Security Week 46: Разносторонний Java-баг, жизнь криптолокеров, 17 заплаток Adobe Flash
В новом эпизоде нашего сериала: — Серьезная уязвимость в библиотеке Apache Commons Collections ставит под удар основанные на Java сервисы сразу нескольких компаний, такие как Oracle WebLogic и IBM WebSphere. Как и любую другую уязвимость в распространенных и широко используемых библиотеках, эту...
Лаборатория тестирования на проникновение «Test lab v.8»: welcome to hell
Сегодня, в пятницу, 13-го, в 22 часа по московскому времени, состоится запуск новой лаборатории «Test lab», представляющей собой виртуальный банк, с присущей ему инфраструктурой и уязвимостями. Участникам предлагается произвести компрометацию всей ИТ-структуры банка. «Test lab» —...
[Из песочницы] Незащищенный Redis, или кто виноват?
Один из разработчиков Redis опубликовал у себя в блоге статью A few things about Redis security («Немного о безопасности Redis»), в которой детально описал банальную, но, как оказалось, для многих критичную проблему хранения данных и обеспечения безопасности доступа к серверу. Для меня все было бы...
666-й пост: страхи и суеверия айтишников
Страхи и суеверия рука об руку идут с разработчиками по жизни. Будем откровенны — тому виной баги. Баги бывают у всех. Некоторые баги точь-в-точь детские страшилки, что появились в далёком прошлом и противоестественно существуют уже десятки лет. Иррациональная боязнь встретить баг (напороться на...
Курс этичного хакинга для начинающих: «Zero Security: A»
Информационная безопасность — крайне динамичная область. Новые методы и инструменты тестирования на проникновение обновляются с такой периодичностью, что отследить их становится крайне сложно. Для специалистов, интересующихся вопросом практической ИБ и желающих в короткое время получить...
Хватит болтать, пора ломать
До старта конференции ZeroNights 2015 остается 2 недели Друзья, вот мы и подошли к финишной прямой. До нашей с вами встречи осталось всего две недели! Программа конференции полностью сформирована, на нашем сайте размещено итоговое расписание двух дней, с ним вы можете ознакомиться здесь:...
Криптовымогатели. На этот раз под ударом веб-сервера на Linux
Изображение: Kaspersky Lab Ransomware, или программы-криптовымогатели, уже давно известны. Это ПО шифрует данные пользователей, требуя затем оплаты за предоставление секретного ключа, позволяющего расшифровать данные. Оплата обычно производится в биткоинах, а само ПО атакует компьютеры под...
[Из песочницы] WoSign Free SSL — конец большой китайской халявы
Некоторое время назад Китайская компания WoSign, начала бесплатно раздавать SSL сертификаты, о чем ни раз писалось на Хабре. Сначала они выдавали сертификаты на 2 года Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов, Бесплатные SSL-сертификаты на 2 года от WoSign, а потом решили...
Критическая уязвимость в ряде Java Application Server
Вчера в блоге Apache FSF появилась интересная запись. Уязвимым оказалось практически все ПО, которое использует сериализацию и десереализацию данных совместно с apache commons collections и некоторыми другими библиотеками. Сама уязвимость была описана 6 ноября, а сегодня Oracle выпустил первые...
[Из песочницы] Прозрачный обход блокировок в домашней сети
Последние новости в очередной раз заострили проблему блокировок интернет-ресурсов. С одной стороны о способах их обхода написано немало, и пережевывать эту тему в очередной раз казалось бы незачем. С другой, регулярно предпринимать какие-то дополнительные действия для посещения нужного ресурса —...
Случайный взлом: зачем ломают низкопосещаемые сайты
С каждым годом рост количества атак на веб-приложения только увеличивается. Все больше и больше случаев резонансных взломов крупных компаний и сервисов (пример взломанных компаний за последние две недели): Хакер обнаружил уязвимость нулевого дня в vBulletin, одном из самых популярных форумных...
Windows Store и будущее малвари
Осторожно, мнение дилетанта. Читать дальше →...
Freeradius. Поддержка различных типов аутентификации пользователей одновременно
В данной статье хотелось бы поделиться своим опытом по настройке freeradius в части поддержки различных типов аутентификации пользователей. К сожалению, столкнувшись с данной проблемой, я не смог найти готового решения на просторах гуглов и прочих яндексов и, поэтому раскуривал маны самостоятельно....
Червь который изменил Интернет
Сэми Камка, главный герой истории, не хотел быть «героем» для каждого, он даже не собирался заводить новых друзей. Но благодаря нескольким строчкам умного кода он за сутки стал «героем» и «другом» для более чем миллиона людей. Все произошло около полуночи 4 октября 2005 года в солнечном городе...
Как MTT свою клиентскую базу слил
Сотрудник МТТ по невнимательности включил в рассылку вместо коммерческого предложения список email-ов из своих 13 тысяч клинтов-компании, для которых эта рассылка и предназначалась. Большие компании — большие проблемы Довелось мне недавно гранату в руки обезьяне дать, так страшно было, что...
[Из песочницы] LinOTP+RADIUS. Аутентификация с помощью одноразовых паролей
1. Основные сведения В данной инструкции описывается процесс интеграции LinOTP и FreeRadius на машинах под управлением CentOS а также настройка аутентификации пользователей SSH по ОТР, сгенерированному с помощью программного обеспечения Google Authenticator (или любого, использующий аналогичный...
Создатели программ-вымогателей придумывают новые способы выманивания денег
Программы-вымогатели, использующие шифрование данных пользователей для выманивания денег у жертв, используют все более изощренные пути шантажа. Создатели такого ПО стараются увеличить свои доходы, придумывая новые и новые функции для своих программ. Одним из новичков рынка ransomware является...
Манипулирование ценами акций с помощью поддельных новостей: Как не попасться на удочку
Ранее в нашем блоге мы писали о влиянии, которые различные новости могут оказывать на фондовый рынок и цену акций. Иногда злоумышленники пользуются этим и с целью заработка публикуют поддельные новости, которые оказывают влияние на цену акций. На прошедшей неделе в поле зрения медиа и...