Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 23. «Anglerphish»
В 23 главе речь пойдет о хитрожо неуловимом (почти как в фильме «Поймай меня, если сможешь») преступнике, который водил ФБР вокруг пальца, при этом ухитрился проворачивать дела, пока стучал спецслужбам, но в конце концов погорел из-за женщины, но сумел выпутаться и сбежать. А еще он в лучших...
Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft
Не так давно корпорация Microsoft объявила о скором завершении поддержки TLS и SSL сертификатов, где используется алгоритм хэширования SHA-1. Перед этим аналогичное заявление сделало и руководство Mozilla. Сейчас и корпорация Google решила поступить таким же образом, прекратив поддержку SHA-1 до 1...
[Перевод] Прогноз 2016: атаки на Android и масштабные инфекции – одни из основных угроз безопасности
Опубликованы прогнозы основных проблем IT-безопасности в 2016 году от производителя облачных решений безопасности Panda Security. Наступающий год будет наполнен угрозами, которые могут негативно отразиться на домашних пользователях, небольших компаниях и крупных корпорациях. Объемы создания и...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 22. «Enemies»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
152-ФЗ. ЦОДы, базы данных и уведомления о них
Согласно изменениям, внесенным в Федеральный закон 152-ФЗ Федеральным законом от 21.07.2014 N 242-ФЗ, уведомление, направляемое в Роскомнадзор должно содержать: 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; До недавнего...
[Из песочницы] Создание личной записной книжки на php/mysql с шифрование
Доброго времени суток! Существует много положительных факторов ведения личного дневника, но не всегда там написано то, что нужно читать всем желающим, поэтому я решил сделать велосипед личный дневник (записную книжку) на php и mysql с использованием шифрования данных. Публикация рассчитана для...
Еще одна «критическая» «уязвимость» «VPN» и почему Port Fail — ерунда
Утро 26 ноября началось для меня с интересной новости — ребята из Perfect Privacy опубликовали информацию об уязвимости Port Fail, которая позволяет раскрывать IP-адрес клиентов VPN-сервисов с функцией проброса портов. Я немного понегодовал из-за того, что ее назвали уязвимостью, т.к. это никакая...
День рождения основателя старейшего хакерского клуба Chaos Computer Club
20 декабря 1951 года родился Херварт Холланд-Мориц, известный как Вау Холланд (Wau Holland), со-основатель Chaos Computer Club (ССС) в 1981 году, — это один из старейших в мире хакерских клубов. ССС получил всемирную известность, когда его члены обнародовали уязвимости в системе безопасности...
[Перевод] Пол Грэм: Слово «хакер»
«Дух сопротивления правительству так ценен в определенных случаях, что мне бы хотелось, чтобы ему никогда не давали погаснуть». Томас Джефферсон, отец-основатель. (На картинке изображены Стив Джобс и Стив Возняк с их проектом «blue box». Фото сделано Маргрет Возняк. Предоставлено с разрешения Стива...
Укрощаем UEFI SecureBoot
Данные обещания надо выполнять, тем более, если они сделаны сначала в заключительной части опуса о безопасности UEFI, а потом повторены со сцены ZeroNights 2015, поэтому сегодня поговорим о том, как заставить UEFI SecureBoot работать не на благо Microsoft, как это чаще всего настроено по умолчанию,...
Facebook угрожает специалисту по безопасности, взломавшему Instagram
Независимый специалист по безопасности Уэсли Вайнберг (Wesley Wineberg) подвергся серьёзному давлению со стороны компании Facebook. Она не заплатила за найденные уязвимости на сервере Instagram, да ещё угрожает судебным иском. Уэсли нашёл уязвимость в инфраструктуре Instagram, с помощью которой...
[recovery mode] Бэкдоры в файрволах Juniper
Если кто-то еще не слышал, Juniper опубликовал заявление: обнаружен код в ScreenOS версий с 6.2.0r15 по 6.2.0r18 и с 6.3.0r12 по 6.3.0r20, позволяющий обладающим соответствующей информацией лицам сделать две вещи: 1) Аутентифицироваться на устройстве по ssh 2) Слушать VPN трафик Обнаружить...
Symfony2 Voters и Doctrine Filters на страже безопасности
Все началось, когда я настраивал систему безопасности одной CRM. Как это часто бывает, в ней были пользователи с разными уровнями доступа к основным данным (назовем их entities). Вид основного грида у них был одинаковый, необходима была гибкость настроек доступа к entities. Сперва я подумал об ACL,...
Как сделать пароль надежным и запоминающимся
Пароли стоят на страже наших данных. И степень их надежности играет важную роль. Понятно, что сложный пароль и взломать будет непросто. Вот только личных счетов и систем, требующих авторизацию, очень много. И помнить десятки, если не сотни различных комбинаций из символов — практически невозможно....
Security Week 51: Zero Day в Joomla, Twitter предупреждает, утечка базы MacKeeper
В предпоследнем эпизоде нашего сериала в этом году обсудим следующие новости: — Twitter рассылает предупреждения пользователям о том, что их возможно атакует какая-то спецслужба. Получателей немного, но некоторые из них так или иначе связаны с темой защиты информации (ну или политическим активизмом...
Дети и родители в Сети: история взлома сервисов VTech
Утечка данных пользователей различных сервисов из-за взлома последних — далеко не редкость, к сожалению. Стоит только вспомнить нашумевший взлом сервиса измен Ashley Medison, когда в Сеть утекли данные миллионов пользователей. Огромное количество пользователей оказались просто ботами, но это ничего...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 25. «Hostile Takeover»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
Критическая уязвимость в загрузчике Grub2 позволяет обходить защиту паролем
Исследователи безопасности Гектор Марко (Hector Marco) и Исмаэль Риполл (Ismael Ripoll) опубликовали информацию об обнаруженной ими 0-day уязвимости в популярном загрузчике Grub2, который используется в большинстве Linux-системах. Эксплуатация уязвимости позволяет получить доступ к аварийной...