Как стать автором
Обновить
54
Карма
0
Рейтинг

Пользователь

Утечка частных фотографий знаменитостей: подробное расследование австралийского разработчика

Блог компании Witget Информационная безопасность *
На этой неделе интернет был потрясен историей, связанной с утечкой сотен интимных фотографий знаменитостей (статьи на Хабре на связанную с этим тему здесь и здесь). Одно из самых тщательных расследований этой истории провел рожденный в Австралии предприниматель, блогер, инженер и разработчик софта (все это в одном лице) Ник Кубрилович (Nic Cubrilovic). Ник известен тем, что в разные периоды своей карьеры был журналистом и консультантом Techcrunch и Crunchpad, редактором TechcrunchIT, основателем или со-основателем Omnidrive, Solutionstap, MyVirtualDrive, Webwall, 2web и прочее. Подробности – под катом.
Читать все подробности этой безумной истории
Всего голосов 92: ↑61 и ↓31 +30
Просмотры 77K
Комментарии 44

Noise Security Bit #9 (о Black Hat 2014 и Defcon 22)

Информационная безопасность *
Не так давно в Вегасе прошли две, наверное, самые знаковые конференции в области практической информационной безопасности. Конечно же речь идет о Black Hat 2014 и Defcon 22. Доклады уже давно выложены в сети, да и хабр уже разродился несколькими публикациями по данной теме, поэтому здесь мы поговорим о подкасте Noise Security Bit #9. Этот выпуск был записан практически сразу после окончания заключительного дня конференции Defcon с русскоязычными ресечерами, а точнее с самыми стойкими из них, которых удалось отловить в момент на выходе из отеля Рио.

image
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 5.1K
Комментарии 2

Тонкости работы в командной строке Windows

Системное администрирование *
Из песочницы
Недавно я вырос из лютого эникея в очень большой компании, до скромного сисадмина надзирающего за сетью в 10 ПК. И, как очень ленивый сисадмин, столкнулся с задачами по автоматизации своей деятельности. Полгода назад я еще не знал, что в командной строке Windows есть конвейеры. Это стало первым шокирующим открытием. И я пошел дальше, и выяснилось, что там, где я раньше писал утилитки на C#, Delphi или громоздкие скрипты с вложенными циклами, можно было обойтись парой команд forfiles или robocopy.
Не буду рассказывать о банальностях, типа о перечислении файлов и папок клавишей Tab. Под хабракатом расскажу о том, что может быть полезно начинающим админам и эникеям.

Читать дальше →
Всего голосов 139: ↑114 и ↓25 +89
Просмотры 323K
Комментарии 73

Последствия OpenSSL HeartBleed

Информационная безопасность *Криптография *
image

HeartBleed может стать, если уже не стала, самой большой информационной уязвимостью вообще.
По какой-то причине, активность дискуссии в оригинальном топике не очень высока, что вызывает у меня крайне высокую степень удивления.

Что произошло?

1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали HeartBleed.

Насколько она опасна?
Эта уязвимость позволяет читать оперативую память кусками размером до 64КБ. Причем уязвимость двусторонняя, это значит, что не только вы можете читать данные с уязвимого сервера, но и сервер злоумышленника может получить часть вашей оперативной памяти, если вы используете уязвимую версию OpenSSL.

Злоумышленник может подключиться к, предположим, уязвимому интернет-банку, получить приватный SSL-ключ из оперативной памяти и выполнить MITM-атаку на вас, а ваш браузер будет вести себя так, будто бы ничего и не произошло, ведь сертификат-то верный. Или просто может получить ваш логин и пароль.

Каков масштаб трагедии?

По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.

Уязвимость была/есть, как минимум, у:
  • 10 банков
  • 2 платежных систем
  • 8 VPN-провайдеров
  • mail.yandex.ru
  • mail.yahoo.com


Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа-Клик (интернет-банкинг).
Читать дальше →
Всего голосов 201: ↑194 и ↓7 +187
Просмотры 156K
Комментарии 194

Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

Информационная безопасность *Криптография *

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
Читать дальше →
Всего голосов 185: ↑175 и ↓10 +165
Просмотры 146K
Комментарии 260

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность