Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows

На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Spectre-подобную проблему....

Все блоги / Про интернет

[Перевод] Хакер, взломавший приложения для слежения за автомобилями по GPS, обнаружил, что может их удалённо останавливать

«Я могу создать серьёзные проблемы с дорожным движением по всему миру», — сказал он. Хакер взломал тысячи учётных записей, принадлежащих пользователям двух приложений для слежения по GPS, что дало ему возможность отслеживать местонахождение десятков тысяч машин и даже глушить моторы некоторых из...

Все блоги / Про интернет

[Из песочницы] Помощь и просьба о ней. Статья про информационную безопасность для рядовых пользователей

Я предлагаю вам некоторые шаги по повышению безопасности и приватности в интернет сети (и не только) для рядовых пользователей. Обоснование почему это необходимо – в начале статьи. Для тех кто всё знает и недоумевает почему этот текст находится здесь — просьба прочитать пункт «Для тех кто уже всё...

Все блоги / Про интернет

13. Check Point Getting Started R80.20. Licensing

Приветствую, друзья! И мы наконец-то добрались до последнего, заключительного урока Check Point Getting Started. Сегодня мы поговорим об очень важной теме — Лицензирование. Спешу предупредить, что данный урок не является исчерпывающим руководством по выбору оборудования или лицензий. Это лишь...

Все блоги / Про интернет

[Перевод] «Если вам нужно кого-то убить, то вы обратились по адресу»

Свежим мартовским днём 2016 года Стивен Олвайн вошёл в закусочную «Вендис» в Миннеаполисе. Ощущая запах застарелого масла для жарки, он искал человека в тёмных джинсах и синей куртке. Олвайн, работавший в службе поддержки в области ИТ, был тощим ботаником в проволочных очках. У него с собой было...

Все блоги / Про интернет

[Из песочницы] Watch Dogs в реальной жизни, или серьезные уязвимости в СКУД

Мне кажется, что многие парни, особенно в юном возрасте, хотели быть крутыми хакерами. Взламывать сайты, телефоны, системы доступа. Вот и у меня немного остался этот мальчишеский задор. Поэтому периодически ковырялся в различном ПО и ничего стоящего не находил. Но однажды, мне подвернулась удача,...

Все блоги / Про интернет

Человек как IoT устройство. Программирование биороботов

Приветствую! Хотел бы обсудить, наверное, одну из самых важных тем. А давайте представим ближайшее будущее, где воплощены наиболее правдоподобные заголовки статей и миссий стартапов о чипировании, достижений искусственного интеллекта, например таких как машинное зрение, искусственной еде,...

Все блоги / Про интернет

Безопасность со вкусом Google

Отгремел Google I/O 2019 и пришла пора переписывать проекты на новую архитектуру изучать новинки. Так как я интересуюсь безопасностью мобильных приложений, то в первую очередь обратил внимание на новую библиотеку в семействе JetPack — security-crypto. Библиотека помогает правильно организовывать...

Все блоги / Про интернет

Сервер, ты меня слышишь? BROP-атака на примере задания NeoQUEST-2019

Как найти уязвимость на сервере, не имея информации о нём? Чем BROP отличается от ROP? Можно ли скачать исполняемый файл с сервера через переполнение буфера? Добро пожаловать под кат, разберём ответы на эти вопросы на примере прохождения задания NeoQUEST-2019! Читать дальше →...

Все блоги / Про интернет

Случайные числа и децентрализованные сети: имплементации

Введение function getAbsolutelyRandomNumer() { return 4; // returns absolutely random number!} Как и в случае с концепцией абсолютно стойкого шифра из криптографии, реальные протоколы “Publicly Verifiable Random Beacon” (далее PVRB) лишь пытаются максимально приблизиться к идеальной схеме, т.к. в...

Все блоги / Про интернет

Что упускают хакеры при взломе банка на PHDays

Банк из года в год становится особенной сущностью для итогов «Противостояния» на PHDays. В 2017 хакеры смогли вывести из банка больше денег, чем в нем было. В 2018 году успешность финальной атаки на банк при отключенном нами антифроде (по замыслу организаторов) обеспечила победу одной из команд....

Все блоги / Про интернет

Как замаскироваться в интернете: сравниванием серверные и резидентные прокси

Для того чтобы скрыть IP-адрес или обойти блокировки контента, обычно используют прокси. Они бывают разных типов. Сегодня мы сравним два наиболее популярных вида прокси – серверные и резидентные, поговорим об их плюсах, минусах и сценариях использования. Читать дальше →...

Все блоги / Про интернет

Так что же будет с аутентификацией и паролями? Вторая часть отчета Javelin «Состояние строгой аутентификации»

Недавно исследовательская компания «Javelin Strategy & Research» опубликовала отчёт «The State of Strong Authentication 2019». Его создатели собрали информацию о том какие способы аутентификации используются в корпоративной среде и пользовательских приложениях, а также сделали любопытные выводы о...

Все блоги / Про интернет

Positive Hack Days 9: Конкурс «Конкурентная разведка» пройдет 18 мая

Кажется, что компания, которая занимается информационной безопасностью обязана следить за своими утечками. Однако так ли это? Уже совсем скоро, 18 мая, стартует онлайн-конкурс «Конкурентная разведка», который из года в год показывает, как легко получить информацию о любом человеке в сети с помощью...

Все блоги / Про интернет

Вебинар «Сотрудник — backdoor: современные приемы социальной инженерии»

30 мая на вебинаре Digital Security «Сотрудник — backdoor: современные приемы социальной инженерии» расскажем, почему информационная безопасность компании завязана не только на устойчивую инфраструктуру и программное обеспечение, но и на абсолютно каждого сотрудника. Читать дальше →...

Все блоги / Про интернет

GOSTIM: P2P F2F E2EE IM за один вечер с ГОСТ-криптографией

Будучи разработчиком PyGOST библиотеки (ГОСТовые криптографические примитивы на чистом Python), я нередко получаю вопросы о том как на коленке реализовать простейший безопасный обмен сообщениями. Многие считают прикладную криптографию достаточно простой штукой, и .encrypt() вызова у блочного шифра...

Все блоги / Про интернет

REG.RU против Beget: разбор полетов

Чуть менее года назад началась увлекательная история, когда REG.RU в одностороннем порядке расторг партнерский договор с Beget. Мне стало интересно, как обстоят дела с данным вопросом, и я решил поинтересоваться ходом разбирательств у непосредственных участников, так как заявления каждой из сторон...

Все блоги / Про интернет

Китай и Иран используют replay-атаки для борьбы с Telegram

В баг-трекерах популярных MTProxy-серверов mtg и mtprotoproxy появились сообщения, о том что в Иране и Китае надзорные органы научились каким-то образом выявлять и блокировать телеграм-прокси, даже испольщующие рандомизацию длины пакета (dd-префикс). В итоге выяснилась занятная история: для...

Все блоги / Про интернет