Как надстройки Microsoft Visual Studio могут использоваться для взлома
Специалисты по ИБ из Deep Instinct утверждают, что инструменты Microsoft Visual Studio для Office (VSTO) всё чаще используются в качестве метода обеспечения сохраняемости и выполнения кода на целевой машине с помощью вредоносных надстроек Office. Читать далее...
Слив исходников Яндекса, как самый большой толчок русского ИТ
Постараюсь без долгих рассуждений, сразу к делу. Привет, я mobilz, и в своё время я уже "сливал" некоторые исходники Яндекса в том числе. Предварительно, конечно, предупредив их. К текущим событиям я не имею отношения, но у меня есть мысли, которыми я хочу поделиться. Во-первых, это звиздец. Это не...
[Перевод] Взлом Hyundai Tucson
История в двух частях. В первой мы расскажем о первых неудачных попытках болгарского ИТ-специалиста Радослава Герганова взломать свой автомобиль Hyundai Tucson 2020 года выпуска, а во второй — о том, как выполнялся взлом. Я купил новенький Hyundai Tucson в 2020 году, а в 2022 году наткнулся на...
Хакеры выявили массу уязвимостей у современных автомобилей
Если вы приобретали новый автомобиль в последние несколько лет, то велика вероятность, что в нем есть хотя бы один встроенный модем, который нужен для разных полезных функций вроде удалённого прогрева автомобиля, самодиагностики, которая предупреждает о сбоях до того, как они произойдут, и...
Дайджест новостей за декабрь 2022
Всем привет! Декабрь остался в прошлом, так что, отойдя от праздничных увеселений, подводим его итоги дайджестом самых значимых инфобез-новостей. Последний месяц 2022-го принёс неприятное обновление по следам очередного взлома LastPass и ещё одну базу данных пользователей Твиттера, собранную через...
«Хакер»: самые громкие, яркие и важные события 2022 года в мире безопасности
До нового года осталась всего ничего, а значит, пора подвести итоги и вспомнить самые интересные, важные и странные события последних двенадцати месяцев, о которых мы писали на Xakep.ru. Мы выбрали «призеров» в десяти номинациях и расскажем о наиболее заметных атаках, взломах, утечках, фейлах и...
Как за неделю превратить Open redirect в RCE
В этой статье я расскажу вам о том, как ровно год назад я связал в цепочку несколько проблем безопасности для достижения Удаленного выполнения кода (RCE) на нескольких серверах компании VK. Я постарался описать свои шаги в подробностях, так как мне самому, как постоянному читателю отчетов по...
Взломана защищённая ФБР сеть обмена информацией «InfraGard»
Хакер с ником USDoD выдал себя за директора реально существующей крупной фирмы, получил доступ к данным более чем 80 тыс. пользователей портала InfraGard, который принадлежит ФБР, и теперь продаёт их в даркнете. Читать далее...
[Перевод] Самые крупные взломы и утечки 2022 года
Итак, это то самое время года, друзья. Да, пока мы тут, в декабре, движемся к 2023 году, пришло наконец время посмотреть на крупнейшие (читай: наихудшие, самые плачевные, самые нелепые) случаи взлома в уходящем году. Читать далее...
Топ самых громких событий инфосека за ноябрь 2022
Всем привет! С уходом осени по традиции подводим итоги ноября в подборке самых ярких инфобез-новостей прошлого месяца. Сегодня у нас в программе пара сервисов с многолетней историей, по чью цифровую душу нагрянуло ФБР, громкие аресты видных фигур двух крупных киберпреступных группировок, а также,...
Как школьники МЭШ взломали
История о том, как школьники нашли глупейшую ошибку в production версии электронного журнала г. Москвы и построили на этом бизнес. Читать далее...
Топ самых громких событий инфосека за октябрь 2022
Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской...
Эффективная защита RDP «на минималках»
А вы знали что пароль из шестнадцати букв считается не взламываемым? И что дороже: сервер или информация, которая хранится на нём (или хранилась)? Поэтому я решил написать короткую, но возможно, очень полезную для многих статью, особенно если Вы только начинаете работать как системный...
[Перевод] Как избавиться от домашки с помощью кода… и спалиться
В 2020 году наша школа пользовалась для онлайн-обучения несколькими платформами. Профессора и учителя давали домашние задания с её помощью. А я, ленивый разраб, очень хотел проводить больше времени за играми и программированием, особенно когда все сидели по домам из-за локдауна. Я начал писать этот...
Дайджест новостей за август 2022
Всем привет! Сегодня у нас из интересных событий наделавший шуму отчёт об оставляющих желать лучшего ИБ-стандартах Твиттера, незавидная судьба криптомиксера Tornado Cash и его разработчиков, новые методы кражи данных с изолированных от сети систем и несколько запомнившихся своей курьёзностью...
На грани между ИТ и ИБ: противоборство или союз специалистов?
В среде разработчиков бытует мнение, что информационная безопасность относится к IT не напрямую, а косвенно, что это вспомогательная область и даже вторичная. Но так ли это на самом деле? На этот неоднозначный вопрос серьезно и обстоятельно ответили спикер Слёрма Роман Панин и его коллега Павел...
Хакер собрал робота, вскрывающего популярные кодовые замки
В реальной жизни сейфы и замки бывает не так просто открыть, как это показывают нам в кино. Однако существуют настолько простые замки, что их вскрытие можно даже автоматизировать. Пользователь Mew463 именно так и сделал – собрал робота, вскрывающего популярный в США кодовый навесной замок Master...
[Перевод] Nmap — голливудская звезда
По неизвестным причинам Голливуд считает Nmap главным инструментом хакеров и пихает его во все фильмы со сценами взлома. Впрочем, это куда реалистичнее дурацкой 3D-анимации, которая использовалась в таких картинах, как «Взлом» Гибсона, «Хакерах», или совсем ужасного варианта из «Пароль “Рыба-меч”»....
Назад