Pull to refresh

Mozilla выявила опасность нулевого дня и призвала пользователей обновить браузер

Firefox Information Security *Browsers
imageФото: Doug Belshaw/Flickr

Mozilla Firefox выпустила патч для устранения уязвимости нулевого дня под названием CVE-2019-17026. Пользователей призвали срочно загрузить обновление, так как о бреши узнали злоумышленники.

Эту рекомендацию поддержало Агентство по кибербезопасности и безопасности инфраструктуры США. Там отметили, что уязвимость позволяет хакерам получить полный контроль над системой жертвы.
Читать дальше →
Total votes 19: ↑17 and ↓2 +15
Views 15K
Comments 10

Система защиты Safari позволяла следить за пользователями. Apple исправила ошибку после письма из Google

Information Security *Browsers IT-companies
image

Специалисты Google выявили множественные уязвимости в системе защиты от слежения веб-браузера Safari. Они написали об этом коллегам из Apple в конце лета 2019 года, а корпорация отчиталась об устранении ошибок лишь в декабре.

Уязвимости нашли в ITP (Intelligent Tracking Prevention), которая по идее должна защищать пользователей от отслеживания в интернете при помощи файлов cookies, в том числе, от рекламодателей. ITP добавили в Safari в 2017 году.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 4.4K
Comments 2

Эксперт: Хакеры могут использовать Web Audio API для снятия цифрового отпечатка

Information Security *API *Browsers Sound
image

Специалист в области кибербезопасности Сэмюэл Уилер, который сотрудничает с MIT CSAIL и W3C Privacy Interest Group, снова поднял вопрос скрытых угроз со стороны Web Audio API, предназначенного для управления аудиоконтентом прямо в браузере. Он считает, что злоумышленники могут использовать API для несанкционированной передачи ультразвука.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 3.6K
Comments 7

На OnlyFans нашли много детского порно

Information Security *Social networks and communities IT-companies

Расследование «Би-би-си» показало, что британская служба подписки OnlyFans не может полноценно контролировать публикацию откровенных материалов несовершеннолетних. Кроме того, на сайте обнаружили порнографические ролики с пропавшими детьми.  

Читать далее
Total votes 14: ↑13 and ↓1 +12
Views 9.3K
Comments 16

Голландская группа подала иск на полтора миллиарда евро против TikTok за сбор информации

Information Security *Social networks and communities IT-companies

Голландская ассоциация потребителей Consumentenbond и фонд Take Back Your Privacy требуют от китайской компании ByteDance, создавшей TikTok, возместить голландским детям ущерб в размере полутора миллиардов евро. По словам организаций, через TikTok ByteDance незаконно собирает и продаёт предоставленную детьми информацию. 

Читать далее
Total votes 10: ↑10 and ↓0 +10
Views 3.7K
Comments 15

Китайский регулятор ввёл меры по защите несовершеннолетних в Интернете

Information Security *Legislation in IT Social networks and communities

Администрация киберпространства Китая (Cyberspace Administration of China, CAC) разработала несколько мер, ужесточающих правила распространение контента в Сети. Среди них есть запрет на онлайн-трансляции для детей младше 16 лет и расследование случаев кибербуллинга. САС уже оштрафовала несколько компаний за несоблюдение новых условий.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Views 2.1K
Comments 12

Российских хакеров обвиняют в краже и распространении данных миллиона банковских карт

Information Security *

CNBC со ссылкой на аналитиков компании по кибербезопасности Q6 сообщил о сливе в дарквеб данных миллиона банковских карт. По заверению телеканала, за этим стоит российская группировка All World Cards. 

Читать далее
Total votes 10: ↑10 and ↓0 +10
Views 1.4K
Comments 0

Twitter тестирует функцию автоматической блокировки пользователей, использующих «потенциально опасную лексику»

Social networks and communities IT-companies

Twitter рассказала о тестировании функции автоматической блокировки пользователей, реагирующей на «потенциально опасную лексику». При включенной функции система анализирует взаимодействия пользователя с другими профилями, включая переписки, упоминания и тон общения. Если система заподозрит неладное, она на неделю заблокирует доступ «агрессора» к профилю пользователя.

