Ключ YubiKey 5Ci совместим как с USB-C, так и с Lightning
Разработчики компании Yubico представили аппаратный ключ безопасности YubiKey 5Ci, который поддерживает Lightning и подойдет…
Шифровальщик Syrk атакует любителей читерить в Fortnite
Шифровальщик, построенный на базе опенсорсной малвари Hidden-Cry, маскируется под читерский инструмент для Fortnite.
Twitch Extensions. Пишем свое расширение для взаимодействия со зрителями
Два года назад разработчики стриминговой платформы Twitch представили новый способ взаимодействия стримеров и зрителей — Twitch Extensions. Эта система позволяет разработчикам дополнять и улучшать интерфейс как сайта, так и мобильного приложения, создавая различные интерактивные элементы. Я расскажу, как работают эти расширения и как при желании создать свое.
Баг в новом дизайне Facebook позволял удалять чужие фото
Ошибка в новом дизайне социальной сети позволяла удалить фотографию профиля любого пользователя.
VLC Media Player получил исправления для 13 уязвимостей
Разработчики VideoLan выпустили VLC Media Player 3.0.8. В новой версии устранили 13 уязвимостей и улучшили возможности воспр…
Group-IB: ущерб от атак группы Silence приблизился к отметке в 300 млн руб
Аналитики сообщили, что подтвержденная сумма хищений, совершенных группой Silence в период с июня 2016 года по июнь 2019 год…
Facebook заплатит исследователям за обнаружение злоупотребления данными в Instagram
Компания Facebook расширила свою программу Data Abuse Bounty на приложения для Instagram. Обнаружив злоупотреблением данными…
ВзломХардкор
Неправильный CTF. Одноразовые пароли, буйство LDAP-инъекций и трюки c архиватором 7z
Сегодня мы пройдем виртуальную машину CTF с Hack The Box. Машина уязвима к разному типу LDAP-инъекций, использует генератор одноразовых паролей stoken в качестве механизма аутентификации и содержит небрежно написанный скрипт на Bash, с помощью которого мы обманем архиватор 7z и получим root.
Shit gets real. Колонка главреда
В этом выпуске колонки я хотел бы поделиться с тобой небольшой личной историей, оттолкнувшись от которой мы потом поговорим обо всяких глобальных и возвышенных вещах. История эта произошла в начале года на конференции компании Check Point.
Рекламные вредоносы из Google Play установили более 8 млн раз
Эксперты обнаружили в каталоге Google Play 85 приложений, демонстрировавших пользователям навязчивую рекламу. Суммарно вредо…
В коде Webmin более года скрывался бэкдор
В популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдо…
Банковский троян Bolik маскируется под NordVPN
Злоумышленники используют копии сайтов популярных сервисов для распространения банкера Bolik. Один из таких ресурсов копируе…
Совершена скоординированная вымогательская атака на муниципальные власти Техаса
На техасские органы власти была совершена вымогательская атака. Сообщается, что жертв как минимум 23, и по информации СМИ, з…
Биржа Coinbase предупредила, что данные ряда пользователей хранились в открытом виде
Разработчики Coinbase сообщили, что из-за бага на странице регистрации личные данные нескольких тысяч пользователей биржи со…
Совсем скоро в Санкт-Петербурге состоится Chaos Constructions 2019
24-25 августа, в последние выходные лета, в Санкт-Петербурге пройдет компьютерный фестиваль Chaos Constructions 2019. Предст…
Береги глаза! Активируем DC Dimming в iPhone Xs, Pixel 3 XL, Xiaomi Mi 9 и других смартфонах
Вырвиглазные мерцающие OLED-дисплеи остались в прошлом! В Xiaomi изобрели способ сделать OLED без мерцания, причем не только у актуального флагмана, но и у старых устройств. Но сколько тут истины, а сколько — рекламной шелухи? Что на самом деле сделали в Xiaomi и были ли они первыми на рынке? Попробуем разобраться.
Разработчики LibreOffice исправили проблемы, позволявшие обойти предыдущие патчи
Выпущен LibreOffice 6.2.6/6.3.0, в котором исправлены три серьезные уязвимости. Баги позволяли обойти патчи для других опасн…
Деградация производительности сети Tor может стоить всего несколько тысяч долларов в месяц
Исследователи утверждают, что ощутимо повредить Tor можно простыми атаками на TorFlow, мосты Tor и конкретные узлы. Причем а…
Из-за ошибки продукты «Лаборатории Касперского» позволяли сайтам шпионить за пользователями
Редактор немецкого журнала c't обнаружил, что защитные продукты «Лаборатории Касперского» сообщали сайтам и другим сервисам …
Intel выпустила августовские патчи и обновила прошивки для NUC
Компания Intel представила августовский набор патчей, в том числе устранив уязвимость в нескольких моделях NUC Kit.
