[Из песочницы] Проверка уязвимости Masque в iOS
Недавно опубликована статья, относящаяся к т. н. «Masque» уязвимости в iOS. Выдержка из статьи: «Уязвимость позволяет установить вредоносное приложение поверх уже существующего, причем это новое приложение получит доступ ко всем файлам предыдущего. Это при условии того, что устанавливаемое...
Установка, настройка и использование сканера уязвимостей chkrootkit
В предыдущей моей публикации про сканер уязвимостей rkhunter в комментариях хабрапользователем Indexator был упомянут сканер chrootkit. При схожем функционале c rkhunter, есть ряд отличий, который будет интересно рассмотреть в этой статье. Интересно также то, что совсем недавно была выпущена новая...
Тест Тьюринга на основе реальных поисковых запросов в Яндексе
Дело в том, что все (или почти все) поисковые запросы в Яндексе, пусть и в анонимизорованном виде, в реальном времени доступны по адресу export.yandex.ru/last/last20x.xml На основе этого API я сделал маленький проект на Openresty (nginx + Lua + imagemagick), предоставляющий высокопроизводительную...
Приглашаем принять участие в Security Meet Up 4 декабря
Приглашаем опытных и начинающих баг-хантеров, а также экспертов в области интернет-безопасности принять участие в Security Meet Up, который состоится 4 декабря 2014 года в офисе Mail.Ru Group при информационной поддержке журнала Хакер. Темой встречи станет практика проведений программ поиска...
Mobile Pwn2Own 2014: итоги
Несколько дней назад завершился известный контест Mobile Pwn2Own 2014, который проходил в Токио. Ресерчерам уязвимостей из security-компаний предлагалось продемонстрировать успешную эксплуатацию уязвимостей на известных мобильных устройствах, в числе которых, Apple iPhone 5s & iPad Mini, Amazon...
Как сохранить в тайне записную книжку с паролями?
Современная жизнь нас вынуждает запоминать конфиденциальную информацию: логины, пароли, пин-коды. Далеко не все могут положиться на собственную память. Поэтому мы вынуждены выбирать либо несложные, хорошо запоминающиеся варианты паролей, либо записывать предложенный очередным интернет-ресурсом...
Apple прокомментировала ситуацию с уязвимостью Masque в iOS
На этой неделе компания FireEye опубликовала информацию, относящуюся к т. н. «Masque» уязвимости в iOS. Уязвимость позволяет установить вредоносное приложение поверх уже существующего, причем это новое приложение получит доступ ко всем файлам предыдущего. Это при условии того, что устанавливаемое...
Как в mail.ru «заботятся» о безопасности своих пользователей…
Вам знакомо это чувство испуга и полной беспомощности, когда раз за разом вводишь пароль, но сервис его не принимает? Внутри всё холодеет, и краем сознания ты уже понимаешь, что случилось самое страшное — твой пароль угнали, но все равно продолжаешь бесплодные попытки авторизоваться. Не так...
Контролируйте свои ABAP-разработки
Сегодня на 2014 год, российские компании, внедрившие продукты компании SAP потратили большое количество ресурсов на клиентскую доработку решений. Однако не привносят ли эти разработки дополнительные риски в ваши бизнес-процессы? Компания SAP гарантирует качество кода в своих приложениях благодаря...
Уязвимость в одном из сервисов Альфа-Банка позволяла просматривать выписки по любому клиенту
Месяц назад, просматривая мобильное приложение для интернет-банкинга от Альфа-Банка, решил проверить, насколько оно безопасно. Так как я являюсь клиентом этого банка, мне было интересно, уделяют ли они должное внимание безопасному хранению данных клиентов. Уточню, что я являюсь клиентом украинского...
Уязвимость в одном из сервисов Альфа-Банка позволяла просматривать выписки по любому клиенту
Месяц назад, просматривая мобильное приложение для интернет-банкинга от Альфа-Банка, решил проверить, насколько оно безопасно. Так как я являюсь клиентом этого банка, мне было интересно, уделяют ли они должное внимание безопасному хранению данных клиентов. Уточню, что я являюсь клиентом украинского...
PentestIT: итоги 2014 года. Часть I
Добрый день! Хотим поприветствовать всех поклонников нашего блога и подвести краткие итоги уходящего 2014 года. В этом году компания PentestIT запустила две программы подготовки специалистов в сфере практической ИБ: «Zero Security: A» и «Корпоративные лаборатории тестирования на проникновение»....
[Из песочницы] Уязвимость от разработчика в Raindrop.io
Доброе время суток, уважаемые читатели! Сегодня я узнал об интересном сайте Raindrop.io. Думаю, некоторые из вас уже наслышаны о нем, поэтому поясню тем, кто не в курсе. Данный сервис представляет собой умное хранилище закладок, некий аналог Pocket, но не многие догадываются, что его использование...
[Из песочницы] Уязвимость от разработчика в Raindrop.io
Доброе время суток, уважаемые читатели! Сегодня я узнал об интересном сайте Raindrop.io. Думаю, некоторые из вас уже наслышаны о нем, поэтому поясню тем, кто не в курсе. Данный сервис представляет собой умное хранилище закладок, некий аналог Pocket, но не многие догадываются, что его использование...
Уязвимость 19-летней давности позволяет захватить компьютер через Internet Explorer
Исследователи из IBM X-Force обнаружили опасную уязвимость CVE-2014-6332, которой, по их заявлениям, подвержены все версии Microsoft Windows, начиная с Windows 95. Основное потенциально уязвимое приложение с этим багом — Internet Explorer, начиная от версии 3.0. Уязвимость позволяет получать...
Почему Spritz стал столь популярным за последние несколько недель
Привет, %username%! Не профессиональному математику или криптографу, бывает сразу сложно понять, как устроен тот или иной алгоритм шифрования. Перед вами попытка разобраться с отдельными функциями одного алгоритма. А так же, понять, почему это следующий шаг после Keccak. На Хабре было несколько...
[Перевод] Памятка: Как стартапам обеспечить защиту данных в облаке
Примечание переводчика: За последние несколько лет тема информационной безопасности окончательно перестала быть уделом гиков и специалист и теперь интересует всех. После разоблачений Сноудена пользователи разнообразных онлайн-сервисов стали задумываться о безопасности своих данных. Теперь компании,...
Критическая уязвимость в Microsoft SChannel
Пользователи Windows, я думаю, были несколько расстроены, что OpenSSL Heartbleed их практически не затронул. Теперь же и они могут повеселиться! Вчера Microsoft опубликовала Security Bulletin MS14-066, в котором описывается критический баг в SChannel — реализации SSL/TLS от Microsoft, который...