Мошенники маскировали свои ресурсы под государственные сервисы и сайты браузеров
Специалисты Group-IB выявили мошенническую сеть, насчитывающую два десятка сайтов. Злоумышленники вводили пользователей в за…
Вредонос «Баба Яга» обновляет взломанные WordPress-сайты
Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под у…
Многофакторная аутентификация по-взрослому. Куем серьезный софт с помощью бесплатного инструментария
В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации в дополнение к имени пользователя и паролю (например, звонок на зарегистрированный на пользователя телефон или ввод кода из СМС) и как настроить backend-сервисы для реализации такой многофакторной аутентификации.
Новый глава GitHub рассказал, чего ждать после слияния с Microsoft
Нэт Фридман (Nat Friedman), который совсем скоро займет пост CEO GitHub, ответил на вопросы пользователей Reddit. Конечно, г…
Авторы криптовалюты EOS предложили работу исследователю, нашедшему багов на 120 000 долларов
Всего неделю назад разработчики криптовалюты EOS запустили собственную bug bounty программу на платформе HackerOne. Но один…
Более 115 000 сайтов на Drupal все еще уязвимы перед проблемой Drupalgeddon2
Критическая уязвимость, недавно обнаруженная в составе CMS Drupal, по-прежнему представляет собой большую проблему, невзирая…
IoT-ботнет Prowli скомпрометировал более 40 000 устройств и распространяет майнеры, бэкдоры и SSH-сканеры
Эксперты компании GuardiCore рассказали об обнаружении ботнета Prowli, который заражает модемы, серверы и IoT-устройства, а …
Тайна казначейского ноутбука. Используем форензику, чтобы раскрыть ограбление
Сегодня тебя ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!
Разработчики Chrome исправили серьезную уязвимость, связанную с заголовками CSP
В официальном блоге Chrome появилась информация об устранении серьезной уязвимости, связанной с некорректной обработкой заго…
Обнаружилось, что малварь VPNFilter способна заражать устройства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE
Эксперты Cisco Talos представили обновленный отчет о ботнете VPNFilter. Оказалось, что малварь представляет опасность для бо…
Google защитит паролем целостность прошивки Pixel 2
Разработчики Google сообщили, что смартфоны Pixel 2 получат дополнительную защиту против неавторизованных попыток обновить и…
Мобильные разработчики в точности повторяют ошибки веб-разработчиков 2000-х годов
Специалисты из Техасского университета A&M опубликовали исследование, посвященное проблемам разработки мобильных приложений.…
Русский народный блокчейн. Пишем простой локальный блокчейн с использованием «Стрибога»
Блокчейн и все, что с ним связано, нынче у всех на слуху, и на сегодняшний день вряд ли можно найти издание, которое обошло эту тему своим вниманием. Мы тоже в свое время подробно разобрались, что собой представляет блокчейн и зачем он нужен. Сегодня мы попробуем рассмотреть данную тему с практической стороны и напишем простейший локальный блокчейн.
Троян BackSwap использует новые способы кражи средств с банковских счетов
Специалисты ESET обнаружили троян, использующий новый способ кражи средств с банковских счетов. BackSwap работает с элемента…
92 000 000 аккаунтов сервиса MyHeritage оказались скомпрометированы
Разработчики сервиса MyHeritage, представляющего собой смесь социальной сети и гениалогического сайта, сообщили об атаке. В …
Реклама
Как записать видео с экрана: Movavi Screen Capture Studio
Время от времени возникает необходимость записи экрана — кому-то нужно записать вебинар или звонок по Skype, а кто-то хочет создать видеоурок, чтобы им потом можно было поделиться. Для этого используются программы, умеющие делать запись видео с экрана. Сегодня мы расскажем о Movavi Screen Capture Studio.
Уязвимость Zip Slip представляет угрозу для тысяч приложений на разных платформах
Специалисты Synk рассказали о критической уязвимости Zip Slip, затрагивающей различные опенсорсные библиотеки, ответственные…
Операторы ботнетов тоже используют учетные данные по умолчанию и комбинации root/root
Эксперт NewSky Security рассказал о забавном проколе неизвестных хакеров. Он обнаружил, что операторы двух IoT-ботнетов испо…
Apple улучшит защиту пользователей macOS и iOS 12
Вчера на конференции WWDC 2018 компания Apple не продемонстрировала новых устройств и железа, но сосредоточилась на рассказе…
Специалисты Solar Security проверили каршеринговые приложения на безопасность
Специалисты компании Solar Security проверили мобильные каршеринговые приложения на безопасность. Для участия в исследовании…
Около 75% свободно доступных серверов Redis скомпрометированы
Эксперты компании Imperva, недавно обнаружившие вредоносную майнинговую кампанию RedisWannaMine, опубликовали новую грустную…
Фишеры используют Punycode в текстовых сообщениях против мобильных пользователей
Специалисты компании Zscaler сообщают, что фишеры, которые действуют через SMS-сообщения, тоже используют Punycode для введе…
X-Tools для Android. Выбираем утилиты для пентеста со смартфона
Тесты на проникновение — легальный способ заниматься настоящим взломом, да еще и получать за это деньги. Продвинутый аудит безопасности обычно выполняется на ноутбуке с (Kali) Linux и специфическим оборудованием, но многие бреши легко обнаружить и с помощью обычного смартфона. В этой статье мы рассмотрим 14 утилит, которые позволят тебе выполнить пентест, не доставая ноутбук из сумки.
Набор эксплоитов RIG взял на вооружение свежую уязвимость в Internet Explorer
Авторы эксплоит-кита RIG добавили в свой арсенал уязвимость CVE-2018-8174, недавно обнаруженную в составе VBScript, с которы…
Тысячи организаций по-прежнему допускают утечки данных из-за неверной настройки Google Groups
Сотрудники компании Kenna Security обнаружили, что около 2,5 млн доменов, принадлежащих примерно 9600 организациям по всему …
Ботнет VPNFilter все еще активен и ищет новые устройства для заражения
ИБ-специалисты предупреждают, что ботнет VPNFilter, контроль над управляющими серверами которого недавно перехватило ФБР, пы…
Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности
Специалисты ThreatPress обнаружили, что e-commerce плагины производства компании Multidots содержат уязвимости и опасны для …
Microsoft собирается приобрести GitHub, а GitLab на этом фоне переживает прирост трафика
Сразу несколько крупных западных изданий сообщили, что компания Microsoft намеревается в ближайшее время приобрести GitHub. …
Firefox и Chrome деанонимизируют пользователей из-за недавних изменений в CSS
ИБ-специалисты обнаружили интересный способ атаки на пользователей браузеров Chrome и Firefox. Из-за изменений, появившихся …
Пользователи Android нашли странный баг: приложения отображают SMS в ответ на запрос the1975..com
Пользователи Android обнаружили крайне странный баг в своих устройствах. В ответ на поисковый запрос «the1975..com» приложен…
Банкер MnuBot использует в качестве командных серверов машины с Microsoft SQL
Специалисты IBM обнаружили банковского трояна MnuBot, который общается со своими управляющими серверами посредством серверов…
Неизвестные захватили бывший антиспамерский сервис SpamCannibal
Сервис SpamCannibal, раньше составлявший списки спамерских адресов, и неактивный с середины прошлого года, захватили неизвес…
Разработчики Valve исправили баг, существовавший в клиенте Steam 10 лет
ИБ-специалист обнаружил опасный баг во всех версиях клиента Steam, позволявший перехватить контроль над компьютером пользова…
Самое крутое с мировых ИБ-конференций. Десять мощных докладов о взломе и реверсинге микроэлектроники
Если уязвимости в веб-приложениях тебя утомили, то взлом железа (точнее, прошивок) будет глотком свежего воздуха. В этой статье мы собрали доклады, авторам которых удалось обойти защиту разных устройств — от аппаратных кошельков для криптовалют до электронных дверных замков.
Исправлена уязвимость, позволявшая обмануть reCAPTCHA
Специалисты Google исправили уязвимость в reCAPTCHA, которая позволяла обойти защитный механизм.
Разбор конкурса Leave ATM Alone на PHDays 8
На Positive Hack Days 8 в очередной раз прошел старый добрый конкурс по взлому банкоматов Leave ATM Alone. В распоряжении уч…
Хакер заработал миллионы, атакуя пользователей Steam
Специалисты «Доктор Веб» рассказали о вирусописателе, скрывающемся под псевдонимом Faker. Он распространяет «по подписке» ра…
Разработчики Git устранили два бага, один из которых допускал удаленное выполнение произвольного кода
Разработчики Git и различные компании, предоставляющие хостинг для Git-репозиториев, выпустили обновления, исправляющие две …
Криптуем по-крупному. Разбираемся с режимами работы российских блочных шифров
В предыдущих статьях мы подробно разобрали, как работают два отечественных криптоалгоритма. Однако с помощью них получится зашифровать весьма скудный кусочек информации — 8 или 16 байт. Понятно, что нынче в такие объемы ничего втиснуть не получится и нужно что-то с этим делать. А что с этим делать, подробно изложено в очередном российском стандарте!
Провайдеры предоставляют своим абонентам небезопасные роутеры
Специалист компании NewSky Security и известный эксперт в области IoT-безопасности Анкит Анубхав (Ankit Anubhav) обнаружил, …
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире