Юристы Telegram подали вторую жалобу в Европейский суд по правам человека
Глава правозащитной организации «Агора», представляющей интересы мессенджера Telegram, сообщил, что Telegram подал вторую жа…
Техника SafeSpec позволит бороться с атаками на уязвимости, подобные Spectre и Meltdown
Сводная группа исследователей представила доклад о технике SafeSpec, которая позволит бороться с рисками, связанным со спеку…
Ботнет Satori эксплуатирует новые уязвимости в роутерах D-Link и веб-серверах Xiongmai
Эксперты Qihoo 360 Netlab предупредили об обнаружении массовой волны сканирований 8000 портов, за которой стоит IoT-ботнет S…
Разработчики приложений для Android используют простейший трюк, чтобы обманывать пользователей
ИБ-эксперт обнаружил, что создатели бесполезных Android-приложений используют для введения пользователей в заблуждение очень…
Давай напишем ядро! Создаем простейшее рабочее ядро операционной системы
Разработка ядра по праву считается задачей не из легких, но написать простейшее ядро может каждый. Чтобы прикоснуться к магии кернел-хакинга, нужно лишь соблюсти некоторые условности и совладать с ассемблером. В этой статье мы на пальцах разберем, как это сделать.
Генеральный директор «Ростелеком-Solar» Игорь Ляпунов об особенностях российского рынка ИБ
Xakep.ru побеседовал с директором компании «Ростелеком-Solar» — одной из немногих в России, предлагающих безопасность в качестве услуги. У Игоря Ляпунова уникальный взгляд на индустрию и происходящие в ней процессы, которым он с нами и поделился.
Хакеры взломали аккаунт разработчиков криптовалюты Syscoin на GitHub и подменили официальный клиент
В начале июня 2018 года неизвестные сумели получить доступ к GitHub-аккаунту криптовалюты Syscoin. Злоумышленники подменили …
Hardwear.io 2018: конференция и тренинг о кибербезопасности железа
11-14 сентября 2018 года в Гааге пройдут конференция и тренинг Hardwear.io, посвященные кибербезопасности железа.
Наборы эксплоитов уже используют свежие баги во Flash и Internet Explorer
Эксперты Malwarebytes опубликовали отчет, посвященный активности крупных наборов эксплоитов за последнее время. Как оказалос…
Вредонос MysteryBot сочетает в себе функции банковского трояна, кейлоггера и вымогателя
Специалисты компании ThreatFabric (ранее SfyLabs) обнаружили мобильную малварь MysteryBot, которая атакует устройства на And…
Обнаруженная в GnuPG уязвимость SigSpoof позволяла подделывать любые подписи
Разработчики GNU Project сообщили об устранении проблемы SigSpoof, связанной с некорректной очисткой ввода (input sanitizati…
Группировка LuckyMouse атакует ЦОД для реализации watering hole атак
Специалисты «Лаборатории Касперского» опубликовали отчет о деятельности хакерской группы LuckyMouse (также известной под име…
Весеннее обострение. Как работают две критические уязвимости в Spring Framework
Spring — популярнейший фреймворк для разработки на Java, на котором базируются сотни решений в самых разных областях. Трудно найти серьезное приложение на Java, которое бы не использовало Spring. Недавно в нем были найдены две критические уязвимости, которые приводят к удаленному исполнению кода. Давай посмотрим, как они работают.
Разработчики Docker удалили из официального Docker Hub 17 образов с бэкдорами
Из официального реестра Docker Hub были удалены сразу 17 образов контейнеров, содержавших бэкдоры. Через них на серверы пол…
Ассистент Cortana позволял сменить пароль на заблокированном ПК
Специалист McAfee обнаружил интересный баг, связанный с работой голосового помощника Cortana. Злоумышленник, имеющий физичес…
В процессорах Intel обнаружена новая критическая уязвимость
В процессорах Intel выявлена еще одна уязвимость, подобная Meltdown и Spectre. Проблема получила идентификатор CVE-2018-3665…
Июньский «вторник обновлений» принес патчи для 11 критических уязвимостей в продуктах Microsoft
Разработчики Microsoft выпустили исправления более чем для 50 уязвимостей в Windows, Internet Explorer, Microsoft Edge, Chak…
У британской компании Dixons Carphone украли данные 5,9 млн банковских карт
Крупная британская сеть магазинов розничной торговли электроникой, Dixons Carphone, которой принадлежат такие бренды, как Cu…
Спамерский ботнет Trik допустил случайную утечку 43 000 000 email-адресов
Более 43 000 000 email-адресов попали в открытый доступ из-за некорректной настройки управляющего сервера ботнета Trik.
Шифруйся грамотно! Почему мессенджеры не защитят тайну твоей переписки
Сквозное шифрование, или end-to-end encryption (E2EE), считается панацеей от настойчивых попыток хакеров и силовых ведомств ознакомиться с онлайновой перепиской. Смысл E2EE часто сводится к тому, что ключи хранятся только на устройствах собеседников и не попадают на сервер... но это не совсем так. Давай посмотрим, как в действительности обстоят дела с E2EE, на примере популярных мессенджеров.
Apple запрещает приложениям майнить криптовалюту
Компания Apple обновила документацию для разработчиков приложений. В новой редакции майнинг криптовалют запрещен открытым те…
Многие смартфоны на Android поставляются с открытыми для удаленных подключений отладочными портами
Известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) предупредил о том, что многие производители смартфонов на Android оста…
Малварь могла выдать себя за легитимное ПО для Mac из-за бага, датированного 2005 годом
Специалист ИБ-компании Okta обнаружил серьезную проблему с проверкой подписей кода в продукции VirusTotal, Google, Facebook,…
Расширения для Chrome нельзя будет устанавливать через сторонние сайты
Разработчики Google анонсировали, что постепенно откажутся от практики, позволяющей устанавливать расширения для браузера Ch…
Разбираем атаки на Microsoft Active Directory. Техники проникновения и детекта
За последние четыре года ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье мы рассмотрим популярные способы атак на AD и приведем рекомендации, которые помогут от них защититься.
Южнокорейскую криптовалютную биржу Coinrail взломали. Похищено почти 40 млн долларов
В минувшие выходные администрация южнокорейской криптовалютной биржи Coinrail заявила о взломе. Неизвестным удалось похитить…
«Код ИБ ПРОФИ» в Сочи перенесет безопасников в 2024 год
26-29 июля 2018 года в Сочи пройдет конференция «Код ИБ ПРОФИ», в которой примут участие главные ИБ-эксперты.
Реклама
Linken Sphere — браузер для тех, кому нужна анонимность и сколько угодно аккаунтов
Существуют самые разные задачи, которые требуют быстро переключаться между большим количеством аккаунтов (в том числе в социальных сетях), и при этом критичен уход от фингерпринтинга и прочих следящих механизмов. Браузер Linken Sphere, о котором мы расскажем, — как раз одно из таких решений.
Спамеры используют файлы IQY для обхода почтовых фильтров
Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY, чтобы обманывать почтовые спам-фильтры.
У Signal снова проблемы с самоуничтожающимися сообщениями: они исчезают далеко не всегда
Журналисты Vice Motherboard обнаружили проблему с самоуничтожающимися сообщениями в мессенджере Signal. Оказалось, что из-за…
Выпущены патчи для трех критических багов в прошивках камер Foscam
Китайский производитель Foscam опубликовал обновленные версии прошивок для своих IP-камер. В них были устранены сразу три кр…
Хакеры вывели из строя компьютеры чилийского банка, пытаясь похитить деньги через систему SWIFT
Неизвестные злоумышленники пустили вход повреждающую жесткие диски малварь во время атаки на чилийский Banco de Chile. Таким…
Дао хеша. Познаем дзен методически правильного хеширования паролей
Наверняка тебе известно, что хорошая система контроля доступа, основанная на вводе и проверке правильности пароля, никогда и нигде не сохраняет пароли в открытом виде, а проверяет их с использованием хеш-суммы. В этой статье мы на практике рассмотрим вопросы правильного хеширования паролей, руководствуясь при этом актуальными российскими методическими рекомендациями.
Правоохранители предъявили четыре новых обвинения ИБ-специалисту, который остановил распространение WannaCry
Британский ИБ-специалист Маркус Хатчинс, более известный в сети под псевдонимом MalwareTech, по-прежнему не решил свои пробл…
Роскомнадзор разблокировал более 7 000 000 IP-адресов
Вечером 8 июня 2018 года Роскомнадзор неожиданно вынес из реестра запрещенных сайтов более 7 000 000 IP-адресов. Как завили …
Adobe экстренно патчит Flash Player: критическую уязвимость нулевого дня уже применяют для атак
Разработчики компании Adobe в очередной раз выпустили внеплановый патч для Flash Player. Дело в том, что во Flash Player опя…
Разработчики Facebook случайно сделали сообщения 14 млн пользователей видимыми для всех
Компанию Facebook продолжают преследовать неприятности, связанные с приватностью данных пользователей. На этот раз из-за хал…
Мошенники маскировали свои ресурсы под государственные сервисы и сайты браузеров
Специалисты Group-IB выявили мошенническую сеть, насчитывающую два десятка сайтов. Злоумышленники вводили пользователей в за…
Вредонос «Баба Яга» обновляет взломанные WordPress-сайты
Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под у…
Многофакторная аутентификация по-взрослому. Куем серьезный софт с помощью бесплатного инструментария
В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации в дополнение к имени пользователя и паролю (например, звонок на зарегистрированный на пользователя телефон или ввод кода из СМС) и как настроить backend-сервисы для реализации такой многофакторной аутентификации.
Бумажный выпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире