[Из песочницы] Дыра у хостинг провайдера или как получить доступ к удаленному аккаунту
Спасибо Elasticweb Предыстория Имеется у меня один сайт, перенесенный с данного хостинга задолго до обнаружения уязвимости, разработанный двумя разными компаниями, названий которых не назову по непонятным понятным причинам. Сайт претерпел значительные изменения, как по структуре интерфейса, так и...
Почему умирают российские выставки по кибербезопасности
В 1851 году в Лондоне прошла первая Всемирная выставка, которую посетили более шести миллионов человек. В проработке проекта активно участвовал британское Королевское общество ремесленников, их задачей было создать инструмент поддержки торговли и предпринимательства. Результат оказался...
Security Week 48: Root-доступ за усердие, майнер-консультант и пробный макрос-зловред
Новость на русском, подробнее на английском Если человек упорно жмет на ту же кнопку, несмотря на то, что ничего не происходит, то он либо идиот, либо тестировщик по призванию. На этой неделе, например, таким образом удалось обнаружить почти забавную уязвимость в новеньких MacOS HIgh Sierra 10.13.1...
[Из песочницы] DLP-система DeviceLock 8.2 — дырявый штакетник на страже вашей безопасности
В октябре 2017 года довелось побывать на рекламном семинаре DLP-системы DeviceLiock, где помимо основного функционала защиты от утечек типа закрытия USB-портов, контекстного анализа почты и буфера обмена рекламировалась защита от администратора. Модель простая и красивая — в маленькую фирму...
Открываем зимний конкурс CrackMe: ломай-ревёрсь
На недавно прошедшей конференции ZeroNights, мы предлагали присутствующим решить несколько CrackMe-задач, но удалось это лишь единицам. Мы решили, что незачем хорошим головоломкам пропадать и предлагаем решить их в рамках зимнего конкурса CrackMe, который, таким образом, получается гораздо...
Разбор квеста Digital Security ICO
Перед ежегодной конференцией ZeroNights 2017, помимо Hackquest 2017, мы решили организовать еще один конкурс, а именно — провести свое ICO (Initial coin offering). Но только не такое, как все привыкли видеть, а для хакеров. А как мы могли понять, что они хакеры? Они должны были взломать ICO! За...
Hik or Hack? (НЕ)безопасность Интернета вещей на примере IP-камеры Hikvision
В современном мире нас окружают «умные» устройства, в том или ином виде представляющие собой маленький компьютер. С точки зрения интеграции с современным оборудованием, будь то бытовая электроника и умные дома, медицинское и банковское оборудование, развлекательные системы и промышленное...
«Обошли Тьюринга»: новый подход к распознаванию капчи
Разработчики из компании Vicarious, в число инвесторов которой входят Марк Цукерберг и Джефф Безос, опубликовали статью, где описали новую модель глубокого обучения, способную распознавать текстовые капчи. Новая порождающая вероятностная модель (Probabilistic Generative Model) позволила, как...
Кто в медицине ИСПДн в соответствие с законом приводил, тот в цирке не смеётся
Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах. Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в...
SOC for beginners. Глава 3. Использование внешних источников данных об угрозах для Security Operation Center
В предыдущих статьях «SOC for beginners» мы рассказали, как устроен и как организовать базовый мониторинг инцидентов и контроль защищенности инфраструктуры. Сегодня речь пойдет о Threat Intelligence — использовании внешних источников данных об угрозах. При всей кажущейся простоте, запуск работы с...
Олимпиада «Я — профессионал», трек «Информационная и кибербезопасность»
Мы продолжаем рассказывать о студенческой олимпиаде «Я — профессионал», которую организуют Российский союз промышленников и предпринимателей, общественная организация «Деловая Россия», «Яндекс», а также сильнейшие университеты страны, в том числе Университет ИТМО. Еще одно направление (трек),...
Основы информационной безопасности. Часть 2. Информация и средства её защиты
В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации. Читать дальше →...
[Перевод] Хакерские байки c Quora
История первая Восемь лет назад в старшей школе я хакнул основной сервер моей школы и нанес реальный вред. В классе информатики у нас была компьютерная сеть с основным сервером. Компьютеры все были очень слабые, без жестких дисков, с загрузкой по протоколу PXE с основного сервера. У каждого...
Три мифа о безопасности мобильных платежей
Yota продолжает развенчивать популярные мифы, и сегодня мы решили поговорить о серьезной и волнующей многих пользователей теме — безопасности мобильных платежей. Оплачивать покупки при помощи мобильного телефона давно стало обыденностью и эта сфера до сих пор окружена недомолвками и мифами. Читать...
От Root CA до User Authorization в nginx+apache. Часть 1. Создаем Root&Intermediate Certificate Authority
Доброго времени, Хабраюзер! Хочу поделиться с тобой идеей беспарольной авторизации. Недавно лазил по сайтам центров сертификаций и наткнулся на интересную вещь. ЦС использую авторизацию по сертификату вместо пароля. Я считаю это удобным, для компании, а не для обычных интернет сайтов, где шарятся...
Найдена уязвимость в Mac OS High Sierra, позволяющая войти суперпользователем в незащищенный компьютер
Был опубликован твит, согласно которому можно получить привелегии суперпользователя, если в окошке System Preferences > Users & Groups открыть любого пользователя, щелкнуть на замке, после чего указать root в качестве пользователя и оставить пароль пустым. Несколько (sic!) кликов по Unlock...
У CDROM’а век не долог?
DVD [диск] начнет умирать уже лет через 5. […] Я опираюсь на информацию из сети про условия и максимальный срок жизни, вполне может быть и лажа. Но фильмы на DVD[,] купленные ~10 лет назад[,] сейчас не запускаются ни один из нескольких десятков. Из обсуждения За многие годы у меня скопилась...
Ошибки операторов ПДн, связанные с кадровой работой
Прошло более 10-ти лет с момента принятия Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», однако надзорная деятельность Роскомнадзора показывает, что далеко не все еще освоились с практикой его применения. В частности, в статистике за 2016-й год явно просматривается одна из...