Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Mozilla выявила опасность нулевого дня и призвала пользователей обновить браузер

Firefox Информационная безопасность *Браузеры
imageФото: Doug Belshaw/Flickr

Mozilla Firefox выпустила патч для устранения уязвимости нулевого дня под названием CVE-2019-17026. Пользователей призвали срочно загрузить обновление, так как о бреши узнали злоумышленники.

Эту рекомендацию поддержало Агентство по кибербезопасности и безопасности инфраструктуры США. Там отметили, что уязвимость позволяет хакерам получить полный контроль над системой жертвы.
Читать дальше →
Всего голосов 19: ↑17 и ↓2 +15
Просмотры 15K
Комментарии 10

Система защиты Safari позволяла следить за пользователями. Apple исправила ошибку после письма из Google

Информационная безопасность *Браузеры IT-компании
image

Специалисты Google выявили множественные уязвимости в системе защиты от слежения веб-браузера Safari. Они написали об этом коллегам из Apple в конце лета 2019 года, а корпорация отчиталась об устранении ошибок лишь в декабре.

Уязвимости нашли в ITP (Intelligent Tracking Prevention), которая по идее должна защищать пользователей от отслеживания в интернете при помощи файлов cookies, в том числе, от рекламодателей. ITP добавили в Safari в 2017 году.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 4.3K
Комментарии 2

Эксперт: Хакеры могут использовать Web Audio API для снятия цифрового отпечатка

Информационная безопасность *API *Браузеры Звук
image

Специалист в области кибербезопасности Сэмюэл Уилер, который сотрудничает с MIT CSAIL и W3C Privacy Interest Group, снова поднял вопрос скрытых угроз со стороны Web Audio API, предназначенного для управления аудиоконтентом прямо в браузере. Он считает, что злоумышленники могут использовать API для несанкционированной передачи ультразвука.
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 3.5K
Комментарии 7

На OnlyFans нашли много детского порно

Информационная безопасность *Социальные сети и сообщества IT-компании

Расследование «Би-би-си» показало, что британская служба подписки OnlyFans не может полноценно контролировать публикацию откровенных материалов несовершеннолетних. Кроме того, на сайте обнаружили порнографические ролики с пропавшими детьми.  

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 8.7K
Комментарии 16

Голландская группа подала иск на полтора миллиарда евро против TikTok за сбор информации

Информационная безопасность *Социальные сети и сообщества IT-компании

Голландская ассоциация потребителей Consumentenbond и фонд Take Back Your Privacy требуют от китайской компании ByteDance, создавшей TikTok, возместить голландским детям ущерб в размере полутора миллиардов евро. По словам организаций, через TikTok ByteDance незаконно собирает и продаёт предоставленную детьми информацию. 

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 3.6K
Комментарии 15

Китайский регулятор ввёл меры по защите несовершеннолетних в Интернете

Информационная безопасность *Законодательство в IT Социальные сети и сообщества

Администрация киберпространства Китая (Cyberspace Administration of China, CAC) разработала несколько мер, ужесточающих правила распространение контента в Сети. Среди них есть запрет на онлайн-трансляции для детей младше 16 лет и расследование случаев кибербуллинга. САС уже оштрафовала несколько компаний за несоблюдение новых условий.

Читать далее
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 2K
Комментарии 12

Российских хакеров обвиняют в краже и распространении данных миллиона банковских карт

Информационная безопасность *

CNBC со ссылкой на аналитиков компании по кибербезопасности Q6 сообщил о сливе в дарквеб данных миллиона банковских карт. По заверению телеканала, за этим стоит российская группировка All World Cards. 

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 1.3K
Комментарии 0

Twitter тестирует функцию автоматической блокировки пользователей, использующих «потенциально опасную лексику»

Социальные сети и сообщества IT-компании

Twitter рассказала о тестировании функции автоматической блокировки пользователей, реагирующей на «потенциально опасную лексику». При включенной функции система анализирует взаимодействия пользователя с другими профилями, включая переписки, упоминания и тон общения. Если система заподозрит неладное, она на неделю заблокирует доступ «агрессора» к профилю пользователя.

Читать далее
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 1.1K
Комментарии 3

Meta запустила сервис StopNCII.org для борьбы с распространением интимных фото и видео без согласия

Социальные сети и сообщества

Компания Meta, владеющая сервисами Facebook, Instagram и WhatsApp, запустила платформу StopNCII.org, которая поможет бороться с распространение интимных медиаматериалов, распространяемых без согласия автора. Сервис призван помочь людям отслеживать появление своих фотографий в социальных сетях. Руководителем проекта назначена организация  UK Revenge Porn Helpline, которая занимается этим вопросом с 2015 года.

Читать далее
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 1.8K
Комментарии 10

Финансовая безопасность во фрилансе

Фриланс
Если верить статистике, то на сегодняшний день все больше людей предпочитает зарабатывать деньги, не имея вышестоящего начальства. Да-да, я имею в виду фриланс (а для тех, кому новомодные словечки не по душе – речь идёт о надомной работе). И если раньше так работали люди преимущественно с западных стран, то в последнее время волна докатилась и до нас.

Естественно, надомная работа, как и все остальные виды занятости, имеет как свои отрицательные, так и положительные стороны. Если рассматривать каждый такой момент, получится как минимум трактат, а как максимум докторский диссер или же увесистая книженция. А посему в данной заметке коснусь лишь одного аспекта – как максимально обезопасить себя от заказчиков, желающих получить результаты ваших трудов совершенно бесплатно.

Читать дальше →
Всего голосов 15: ↑8 и ↓7 +1
Просмотры 992
Комментарии 8

На Defcon представлена Android-программа для проверки надежности защиты компьютерных сетей

Информационная безопасность *


Специалисты израильской компании, специализирующейся на сетевой безопасности, выбрали платформу Android в качестве основы для работы своей программы Android Network Toolkit. Это ПО было представлено на конференции Defcon, и предназначено для проверки надежности защиты компьютерных сетей. При этом программка равным образом может служить отмычкой плохо защищенных сетей в руках злоумышленников (в общем-то, программы подобного рода всегда были «двулики», так сказать). Стоит отметить, что ребята, разработавшие этот софт, собираются выложить Android Network Toolkit в общий доступ в течение нескольких дней, сделав программу доступной для всех. В общем-то, это хорошо, с одной стороны, поскольку специалисты по сетевой безопасности смогут получить довольно солидный функционал, в виде мобильного приложения. С другой стороны, любой злоумышленник сможет «проверять» беспроводные сети везде, где эти сети есть. О том, что умеет программка — в продолжении.

Читать дальше →
Всего голосов 48: ↑41 и ↓7 +34
Просмотры 4.2K
Комментарии 41

Использование стандарта IEEE 802.1x в сети передачи данных

IT-инфраструктура *
802.1x — это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Благодаря стандарту 802.1x можно предоставить пользователям права доступа к корпоративной сети и ее сервисам в зависимости от группы или занимаемой должности, которой принадлежит тот или иной пользователь. Так, подключившись к беспроводной сети или к сетевой розетке в любом месте корпоративной сети, пользователь будет автоматически помещен в тот VLAN, который предопределен политиками группы, к которой привязана учетная запись пользователя или его рабочей станции в AD. К данному VLAN будет привязан соответствующий список доступа ACL (статический, либо динамический, в зависимости от прав пользователя) для контроля доступа к корпоративным сервисам. Кроме списков доступа, к VLAN можно привязать политики QoS для контроля полосы пропускания.
Читать дальше →
Всего голосов 20: ↑19 и ↓1 +18
Просмотры 136K
Комментарии 8

Облака в применении к ИБ: некоторые неочевидные следствия

Информационная безопасность *
Из песочницы

Введение



Не секрет, что мы наблюдаем бурное развитие облаков aka Clouds. Все и вся переезжает в эти самые облака. Но какую пользу (и вред) мы из этого можем извлечь с точки зрения ИБ?

Рассмотрим новые возможности и новые угрозы.

Вот, тезисные посылки, чтобы уменьшить сумбурность изложения.

1. Хранить в облаках — небезопасно.
1.1. Не надо хранить там ваши пиратские коллекции.
1.2. Прятать надо грамотно, разбавляя шумом.
1.3. Толика здоровой паранойи не помешает, шифруем сами.

2. Обрабатывать в облаках — выгодно.
2.1. Для этого надо строить облачные сервисы по-новому.
2.2. Пережить атаки теперь проще.

3. Злым хакерам теперь тоже проще — собрать ферму для взлома паролей может каждый.
3.1. Используем пароли побезумнее и подлиннее, не из словаря.
3.2. Используем Keepass и аналоги для управления паролями.
3.3. Везде где можно — переходим на ключи.

Читать дальше →
Всего голосов 55: ↑36 и ↓19 +17
Просмотры 2.9K
Комментарии 20

Хранение паролей в Ozon.ru

Информационная безопасность *
Недели две назад на Хабре обсуждался взлом паролей на Linkedin. Типа, алгоритм шифрования старый, соль не используется и т.д. Это все мелочи.

