[recovery mode] Почему я перепроверяю записанные данные, или История одного расследования…
Недавняя хабрастатья о различиях в побайтово идентичных файлах вызвала из глубин памяти (и почтового ящика) небольшой кусочек моей переписки с одним из инженеров, отвечавших в то время за линию дисков MPG в компании Fujitsu. Для удобства англонеговорящих читателей, привожу перевод перевод под...
«ВКонтакте» не только не платит пользователям за найденные уязвимости, но и не рассматривает их
По моему скромному мнению, баги из разряда банальных SQL инъекций в GET параметрах и выполнение команд через пайп уходят в далёкое прошлое. Различные фреймворки разрабатывающиеся десятками и сотнями людей, автоматизированное тестирование и лучшие практики программирования практически не оставляют...
Security Week 52-53: бэкдор у Juniper с толстым слоем криптографии, винтажная Java, гопо-bug bounty
В тот момент, когда елка уже стоит, но салаты еще не нарезаны, самое время в последний раз в этом году поговорить о новостях безопасности. На прошлой неделе я отчитался о «нестандартных» лучших новостях года, и в общем-то за оставшееся время ничего особенного не произошло. Хотя нет, есть одна...
Как я искал (и нашел) разницу в двух побайтово идентичных файлах
Есть у нас одно .NET-приложение, которое умеет загружать и использовать плагины. Плагины — дело хорошее. Можно функционал расширять, можно оперативненько обновлять их со своего сайта, можно даже юзерам дать SDK и позволить писать свои плагины. Мы всё это и делали. Наши плагины представляли собой...
[Из песочницы] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 29. «One Plat and Six Classics»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
Ботнет из тысяч взломанных роутеров Aethra использовался для атаки на Wordpress-сайты
Итальянская компания VoidSec, работающая в сфере информационной безопасности, опубликовала материал о недавно обнаруженном ботнете из роутеров Aethra. Как оказалось, эти устройства подвержены взлому, а злоумышленники используют ботнеты из таких устройств для проведения брутфорс-атак на сайты...
GOTPass: новая беспарольная система аутентификации пользователя
За прошедшие несколько лет неоднократно высказывалась мысль о том, что метод аутентификации пользователя при помощи паролей несколько устарела. Некоторые компании, соглашаясь с этим мнением, стараются создать новые системы аутентификации, которые были бы более безопасными стандартных методов, и...
Что случилось с google public dns в России?
Это не тостер, но проблема проявилась по всей России пару часов назад. Адрес 8.8.8.8 не работает, хотя пингуется. Может кто знает, что случилось? Адрес 8.8.4.4 тоже не отдаёт записи. P.S. Если кто увидит этот пост, хоть у себя на серверах поправит, если использовался сей DNS. Проверять либо dig...
[Из песочницы] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 28. «Carder Court»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
Let’s Encrypt в Plesk-панели
3 декабря вышел публичный релиз беты Let's Encrypt. Это радостное событие уже освещалось на Хабре. Кратко напомню, эта штука дает возможность установить бесплатный доверенный сертификат на сайт. Помимо бесплатных сертификатов, Let's Encrypt еще инструмент для выписывания, обновления,...
[Из песочницы] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 26. «What’s in Your Wallet?»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
Microsoft начинает активную борьбу с adware типа Superfish
Источник фото: Shannon Stapleton/REUTERS Корпорация Microsoft объявила о намерении «обнаруживать и удалять» небезопасное adware с пользовательских ПК на Windows OS, начиная с 2016 года. Это решение было принято для предотвращения повторения проблемы с программным обеспечением ПК от Lenovo. В...
Вливаемся в tox-сообщество или установка ноды за 5 минут
Приветствую тебя, о жадный читатель, буквоед и борец за справедливость в интернетах! В нашей оружейной пополнение, называется оно tox. Сейчас я покажу тебе, %username%, его сборку-разборку. Есть такая замечательная система, которая называется TOX. Вот их оффициальный сайт, а вот профиль на github....
Google тестирует «беспарольный» вход
Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit. Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 24. «Exposure»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 23. «Anglerphish»
В 23 главе речь пойдет о хитрожо неуловимом (почти как в фильме «Поймай меня, если сможешь») преступнике, который водил ФБР вокруг пальца, при этом ухитрился проворачивать дела, пока стучал спецслужбам, но в конце концов погорел из-за женщины, но сумел выпутаться и сбежать. А еще он в лучших...
Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft
Не так давно корпорация Microsoft объявила о скором завершении поддержки TLS и SSL сертификатов, где используется алгоритм хэширования SHA-1. Перед этим аналогичное заявление сделало и руководство Mozilla. Сейчас и корпорация Google решила поступить таким же образом, прекратив поддержку SHA-1 до 1...
[Перевод] Прогноз 2016: атаки на Android и масштабные инфекции – одни из основных угроз безопасности
Опубликованы прогнозы основных проблем IT-безопасности в 2016 году от производителя облачных решений безопасности Panda Security. Наступающий год будет наполнен угрозами, которые могут негативно отразиться на домашних пользователях, небольших компаниях и крупных корпорациях. Объемы создания и...