Скрытая угроза: как мы нашли идейные атаки шифровальщиков от Key Wolf
Зафиксирована новая угроза: группа Key Wolf распространяет среди российских пользователей вредоносную программу, запускающую шифрование файлов. Наши эксперты первыми обнаружили распространение вредоноса. Рассказываем, как это работает и что делать. Читать...
Хакнуть k8s: разбор пэйлоадов и способов защиты
Привет, меня зовут Лев Хакимов, я — DevOps-инженер. Одно время работал над проектом Госуслуг, а сейчас в брокерской платформе в Сбере. Уже больше двух лет играю в CTF команде ONO, которая даже как-то вошла в ТОП-10 по России, а ещё я — один из организаторов VrnCTF, Воронежского CTF для школьников и...
Топ самых интересных CVE за февраль 2023 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за февраль 2023 года! Читать далее...
Обзор уязвимостей DACL
В этой статье рассмотрим последние уявзимости, которые были найдены за последние несколько лет. Основной критерий отбора уязвимостей — работа с DACL, что можно делать с системой, если подобные уязвимости попадаются в операционной системе. В качестве исследуемых будем использовать CVE-2022–25 365 и...
[Перевод] Эксплойтинг браузера Chrome, часть 2: знакомство с Ignition, Sparkplug и компиляцией JIT в TurboFan
В моём предыдущем посте мы впервые погрузились в мир эксплойтинга браузеров, рассмотрев несколько сложных тем, которые были необходимы для освоения фундаментальных знаний. В основном мы изучили внутреннюю работу JavaScript и V8, разобравшись, что такое объекты map и shape, как эти объекты...
(Не)безопасная разработка: как выявить вредоносный Python-пакет в открытом ПО
Открытое ПО сегодня привлекает повышенное внимание с разных сторон — разработки, бизнеса, технологий. Естественно, и его безопасность стоит отдельным вопросом, ведь злоумышленники также активно интересуются open source и создают угрозы для безопасной разработки. Доставка вредоносного кода через...
Топ самых интересных CVE за январь 2023 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за январь 2023 года! Читать далее...
Завхоз ландшафта в поисках хозяина дыры: зачем и как я шантажирую начальство
Защищать данные — это как лечить хронь вроде диабета. С одной стороны, пациент менеджмент понимает, что пренебрегать правилами нельзя, а с другой — думает, что глазки отвалятся потом и вообще не факт, а тортик вкусный — прямо сейчас. Искушение сэкономить на ИБ неодолимо. Сама идея безопасности,...
[Перевод - recovery mode ] Перевод: Топ-5 лучших практик управления уязвимостями
Для уменьшения поверхности атаки требуется надежное решение по управлению уязвимостями, которое поможет бороться с самыми постоянными и разрушительными киберугрозами современности. Читать далее...
Топ самых интересных CVE за декабрь 2022 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за декабрь 2022 года! Читать далее...
«Хакер»: самые громкие, яркие и важные события 2022 года в мире безопасности
До нового года осталась всего ничего, а значит, пора подвести итоги и вспомнить самые интересные, важные и странные события последних двенадцати месяцев, о которых мы писали на Xakep.ru. Мы выбрали «призеров» в десяти номинациях и расскажем о наиболее заметных атаках, взломах, утечках, фейлах и...
Системы классификации и оценки уязвимостей информационных систем: какие они бывают и зачем нужны
В отчете по результатам пентеста каждой уязвимости присваивается определенный класс опасности. Это не субъективная оценка, она основывается на общепринятых методиках. О них сегодня и поговорим. Расскажем, как принято классифицировать и оценивать уязвимости информационных систем и объясним, зачем...
Топ самых громких событий инфосека за ноябрь 2022
Всем привет! С уходом осени по традиции подводим итоги ноября в подборке самых ярких инфобез-новостей прошлого месяца. Сегодня у нас в программе пара сервисов с многолетней историей, по чью цифровую душу нагрянуло ФБР, громкие аресты видных фигур двух крупных киберпреступных группировок, а также,...
Топ самых интересных CVE за ноябрь 2022 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за ноябрь 2022 года! Читать далее...
Уязвимость в Zendesk могла позволить злоумышленникам получить доступ к конфиденциальной информации
Исследователи из Varonis Threat Labs обнаружили возможность SQL-инъекции и уязвимость логического доступа в Zendesk Explore, компоненте платформы Zendesk. Читать далее...
(не) Безопасный дайджест: потерянные учетки, компенсация за мегасливы и утечки «с ветерком»
Пришло время обсудить, что натворили хакеры и инсайдеры в ноябре. Нынешняя подборка ИБ-инцидентов серьезнее некуда: тут и кибератаки на гигантов, и фишинг, и даже забывчивые сотрудники, действия которых стоили компании клиентских данных. Читать далее...
Микроаудит за 10 тысяч долларов: новая волна атак на MS Exchange в РФ
Последние несколько месяцев российские компании становятся жертвами злоумышленников, вымогающих деньги за непубликацию конфиденциальных данных под видом аудита безопасности. На деле мошенники проверяют лишь наличие одной уязвимости в Microsoft Exchange. С августа 2022 года мы фиксируем волну атак...
Бумажек — меньше, денег — больше: почему багхантеру полезно быть самозанятым?
Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат. Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа...