Microsoft и Adobe выпустили набор обновлений, декабрь 2014
Microsoft выпустила последний плановый набор security-обновлений в этом году. В рамках него было закрыто 24 уязвимости в таких продуктах как MS Windows, Internet Explorer, Office, и Exchange Server (три обновления со статусом Critical и четыре Important). Как обычно, одно из обновлений MS14-080,...
[Перевод - recovery mode ] При запуске реплеев игры World Of Tanks на вашем компьютере может исполняться произвольный код
Перевод с reddit.com Пару месяцев назад я иссследовал реплеи WoT и их формат. Я обнаружил, что способ, с помощью которого они хранят пакеты данных, позволяет легко получить возможность исполнения произвольного кода. После пары дней улучшения запуска кода в реплее до надежного состояния, я получил...
В системе защиты от подделки запросов PayPal обнаружена серьезная уязвимость
Инженер из Египта Ясер Али во время исследования работы PayPal обнаружил критическую уязвимость, которая позволила ему полностью обойти используемую сервисом систему защиты от CSRF-атак (межсайтовая подделка запросов). Эту уязвимость он подробно описал в своем блоге, мы перевели и адаптировали пост...
Ubuntu Core (Snappy) с транзакционными обновлениями
Представьте, что ваши облачные инстансы обновляются так же чётко, точно и быстро, как ОС мобильного телефона. Что, если все приложения можно изолировать друг от друга полностью, так что установка какого-нибудь из них не повредит работе другого или что уязвимость в одном повлияет на другие? То есть...
Полная анонимизация траффика через VPN + TOR/I2P. Собираем миддлбокс с нуля
В этой статье будет рассказано, как пробросить весь трафик операционной системы через TOR так, чтобы о наличии TOR-а операционная система даже не подозревала. Это поможет не думать о бесконечных настройках прокси и onion, перестать бояться на тему «а не сливает ли торрент клиент мой реальный IP...
[Из песочницы] 6 способов: как добавить security для Rest сервиса в Java
В данной статье я попытаюсь описать несколько способов, а точнее 6, как добавить security для rest сервиса на Java. Перед нашей командой была поставлена задача найти все возможные способы добавить security к rest сервису. Проанализировать все за и против и выбрать наиболее подходящий для нашего...
YotaPhone 2: инновации и безопасность
2 декабря в МСИ «Гараж» в Парке Горького состоялась презентация YotaPhone 2. Компания «Актив», в которой я работаю, является технологическим партнером YotaDevices, поэтому мне удалось приобщиться к новому смартфону еще до презентации. Как приверженец платформы iOS я весьма прохладно отнесся к...
Как я потерял пароль от Android keystore, но потом смог восстановить с помощью Jetbrains Idea
Предыстория Жило-было в Google Play Android приложение с несколькими тысячами пользователей. Через год понадобилось его обновить. Ок, запускаем Idea, выбираем «Build» — «Generate Signed APK». Вспоминаю что за это время успел пересесть в Linux, ничего страшного, выбираю файл с ключами, ввожу ранее...
Современные способы аутетификации и безопасность iOS-устройств
Сегодня мы выложим два новых доклада с нашей конференции мобильных разработчиков #MBLTDev, которая прошла в конце октября в Москве. Оба доклада посвящены безопасности: один от главы EMEA PayPal Тима Мессершмидта про современные виды аутентификации, второй – от ведущего инженера по безопасности...
Хакер нашел способ читать файлы на серверах Facebook
Bug Bounty программы приносят плоды различным фирмам, в том числе и крупнейшим. Чаще всего, хакеры находят достаточно простые в эксплуатации уязвимости вроде XSS и CSRF, но бывают и интересные, которые встречаются достаточно редко. Одним из таковых, является недавний пример чтения файлов на...
Хакер нашел способ читать файлы на серверах Facebook
Bug Bounty программы приносят плоды различным фирмам, в том числе и крупнейшим. Чаще всего, хакеры находят достаточно простые в эксплуатации уязвимости вроде XSS и CSRF, но бывают и интересные, которые встречаются достаточно редко. Одним из таковых, является недавний пример чтения файлов на...
Мобильные телефоны и тотальная слежка АНБ: как это работает
Имя Эдварда Сноудена последние два года регулярно мелькает в новостях по теме информационной безопасности. Благодаря разоблачениям этого бывшего сотрудника американских спецслужб все уже слышали, что Агентство национальной безопасности (АНБ, NSA) обладает возможностями тотальной мобильной слежки за...
GitHub опять разблокировали
По сообщению заместителя руководителя Роскомнадзора Максима Юрьевича Ксензова сайт github.com исключен из реестра запрещённых сайтов РФ. Ввиду того,что администрация GitHub предприняла меры по удалению запоещенной информации, доступ к ресурсу на территории РФ возобновлен — Максим Ксензов...
[Из песочницы] Повышение доверия к РОИ при сохранении секретности персональных данных
Этот пост — ответ на habrahabr.ru/post/244753/ Для повышения доверия и прозрачности к РОИ, можно применить достаточно простое решение, описанное в этом посте. Когда пользователь голосует за, против, или отзывает свой голос за какую либо инициативу, необходимо чтобы РОИ генерировал специальный...
[Из песочницы] Повышение доверия к РОИ при сохранении секретности персональных данных
Этот пост — ответ на habrahabr.ru/post/244753/ Для повышения доверия и прозрачности к РОИ, можно применить достаточно простое решение, описанное в этом посте. Когда пользователь голосует за, против, или отзывает свой голос за какую либо инициативу, необходимо чтобы РОИ генерировал специальный...
Краткое введение в доверительные отношения, или почему нельзя запускать вслепую без проверки скрипты из интернета
Как работает цепочка доверия В недавней статье «VPN в каждый дом» предлагается сделать огромную глупость, а именно пойти к себе на VPS и ввести там вот это: curl -sS https://sockeye.cc/instavpn.sh | sudo bash Как я в комментарии к той статье написал, это очень большая глупость. Вы вслепую...
?Новый GNS3 — шаг вперед или прыжок на месте?
GNS3 1.2 В начале 2000х ситуация с эмуляторами сетевого оборудования выглядела достаточно плачевно. Но затем появился Dynamips и Dynagen (консольный фронтэнд к Dynamips), которые предоставляли возможность эмулировать некоторые маршрутизаторы Cisco IOS. Впервые Dynamips был представлен...
Как стать докладчиком на PHDays V
3 декабря в программе пятого международного форума по практической безопасности Positive Hack Days открывается Call for Papers. Если вы хотите поделиться результатами своих исследований, если вам есть о чем рассказать сообществу, то мы ждем вас 26 и 27 мая 2015 года в качестве докладчика. В разные...