Удар из прошлого: DdoS-атака RIPv1, или чем опасны старые роутеры
Атаки, использующие устаревший протокол маршрутизации RIPv1, снова были замечены с 16 мая 2015 года, после более чем годичного забвения. Их зафиксировали компании Akamai и DDoS-GUARD. Самые поздние из них использовали небольшое число устройств (маршрутизаторов, роутеров), которые поддерживают...
[Из песочницы] SibirCTF 2015: как это было
Уже второй год подряд в городе Томске проводятся соревнования по информационной безопасности SibirCTF. В этом году к нам приехало в два раза больше команд, чем в том году, чего мы, конечно же, не ожидали. Поэтому мы хотели бы рассказать об этом мероприятии хабрасообществу. Читать дальше →...
[Из песочницы] SibirCTF 2015: как это было
Уже второй год подряд в городе Томске проводятся соревнования по информационной безопасности SibirCTF. В этом году к нам приехало в два раза больше команд, чем в том году, чего мы, конечно же, не ожидали. Поэтому мы хотели бы рассказать об этом мероприятии хабрасообществу. Читать дальше →...
Персональные данные: насколько реально попасть под проверку Роскомнадзора?
Из всех часто задаваемых вопросов на тему хранения, обработки и защиты персональных данных по частоте возникновения уверенно лидирует следующий: «Может кто-нибудь адекватно пояснить, как распространяется сей ФЗ на обычную фирму, которая имеет локальную инсталляцию 1С и считает зарплату?». А...
Билайн автоматически меняет html теги
HTML код до и после работы Билайна. Найдите отличия! Недавно я написал две статьи про оператора связи Билайн: Билайн автоматически добавляет тулбар с поиском Mail.Ru Билайн автоматически добавляет тулбар и изменяет дизайн сайтов В тот раз изменения, которые вносил оператор связи никак не...
Семинар про криптографию и PGP Keysigning party
На семинаре про криптографию, который завтра пройдет в Яндексе, состоится PGP Keysigning party. Если хочется подписать свои ключи и пообщаться с криптопараноиками, приходите. Для того, чтобы поучаствовать в подписи ключей, лучше заранее загрузить свой публичный ключ на biglumber....
АНБ выложило на GitHub утилиту для обеспечения сетевой безопасности
Агентство национальной безопасности (АНБ) США выпустило open-source инструмент для обеспечения сетевой безопасности госорганизаций и коммерческих компаний. Система называется SIMP (Systems Integrity Management Platform), ее код размещен в репозитории АНБ на GitHub. В официальном пресс-релизе...
АНБ выложило на GitHub утилиту для обеспечения сетевой безопасности
Агентство национальной безопасности (АНБ) США выпустило open-source инструмент для обеспечения сетевой безопасности госорганизаций и коммерческих компаний. Система называется SIMP (Systems Integrity Management Platform), ее код размещен в репозитории АНБ на GitHub. В официальном пресс-релизе...
[Из песочницы] Перевод книги «Пахан/шкворень/авторитет (Kingpin)». Глава 34. «DarkMarket»
Начало и план перевода тут: «Шкворень: школьники переводят книгу про хакеров». «Глава 34» была выбрана участником летнего лагеря, который пожелал остаться анонимным, в качестве самостоятельно проекта. (Любое сходство с «правилом 34» является случайным) DarkMarket Парень сидит на жестком...
Хакеров из Anonymous или Китая заподозрили в атаке на Нью-Йоркскую биржу
Недавно мы писали о причинах масштабных технологических сбоев на биржах. В начале июля 2015 года на Нью-Йоркской фондовой бирже (NYSE) произошла серьезная авария, в результате которой торги были остановлены на несколько часов. Представители торговой площадки объяснили случившееся ошибкой в работе...
Хакеров из Anonymous или Китая заподозрили в атаке на Нью-Йоркскую биржу
Недавно мы писали о причинах масштабных технологических сбоев на биржах. В начале июля 2015 года на Нью-Йоркской фондовой бирже (NYSE) произошла серьезная авария, в результате которой торги были остановлены на несколько часов. Представители торговой площадки объяснили случившееся ошибкой в работе...
Аудит безопасности сайта глазами заказчика
В этом топике я хочу рассказать, как проходит коммерческий аудит безопасности сайта, в чем отличие от bounty-программ и «свободного рисерча». Читать дальше →...
Аудит безопасности сайта глазами заказчика
В этом топике я хочу рассказать, как проходит коммерческий аудит безопасности сайта, в чем отличие от bounty-программ и «свободного рисерча». Читать дальше →...
Взломан сайт AshleyMadison.com
Сайт любителей адьюльтера AshleyMadison.com был взломан хакером или группой хакеров, именующих себя The Impact Team. В сеть утекли не только данные порядка 37-40 миллионов клиентов (в основном из США и Канады), но и финансовая, и внутрення информация. Исполнительный директор компании Avid Life...
Взломан сайт AshleyMadison.com
Сайт любителей адьюльтера AshleyMadison.com был взломан хакером или группой хакеров, именующих себя The Impact Team. В сеть утекли не только данные порядка 37-40 миллионов клиентов (в основном из США и Канады), но и финансовая, и внутрення информация. Исполнительный директор компании Avid Life...
[Из песочницы] Распознавание KCAPTCHA
Введение KCAPTCHA — это готовое решение, написанное на языке PHP, предлагающее программисту решение с одной стороны весьма защищенное, с другой — максимально малотребовательное к ресурсам и конфигурации хостинга. В этой статье речь пойдет о простом, в некоторой степени универсальном способе...
Пришла беда откуда не ждали, уязвимость XSS в сервисе Яндекс.Метрика
Доброе время суток хабравчане! Буквально на днях я опубликовал статью по документации Web API и нашлись люди, которые попробовали применить XSS на сервисе, который был на этом же домене. Но особо не получилось это сделать. Точнее получилось, но не на этом сервисе. За подробностями прошу под кат....
[Из песочницы] Утечка пользовательских данных в QIWI
Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству,...