20.02.2019
О статическом анализе начистоту
Последнее время все чаще говорят о статическом анализе как одном из важных средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения ...
Я просканировал всю Австрию и нашёл…
...IP-камеры, принтеры, АСУ ТП и многое другое Отказ от ответственности: статья — результат нескольких недель работы. О самых больших проблемах я сообщил владельцам серверов, ...
19.02.2019
Security Week 08: взлом VFEMail в прямом эфире
Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об ...
SmartCard I2C Protocol. Обмен APDU командами через I2C интерфейс
Введение Некоторое время назад я принимал участие в разработке устройства, в котором было необходимо реализовать российскую криптографию. Так как в дальнейшем предполагалось ...
Как мы DLP-систему выбирали (практический опыт)
Привет! Не так давно возникла довольно типичная ситуация — руководство дало команду «Выбрать систему защиты данных от утечки». Основной критерий выбора — способность решить ...
Вредоносные расширения для Chrome
Аудитория Одноклассников — 71 миллион в месяц. Так же, как и аудитория интернета в целом, наши пользователи подвержены распространенным угрозам безопасности: фишингу, вирусам, ...
18.02.2019
Состоялся релиз Kali Linux 2019.1
Состоялся rolling-release Kali Linux 2019.1, который содержит множество обновлений: обновленные пакеты, обновленное ядро 4.19.13, обновленные инструменты, а также 5 версию ...
OWASP Proactive Controls: cписок обязательных требований для разработчиков ПО
Предлагаем вашему вниманию Top 10 Proactive Controls for Software developers – 10 аспектов безопасности, на которых должны сосредоточиться разработчики ПО. Данная статья ...
Docker и Kubernetes в требовательных к безопасности окружениях
Прим. перев.: Оригинальная статья была написана инженером из Швеции — Christian Abdelmassih, — который увлекается архитектурой уровня enterprise, ИТ-безопасностью и облачными ...
15.02.2019
Повышение привилегий в PostgreSQL — разбор CVE-2018-10915
Не секрет, что стейт-машины среди нас. Они буквально повсюду, от UI до сетевого стека. Иногда сложные, иногда простые. Иногда security-related, иногда не очень. Но, зачастую, ...
14.02.2019
Электросамокат Xiaomi m365 подвержен взлому с возможностью удаленного управления
Наверное, если бы лет 10 назад кто-то сказал, что вскоре заряжать нужно будет не только ноутбуки и телефоны, но и самокаты, никто бы не поверил. Но сейчас это уже практически ...
Массовый взлом ВКонтакте [XSS-червь]
В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя. В данный момент уязвимость устранена.
Про мобильную приватность и Open Source
Не так давно у меня появилось желание написать целую серию статей о безопасности, приватности и анонимности в интернете. Я не хочу тратить время читателей, в очередной раз ...
DoS-атака, от которой нельзя закрыться: в закупках своя атмосфера
Закон: площадка для торгов должна обеспечить доступ любому аккредитованному участнику. Практика: один из участников регистрирует какое-нибудь ООО «Ромашка», получает ...
Change your password: тестирование парольных политик веб-сервисов
В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. И вот, спустя 4 года, мы решили обновить и ...
13.02.2019
Законопроект об «устойчивой работе» Рунета — что делать до второго чтения?
Пост с новостью о том, что Госдума в первом чтении приняла законопроект № 608767-7 «О внесении изменений в некоторые законодательные акты Российской Федерации» (в части ...
DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт
Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако ...
Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные
Привет. Это мы, VPN-сервис HideMy.name. Сейчас временно работаем на зеркале HideMyna.me. Почему? 20 июля 2018 года Роскомнадзор добавил нас в список запрещенных ресурсов из-за ...
Уязвимость runC, затрагивающая Kubernetes, Docker и containerd
Сообщество Linux занято сейчас устранением недавно обнаруженной уязвимости, которая касается средства для запуска контейнеров runC, используемого Docker, CRI-O, containerd и ...
12.02.2019
Internet Issues & Availability Report 2018–2019
While working on the annual report this year we have decided to avoid retelling the news headlines of the previous year and, though it is almost impossible to ignore memories ...
Законопроект об устойчивой работе Рунета принят в первом чтении
Источник: РИА Новости / Кирилл Каллиников Государственная Дума приняла в первом чтении законопроект об устойчивой работе интернета в России, о чем сообщают «РИА Новости». ...
Отчет о проблемах и доступности интернета в 2018-2019 годах
Здравствуй! В этом году при написании итогового документа о работе компании за год, мы решили отказаться от пересказа новостей, и хотя полностью избавиться от воспоминаний о ...
Уязвимость CVE-2019-5736 в runc, позволяющая получить права root на хосте
Прим. перев.: Минувшей ночью Aleksa Sarai, старший инженер по контейнерам из SUSE Linux, сообщил в почтовой рассылке oss-sec о критической уязвимости в безопасности runc/LXC, ...
Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит – с. Часть 2
Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит / с. Часть 1 Интересным в этой атаке было то, что нас не решились атаковать прямо, а пошли по цепочке наших ...
11.02.2019
Критическая уязвимость в антивирусных продуктах компании Zemana и не только
Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация ...