«Привет, проголосуй за мою фоточку» на уровне государства, или «как Вы относитесь к интернет-голосованиям»
Хорошей субботы, Хабр! Тема различных конкурсов в интернете всплывает достаточно часто (раз, два, три и т.п.), не говоря уже о РОИ и различных скандалах. Так как сейчас проводится очередной конкурс на всероссийском уровне — 2014.oprf.ru/ (Формирование состава Общественной палаты Российской...
[Перевод] Взламываем D-Link DSP-W215 Smart Plug. Снова
Недавно, D-Link выпустил прошивку v1.02 для DSP-W215, в которой исправлен баг HNAP с переполнением буфера в my_cgi.cgi. Хоть они и быстренько убрали прошивку с сайта: «Вы можете обновить прошивку через мобильное приложение», я успел ее скачать перед моим рейсом в Мюнхен, и 8-часовой перелет...
Открыта лаборатория тестирования на проникновение «На шаг впереди»
Запуск новой лаборатории На PHD IV командой PentestIT совместно со специалистами из Positive Technologies, OnSec и CSIS была презентована очередная лаборатория тестирования на проникновение «Test.lab v.6» под кодовым названием «На шаг впереди», разработка которой велась более 2-х месяцев. Напомним,...
Некоторые вложения в чатах ВКонтакте доступны всем
Суть поста: через личные сообщения были отправлены два файла, Blowfish.zip и Blowfish.java. Они были отправлены в один день, одному человеку с разницей в несколько часов. Первый файл после загрузки стал приватным, второй — публичным. При этом настройки приватности для этих двух файлов я не менял....
Некоторые вложения в чатах ВКонтакте доступны всем
Суть поста: через личные сообщения были отправлены два файла, Blowfish.zip и Blowfish.java. Они были отправлены в один день, одному человеку с разницей в несколько часов. Первый файл после загрузки стал приватным, второй — публичным. При этом настройки приватности для этих двух файлов я не менял....
Команда разработчиков из ЦЕРН запустила защищённый анонимный почтовый сервис ProtonMail
Несколько сотрудников Европейской лаборатории по ядерным исследованиям (ЦЕРН) разработали почтовый сервис ProtonMail, который претендует на то, чтобы стать одним из самых защищённых — всё содержимое почтовых ящиков шифруется на стороне клиента, а серверы ProtonMail расположены в Швейцарии, которая...
Месяц поиска уязвимостей: как мы к нему готовились и как его пережили
21 апреля совместно с Hacker One мы запустили программу поиска уязвимостей. 20 мая завершился конкурс, ставший первым шагом этой программы. Сегодня мы хотим рассказать, как мы укрепляли нашу оборону, готовясь к конкурсу, как исследователи искали в ней бреши и что они помогли нам найти. Читать...
Очень сложный выбор: 3 способа защитить виртуальную машину
Защищать или не защищать виртуальные среды от зловредов – вопрос давно и без особой дискуссии закрытый в пользу первого варианта. Другое дело – как защищать? Концепцию безагентового антивируса для платформы VMware мы разработали уже достаточно давно: подробнее о ней можно прочитать в этом посте...
eBay сообщает о взломе: меняйте пароли
Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей. Специалисты компании утверждают, что личные данные пользователей и финансовая...
eBay сообщает о взломе: меняйте пароли
Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей. Специалисты компании утверждают, что личные данные пользователей и финансовая...
Ладар Левисон рассказал, как его заставили закрыть Lavabit
Владелец защищённого сервиса электронной почты Lavabit Ладар Левисон наконец-то сообщил подробности судебного процесса, в результате которого почтовый сервис пришлось закрыть в августе прошлого года. Lavabit — анонимный почтовый сервис, которым пользовался Эдвард Сноуден, находясь в Шереметьево...
Ладар Левисон рассказал, как его заставили закрыть Lavabit
Владелец защищённого сервиса электронной почты Lavabit Ладар Левисон наконец-то сообщил подробности судебного процесса, в результате которого почтовый сервис пришлось закрыть в августе прошлого года. Lavabit — анонимный почтовый сервис, которым пользовался Эдвард Сноуден, находясь в Шереметьево...
ФБР объявили в розыск китайских граждан из группы APT1
Зимой прошлого года мы писали об отчете американской компании Mandiant (ныне входит в состав FireEye), который посвящен китайской группе APT1 (aka Comment Crew). Это условное название получила группа хакеров из т. н. подразделения PLA Unit 61398 Народно-освободительной армии Китая, которое...
Авторизация по венозному рисунку пальца как замена банковских карт
Компанией Hitachi разработала сканер-считыватель «Finger Vein» для работы с венозным рисунком пальца, который планируется использовать для аутентификации в современных системах. Компанией Itcard S.A, которая предоставляет сервисное обслуживание банков в Польше, совместно с японскими инженерами...
Пару слов о перехвате HTTP/HTTPS трафика iOS приложений
В этой статье я расскажу о простом методе заработка в сети перехвата HTTP/HTTPS трафика iOS приложений, включая трафик приложений использующих certificate pinning (а это например Twitter, Facebook и куча других приложений). От прочих методов, где бедным людям рекомендуют в командной строке руками...
Сломайте SafeCurl и получите 0.25 Bitcoin!
Разработчик с ником fin1te пишет безопасную обертку над curl, которая позволяет защититься от SSRF-атак, и в связи с этим проводит контест: если вы сможете скачать файл btc.txt, который расположен на демо-сервере SafeCurl safecurl.fin1te.net и доступен только с source IP 127.0.0.1 и 37.48.90.196...
Атаки HTML5: что нужно знать
Все последние версии браузеров поддерживают HTML5, следовательно, индустрия находится на пике готовности принять технологию и адаптироваться к ней. Сама технология создана такой, чтобы сделать простым процесс включения и обработки графического и мультимедиа-контента в вебе, без использования...
Правоохранительные органы задержали хакерскую группу Blackshades
Правоохранительные органы ЕС и США объявили о проведении специальной операции по задержанию заказчиков, операторов, а также создателей средства удаленного доступа (или бэкдора), который известен как Blackshades RAT (ESET: Win32/VB.NXB, Microsoft: Worm:Win32/Ainslot, Symantec: W32.Shadesrat)....