Майнеры не пройдут
Ну или хотя бы поспотыкаются. С начала 2017 года наш Центр мониторинга информационной безопасности видит попытки майнить криптовалюты на корпоративных ИТ-ресурсах, подключённых на мониторинг. Ну видит и видит, чего вам, битка жалко, что ли? Действительно, а какой вред наносят майнеры в...
GDPR на носу – прекращаем панику и начинаем спасаться
Судя по нарастающей в сети панике, очень многие либо только узнали о GDPR, либо оттянули удовольствие до предела. Уже 25 мая угроза штрафа в 20 млн Евро или 4% от мирового оборота (что из этого больше) станет реальностью – впадать в панику или не впадать? Поскольку я уже ливанул ведро бензина в...
Pwn iNt All! Находим уязвимости в скриптовых движках и вскрываем usermode-механизмы защиты Windows. Часть 1
Операционные системы – дело тонкое. И очень защищенное! Обойти их механизмы защиты — дело сложное и трудоемкое, даже слегка похожее на волшебство. Но говорят, что сын маминой подруги уже нашел несколько RCE-уязвимостей, написал эксплойт, и обошел все защитные механизмы. Попробуем и мы! Сделаем это...
Защита от DDoS атаки на уровне веб-приложений
Как известно DDoS атаки на сайт бывают разной интенсивности, имеет значение количество хостов участвующих в атаке, количество сетевых пакетов и объем передаваемых данных. В самых тяжелых случаях отбить атаку возможно только применяя специализированное оборудование и сервисы. Если же объем атаки...
Заблокировать весь интернет, или обезьяна с гранатой
Сегодня случилось то, о чем давно предупреждали. РКН заблокировал приличную часть глобальной сети и Рунета в частности, включая Яндекс, ВК, Одноклассников и ТамТам заодно. Фейсбук и Гугл тоже не остались в стороне. Это случилось 26 апреля в 21:06 по UTC, или примерно в полночь по Москве. Всего было...
Генерация PDF для скачивания конфигов сервера
Есть замечательный проект www.hiqpdf.com/demo/ConvertHtmlToPdf.aspx Умеет html качественно в pdf или картинки превращать Но по дефолту не учитывает тот факт, что в html можно вставлять js/iframe, которые могут быть использованы не по назначению Ну и я не долго думая попробовал это на их же сайте...
Solar JSOC Forensics: дело о майнинге на 32-х несуществующих гипервизорах
Последний год можно считать расцветом массового майнинга криптовалют. Ровно год назад этот хайп достиг пика, и цены на видеокарты в магазинах взлетели. Затем алгоритмы майнинга портировали в браузеры, и появился знаменитый сервис Сoinhive. Даже недавнее падение курса основных криптовалют не сильно...
Последний шаг к «Яровой»
В последнее время российские законодатели принимают законы, которые плохо проработаны с точки зрения соблюдения прав человека. Самым громким из таких законодательных актов стал пакет «антитеррористических» законопроектов (ФЗ №374, ФЗ №375), принятый в июле 2016 года, который в народе прозвали...
Формирование JWS и JWK из rsa-ключей на примере интеграции Let’s Encrypt и ISPmanager
Всем привет! Меня зовут Дмитрий Смирнов, я разработчик из ISPsystem и это именно я в ответе за появление в панели ISPmanager 5 интеграции с Let’s Encrypt. Расскажу, как проходила разработка плагина, как он менялся и как пришел в теперешнее состояние. Из текста узнаете, как формировать JWS и JWK из...
GDPR как оружие массового поражения
Под угрозой все. Вообще все Бытует мнение, что сочинение законов, которые нарушают практически все – это изобретение нашей Родины. Но, как и со слонами, всё не так однозначно: при изучении General Data Protection Regulation (GDPR) я понял, что в этом мы безнадёжно отстали от Европы. Шутка ли –...
Summ3r 0f h4ck: стажировка Digital Security 2018
Лето не за горами, и Digital Security объявляет о начале своей стажировки — результаты предыдущих превзошли наши ожидания, поэтому нами решено было продолжать это приятное и полезное дело. А что думают о времени, которое они провели с нами, сами стажеры? Оправдала ли стажировка ожидания участников?...
Произведена атака на MyEtherWallet, через перехват DNS-сервиса Amazon при помощи BGP
Мы как-то привыкли, что криптовалюты живут своей жизнью, а сети и сетевые сервисы — своими. И уж точно разработчикам крипттовалют не часто оказывается нужен протокол BGP, используемый провайдерами каналов интернет для обмена маршрутной информацией. Что же, это не помешало злоумышленникам...
Операция Orangeworm: хакеры заражают медицинское оборудование по всему миру с помощью трояна Kwampirs
Эксперты компании Symantec опубликовали отчет об активности хакерской группировки Orangeworm, создавшей вредоносный софт, который атакует медицинские учреждения в разных странах. Цель атак — кража конфиденциальной информации. Читать дальше →...
Дошутились про узбекский вирус?
Помните старую шутку про узбекский вирус? Напомню тем, кто не в курсе: «Страфиствуйтэ, я усбекский вирюс. Па причина ужасный бедность моей создателя и низкий уровне развитиё технология в наша страна я не способин причинять какая-либа уред Вашей компютеру. Поэтому ощень прашу Уас, пажальста, сами...
"Лаборатория Касперского": как попасть и чем заняться? Взгляд изнутри
Может показаться, что в крупную ИБ-компанию очень сложно попасть: нужно пройти семь кругов ада, найти подвох в любой задаче, знать биографию всех руководителей и всю подноготную самой компании. Так ли это? Глава управления базовых технологий «Лаборатории Касперского» сам когда-то проходил этот...
Казино взломали через термостат в аквариуме
Аквариум у входа в отель-казино Silverton в Лас-Вегасе (примерно такой находился в казино, которое подверглось взлому) Если нужно проникнуть в локальную сеть хорошо защищённого казино — что вы предпримете на месте хакера? Постараетесь узнать пароли пользователей и админа? Достанете биографические...
Взломай меня, если сможешь или что такое тестирование на проникновение
Недавно мне посчастливилось пройти курс от Offensive Security под названием Penetration Testing with Kali Linux, который знакомит слушателей с основами тестирования на проникновение. С моей точки зрения, этот курс один из самых лучших, которые я когда-либо проходил. Мне приходилось участвовать в...
[Перевод] HoleyBeep: объяснение и эксплоит
В былые времена люди использовали a для генерирования неприятных «гудков» из спикеров системных блоков. Это было особенно неудобно, если хотелось генерировать более сложные звуковые последовательности вроде 8-битной музыки. Поэтому Джонатан Найтингейл написал программу beep. Это была коротенькая и...