Рубрика «информационная безопасность»

МИФИ организует олимпиаду по информационной безопасности для студентов - 1

Совсем скоро, 21-23 апреля 2017 года, состоится всероссийская студенческая олимпиада по информационной безопасности. Соревнование проходит на базе Национального исследовательского ядерного университета «МИФИ» при участии Positive Technologies. Принять участие в олимпиаде могут студенты в возрасте 18 до 25 лет.Читать полностью »

На Docs.com доступны для поиска конфиденциальные документы пользователей Office365 - 1
Docs.com с новым логотипом Doxs.com. Предложение ребрендинга от Кевина Бьюмона. Иллюстрация: Кевин Бьюмон

Docs.com — публичный хостинг документов для пользователей Office365. Не все пользователи Microsoft являются грамотными специалистами. Некоторые вообще не понимают, что делают. По неизвестной причине люди публикуют на публичном хостинге Docs.com свои конфиденциальные документы, в том числе списки паролей, номера социального страхования, детали SWIFT-кодов, банковские счета, инвестиционные портфели, бракоразводные соглашения, приглашения на работу и многое другое.

По едкому замечанию одного из специалистов, после такой истории с массовым «самодоксингом» уместно переименовать Docs.com в Doxs.com. Он даже нарисовал новый логотип (см. выше).
Читать полностью »

В веб-сервере посудомоечной машины Miele обнаружена уязвимость - 1
Несколько посудомоечных машин-дезинфекторов Miele Professional PG 8528. Фото: Miele

В списке рассылки Seclists опубликована информация о необычной уязвимости CVE-2017-7240. Это уязвимость типа Directory Traversal в веб-сервере. Казалось бы, что такого странного? Подобные уязвимости находят сплошь и рядом. Но здесь речь идёт о веб-сервере… посудомоечной машины! В данном случае дыра найдена в промышленной посудомойке-дезинфекторе модели Miele Professional PG 8528 со встроенным Ethernet, веб-сервером и доступом в Интернет. Такие дезинфекторы применяют в больницах, научных лабораториях и т. д.
Читать полностью »

Нашумевшая новость об утечке архива ЦРУ чаще всего преподносилась в контексте того, что спецслужба США могла подслушать, подсмотреть, узнать о нас с телефонов, компьютеров и даже телевизоров. Предлагаем вашему вниманию информацию об одном из их проектов с необычным названием Rain Maker. Он представляет собой набор утилит, направленный на скрытый сбор информации на исследуемом объекте, не подключенном к сети Интернет. Агент получает специальную флешку с музыкой и portable VLC-плеером, подключает ее к компьютеру жертвы и спокойно работает под современные хиты. Закончив работу, передает флешку со скрытыми на ней и зашифрованными данными координатору, который отправляет ее в центр на расшифровку. Как это реализовано технически?

Как ЦРУ вызывало дождь: использование Rain Maker для сбора сведений с закрытых объектов - 1

* Из архива ЦРУ к этому проекту. У агентов тоже есть юмор!
Читать полностью »

Pentestit Security Conference 2017: анонс - 1

Коллеги и друзья! 15 июля 2017 в Орле состоится Pentestit Security Conference — конференция, посвященная практической информационной безопасности: тестирование на проникновение современных сетей и систем, выявление уязвимостей телекоммуникационного оборудования, обход современных защитных средств, обнаружение и противодействие атакам, криминалистический анализ и расследование инцидентов.
Читать полностью »

Let's Encrypt выдал 14 766 сертификатов для фишинга PayPal - 1

Бесплатные сертификаты Let's Encrypt стали настолько популярными, что этот центр сертификации от Mozilla и EFF уже вошёл в число крупнейших центров сертификации в Интернете. К сожалению, возможностью получить бесплатный сертификат SSL пользуются не только обычные сайты, но и сайты для фишинга. Для них наличие зелёного значка HTTPS — важное свойство, чтобы отличие с настоящим сайтом не бросалось в глаза. Браузеры помечают такие фальшивки как «безопасные сайты».
Читать полностью »

Привет, коллеги,

в конце прошлой недели International Security Forum опубликовал очередной ежегодный отчёт о грядущих трендах ИТ-угроз бизнесу Threat Horizon 2019. Отчёт содержит подробные описания девяти основных угроз, а также информацию об их воздействии на бизнес и рекомендуемые действия.

Я также добавил перевод результатов прошлогоднего отчёта (2018). Представленная информация должна помочь ИТ и риск-менеджерам, а так же руководителям бизнеса ознакомиться с набирающими силу рисками и оценить возможные последствия.

По ссылке вы можете скачать выдержку из отчёта на английском. Прошлогодняя, позапрошлогодняя, и более ранние выдержки находятся в открытом доступе. Тем же, кто хочет ознакомиться с переводом выводов и рекомендаций из отчётов последних трёх лет — прошу под кат.

В комментариях предлагаю описать актуальность приведённых выводов и рекомендаций для вашей организации.
Читать полностью »

Security Week 12: опасная фича в Windows, китайские хакеры сломали все вокруг, инспектировать HTTPS надо с умом - 1Порой плохую фичу сложно отличить от хорошего бага. В каком-то смысле она даже хуже бага – фиксить-то ее не будут. Вот и Microsoft уже шестой год знает о симпатичной возможности перехвата сессии любого пользователя локальным администратором. Погодите, это же админ, ему все можно! Однако давайте разберемся что здесь не так.
Читать полностью »

Проверка паролей из хакерской базы iCloud - 1

Компания Apple стала жертвой вымогателей. Это очень странная история, которая началась как фарс, но сейчас всё выглядит не так однозначно. Группа хакеров, называющая себя Turkish Crime Family, первоначально заявила о краже 559 млн учётных записей iCloud и Apple ID — и потребовала от компании Apple заплатить $75 000 в Bitcoin или Ethereum, либо $100 000 гифт-картами iTunes. Крайний срок — 7 апреля. После этого хакеры якобы начнут «убивать заложников», то есть сбрасывать аккаунты к заводским настройкам.

Поначалу это выглядело довольно забавно. Кажется, это первый случай вымогательства у компьютерной компании, когда злоумышленники расценивают базу с паролями пользователей в качестве своеобразных «заложников». Они даже опубликовали видеоролик с угрозами на YouTube, где заходят в аккаунт iCloud какой-то старушки.
Читать полностью »