Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Компания Google представила набор тестов Wycheproof

Информационная безопасность *Open source *
image

Вчера в официальном блоге компании Google, посвященному информационной безопасности, был представлен новый проект компании под названием Wycheproof.

Мы рады объявить о запуске проекта Wycheproof — наборе тестов безопасности, которые проверяют криптографические библиотеки ПО на известные уязвимости. Мы разработали более 80 тестов для разных случаев, благодаря которым обнаружили более 40 ошибок безопасности. Например, мы обнаружили, что могли бы восстановить private-key DSA и ECDHC. Также мы добавили готовые к использованию инструменты для проверки Java Cryptography Architectire, который предлагают, например, Bouncy Castle или OpenJDK.
Читать дальше →
Всего голосов 24: ↑23 и ↓1 +22
Просмотры 11K
Комментарии 0

ВЦИОМ: каждый десятый российский пользователь хранит PIN-коды от банковских карт в компьютере

Информационная безопасность *
Треть опрошенных ВЦИОМ сталкивались с интернет-мошенничеством, из них каждый третий – более одного раза. Двенадцать человек из ста иногда хранят CVC и PIN-коды банковских карт в компьютере.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 6K
Комментарии 23

Хакер хакнул хакера и продаёт нахаканное

Информационная безопасность *
В подтверждение отсутствия пиратского кодекса на одном из приватных хакерских форумов, w0rm.ws, появилось предложение о продаже базы данных другого хакерского форума, Monopoly. Последний специализируется на краже номеров кредиток, ботнетах и спаме.


Читать дальше →
Всего голосов 16: ↑14 и ↓2 +12
Просмотры 16K
Комментарии 6

В чипах Intel найдена потенциально уязвимая функция

Информационная безопасность *Компьютерное железо


На днях стало известно о том, что компания Positive Technologies обнаружила функцию в чипах Intel, которая может использоваться злоумышленниками для получения доступа к персональной информации пользователей, а также к корпоративным данным.

Специалисты Positive Technologies сообщают о том, что Intel Visualization of Internal Signals Architecture (Intel VISA) уязвима для атак злоумышленников. Эта технология встроена в большинство процессоров и микросхем Platform Controller Hub (PCH) для современных материнских плат Intel.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 2.2K
Комментарии 3

Intel пыталась приуменьшить значение обнаруженной уязвимости процессора, увеличив вознаграждение программы Bounty

Информационная безопасность *Финансы в IT Процессоры
На днях специалисты по кибербезопасности из Амстердамского свободного университета, заявили о том, что представители Intel просили команду учебного заведения приуменьшить значение обнаруженной уязвимости процессоров компании. Речь идет о проблеме RIDL (Rogue In-Flight Data Load), наличие которой Intel признала всего несколько дней назад.

Эта уязвимость входит в класс Microarchitectural Data Sampling (MDS), о котором на Хабре уже писали. Ее обнаружил студент университета Штефан ван Шайк (Stephan van Schaik). Вместе с ним проблему изучали и другие университеты и компании, но первым был именно ван Шайк в качестве представителя ВУЗа, так что лишь Амстердамский свободный университет может претендовать на Bounty-вознаграждение от Intel. Учебное заведение считается одним из ведущих ВУЗов страны и Европы.
Читать дальше →
Всего голосов 26: ↑24 и ↓2 +22
Просмотры 9.8K
Комментарии 21

У пользователя Coinbase украли 100 тысяч долларов с помощью дубликата SIM-карты

Информационная безопасность *


Пользователь Coinbase Шон Кунс опубликовал в своем блоге на Medium подробный рассказ о том, как стал жертвой мошенничества. Злоумышленник, личность которого до сих пор не удалось установить, перевел все средства из его кошелька на Coinbase, действуя через дубликат SIM-карты.
Читать дальше →
Всего голосов 21: ↑21 и ↓0 +21
Просмотры 7.6K
Комментарии 31

Обнаружена уязвимость: веб-сайты и приложения могут снимать цифровой отпечаток устройств через данные калибровки

Информационная безопасность *


22 мая специалисты Кембриджского университета сообщили о новой разновидности кибератаки, которая может быть применена к большинству мобильных устройств Apple и некоторым моделям смартфонов Google. Уязвимость заключается в том, что система автоматически передает вебсайтам и приложениям данные с датчиков движения. Этого объема информации достаточно, чтобы создать уникальный идентификатор устройства и отслеживать действия его владельца в Сети.
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 7.7K
Комментарии 6

Apple подала в суд на разработчика виртуальных копий iOS-устройств

Информационная безопасность *Разработка под iOS *Виртуализация *Отладка *Софт

iPhone X и его виртуальная копия в программной среде Corellium

Корпорация Apple обвинила стартап Corellium в «незаконной продаже виртуальных копий операционных систем iPhone и iPad под видом помощи в обнаружении уязвимостей безопасности».

Apple подала иск о нарушении интеллектуальных прав в суд округа Уэст-Палм-Бич, штат Флорида. В нём сказано, что Corellium «без разрешения скопировала операционную систему, графический интерфейс пользователя и другие аспекты устройств iPhone и iPad».

Apple требует запретить деятельность компании, удалить все копии программного обеспечения, уведомить всех покупателей о том, что они нарушают закон, и выплатить ей компенсацию.
Всего голосов 32: ↑29 и ↓3 +26
Просмотры 23K
Комментарии 35

Узбекские государственные «боевые хакеры» пострадали от антивируса Касперского

Блог компании ITSumma Информационная безопасность *Антивирусная защита *Программирование *Конференции
Кибервоенное подразделение службы государственной безопасности Узбекистана занимается, в том числе, разработкой боевых троянов и вирусов. Самую высокотехнологичную и трудоёмкую их часть — уязвимости нулевого дня — боевые хакеры покупали на открытом рынке. На основе уязвимостей пишутся эксплойты и интегрируются в собственное ПО.

Но на компьютерах разработчиков был установлен антивирус Касперского. Он, разумеется, успешно обнаруживал подозрительные куски кода и отправлял их в базу. Эффективность понесённых на покупку уязвимостей затрат не подлежит, таким образом, сомнению (сарказм).
Читать дальше →
Всего голосов 60: ↑57 и ↓3 +54
Просмотры 29K
Комментарии 54

Компания D-Link не планирует исправлять уязвимость своих роутеров с 10 баллами сложности из 10 по шкале CVSS v20

Информационная безопасность *Сетевое оборудование


В сетевом оборудовании различных производителей регулярно находят уязвимости. Какие-то из них закрывают, какие-то — нет. Похоже на то, что к числу последних относится уязвимость CVE-2019-16920, которую специалисты по информационной безопасности обнаружили еще в сентябре.

Эта проблема дает злоумышленнику возможность инъекции команд без авторизации прямо в программной оболочке роутеров. Эта уязвимость получила 9,8 баллов по шкале CVSS v3.1 и 10,0 по шкале CVSS v2.0. Проблема актуальна для роутеров моделей D-Link DIR-655, DIR-866L, DIR-652 и DHP-1565.
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 5K
Комментарии 9

Незакрытая уязвимость Wi-Fi-чипов Realtek в ядре Linux может угрожать атаками «по воздуху»

Настройка Linux *Информационная безопасность *Антивирусная защита *Разработка под Linux *


Исследователь по безопасности Нико Вайсман обнаружил уязвимость в Linux, способную, по его мнению, стать причиной серьёзных сбоев. Уязвимость использует сигналы Wi-Fi для атаки.
Читать дальше →
Всего голосов 14: ↑11 и ↓3 +8
Просмотры 4.6K
Комментарии 2

Уязвимость в Untitled Goose Game может навредить системам игроков

Информационная безопасность *Игры и игровые приставки
image
Источник: knowyourmeme

Игра-мем Untitled Goose Game про гуся, который терроризирует округу в поисках колокольчика, может навредить компьютерам пользователей из-за уязвимости в обработке файлов сохранений.

Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 3.3K
Комментарии 2

Уязвимость позволяла хакерам блокировать WhatsApp у участников групповых чатов

Информационная безопасность *Социальные сети и сообщества
image

Израильская компания Check Point опубликовала исследование уязвимости, которая позволяла злоумышленникам блокировать работу WhatsApp на устройствах тех, с кем они состояли в одном групповом чате.

Хакеры могли вступать в заранее выбранный групповой чат и на правах участника менять определенные параметры, а затем отправлять вредоносные сообщения, используя Whatsapp Web и инструмент отладки веб-браузера. Таким образом, злоумышленники запускали замкнутый круг сбоев для всех членов группового чата, которые запрещали им доступ ко всем функциям мессенджера. Пользователи удаляли и заново скачивали WhatsApp, но не могли вернуться в чат. Чтобы прервать замкнутый круг ошибок, им приходилось в конце концов удалить сам чат. К настоящему моменту проблема решена в версиях приложения выше 2.19.246.
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 2.1K
Комментарии 1

В миллионах кабельных модемов с чипами Broadcom нашли уязвимость к кибератакам

Информационная безопасность *IT-инфраструктура *Компьютерное железо
image

Исследователи из Дании сообщили об уязвимости Cable Haunt. Ей подвержены 200 млн кабельных модемов, которые используют чипы Broadcom. Уязвимость связана с одним из стандартных компонентов чипов анализатором спектра, который призван защищать устройство от скачков сигнала и помех.
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 4.2K
Комментарии 2

KrebsOnSecurity: во всех Windows за последние 20 лет найдена критическая уязвимость

Информационная безопасность *Разработка под Windows *Софт Настольные компьютеры IT-компании


В криптографическом компоненте Windows обнаружена «необычайно серьёзная» уязвимость, которая затрагивает все версии системы за последние 20 лет, начиная с Windows NT 4.0. Об этом сообщил портал KrebsOnSecurity со ссылкой на собственные источники.

Как утверждает журналист Брайан Кребс, сегодня Microsoft должна выпустить патч, который закроет уязвимость. Компания, по информации Кребса, заранее уведомила о проблеме некоторых особо важных пользователей, в частности, оборонные предприятия в США и другие государственные организации, попросив их при этом подписать документ о неразглашении информации о сути уязвимости до выхода исправления.
Читать дальше →
Всего голосов 21: ↑16 и ↓5 +11
Просмотры 21K
Комментарии 11

Российские банки могут потерять данные из-за прекращения поддержки Windows 7

Информационная безопасность *Софт Финансы в IT Настольные компьютеры IT-компании


Российские банки рискуют столкнуться с серьёзными проблемами из-за прекращения поддержки операционных систем Windows 7 и Windows Server 2008. На сегодня не все организации перевели свои компьютеры на Windows 10, а работа на старых операционных системах, оставшихся без поддержки производителя, является нарушением и грозит банкам предписаниями от ЦБ.
Читать дальше →
Всего голосов 11: ↑7 и ↓4 +3
Просмотры 7.8K
Комментарии 25

Криптографический баг Windows продемонстрировали в симуляции атаки

Информационная безопасность *Разработка под Windows *Софт Настольные компьютеры IT-компании


На следующий день после того, как Microsoft обнаружила одну из самых серьёзных уязвимостей за всю историю Windows и выпустила исправление для неё, исследователь Салим Рашид опубликовал в твиттере скриншот с рикроллом. На скриншоте видно, что содержимое сайтов GitHub и Агентства национальной безопасности США заменено на клип Never Gonna Give You Up Рика Эстли. Исследователь сделал это, чтобы продемонстрировать атаку с использованием найденной уязвимости.
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 12K
Комментарии 15

Система защиты Safari позволяла следить за пользователями. Apple исправила ошибку после письма из Google

Информационная безопасность *Браузеры IT-компании
image

Специалисты Google выявили множественные уязвимости в системе защиты от слежения веб-браузера Safari. Они написали об этом коллегам из Apple в конце лета 2019 года, а корпорация отчиталась об устранении ошибок лишь в декабре.

Уязвимости нашли в ITP (Intelligent Tracking Prevention), которая по идее должна защищать пользователей от отслеживания в интернете при помощи файлов cookies, в том числе, от рекламодателей. ITP добавили в Safari в 2017 году.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 4.3K
Комментарии 2

В процессорах Intel нашли уже третью за год уязвимость ZombieLoad

Информационная безопасность *Софт Процессоры
image

Сотрудники университетов Мичигана и Аделаиды выявили тотальную уязвимость процессоров Intel к атакам под условным названием CacheOut. Уязвимость же обозначили как CVE-2020-0549. Это уже третья по счету «дыра» подобного рода, которую нашли в процессорах компании за прошедший год.

Исследователи безопасности предполагают, что эта уязвимость присутствует во всех процессорах выпуска вплоть до четвертого квартала 2018 года. Более новые процессоры могут быть устойчивы к атакам CacheOut из-за более раннего патча Intel относительно похожей уязвимости. Атакам могут быть подвержены процессоры IBM и ARM.
Читать дальше →
Всего голосов 24: ↑24 и ↓0 +24
Просмотры 9.4K
Комментарии 2

Twitter устранил уязвимость, которая позволяла связать аккаунт пользователя с его номером телефона

Информационная безопасность *Twitter API *Социальные сети и сообщества
image

Twitter заявил, что обнаружил и исправил проблему, используемую злоумышленниками для сопоставления определенных телефонных номеров с соответствующими учетными записями в соцсети. Компания отметила, что узнала об уязвимости 24 декабря.
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 1.9K
Комментарии 0