Программе Android Security Rewards исполнился 1 год
Привет, Хабр! Год назад в программе Google Vulnerability Rewards появилась новая номинация — Android Security Rewards. За обнаружение лазейки в системе безопасности Android мы предлагали до 38 000 долларов США. С помощью таких поощрений нам удалось обнаружить и устранить множество ошибок и...
SЯP wrong эncяyptioи или как скомпрометировать всех пользователей в SAP JAVA
Всем привет, меня зовут Ваагн Варданян (тут нет опечатки, как многие думают :) ), работаю я в DSec исследователем безопасности SAP-систем, и в этой небольшой статье расскажу о связке уязвимостей в SAP, использование которых может привести к компрометации системы и как результат – доступу к...
SЯP wrong эncяyptioи или как скомпрометировать всех пользователей в SAP JAVA
Всем привет, меня зовут Ваагн Варданян (тут нет опечатки, как многие думают :) ), работаю я в DSec исследователем безопасности SAP-систем, и в этой небольшой статье расскажу о связке уязвимостей в SAP, использование которых может привести к компрометации системы и как результат – доступу к...
[Перевод] Первые 10 минут на сервере
Азбука безопасности Ubuntu «Мои первые 5 минут на сервере» Брайана Кеннеди — отличное введение, как быстро обезопасить сервер от большинства атак. У нас есть несколько исправлений для этой инструкции, чтобы дополнить ею наше полное руководство. Также хочется подробнее объяснить некоторые вещи для...
В Adobe Flash Player обнаружена очередная 0day-уязвимость
Исследователи информационной безопасности из «Лаборатории Касперского» Костин Раю (Costin Raiu) и Антон Иванов обнаружили критическую уязвимость в Adobe Flash Player. Уязвимы версии программного Adobe Flash Player 21.0.0.242 и более ранние версии для платформ Windows, Mac, Linux и Chrome OS. Читать...
В Adobe Flash Player обнаружена очередная 0day-уязвимость
Исследователи информационной безопасности из «Лаборатории Касперского» Костин Раю (Costin Raiu) и Антон Иванов обнаружили критическую уязвимость в Adobe Flash Player. Уязвимы версии программного Adobe Flash Player 21.0.0.242 и более ранние версии для платформ Windows, Mac, Linux и Chrome OS. Читать...
Это все потому, что у кого-то слишком маленькая экспонента: атака Хастада на RSA в задании NeoQUEST-2016
Продолжаем разбирать задания online-этапа NeoQUEST-2016 и готовимся к "очной ставке", куда приглашаем всех желающих! Вас ждут интересные доклады, демонстрации атак, конкурсы, призы и многое другое! Редкий хак-квест обходится без криптографии, ну и NeoQUEST-2016 не стал исключением! В задании...
UBA, или ищем пользователей «с отклонениями»
В конце 2000-х годов в ИТ появился термин «big data», означающий серию подходов, инструментов и методов обработки структурированных и неструктурированных данных больших объемов для получения воспринимаемых человеческим глазом результатов. Разумеется, использование этих подходов не могло не...
UBA, или ищем пользователей «с отклонениями»
В конце 2000-х годов в ИТ появился термин «big data», означающий серию подходов, инструментов и методов обработки структурированных и неструктурированных данных больших объемов для получения воспринимаемых человеческим глазом результатов. Разумеется, использование этих подходов не могло не...
Кибербезопасность на бескрайних морях
Сложно переоценить значение индустрии морских перевозок для современного общества: 90% товаров перемещается именно по морю. Мореходство, как и любая другая крупная сфера деятельности, развивается параллельно с течением технического прогресса: суда увеличиваются, а команды уменьшаются, так как все...
Кибербезопасность на бескрайних морях
Сложно переоценить значение индустрии морских перевозок для современного общества: 90% товаров перемещается именно по морю. Мореходство, как и любая другая крупная сфера деятельности, развивается параллельно с течением технического прогресса: суда увеличиваются, а команды уменьшаются, так как все...
Что угрожает вашему сайту после установки онлайн-консультанта и как мы с этим боремся
Разрабатываемые нами сервисы — онлайн-консультант RedHelper и обратный звонок RedConnect работают с личными данными посетителей, и потому требуют очень тщательного подхода к безопасности как клиентской части виджета, так и к серверной. В этой статье мы немного расскажем о том, какие типы угроз...
Security Week 23: украли все пароли, невзлом TeamViewer, Lenovo просит удалить уязвимую утилиту
Тема паролей не отпускает. К недавним утечкам из LinkedIn добавились новые сливы из Вконтакта, Twitter, Tumblr и MySpace. У Марка Цукерберга взломали Твиттер и Пинтерест, выяснилось что пароль был «dadada», и это конечно эпик фейл. Действительно, "астрологи объявили месяц утечек". Отчасти это может...
Security Week 23: украли все пароли, невзлом TeamViewer, Lenovo просит удалить уязвимую утилиту
Тема паролей не отпускает. К недавним утечкам из LinkedIn добавились новые сливы из Вконтакта, Twitter, Tumblr и MySpace. У Марка Цукерберга взломали Твиттер и Пинтерест, выяснилось что пароль был «dadada», и это конечно эпик фейл. Действительно, "астрологи объявили месяц утечек". Отчасти это может...
[Из песочницы] Расследование: куда ваш сайт редиректит пользователей, а вы об этом даже не подозреваете
Добрый день! Меня зовут Максим и я директор по продуктам. Эта история началась с того, что однажды я зашел с мобильного телефона на наш сайт и, к своему большому удивлению, был перенаправлен на сайт какой-то интернет-рулетки. Попробовал зайти еще раз – проблема не повторяется, подумал что глюк....
[Из песочницы] Где взять логины или VoIP в помощь
Тестирование на проникновение всегда начинается со сбора информации об инфраструктуре. Доступные узлы с открытыми портами и уязвимыми сервисами, валидные учетные данные и другая информация, позволяющая «продвинуться» и скомпрометировать инфраструктуру интересна в первую очередь. При проведении...
[Из песочницы] Где взять логины или VoIP в помощь
Тестирование на проникновение всегда начинается со сбора информации об инфраструктуре. Доступные узлы с открытыми портами и уязвимыми сервисами, валидные учетные данные и другая информация, позволяющая «продвинуться» и скомпрометировать инфраструктуру интересна в первую очередь. При проведении...
[Перевод] Опасайтесь онлайн-счетов с шифровальщиком: недавно обнаруженная угроза уже проявилась в разных странах
Всего несколько дней назад мы получили уведомление от испанской электроэнергетической компании Endesa, в котором нас предупредили о новом онлайн-мошенничестве, поражающем жертвы с помощью поддельных электронных писем. Кибер-преступники отправляли ложные счета испанским пользователям якобы от имени...