Модель угроз: как и зачем мы поделили хакеров на категории

Долгое время мы делили киберпреступников на две группы: любителей и профессионалов. Первые бомбили доступным ВПО и баловались мелким хулиганством. Вторые разрабатывали собственные утилиты, целясь в крупный бизнес и госвласть. Подход понятный и простой. Проблема только в том, что сами хакеры уже...

Все блоги / Про интернет

[Перевод] Как хакнуть Github и заработать $35000?

Когда я нашёл эту уязвимость и сообщил о ней, она стала моим первым оплаченным баг-репортом на HackerOne. $35,000 — это также самая высокая награда, которую я получил от HackerOne (и я считаю, что самая высокая оплата от GitHub на сегодня). Многие найденные ошибки, кажется, — это удача и интуиция,...

Все блоги / Про интернет

[Перевод] Восемь «забавных» вещей, которые могут с вами произойти, если у вас нет защиты от CSRF-атак

Восемь «забавных» вещей, которые могут с вами произойти, если у вас нет защиты от CSRF-атак Введение В качестве программистов Typeable мы видим свою основную цель в том, чтобы приносить пользу нашим заказчикам. Однако я только что потратил некоторое количество денег заказчика и целый день на то,...

Все блоги / Про интернет

Вы пользуетесь уязвимым софтом, но я вам не могу об этом рассказать

Я нашел несколько уязвимостей в сервисах, которыми вы, скорее всего, пользуетесь. Возможно, вы даже считаете, что эти сервисы хорошо защищены. Но всего лишь несколько команд — и ваша приватность больше не ваша. Хотите узнать, какие именно уязвимости я нашёл? Но я не смогу вам об этом рассказать,...

Все блоги / Про интернет

Шифровальщики продолжают наступать: уязвимость в VPN Fortigate привела к остановке двух фабрик из-за ransomware

Постапокалиптические сценарии, главными героями которых являются киберпреступники, становятся все более реальными. То они атакуют (причем успешно) электростанции, то насосные станции, управляющие поставками воды для крупных городов. Теперь и за фабрики принялись (точнее, об этом стало известно...

Все блоги / Про интернет

Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)

Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников. С конца 2020 года мы...

Все блоги / Про интернет

Атаки на компьютерное зрение

Данная статья — попытка собрать известные теоретические и практические атаки на алгоритмы компьютерного зрения и реализовать атаку на практике. Материал будет полезен специалистам, которые занимаются построением систем распознавания и классификации объектов. Компьютерное зрение — направление в...

Все блоги / Про интернет

[Перевод] Продолжение. Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым

Ранее Cloud4Y рассказал про уязвимости веб-серверов Nginx, балансировщиков нагрузки и прокси-серверов. Что-то из этого вы могли знать, а что-то, надеемся, стало полезной информацией. Но история не закончилась. Многочисленные программы bug bounties позволяют проводить широкомасштабные исследования,...

Все блоги / Про интернет

Уязвимости Android 2020

Операционная система Android считается одной из самых защищенных операционных систем в наше время. Разработчики этой ОС на своем официальном сайте рассказывают, что в ОС сделано очень много работы для того чтобы создание традиционных эксплойтов было нерентабельно, сложно, невозможно. Возникает...

Все блоги / Про интернет

Уязвимости неуязвимого Linux

Cреди обычных пользователей и даже ИТ-сотрудников распространено убеждение в повышенной безопасности ОС семейства Linux по сравнению с «дырявой виндой» и «попсовой макосью». Однако, как показало наше исследование, открытость исходников не избавляет Linux от ошибок и уязвимостей, которые несут...

Все блоги / Про интернет

Пентест-лаборатория Test lab 15 — ху из н0в1ч0к?

Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории...

Все блоги / Про интернет

Распаковка исполняемых файлов

Статья расскажет о подходах к анализу запакованных исполняемых файлов с помощью простых средств для обратной разработки. Будут рассмотрены некоторые пакеры, которые применяются для упаковки исполняемых файлов. Все примеры будут проведены в ОС Windows, однако изучаемые подходы можно легко...

Все блоги / Про интернет

Проблемы безопасности онлайн банков

Привет друзья! Сегодня речь пойдет о насущных проблемах безопасности банковских систем, мы разберем часто встречающиеся уязвимости и сделаем выводы на основе актуальных проблем. Опять же, автор не гарантирует вам показать как полностью защитить вашу систему от кибер угроз, лишь хочет показать на...

Все блоги / Про интернет

Почему стоит использовать менеджер паролей

Менеджер паролей — хороший способ повысить уровень безопасности своей работы, сохранив все коды доступа в одном надежном месте. Без такого инструмента сложно удержаться от соблазна пользоваться во всех сервисах одними и теми же паролями (или их вариациями), что серьезно повышает вероятность...

Все блоги / Про интернет

Информационная безопасность в 2021 году. Угрозы, отраслевые тренды

В 2020 году многие аспекты повседневной жизни серьезно изменились. Всеобщая «удаленка» и рекордная цифровизация большинства отраслей не могла не трансформировать и ландшафт информационной безопасности. Рассказываем о наиболее интересных и заметных изменениях в ИБ-отрасли, а также о новых...

Все блоги / Про интернет

[Перевод] Что такое Mimikatz: руководство для начинающих

Бенджамин Делпи изначально создал Mimikatz в качестве доказательства концепции, чтобы продемонстрировать Microsoft уязвимость для атак их протоколов аутентификации. Вместо этого он непреднамеренно создал один из самых широко используемых и загружаемых хакерских инструментов за последние 20 лет....

Все блоги / Про интернет

Митигация уязвимостей: операционная система в помощь?

Каждый, кто начинает изучать уязвимости программного обеспечения и их эксплуатацию, рано или поздно начинает задаваться вопросами: откуда берутся методики написания эксплойтов? Почему современное ПО содержит уязвимости? Насколько операционные системы с точки зрения проведения атак на ПО отличаются...

Все блоги / Про интернет

Linux exploits

Операционная система Linux доказала миру всю силу Open Source проектов — благодаря ей у нас сегодня есть возможность заглянуть в исходный код рабочей ОС и на его основе собрать свою собственную систему для решения тех или иных задач. По причине своей открытости Linux должна была стать самой...

Все блоги / Про интернет

Назад