[Перевод] Я просканировал всю Австрию и нашёл…
...IP-камеры, принтеры, АСУ ТП и многое другое Отказ от ответственности: статья — результат нескольких недель работы. О самых больших проблемах я сообщил владельцам серверов, если смог их найти, а о других — в Cert.at. Кроме того, я не пытался войти ни на какое устройство/сервис/сайт, требующие...
[Перевод] Я просканировал всю Австрию и нашёл…
...IP-камеры, принтеры, АСУ ТП и многое другое Отказ от ответственности: статья — результат нескольких недель работы. О самых больших проблемах я сообщил владельцам серверов, если смог их найти, а о других — в Cert.at. Кроме того, я не пытался войти ни на какое устройство/сервис/сайт, требующие...
Сдал русского хакера — сядешь в тюрьму, даже если ты из «Лаборатории Касперского»
Руслан Стоянов, глава отдела расследования компьютерных инцидентов «Лаборатории Касперского» В Московском окружном военном суде в закрытом режиме продолжаются слушания по делу двух высокопоставленных российских «шпионов», которых обвиняют в госизмене. Это: бывший начальник отдел оперативного...
Security Week 08: взлом VFEMail в прямом эфире
Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон подготовленной картинкой в...
Вебинар «167-ФЗ. Как банки могут выполнить требования ЦБ к антифрод-системам» — 26 февраля 2019, 11:00 МСК
Cпециалисты Group-IB и «Инфосистемы Джет» подготовили вебинар на тему «167-ФЗ: Как банки могут выполнить требования ЦБ к антифрод-системам». Вебинар состоится 26 февраля 2019 года в 11:00 (МСК), проведут его Павел Крылов, руководитель направления по защите от онлайн-мошенничества Group-IB, и...
[Из песочницы] Как мы DLP-систему выбирали (практический опыт)
Привет, Хабр! Не так давно возникла довольно типичная ситуация — руководство дало команду «Выбрать систему защиты данных от утечки». Основной критерий выбора — способность решить задачу не допустить утечек критически важной (по мнению руководства) документации, файлов и тому подобного. Как...
Практическая стеганография
Применение принципов стеганографии для решения реальных задач Собственно, термин “стеганография” давно не вызывает вопросы, и в общем случае понятно, что речь идет о способах передачи скрытых данных внутри других, не скрытых. Правда, когда начинаются рассуждения про применимость этих способов,...
Вредоносные расширения для Chrome
Аудитория Одноклассников — 71 миллион в месяц. Так же, как и аудитория интернета в целом, наши пользователи подвержены распространенным угрозам безопасности: фишингу, вирусам, переиспользованию паролей. Экономическим двигателем атак на пользователей соцсети, как правило, является распространение...
Анализ инцидентов, связанных с кибератаками на блокчейн-проекты
Все помнят взлет криптовалюты в 2017 году, когда кто-то впервые о ней узнал, а кто-то смог сколотить состояние или даже успел потерять его. История криптовалюты берет начало в 90-х годах прошлого столетия, а большую популярность она получила в 2009 году, когда появился биткоин. Одновременно с этим...
Состоялся релиз Kali Linux 2019.1
Состоялся rolling-release Kali Linux 2019.1, который содержит множество обновлений: обновленные пакеты, обновленное ядро 4.19.13, обновленные инструменты, а также 5 версию знаменитого фреймворка Metasploit. Kali Linux представляет из себя дистрибутив, содержащий множество утилит для проведения...
[Перевод] Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 1
Меня зовут Сэм Боун, я здесь, чтобы поговорить с вами о DoS-атаках, и вы мне в этом поможете. Мы немного поговорим о хактивистах, которые использовали такие атаки, потому что я нахожу их интересными. Они наглядно показывают, сколько вреда вы можете нанести различными видами DoS-атак, сами при этом...
[Из песочницы] Электронная почта, взгляд изнутри
Работаю я системным администратором в одной фирме. И вот произошла интересная ситуация с отправкой к нам на электронную почту некоторой информации. Дабы не углубляться в подробности с реальной ситуацией (дело касается тендерных предложений, где огромное количество условий), приведу свой пример....
[Из песочницы] Электронная почта, взгляд изнутри
Работаю я системным администратором в одной фирме. И вот произошла интересная ситуация с отправкой к нам на электронную почту некоторой информации. Дабы не углубляться в подробности с реальной ситуацией (дело касается тендерных предложений, где огромное количество условий), приведу свой пример....
OWASP Proactive Controls: cписок обязательных требований для разработчиков ПО
Предлагаем вашему вниманию Top 10 Proactive Controls for Software developers – 10 аспектов безопасности, на которых должны сосредоточиться разработчики ПО. Данная статья содержит список техник по обеспечению безопасности, обязательных для реализации при разработке каждого нового проекта. Читать...
[Перевод] Docker и Kubernetes в требовательных к безопасности окружениях
Прим. перев.: Оригинальная статья была написана инженером из Швеции — Christian Abdelmassih, — который увлекается архитектурой уровня enterprise, ИТ-безопасностью и облачными вычислениями. Недавно он получил степень магистра в области Computer Science и спешит поделиться своим трудом — магистерской...
Центробанк опубликовал рекомендации по криптографической защите ЕБС
ЕБС. Справа внизу — сканер отпечатков пальцев Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк»...
Центробанк опубликовал рекомендации по криптографической защите ЕБС
ЕБС. Справа внизу — сканер отпечатков пальцев Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк»...
Повышение привилегий в PostgreSQL — разбор CVE-2018-10915
Не секрет, что стейт-машины среди нас. Они буквально повсюду, от UI до сетевого стека. Иногда сложные, иногда простые. Иногда security-related, иногда не очень. Но, зачастую, довольно увлекательны для изучения :) Сегодня я хочу рассказать об одном забавном случае с PostgreSQL — CVE-2018-10915,...