Рубрика «безопасность»

в 12:09, , рубрики: безопасность, Госвеб, Мурманск, персональные данные, Текучка, метки: , , , ,

11 мая в телеграм-каналах появилось фото письма за подписью министра образования области Ольги Дзюбы директорам школ. Последние должны были до 6 вечера того же дня внести в электронную таблицу сведения об учениках и выпускниках 2018−2020 года, «склонных к нарушению дисциплины, проявляющих немотивированную агрессию», высказывающих угрозы ученикам и учителям, имевшим конфликты с ними, Читать полностью »

в 11:57, , рубрики: linux, ruvds_переводы, безопасность, Блог компании RUVDS.com, информационная безопасность, Настройка Linux, системное администрирование

Сразу предупреждаю: не копируйте примеры кода из этой статьи и не запускайте их в своей командной оболочке.

Есть люди, которые развлекают себя жестокими шутками над новичками, обманом подводя их к запуску разрушительных инструкций в командной оболочке.

Обман обманщиков: форк-бомба нового уровня - 1

Часто это принимает форму грубо замаскированных команд, вроде той, что показана ниже. Её запуск приведёт к выполнению в текущей директории команды rm -rf *, которая всё удалит. Вот эта команда:

$(echo cm0gLXJmICoK | base64 -d)

Много лет назад я наткнулся на людей, которые играли в такие игры, и решил их проучить.
Читать полностью »

в 9:45, , рубрики: IoT, безопасность, Блог компании VDSina.ru, гаджеты, Интернет вещей, информационная безопасность, Разработка для интернета вещей

S в аббревиатуре IoT означает «Security», или Как я лампу хакнул - 1

Недавно мне выдали пару настольных светодиодных ламп, чтобы улучшить освещение для видеосовещаний. Это простые ламы с тремя элементами управления: включение-отключение, температура, яркость. Благодаря тупиковому стремлению создавать IOT-устройства с приложением для монетизации данных пользователей управление температурой и яркостью — это не просто регуляторы на лампе, нет, они управляются проприетарным приложением, которые вы вынуждены (если вы, конечно, его не хакнете, но об этом позже) скачать на свой телефон или компьютер. Кроме того, для установки приложения необходимо принять условия пользовательского соглашения. После установки приложения нужно «активировать» лампу в приложении, подключив её к WiFi и Интернету.

Полный стек лампы

Теперь это не просто лампа, а целый компьютер и точка доступа к WiFi. Кроме того, он требует установки на телефон или компьютер проприетарного приложения, для которого невозможно провести аудит безопасности. Права владения — главная мера степени конфиденциальности, безопасности и свободы; если вы не владеете устройством полностью, то вами владеет разработчик (и производитель) устройства. Единственный способ вернуть лампу себе в собственность — это взломать её.
Читать полностью »

в 13:19, , рубрики: Trello, безопасность, Госвеб, Текучка, метки: , , ,

Кибербезопасники опять рассказали прессе, что открытые доски в Trello индексируются поисковыми системами. На этот раз прессу встревожили Infosecurity из Softline Group. Они пожаловались «Коммерсанту», что индексируется почти миллион публичных досок, «причем тысячи из них содержат конфиденциальную информацию».

Trello (Читать полностью »

в 9:34, , рубрики: безопасность, Блог компании RUVDS.com, информационная безопасность, Программирование, разработка

Когда разработчики вносят прямо в исходный код секретные данные, вроде паролей и ключей API, эти данные вполне могут добраться до общедоступных репозиториев.

Я — разработчик, и я признаю то, что раньше допускала попадание секретных данных в открытые GitHub-репозитории. Подобные данные, жёстко заданные в коде, всегда были проблемой в различных организациях. Я, выполняя испытания на проникновение с целью проверки систем защиты компаний, всегда в первую очередь исследую код этих компаний на наличие в нём секретных данных. Если разработчик вносит что-то вроде паролей в код, эти данные могут оказаться в общедоступных репозиториях или в пакетах приложений, а после этого могут попасть в руки злоумышленников.

Поиск секретных данных в исходном коде - 1

По мере того, как микросервисные архитектуры и приложения, построенные вокруг неких API, получают всё более и более широкое распространение, разработчики часто нуждаются в программных механизмах обмена идентификационными данными и другими секретными сведениями. А это значит, что программисты, работая с подобными данными, иногда могут совершать ошибки.
Читать полностью »

в 7:08, , рубрики: nginx, администрирование, безопасность, Блог компании Cloud4Y, информационная безопасность, конфигурация, системное администрирование
Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым - 1

Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для злоумышленников. Detectify Crowdsource подготовил список наиболее часто встречающихся ошибок, делающих сайт уязвимым для атак.

Читать полностью »

в 9:10, , рубрики: DNS, Администрирование доменных имен, атака, безопасность, Битсквоттинг, Блог компании VDSina.ru — хостинг, информационная безопасность

Битсквоттинг сайта Windows.com - 1

Недавно я вернулся к мысли о возможности совершения битсквоттинга. В статье по ссылке эта тема рассматривается очень глубоко, поэтому здесь я объясню в очень общих чертах:

Когда вы пытаетесь получить доступ к сайту по его домену, этот домен хранится в памяти вашего компьютера, устройства и т.д. в структуре, выглядящей примерно так:

01110111 01101001 01101110 01100100 01101111 01110111 01110011
w i n d o w s

Теперь представим, что компьютер перегрелся, произошла вспышка на Солнце или космический луч (вполне реальная штука) инвертировал в компьютере значение одного бита.

01110111 01101000 01101110 01100100 01101111 01110111 01110011
w h n d o w s

О нет! Теперь в памяти хранится значение whndows.com, а не windows.com! Что же произойдёт, когда придёт время создания подключения к этому домену?

nslookup whndows.com

*** can’t find whndows.com: Non-existent domain

Домен не резолвится в IP-адрес!
Оказалось, что из 32 возможных доменных имён, находящихся в одной замене бита от windows.com, 14 имён были доступны для покупки! Это довольно редкий случай — обычно такие имена покупаются компаниями, например, Microsoft, чтобы предотвратить их использование в целях фишинга. Итак, я их купил. Все. Примерно за 126 долларов.
Читать полностью »

в 10:19, , рубрики: clubhouse, безопасность, Владимир Соловьев, Госвеб, Медиа, Текучка, цензура, метки: , , , , , ,

За неделю с 8 по 15 февраля приложение Clubhouse для iOS поднялось с 12 на 1 место по скачиваниям среди бесплатных по России. «За эту неделю трафик в приложении вырос на 550%", — добавляет директор по маркетингу Yota Дмитрий Рудских.

Эксперт «Известий» считает, что в России у ClubHouse от 20 тыс. до 50 тыс. пользователей. Другой эксперт из «Фридом Финанс» предположил 15 тысяч,Читать полностью »

в 11:53, , рубрики: telegram, безопасность, Текучка, метки: , ,

В новой версии Telegram 7.4 для macOS устранены две уязвимости, которые нашел индийский кибербезопасник Дхирадж Мишра. В конце декабря он рассказал о проблемах в Telegram и получил баунти в размере €3000. Он обнаружил, что самоудаляющиеся фото и видео в секретных чатах удалялись из чатов, но оставались храниться локально на устройстве получателя.

Кроме того, Читать полностью »

в 10:41, , рубрики: безопасность, персональные данные, Текучка, Яндекс.Почта, метки: , , ,

«Служба безопасности Яндекса раскрыла факт внутренней утечки», сообщает пресс-релиз компании.

Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, Читать полностью »

123...1020...153
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js