Информационная безопасность

20.02.2019

О статическом анализе начистоту

О статическом анализе начистоту


Последнее время все чаще говорят о статическом анализе как одном из важных средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения ...
Я просканировал всю Австрию и нашёл…

Я просканировал всю Австрию и нашёл…


...IP-камеры, принтеры, АСУ ТП и многое другое Отказ от ответственности: статья — результат нескольких недель работы. О самых больших проблемах я сообщил владельцам серверов, ...

19.02.2019

Security Week 08: взлом VFEMail в прямом эфире

Security Week 08: взлом VFEMail в прямом эфире


Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об ...
SmartCard I2C Protocol. Обмен APDU командами через I2C интерфейс

SmartCard I2C Protocol. Обмен APDU командами через I2C интерфейс


Введение Некоторое время назад я принимал участие в разработке устройства, в котором было необходимо реализовать российскую криптографию. Так как в дальнейшем предполагалось ...
Как мы DLP-систему выбирали (практический опыт)

Как мы DLP-систему выбирали (практический опыт)


Привет! Не так давно возникла довольно типичная ситуация — руководство дало команду «Выбрать систему защиты данных от утечки». Основной критерий выбора — способность решить ...
Вредоносные расширения для Chrome

Вредоносные расширения для Chrome


Аудитория Одноклассников — 71 миллион в месяц. Так же, как и аудитория интернета в целом, наши пользователи подвержены распространенным угрозам безопасности: фишингу, вирусам, ...

18.02.2019

Состоялся релиз Kali Linux 2019.1

Состоялся релиз Kali Linux 2019.1


  Состоялся rolling-release Kali Linux 2019.1, который содержит множество обновлений: обновленные пакеты, обновленное ядро 4.19.13, обновленные инструменты, а также 5 версию ...
OWASP Proactive Controls: cписок обязательных требований для разработчиков ПО

OWASP Proactive Controls: cписок обязательных требований для разработчиков ПО


Предлагаем вашему вниманию Top 10 Proactive Controls for Software developers – 10 аспектов безопасности, на которых должны сосредоточиться разработчики ПО. Данная статья ...
Docker и Kubernetes в требовательных к безопасности окружениях

Docker и Kubernetes в требовательных к безопасности окружениях


Прим. перев.: Оригинальная статья была написана инженером из Швеции — Christian Abdelmassih, — который увлекается архитектурой уровня enterprise, ИТ-безопасностью и облачными ...

15.02.2019

Повышение привилегий в PostgreSQL — разбор CVE-2018-10915

Повышение привилегий в PostgreSQL — разбор CVE-2018-10915


Не секрет, что стейт-машины среди нас. Они буквально повсюду, от UI до сетевого стека. Иногда сложные, иногда простые. Иногда security-related, иногда не очень. Но, зачастую, ...

14.02.2019

Электросамокат Xiaomi m365 подвержен взлому с возможностью удаленного управления

Электросамокат Xiaomi m365 подвержен взлому с возможностью удаленного управления


Наверное, если бы лет 10 назад кто-то сказал, что вскоре заряжать нужно будет не только ноутбуки и телефоны, но и самокаты, никто бы не поверил. Но сейчас это уже практически ...
Массовый взлом ВКонтакте [XSS-червь]

Массовый взлом ВКонтакте [XSS-червь]


  В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя. В данный момент уязвимость устранена.
Про мобильную приватность и Open Source

Про мобильную приватность и Open Source


Не так давно у меня появилось желание написать целую серию статей о безопасности, приватности и анонимности в интернете. Я не хочу тратить время читателей, в очередной раз ...
DoS-атака, от которой нельзя закрыться: в закупках своя атмосфера

DoS-атака, от которой нельзя закрыться: в закупках своя атмосфера


Закон: площадка для торгов должна обеспечить доступ любому аккредитованному участнику. Практика: один из участников регистрирует какое-нибудь ООО «Ромашка», получает ...
Change your password: тестирование парольных политик веб-сервисов

Change your password: тестирование парольных политик веб-сервисов


В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. И вот, спустя 4 года, мы решили обновить и ...

13.02.2019

Законопроект об «устойчивой работе» Рунета — что делать до второго чтения?

Законопроект об «устойчивой работе» Рунета — что делать до второго чтения?


Пост с новостью о том, что Госдума в первом чтении приняла законопроект № 608767-7 «О внесении изменений в некоторые законодательные акты Российской Федерации» (в части ...
DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт

DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт


Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако ...
Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные

Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные


Привет. Это мы, VPN-сервис HideMy.name. Сейчас временно работаем на зеркале HideMyna.me. Почему? 20 июля 2018 года Роскомнадзор добавил нас в список запрещенных ресурсов из-за ...
Уязвимость runC, затрагивающая Kubernetes, Docker и containerd

Уязвимость runC, затрагивающая Kubernetes, Docker и containerd


Сообщество Linux занято сейчас устранением недавно обнаруженной уязвимости, которая касается средства для запуска контейнеров runC, используемого Docker, CRI-O, containerd и ...

12.02.2019

Internet Issues & Availability Report 2018–2019

Internet Issues & Availability Report 2018–2019


While working on the annual report this year we have decided to avoid retelling the news headlines of the previous year and, though it is almost impossible to ignore memories ...
Законопроект об устойчивой работе Рунета принят в первом чтении

Законопроект об устойчивой работе Рунета принят в первом чтении


Источник: РИА Новости / Кирилл Каллиников Государственная Дума приняла в первом чтении законопроект об устойчивой работе интернета в России, о чем сообщают «РИА Новости». ...
Отчет о проблемах и доступности интернета в 2018-2019 годах

Отчет о проблемах и доступности интернета в 2018-2019 годах


Здравствуй! В этом году при написании итогового документа о работе компании за год, мы решили отказаться от пересказа новостей, и хотя полностью избавиться от воспоминаний о ...
Уязвимость CVE-2019-5736 в runc, позволяющая получить права root на хосте

Уязвимость CVE-2019-5736 в runc, позволяющая получить права root на хосте


Прим. перев.: Минувшей ночью Aleksa Sarai, старший инженер по контейнерам из SUSE Linux, сообщил в почтовой рассылке oss-sec о критической уязвимости в безопасности runc/LXC, ...
Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит – с. Часть 2

Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит – с. Часть 2


Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит / с. Часть 1 Интересным в этой атаке было то, что нас не решились атаковать прямо, а пошли по цепочке наших ...

11.02.2019

Критическая уязвимость в антивирусных продуктах компании Zemana и не только

Критическая уязвимость в антивирусных продуктах компании Zemana и не только


Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация ...