Вышел новый Intercepter-NG [Android Edition] 1.6
Сегодня маленький праздник для любителей расширить функциональные возможности своих телефонов и прочих гаджетов, работающих на андроиде. Вышел новый Intercepter-NG [Android Edition] под версией 1.6. Читать дальше →...
Изолируем демоны с systemd или «вам не нужен Docker для этого!»
В последнее время я вижу, как довольно большое количество людей применяет контейнерную виртуализацию только для того, чтобы запереть потенциально небезопасное приложение внутри контейнера. Как правило, используют для этого Docker из-за его распространенности, и не знают ничего лучше. Действительно,...
Android и iOS приложения пересылают данные пользователей третьей стороне намного чаще, чем принято считать
Проведя анализ 110 приложений (как Android, так и iOS), команда экспертов сделала вывод, что передача персональных данных пользователей этих приложений третьим лицам происходит достаточно часто. При этом у пользователя, зачастую, просто нет выбора. Как оказалось, подавляющее большинство проверенных...
Как мы впервые в Украине провели мероприятие по безопасности с размахом
Привет всем ИБ'шникам и хакерам, здесь отчет о HackIT с интересными подробностями. Наверняка многие слышали о том, что в Украине официально проходит набор в киберполицию на позиции инспектора и спецагента. Так вот, это не случайно. Это мероприятие, которое мы готовили еще с мая 2015,...
Как мы впервые в Украине провели мероприятие по безопасности с размахом
Привет всем ИБ'шникам и хакерам, здесь отчет о HackIT с интересными подробностями. Наверняка многие слышали о том, что в Украине официально проходит набор в киберполицию на позиции инспектора и спецагента. Так вот, это не случайно. Это мероприятие, которое мы готовили еще с мая 2015,...
Отчет с Security Meetup 22 октября
22 октября в нашем офисе прошел очередной Security Meetup. На встрече было пять докладов, посвященных различным уязвимостям. Были раскрыты такие вопросы, как реверс-инжиниринг в Enterprise и связанные с ним бизнес-процессы (на примере платежной системы Qiwi), небезопасная десериализация данных в...
Отчет с Security Meetup 22 октября
22 октября в нашем офисе прошел очередной Security Meetup. На встрече было пять докладов, посвященных различным уязвимостям. Были раскрыты такие вопросы, как реверс-инжиниринг в Enterprise и связанные с ним бизнес-процессы (на примере платежной системы Qiwi), небезопасная десериализация данных в...
[Перевод] Как обнаружить и устранить скрытую переадресацию для мобильных устройств
Привет, Хабр! Все мы любим, когда сайт отлично работает на любом устройстве, вне зависимости от размеров экрана, способов управления и взаимодействия. Нередко контент приходится незначительно адаптировать к устройству, на котором его просматривает пользователь: например, оптимизация для небольшого...
Эксплоит на миллион. У нас есть победитель
В продолжении этой статьи стоит упомянуть, что вчера в твиттере компании Zerodium появилась информация об успешной реализации эксплоита (представляющего из себя непривязанный джейлбрейк) для версий iOS 9.1/9.2b. Неизвестная группа хакеров получила обещанный 1 миллион долларов за эксплоит, который...
Эксплоит на миллион. У нас есть победитель
В продолжении этой статьи стоит упомянуть, что вчера в твиттере компании Zerodium появилась информация об успешной реализации эксплоита (представляющего из себя непривязанный джейлбрейк) для версий iOS 9.1/9.2b. Неизвестная группа хакеров получила обещанный 1 миллион долларов за эксплоит, который...
[recovery mode] 10 относительно честных способов взломать почту
Как известно, Остап Бендер знал 400 относительно честных способов отъема денег. Мы, к сожалению, таким богатством похвастаться не можем, однако с десяток постараемся набрать. Напомним, в первой части нашего цикла о защите электронной почты были рассмотрены методы защиты. Вторая часть посвящена...
[recovery mode] 10 относительно честных способов взломать почту
Как известно, Остап Бендер знал 400 относительно честных способов отъема денег. Мы, к сожалению, таким богатством похвастаться не можем, однако с десяток постараемся набрать. Напомним, в первой части нашего цикла о защите электронной почты были рассмотрены методы защиты. Вторая часть посвящена...
[Из песочницы] Бунт против виртуальной машины
Предлагаю вашему вниманию перевод статьи Rage Against the Virtual Machine. Антивирусные компании, магазины мобильных приложений и исследователи безопасности используют техники, основанные на динамическом анализе кода, для обнаружения и анализа мобильных вредоносных приложений. В этот статье,...
Как я делал веб-версию KeePass
Как-то мне надо было добавить в админку просмотр списка паролей. База хранилась на сервере в формате KeePass (kdbx v2), сервер был на ноде — недолго думая, я взял первый попавшийся пакет и сделал. А потом понадобилось то же самое, но прямо у пользователя в браузере, без сервера. Ничего не нашлось....
Security Week 44: законодатели и безопасность, криптография и разведка
Если и есть в сфере информационной безопасности тема сложнее криптографии, то это законодательство. Любую исследовательскую работу по шифрованию, ее основные выводы и возможные последствия можно понять. Во многих случаях для этого потребуются пара лет интенсивного обучения по основной и...
Обзор Certificate Transparency
Принцип работы протокола SSL/TLS основан на криптографии с открытым ключом. Одна или обе стороны взаимодействия обладают сертификатами и соответствующими закрытыми ключами. Это позволяет производить аутентификацию и шифрование трафика. Читать дальше →...
Как мы искали баг в поисковом Балансере, а нашли в Chromium
Некоторое время назад коллеги стали получать от пользователей жалобы на то, что иногда при использовании Поиска и Яндекс.Браузера они видят ошибку SSL connection error. Расследование того, почему это происходило, на мой взгляд, получилось интересным, поэтому я хочу поделиться им с вами. В процессе...
[recovery mode] DDoS аналитика
Кибер-атаки признаны глобальным мировым риском, наравне с финансовым кризисом, изменением климата, безработицей и нехваткой питьевой̆ воды. Атаки направлены на публичные информационные ресурсы, системы самообслуживания, торговые площадки, сайты госструктур, банки и т.п. Примеры некоторых DDoS...