Pull to refresh
  • by relevance
  • by date
  • by rating

Веб-безопасность 201

Конференции Олега Бунина (Онтико) corporate blog Information Security *Website development *Programming *Conferences

Сегодня — вторая часть теории, которую рассказал эксперт по информационной безопасности и преподаватель Иван Юшкевич (https://twitter.com/w34kp455) провел мастер-класс по безопасности на конференции РИТ++ на платформе hacktory.ai.

Практическую часть о том, как накрутить лайки в социальных сетях, украсть криптовалюту и получить доступ к самым большим секретам пользователей, вы можете посмотреть здесь и здесь. Первую часть можно посмотреть по этой ссылке

Сегодня рассказ будет о CSRF, XSS и XXE.

Читать далее
Total votes 15: ↑14 and ↓1 +13
Views 3.2K
Comments 3

Компания Google представила набор тестов Wycheproof

Information Security *Open source *
image

Вчера в официальном блоге компании Google, посвященному информационной безопасности, был представлен новый проект компании под названием Wycheproof.

Мы рады объявить о запуске проекта Wycheproof — наборе тестов безопасности, которые проверяют криптографические библиотеки ПО на известные уязвимости. Мы разработали более 80 тестов для разных случаев, благодаря которым обнаружили более 40 ошибок безопасности. Например, мы обнаружили, что могли бы восстановить private-key DSA и ECDHC. Также мы добавили готовые к использованию инструменты для проверки Java Cryptography Architectire, который предлагают, например, Bouncy Castle или OpenJDK.
Читать дальше →
Total votes 24: ↑23 and ↓1 +22
Views 11K
Comments 0

ВЦИОМ: каждый десятый российский пользователь хранит PIN-коды от банковских карт в компьютере

Information Security *
Треть опрошенных ВЦИОМ сталкивались с интернет-мошенничеством, из них каждый третий – более одного раза. Двенадцать человек из ста иногда хранят CVC и PIN-коды банковских карт в компьютере.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 6K
Comments 23

Хакер хакнул хакера и продаёт нахаканное

Information Security *
В подтверждение отсутствия пиратского кодекса на одном из приватных хакерских форумов, w0rm.ws, появилось предложение о продаже базы данных другого хакерского форума, Monopoly. Последний специализируется на краже номеров кредиток, ботнетах и спаме.


Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 16K
Comments 6

В чипах Intel найдена потенциально уязвимая функция

Information Security *Computer hardware


На днях стало известно о том, что компания Positive Technologies обнаружила функцию в чипах Intel, которая может использоваться злоумышленниками для получения доступа к персональной информации пользователей, а также к корпоративным данным.

Специалисты Positive Technologies сообщают о том, что Intel Visualization of Internal Signals Architecture (Intel VISA) уязвима для атак злоумышленников. Эта технология встроена в большинство процессоров и микросхем Platform Controller Hub (PCH) для современных материнских плат Intel.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 2.2K
Comments 3

Intel пыталась приуменьшить значение обнаруженной уязвимости процессора, увеличив вознаграждение программы Bounty

Information Security *Finance in IT CPU
На днях специалисты по кибербезопасности из Амстердамского свободного университета, заявили о том, что представители Intel просили команду учебного заведения приуменьшить значение обнаруженной уязвимости процессоров компании. Речь идет о проблеме RIDL (Rogue In-Flight Data Load), наличие которой Intel признала всего несколько дней назад.

Эта уязвимость входит в класс Microarchitectural Data Sampling (MDS), о котором на Хабре уже писали. Ее обнаружил студент университета Штефан ван Шайк (Stephan van Schaik). Вместе с ним проблему изучали и другие университеты и компании, но первым был именно ван Шайк в качестве представителя ВУЗа, так что лишь Амстердамский свободный университет может претендовать на Bounty-вознаграждение от Intel. Учебное заведение считается одним из ведущих ВУЗов страны и Европы.
Читать дальше →
Total votes 26: ↑24 and ↓2 +22
Views 7.3K
Comments 21

У пользователя Coinbase украли 100 тысяч долларов с помощью дубликата SIM-карты

Information Security *


Пользователь Coinbase Шон Кунс опубликовал в своем блоге на Medium подробный рассказ о том, как стал жертвой мошенничества. Злоумышленник, личность которого до сих пор не удалось установить, перевел все средства из его кошелька на Coinbase, действуя через дубликат SIM-карты.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 7.6K
Comments 31

Обнаружена уязвимость: веб-сайты и приложения могут снимать цифровой отпечаток устройств через данные калибровки

