22.07.2019
Business Email Compromise: атака, от которой нет защиты
Киберпреступники изобрели множество вариантов кибератак, отличающихся по сложности технической реализации и эффективности. Среди них особое место занимает атака, которая ...
Security Week 30: приватность, технологии и общество
12 июля в прессе появились пока не подтвержденные официально сообщения о том, что Facebook пошел на соглашение с Федеральной Торговой Комиссией США по поводу утечки ...
Битва за аккаунт. Основатель сети Jeffrey’s Coffee подаёт в суд на ВКонтакте
Мошенники украли страницу ВКонтакте предпринимателя Алексея Миронова из-за уязвимости в системе идентификации клиентов МТС. Социальная сеть так и не вернула её владельцу и ...
21.07.2019
Проблема PGP
Криптоинженеры уже несколько десятилетий кричат о недостатках PGP. Когда это слышат обычные разработчики, то бывают крайне удивлены. Как, PGP никуда не годится? Зачем же тогда ...
Взломщики подрядчика ФСБ узнали о тайных проектах спецслужб для слежки в интернете
В середине июля неизвестная команда хакеров взломала сервер компании, которая считается одним из крупнейших подрядчиков ФСБ. Речь идет о «Сайтек», чьи сервера были ...
20.07.2019
Используем пайпы для пивотинга
Ни для кого не секрет, что корпоративные IPS становятся все умнее и умнее. Сейчас уже никого не удивишь IPS с SSL-митмом на периметре сети или даже внутри корпоративной сети ...
19.07.2019
Firefox пометит все HTTP-страницы как «небезопасные»
Вслед за Google Chrome браузер Mozilla Firefox начнёт помечать HTTP-страницы значками «небезопасно». Изменения вступят в силу в версии Firefox 70, выход которой запланирован ...
Как я Telegram ломал
Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм ...
Google и Facebook следят за нами даже на порносайтах
Исследователи из Microsoft, университета Карнеги — Меллона и университета Пенсильвании проверили 22 484 порносайта и обнаружили, что 93% из них передают данные о посетителях ...
Казахстан внедряет свой CA для прослушивания всего TLS-трафика, продолжение
В 2015 и 2016 годах были новости о том, что Казахстан внедряет сертификат для прослушивания HTTPS-траффика. Об этом писали в новостях и на Хабре. Сегодня, 18 июля, всем ...
Про пытки Джулиана Ассанжа
Автор оригинальной статьи — профессор Нильс Мельцер (Nils Melzer), спец. докладчик ООН по пыткам. Я понимаю, что на первый взгляд это кажется бредом. Как может жизнь в ...
Магазин приложений с хакерскими утилитами от Offensive Security на Android
16 июля компания Offensive Security сообщила о создании Kali Net Hunter App Store с бесплатными приложениями, связанными с информационной безопасностью.
18.07.2019
Готовтесь и вы россияне к MITM в лице государства, как это стало в Казахстане
Ну во-первых, все мобильные телекоммуникационные компании в Казахстане стали квази-государственными. А по факту в руках одной правящей семьи узурпировавшей власть в ...
Решение задания с pwnable.kr 06 — random и 09 — mistake
В данной статье узнаем как перехватить данные, передаваемые между библиотечной функцией и программой, вспомним про файловые дескрипторы и решим 6-е и 9-е задания c сайта pwnable.kr.
Как обнаружить атаки на Windows-инфраструктуру: изучаем инструментарий хакеров
С каждым годом растет количество атак в корпоративном секторе: например в 2017 году зафиксировали на 13% больше уникальных инцидентов чем в 2016 г., а по итогам 2018 — на 27% ...
17.07.2019
Дмитрий Медведев предложил прекратить выдачу бумажных паспортов на два года раньше запланированного срока
Премьер-министр Дмитрий Медведев на совещании по внедрению электронного удостоверения личности в России рассказал о нюансах подготовки основной процедуры и сроках замены ...
Большой FAQ по кибербезопасности медицинских информационных систем
Аналитический обзор угроз кибербезопасности для медицинских информационных систем, актуальных в период с 2007 по 2017 год. – Насколько распространены в России медицинские ...
Эксплуатация cookie-based XSS | $2300 Bug Bounty story
Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить ...
Руководство для начинающих по SELinux
Перевод статьи подготовлен для студентов курса «Безопасность Linux» SELinux или Security Enhanced Linux — это улучшенный механизм управления доступом, разработанный Агентством ...
Check Point Falcon Acceleration Cards — ускоряем обработку трафика
Относительно недавно мы публиковали статью про Check Point Maestro, новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check ...
Google Chrome перестанет защищать от XSS-атак?
Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции.
Race condition в веб-приложениях
TL;DR Большинство атакующих использовали ненадежные методы race condition, инструмент racepwn поможет это исправить Вася хочет перевести 100 долларов, которые есть у него на ...
Разбитое ветровое стекло Tesla Model 3 принесло хакеру $10 000 по программе Bug Bounty
Идея в том, что название хакерского автомобиля с XSS-пейлоадом всплывёт где-нибудь во внутренних системах Tesla Motors Специалист по безопасности Сэм Карри рассказал, как ему ...
The Matrix has you: обзор проектов, использующих MITRE ATT&CK
Уже давно на разных площадках обсуждается матрица MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge), в том числе есть целая серия статей здесь, на самом ...
Мегафон снял 600 рублей за бесплатную опцию
Я люблю Мегафон, и являюсь клиентом с питерских времён, именно по этому меня раздражает то, что происходит последнее время. Трачу наше с вами время и пишу не ради того чтобы ...