Исследователи клонировали ключ безопасности Google Titan, раскрыв уязвимость чипсета
Уязвимость (CVE-2021-3011) позволяет восстановить первичный ключ шифрования и обойти двухфакторную аутентификацию. Специалисты по безопасности из NinjaLab объяснили работу потенциальной хакерской атаки для токенов Google Titan на базе чипа NXP A700X, но теоретически та же схема взлома актуальна для...
Атаки на JSON Web Tokens
Содержание: Что такое JWT? Заголовок Полезная нагрузка Подпись Что такое SECRET_KEY? Атаки на JWT: Базовые атаки: Нет алгоритма Изменяем алгоритм с RS256 на HS256 Без проверки подписи Взлом секретного ключа Использование произвольных файлов для проверки Продвинутые атаки: SQL-инъекция Параметр...
Данные о вакцине против COVID-19 Pfizer всплыли на русскоязычном дарквеб-форуме
Источник Исследователи из компании Cyble, специализирующейся на изучении киберугроз, обнаружили в дарквебе документы, имеющие прямое отношение к вакцине против коронавирусной инфекции COVID-19 Pfizer. Эксперты считают, что все слитые данные были украдены у Европейского агентства лекарственных...
Kawasaki Heavy Industries Сообщила об утечке данных
Источник Kawasaki Heavy Industries — является частью оборонного производства Японии и включает в свою производственную линейку, производство боевой экипировки, самолётов и вертолётов, а также детали для самолётов Boeing, Embraer, Bombardier. Компания подтвердила, что инцидент с «возможной утечкой...
Простые правила IT-гигиены
Доброго времени суток. Просторы интернета давно не являются безопасным пространством (если его вообще можно было когда-либо считать как таковым) для пользователя. Тем более необычным является то, что многие не считают нужным (или не знают как) соблюдать относительно простые правила, так называемой,...
Как стать этичным хакером в 2021 году
Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого...
Нарушение безопасности Kawasaki
Kawasaki Heavy Industries, Ltd. — японская публичная транснациональная корпорация, известная в первую очередь как производитель: Мотоциклов Двигателей Подвижного состава Судов Оборудования: Тяжелого Оборонного Аэрокосмического Компания заявила, что она подвергалась несанкционированному доступу...
Самые «громкие» утечки данных и взломы 2020 года
2020 год был одним из худших для кибербезопасности. В свете пандемии и катастрофических экономических потрясений, забота о сохранении нашей личной конфиденциальности и безопасности в Интернете ушли далеко от наших приоритетов. Исследователи за 2020 год зафиксировали огромный всплеск фишинговых атак...
Инциденты информационной безопасности, за которые CISO расстались с должностью (Часть 2)
В продолжении статьи Инциденты информационной безопасности, за которые CISO расстались с должностью решил написать еще про несколько случаев : Target Об атаке 2014 года на розничную сеть Target в США все еще говорят и в англоязычных источниках много тому подтверждени, потому что это был один из...
Крупнейшие утечки данных в 21 веке
Крупнейшие утечки данных, затрагивающие миллионы пользователей, слишком распространены. Вот некоторые из самых больших и серьезных нарушений за последнее время. "И как в этих масштабных процессах поучаствовали "Российские Хакеры" - но это не точно и в следующем посте " Вглядеться в истину...
(не) Безопасный дайджест: новые мегаутечки и один пароль на всех
Привет! Завершаем год традиционным дайджестом «классических» и нетривиальных ИБ-инцидентов, о которых писали зарубежные и российские СМИ в декабре. Нас лично впечатлило, как создатели «Чёрного зеркала» предсказали свои собственные проблемы. А вас? Читать далее...
Карантин для динамической памяти ядра Linux
2020 год. Повсюду карантин. И эта статья тоже про карантин, но он другого рода. Я расскажу об экспериментах с карантином для динамической памяти ядра Linux. Это механизм безопасности, противодействующий использованию памяти после освобождения (use-after-free или UAF) в ядре Linux. Я также подведу...
Социотехническое тестирование: какое лучше выбрать в 2021 году?
В интернете предостаточно статей о важности социотехнического тестирования. В них разбирается само понятие, методика, инструменты и почему так важно его проводить. Все просто: человек — слабое звено в системе защиты любой компании. В этой статье мы решили пойти немного дальше и поделиться своим...
Спасибо, что живой: как мы выбирали пассивный лайвнесс
Всем привет! Меня зовут Наталья Бессонова, я директор проектов блока цифровой идентичности «Ростелеком». В этой статье хочу рассказать о том, как мы выбирали пассивный лайвнесс по одному изображению лица для Единой биометрической системы. На Хабре не так много статей, посвященных лайвнесс в...
Как нас ломали на The Standoff
Опыт участия команды в киберполигоне The Standoff на стороне защиты. Привет, меня зовут Антон Калинин, я руководитель группы аналитиков центра мониторинга информационной безопасности и реагирования на компьютерные инциденты CyberART, ГК Innostage. Этой осенью мы принимали участие в киберучениях The...
HackTheBox endgame. Прохождение лаборатории Hades. Пентест Active Directory
В данной статье разберем прохождение не просто машины, а целой мини-лаборатории с площадки HackTheBox. Как сказано в описании, Hades предназначен для проверки навыков на всех стадиях атак в небольшой среде Active Directory. Цель состоит в том, чтобы скомпрометировать доступный хост, повысить...
Проверяем безопасность приложений с помощью Drozer
Drozer – обязательный инструмент в арсенале каждого пентестера. С его помощью можно быстро получить информацию о приложении и его слабых местах. Drozer предустановлен в Kali Linux и других ОС для белого хакинга. Возможности Drozer: Получение информации о пакете Определение поверхности атаки Запуск...
История о том, как я обошел защиту в компьютерном клубе Arena Arsenal
И еще раз снова привет, дорогой читатель! Здесь мы поговорим о том, как я обошел защиту в компьютерном клубе Arena Arsenal. Все это привело к тому, что я смог спокойно продолжить пользоваться компьютером без оплаты доступа и какого либо абонемента. Просто выполнил пару не особо сложных действий и...