называемый конфиденциальный режим. Здесь...
Firefox легко обходит защиту в новом интерфейсе Gmail
Недавно компания Google представила новый дизайн Gmail. При желании каждый пользователь может перейти на него, а скоро всех пользователей G Suite переведут принудительно. В этом дизайне реализовано несколько новых функций безопасности, в том числе так называемый конфиденциальный режим. Здесь...
Оракулы, или почему смарт-контракты всё ещё не изменили мир?
Для тех, кто интересуется темой смарт-контрактов, ответ на вопрос, заданный в заголовке, лежит на поверхности: на сегодняшний день контракты не имеют достоверного и полного источника информации о происходящем в реальном мире. Вследствие этого складывается прескверная ситуация: мы можем описать в...
[Перевод] Безопасность начинается с домашнего машрутизатора
Автор статьи — архитектор решений безопасности (Security Solutions Architect) в подразделении CERT В последнее время много внимания привлекла вредоносная программа VPNFilter, особенно после публичного объявления ФБР 25 мая и ряда объявлений от производителей устройств и компаний в области...
Проверили с помощью PVS-Studio исходные коды Android, или никто не идеален
Разработка больших сложных проектов невозможна без использования методологий программирования и инструментальных средств, помогающих контролировать качество кода. В первую очередь, это грамотный стандарт кодирования, обзоры кода, юнит-тесты, статические и динамические анализаторы кода. Всё это...
HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ
Пополнение в списке программ выплаты вознаграждений за найденные уязвимости (bug bounty). Теперь белые хакеры-исследователи могут претендовать на получение до $10 000, если найдут уязвимости в принтерах HP. Компания объявила о запуске программы 31 августа — и стала первым в мире производителем...
Тестирование крипто-бирж и крипто-кошельков
Крипто-кошельки и крипто-биржи могут пострадать от хакерских атак (или от глупости пользователей, разработчиков, а также проблем с логикойработы системы). Помочь этому могло бы тестирование для выявления уязвимостей и проблем в логике работы приложения, однако я так и не нашел годной...
Как купить иллюзию безопасности в виде детских смарт-часов
Данная история о том, как я хотел сделать жизнь моего ребёнка немного безопасней с помощью новых технологий и что из этого вышло. Хотя по заголовку я думаю, вы и так догадались, о чём пойдёт речь. Приближалось 1 сентября и я, как отец будущего первоклассника, задался вопросом, как сделать так,...
Как купить иллюзию безопасности в виде детских смарт-часов
Данная история о том, как я хотел сделать жизнь моего ребёнка немного безопасней с помощью новых технологий и что из этого вышло. Хотя по заголовку я думаю, вы и так догадались, о чём пойдёт речь. Приближалось 1 сентября и я, как отец будущего первоклассника, задался вопросом, как сделать так,...
Подготовка SSL-сертификатов к установке
Про установку SSL-сертификатов на веб-сервер написано достаточно много, и обычно этот вопрос не вызывает сложности у системных администраторов. Однако непосредственно перед установкой неплохо сделать несколько проверок, чтоб не созерцать в браузере досадное «The site's security certificate is...
Подробно об обновлении Segregated Witness и последствиях его принятия в Bitcoin
В данной статье мы постарались детально рассмотреть изменения протокола Bitcoin, которые произошли в результате softfork-обновления Segregated Witness. Мы затронули вопросы, связанные с transaction malleability, сохранением обратной совместимости, увеличением пропускной способности, новыми...