Топ самых интересных CVE за февраль 2024 года
Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress, активный эксплойт...
Через тернии к звёздам: строим SSDLC на OpenSource-компонентах
Привет! Меня зовут Максим Коровенков, я DevSecOps Lead в СберМаркете. Хочу рассказать о том, как мы строим developer-центричный DevSecOps. Мы набили по ходу этого «строительства» уже достаточное количество шишек, поэтому, дабы поберечь вас, делюсь обретенным опытом. Статья будет полезна тем, кто...
Вступил в силу запрет на статьи о Tor и VPN
С сегодняшнего дня, 1 марта, Роскомнадзор может вносить в реестр запрещённых ресурсов страницы с информацией о способах, методах обеспечения доступа к ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ — проще говоря, банить сайты за информацию о...
Как киношные хакеры испортили жизнь ИБ-специалистам
Хакеры в кино — сверхлюди, которые по щелчку мыши могут взломать автомобиль, запустить «киберракету» и вычислить юрлицо через командную строку. Сцены взлома сопровождаются звуковыми и визуальными эффектами, которые вызывают если не смех, то ироническую улыбку у всех, кто в теме. Меня зовут Артемий...
Странный и очень прибыльный мир конкурсов писателей-киберпреступников
Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля? На всякий случай ссылки давать не буду. И заходить на эти сайты не...
Простой учет оборудования в TeamDo: как проводить инвентаризацию не затратно
Какая еще «инвентаризация»? Это вот та самая инвентаризация, когда пересчитывают стулья в кабинете и наклеивают инвентаризационные номерки? Вы серьезно?! Да, коллеги, именно такая и, конечно, серьезно. Инвентаризация как один из факторов учета материальных и нематериальных активов и инвентаризация...
(Не) безопасный дайджест: мегаутечки, дипфейк-созвон и атака шифровальщиков
Для нескучных выходных в традиционном дайджесте собрали подборку ИБ-факапов месяца. В февральской подборке рассказываем о том, как дипфейки развели финансиста транснациональной компании на миллионы долларов, сотрудник обанкротил издание с 40-летней историей, а данные чуть ли не каждого второго...
Что о безопасности приложений расскажут на SafeCode
В декабре мы представили Хабру нашу новую онлайн-конференцию SafeCode. А теперь, когда до неё осталось две недели и программа готова, можем подробнее рассказать, о чём именно будут доклады. Если ограничиться одной фразой, то на конференции подойдут к application security с разных сторон: от...
Генерация beacon’ов под Linux для Cobalt Strike
CrossC2 - фреймворк, включающий в себя генератор beacon’ов для различных систем (Linux, MacOS и т.п.), а также набор скриптов для Cobalt Strike. В этой статье мы рассмотрим данное решение. Читать далее...
Как работает криптография в ДЭГ
В статье разбирается, как задачи дистанционного электронного голосования решаются при помощи криптографических методов. Поскольку система довольно сложная, будем наблюдать её развитие шаг за шагом, постепенно добавляя новые возможности. Читать далее...
Как взламывают биометрию и заставляют нейросети придумывать способы атак: топ-6 докладов с PHDays о ML и AI
Машинное обучение — особенно генеративные нейронные сети, такие как ChatGPT, — меняет мир нечеловеческими темпами. Разработчиков на некоторых дистанционных собеседованиях просят направить веб-камеру на рабочее место и клавиатуру, чтобы понимать, самостоятельно ли соискатель выполняет задания....
Можно ли взломать хакера? Распутываем кибератаки с CTF-турнира. Часть 3
Привет, Хабр! Продолжаем путешествовать по CTF-турнирам. Из последних — 0xL4ugh CTF 24 от одноименной команды из Египта. В статье расскажу, как я решил задачи из категории DFIR (Digital Forensics and Incident Response) и web. Сохраняйте в закладки: пригодится как опытным, так и начинающим...
Jenkins CVE-2024-23897
Jenkins — программная система с открытым исходным кодом на Java, предназначенная для обеспечения процесса непрерывной интеграции программного обеспечения. 25 января 2024 для версий Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и ниже была выявлена уязвимость чтения произвольного файла через...
Как мы ускорили написание кода на 20% с помощью обучения сотрудников работе с веб-уязвимостями
Раньше, когда мы нанимали новых специалистов, работа над кодом строилась так: пишем, проверяем, исправляем ошибки, проверяем ещё раз, снова переписываем и т.д. В итоге даже после испытательного срока разработчик тратил на фрагмент кода до 60 часов, а ревьюер — до 10. Но плановый аудит помог понять,...
GitLab CVE-2023-7028
11 января 2024 года была опубликована информация об уязвимости в GitLab CE/EE, затрагивающая все версии с 16.1 до 16.1.6, 16.2 до 16.2.9, 16.3 до 16.3.7, 16.4 до 16.4.5, 16.5 до 16.5.6, 16.6 до 16.6.4 и 16.7 до 16.7.2. Данная уязвимость получила идентификатор CVE-2023-7028 и 7.5 баллов критичности...
О неуловимой киберпреступной группировке Mahagrass: RemCos, BadNews и CVE-2017-11882. Часть 1
Ежедневно в мире происходят сотни тысяч киберпреступлений, некоторые из них совсем незначительные, например, когда любопытный школьник устроил DDoS-атаку на сайт своей школы и вызвал кратковременные сбои в его работе, а некоторые из них насколько глобальны, что даже представить сложно. Скажем,...
WinRAR CVE-2023-38831
10 июля 2023 года при исследовании распространения троянского ПО под названием DarkMe, специалистами из Group-IB была обнаружена раннее неизвестная уязвимость в WinRAR, которая касалась обработки zip-архивов. Данная уязвимость получила идентификатор CVE-2023-38831. С помощью этой уязвимости, по...
Как мы построили систему анализа утечек паролей с хранением в ScyllaDB
В статье я расскажу о том, как мы построили систему для получения, анализа и сохранения утечек паролей. Рассмотрим архитектуру нашей системы, опишем основные компоненты и расскажем о нашем опыте использования ScyllaDB для задач оперативной загрузки большого количества накопленных утечек. Читать...