ТОП-10 уязвимостей IoT-устройств

К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей. В среднем между временем подключения устройства IoT к сети и...

Все блоги / Про интернет

[Из песочницы] Спам-уязвимость Pikabu

Здравствуйте. Хотел бы рассказать про спам-уязвимость форума Pikabu. Форум считаю не самым лучшим, по этому — тестирую на нем все что можно. В чем же суть? Уязвимость заключается в накрутке активности, количестве оценок, комментариев за минимальное время с помощью Python-скрипта. Читать дальше →...

Все блоги / Про интернет

[Перевод] Эдвард Сноуден рассказывает, почему он стал информатором

Отрывок из книги «Постоянная запись»; как молодой человек, работавший системным администратором, обнаружил посягательства на свободу и решил предать гласности обширную американскую систему слежки за гражданами Когда мне было 22, я устроился на работу в американскую разведку, политических взглядов у...

Все блоги / Про интернет

Опубликован список из 25 самых опасных уязвимостей ПО

Изображение: Unsplash Американская организация MITRE опубликовала список из 25 самых опасных уязвимостей программного обеспечения. Исследователи составили таблицу наиболее опасных и распространенных проблем безопасности, с указанием идентификаторов CWE (Common Weakness Enumeration). В топ-25 попало...

Все блоги / Про интернет

WIBAttack. Так ли страшна новая уязвимость SIM-карт

[По публичной информации], 21 сентября Ginno Security Lab опубликовала информацию об уязвимости, схожей с Simjacker, которая позволяет с помощью одной вредоносной SMS захватить контроль над мобильными функциями атакованного устройства и тем самым получить возможность отправлять SMS, совершать...

Все блоги / Про интернет

Patch’ти — не считается: сказ о патч-менеджменте в лицах и красках

Наверно, все SOC-аналитики спят и видят, как их детектирующие правила отлавливают модные техники проправительственных APT-группировок, а расследования приводят к обнаружению эксплойтов для zero-day уязвимостей. К сожалению (или к счастью), большая часть инцидентов, с которыми приходиться...

Все блоги / Про интернет

Третья уязвимость Steam Windows Client, но не 0day

В предыдущих сериях Не так давно я рассказал о двух уязвимостях Стима: CVE-2019-14743 и CVE-2019-15316. Там была целая история о том, как я пытался зарепортить их, у меня не получалось, меня забанили, и только после публичного раскрытия и помощи сообщества удалось достичь результатов. Valve сделали...

Все блоги / Про интернет

Flare-On 2019 write-up

-0x01 — Intro Данная статья посвящена разбору всех заданий Flare-On 2019 — ежегодного соревнования по реверс-инжинирингу от FireEye. В данных соревнованиях я принимаю участие уже второй раз. В предыдущем году мне удалось попасть на 11-ое место по времени сдачи, решив все задачи примерно за 13...

Все блоги / Про интернет

Security Week 40: уязвимость в BootROM мобильных устройств Apple

В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет джейлбрейка пока и правда...

Все блоги / Про интернет

[recovery mode] Система резервного копирования

Эта статья — часть цикла о построении NAS, и написана под конкретный вид системы. Резервное копирование — вторая основная задача, которую я хотел решить, используя NAS, после системы управления репозиториями. Решение её затянулось... Про данную тему уже написана масса статей и даже несколько книг,...

Все блоги / Про интернет

Disk forensics, memory forensics и log forensics. Volatility framework и Autopsy. Решение задач с r0от-мi. Часть 1

Данная статья содержит решений заданий, направленных на криминалистику памяти, оперативной памяти, и логов web-сервера. А также примеры использования программ Volatility Framework и Autopsy. Организационная информация Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер...

Все блоги / Про интернет

Проблемы и угрозы биометрической идентификации

В 2018 году в России вступил в действие закон о биометрической идентификации. В банках идёт внедрение биометрических комплексов и сбор данных для размещения в Единой биометрической системе (ЕБС). Биометрическая идентификация даёт гражданам возможность получать банковские услуги дистанционно. Это...

Все блоги / Про интернет

[Из песочницы] Домофон — ухо шпиона?

Еще во времена аналоговых телефонных дисковых аппаратов ходили слухи о прослушивания линии, даже о возможности слушать обстановку без поднятия трубки и разговора по ней. С появлением кнопочных телефонов проблема вроде бы ушла, к тому же в связи с принципами коммутации сигналов на витой паре это...

Все блоги / Про интернет

Реверс инжиниринг протокола активации Яндекс.Станции

«Яндекс.Станция» — умная колонка с голосовым помощником Алиса. Чтобы её активировать, нужно поднести телефон и проиграть звук из приложения «Яндекс». Под катом я расскажу, как устроен этот сигнал, про пароль от WiFi в открытом виде и попробую развить идею передачи данных через звук. Читать дальше →...

Все блоги / Нетбуки и Планшеты

Сертификаты EV SSL: есть ли жизнь после смерти?

В новых версиях Chrome 77 и Firefox 70 (выйдет 22 октября) EV-сертификаты с расширенной проверкой лишились своего привычного места в адресной строке. Теперь они на первый взгляд не отличаются от обычных DV-сертификатов, которые валидируют домен. Дополнительная информация о компании раскрывается...

Все блоги / Про интернет

Опасные 3rd-party драйверы в вашей системе или LOLDrivers

А вы знали, что вполне легитимный драйвер может дать злоумышленнику возможность прописаться в вашей системе надолго, оставаясь внутри даже после ее переустановки? Или превратить ваш компьютер в кирпич? Например, некоторые безобидные на вид доверенные (подписанные) драйверы являются попутно...

Все блоги / Про интернет

Nitter, альтернативный фронтенд для Twitter

Nitter — это свободный фронтенд для Twitter, ориентированный на сохранение пользовательской конфиденциальности. Проект написан на языке Nim, и находится в стадии активной разработки, ни одного релиза пока не было. Аналогичным фронтендом для YouTube является Invidious, который и вдохновил автора на...

Все блоги / Про интернет