Security Week 41: цензура исследований, взлом Outlook Web Access, потери данных на стыках
Сегодня — специальный корпоративный выпуск нашего дайджеста, в котором мы поговорим о таких вещах как ROI, EBITDA, TCO, РСБУ, CRM, SLA, NDA, GAAP, и т.д. Впрочем, нет, поговорим, как обычно, о самых значимых новостях безопасности за неделю. Вышло так, что все три так или иначе относятся к...
Security Week 41: цензура исследований, взлом Outlook Web Access, потери данных на стыках
Сегодня — специальный корпоративный выпуск нашего дайджеста, в котором мы поговорим о таких вещах как ROI, EBITDA, TCO, РСБУ, CRM, SLA, NDA, GAAP, и т.д. Впрочем, нет, поговорим, как обычно, о самых значимых новостях безопасности за неделю. Вышло так, что все три так или иначе относятся к...
Коллизия для SHA-1 за 10 дней
В начале года я рекомендовал обновить SSL/TLS сертификаты, имеющие подпись с алгоритмом SHA-1. Теперь это стало не просто рекомендацией, а предупреждением. Недавние новости показали — оценка того, что получение коллизии для SHA-1 будет вполне доступно для криминального мира уже к 2018 году,...
[recovery mode] Решето rus-linux.net
Всем добрый вечер. Пост будет очень краток. На популярном русскоязычном форуме для разработчиков линукс rus-linux.net/forum/ обнаружена древнейшая уязвимость — атака на сессию посредством считывания идентификатора сессии в URL. phpbb (или PHP) считывает параметр sid в урле и автоматически загружает...
[recovery mode] Решето rus-linux.net
Всем добрый вечер. Пост будет очень краток. На популярном русскоязычном форуме для разработчиков линукс rus-linux.net/forum/ обнаружена древнейшая уязвимость — атака на сессию посредством считывания идентификатора сессии в URL. phpbb (или PHP) считывает параметр sid в урле и автоматически загружает...
[Перевод] Основные сертификаты информационной безопасности для ИТ-специалистов и предприятий
Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере информационной безопасности постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в...
[Перевод] Основные сертификаты информационной безопасности для ИТ-специалистов и предприятий
Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере информационной безопасности постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в...
[Из песочницы] Конференция SGTech Europe 2015: взгляд из России
Конференция Smart Grid Technical Forum (SGTech Europe) проводилась в Амстердаме с 22 по 24 сентября 2015 года. SGTech Europe — это ежегодная конференция, которая собирает представителей крупнейших европейских сетевых компаний, компаний-операторов диспетчерского управления, консалтеров и...
[Из песочницы] Конференция SGTech Europe 2015: взгляд из России
Конференция Smart Grid Technical Forum (SGTech Europe) проводилась в Амстердаме с 22 по 24 сентября 2015 года. SGTech Europe — это ежегодная конференция, которая собирает представителей крупнейших европейских сетевых компаний, компаний-операторов диспетчерского управления, консалтеров и...
USB killer v2.0
Наконец-то удалось организовать монтаж и тестирование опытных образцов устройства новой версии. Устройства, выполняющего лишь одну функцию, – уничтожение компьютеров. Впрочем, не будем ограничиваться только компьютерами, устройство способно вывести из строя практически любую технику оборудованную...
[Перевод] Новая афера: платить биткоинами, чтобы сохранить взломанный телефон
Департамент по расследованию преступлений в сфере телекоммуникаций Гражданской гвардии Испании предупредил о новом типе мошенничества, которое направлено на мобильные телефоны. В рамках данной аферы кибер-преступники сообщают, что взяли под контроль Ваше устройство и угрожают раскрыть Вашу личную...
Эм, но наша вина тут в чем? Мы выдаем эти сим-карты или что? (с) Вконтакте
У подруги моей жены увели с банковского счета приличную сумму денег, и сделали это, видимо, используя полученный обманным путем дубликат сим-карты на ее номер телефона. Официального заключения следствия еще нет, это всего лишь предположение сотрудника банка. Читать дальше →...
Эм, но наша вина тут в чем? Мы выдаем эти сим-карты или что? (с) Вконтакте
У подруги моей жены увели с банковского счета приличную сумму денег, и сделали это, видимо, используя полученный обманным путем дубликат сим-карты на ее номер телефона. Официального заключения следствия еще нет, это всего лишь предположение сотрудника банка. Читать дальше →...
Приглашаем на OWASP EEE 11 октября
C 6 по 12 октября пройдёт целая серия из 7 мини-конференций для специалистов по информационной безопасности под общим названием OWASP EEE. Встречи пройдут в 6 разных странах: в Польше, Литве, Румынии (в городах Клуж (Cluj) и Бухарест), в Венгрии, России и Австрии. На каждой встрече будут разные...
Приглашаем на OWASP EEE 11 октября
C 6 по 12 октября пройдёт целая серия из 7 мини-конференций для специалистов по информационной безопасности под общим названием OWASP EEE. Встречи пройдут в 6 разных странах: в Польше, Литве, Румынии (в городах Клуж (Cluj) и Бухарест), в Венгрии, России и Австрии. На каждой встрече будут разные...
[Из песочницы] Уязвимость в Platius: доступ в любой аккаунт
На прошлой неделе пришло письмо с приглашением пройти интервью в компанию Платиус. Позиция была написана как будто под меня, и после созвона была назначена встреча для интервью. У меня оставался вечер на подготовку и я решил изучить, чем же все таки компания занимается. Оказалось, что...
[recovery mode] Kaspersky Industrial CTF: время защищать подстанции, и время ломать подстанции
Хватит чистого теоретизирования о несовершенстве существующих систем защиты критической инфраструктуры — пора переходить к практической части. Мы предлагаем взять в руки шашки и попробовать взломать цифровую подстанцию. Да нет, не эту. Макет. Если быть абсолютно точным, то мы предлагаем принять...
[recovery mode] Kaspersky Industrial CTF: время защищать подстанции, и время ломать подстанции
Хватит чистого теоретизирования о несовершенстве существующих систем защиты критической инфраструктуры — пора переходить к практической части. Мы предлагаем взять в руки шашки и попробовать взломать цифровую подстанцию. Да нет, не эту. Макет. Если быть абсолютно точным, то мы предлагаем принять...