Security Week 37: Bug-bugzilla, Карбанак из бэк, С&C на рыбалке
В новом эпизоде сериала, снятого по мотивам новостей в области информационной безопасности: — Взлом Bugzilla лишний раз напоминает о том, что пароли должны быть не только сложные, но и уникальные. — Кампания Carbanak, ответственная за кражу сотен миллионов долларов у финансовых организаций,...
Оценка уязвимостей CVSS 3.0
Мы используем систему оценок CVSS с момента возникновения нашей базы уязвимостей и первого нашего продукта — XSpider (надеюсь, кто-то его еще помнит). Для нас очень важно поддерживать базу знаний, которую мы используем в своих продуктах и услугах, в актуальном состоянии. Поскольку рекомендации по...
Опубликован код эксплойта для критических Android-уязвимостей Stagefright
Весной 2015 года исследователи обнаружили ряд критических уязвимостей в компоненте ядра мобильной ОС Android под названием Stagefright (библиотека для работы с файлами мультимедиа, например PDF). Ошибки безопасности позволяли злоумышленникамии удаленно получать доступ к смартфону, например, с...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 2. «Deadly Weapons»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Начало и план...
[recovery mode] «Сладкий» шифрованный VPN траффик или Как мы «защищали» мороженное
История создания компании «Ласунка» началась с января 1997 года, с производства обычного мороженого — пломбира в вафельном стаканчике и эскимо, на маленькой фабрике в предместье Днепропетровска. Сейчас это ведущий производитель мороженого в Украине. Предприятие «Ласунка» включает в себя несколько...
[Перевод] Практическое руководство по взлому (и защите) игр на Unity
Когда речь идёт о программном обеспечении, термин «взлом» зачастую ассоциируют с пиратством и нарушением авторских прав. Данная статья не об этом; напротив, я решительно не одобряю любые действия, которые прямо или косвенно могут навредить другим разработчикам. Тем не менее, эта статья всё же...
Уязвимости прошивки беспроводных дисков Seagate позволяют удаленно загружать и скачивать файлы
Как сообщает CERT.org, беспроводные накопители Seagate открывают Telnet-сервис воспользоваться которым можно с помощью зашитого в коде пароля. Это позволяет злоумышленникам осуществить скачивание файлов с накопителя. Еще одна ошибка безопасности позволяет удаленно загружать любые файлы в...
Организация веб-доступа на базе Sophos UTM
В статье речь пойдёт о том, как эффективно и быстро можно настроить и управлять политиками веб-фильтрации, используя Sophos UTM — комплексное решение по обеспечению информационной безопасности предприятия. В конце статьи Вас ожидает Бонус при миграции с TMG или аналогичного решения. Что такое...
[recovery mode] За кулисами у КиберСофта
Данная статья — Preview новой версии CyberSafe Mobile. Теперь каждый читатель нашего блога может поучаствовать в создании нового программного продукта. Новая версия CyberSafe Mobile — это принципиально новый продукт и от старой версии останется лишь название. Мы будем благодарны за вашу критику!...
[Из песочницы] Организация мониторинга работы сотрудников в малом офисе
Заместитель директора по безопасности вызывает к себе в кабинет. Ставится задача: безопасник хочет видеть, чем занимался каждый сотрудник в течение дня. Желательно, с архивом в несколько дней. В ходе беседы выясняется, что «ввод с клавиатуры» сотрудника его абсолютно не интересует, ему нужно только...
Защита корпоративных приложений: как стать разработчиком PT Application Firewall
Два года подряд во время международного форума Positive Hack Days проходил конкурс WAF Bypass по обходу межсетевого экрана PT Application Firewall. Мы публиковали в блоге разбор заданий этого соревнования (2014 год и 2015 год). За год популярность соревнования значительно выросла — этой весной для...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 13. «Villa Siena»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Начало и план...
[Из песочницы] В ГОСТе сидел «Кузнечик»
В июне этого года в России был принят новый стандарт блочного шифрования — ГОСТ Р 34.12-2015. Этот стандарт помимо старого доброго ГОСТ 28147-89, который теперь называется «Магма» и имеет фиксированный набор подстановок, содержит описание блочного шифра «Кузнечик». О нем я и расскажу в этом посте....
Безопасность на доверии
На рынке существует ряд технологий, бездумное использование которых может привести к проблемам. Никто не говорит о том, что в них нет положительных моментов, но… Данная статья задумывалась достаточно давно, но непосредственным поводом к ней послужил простой эксперимент, который позволил проверить...
ReCaptcha в PhpMyAdmin — активация, обход и фикс
Совсем недавно, копаясь в коде PhpMyAdmin, обнаружил давно присутствующий в нём (судя по changelog) механизм captcha при авторизации. И не абы что, обходимое через многочисленные сервисы, а Google reCaptcha. Активировать его можно буквально за минуту — заходим на www.google.com/recaptcha, получаем...
Как Webnames снимает с делегирования домены
Вчера случилось страшное в виде сообщения от WebNames "Домен opentown.org заблокирован вследствие нарушения правил регистрации и/или использования доменного имени" По многолетнему опыту зная оперативность ответов службы поддержки на электронные письма, дозваниваемся и пытаемся узнать причину...
Карстен Ноль: корпорации против людей, угрозы USB и недостатки биометрии
В издании Atlas Obscura вышло интервью немецкого специалиста по шифрованию и защите данных Карстена Ноля. Этот эксперт занимается самыми разными проектами в области информационной безопасности — от разработки «USB-презерватива» до помощи в организации защищенного подключения миллиарда новых...
Security Week 36: джейлбрейк-ограбление, прощание с RC4, пористость роутеров
Когда компьютеры наконец научатся включать напрямую в мозг, наша жизнь станет значительно интереснее. Вместо смс-ок мы будем получать ментограммы, их вкрадчиво нашепчет внутренний голос. Подумал интересную мысль — поделись с друзьями легким движением мысли! Вспомни, что жена просила купить в...