В Facebook нашли фишинговую кампанию, направленную против пользователей iOS и Android
Специалисты обнаружили изощренную фишинговую кампанию: злоумышленники выманивают у пользователей учетные данные Facebook или…
Firefox запретит отслеживать пользователей посредством HTML5 Canvas
Разработчики Mozilla решили перенести в Firefox один из механизмов безопасности Tor Browser. Начиная с версии 58 Firefox зап…
Гайд по написанию защищенных приложений для Android, трояны, шифровальщики и обход Certificate Pinning
Сегодня в выпуске: инструменты анализа и деобфускации, разбор троянов и шифровальщиков, методы обхода Certificate Pinning, большой гайд по написанию защищенных приложений, неочевидные возможности Kotlin и отличное введение в написание асинхронного кода с помощью корутин. А также: двенадцать вещей, которые должен знать каждый начинающий разработчик, и большой список must have библиотек.
Авторы примитивного трояна CryptoShuffler уже похитили порядка $150 000
«Лаборатория Касперского» рассказала о том, как разработчики трояна CryptoShuffler «заработали» почти 150 000 долларов, испо…
Специалисты научились ломать reCAPTCHA с помощью ИИ и распознавания речи
За последние дни сразу несколько групп исследователей представили новые способы взлома систем CAPTCHA, в том числе с использ…
Oracle устранила опасный баг в Identity Manager, получивший 10 баллов по шкале CVSS
В этом месяце Oracle исправила 252 уязвимости в своих продуктах. Теперь компания представила еще один бюллетень. Баг получил…
Система двухфакторной аутентификации Pixie: фото случайных предметов вместо SMS-сообщений
Специалисты из международного университета Флориды, совместно с Bloomberg, представили интересную альтернативу существующим …
Малварь для Android за полчаса. Отслеживаем местоположение, читаем SMS, пишем аудио и делаем фото
Android принято называть рассадником вирусов и бэкдоров. Каждый день здесь выявляют более 8 тысяч новых образцов малвари. И эти цифры постоянно растут. Но задумывался ли ты, как эта малварь работает? Сегодня мы разберемся с этим, изучив приложение для Android, способное собирать информацию об устройстве, его местоположении, делать фотографии и записывать аудио. И все это с удаленным управлением.
Проблемы баг-трекера Google привели к утечке информации об уязвимостях
Румынский исследователь обнаружил ряд багов в системе отслеживания ошибок Google, что позволило ему проникнуть в святая свят…
13 ноября в Newprolab стартует курс «Data Engineer» для разработчиков
New Professions Lab (Newprolab) запускает программу «Data Engineer» — первую в России офлайн-программу для подготовки таких …
Майнеры Coinhive обнаружены в Android-приложениях и на WordPress-сайтах
Самым популярным решением для майнинга через браузеры среди злоумышленников определенно стал сервис Coinhive. И теперь майни…
Уязвимость в Windows позволяет похитить учетные данные без взаимодействия с пользователем
Специалист подробно рассказал об уязвимости, позволяющей похищать хеши NTLM-паролей.
Google откажется от использования технологии Public Key Pinning (PKP)
Разработчики Google сообщили, что в 2018 году из Chromium будет удалена поддержка технологии Public Key Pinning (PKP).
Некоторые жертвы Bad Rabbit могут расшифровать пострадавшие данные
Специалисты обнаружили, что в некоторых случаях данные, пострадавшие в результате атаки малвари Bad Rabbit , можно спасти.
Доступ разрешен. Изучаем баги LG, Samsung и Motorola, позволяющие снять данные с зашифрованного смартфона
Android — это система, которая при выполнении ряда условий и грамотном использовании могла бы стать достаточно безопасной. В реальном же мире все портят производители. Сегодня мы рассмотрим защитные механизмы Android, призванные обеспечивать доверенную загрузку и охранять твои данные от злоумышленников, — а также изучим ошибки и не совсем ошибки производителей LG, Motorola и Samsung, сводящие пользу от этих механизмов на нет.
Исследователи изучили новый ботнет Reaper более детально
Вслед за коллегами из других компаний исследователи Arbor Networks тоже изучили новый IoT-ботнет, получивший имя Reaper.
Самый популярный мессенджер среди киберпреступников — это Discord
Аналитики компании IntSights представили отчет, посвященный наиболее популярным способам коммуникации в даркнете.
Компания Dell забыла продлить домен, и его немедленно захватили сквоттеры
Компания Dell забыла продлить один из своих доменов, являвшийся частью системы Dell Backup and Recovery.
«Плохой кролик» все же использовал эксплоит АНБ
ИБ-эксперты все же обнаружили в коде Bad Rabbit один из эксплоитов, ранее похищенных у АНБ, и провели больше параллелей с No…
Обнаружен баг, превращающий устройства LG в шпионские гаджеты
Специалисты Check Point рассказали об обнаружении проблемы HomeHack в системе LG SmartThinQ. Из-за бага миллионы «умных» уст…
Секция Defensive на ZeroNights 2017
Представлен список докладов и докладчиков слота Defensive. Данная секция заслуженно пользуется большой популярностью у посет…
Fall Creators Update для программиста. Пробуем новые фичи Universal Windows Platform
Классические дотнетовские приложения хороши тем, что они практически не ограничены в правах и, например, могут работать в трее. Зато универсальные приложения (UWP) более безопасны, и их можно устанавливать/удалять бесчисленное количество раз, не забивая систему/реестр мусором. Платформа UWP постоянно развивается, и, пока пользователи обновляются до Fall Creators Update, который вышел в октябре этого года, мы, разработчики, можем посмотреть на его новые и интересные возможности.
