[Перевод] Как Google пытается разработать поисковую систему с цензурой для Китая
Изданию The Intercept удалось ознакомиться с конфиденциальными документами, описывающими, как в компании Google проводили анализ поисковых запросов на пекинском сайте, чтобы разработать чёрные списки слов для поисковой системы с цензурой, которую компания планирует запустить в Китае. Инженеры...
[Перевод] Шифрование ключа по умолчанию в OpenSSH хуже его отсутствия
Авторы этого материала приводят аргументы против стандартных механизмов шифрования ключа в OpenSSH. Недавно злоумышленники использовали npm-пакет eslint-scope для кражи npm-токенов из домашних каталогов пользователей. В свете этого события мы занялись проверкой других подобных уязвимостей и...
Расследование Motherboard: Как киберпреступники воруют мобильные номера с помощью сотрудников телеком-компаний
Изображение: Pixabay Издание Motherboard опубликовало материал, посвященный атакам на пользователей крупных операторов мобильной связи. По данным журналистов, все чаще киберпреступники подкупают сотрудников телеком-компаний, чтобы те переносили номера клиентов на новые SIM-карты. Читать дальше →...
Расследование Motherboard: Как киберпреступники воруют мобильные номера с помощью сотрудников телеком-компаний
Изображение: Pixabay Издание Motherboard опубликовало материал, посвященный атакам на пользователей крупных операторов мобильной связи. По данным журналистов, все чаще киберпреступники подкупают сотрудников телеком-компаний, чтобы те переносили номера клиентов на новые SIM-карты. Читать дальше →...
[Перевод] Разница между красными, синими и фиолетовыми командами
Здравствуйте, коллеги. Напоминаем, что не так давно у нас вышли две классные классические книги о хакинге и анализе вредоносного ПО. А также на подходе великолепная книга о дистрибутиве Kali Linux. Тем не менее, мы по-прежнему полагаем, что тема компьютерной безопасности у нас охвачена не полностью...
Низкоуровневый взлом банкоматов NCR
Изображение: Sascha Kohlmann, CC BY-SA 2.0 Существуют системы, доступа к которым у простых смертных нет по умолчанию. И разработчики таких систем наивно полагают, что они защищены от проникновения и зорких глаз исследователей. Взять хотя бы банкоматы (АТМ). Нередки случаи, когда к АТМ подходят...
Утечка персональных данных МосОблЕирц
Дисклеймер: да, я пытался связаться с разработчиками. Нет, ответа не было. «Дыре» скорее всего столько же лет, сколько и их мобильному приложению, и возможно ей уже давно кто-то пользуется. И я до конца не понимаю, это везде декларируется как фича, просто никто не думал, что можно батчем начислить...
Безопасность Microsoft Office: Автоматизация
Программы электронного документооборота совершили настоящий прорыв, значительно облегчив работу офисных сотрудников. Но вскоре стало понятно, что можно продвинуться еще дальше, автоматизировав рутинные действия пользователей. У программируемых офисных приложений было явное преимущество на рынке....
Безопасность Microsoft Office: Автоматизация
Программы электронного документооборота совершили настоящий прорыв, значительно облегчив работу офисных сотрудников. Но вскоре стало понятно, что можно продвинуться еще дальше, автоматизировав рутинные действия пользователей. У программируемых офисных приложений было явное преимущество на рынке....
[Перевод] Где Голливуд изображает хакеров правильно, а где — ошибочно
Технология окружает нас со всех сторон, поэтому неудивительно, что она проникла и в фильмы, и в сериалы. Однако нельзя сказать, что в кино её изображают правильно, особенно когда речь идёт о компьютерном взломе. В последние 20 лет я периодически работал системным администратором Linux. А это...
[Перевод] [в закладки] 23 рекомендации по защите Node.js-приложений
В наши дни веб-сервисы постоянно подвергаются самым разным атакам. Поэтому безопасность — это то, о чём стоит помнить на всех этапах жизненного цикла проектов. Авторы материала, перевод которого мы сегодня публикуем, поддерживают репозиторий на GitHub, содержащий около 80 рекомендаций по...
Теперь все основные списки корневых сертификатов доверяют Let's Encrypt
Немного незаметной прошла новость о том, что ISRG Root X1, корневой сертификат ЦС Let’s Encrypt, стал напрямую доверенным со стороны продуктов Microsoft. Теперь прямое доверие существует со стороны всех основных списков доверительных корневых сертификатов, включая Microsoft, Google, Apple, Mozilla,...
Машинное обучение в Offensive Security
Вопреки расхожему мнению, машинное обучение — изобретение не XXI века. За последние двадцать лет появились лишь достаточно производительные аппаратные платформы, чтобы нейросети и другие модели машинного обучения было целесообразно применять для решения каких-либо повседневных прикладных задач....
Зачем вам нужен Splunk? Аналитика событий безопасности
Было ли нарушение информационной безопасности предприятия? Какие внутренние угрозы есть у организации? Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы. Читать дальше →...
Зачем вам нужен Splunk? Аналитика событий безопасности
Было ли нарушение информационной безопасности предприятия? Какие внутренние угрозы есть у организации? Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы. Читать дальше →...
Яндекс блокирует аккаунты, к которым не привязан номер телефона
Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком. В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом». А в реальности — потому что при...
Первый опыт в съемках IT ситкома: вторая и третья серия от Cloud4Y
Вторая и третья серия мини-ситкома про борьбу админа, ИТ-руководителя, генерального директора на полях сражений с мировыми катаклизмами, проверяющими органами, раздолбайством и собственным самолюбием. Просим не судить строго, это наш первый опыт в производстве подобного контента....
[Из песочницы] Уязвимость в Telegram позволяет скомпрометировать секретные чаты
Посвящается к юбилею Telegram В секретных чатах Telegram используется «сквозное шифрование», и что? End to end encryption Telegram слабо защищает переписку пользователей. Простой пример: злоумышленник достал приватный ключ gpg Алисы, естественно, чтобы расшифровать сообщение, зашифрованное для...