Топ самых интересных CVE за август 2022 года
ДИСКЛЕЙМЕР! Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Подходит к концу восьмой месяц 2022 года, а это значит пора подвести итоги по вышедшим уязвимостям и...
[Перевод] Что я узнал за пять лет проведения аудитов кода
Когда я работал в PKC, моя команда вела около тридцати аудитов кода. Многие из них предназначались для стартапов, которые вышли на серию А или B – именно на этом этапе основатели обычно обзаводились деньгами, отвлекались от тотальной сосредоточенности на выходе на рынок и осознавали, что неплохо бы...
Регистрация на Road Show SearchInform стартует
Осень, время традиционного приглашения на Road Show SearchInform. Начинаем приглашать! В этом году поводов подискутировать много как никогда: новые указы, уход иностранных вендоров, увеличение числа атак. А к моменту нашей первой конференции Минцифры уже, возможно, примет решение об оборотных...
Атакуем синезубого короля
Английское слово Bluetooth -- буквальный перевод прозвища короля викингов Харальда I Синезубого. Он правил на территории современных Дании и части Норвегии в X веке и вошел в историю как правитель, который объединил враждовавшие датские племена в единое королевство. Подразумевается, что Bluetooth...
10 типичных ошибок при расследовании инцидентов
Ночью со счета компании вывели деньги. Утром начинается паника, которая приводит к дополнительным проблемам. Например, ИТ переустанавливают скомпрометированную систему — с нуля или восстанавливают из бэкапа. В первом случае стираются следы взломщиков, и приглашенной команде по расследованию...
Интернет 3.0 – как я создал сайт и канал
Чтобы создать новый свежий слой интернета, защищенного от любой возможной цензуры, нужно делать новые сайты. Я решил создать тематический сайт и канал на ту же тему в p2p экосистеме. Пришлось немного поколдовать, чтобы не нужно было держать компьютер включённым. Подготовил пошаговый план со всеми...
Об аспектах уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру
На настоящий момент судебную практику по статье 274.1. УК РФ объективно нельзя охарактеризовать как обширную. Введение данной статьи в уголовный закон было продиктовано необходимостью обеспечить надлежащее исполнение одновременно принятого Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности...
«До свидааания, черт с тобой!»: как мы спасали наши сервисы ИБ после ухода зарубежных вендоров
Для многих российских компаний уход иностранных вендоров ПО и железа стал, мягко говоря, ударом под дых. Сервис-провайдерам пришлось вдвойне тяжело: им надо было обеспечить кислородной маской необходимым софтом не только себя, но и своих заказчиков. Немалая часть наших сервисов ИБ базировалась на...
У вас captcha? Тогда мы уходим от вас
TL;DR: CAPTCHA слишком назойлива и становится причиной ухода пользователей и клиентов с сайта Читать далее...
Разработчики Chrome снизили приоритет критической уязвимости в Chrome. Вы можете с этим помочь
На днях была новость о том, что в релизной версии Chrome уже какое-то время можно переписать содержимое буфера обмена пользователя. Идиотизма ситуации прибавляет то, что проблема появилось из-за того, что у одного разработчиков не проходили тесты. Сначала на багтрекере проблеме выставили нулевой...
Хабр на конференции OFFZONE 2022: российская BugBounty, кибербез и… текила?
25 и 26 августа в Москве в центре LOFT HALL состоялась третья конференция по практической кибербезопасности OFFZONE 2022, где побывала и информационная служба Хабра в лице @ancotir и @IgnatChuker. Конференция объединила всех неравнодушных к сфере информационной безопасности: разработчиков,...
Security Week 2235: подлинный масштаб атаки на Twilio
Взлом сервис-провайдера Twilio мы уже дважды упоминали в дайджестах за август, но только к концу месяца стало понятно, что последствия этой кибератаки серьезнее, чем предполагалось ранее. В результате хорошо подготовленной фишинговой атаки был получен доступ к админской консоли Twilio, а через нее...
Снупи и мелочь пузатая в IT
«Лежа на крыше своей собачьей конуры, Снупи большую часть времени проводил в мечтах. В одном из своих повторяющихся полетов фантазии он был летчиком-асом времен Первой мировой войны, который в спортивных очках пилота и развевающемся красном шарфе, с собачьей будкой, превращенной в истребитель, вел...
Умные паяльники от Pine64: стоит ли покупать вторую версию Pinecil. Часть 1
Паяльники для тонких работ, в большинстве своем это микропайка, становятся все умнее. Современный паяльник — это уже далеко не просто толстенный нагревательный элемент, который включается, когда его подключают к розетке и выключается, соответственно — когда отключают. Некоторые компании выпускают...
Дайджест недели от Apple Pro Weekly News (22.08 – 28.08.22)
Презентация Apple – 7 сентября, анонсируем где смотреть, новая iOS 16 почти готова и уже известна дата релиза, как собрать MacBook Air с чипом M1 самому, свежие слухи и патенты о грядущих продуктах Apple, а также продолжение истории с банковскими приложениями в App Store. Всё это и многое другое –...
FHRP Nightmare. Ад и кошмар систем отказоустойчивости маршрутизации
Для того, чтобы повысить уровень отказоустойчивости своей сети на уровне маршрутизации, сетевые администраторы в большинстве случаев используют протоколы семейства FHRP. Меня зовут @in9uz, и в рамках данной статьи ты узнаешь какой кошмар может возникнуть в сети, если к конфигурации системы горячего...
5 мини-ноутбуков конца лета 2022 года: модульность, портативность и производительность
Ноутбуки — отличный инструмент для многих представителей IT-индустрии. В целом, где ноутбук, там и твое рабочее место — в большинстве случаев это действительно так. Конечно, большую роль играет размер девайса, его производительность и некоторые другие критерии. В некоторых ситуациях большим плюсом...
Разбор таска Let's Defend. DogWalk 0-Day Activity
В далеком 2020 году независимый исследователь Imre Rad опубликовал статью с уязвимостью в компоненте операционной системы Windows - msdt.exe (тот самый =) ). Microsoft посчитала найденную уязвимость недостаточно критичной, чтобы на нее реагировать. Однако после истории с Follina вендор решил...