Как я взломал одного хостинг провайдера

С недавних пор мне стали приходить предложение проверить работу различных сервисов на предмет наличия ошибок и уязвимостей. И в таких предложениях я стараюсь работать на результат и получать максимальное удовольствие от процесса. Но результат последнего «проекта» меня мягко сказать шокировал. Мне...

Все блоги / Про интернет

Кто продает ваши аккаунты?

В начале 2016 года злоумышленник, действующий под псевдонимом tessa88, выставил на продажу широкий список скомпрометированных баз пользователей «Вконтакте», Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter и др. Недавно данные злоумышленника были раскрыты специалистами компании...

Все блоги / Про интернет

Между безопасностью и паранойей: тенденции больших корпораций

Наблюдение за бытом больших корпораций вгоняет меня в депрессию. Это дикая паранойя и одновременно жуткие, зияющие дыры в безопасности. Впрочем, возможно эти вещи как раз связаны — ведь параноик сфокусирован на определенных вещах, и легко может проглядеть очевидное. Он может выйти на улицу,...

Все блоги / Про интернет

Как мы собираем биометрические данные клиентов

В этом году Ростелеком представил Единую Биометрическую Систему — проект идентификации клиентов банков для удаленного доступа к банковским услугам. Благодаря биометрической верификации пользователи имеют возможность удаленно пользоваться услугами, для которых ранее требовалось обязательное...

Все блоги / Про интернет

[Перевод] Схема разделения секрета Шамира

Рассмотрим сценарий, когда необходимо обеспечить безопасность банковского хранилища. Оно считается абсолютно неприступным без ключа, который вам выдают в первый же день работы. Ваша цель — надёжно сохранить ключ. Предположим, вы решили всё время хранить ключ при себе, предоставляя доступ к...

Все блоги / Про интернет

[Перевод] Объясняем бэкдор в event-stream

Если вы работаете с Javascript, то скорее всего вы заметили много шума об уязвимости в npm-пакете event-stream. (На Хабре тоже опубликовали пост об этом — пер.) К сожалению, детальный анализ ситуации похоронен под более чем 600 комментариями в issue на Github, большая часть которых – флейм о...

Все блоги / Про интернет

О чем нужно помнить покупая NGFW? Чек-лист

Мы уже публиковали небольшую статью "критерии выбора NGFW". Здесь же предполагается что вы уже выбрали свой NGFW и собираетесь его покупать. О чем нужно помнить? Как не оступиться на последнем этапе — закупке. На наш взгляд, это очень важный вопрос, т.к. NGFW любого вендора стоит недешево. И если...

Все блоги / Про интернет

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 19: «Анонимные сети», часть 1 (лекция от создателя сети Tor)

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...

Все блоги / Про интернет

ШОК! Новый софт для фишинга побеждает второй фактор

Всем привет! Бывают случаи, когда тебе нужно кого-то зафишить. Бывает, когда у целевой организации настроен второй фактор для аутентификации — sms, Google authenticator, Duo. Что делать в таких случаях? Нанимать гопников? Подрезать телефоны у сотрудников? Нет! Оказывается, хитрые хакеры написали...

Все блоги / Про интернет

Великобритания и Голландия оштрафовали Uber на $1.2 млн. за утечку персональных данных

Власти Великобритании и Голландии оштрафовали европейский Uber на $1.2 млн. за утечку персональных данных 7 миллионов водителей и 57 миллионов пассажиров, произошедшую в 2016 году. В том числе была похищена информация о 2.7 млн. пассажиров и 82 тыс. водителях из Великобритании и 174 тыс. граждан...

Все блоги / Про интернет

«Два нефильтрованных» или легкий способ прострелить ногу

Уже несколько раз в отчетах об инцидентах маршрутизации мы рассказывали о возможных последствиях отсутствия фильтров BGP-анонсов на стыках с клиентами. Подобная, некорректная, конфигурация большую часть времени будет работать совершенно нормально — до тех пор, пока в один прекрасный день не станет...

Все блоги / Про интернет

TLS и Веб-Сертификаты

Всем привет! А мы вот запустили тихой сапой один из самых необычных для нас курсов — «Цифровая подпись в информационной безопасности». Несмотря на всё мы вроде справились и людей привлекли, посмотрим, что получится. А сегодня мы разберём оставшийся интересный материал и посмотрим вкратце, как...

Все блоги / Про интернет

Исследование Solar JSOC: киберпреступники становятся профессиональнее

Мы в Solar JSOC на постоянной основе собираем данные о событиях и инцидентах информационной безопасности в инфраструктурах заказчиков. На базе этой информации мы раз в полгода делаем аналитику, которая демонстрирует, как меняются атаки на российские организации. Сегодня мы собрали для вас самые...

Все блоги / Про интернет

Собственный VPN клиент на JavaScript. 1 часть — Вводная

Приветствую, Хабр. Наконец пришло время написать еще одну статью, которую я задумал довольно давно, и необходимость в написании которой я особенно остро ощущаю с тех пор, как 26 октября этого года решил снова взяться за один незаслуженно забытый проект. Поскольку сам я не особенно люблю читать...

Все блоги / Про интернет

Бэкдор в одной из зависимостей библиотеки EventStream

Еженедельно из репозитория NPM загружается более 1,9 миллионов копий библиотеки EventStream. Она используется во многих крупных проектах для простой и удобной работы с потоками в Node.JS. Среди прочих, эта библиотека обрабатывает потоки и в популярном криптокошельке Copay (впрочем, об этом позже)....

Все блоги / Про интернет

1. Анализ логов Check Point: официальное приложение Check Point для Splunk

Работая с шлюзами безопасности компании Check Point, очень часто возникает задача разбора логов для обнаружения и анализа инцидентов информационной безопасности. Обычно в организациях существует уже какая-либо система логирования, и стоит задача транспортировки логов с сервера управления Check...

Все блоги / Про интернет

Биометрия с «Ключом Ростелекома»: как ФСБ впервые пустила российскую криптографию в магазины приложений

Летом этого года в России заработала Единая биометрическая система для юридически значимого и при этом простого для пользователя подтверждения личности. О том, как она устроена, мы писали в недавнем посте. Чтобы системой было удобно пользоваться, необходимо приложение. Создание этого приложения —...

Все блоги / Про интернет

Security Week 48: взлом «Черной пятницы»

Всемирный праздник потребления под названием «Черная пятница», к счастью, закончился. Осталось выяснить, сэкономили ли вы деньги или все же потеряли. И этот вопрос имеет отношение не только к нужности и полезности приобретенных товаров. Иногда вместо покупки выходит утечка данных кредитной карты...

Все блоги / Про интернет