Читать далее
Total votes 17: ↑17 and ↓0 +17
Views 1.1K
Comments 3

Meta запустила сервис StopNCII.org для борьбы с распространением интимных фото и видео без согласия

Social networks and communities

Компания Meta, владеющая сервисами Facebook, Instagram и WhatsApp, запустила платформу StopNCII.org, которая поможет бороться с распространение интимных медиаматериалов, распространяемых без согласия автора. Сервис призван помочь людям отслеживать появление своих фотографий в социальных сетях. Руководителем проекта назначена организация  UK Revenge Porn Helpline, которая занимается этим вопросом с 2015 года.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Views 2.1K
Comments 10

Тутовый шелкопряд поможет обеспечить информационную безопасность

Cloud4Y corporate blog Information Security *

Возможно совсем скоро появится новый способ усилить цифровую безопасность. Причём способ неожиданный. Исследователи из Южнокорейского института науки и технологий Кванджу (GIST) предложили использовать шёлк тутового шелкопряда в качестве ключа безопасности. 

Читать далее
Total votes 22: ↑21 and ↓1 +20
Views 4.3K
Comments 1

Финансовая безопасность во фрилансе

Freelance
Если верить статистике, то на сегодняшний день все больше людей предпочитает зарабатывать деньги, не имея вышестоящего начальства. Да-да, я имею в виду фриланс (а для тех, кому новомодные словечки не по душе – речь идёт о надомной работе). И если раньше так работали люди преимущественно с западных стран, то в последнее время волна докатилась и до нас.

Естественно, надомная работа, как и все остальные виды занятости, имеет как свои отрицательные, так и положительные стороны. Если рассматривать каждый такой момент, получится как минимум трактат, а как максимум докторский диссер или же увесистая книженция. А посему в данной заметке коснусь лишь одного аспекта – как максимально обезопасить себя от заказчиков, желающих получить результаты ваших трудов совершенно бесплатно.

Читать дальше →
Total votes 15: ↑8 and ↓7 +1
Views 1K
Comments 8

На Defcon представлена Android-программа для проверки надежности защиты компьютерных сетей

Information Security *


Специалисты израильской компании, специализирующейся на сетевой безопасности, выбрали платформу Android в качестве основы для работы своей программы Android Network Toolkit. Это ПО было представлено на конференции Defcon, и предназначено для проверки надежности защиты компьютерных сетей. При этом программка равным образом может служить отмычкой плохо защищенных сетей в руках злоумышленников (в общем-то, программы подобного рода всегда были «двулики», так сказать). Стоит отметить, что ребята, разработавшие этот софт, собираются выложить Android Network Toolkit в общий доступ в течение нескольких дней, сделав программу доступной для всех. В общем-то, это хорошо, с одной стороны, поскольку специалисты по сетевой безопасности смогут получить довольно солидный функционал, в виде мобильного приложения. С другой стороны, любой злоумышленник сможет «проверять» беспроводные сети везде, где эти сети есть. О том, что умеет программка — в продолжении.

Читать дальше →
Total votes 48: ↑41 and ↓7 +34
Views 4.3K
Comments 41

Использование стандарта IEEE 802.1x в сети передачи данных

IT Infrastructure *
802.1x — это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Благодаря стандарту 802.1x можно предоставить пользователям права доступа к корпоративной сети и ее сервисам в зависимости от группы или занимаемой должности, которой принадлежит тот или иной пользователь. Так, подключившись к беспроводной сети или к сетевой розетке в любом месте корпоративной сети, пользователь будет автоматически помещен в тот VLAN, который предопределен политиками группы, к которой привязана учетная запись пользователя или его рабочей станции в AD. К данному VLAN будет привязан соответствующий список доступа ACL (статический, либо динамический, в зависимости от прав пользователя) для контроля доступа к корпоративным сервисам. Кроме списков доступа, к VLAN можно привязать политики QoS для контроля полосы пропускания.
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views 142K
Comments 8

Облака в применении к ИБ: некоторые неочевидные следствия

Information Security *
Sandbox

Введение



Не секрет, что мы наблюдаем бурное развитие облаков aka Clouds. Все и вся переезжает в эти самые облака. Но какую пользу (и вред) мы из этого можем извлечь с точки зрения ИБ?

Рассмотрим новые возможности и новые угрозы.

Вот, тезисные посылки, чтобы уменьшить сумбурность изложения.

1. Хранить в облаках — небезопасно.
1.1. Не надо хранить там ваши пиратские коллекции.
1.2. Прятать надо грамотно, разбавляя шумом.
1.3. Толика здоровой паранойи не помешает, шифруем сами.

2. Обрабатывать в облаках — выгодно.
2.1. Для этого надо строить облачные сервисы по-новому.
2.2. Пережить атаки теперь проще.

3. Злым хакерам теперь тоже проще — собрать ферму для взлома паролей может каждый.
3.1. Используем пароли побезумнее и подлиннее, не из словаря.
3.2. Используем Keepass и аналоги для управления паролями.
3.3. Везде где можно — переходим на ключи.