Разгоняем микроконтроллер. Как я выжал 620 МГц из совместимой с Arduino платы
Производительности всегда не хватает. Иногда проблему можно решить, просто обновившись до топового железа, но если и его вдруг оказалось недостаточно — дальше остается только разгон. Такая соблазнительная возможность, что едва ли стоит ей сопротивляться!
В парольных менеджерах Trend Micro и Firefox исправлены опасные уязвимости
Разработчики Trend Micro и Mozilla устранили опасные уязвимости в своих парольных менеджерах. Баги позволяли повысить привил…
Google: только 26% пользователей согласились сменить пароль, узнав о его компрометации
Инженеры Google опубликовали статистику, собранную расширением Password Checkup. По оценке компании, лишь в 1,5% случаев из …
Google лишает Chrome поддержки FTP
Разработчики Google начали претворять в жизнь идею по удалению поддержки FTP из браузера Chrome.
Из-за восьми багов в HTTP/2 серверы уязвимы перед DoS-атаками
Многие имплементации протокола HTTP/2 уязвимы для атак, которые могут приводить к отказу в обслуживании на непропатченных се…
Facebook признала, что подрядчики компании слушают разговоры пользователей
Вслед за Apple, Google, Microsoft и Amazon компания Facebook признала, что разговоры пользователей могут прослушивать люди-п…
Новая Bluetooth-уязвимость KNOB позволяет манипулировать трафиком
Новая проблема затрагивает устройства Bluetooth BR/EDR (он же Bluetooth Classic) и позволяет атакующим эффективно брутфорсит…
Голые факты. Как нейросеть DeepNude раздевает женщин на фото
DeepNude — приложение, умеющее бесстыдно раздевать на фото представительниц прекрасного пола — взорвало интернет в минувшем июне. Этот проект использует в своей работе адскую смесь из нейросетей, искусственного интеллекта и полового инстинкта.
В сети опубликована БД хакерского форума Cracked[.]to
На Raidforums были опубликованы данные более чем 321 000 пользователей другого хакерского ресурса, Cracked[.]to (в том числе…
Взломщицу Capital One подозревают в компрометации еще 30 компаний
При обыске у Пейдж Томпсон, которую в июле арестовали из-за хищения данных 106 млн пользователей банка Capital One, обнаружи…
Android-банкер Cerberus использует шагомер, чтобы избежать обнаружения
Эксперты амстердамской компании ThreatFabric обнаружили нового вредоноса для Android, который избегает обнаружения весьма не…
Эксперт Google обнаружил уязвимость 20-летней давности, опасную для всех версий Windows
Специалист Google Project Zero обнаружил опасную проблему, связанную с MSCTF. Баг появился почти 20 лет назад и затрагивает …
Второй раунд. Девять новых атак по обходным каналам на основе уязвимостей кеша
С момента публикации первого обзора подобного рода атак поборники добра сумели разработать эффективные меры защиты. Однако темная сторона силы тоже оттачивала свое мастерство. Какие новые техники они изобрели и почему атакующие разделились на два лагеря — читай об этом в моем новом материале.
Две новые уязвимости с потенциалом червя угрожают Windows и похожи на BlueKeep
У опасной проблемы BlueKeep появились достойные «последователи». Microsoft исправила две похожие уязвимости в своих продукта…
Исследователь получил штрафы на 12 000 долларов, поменяв номерной знак авто на «NULL»
ИБ-исследователь, известный под псевдонимом Droogie, рассказал на конференции DEFCON, с чем ему пришлось столкнуться после с…
Безопасность в облаках. Изучаем безопасность облачных сервисов на примере инфраструктуры Яндекса
Существует несколько методов построения корпоративной IT-инфраструктуры. Развертывание всех ресурсов и сервисов на базе облачной платформы — лишь один из них. Однако преградой на этом пути часто становятся предрассудки, касающиеся безопасности облачных решений. В этой статье мы разберемся, как устроена система безопасности в облаке одного из самых известных российских провайдеров — Яндекса.
Мошенники обманом вынуждают жертв установить TeamViewer
Аналитики Group-IB предупредили о новой волне мошенничества, направленного на пользователей приложений для мобильного банкин…
В даркнете закрыт очередной ресурс с детским порно, приговоры вынесены четырем администраторам
Министерство юстиции США отчиталось о прекращении работы .onion-сайта The Giftbox Exchange, который на момент закрытия насчи…
Полет в стратосферу. Ломаем Struts через Action-приложение и мастерим Forward Shell
В этой статье я покажу, как получить рут на виртуалке Stratosphere с CTF-площадки Hack The Box. На этот раз мы повоюем с фреймворком Apache Struts для получения RCE, рассмотрим в действии редко обсуждаемую, но очень полезную концепцию получения удаленной сессии Forward Shell, а также поиграем с угоном библиотеки и эксплуатацией функции `eval()` для скрипта на Python.
Эксперты Pen Test Partners раскритиковали безопасность 4G-роутеров
Исследователи протестировали несколько 4G-марштуризаторов разных производителей, включая ZTE, Netgear и TP-LINK.
Бумажный спецвыпуск
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире