• Kaspersky Mobile Talks — встреча для продвинутых разработчиков

      Вы — эксперт в сфере мобильных разработок, лучший в команде. Но вам хочется развиваться дальше, и у вас есть совершенно конкретные вопросы, которые было бы круто обсудить с такими же шарящими в теме, без введений для новичков и обсуждения уже решенных проблем. Это про вас? Тогда мы рады пригласить вас на Kaspersky Mobile Talks — наш новый формат дискуссий для продвинутых разработчиков.

      image

      Это НЕ конференция и НЕ митап.
      Читать дальше →
    • Security Week 08: взлом VFEMail в прямом эфире

        Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон подготовленной картинкой в формате PNG. Но мы довольно редко видим последствия эксплуатации этих уязвимостей: пострадавшие компании по понятным причинам не спешат делиться такой информацией. Еще реже можно наблюдать последствия атаки практически в прямом эфире, что на прошлой неделе произошло с почтовым сервисом VFEMail.

        Этот сервис был основан в 2001 году жителем США, и с тех пор обслуживал частных клиентов (бесплатно предлагал всего 50 мегабайт места для писем) и организации на их собственных доменах. В 2015 году он упоминался наряду с сервисом защищенной почты ProtonMail как жертва вымогателей — владелец сервиса цитировал требование организаторов DDoS-атаки выплатить пять биткойнов. 11 февраля без предварительных угроз злоумышленники стерли информацию на всех основных и резервных серверах VFEMail, буквально за несколько часов уничтожив бизнес компании почти полностью.
        Читать дальше →
      • Древности: современный компьютер из старых запчастей

          В какой момент электроника становится винтажной? Когда в ней пропадает всякий практический смысл, как например сейчас нет смысла в карманном компьютере начала двухтысячных? Когда популярная в свое время железка становится редкостью? Когда большинство людей забыло, как это настраивается и работает, как произошло с модемами?


          В моем случае ответ простой: ничто в этом мире не вечно. Собрать информацию об умеренно старой компьютерной технике в тот момент, когда данные легко доступны, и сам еще многое помнишь, проще, чем лет через двадцать копаться в веб-архиве, пытаясь хоть что-то найти. В 2009 году в честь очередного переезда я продал свой последний настольный компьютер, и с тех пор пользовался только ноутбуками. В 2019 году я вновь построил домашний ПК, загрузив сейв десятилетней давности. Старые комплектующие достаточно подешевели, чтобы можно было поэкспериментировать без серьезного финансового риска. Но они еще не до конца устарели, и кажется первый и последний раз я собираю относительно старое железо для повседневных задач. Есть ли в этом смысл? Сейчас расскажу.
          Читать дальше →
        • Security Week 07: локальные уязвимости IoT-устройств

            В традиционную рубрику «что еще не так с IoT» на прошлой неделе добавилось научное исследование специалистов из американского Мичиганского университета и бразильского Федерального университета Пернамбуку. В рамках исследования было изучено 96 IoT-устройств для умного дома из списка самых продаваемых на площадке Amazon. Ученые проанализировали приложения для управления этими устройствами со смартфона, как вручную, так и с помощью автоматизированных инструментов анализа сетевых коммуникаций. Искали прежде всего уязвимости, позволяющие перехватить контроль над IoT-устройствами из-за недостаточно защищенного соединения.



            Для 96 разных устройств удалось собрать 32 уникальных управляющих приложения. Из них половина либо не шифрует трафик при работе с IoT, либо использует фиксированные ключи шифрования. Соответственно, управлять устройствами может не только владелец, но и вообще кто угодно, с одной оговоркой — если есть доступ к локальной сети. Исследование в PDF находится здесь, краткое содержание на русском есть в этой новости. Мы же остановимся на наиболее интересных деталях работы.
            Читать дальше →
          • Security Week 06: прямой эфир в FaceTime

              Главным событием прошлой недели стал баг в операционной системе iOS 12 для мобильных устройств Apple. Функцию Group FaceTime, позволяющую организовать конференц-связь сразу с несколькими пользователями, можно использовать, чтобы подслушивать происходящее на стороне абонента без его ведома. Позже выяснилось, что Group FaceTime можно эксплуатировать и для подсматривания. Хотя практической пользы от данного метода немного, провал в защите данных налицо, и Apple временно отключила возможность создания групповых аудио- и видеозвонков.

              Уязвимость в FaceTime очень похожа на десятки ранее обнаруженных и закрытых способов обойти блокировку экрана — во всех случаях прореха в безопасности образуется на стыке разных элементов iOS. Добавление групповых звонков в фирменный мессенджер Apple сначала также привело к очередному обходу локскрина. Еще в ноябре исследователь Хосе Родригес смог обойти блокировку так: звоним по FaceTime на телефон жертвы, отвечаем на звонок (это можно сделать без разблокирования), пытаемся добавить к разговору других абонентов, что дает доступ к телефонной книге. Проблема, обнаруженная в январе, оказалась гораздо серьезнее.
              Читать дальше →
            • Древности: Интернет 1999 года в 20 скриншотах

                Мы не умеем хранить данные. Нет, от лица отдельно взятого пользователя — немного умеем. Как работники компании — тоже можем, в виде бэкапов, резервирования и прочего. А вот так, чтобы в любой момент можно было прокрутить цифровую машину времени лет на двадцать назад — так не умеем. Я уже как-то писал о своем собственном цифровом архиве: он начинается в 2002 году, а вот информации про первое десятилетие моей цифровой жизни почти не сохранилось. Разве что спектрумовские игры на кассетах.

                Я не утверждаю, что обязательно нужно все хранить. Но в моем маленьком компьютерно-электронном хобби иногда хочется взять ноутбук 1999 года выпуска, подключить его к сети и посмотреть, как оно там было, в интернете двадцатилетней давности. Это непросто, хотя и возможно. Сегодня — рассказ о том, как это можно сделать, и подборка аутентичных скриншотов веба конца второго тысячелетия.
                Читать дальше →
              • Security Week 05: принтеры, камеры, 7zip и вопросы этики

                  В конце ноября 2018 года офисные и домашние принтеры по всему миру распечатали сообщение, призывающее подписываться на ютубера PewDiePie. Произошло, это, естественно, без ведома владельцев принтеров, и скорее всего сам PewDiePie тут ни при чем. Взломщик, называющий себя TheHackerGiraffe, атаковал более 50 тысяч принтеров, настроенных так, что их службы печати (Internet Printing Protocol и Line Printer Daemon) были доступны из Интернета. Список уязвимых принтеров был собран с помощью специализированного поисковика Shodan.io, остальное было делом техники.

                  Атакой на принтеры история не закончилась: позднее были взломаны смарт-телевизоры, а недавно — веб-камеры Nest, с похожими ссылками на PewDiePie. Эта в целом бессмысленная затея привела к появлению уже чисто криминального сервиса по «принтерному партизанскому маркетингу». Поговорим об этих инцидентах подробнее, а заодно обсудим различия между нормальными исследователями по безопасности и такими вот IoT-вандалами.
                  Читать дальше →
                  • +24
                  • 5,6k
                  • 7
                • Security Week 04: что делать с паролями

                    Безусловно, самой главной новостью прошлой недели стала утечка «Коллекции #1» — базы данных, состоящей из 2,7 миллиардов пар «email: пароль», или 773 миллионов уникальных записей. Утечку уже подробно осветили и здесь на Хабре, и в блоге, пожалуй, самого известного коллекционера небезопасных паролей Троя Ханта. Не будем повторяться, лучше давайте поговорим о том, что делать-то?

                    Пароли уже давно признаны ненадежным средством защиты учетных записей в сети. С высокой вероятностью все ваши пароли десятилетней давности уже доступны злоумышленникам благодаря массе крупных и мелких утечек из Linkedin, Вконтакте, Twitter, Tumblr и MySpace и, конечно, Yahoo. Спойлер: какого-то простого решения проблемы нет, но есть набор действий, который поможет снизить риск взлома важных аккаунтов.
                    Читать дальше →
                    • +25
                    • 8,5k
                    • 3
                  • Древности: десять лет эволюции ноутбуков на примере ThinkPad X301

                      Пару лет назад я потестировал свой ветеранский ноутбук ThinkPad X220, и тогда пришел к выводу, что прогресс в портативных компьютерах — он какой-то медленный. На тот момент модель 2011 года от модели 2016-го не особо отличалась. Возможно по состоянию на 2016 год так и было, но ситуация с портативными компьютерами склонна меняться резко, когда количество новых технологий наконец переходит в качество. Давайте посмотрим, как это бывает, на примере самого тонкого и самого легкого ноутбука со встроенным оптическим приводом: Lenovo ThinkPad X301.


                      X301 — это модель 2008 года, в августе прошлого года ей исполнилось 10 лет. На момент анонса это был один из самых дорогих ноутбуков в принципе: в обмен на деньги вам предлагали невероятно тонкую модель, способную соревноваться с представленным незадолго до этого Apple Macbook Air. Еще долгое время адекватной альтернативы этому ноутбуку — по размерам экрана, весу, производительности, не было. А поклонники настоящих, «тру» ThinkPad найдут в нем множество фич, более недоступных. Сегодня я хочу рассказать про эталонный классический ThinkPad.
                      Читать дальше →
                    • Security Week 03: 2019 — год приватности

                        Ладно, может и не весь 2019 год, и вообще предсказания — штука сложная и неблагодарная. После громкого заголовка выскажемся точнее: важные новости начала января почти все так или иначе посвящены приватности. В 2018 году вопросы ценности данных, собираемых с клиентов сетевых сервисов, а также проблемы бесконтрольного использования этих данных впервые начали обсуждаться широко. Виной тому стал скандал с социальной сетью Facebook и массовым сбором данных пользователей соцсети даже не самим Фейсбуком, а какими-то непонятными левыми фирмами, с последующим широким применением, в том числе и на выборах.

                        Специалистам и тем, кто в теме, давно уже было понятно: интернет-гигантам известно про нас почти все. Где мы находимся, о чем мечтаем, сколько зарабатываем, чем болеем, сколько стоим в пробках, за кого голосуем на выборах, из чего на праздники был салат. Более широкое обсуждение темы и, возможно, более серьезное давление на компании, собирающие информацию, — это в целом неплохая штука. Она может привести к окончанию своеобразной эпохи Дикого Запада на рынке данных. Главное, чтобы в погоне за приватностью не пострадало качество сервисов, тоже зависящее от персональных данных пользователей.
                        Читать дальше →

                      Самое читаемое