Красные стрелы доп-реальности
Мои читатели уже знают, что ручной пеленгатор и дополненная реальность созданы друг для друга. Простой фон из видео позволяет существенно упростить работу оператора. Тем не менее, находятся люди, которые испытывают трудности при поиске источников радио-излучения амплитудным пеленгатором с простым...
Про безопасность банкоматов и разработку охранного извещателя (продолжение)
В своей предыдущей статье я рассказал в целом про проблему безопасности банкоматов и немного про свой опыт разработки устройства обеспечения этой самой безопасности. Сегодня расскажу про понятие нижнего концентрационного предела распространения пламени, попытку сделать датчик вибрации на...
[Перевод] Стратегии офлайнового хранения ключей PGP
Статья для подписчиков LWN Хотя население в целом практически не использует OpenPGP, но это критический элемент безопасности, особенно для дистрибутивов Linux. Например, центральный репозиторий Debian проверяет каждый пакет с помощью OpenPGP-ключей мейнтейнера, а затем подписывает его своим ключом....
Последнее обновление для HPE ProLiant «убивало» сетевые адаптеры
Недавно стало известно, что обновление July ServicePack от HPE для серверов ProLiant выводило из строя сетевые адаптеры (в определенных случаях), превращая их в неремонтопригодную «железку». Расскажем об этом далее. Читать дальше →...
Последнее обновление для HPE ProLiant «убивало» сетевые адаптеры
Недавно стало известно, что обновление July ServicePack от HPE для серверов ProLiant выводило из строя сетевые адаптеры (в определенных случаях), превращая их в неремонтопригодную «железку». Расскажем об этом далее. Читать дальше →...
Security Week 40: Yahoo, не утекай, Google конопатит дыры, как Netgear баги ловит
«Три, три миллиарда учетных записей Yahoo! — все, что нажито непосильным трудом, все погибло», — сообщила (ну, не дословно, конечно) компания Verizon, которая после покупки ИТ-гиганта произвела ревизию в его сильно запущенном хозяйстве. Впрочем, дело о взломе Yahoo тянется еще с прошлого года и...
Security Week 40: Yahoo, не утекай, Google конопатит дыры, как Netgear баги ловит
«Три, три миллиарда учетных записей Yahoo! — все, что нажито непосильным трудом, все погибло», — сообщила (ну, не дословно, конечно) компания Verizon, которая после покупки ИТ-гиганта произвела ревизию в его сильно запущенном хозяйстве. Впрочем, дело о взломе Yahoo тянется еще с прошлого года и...
Веб-уязвимости XSLT: Server Side Injection
XSL (Extensible Stylesheet Language) — это язык для преобразования документов XML. XSLT означает XSL Transformations. XSL Transformations — это сами XML-документы. Результатом преобразования может быть другой XML-документ или что-то еще, например, документ HTML, файл CSV или текстовый файл. В этой...
Веб-уязвимости XSLT: Server Side Injection
XSL (Extensible Stylesheet Language) — это язык для преобразования документов XML. XSLT означает XSL Transformations. XSL Transformations — это сами XML-документы. Результатом преобразования может быть другой XML-документ или что-то еще, например, документ HTML, файл CSV или текстовый файл. В этой...
[Перевод] Пусть они вставляют пароли
Примечание переводчика: Автор статьи — эксперт по социотехнической безопасности (Sociotechnical Security Researcher) в Национальном центре кибербезопасности Великобритании (NCSC), подразделении Центра правительственной связи (GCHQ), который отвечает за ведение радиоэлектронной разведки и...
Грамматика MySQL на ANTLR 4
Межсетевой экран уровня приложений предназначен для анализа и фильтрации трафика в отношении какого-либо приложения или класса приложений, например веб-приложений или СУБД. При его построении возникает необходимость разговаривать на языке этого приложения. Для реляционной СУБД таким языком...
Введение в реверс инжиниринг с Radare2
Radare2 это фреймворк для анализа бинарных файлов. Он включает в себя большое количество утилит. Изначально он развивался как шестнадцатеричный редактор для поиска и восстановления данных, затем он обрастал функционалом и на текущий момент стал мощным фреймворком для анализа данных. В этой статье...
Введение в реверс инжиниринг с Radare2
Radare2 это фреймворк для анализа бинарных файлов. Он включает в себя большое количество утилит. Изначально он развивался как шестнадцатеричный редактор для поиска и восстановления данных, затем он обрастал функционалом и на текущий момент стал мощным фреймворком для анализа данных. В этой статье...
Стать хакером: из «Test lab» в «Корпоративные лаборатории»
В 2013 году мы запустили уникальные лаборатории тестирования на проникновение — «Test lab». Являясь, по сути, копиями реальных корпоративных сетей (не CTF), содержащие различные уязвимости и ошибки конфигураций, лаборатории позволяют понять, как происходит реальная атака на корпоративную сеть...
Стать хакером: из «Test lab» в «Корпоративные лаборатории»
В 2013 году мы запустили уникальные лаборатории тестирования на проникновение — «Test lab». Являясь, по сути, копиями реальных корпоративных сетей (не CTF), содержащие различные уязвимости и ошибки конфигураций, лаборатории позволяют понять, как происходит реальная атака на корпоративную сеть...
Уязвимость Intel ME позволяет выполнять неподписанный код
Исследователи Positive Technologies Марк Ермолов и Максим Горячий обнаружили серьезную уязвимость в технологии Intel ME, с помощью которой злоумышленники могут выполнять на целевой машине неподписанный код. Это приводит к полной компрометации платформы. Читать дальше →...
Уязвимость Intel ME позволяет выполнять неподписанный код
Исследователи Positive Technologies Марк Ермолов и Максим Горячий обнаружили серьезную уязвимость в технологии Intel ME, с помощью которой злоумышленники могут выполнять на целевой машине неподписанный код. Это приводит к полной компрометации платформы. Читать дальше →...
О перехвате трафика: 4-10% зашифрованного HTTPS-трафика сегодня перехватывается
Совсем недавно довелось наткнуться на весьма любопытную заморскую статью. Хотелось бы сопоставить изложенные там факты с российским опытом. Смело делитесь своими мыслями в коментариях. Спойлер: шеф, все пропало! Читать дальше →...