Information Security *


22 мая специалисты Кембриджского университета сообщили о новой разновидности кибератаки, которая может быть применена к большинству мобильных устройств Apple и некоторым моделям смартфонов Google. Уязвимость заключается в том, что система автоматически передает вебсайтам и приложениям данные с датчиков движения. Этого объема информации достаточно, чтобы создать уникальный идентификатор устройства и отслеживать действия его владельца в Сети.
Total votes 15: ↑15 and ↓0 +15
Views 7.7K
Comments 6

Apple подала в суд на разработчика виртуальных копий iOS-устройств

Information Security *Development for iOS *Virtualization *Debugging *Software

iPhone X и его виртуальная копия в программной среде Corellium

Корпорация Apple обвинила стартап Corellium в «незаконной продаже виртуальных копий операционных систем iPhone и iPad под видом помощи в обнаружении уязвимостей безопасности».

Apple подала иск о нарушении интеллектуальных прав в суд округа Уэст-Палм-Бич, штат Флорида. В нём сказано, что Corellium «без разрешения скопировала операционную систему, графический интерфейс пользователя и другие аспекты устройств iPhone и iPad».

Apple требует запретить деятельность компании, удалить все копии программного обеспечения, уведомить всех покупателей о том, что они нарушают закон, и выплатить ей компенсацию.
Total votes 32: ↑29 and ↓3 +26
Views 23K
Comments 35

Узбекские государственные «боевые хакеры» пострадали от антивируса Касперского

ITSumma corporate blog Information Security *Antivirus protection *Programming *Conferences
Кибервоенное подразделение службы государственной безопасности Узбекистана занимается, в том числе, разработкой боевых троянов и вирусов. Самую высокотехнологичную и трудоёмкую их часть — уязвимости нулевого дня — боевые хакеры покупали на открытом рынке. На основе уязвимостей пишутся эксплойты и интегрируются в собственное ПО.

Но на компьютерах разработчиков был установлен антивирус Касперского. Он, разумеется, успешно обнаруживал подозрительные куски кода и отправлял их в базу. Эффективность понесённых на покупку уязвимостей затрат не подлежит, таким образом, сомнению (сарказм).
Читать дальше →
Total votes 60: ↑57 and ↓3 +54
Views 29K
Comments 54

Компания D-Link не планирует исправлять уязвимость своих роутеров с 10 баллами сложности из 10 по шкале CVSS v20

Information Security *Network hardware


В сетевом оборудовании различных производителей регулярно находят уязвимости. Какие-то из них закрывают, какие-то — нет. Похоже на то, что к числу последних относится уязвимость CVE-2019-16920, которую специалисты по информационной безопасности обнаружили еще в сентябре.

Эта проблема дает злоумышленнику возможность инъекции команд без авторизации прямо в программной оболочке роутеров. Эта уязвимость получила 9,8 баллов по шкале CVSS v3.1 и 10,0 по шкале CVSS v2.0. Проблема актуальна для роутеров моделей D-Link DIR-655, DIR-866L, DIR-652 и DHP-1565.
Total votes 13: ↑13 and ↓0 +13
Views 5K
Comments 9

Незакрытая уязвимость Wi-Fi-чипов Realtek в ядре Linux может угрожать атаками «по воздуху»

Configuring Linux *Information Security *Antivirus protection *Development for Linux *


Исследователь по безопасности Нико Вайсман обнаружил уязвимость в Linux, способную, по его мнению, стать причиной серьёзных сбоев. Уязвимость использует сигналы Wi-Fi для атаки.
Читать дальше →
Total votes 14: ↑11 and ↓3 +8
Views 4.6K
Comments 2

Уязвимость в Untitled Goose Game может навредить системам игроков

Information Security *Games and game consoles
image
Источник: knowyourmeme

Игра-мем Untitled Goose Game про гуся, который терроризирует округу в поисках колокольчика, может навредить компьютерам пользователей из-за уязвимости в обработке файлов сохранений.

Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 3.3K
Comments 2

Уязвимость позволяла хакерам блокировать WhatsApp у участников групповых чатов

Information Security *Social networks and communities
image

Израильская компания Check Point опубликовала исследование уязвимости, которая позволяла злоумышленникам блокировать работу WhatsApp на устройствах тех, с кем они состояли в одном групповом чате.

