[Из песочницы] Утечка пользовательских данных в QIWI
Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству,...
[Из песочницы] Автоматический поиск роутеров со стандартными паролями
Недавно мне пришла в голову банальная мысль, что большинство людей кладут на настройку своих роутеров, и на них можно зайти по дефолтным паролям. А много ли таких роутеров вдобавок открыты для входа из интернета, что делает их проходным двором? И как это по-быстрому проверить? Итак, задача:...
Угнать за 9 символов
Сегодня я расскажу вам историю об уязвимости, которая существовала в одном интернет-банке много лет. Её эксплуатация была настолько элементарной, а опасность была настолько не очевидна, что ни кто так и не обратил на неё внимание. С этим банком у меня была договорённость о поиске уязвимостей и все...
Угнать за 9 символов
Сегодня я расскажу вам историю об уязвимости, которая существовала в одном интернет-банке много лет. Её эксплуатация была настолько элементарной, а опасность была настолько не очевидна, что ни кто так и не обратил на неё внимание. С этим банком у меня была договорённость о поиске уязвимостей и все...
А что думали об антивирусах в прошлом?
Как известно, раньше (как минимум) была трава зеленее. Но не будем о прекрасном. Что думают о возможностях антивируса современные регуляторы на Хабре обсуждалось не раз (например можно почитать тут). Естественно, что попытки выработать требования к средствам защиты предпринимались наверно с момента...
А что думали об антивирусах в прошлом?
Как известно, раньше (как минимум) была трава зеленее. Но не будем о прекрасном. Что думают о возможностях антивируса современные регуляторы на Хабре обсуждалось не раз (например можно почитать тут). Естественно, что попытки выработать требования к средствам защиты предпринимались наверно с момента...
Google Chrome внедрил дополнительные механизмы безопасности для Flash Player
Мы писали ранее, что разработчики веб-браузера Google Chrome для Windows добавляли в него дополнительные функции противодействия эксплойтам. Речь идет о механизмах 64-битных вкладок, High Entropy ASLR, а также об отключении использования драйвера win32k.sys в sandboxed-процессах. Эти механизмы...
Google Chrome внедрил дополнительные механизмы безопасности для Flash Player
Мы писали ранее, что разработчики веб-браузера Google Chrome для Windows добавляли в него дополнительные функции противодействия эксплойтам. Речь идет о механизмах 64-битных вкладок, High Entropy ASLR, а также об отключении использования драйвера win32k.sys в sandboxed-процессах. Эти механизмы...
RC4 NOMORE: взламываем RC4-поток за десятки часов в TLS и WPA-TKIP
Исследователи Mathy Vanhoef и Frank Piessens из iMinds-DistriNet и KU Leuven обнаружили опасную уязвимость в устаревшем, но все еще широко применяемом потоковом шифре RC4. В случае с веб-сайтами, уязвимость позволяет дешифровать часть зашифрованного HTTPS-потока (например, сессионный идентификатор,...
RC4 NOMORE: взламываем RC4-поток за десятки часов в TLS и WPA-TKIP
Исследователи Mathy Vanhoef и Frank Piessens из iMinds-DistriNet и KU Leuven обнаружили опасную уязвимость в устаревшем, но все еще широко применяемом потоковом шифре RC4. В случае с веб-сайтами, уязвимость позволяет дешифровать часть зашифрованного HTTPS-потока (например, сессионный идентификатор,...
Вирусдай запускает социальный эксперимент
Каждый ли платный сервис должен иметь пробный период использования? Такой, чтобы весь функционал без ограничений давался на день, неделю или месяц, а только затем предлагалось заплатить? Мнения разделились. У нас есть бесплатный тариф, но его функционал ограничен. Часть пользователей советует...
Вирусдай запускает социальный эксперимент
Каждый ли платный сервис должен иметь пробный период использования? Такой, чтобы весь функционал без ограничений давался на день, неделю или месяц, а только затем предлагалось заплатить? Мнения разделились. У нас есть бесплатный тариф, но его функционал ограничен. Часть пользователей советует...
[Перевод - recovery mode ] Шесть способов надежно защитить свою организацию от внешних и внутренних угроз
Sony, OPM, а недавно еще и MLB. Кто-нибудь знает, как защититься от кражи данных? Предлагается множество идей, начиная с отказа от современных систем и заканчивая шифровкой всех данных. Но, к сожалению, они непрактичны и нереалистичны. Вот что мы действительно знаем о кибератаках. Согласно...
Тестирование парольных политик крупнейших веб-сервисов
Passwords, passwords never change... Почти каждый пользователь сети Интернет имеет хотя бы один аккаунт или хотя бы однажды оставлял свои данные в различных службах. Почтовые сервисы, социальные сети, облачные хранилища, онлайн-игры и многое другое, – в одном Facebook уже более 1 млрд учетных...
Тестирование парольных политик крупнейших веб-сервисов
Passwords, passwords never change... Почти каждый пользователь сети Интернет имеет хотя бы один аккаунт или хотя бы однажды оставлял свои данные в различных службах. Почтовые сервисы, социальные сети, облачные хранилища, онлайн-игры и многое другое, – в одном Facebook уже более 1 млрд учетных...
Проверьте Ваши сайты на уязвимость TLS Logjam
Пару месяцев назад в протоколе TLS обнаружили уязвимость, которая получила название Logjam. Проведенные исследования показали, что большое число серверов подвержено этой уязвимости, так как, применяя защищенные соединения, используют типичные и наиболее распространенные простые ключи шифрования...
Почему стать VPN провайдером не так просто?
Всем привет. Недавно я опубликовал статью о том, как я закрыл свой VPN сервис и выложил его в опенсорс. После этого достаточно много людей мне написали, интересуясь более подробно о причинах закрытия и подводных камнях такого бизнеса. В результате, я заметил, что в процессе общения рассказываю всем...
Palantir, мафия PayPal, спецслужбы, мировое правительство
«Лучший способ избавиться от дракона — это иметь своего собственного» На Хабре нет ни одного упоминания о Palantir`е, в русской Википедии об этом проекте нет статьи, Mithgol молчит — что-то идет не так. Или так. А между тем Palantir стала второй крупнейшей частной компанией Кремниевой Долины с...