Зафиксирована атака на криптовалютную биржу Gate.io

4 ноября злоумышленники скомпрометировали StatCounter, платформу для анализа веб-трафика. Сервис используется для сбора статистических данных о посетителях сайтов, примерно как Google Analytics. Для этого веб-мастера добавляют на каждую страницу сайта внешний тег JavaScript, содержащий фрагмент...

Все блоги / Про интернет

[Из песочницы] Full disclosure: 0day-уязвимость побега из VirtualBox

Мне нравится VirtualBox, и он не имеет никакого отношения к причине, по которой я выкладываю информацию об уязвимости. Причина заключается в несогласии с текущими реалиями в информационной безопасности, точнее, в направлении security research и bug bounty. Читать дальше →...

Все блоги / Про интернет

Безопасность Microsoft Office: встраиваемые объекты

Изначально архитектура Microsoft Office строилась на основе концепции составных документов, они же документы OLE, активно продвигаемой Microsoft на заре 32-разрядных Windows. В те времена идея «бесшовного» объединения в одном документе данных самых разных форматов казалась заманчивой и...

Все блоги / Про интернет

[Перевод] Конференция DEFCON 17. Посмеёмся над вашими вирусами! Часть 2

Конференция DEFCON 17. Посмеёмся над вашими вирусами! Часть 1 Далее можно загрузить это в IDA и увидеть, что всё в таблице импортированных адресов выглядит нормально, и мы можем проследовать по перекрёстным ссылкам для установки указателя на нужном файле. Так мы попадаем именно в точку расположения...

Все блоги / Про интернет

Уязвимости SSD с аппаратным шифрованием позволяют злоумышленникам легко обходить защитные меры

Исследователи из университета Радбоуд (Нидерланды) рассказали об уязвимостях в системе защиты некоторых твердотельных накопителях. Они позволяют взломщику обходить функцию шифрования данных диском и получать доступ к информации на диске без необходимости знать пароль доступа. Правда, озвученная...

Все блоги / Про интернет

Security Week 45: кое-что об уязвимостях в Bluetooth

Пришло время исправить трехнедельную ошибку в нумерации дайджестов, заложенную в самом начале этого года. Поэтому сегодняшний выпуск — немного високосный, и посвящен он уязвимостям, затрагивающим интерфейс беспроводной связи Bluetooth. За последний год отмечено три значимых исследования этой темы,...

Все блоги / Про интернет

Опубликованы служебные файлы DevOps от сотрудника «Сбербанка»

Утечки из «Сбербанка» продолжаются. На этот раз в открытом доступе появились файлы отдела DevOps, которые показывают, каким образом Сбербанк проверяет работоспособность собственных систем, пишет «Коммерсантъ». Эксперты считают, что эти файлы утекли одновременно с адресной книгой сотрудников....

Все блоги / Про интернет

Новые методы аутентификации — угроза приватности?

Специалистам известно, что однофакторная аутентификация по паролю устарела. Да, она подходит для малозначимых систем вроде Хабра, но действительно ценные активы неприемлемо защищать подобным образом. Не бывает «надёжных» и «стойких» паролей, даже криптостойкая парольная фраза на 44 бита энтропии...

Все блоги / Про интернет

[Перевод] Конференция DEFCON 17. Посмеёмся над вашими вирусами! Часть 1

Майкл: приветствую всех, я Майкл Лай, это Мэттью Ричард, вы можете звать его Мэтт или Ричард, потому что у него два имени, но это не имеет значения. Мэтт: Тема нашего сегодняшнего разговора – высмеивание вредоносных программ, и это именно то, что мы стараемся делать. Итак, не все, кто пишет код,...

Все блоги / Про интернет

[Из песочницы] История маленького взлома, или адекватный багБаунти местного провайдера интернета

Введение Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это...

Все блоги / Про интернет

Новый чип Apple T2 затрудняет прослушку через встроенный микрофон ноутбука

Компания Apple опубликовала документацию по микросхеме безопасности T2, которая встроена в последние модели фирменных ноутбуков, в том числе представленный в начале года MacBook Pro и только что анонсированный MacBook Air. До сегодняшнего дня о чипе было мало известно. Но теперь выясняется, что это...

Все блоги / Про интернет

GPS-файрвол для ЦОД — зачем он нужен и как работает

Данные GPS нужны не только навигаторам для построения маршрутов, но и дата-центрам для синхронизации времени. Эту особенность используют хакеры, когда проводят атаки на ИТ-инфраструктуру. Объясним, в чем суть подобных атак и как от них защищает GPS-файрвол. Читать дальше →...

Все блоги / Про интернет

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 15: «Медицинское программное обеспечение», часть 3

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...

Все блоги / Про интернет

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 15: «Медицинское программное обеспечение», часть 2

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...

Все блоги / Про интернет

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 15: «Медицинское программное обеспечение», часть 1

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...

Все блоги / Про интернет

Система лояльности или как жить бесплатно

Доброго времени суток, хабрачане. В связи с большой паникой прошлой статьи презентую вам вторую версию. Тут все просто, без соплей. Система лояльности — одна большая дыра. Проведя некоторые эксперименты, мы пришли к выводу, что большое количество сайтов, где используется такая система, напрочь...

Все блоги / Про интернет

Проверь себя: сможете ли вы защитить компанию от кибератаки?

Недавно в Самаре прошли международные открытые соревнования по информационной безопасности VolgaCTF. Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC, рассказал участникам соревнований о трех реальных атаках и спросил, как можно было их выявить. Проверьте,...

Все блоги / Про интернет

[Перевод] Уязвимость в Bluetooth открывают возможности для атаки на беспроводные точки доступа

Специалисты по безопасности нашли серьезные уязвимости в популярных точках доступах, которые, если они будут использованы, позволят злоумышленникам скомпрометировать кооперативные сети. Читать дальше →...

Все блоги / Про интернет