[Из песочницы] [ZeroNights2016] [CTFzone] Разбор полётов за 50
Ну, что же, вот и завершился ZeroNights 2016. Хотелось бы поблагодарить организаторов данного мероприятия и всех её участников: за два дня прозвучало множество удивительных дайджестов, мы делали себе алкогольные коктейли, думали как взломать «умный дом», доказывали свой интеллект в викторинах и,...
Двойная аутентификация Вконтакте — секс или имитация?
Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими...
Двойная аутентификация Вконтакте — секс или имитация?
Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими...
Международный конкурс для молодых исследователей и профессионалов в области ИБ
По нашим (да и не только) наблюдениям, в индустрии информационной безопасности катастрофически не хватает профессионалов. Во многом это связано с тем, что люди не всегда понимают весь спектр задач, который приходится решать безопасникам и просто не рассматривают возможность поискать себя в этой...
Международный конкурс для молодых исследователей и профессионалов в области ИБ
По нашим (да и не только) наблюдениям, в индустрии информационной безопасности катастрофически не хватает профессионалов. Во многом это связано с тем, что люди не всегда понимают весь спектр задач, который приходится решать безопасникам и просто не рассматривают возможность поискать себя в этой...
Детский интернет глазами отца. Опыт пользователя
ncmares, deviantart В интересное время мы живём. Весь мир опутан единой информационной сетью Интернет, в которой проводят львиную долю своего свободного времени как взрослые, так и дети. Стоп! Дети… Это что же, они смотрят то же самое, что и мы, взрослые?! Понятно, что мультики, котиков,...
PDUG Meetup. SSDL для руководителей: как перевести команду на безопасную разработку и не выстрелить себе в ногу
Безопасность ПО становится важнейшей составляющей его качества. Однако традиционный процесс разработки не всегда позволяет создавать защищенные приложения с нуля, а устранение уязвимостей в готовом софте требует серьезных временных и материальных затрат. На помощь приходит встраивание Secure...
PDUG Meetup. SSDL для руководителей: как перевести команду на безопасную разработку и не выстрелить себе в ногу
Безопасность ПО становится важнейшей составляющей его качества. Однако традиционный процесс разработки не всегда позволяет создавать защищенные приложения с нуля, а устранение уязвимостей в готовом софте требует серьезных временных и материальных затрат. На помощь приходит встраивание Secure...
Зловреды-вымогатели для IoT опаснее «традиционных» зловредов
Зловреды, используемые для вымогательства (ransomware), в этом году стали одной из серьёзнейших киберугроз. И сегодня все — от обычных пользователей до корпораций и правительственных организаций — стараются обезопасить себя от программ-шифровальщиков. Однако, мы пока игнорируем начало следующей...
Lenovo исправила уязвимости в прошивках своих компьютеров
Lenovo исправила две важные уязвимости в системном ПО своих компьютеров. Уязвимости исправляются обновлением LEN-9903 (Intel ME protection not set on some Lenovo Notebook and ThinkServer systems) и LEN-8327 (Microsoft Device Guard protection bypass). Первая уязвимость с идентификатором...
Lenovo исправила уязвимости в прошивках своих компьютеров
Lenovo исправила две важные уязвимости в системном ПО своих компьютеров. Уязвимости исправляются обновлением LEN-9903 (Intel ME protection not set on some Lenovo Notebook and ThinkServer systems) и LEN-8327 (Microsoft Device Guard protection bypass). Первая уязвимость с идентификатором...
Security Week 46: обход OAuth 2.0, низковольтный ICMP DDoS, приватность iOS и обход локскрина
Давно у нас не было научных работ по теме безопасности, и вот, пожалуйста. На европейской конференции BlackHat EU исследователи из университета Гонконга показали примеры некорректной реализации протокола OAuth 2.0, которые, в ряде случаев, позволяют украсть учетные записи пользователей. Так как...
Security Week 46: обход OAuth 2.0, низковольтный ICMP DDoS, приватность iOS и обход локскрина
Давно у нас не было научных работ по теме безопасности, и вот, пожалуйста. На европейской конференции BlackHat EU исследователи из университета Гонконга показали примеры некорректной реализации протокола OAuth 2.0, которые, в ряде случаев, позволяют украсть учетные записи пользователей. Так как...
[Из песочницы] Обход CSP при помощи расширений Google Chrome
Не так давно настроил я на своем проекте CSP (content security policy), и решил что жизнь удалась. Ведь теперь невозможно подгрузить скрипты с запрещенных ресурсов, и даже о попытке сделать это, я буду уведомлен соответствующей ошибкой. А если кто-то и подгрузить скрипт, то все равно ничего не...
[Перевод] Безопасность в IoT: Стратегия всесторонней защиты
Чтобы обеспечить надлежащий уровень безопасности для инфраструктуры IoT, необходима стратегия всесторонней защиты. В рамках неё обеспечивается защита данных в облаке, защита целостности данных при передаче в Интернет, а также безопасное производство устройств. В статье приведена классификация...
Уязвимость в продуктах VMware позволяет осуществлять выполнение кода на хост-системе виртуальной машины
Китайские специалисты по информационной безопаности обнаружили уявзимость в продуктах VMware, которая позволяет злоумышленнику получать доступ к виртуальной машине и осуществлять выполнение кода на хост-системе. Ошибка была проэксплуатирована в ходе хакерских соревнований PwnFest, которые...
Уязвимость в продуктах VMware позволяет осуществлять выполнение кода на хост-системе виртуальной машины
Китайские специалисты по информационной безопаности обнаружили уявзимость в продуктах VMware, которая позволяет злоумышленнику получать доступ к виртуальной машине и осуществлять выполнение кода на хост-системе. Ошибка была проэксплуатирована в ходе хакерских соревнований PwnFest, которые...
Сноуден в Россию, Хэммонд за решетку
В ноябре 2016 года Джереми Хэммонд стал на 3 года ближе к тому, чтобы выйти из тюрьмы и начать пользоваться компьютером без уведомления своих инспекторов и не только «в образовательных целях». Про него сейчас уже не пишут, а если забить в гугл, то появится очень странная выдача, включая новости о...