Google исправила уязвимости в Android
Google выпустила обновление безопасности для Android Nexus Security Bulletin — January 2016, которое закрывает 12 уязвимостей в этой мобильной ОС. Одна из исправленных уязвимостей CVE-2015-6636 (Remote Code Execution Vulnerability in Mediaserver) относится к типу Remote Code Execution (RCE) и...
Деанонимизация программиста возможна не только через исходный код, но и через скомпилированный бинарный файл
Не секрет, что многие разработчики программного обеспечения с открытым исходным кодом и не только, по разным причинам желают сохранить свою анонимность. Совсем недавно группа исследователей опубликовала работу, в которой описываются методы деанонимизации программиста по его стилю кодирования через...
Популярная платформа Wix подвержена утечке данных из доменной зоны
Насколько популярная, можно судить по статье в Википедии. Wix.com — международная облачная платформа для создания и развития интернет-проектов. Читать дальше →...
IBM открывает blockchain-лабораторию
Корпорация IBM совместно с некоммерческой организацией Innovate Finance планирует провести изучение потенциала технологии Blockchain с целью разработки новых методов ведения бизнеса в современных условиях. На основе этой технологии создавалась система криптовалюты Bitcoin, успешно функционирующая...
Защищаем Revel от CSRF атак
После того как наигрались с Revel и поняли что это за чудик, пора учиться готовить его к production в части безопасности. Данная заметка вполне может использоваться в любом веб-приложении, но рассказывать буду на примере простого приложения на Revel. Читать дальше →...
[Перевод] Black Hat USA 2015: полная история взлома того самого Jeep
Как Чарли Миллер и Крис Валасек взломали Jeep Cherokee. В начале своего исследования Миллер и Валасек пытались взломать мультимедийную систему Jeep через Wi-Fi. Производитель автомобиля, компания Chrysler, предлагает возможность использования Wi-Fi по подписке. Оказалось, что эту беспроводную связь...
Kill switch для OpenVPN на основе iptables
Известно, что при подключении к открытым Wi-Fi сетям ваш трафик может быть легко прослушан. Конечно, сейчас всё больше и больше сайтов используют HTTPS. Тем не менее, это ещё далеко не 100%. Возникает естественное желание обезопасить свой трафик при подключении к таким открытым Wi-Fi сетям....
Microsoft уведомит пользователей о state-sponsored кибератаках
Компания Microsoft опубликовала у себя в блоге информацию о дополнительных мерах по обеспечению безопасности пользователей. Она будет сообщать своим пользователям о том, что их аккаунты Microsoft, включая, Outlook.com и OneDrive были скомпрометированы лицом или группой лиц, относящихся к...
Безопасность веб-ресурсов банков России
В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами. Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие...
ДДос, возможные варианты борьбы…
Возможно ли (думаю, что возможно) с помощью всплывающего окна оповестить-замедлить Ддос с текущего компьютера пользователя(не секрет, что большинство Ддос атак идёт с заражённых компьютеров ничего не подозревающих пользователей). Почему бы брандмауэру windows, или крутым файерволам типа Касперского...
[Из песочницы] Почему важно не выдавать пользователям простой пароль
В начале года во всех (ну почти) школах Москвы ввели новый электронный дневник. Его использование было обязательно. Разработчиком этого «великолепного» творения был Департамент ИТ города Москвы. Хоть и красивый дизайн, который доступен пользователям Chrome, внушал, что журнал хорош, на деле было...
[Из песочницы] Printf Oriented Programming
Intro К своему удивлению не нашел статей на хабре по этой теме и этой статьей я хотел бы исправить положение дел. В ней я постараюсь максимально доходчиво рассказать со стороны атакующего о Format String Attacks, однако с некоторыми упрощениями. На практике они достаточно просто разрешаются, но не...
Мобильные приложения и PA-DSS
Автор: Роман Денисенко, старший инженер по тестированию. Из-за специфики моей работы, мне часто задают вопросы вида «у нас есть прекрасное мобильное приложение, и мы собираемся добавить в него возможность платежей банковскими картами. Но мы немного обеспокоены по поводу стандарта PCI PA-DSS. Что...
Компания Adobe выпустила экстренный патч для исправления критических уязвимостей Flash Player
В понедельник 28 декабря компания Adobe выпустила экстренное обновление безопасности, закрывающее 19 уязвимостей в продукте Flash Player. Обнаруженные ошибки безопасности могут быть использованы злоумышленниками для исполнения вредоносного кода на компьютере жертвы, получая над ним полный контроль....
[Перевод] От ИИ и наук о данных до криптографии: исследователи Microsoft дают 16 предсказаний на 2016 год
В прошлом месяце Microsoft выпустила книгу “Future Visions” – антологию небольших историй, написанных некоторыми современными научными фантастами, основываясь на общении с исследователями Microsoft и посещения их лабораторий. Электронная версия книги доступна бесплатно на Amazon и других сайтах....
Сборка и настройка FreeRADIUS 3 с поддержкой SQLITE
Доброго дня, уважаемые. Хочу поделиться с Вами решением одной творческой задачи. Надеюсь кому-то будет полезно. Итак, ДАНО: маломощная железка с arm процессором и собранный под нее и установленный Debian 7 wheezy. ЗАДАЧА: поставить FreeRADIUS 3.0.X, настроить его на работу с БД SQLITE. Т.е.,...
Сканеры безопасности: автоматическая классификация уязвимостей
Растущее количество угроз вынуждает разработчиков средств анализа защищенности постоянно усовершенствовать свои решения. Сейчас на рынке ИБ представлен широкий выбор сканеров безопасности от различных производителей, которые разнятся по своей эффективности. Это делает невозможным выпуск новых...
И еще раз о необходимости закрывать базы
DataBreaches.net сообщает о найденной базе персональных данных 191 млн избирателей США. Сайт на данный момент лежит под хабраэффектами, google cache. Исследователь Chris Vickery, ранее уже находивший не защищенные как следует многомиллионные базы аккаунтов, рассказал о наличии неограниченного...