Решил я вспомнить пароль от своего аккаунта на Озоне (давно не заходил туда, около двух лет). В соответствующей форме внес свой email и вот, что получил:

Читать дальше →
Всего голосов 102: ↑73 и ↓29 +44
Просмотры 8.8K
Комментарии 97

vPass: страничка на Javascript для максимума безопасности и минимума мучений при работе с паролями

Информационная безопасность *Разработка веб-сайтов *JavaScript *
Уважаемые Хабраюзеры,

позвольте представить вам микро-веб-приложение, которое я создал для решения своей собственной проблемы — сделать так, чтобы работа с моими паролями в Интернете была более безопасной и менее трудоемкой. Просто я приболел, и чтобы не валяться без дела, решил испытать себя и за 24 часа сделать веб-сервис, который не стыдно миру показать. Плюс еще денек ушел на написание текстов.

Сам генератор

Информация и видео-демка

image

Вкратце:
  • вам нужно запомнить один «мастер»-пароль, и vPass генерирует уникальный пароль на его основе, для каждого сайта.
  • vPass генерирует бессмысленный набор букв и цифр (по умолчанию 12 символов), которые практически невозможно угадать.
  • vPass сделан для быстрой работы с клавиатурой. Введите мастер-пароль, Ctrl-C, Ctrl-W, готово!
  • vPass не «хранит» ваши пароли (и вообще ничего не хранит). Ваш пароль никуда не передается. vPass не обменивается данными с сервером — просто скачивает html-страницу в браузер.
  • Работает на любой платформе с веб-браузером. Windows, Mac OS X, Linux, Android, iOS, Windows Phone, webOS, и любая ОС будущего!
  • Вместо «домена» сайта можно использовать любое «имя пользователя». Я генерирую таким образом пароли для Linux-пользователей.
  • Для полной уверенности, вы можете скачать vPass и запускать со своего компьютера.

Подробности
Всего голосов 77: ↑68 и ↓9 +59
Просмотры 5.3K
Комментарии 110

WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети

Информационная безопасность *
В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Читать дальше →
Всего голосов 63: ↑61 и ↓2 +59
Просмотры 294K
Комментарии 51

Исследователи раскрыли местонахождение аплоадеров Pirate Bay

Информационная безопасность *
Researchers Expose Locations of Pirate Bay Uploaders
(источник)
В рамках научного исследования была опубликована информация об отдельных людях и группах лиц, загружавших торрент-файлы на The Pirate Bay. Данные показывают, что большинство торрент-файлов были загружены с территории США (в большинстве случаев айпишники вели к интернет-провайдерам Comcast и Road Runner). Исследователи также заявили, что выявили «top 100»-аплоадеров и их приблизительное местонахождение.
Читать дальше →
Всего голосов 46: ↑44 и ↓2 +42
Просмотры 13K
Комментарии 22

Политика доступа в Интернет. Или к чему все эти сложности?

Системное администрирование *
Из песочницы
Усложнение политик доступа в Интернет, и к чему это приводит?

Приветствую уважаемое сообщество.

В течении четырёх лет я занимаюсь системным администрированием корпоративной локальной сети, и всё время так или иначе всплывает вопрос: «А какими политиками должен регламентироваться доступ в сеть Интернет для сотрудников компании?», каждый год лично мои ответы на данный вопрос постоянно меняются. И сегодня я бы хотел опубликовать статью которая предложит обсуждение данного вопроса, а также отразит моё мнение на этот вопрос.

Читать дальше →
Всего голосов 19: ↑13 и ↓6 +7
Просмотры 26K
Комментарии 48

Электронная дактилоскопия средствами интернет бразуера

Информационная безопасность *
Из песочницы
Поводом к написанию сего поста послужил сей вопрос, увы учетка имеет статус рид-онли => невозможно оставлять комментарии. Да и сабж слегка перерос сам вопрос.

Вопрос идентификации пользователя решается от банальным htpasswd, если пользователей по пальцам рук пересчитать; до формы логина средствами ресурса, если этот самый ресурс большой и пальцев уже не хватает; авторизация доступа к разделам ресурса решается опятьже средствами самого ресурса.
Аутентификация же хоста (и его послеющая авторизация в доступе), при условии невозможности привязки к статическому IP адресу, как было отмечено в комментариях вопроса, разруливается сертификатами.

Но голова рукам покоя не дает: надо найти альтернативый способ.
Погуглив, достаточно быстро отыскался вот такой проект и вот этот документ (pdf 500Kb). Адекватно перевести его полностью мой хилый английский не в состоянии, да и объем отбивает желание.
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 5.5K
Комментарии 5

Часть 3: Цифровой чеснок

Open source *

Третья часть перевода официальной документации I2P.
Ещё ближе к тексту.
Если кто-то не в курсе, то добро пожаловать под кат, читать в порядке оглавления.
Читать дальше →
Всего голосов 23: ↑18 и ↓5 +13
Просмотры 18K
Комментарии 4