ДДос, возможные варианты борьбы…
Возможно ли (думаю, что возможно) с помощью всплывающего окна оповестить-замедлить Ддос с текущего компьютера пользователя(не секрет, что большинство Ддос атак идёт с заражённых компьютеров ничего не подозревающих пользователей). Почему бы брандмауэру windows, или крутым файерволам типа Касперского...
[Из песочницы] Почему важно не выдавать пользователям простой пароль
В начале года во всех (ну почти) школах Москвы ввели новый электронный дневник. Его использование было обязательно. Разработчиком этого «великолепного» творения был Департамент ИТ города Москвы. Хоть и красивый дизайн, который доступен пользователям Chrome, внушал, что журнал хорош, на деле было...
[Из песочницы] Printf Oriented Programming
Intro К своему удивлению не нашел статей на хабре по этой теме и этой статьей я хотел бы исправить положение дел. В ней я постараюсь максимально доходчиво рассказать со стороны атакующего о Format String Attacks, однако с некоторыми упрощениями. На практике они достаточно просто разрешаются, но не...
Мобильные приложения и PA-DSS
Автор: Роман Денисенко, старший инженер по тестированию. Из-за специфики моей работы, мне часто задают вопросы вида «у нас есть прекрасное мобильное приложение, и мы собираемся добавить в него возможность платежей банковскими картами. Но мы немного обеспокоены по поводу стандарта PCI PA-DSS. Что...
Компания Adobe выпустила экстренный патч для исправления критических уязвимостей Flash Player
В понедельник 28 декабря компания Adobe выпустила экстренное обновление безопасности, закрывающее 19 уязвимостей в продукте Flash Player. Обнаруженные ошибки безопасности могут быть использованы злоумышленниками для исполнения вредоносного кода на компьютере жертвы, получая над ним полный контроль....
[Перевод] От ИИ и наук о данных до криптографии: исследователи Microsoft дают 16 предсказаний на 2016 год
В прошлом месяце Microsoft выпустила книгу “Future Visions” – антологию небольших историй, написанных некоторыми современными научными фантастами, основываясь на общении с исследователями Microsoft и посещения их лабораторий. Электронная версия книги доступна бесплатно на Amazon и других сайтах....
Сборка и настройка FreeRADIUS 3 с поддержкой SQLITE
Доброго дня, уважаемые. Хочу поделиться с Вами решением одной творческой задачи. Надеюсь кому-то будет полезно. Итак, ДАНО: маломощная железка с arm процессором и собранный под нее и установленный Debian 7 wheezy. ЗАДАЧА: поставить FreeRADIUS 3.0.X, настроить его на работу с БД SQLITE. Т.е.,...
Сканеры безопасности: автоматическая классификация уязвимостей
Растущее количество угроз вынуждает разработчиков средств анализа защищенности постоянно усовершенствовать свои решения. Сейчас на рынке ИБ представлен широкий выбор сканеров безопасности от различных производителей, которые разнятся по своей эффективности. Это делает невозможным выпуск новых...
И еще раз о необходимости закрывать базы
DataBreaches.net сообщает о найденной базе персональных данных 191 млн избирателей США. Сайт на данный момент лежит под хабраэффектами, google cache. Исследователь Chris Vickery, ранее уже находивший не защищенные как следует многомиллионные базы аккаунтов, рассказал о наличии неограниченного...
[recovery mode] Почему я перепроверяю записанные данные, или История одного расследования…
Недавняя хабрастатья о различиях в побайтово идентичных файлах вызвала из глубин памяти (и почтового ящика) небольшой кусочек моей переписки с одним из инженеров, отвечавших в то время за линию дисков MPG в компании Fujitsu. Для удобства англонеговорящих читателей, привожу перевод перевод под...
«ВКонтакте» не только не платит пользователям за найденные уязвимости, но и не рассматривает их
По моему скромному мнению, баги из разряда банальных SQL инъекций в GET параметрах и выполнение команд через пайп уходят в далёкое прошлое. Различные фреймворки разрабатывающиеся десятками и сотнями людей, автоматизированное тестирование и лучшие практики программирования практически не оставляют...
Security Week 52-53: бэкдор у Juniper с толстым слоем криптографии, винтажная Java, гопо-bug bounty
В тот момент, когда елка уже стоит, но салаты еще не нарезаны, самое время в последний раз в этом году поговорить о новостях безопасности. На прошлой неделе я отчитался о «нестандартных» лучших новостях года, и в общем-то за оставшееся время ничего особенного не произошло. Хотя нет, есть одна...
Как я искал (и нашел) разницу в двух побайтово идентичных файлах
Есть у нас одно .NET-приложение, которое умеет загружать и использовать плагины. Плагины — дело хорошее. Можно функционал расширять, можно оперативненько обновлять их со своего сайта, можно даже юзерам дать SDK и позволить писать свои плагины. Мы всё это и делали. Наши плагины представляли собой...
[Из песочницы] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 29. «One Plat and Six Classics»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
Ботнет из тысяч взломанных роутеров Aethra использовался для атаки на Wordpress-сайты
Итальянская компания VoidSec, работающая в сфере информационной безопасности, опубликовала материал о недавно обнаруженном ботнете из роутеров Aethra. Как оказалось, эти устройства подвержены взлому, а злоумышленники используют ботнеты из таких устройств для проведения брутфорс-атак на сайты...
GOTPass: новая беспарольная система аутентификации пользователя
За прошедшие несколько лет неоднократно высказывалась мысль о том, что метод аутентификации пользователя при помощи паролей несколько устарела. Некоторые компании, соглашаясь с этим мнением, стараются создать новые системы аутентификации, которые были бы более безопасными стандартных методов, и...
Что случилось с google public dns в России?
Это не тостер, но проблема проявилась по всей России пару часов назад. Адрес 8.8.8.8 не работает, хотя пингуется. Может кто знает, что случилось? Адрес 8.8.4.4 тоже не отдаёт записи. P.S. Если кто увидит этот пост, хоть у себя на серверах поправит, если использовался сей DNS. Проверять либо dig...
[Из песочницы] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 28. «Carder Court»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...