Хакеры могли вступать в заранее выбранный групповой чат и на правах участника менять определенные параметры, а затем отправлять вредоносные сообщения, используя Whatsapp Web и инструмент отладки веб-браузера. Таким образом, злоумышленники запускали замкнутый круг сбоев для всех членов группового чата, которые запрещали им доступ ко всем функциям мессенджера. Пользователи удаляли и заново скачивали WhatsApp, но не могли вернуться в чат. Чтобы прервать замкнутый круг ошибок, им приходилось в конце концов удалить сам чат. К настоящему моменту проблема решена в версиях приложения выше 2.19.246.
Total votes 9: ↑8 and ↓1 +7
Views 2.1K
Comments 1

В миллионах кабельных модемов с чипами Broadcom нашли уязвимость к кибератакам

Information Security *IT Infrastructure *Computer hardware
image

Исследователи из Дании сообщили об уязвимости Cable Haunt. Ей подвержены 200 млн кабельных модемов, которые используют чипы Broadcom. Уязвимость связана с одним из стандартных компонентов чипов анализатором спектра, который призван защищать устройство от скачков сигнала и помех.
Total votes 15: ↑12 and ↓3 +9
Views 4.2K
Comments 2

KrebsOnSecurity: во всех Windows за последние 20 лет найдена критическая уязвимость

Information Security *Development for Windows *Software Desktop PC's IT-companies


В криптографическом компоненте Windows обнаружена «необычайно серьёзная» уязвимость, которая затрагивает все версии системы за последние 20 лет, начиная с Windows NT 4.0. Об этом сообщил портал KrebsOnSecurity со ссылкой на собственные источники.

Как утверждает журналист Брайан Кребс, сегодня Microsoft должна выпустить патч, который закроет уязвимость. Компания, по информации Кребса, заранее уведомила о проблеме некоторых особо важных пользователей, в частности, оборонные предприятия в США и другие государственные организации, попросив их при этом подписать документ о неразглашении информации о сути уязвимости до выхода исправления.
Читать дальше →
Total votes 21: ↑16 and ↓5 +11
Views 21K
Comments 11

Российские банки могут потерять данные из-за прекращения поддержки Windows 7

Information Security *Software Finance in IT Desktop PC's IT-companies


Российские банки рискуют столкнуться с серьёзными проблемами из-за прекращения поддержки операционных систем Windows 7 и Windows Server 2008. На сегодня не все организации перевели свои компьютеры на Windows 10, а работа на старых операционных системах, оставшихся без поддержки производителя, является нарушением и грозит банкам предписаниями от ЦБ.
Читать дальше →
Total votes 11: ↑7 and ↓4 +3
Views 7.8K
Comments 25

Криптографический баг Windows продемонстрировали в симуляции атаки

Information Security *Development for Windows *Software Desktop PC's IT-companies


На следующий день после того, как Microsoft обнаружила одну из самых серьёзных уязвимостей за всю историю Windows и выпустила исправление для неё, исследователь Салим Рашид опубликовал в твиттере скриншот с рикроллом. На скриншоте видно, что содержимое сайтов GitHub и Агентства национальной безопасности США заменено на клип Never Gonna Give You Up Рика Эстли. Исследователь сделал это, чтобы продемонстрировать атаку с использованием найденной уязвимости.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 12K
Comments 15

Система защиты Safari позволяла следить за пользователями. Apple исправила ошибку после письма из Google

Information Security *Browsers IT-companies
image

Специалисты Google выявили множественные уязвимости в системе защиты от слежения веб-браузера Safari. Они написали об этом коллегам из Apple в конце лета 2019 года, а корпорация отчиталась об устранении ошибок лишь в декабре.

Уязвимости нашли в ITP (Intelligent Tracking Prevention), которая по идее должна защищать пользователей от отслеживания в интернете при помощи файлов cookies, в том числе, от рекламодателей. ITP добавили в Safari в 2017 году.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 4.3K
Comments 2

В процессорах Intel нашли уже третью за год уязвимость ZombieLoad

Information Security *Software CPU
image

Сотрудники университетов Мичигана и Аделаиды выявили тотальную уязвимость процессоров Intel к атакам под условным названием CacheOut. Уязвимость же обозначили как CVE-2020-0549. Это уже третья по счету «дыра» подобного рода, которую нашли в процессорах компании за прошедший год.

Исследователи безопасности предполагают, что эта уязвимость присутствует во всех процессорах выпуска вплоть до четвертого квартала 2018 года. Более новые процессоры могут быть устойчивы к атакам CacheOut из-за более раннего патча Intel относительно похожей уязвимости. Атакам могут быть подвержены процессоры IBM и ARM.
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 9.4K
Comments 2