Угнать за 9 символов
Сегодня я расскажу вам историю об уязвимости, которая существовала в одном интернет-банке много лет. Её эксплуатация была настолько элементарной, а опасность была настолько не очевидна, что ни кто так и не обратил на неё внимание. С этим банком у меня была договорённость о поиске уязвимостей и все...
А что думали об антивирусах в прошлом?
Как известно, раньше (как минимум) была трава зеленее. Но не будем о прекрасном. Что думают о возможностях антивируса современные регуляторы на Хабре обсуждалось не раз (например можно почитать тут). Естественно, что попытки выработать требования к средствам защиты предпринимались наверно с момента...
А что думали об антивирусах в прошлом?
Как известно, раньше (как минимум) была трава зеленее. Но не будем о прекрасном. Что думают о возможностях антивируса современные регуляторы на Хабре обсуждалось не раз (например можно почитать тут). Естественно, что попытки выработать требования к средствам защиты предпринимались наверно с момента...
Google Chrome внедрил дополнительные механизмы безопасности для Flash Player
Мы писали ранее, что разработчики веб-браузера Google Chrome для Windows добавляли в него дополнительные функции противодействия эксплойтам. Речь идет о механизмах 64-битных вкладок, High Entropy ASLR, а также об отключении использования драйвера win32k.sys в sandboxed-процессах. Эти механизмы...
Google Chrome внедрил дополнительные механизмы безопасности для Flash Player
Мы писали ранее, что разработчики веб-браузера Google Chrome для Windows добавляли в него дополнительные функции противодействия эксплойтам. Речь идет о механизмах 64-битных вкладок, High Entropy ASLR, а также об отключении использования драйвера win32k.sys в sandboxed-процессах. Эти механизмы...
RC4 NOMORE: взламываем RC4-поток за десятки часов в TLS и WPA-TKIP
Исследователи Mathy Vanhoef и Frank Piessens из iMinds-DistriNet и KU Leuven обнаружили опасную уязвимость в устаревшем, но все еще широко применяемом потоковом шифре RC4. В случае с веб-сайтами, уязвимость позволяет дешифровать часть зашифрованного HTTPS-потока (например, сессионный идентификатор,...
RC4 NOMORE: взламываем RC4-поток за десятки часов в TLS и WPA-TKIP
Исследователи Mathy Vanhoef и Frank Piessens из iMinds-DistriNet и KU Leuven обнаружили опасную уязвимость в устаревшем, но все еще широко применяемом потоковом шифре RC4. В случае с веб-сайтами, уязвимость позволяет дешифровать часть зашифрованного HTTPS-потока (например, сессионный идентификатор,...
Вирусдай запускает социальный эксперимент
Каждый ли платный сервис должен иметь пробный период использования? Такой, чтобы весь функционал без ограничений давался на день, неделю или месяц, а только затем предлагалось заплатить? Мнения разделились. У нас есть бесплатный тариф, но его функционал ограничен. Часть пользователей советует...
Вирусдай запускает социальный эксперимент
Каждый ли платный сервис должен иметь пробный период использования? Такой, чтобы весь функционал без ограничений давался на день, неделю или месяц, а только затем предлагалось заплатить? Мнения разделились. У нас есть бесплатный тариф, но его функционал ограничен. Часть пользователей советует...
[Перевод - recovery mode ] Шесть способов надежно защитить свою организацию от внешних и внутренних угроз
Sony, OPM, а недавно еще и MLB. Кто-нибудь знает, как защититься от кражи данных? Предлагается множество идей, начиная с отказа от современных систем и заканчивая шифровкой всех данных. Но, к сожалению, они непрактичны и нереалистичны. Вот что мы действительно знаем о кибератаках. Согласно...
Тестирование парольных политик крупнейших веб-сервисов
Passwords, passwords never change... Почти каждый пользователь сети Интернет имеет хотя бы один аккаунт или хотя бы однажды оставлял свои данные в различных службах. Почтовые сервисы, социальные сети, облачные хранилища, онлайн-игры и многое другое, – в одном Facebook уже более 1 млрд учетных...
Тестирование парольных политик крупнейших веб-сервисов
Passwords, passwords never change... Почти каждый пользователь сети Интернет имеет хотя бы один аккаунт или хотя бы однажды оставлял свои данные в различных службах. Почтовые сервисы, социальные сети, облачные хранилища, онлайн-игры и многое другое, – в одном Facebook уже более 1 млрд учетных...
Проверьте Ваши сайты на уязвимость TLS Logjam
Пару месяцев назад в протоколе TLS обнаружили уязвимость, которая получила название Logjam. Проведенные исследования показали, что большое число серверов подвержено этой уязвимости, так как, применяя защищенные соединения, используют типичные и наиболее распространенные простые ключи шифрования...
Почему стать VPN провайдером не так просто?
Всем привет. Недавно я опубликовал статью о том, как я закрыл свой VPN сервис и выложил его в опенсорс. После этого достаточно много людей мне написали, интересуясь более подробно о причинах закрытия и подводных камнях такого бизнеса. В результате, я заметил, что в процессе общения рассказываю всем...
Palantir, мафия PayPal, спецслужбы, мировое правительство
«Лучший способ избавиться от дракона — это иметь своего собственного» На Хабре нет ни одного упоминания о Palantir`е, в русской Википедии об этом проекте нет статьи, Mithgol молчит — что-то идет не так. Или так. А между тем Palantir стала второй крупнейшей частной компанией Кремниевой Долины с...
Обзор способов и протоколов аутентификации в веб-приложениях
Я расскажу о применении различных способов аутентификации для веб-приложений, включая аутентификацию по паролю, по сертификатам, по одноразовым паролям, по ключам доступа и по токенам. Коснусь технологии единого входа (Single Sign-On), рассмотрю различные стандарты и протоколы аутентификации. Перед...
Защитные механизмы в HP Superdome X
Привет, Хабр! В этой публикации снова поговорим про HP Superdome X, а точнее, про некоторые защитные механизмы, которые в нём есть. Механизм Advanced Error Recovery Показывает отработку firmware HP Superdome X некорректируемых ошибок в памяти на примере ОС Linux. Рассмотрим механизм обработки...
Главный разведчик Южной Кореи: спецслужбы 35 стран покупали шпионский софт у Hacking Team
По сообщению агентства Associated Press, руководитель Национальной службы разведки Южной Кореи Ли Бён Хо признался в покупке софта для перехвата сообщений в мессенджерах (главным образом, в популярном в Азии Kako Talk). Это признание Ли Бён Хо (Lee Byoung Ho) сделал на закрытом брифинге для членов...