10 лучших техник веб-хакинга 2018
Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite. Под катом вас ждет 10 лучших...
Matrix Powerwatch внутри и снаружи: что нового?
Matrix Powerwatch — часы, которые получили известность как первые в мире, которые никогда не требуют зарядки. В основе работы часов научное открытие с двухвековой историей, эффект Зеебека. Два года назад это стало что-то вроде маленькой революции, потому что решало одну важную проблему —...
Новые инструменты для обнаружения HTTPS-перехвата
По мере роста использования HTTPS растёт желание посторонних лиц внедриться в защищённый трафик. Исследование 2017 года The Security Impact of HTTPS Interception показало, что это становится всё более распространённой практикой. Анализ трафика на серверах обновления Firefox показал, что в отдельных...
Я просканировал Украину
В феврале австриец Christian Haschek в своем блоге опубликовал интересную статью под названием «Я просканировал всю Австрию». Конечно, мне стало интересно, что будет, если повторить это исследование, но уже с Украиной. Несколько недель круглосуточного сбора информации, еще пару дней на то, чтобы...
[Перевод] Что такое ботнет Mirai, и как я могу защитить свои устройства?
Впервые обнаруженный в 2016 году, ботнет Mirai захватил беспрецедентное количество устройств и нанес огромный ущерб интернету. Теперь он вернулся и опаснее, чем когда-либо. Читать дальше →...
[Перевод] Миллионы бинарников спустя. Как укреплялся Linux
TL;DR. В этой статье мы исследуем защитные схемы (hardening schemes), которые из коробки работают в пяти популярных дистрибутивах Linux. Для каждого мы взяли конфигурацию ядра по умолчанию, загрузили все пакеты и проанализировали схемы защиты во вложенных двоичных файлах. Рассматриваются...
HyperX Alloy CORE – когда мембранка может в игры
Стыдно за громкую, хрустящую от крошек и дорогущую механику? Дома не прижилась — родные недовольны, а на работе — коллеги, да и кофе этот пролитый… Что ж, специально для таких случаев HyperX создал Alloy Core. Читерский гибрид классической мембранки и ощущений, как от механики. Да ещё и с...
Apple вчера выпустила новые iPad, и к ним есть вопросы
Несколько часов назад Apple (довольно неожиданно) представила iPad Air и новый iPad mini. Они появились в продаже у неё в магазине. На этот раз компания не стала устраивать большую презентацию с тысячей журналистов. Вместо этого они просто вывесили анонс в сврем блоге. Новые девайсы впечатляют...
DLP-система DeviceLock 8.3: прошёл год, Билли, а ты совсем не изменился
По следам более чем прошлогодней статьи представляю грустное продолжение. Осенью 2018 года наткнулся на комментарий одного из создателей продукта и решил таки посмотреть, устранены ли дыры в новой версии и попробовать поискать новые. В итоге обнаружено следующее: Читать дальше →...
Как побывать в корейском университете с помощью Network File System
Предисловие Давным-давно в начале 2000-х многие развлекались тем, что регулярно «сканировали» сети своего провайдера, а иногда и более далекие цели на предмет обнаружения Windows машин и ресурсов на них (SMB), доступных на чтение (запись). Процесс поиска был примитивен: задавался диапазон...
Семинар «Требования ИБ: как бизнесу с ними жить»
Всем привет! Если вам регулярно приходится ломать голову над тем, как организовать ИТ-инфраструктуру, соответствующую 152-ФЗ, 187-ФЗ, PCI DSS и пр., то приходите на наш семинар 28 марта. Мы расскажем, как выполнить требования законодательства в сфере информационной безопасности и не сойти с ума....
Письма от социальных сетей: достаточно ли хороша ваша приватность? Две проблемы и их решение
При использовании социальных сетей имеют место разнообразные проблемы, выходящие за рамки темы этой статьи. Но есть две проблемы, о которых обыкновенно забывают. Социальные сети периодически посылают своим пользователям письма о недавних событиях: публикациях друзей, ответах, лайках, личных...
Новое мобильное приложение LampTest.ru
Сегодня я рад представить то, что многие давно ждали: полнофункциональное приложение Lamptest с быстрым сканером штрихкодов. Читать дальше →...
PyDERASN: как я написал ASN.1 библиотеку с slots and blobs
ASN.1 это стандарт (ISO, ITU-T, ГОСТ) языка описывающего структурированную информацию, а также правил кодирования этой информации. Для меня как программиста это просто ещё один формат сериализации и представления данных, наравне с JSON, XML, XDR и другими. Он крайне распространён в нашей обычной...
Вебинар Group-IB «Подход Group-IB к киберобразованию: обзор актуальных программ и практических кейсов»
Знания в сфере информационной безопасности – сила. Актуальность непрерывного процесса обучения в этой области обусловлена стремительно меняющимися тенденциями киберпреступлений, а также потребностью в новых компетенциях. Cпециалисты Group-IB, международной компании, специализирующейся на...
Security Week 12: клавиатурные атаки
Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX901 (новость,...
[Из песочницы] Моя первая читалка на основе Sharp PC3000
Я всегда любил читать. Начиная с детского сада. Потом в школе я перечитал почти всю библиотеку. Когда пошел на работу, в лихие девяностые, покупал на рынках кучу всяких книг. Время было тяжелое. Многие уезжали в Германию на ПМЖ. Уехал и мой друг. Потом через несколько лет в конце девяностых прислал...
[Перевод] Когда дети понимают, что вся их жизнь уже находится в онлайне
Поиск в Google информации о себе превратился в обряд перехода Уже несколько месяцев Кара набиралась смелости для того, чтобы поговорить с мамой о том, что она увидела в Instagram. Не так давно эта 11-летняя девочка – которую мы, как и остальных детей в этой истории, будем называть вымышленным...