[Перевод] Мифы о /dev/urandom
Наверняка многие из вас неоднократно сталкивались с мифами о /dev/urandom и /dev/random. Может быть, в некоторые из них вы даже верите. В этом посте мы сорвём покровы со всех этих мифов и разберём настоящие сильные и слабые стороны этих генераторов случайных чисел. Читать дальше →...
[Из песочницы] Как попасть на дачу президента в пять часов утра
Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был...
В CMS Joomla обнаружена критическая 0-day уязвимость
Во вторник 14 декабря команда разработки Joomla выпустила срочное обновление безопасности, закрывающее 0-day уязвимость, которая открывает злоумышленникам возможность удаленного исполнения кода. Хакеры уже активно пытаются атаковать уязвимые сайты. Читать дальше →...
DB hacking или экскурс в мир СУБД
Этот обзор посвящен типовым ошибкам развертывания разнообразных СУБД, от самых известных и используемых на тысячах серверов, до специализированных и относительно редко встречающихся. Задачи создать всеобъемлющий курс по всем возможным векторам и уязвимостям не было, поэтому получились небольшие...
Контентная фильтрация: зачем и как это делать
Привет, Хабр! Сегодня мы поговорим о фильтрации интернет-контента. Три года назад вступил в силу федеральный закон 139-ФЗ, дополнивший уже принятый 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». В соответствии с российским законодательством, доступ в интернет в...
Open-source реализации отечественных криптоГОСТов
На выходных решил поискать open-source реализации отечественных криптографических стандартов. Прежде всего интересовали новые: хэш-функция Стрибог (ГОСТ Р 34.11-2012), Кузнечик (ГОСТ Р 34.12-2015) и ЭЦП (ГОСТ Р 34.10-2012 или 2001 (без 512-бит) ). Старый ГОСТ 28147-89 специально не искал, поскольку...
Об эффективности «учений» Рутрекера
«У любой задачи существует по крайней мере одно очевидное и невероятно простое для понимания неправильное решение» Как кто-то из вас уже знает, широко известный ресурс Рутрекер провел акцию «Учения по гражданской обороне». Суть её заключалась в «тренировочном» закрытии доступа на форум для всех...
Знакомьтесь: Хеш-стеганография. Очень медленная, но совершенно секретная
Да, уважаемый читатель, вы правильно прочитали: совершенно секретная. Причем, прошу заметить, совершенно секретная в самом строгом математическом смысле: совершенно секретная по Кашену, ибо расстояние Кульбака — Лейблера в моей математической конструкции будет равно нулю; причем не «почти нулю», а...
Черный пиар Telegram. Кому верить?
Недавно на Geektimes подняли шум со статьей «Плохой Telegram» или Как я не взял денег за черный пиар Telegram на Хабрахабре. В итоге выяснили, что знакомый Бурумыча читает переписку дочери и что приветствие «Добрый день» лучше чем «Доброго времени суток». Дабы вбросить в вентилятор полезной...
[Перевод] DASH “Эволюция” анонсирована как “Социальная платёжная сеть”
Эван Даффилд (Evan Duffield), создатель и ведущий разработчик криптовалюты DASH (текущий рейтинг — №5 по капитализации), раскрыл планы по развитию следующего поколения DASH “Evolution” на ежегодной Латино-Американской Биткоин конференции LaBitconf-2015. Следующий этап развития этой криптовалюты...
Саундсквоттинг — новый вид мошенничества с доменами
Появилась новая разновидность киберсквоттинга, именуемая саундсквоттингом (от англ. «soundsquatting»). Суть действия также заключается в противоправном использовании доменных имен, только с помощью омофонов — слов одинакового звучания и при этом разного написания (например, «eight» и «ate» —...
Security Week 50: DDoS корневых DNS-серверов, жизнь APT Sofacy, много криптографии
Серьезные перемены происходят ровно в тот момент, когда процент желающих что-то изменить превышает определенную критическую отметку. Нет, я сейчас не политику, чур меня и свят-свят, а про IT в целом и IT-безопасность. И хотят в общем-то все разного: компании — чтобы не DDoS-или и не ломали,...
В антивирусе Avast обнаружены и устранены критические уязвимости
Летом 2015 года пользователи интернета широко обсуждали проблемы безопасности антивирусных инструментов. Напомним, тогда серьезные уязвимости были обнаружены в продуктах ESET, а затем и в BitDefender с Symantec. На текущей неделе стало известно об очередных проблемах с защитой антивирусного софта....
[Перевод] 2015 – год Cryptolocker, и как кибер-преступники совершенствовали свои атаки
В конце 2013 года появились первые признаки новых угроз, которые вскоре станут одним из самых прибыльных видов атак, осуществляемых кибер-преступниками. Cryptolocker – наиболее популярное семейство ransomware, которое в конечном итоге стало использоваться в качестве названия для всех угроз...
[recovery mode] Лаборатория тестирования на проникновение «Test lab v.8»: банк взломан
13 ноября 2015 г. была запущена очередная, восьмая по счету лаборатория тестирования на проникновение «Test lab v.8», которая представляла собой виртуальный банк. К моменту открытия лаборатории количество зарегистрированных участников превышало отметку в 5 000. Ниже будет представлена информация о...
Фишинговые приложения для Вконтакте на Google Play
Пару месяцев назад лаборатория Каспеского опубликовала статью о фишинге аккаунтов ВК в Google Play, но не рассказали как это реализовано и почему такие приложения задерживаются в маркете. В их статье говорилось о том, что около 1 миллиона пользователей могли стать жертвами фишинга. Примерно те же...
Эхо «правды Сноудена»: Дед Мороз следит за тобой
После серии широко известных разоблачений, инициированных Эдвардом Сноуденом, в СМИ всё чаще и чаще говорят о т.н. «большом брате». Весна Интернета позади. Из объединяющего пространства, свободного от цензуры, Сеть превратилась в орудие глобального контроля. Государства всё жёстче отслеживают...
Революция WikiLeaks: дайджест злоключений
Сейчас в сети можно встретить множество упоминаний о WikiLeaks. Особенно в свете его притеснения со стороны правительственных спецслужб. Однако систематической и краткой информации, – которая может быть полезна при проведении тренингов по информационной безопасности, – об этом не так много....