Читать дальше →
Total votes 55: ↑36 and ↓19 +17
Views 3K
Comments 20

Хранение паролей в Ozon.ru

Information Security *
Недели две назад на Хабре обсуждался взлом паролей на Linkedin. Типа, алгоритм шифрования старый, соль не используется и т.д. Это все мелочи.

Решил я вспомнить пароль от своего аккаунта на Озоне (давно не заходил туда, около двух лет). В соответствующей форме внес свой email и вот, что получил:

Читать дальше →
Total votes 102: ↑73 and ↓29 +44
Views 9.3K
Comments 97

vPass: страничка на Javascript для максимума безопасности и минимума мучений при работе с паролями

Information Security *Website development *JavaScript *
Уважаемые Хабраюзеры,

позвольте представить вам микро-веб-приложение, которое я создал для решения своей собственной проблемы — сделать так, чтобы работа с моими паролями в Интернете была более безопасной и менее трудоемкой. Просто я приболел, и чтобы не валяться без дела, решил испытать себя и за 24 часа сделать веб-сервис, который не стыдно миру показать. Плюс еще денек ушел на написание текстов.

Сам генератор

Информация и видео-демка

image

Вкратце:
  • вам нужно запомнить один «мастер»-пароль, и vPass генерирует уникальный пароль на его основе, для каждого сайта.
  • vPass генерирует бессмысленный набор букв и цифр (по умолчанию 12 символов), которые практически невозможно угадать.
  • vPass сделан для быстрой работы с клавиатурой. Введите мастер-пароль, Ctrl-C, Ctrl-W, готово!
  • vPass не «хранит» ваши пароли (и вообще ничего не хранит). Ваш пароль никуда не передается. vPass не обменивается данными с сервером — просто скачивает html-страницу в браузер.
  • Работает на любой платформе с веб-браузером. Windows, Mac OS X, Linux, Android, iOS, Windows Phone, webOS, и любая ОС будущего!
  • Вместо «домена» сайта можно использовать любое «имя пользователя». Я генерирую таким образом пароли для Linux-пользователей.
  • Для полной уверенности, вы можете скачать vPass и запускать со своего компьютера.

Подробности
Total votes 77: ↑68 and ↓9 +59
Views 5.3K
Comments 110

WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети

Information Security *
В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Читать дальше →
Total votes 63: ↑61 and ↓2 +59
Views 302K
Comments 52

Исследователи раскрыли местонахождение аплоадеров Pirate Bay

Information Security *
Researchers Expose Locations of Pirate Bay Uploaders
(источник)
В рамках научного исследования была опубликована информация об отдельных людях и группах лиц, загружавших торрент-файлы на The Pirate Bay. Данные показывают, что большинство торрент-файлов были загружены с территории США (в большинстве случаев айпишники вели к интернет-провайдерам Comcast и Road Runner). Исследователи также заявили, что выявили «top 100»-аплоадеров и их приблизительное местонахождение.
Читать дальше →
Total votes 46: ↑44 and ↓2 +42
Views 13K
Comments 22

Политика доступа в Интернет. Или к чему все эти сложности?

System administration *
Sandbox
Усложнение политик доступа в Интернет, и к чему это приводит?

Приветствую уважаемое сообщество.

В течении четырёх лет я занимаюсь системным администрированием корпоративной локальной сети, и всё время так или иначе всплывает вопрос: «А какими политиками должен регламентироваться доступ в сеть Интернет для сотрудников компании?», каждый год лично мои ответы на данный вопрос постоянно меняются. И сегодня я бы хотел опубликовать статью которая предложит обсуждение данного вопроса, а также отразит моё мнение на этот вопрос.

Читать дальше →
Total votes 19: ↑13 and ↓6 +7
Views 27K
Comments 48

Электронная дактилоскопия средствами интернет бразуера

Information Security *
Sandbox
Поводом к написанию сего поста послужил сей вопрос, увы учетка имеет статус рид-онли => невозможно оставлять комментарии. Да и сабж слегка перерос сам вопрос.

Вопрос идентификации пользователя решается от банальным htpasswd, если пользователей по пальцам рук пересчитать; до формы логина средствами ресурса, если этот самый ресурс большой и пальцев уже не хватает; авторизация доступа к разделам ресурса решается опятьже средствами самого ресурса.
Аутентификация же хоста (и его послеющая авторизация в доступе), при условии невозможности привязки к статическому IP адресу, как было отмечено в комментариях вопроса, разруливается сертификатами.

Но голова рукам покоя не дает: надо найти альтернативый способ.
Погуглив, достаточно быстро отыскался вот такой проект и вот этот документ (pdf 500Kb). Адекватно перевести его полностью мой хилый английский не в состоянии, да и объем отбивает желание.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 5.6K
Comments 5