Рубрика «безопасность»

DJI беспилотники добавили режим конфиденциальности на свои самолеты

Самый продаваемый в мире производитель беспилотных летательных аппаратов добавляет режим конфиденциальности на свои самолеты, чтобы предотвратить передачу данных по рейсу в Интернет.

Объявление обнародовали через две недели после того, как выяснилось, что американская армия запретила войскам использовать оборудование китайской фирмы из-за неурегулированных проблем кибербезопасности.

Читать полностью »

Соединения USB могут «сливать» личные данные

Эксперты на днях обнаружили, что вездесущие USB-соединения, которые используют для подключения всех устройств к ПК, подвержены «утечке» данных.

Специалисты во главе с доктором Ювалем Уаромом в Школе компьютерных наук при Университете Аделаиды предоставила пользователям еще одну причину, чтобы не соединять что-либо с их компьютерами, если у них нет ко всему этому «полного доверия».

Читать полностью »

На прошлой неделе мы рассказывали о том, как в реестре npm обнаружили несколько десятков пакетов, которые воруют данные из переменных окружения. Случилось это в начале августа и вызвало волну интереса к безопасности npm-пакетов. В комментариях к предыдущему материалу совершенно справедливо отмечено, что проблема неблагонадёжных пакетов существует со дня появления пакетных менеджеров, что, хотя сейчас всё более или менее спокойно, никто не застрахован от проблем самого разного масштаба. Например, вредоносный код, внедрённый в очередное обновление какого-нибудь популярнейшего пакета, способен вызвать настоящую катастрофу. Поиск опасных пакетов — дело непростое, к нему подходят с разных сторон. Сегодня мы хотим поделиться с вами рассказом о том, как в Duo Labs устроили охоту на вредоносные npm-пакеты.

Охота на вредоносные npm-пакеты - 1
Читать полностью »

Amazon «рассчитается» с клиентами, которые приобрели подозрительные очки от затмения

Amazon возместит неудачные покупки своих клиентов. Люди купили защитные очки от солнечного затмения, но их качество не подтвердилось. Некоторые продавцы даже сбывали небезопасные версии, — информируют СМИ.

Страницы продуктов, такие как «MASCOTKING Solar Eclipse Glasses 2017 — сертифицированные CE и ISO очки для прямого «просмотра Солнца» — были немедленно удалены из сайта.

Читать полностью »

Компьютер можно сломать с помощью синтетической ДНК, — результаты исследования

Команда ученых доказала тот факт, что компьютер может быть взломан через вредоносный код, встроенный в синтетическую ДНК. Это действительно создает серьезную угрозу безопасности, которая может представлять значительную проблему в будущем.

Исследовательская группа из Вашингтонского университета продемонстрировала, как исполняемый код может быть встроен в синтетические нити ДНК.

Читать полностью »

Однажды я отправился на поиск учебных руководств по аутентификации в Node.js/Express.js, но, к сожалению, не смог найти ни одного, которое меня бы полностью устроило. Некоторые были неполными, некоторые содержали ошибки в сфере безопасности, вполне способные навредить неопытным разработчикам.

Сразу скажу, что я всё ещё нахожусь в поиске надёжного, всеобъемлющего решения для аутентификации в Node/Express, которое способно составить конкуренцию Devise для Rails. Однако, удручающая ситуация в сфере руководств подвигла меня на подготовку этого материала. Тут я разберу некоторые наиболее распространённые ошибки в области аутентификации и расскажу о том, как их избежать.

image
Читать полностью »

Соцсети WeChat, Weibo и Baidu находятся под следствием

Крупнейшие в Китае платформы социальных сетей — Weibo, WeChat и Baidu Tieba — находятся под следствием за предполагаемые нарушения законов о кибербезопасности.

Администрация Управления по киберпространству Китая заявила о том, что люди используют интернет-платформы для распространения материалов, связанных с терроризмом, слухами и различными «непристойностями».

Нарушения «поставили под угрозу национальную безопасность», — сказали в администрации.

Читать полностью »

Федеральное агентство по делам молодёжи допустило множественные утечки персональных данных участников форума «Арктика. Сделано в России». В открытом доступе отказалось два документа, содержавшие, в частности, номера паспортов участников. Причем данные пролежали в открытом доступе уже минимум две недели. Документы ищутся на сайте Росмолодёжи через «Яндекс» или Google.

Читать полностью »

image
Привет, GT! Я прочитал пост MikhailNsk, и мой мозг перенес меня в 2016 год, где я случайно наткнулся на проблему с подменой адресов у Яндекс.Почты. Сама угроза заключается в том, что письма, с точки зрения, DMARC и SPF являются полностью валидными. Этому подвержены не только пользователи Почты, но и организации, которые используют в качестве почтовика со своим доменом Яндекс.ПДД и Яндекс.Коннект (для примера, это всем известный и везде рекламируемый «майловский» GeekBrains), а это уже куда серьезнее. Уязвимость на данный момент работает, письмо проходит все проверки и доставляется куда-угодно (включая GMAIL). Реализация и реакция Яндекса под катом.Читать полностью »

Про PKI «на пальцах» за 10 минут - 1

Предложил коллегам провести внутреннюю мини-лекцию по сабжу — идея зашла. Сел писать план лекции и… чот психанул — в итоге очнулся, дописывая небольшой гайд. Подумал, что будет полезно добавить сюда что-то для быстрого понимания, что такое PKI, зачем она нужна и как работает, так как пока готовился, чтобы освежить память, искал информацию в том числе на полюбившемся «Хабрахабре», но статей в таком формате не нашел.

Пишу на примере наших повседневных задач, которые знакомы многим: беспарольный доступ к серверам OpenVPN и защита доступа к ресурсам с помощью HTTPS.Читать полностью »