Карьера в информационной безопасности
Во всех делах очень полезно периодически ставить знак вопроса к тому, что Вы с давних пор считали не требующим доказательств. Бертран Рассел. Несмотря на высокую популярность профессии, связанной с информационной безопасностью, даже в условиях кризиса рынок испытыват нехватку квалифицированных...
Википедия уже блокируется
То, о чем так долго говорили большевики чего по нашим меркам году так в 2008-м, случиться не могло никак, случилось. Википедия уже блокируется. Почему? Смотрим на сайте ведомства. Читать дальше →...
Тинькофф банк скомпрометировал выписки по счетам клиентов?
На днях клиенты Тинькофф банка обнаружили занимательный факт – выписки с информацией о движении денег по счетам клентов банк разместил на своем сайте по прямой ссылке. Это оплошность специалистов по информационной безопасности и нарушение банковской тайны или очередной PR-ход известного своими...
[Перевод] Анализ защиты Sony PlayStation 4
Поскольку никаких публичных заявлений касательно взлома PS4 не поступало уже давно, настало время нарушить тишину и рассказать немного о том, как далеко зашел прогресс в отношении взлома PS4, а так же о причинах, которые мешают продвинуться дальше. В данной статье я затрону некоторые принципы...
Microsoft добавил средство сбора телеметрии в Windows 7/8/8.1
Сегодня на MS Windows 7 и 8.1 прилетели обновления KB3080149 и KB3075249. Телеметрическая информация передаётся на следующие сервера: vortex-win.data.microsoft.com settings-win.data.microsoft.com Передача осуществляется через TCP по порту 443 с использованием SSL. Для параноиков людей,...
М-м-м-м… Маршмэллоу: что нового в Android 6 и Android SDK
Всем привет! Как вы все уже, наверное, знаете, шестая версия нашей ОС Android наконец получила официальное название: Android 6.0 Marshmallow. Предположений о том, как именно будет называться новая версия было много: и Milkshake, и Merengue, и M&M’s с MilkyWay. Кроме того, вышла финальная версия...
Полиция заставила китайского разработчика удалить код с GitHub
Разработчик из Китая под ником @clowwindy — автор таких проектов, как Shadowsocks и ShadowVPN, позволяющих обходить блокировку сайтов в интернете; и, в частности, Великого китайского фаерволла. Сегодня он написал в комментарии на Github: Позавчера ко мне пришла полиция и попросила прекратить работу...
Исследование: Уязвимости криптотранспондера позволяют заводить без ключа более 100 моделей машин
Европейские исследователи еще в 2012 году обнаружили серьезные уязвимости в криптотранспондере Megamos, который устанавлен в более 100 моделях автомобилей разных прозводителей (Audi, Ferrari, Cadillac, Volkswagen и т.п.). Найденные ими ошибки безопасности позволяли злоумышленникам заводить машины с...
[Из песочницы] Обход авторизации через социальные сети при подключении к публичным Wi-Fi
Все началось с того что я наткнулся на статью. Вкратце, в ролике показано, как два пользователя подключаются к сети заведения и заходят в браузер, в котором открывается страница с предложение авторизоваться через «ВКонтакте»: необходимо ввести логин/пароль, вот только домен не vk.com, типичный...
Security Week 34: Полковника никто не патчит
Эта неделя в мире информационной безопасности выдалась печальная. После веселой вечеринки различных багов, зиро-деев и прочей исследовательской вкуснятины наступило тяжкое похмелье внедрения свежеобнаруженного в уязвимый софт. А это такая очень важная тема, но скучная донельзя. Когда редакция...
Обнаружена еще одна серьезная уязвимость в Android
В конце июля исследователи из компании TrendMicro обнаружили серьезную уязвимость в медиасервере Android (информация об этом появилась практически одновременно с данными по уязвимости Stagefright). Чуть позднее специалисты IBM нашли еще одну ошибку безопасности, затрагивающую 55% пользователей...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 8. «Добро пожаловать в Америку»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Начало и план...
Черный список IP своими руками
Совсем недавно мною была выложена статья, касающаяся безопасности сайта и, в частности, проблемы капчи и большого вопроса — можно ли от нее избавиться и как это сделать. Обсуждение было живое и очень продуктивное. Как это довольно часто со мной бывает, в результате анализа комментариев...
Пофессиональная подготовка в области практической ИБ: «Корпоративные лаборатории». Новый набор
За безопасность нужно платить, а за ее отсутствие — расплачиваться. Уинстон Черчилль. Открыт набор в новые группы «Корпоративных лабораторий» — уникальной в России и СНГ программы подготовки в области практической безопасности от компании PENTESTIT. Уникальность «Корпоративных лабораторий»...
[Из песочницы] Атака на архиваторы. Скрываемся в одном архиве от трех программ
Статья показывает, как можно обхитрить внимательного пользователя, знакомого с азами социальной инженерии, следящего даже за расширениями файлов и ни в коей мере не призывает к использованию данной информации в незаконных целях. Цель – запустить исполняемый файл, выдав его за текстовый документ в...
Светофоры тоже можно взломать
Последние несколько лет все чаще и чаще стали появляться статьи и заметки о взломах современных систем, установленных в автомобилях. Благодаря тому, что эти системы с каждым годом становятся все сложнее и содержат все больше точек соприкосновения с внешним миром — они привлекают все большее и...
Test lab v.8 — лаборатория, построенная на базе реальных корпоративных сетей. Принять участие в разработке
В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие...
Подпольный рынок кардеров. Перевод книги «Kingpin». Глава 4. «The White Hat»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Начало и план...