Security Week 42: аппаратные бэкдоры, уязвимость в Intel NUC

Уязвимости в ПО низкого уровня, которое запускается до загрузки операционной системы, бывают не только в «айфонах». На прошлой неделе были закрыты уязвимости в прошивках двух популярных устройств — в игровой и медиаприставке Nvidia Shield TV и в компьютерах семейства Intel NUC. Две уязвимости в...

Все блоги / Про интернет

[Перевод] PowerShell в роли инструмента для пентеста: скрипты и примеры от Varonis

Хакеры любят использовать PowerShell для запуска «fileless malware» — бестелесных вредоносных программ, которые не являются традиционными бинарными файлами с компилированным вредоносным кодом, и по этой причине подчас не могут быть обнаружены антивирусными решениями. PowerShell, конечно же, всегда...

Все блоги / Про интернет

[Перевод] Лига свободного Интернета

Как противостоять авторитарным режимам в Интернете Отключаемся? Женщина в пекинском интернет-кафе, июль 2011 Im Chi Yin / The New York Times / Redux М-да, все же придётся предварить «примечанием переводчика». Обнаруженный текст показался мне любопытным и дискуссионным. Единственные правки в тексте...

Все блоги / Про интернет

Пентестеры на передовой кибербезопасности

В области информационной безопасности есть важная и необычайно увлекательная профессия пентестера, то есть специалиста по проникновению в компьютерные системы. Чтобы работать пентестером, необходимо обладать хорошими техническими навыками, знать социальную инженерию, быть уверенной в себе...

Все блоги / Про интернет

Kali Linux NetHunter на Android Ч.2: атаки на беспроводные сети

Предыдущие статьи Kali Linux NetHunter на Android: зачем и как установить И снова здравствуй, мой любознательный друг! Как ты, наверняка, помнишь, в прошлой статье мы говорили об установке NetHunter на Android устройство. Сейчас мы займемся практической частью и обзором возможностей NetHunter. В...

Все блоги / Про интернет

Атаки и безопасность современных Windows систем

В данной статье будут представлены видеозаписи методов атак и защиты современных Windows систем: различные вектора и способы перехвата учетных записей, атаки контроллера домена, использование IPv6 и многое другое. Читать дальше →...

Все блоги / Про интернет

Зачем компании управлять смартфонами сотрудников?

В начале октября на Хабре обсуждалась утечка данных из «Сбербанка». Один из сотрудников банка продал информацию о тысячах или миллионах клиентов: ФИО, номер паспорта, номер карты, дата рождения, адрес и т. д. Сама по себе новость рядовая: такую приватную информацию о клиентах продают сотрудники...

Все блоги / Про интернет

Верификация пользователей в Китае и социальный кредит

Согласно законодательству КНР, регистрация на любом интернет-портале или сервисе требует идентифицировать пользователя как реальное лицо. О том, как это сделать, что для этого требуется и какие последствия несет мы и поговорим в этой статье. Читать дальше →...

Все блоги / Про интернет

Безопасность контейнеров в CI/CD

На дворе наступила осень, во всю бушует техноутопия. Технологии стремительно рвутся вперед. Мы носим в кармане компьютер, вычислительная мощность которого в сотни миллионов раз больше мощности компьютеров, управляющих полетами на Луну. С помощью Youtube VR мы можем плавать в океане с медузами и...

Все блоги / Про интернет

Проект Collage: как бороться с интернет-цензурой с помощью пользовательского контента

Группа ученых из технологического университета штата Джорджия опубликовала концепцию нового инструмента обхода блокировок. Проект получил название Collage, и его концепция предполагает использование так называемого user-generated content. Мы представляем вашему вниманию основные тезисы этой работы....

Все блоги / Про интернет

Passive DNS в руках аналитика

Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным...

Все блоги / Про интернет

Нуар-квест: раскрываем преступление по цепочке

Здесь не будет дворецкого, которого можно во всём обвинить. Но будет загадка, тайна, исчезновение лучшего друга в декорациях высоких технологий. Это настоящий осенне-депрессивный квест. Интересно проверить свою дедукцию? Добро пожаловать под кат...

Все блоги / Про интернет

Chrome полностью заблокирует смешанный контент

Загрузка картинок с незащищённых сайтов тоже будет блокироваться Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас...

Все блоги / Про интернет

Решение задания с pwnable.kr 25 — otp. Ограничение рамера файла в Linux

В данной статье решим 25-е задание с сайта pwnable.kr. Организационная информация Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях: PWN; криптография (Crypto); cетевые...

Все блоги / Про интернет

Как простой <img> тэг может стать высоким риском для бизнеса?

Безопасность на реальных примерах всегда интересна. Сегодня поговорим об SSRF атаке, когда можно заставить сервер делать произвольные запросы в Интернет через img тэг. Итак, недавно занимался тестированием на проникновение одновременно на двух проектах, сразу на двух эта уязвимость и выявилась....

Все блоги / Про интернет

Как уязвимость в Яндекс.Станции вдохновила меня на проект: Музыкальная передача данных

На прошлой неделе я рассказал, как устроена активация Яндекс.Станции через звук. Оказалось, что пароль от WiFi передаётся в открытом виде. Я размышлял, зачем вообще нужно было делать активацию так, а не каким-то отлаженным способом. В итоге, пришел к выводу, что в этом процессе важно шоу. Но, что...

Все блоги / Нетбуки и Планшеты

[Перевод] Unix-пароль Кена Томпсона

Где-то в 2014 году в дампах исходного дерева BSD 3 я нашёл файл /etc/passwd с паролями всех ветеранов, таких как Деннис Ричи, Кен Томпсон, Брайан В. Керниган, Стив Борн и Билл Джой. Для этих хэшей использовался алгоритм crypt(3) на основе DES — известный своей слабостью (и с длиной пароля максимум...

Все блоги / Про интернет

HTTP Request smuggling — новые подходы

7 октября 2019 года директор отдела исследований PortSwigger (производителя BurpSuite) опубликовал исследование о новых подходах к HTTP Request smuggling. С их помощью он заработал на bugbounty около $70000. В этой заметке мы коротко выясним суть атаки, инструментарий, а также методики исследования...

Все блоги / Про интернет