Привет!
Недавно столкнулся с ситуацией взлома сайта на WordPress у своего коллеги. Появилась реклама, которая надоедливо появлялась в углу и собственно мешала полноценной работе. Также не можно было получить доступ к административной панели WordPress, стояла HTTP-авторизация. Первым делом было решено убрать эту HTTP-авторизацию и получить доступ к админке. Если вас заинтересовало как происходил процесс реинжиниринга, прошу под кат.
Читать полностью »
Злоумышленники, называющие себя KDMS Team, используя уязвимость в DNS, получили доступ к авторитативным DNS-серверам домена крупнейшего хостинг-провайдера leaseweb.com, изменили основную запись домена на 67.23.254.6 и произвели дефейс сайта.
Hello LeaseWeb
Who Are You?
Who is but the form following the function of what
and what are you is a hosting company with no security
KDMS Team: Well ,, We Can See That :P
Страница KDMS Team, на Facebook
Получение доступа к dns-серверам означает, что злоумышленники так же получили доступ к клиентским зонам доменов, располагающихся на них.
Под встраиванием в программную систему понимается процесс внедрения в неё дополнительных (сторонних) программных элементов осуществляемый таким образом, чтобы с одной стороны сохранялось её функционирование, а с другой — расширялись или изменялись её функциональные возможности.
Среди способов встраивания в ядро Linux стоит отметить способ, основанный на использовании фреймворка Linux Security Modules (далее, LSM), предназначенного для интеграции различных моделей безопасности, служащих целью расширения базовой дискреционной модели безопасности Linux (DAC).
Читать полностью »
BitTorrent Labs демонстрирует альфа-версию своего нового инструмента, который позволяет рассылать защищённые приватные сообщения. Эти сообщения не попадают ни на какой облачный сервер. Как говорят создатели, для передачи данных используется защищённое peer-to-peer соединение, благодаря чему о безопасности можно не беспокоиться.
Оценить можно здесь. Продукт бесплатен. Хм, а когда-то были платные альфы? Для того, чтобы попробовать, нужно подписаться с помощью электронной почты.
Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным сёрф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя ещё более шикарные австралийские волны, после чего, прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.
Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мёртвое, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4-х рейсов общей протяжённостью 36 часов.
Блокировка телефона по коду доступа ещё жива. Доступ к Iphone 5 через систему распознавания отпечатков пальца может быть получен даже тогда, когда вы спите. Это значит что ревнивый партнёр может прижать ваш телефон к вашему пальцу пока вы спите и прочитать все ваши сообщения, просмотреть список звонков, email и так далее.
Apple подтвердила информацию о том, что мёртвый палец не сработает. Усыпление жертвы, конечно, возможно, но интернациональным шпионам не удастся отрезать палец Примьер Министра для того чтобы получить доступ к его секретным и личным файлам. Apple также не хранит копии отпечатков пальцев на сервере, вместо этого сохраняет их в секретной зоне процессора А7, которая специально была разработана чтобы быть недоступной для хакеров и других приложений.
Читать полностью »
Вы слышали о компании QSAlpha? Вот и я нет. А они, как оказывается, уже 3 года работают над созданием системы тотальной защиты информации для смартфонов, под названием Quatrix.
И вот, буквально недавно, ими был запущен проект на Indiegogo, со смелой замашкой: собрать $3 200 000 за 30 дней, для выпуска своего собственного смартфона Quasar IV, или, как они сами его называют «шифрофона».
Хороший пример того, как должна работать программа поощрений на Фейсбуке (в отличие от той неразберихи, которая была несколько недель назад): исследователь безопасности обнаружил ошибку, которая позволяет кому угодно удалить практически любую фотографию из Фейсбука — будь то ваши личные фото, мои или Цукерберга. За это открытие он получил весьма щедрое денежное вознаграждение.
По условиям программы поощрений, те кто находит ошибки и публикует их согласно правил, получают вознаграждение. Минимальная выплата за любую ошибку составляет $500. Однако Фейсбук может заплатить и больше, в зависимости критичности найденной уязвимости. Большинство выплат, как правило, составляют $1500. В своём блоге, исследователь безопасности Арул Кумар пишет, что получил $12.500 премиальных — приблизительно 25 базовых выплат.
Читать полностью »
Предлагаю вашему вниманию краткий перевод статьи от H-Security.
Как стало известно функция «Резервное копирование» хранит пароли от ваших Wi-Fi сетей в незашифрованном виде на сервере Google.Читать полностью »
Большинство браузеров спрашивают, хотите ли вы сохранить пароль, чтобы в следующий раз, когда вы будете серфить вэб, вам было проще авторизоваться на сайте. Конечно, хотелось бы, чтобы сохраненные пароли были бы запрятаны так, чтобы никто не смог до них добраться, однако же в Хроме, как оказалось, найти их очень просто.
Читать полностью »