Вымогатель требует от администрации хакерского форума $50 000, угрожая передать БД правоохранителям
Неизвестный взломал хакерский ресурс Basetools[.]ws, насчитывающий более 150 000 пользователей, и теперь вымогает деньги у е…
«Лаборатория Касперского» представила свою версию инцидента, повлекшего за собой утечку данных АНБ
Недавно западные СМИ обвинили «Лабораторию Касперского» в том, компания каким-то образом принимала участие в хищении киберор…
Приложения для iOS, имеющие доступ к камере, могут скрыто снимать фото и видео
Исследователь обнаружил, что iOS-приложения могут без каких-либо проблем шпионить за пользователями.
В анонимном сервисе для информаторов SecureDrop найдена уязвимость, приводящая к утечке данных
Администрация сервиса SecureDrop сообщила об устранении уязвимости, которая могла скомпрометировать весь обмен сообщениями м…
Сисадминский must have: 13 утилит, о которых должен знать каждый админ
Чемоданчик инструментов — вот что отличает опытного специалиста от новичка. А в вопросах, связанных с администрированием Linux, такой чемоданчик — едва ли не самое важное. В этой статье мы не будем говорить о таких вещах, как Nagios, Puppet, Webmin, или изощренных анализаторах логов Apache — обо всем этом ты должен знать и так. Вместо этого мы поговорим о небольших утилитах, способных сделать твою жизнь намного проще.
Реклама
Блокчейн — финансовый инструмент или очередная афера? Рассказывает Geekbrains
Биткойн сегодня обсуждают все кому не лень — от дяденек в костюмах до младших школьников. Даже цыгане начали им торговать. В ногу с криптовалютой идет технология блокчейн (blockchain), представляющая собой непрерывную последовательную цепочку блоков данных, выстроенных по определенным правилам.
Защитное решение Google Play Protect сравнили с другими антивирусами для Android
Специалисты AV-Test впервые провели сравнение защитного решения Google Play Protect с другими антивирусными продуктами. Увы,…
Фишеры заработали $15 000 за два часа, выдавая себя за легитимный Ethereum-кошелек
ИБ-эксперт обнаружил фишеров, которые выдавали себя за легитимный сервис Myetherwallet.com.
Атака DUHK поможет восстановить ключи шифрования для VPN- и веб-сессий
Вслед за KRACK и ROCA исследователи обнаружили еще один криптографический баг, который получил название DUHK (Don't Use Hard…
Неизвестные взломали майнинговый сервис CoinHive, заставив тысячи сайтов добывать Monero для себя
Сервис, предоставляющий владельцам сайтов скрипты для майнинга, был скомпрометирован. Злоумышленники проникли в аккаунт Clou…
Игра в числа. Разбираем уязвимость Integer Overflow в веб-сервере nginx
В популярнейшем веб- и прокси-сервере nginx была обнаружена занятная уязвимость: специально сформированным запросом можно получить информацию о внутренней структуре приложения. Этот баг томился без малого десять лет, и подвержены ей версии с 0.5.6 и до 1.13.2 включительно — то есть с 2007 года по июль 2017-го. Nginx, как известно, используется на каждом третьем-четвертом сайте, так что изучить эту лазейку не помешает.
Объявлены ключевые спикеры конференции «Интернет вещей»
С 31 октября по 1 ноября 2017 года в Москве пройдет международная конференция «Интернет вещей». Рассказываем, кто выступит н…
Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya
Вчера ряд российских СМИ, а также украинских госучреждений подверглись атаке шифровальщика Bad Rabbit. Эксперты ИБ-компаний …
«Правительственные» хакеры атаковали ИБ-экспертов с помощью спама и банальных вредоносных документов
Эксперты Cisco Talos обнаружили весьма странную таргетированную атаку, выполненную предположительно российскими «правительст…
Банкер LokiBot превращается в шифровальщика, если его пытаются удалить
Специалисты SfyLabs рассказали о гибридной Android-малвари LokiBot. Хотя вредонос, по сути, является банковским трояном, он …
Google тестирует функцию DNS over TLS, призванную защитить пользователей Android от слежки
Новая экспериментальная функция в Android призвана зашифровать DNS-запросы пользователей и защитить их от слежки.
Россия и Украина подверглись атакам шифровальщика Badrabbit
Российские и украинские СМИ и госучреждения массово сообщают о кибератаках. Специалисты Group-IB предупредили, что виной том…
Специалисты Татарстана встретятся на конференции «Код ИБ» 26 октября
26 октября 2017 года в Татарстане, на территории «Гранд Отеле Казань» пройдет конференция «Код ИБ».
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире