Security Week 31: новости с Blackhat
Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей....
NIST: SMS нельзя использовать в качестве средства аутентификации
Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью...
[Из песочницы] Грамотный аудит безопасности сайта
Безопасность веб-приложений всегда была больной темой. Говорят о ней много, но общая картина от этого практически не меняется – хакерских атак по-прежнему немало, и зачастую они весьма успешны для злоумышленников и затраты для пострадавших. С серьезной проблемой столкнулись владельцы южнокорейской...
[Перевод] Сказки Ransomwhere: Cerber на подъеме
Cerber – это относительно новое семейство шифровальщиков, от которого сильно страдают в последние несколько месяцев. В этой статье мы хотим взглянуть на некоторые техники, которые используются для заражения своих жертв. Глава 2: Cerber Читать дальше →...
Есть ли жизнь после отказа популярных браузеров от поддержки архитектуры NPAPI
Задачи строгой двухфакторной аутентификации и усиленной электронной подписи традиционно решаются с использованием средств криптографической защиты информации, выполненных в виде токенов. Для усиленной защиты от киберпреступников при работе пользователя в потенциально уязвимой среде дополнительно...
[Перевод] Контрабанда «Гамлета» при помощи кота
Оригинальное изображение Как-то мне пришла идея, что было бы неплохо иметь способ отправлять секретные сообщения замаскированные как обычные изображения. Результат я назвал Jailbird. Однажды ты обнаружил себя запертым в камере и тебе понадобилось отправить на волю информацию, чтобы провернуть одно...
Деанонимизируем пользователей Windows и получаем учетные данные Microsoft и VPN-аккаунтов
Если вы не видите эту картинку, то данные вашей учетной записи Windows уже скомпрометированы. Введение Давным-давно, когда компьютеры были одноядерными и прекрасно работали с 256 МБ RAM, а сети под управлением Windows уже использовались очень широко, ребята из Microsoft подумали, что было бы удобно...
Все драйверы режима ядра для Windows 10 (1607) теперь должны быть подписаны Microsoft
Драйвера, подписанные Microsoft, можно устанавливать и без разрешения владельца ноутбука, достаточно сертификата Microsoft (Источник: xkcd.com) В прошлом году корпорация Microsoft объявила о том, что с выходом Windows 10 все новые драйвера режима ядра будет необходимо подтверждать в Windows...
Летняя стажировка в Positive Technologies: результаты отбора и немного статистики
Не так давно мы объявили на «Хабре» о запуске новой образовательной инициативы — летней стажировке для студентов, практиков информационной безопасности, HackQuest-еров и просто любителей ИБ. Составленный экспертами Positive Technologies курс онлайн-вебинаров называется «Основы практической...
Бесконтактные платежи – на пути к доверию потребителей и разработчиков
Бесконтактные технологии постепенно становятся важной частью современной жизни – как для компаний, так и для рядовых пользователей. За последние несколько лет, например, мы могли наблюдать, как компании, работающие на рынке пассажирских перевозок, прошли путь от внедрения своих собственных систем...
Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10
В среду эксперты «Лаборатории» из команды GReAT (Global Research and Analysis Team) отвечали на вопросы пользователей сайта Reddit. Одной из ключевых тем обсуждения стала аттрибуция сложных кибератак. Тема изначально непростая. По понятным причинам инициаторы таких атак никак не анонсируют свои...
Почему в Украине всё таки есть белые хакеры
Эта статья будет ответом на недавнюю публикацию Владимира Таратушка. Причин написания статьи у меня было несколько. Первая — это показать, что белые хакеры в Украине есть. Существуют они благодаря одной из программ поощрения поиска уязвимостей, которую проводит Приватбанк. Следующая причина — это...
Positive Development User Group Picnic: безопасная разработка для каждого
Компания Positive Technologies организует Positive Development User Group Picnic — закрытую неформальную встречу для разработчиков и других IТ-специалистов. На ней мы будем рады видеть тех, кто только планирует научиться безопасной разработке или уже имеет опыт создания защищенных приложений....
Как поступить с найденной уязвимостью и что делать если нет Bug Bounty программы?
Если у вас есть информация об уязвимости и вы думаете сколько благодарности за нее вы сможете получить, то ни в коем случае не берите пример со случаев с такими компаниями, как Киевстар, МТС, ПриватБанк, да и многие другие. Ведь самое худшее, во что можно оценить стоимость уязвимости, это оплата...
Уязвимости веб-приложений: под ударом пользователи
В 70% веб-сайтов есть критически опасные уязвимости, позволяющие злоумышленникам получать доступ к сайту и причинять серьёзные неприятности не только его владельцу, но и многочисленным пользователям. По средствам разработки самыми дырявыми оказались в 2015 году приложения на Java, значительно...
Во 2 квартале 2016 шифровальщики возглавляют список кибер-атак
Кибер-пространство стало неотъемлемой частью нашей повседневной жизни. Цифровая трансформация затронула домашних и корпоративных пользователей, т.к. количество устройств, подключенных к Сети, продолжает расти. Такие понятия как «цифровой дом» или «BYOD» (Bring Your Own Device) уже являются частью...
Деньги не спят: кто побеждает в противостоянии хакеров и финансовых организаций
/ фото The Preiser Project CC В нашем блоге на Хабре мы много пишем о развитии технологий финансового рынка. С каждым годом они становятся все сложнее, а тот факт, что банки и биржи притягивают огромные деньги, не удивительно, что хакеры проявляют все более пристальный интерес к сфере финансов. Но...
Критические уязвимости в Drupal: подробности и эксплоиты
Команда безопасности проекта Drupal опубликовала исправления для целого ряда критических уязвимостей. Ошибки безопасности затрагивают как популярные плагины, так и ядро системы. Уязвимости обнаружены в модулях RESTful Web Services (используется для предоставления REST API к функциям Drupal), Coder...