Информация о 620 млн учетных записей выставлена на продажу в даркнете
Издание The Register сообщило, что в даркнете, на торговой площадке Dream Market, были выставлены на продажу данные сотен ми…
Баг в плагине для WordPress может использоваться для захвата сайтов
Уязвимость в плагине Simple Social Buttons, установленном на 40 000 сайтов, может использоваться для размещения бэкдоров и …
Вскрыть и изучить. Полный гайд по потрошению домашних гаджетов
Представим себе, что в наши цепкие и очумелые руки попал какой-нибудь интересный гаджет. Скажем, контроллер умного дома или современная интерактивная телеприставка, умеющая показывать тысячу каналов из разных уголков мира, а во время рекламных пауз — варить эспрессо. Как узнать, что делает этот гаджет, пока мы не видим?
Госдума приняла в первом чтении законопроект «о суверенном рунете»
Сегодня был принят в первом чтении законопроект, направленный на защиту устойчивой работы рунета.
Уязвимость в runC угрожает безопасности Docker, Kubernetes и не только
Обнаруженная в runC уязвимость может использоваться для атаки на хост-систему и получения root-доступа.
В Google Play нашли малварь, подменяющую данные в буфере обмена
Специалист ESET обнаружил в официальном каталоге приложений Google приложение-клиппер, подменяющее данные в буфере обмена. К…
Microsoft призывает отказаться от использования Internet Explorer
Представители компании заявляют, что IE – это не полноценный браузер, а продукт для корпоративных клиентов, которым приходит…
В марте в Москве пройдет вторая конференция «Код ИБ ПРОФИ»
С 28 по 31 марта в Москве пройдет вторая конференция «Код ИБ ПРОФИ». Это событие соберет 200 профессионалов в сфере информац…
В браузере Opera для Android появится встроенный VPN
Бесплатный и безлимитный VPN снова станет доступен пользователям Opera, причем теперь это встроенная функциональность браузе…
Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick
Специалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, которую часто используют в проектах на Python, в том числе — на вебе. Как это эксплуатировать? Давай разбираться.
Новая атака представляет угрозу даже для TLS 1.3
Группа специалистов описала новый вариант атаки Блейхенбахера, представляющий угрозу для новейшего TLS 1.3.
Apple напомнила разработчикам, что правила компании запрещают шпионить за действиями пользователей
Выяснилось, что разработчики приложений для iOS наблюдали за тем, как пользователи взаимодействуют со своими устройствами (р…
Вымогатели по-прежнему захватывают установки MongoDB, хотя это не работает
Злоумышленники по-прежнему атакуют установки MongoDB и требуют выкуп за восстановление данных, хотя давно известно, что эта …
Google Adiantium сделает надежное шифрование доступным даже для «слабых» мобильных устройств
Разработчики Google представили новый метод шифрования Adiantium, который ориентирован на бюджетные устройства, где использо…
Ваяем сниффер на ESP32. Слушаем вайфай, прицеливаемся на блютус!
Все началось с того, что однажды у нас в GS-Labs наметился проект по поиску багов и уязвимостей. Да вот только железка, где должно работать приложение, была хитрая — нельзя поставить root, нет любимого Ethernet. А хакеры, как ты знаешь, не любят неизвестности! Дома у меня валялись пара отладочных плат на основе ESP32, и я решил сделать свой Wi-Fi-сниффер — с перспективой расширения до Bluetooth-сниффера!
Китайские хакеры взломали компанию Visma, норвежского поставщика облачных технологий
Эксперты Rapid7 и Recorded Future предупредили, что китайская хак-группа APT10 стояла за взломом компании Visma, юридической…
Переводчик Google используют для маскировки фишинговых атак
Фишинговая кампания, направленная на кражу учетных данных от аккаунтов Google и Facebook, злоупотребляет возможностями перев…
Релиз iOS 12.1.4 исправил 0-day уязвимости и баг, допускавший «подслушивание» через FaceTime
Пользователям устройств Apple пора устанавливать обновления. Разработчики исправили нашумевшую проблему в FaceTime, а также …
Энергетическая компания из Южной Африки взломана, потому что ее сотрудник скачал The Sims 4
Крупнейший поставщик электроэнергии в ЮАР, компания Eskom, пострадал от компрометации. Эксперты пришли к выводу, что сотрудн…
Из браузера Safari убирают функциональность Do Not Track
Очень иронично, но функциональность Do Not Track может использоваться для скрытой слежки за пользователями, и инженеры Apple…
Эксперты Check Point предупредили об уязвимостях в RDP-клиентах
Специалисты выявили 25 уязвимостей в популярных RDP-клиентах для Windows и Linux.
Забытые андроиды. Самые опасные уязвимости в старых версиях Android
Как известно, операционные системы разрабатываются людьми. Кое-кто, впрочем, уверен, что Android создали рептилоиды: в мобильной платформе Google на сегодняшний день обнаружено множество ошибок, которые могут использоваться как для несанкционированного доступа к файловой системе смартфона, так и для распространения вредоносного ПО.
Через уязвимость нулевого дня в macOS можно похитить пароли пользователей
Эксплоит для проблемы KeySteal помогает похитить все пароли пользователя из Keychain. Интересно, что специалист, обнаруживши…
Обычное PNG-изображение могло полностью скомпрометировать устройство на Android
Разработчики Google исправили опасную проблему в Android: простой просмотр вредоносного файла PNG через приложение мог приве…
Проблему точек в адресах Gmail все еще используют хакеры
Специалисты компании Agari предупреждают, что мошенники по-прежнему злоупотребляют функциональностью Gmail, приравнивающей а…
Firefox 66 будет бороться с автоматическим воспроизведением аудио и видео
Браузер Mozilla будет блокировать контент с автовоспроизведением звука, начиная с версии Firefox 66, запланированной на 19 м…
ВзломДля начинающих
Фундаментальные основы хакерства. Продолжаем осваивать отладчик
В предыдущих статьях мы познакомились с двумя основными типами хакерского инструментария: дизассемблером и отладчиком. Первый служит для статического изучения программного обеспечения, тогда как второй — для динамического. В третьей статье цикла мы продолжим изучать глубинное бурение чужого кода.
Найдена RCE-уязвимость в составе LibreOffice и OpenOffice
LibreOffice и Apache OpenOffice оказались подвержены уязвимости, допускающей удаленное исполнение произвольного кода. И если…
GitHub-аккаунт разработчиков криптовалюты Denarius взломан, в ПО внедрили малварь AZORult
Windows-клиент криптовалютного проекта Denarius был скомпрометирован, в него встроили малварь AZORult.
Представлено расширение для Chrome, оповещающее о компрометации паролей
Разработчики Google выпустили расширение Password Checkup, которое проверяет, подвергались ли учтенные данные компрометации.
Хакер, похитивший 5 млн долларов через мошенничество с SIM-картами, получил 10 лет тюрьмы
Впервые вынесен приговор мошеннику, занимавшемуся так называемым SIM swap. 20-летний студент, похитивший криптовалюту у 40 ч…
MEGANews. Самые важные события в мире инфосека за январь
Начало 2019 года выдалось богатым на события. Компания Apple «поссорилась» с Facebook и Google, криптовалютные биржи и обменники опять страдают от взломов, разработчики Google могут «сломать» блокировщики контента и другие расширения, а правоохранители закрыли торговую площадку xDedic и преследуют DDoS’еров.
Почти 500 000 устройств Ubiquiti могут использоваться для усиления DDoS
Разработчики Ubiquiti Networks работают над исправлением проблемы, которой пользуются преступники. В настоящее время устройс…
Ответственность за 60% всех известных взломов криптовалютных бирж лежит на двух хак-группах
По данным аналитической фирмы Chainalysis, всего две хакерские группы ответственны за 60% публично известных инцидентов, свя…
Бэкдор SpeakUp угрожает пользователям Linux и MacOS
Эксперты Check Point предупреждают: новый бэкдор атакует Linux-серверы в Восточной Азии и Латинской Америке и также может пр…
8 лет тюрьмы грозит специалисту, нашедшему уязвимости в системах Magyar Telekom
Венгерская телекоммуникационная компания Magyar Telekom судится с исследователем, обнаружившим уязвимости в ее системах.
Siri Shortcuts можно использовать для вымогательства и распространения малвари
Эксперты IBM X-Force считают, что функциональность Siri Shortcuts может использоваться для запугивания пользователей и даже …
Пользователи обменника QuadrigaCX лишились 190 млн долларов из-за смерти создателя сайта
Пользователи еще одной криптовалютной биржи лишились своих средств. Однако на этот раз причиной, похоже, стал не взлом и не …
Вредонос на JS. Как Chrome помог мне реверсить вирус-шифровальщик
Наверняка ты хоть раз получал по электронной почте письмо со ссылкой на подозрительный архив. Авторы таких писем делают все возможное, чтобы невнимательный пользователь перешел по ссылке и позволил заразить свой компьютер. Подобное письмо пришло и моему приятелю, и так он стал одной из жертв. А что это был за вредонос, мы разберемся вместе.
Почти терабайт «утекших» данных: специалисты изучают другие части дампа «Коллекция №1»
993,53 Гб данных, миллиарды записей и «утекших» пользовательских данных. Однако поводов для паники по-прежнему нет.
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире