Информационная безопасность

Проект Red Team: роли и области экспертизы. Колонка Дениса Макрушина

Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как…

Федеральная торговая комиссия будет наблюдать за работой D-Link в ближайшие 10 лет

Компания D-Link урегулировала юридический спор с Федеральной торговой комиссией США. Тайваньского производителя обязали проводить регулярные аудиты и внедрить новые механизмы…

Всего две хакерские группы ответственны за рост атак на магазины Magento 2.x

Уже третий месяц подряд количество взломанных магазинов на базе Magento 2.x продолжает удваиваться.

Rowhammer-атака RAMBleed позволяет похищать данные, а не только подменять их

Сводная группа ученых из США, Австралии и Австрии опубликовала доклад о новой вариации атаки на проблему Rowhammer.

Две трети разработчиков приложений для iOS не используют защиту ATS

Исследование показало, что спустя три года после запуска функции App Transport Security ее используют лишь 27% приложений для iOS.

Новая атака на Android-устройства помогает имитировать нажатия на экран

Перед атакой Tap 'n Ghost уязвимы многие устройства с емкостными сенсорными экранами и поддержкой NFC.

ProtonMail обвинили в слежке за пользователями и помощи правоохранительным органам

Швейцарские эксперты сообщили, что компания ProtonMail добровольно предлагает помощь властям и следит за своими пользователями едва ли не в реальном…

Windows 10 перестанет поддерживать небезопасные сети Wi-Fi

Windows будет предупреждать о небезопасности использования WEP и TKIP, а в будущем откажется от их поддержки.

Больше года мобильные Chrome, Safari и Firefox не предупреждали пользователей о фишинге

Исследователи обнаружили, что функциональность Google Safe Browsing не работала в мобильных браузерах с середины 2017 и до конца 2018 года.

Tor Browser для Android вышел из беты

Спустя восемь месяцев бета-тестирования Tor Browser для Android готов.

Долгие годы Google хранила пароли от G Suite нехешированными

Представители Google предупредили, что пароли корпоративных клиентов G Suite почти 14 лет хранились в недостаточно защищенной форме.

Проект Red Team: организация, управление, скоуп. Колонка Дениса Макрушина

Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем защитник. Атакованной стороне нужно быть эффективной всегда, 24/7, а…

Приложения для GPS-мониторинга позволяют следить за чужими авто и удаленно глушить их двигатели

Журналисты Vice Motherboard рассказали, что некто L&M взломал около 30 000 аккаунтов в приложениях iTrack и ProTrack, и в результате…

Британский Национальный центр кибербезопасности подготовил список худших паролей

Проблемы ненадежных паролей, а также их повторного использования по-прежнему очень актуальны. Специалисты NCSC представили отчет, посвященный худшим и наиболее часто…

Google будет блокировать попытки логина через встроенные браузерные фреймворки для защиты от MitM-атак

Инженеры Google намерены запретить вход в учетную запись с помощью Chromium Embedded Framework (CEF), XULRunner и так далее.

Разработчики Google Chrome хотят блокировать загрузку некоторых типов файлов через HTTP

Инженер Google предлагает запретить HTTPS-сайтам инициировать загрузку определенных типов файлов посредством HTTP. В список запрещенных могут включить файлы EXE, DMG,…

Мобильный UC Browser подвергает риску MITM-атак 500 000 000 пользователей

Аналитики «Доктор Веб» обнаружили в популярном мобильном браузере UC Browser скрытую возможность загрузки и запуска непроверенного кода.

Операция ShadowHammer: из-за взлома ASUS Live Update более миллиона устройств заразили бэкдором

Классическая атака на цепочку поставок: около полугода назад злоумышленники скомпрометировали компанию Asus и принялись раздавать бэкдоры через инструмент для автоматического…

Facebook хранила пароли миллионов пользователей в открытом виде, и сотрудники имели к ним доступ

Социальную сеть вновь уличили в халатном отношении к приватности пользователей. Пароли 200-600 млн пользователей Facebook Lite, Facebook и Instagram хранились…

89% государственных сайтов в ЕС кишат рекламными трекерами

Специалисты Cookiebot подсчитали, что за посетителями 89% государственных сайтов в ЕС следят 112 компаний.

При покупке подержанного USB-накопителя в 1/5 случаев можно определить предыдущего владельца

Британские специалисты проверили, что будет, если купить подержанную флешку с рук. Оказалось, далеко не все пользователи знают, как правильно и…

Компании допускают утечки данных через свои аккаунты Box

Исследователи заметили, что компании, использующие платформу для облачного хостинга и совместного использования файлов Box.com, часто оставляют в общем доступе внутренние…

Незащищенная БД стала причиной утечки 800 000 000 записей

Специалисты обнаружили незащищенную базу MongoDB, содержавшую 150 Гб личных данных.

Cisco рекомендует владельцам коммутаторов Nexus отключить POAP

Разработчики Cisco выпустили обновленное ПО для Nexus, в котором появилась команда для отключения POAP.

Пароль «ji32k7au4a83» оказался очень распространенным и слишком простым

На первый взгляд пароль «ji32k7au4a83» кажется надежным, однако эту комбинацию обнаружили в составе 141 утечки данных.

Бери iPhone! Как под видом новых айфонов продают восстановленные полурабочие смартфоны

Для исследований, демонстрации и разработки нам в «Элкомсофт» приходится ежемесячно приобретать по нескольку устройств с iOS. Разумеется, нам тоже хочется…

Исследователи изучили, как веб-сервисы регулируют пароли пользователей

Специалисты Digital Security протестировали парольные политики 157 веб-сервисов, включая социальные сети, почтовые клиенты, облачные хранилища и интернет-банкинг.

Антикриминалистика. Как защитить смартфон от извлечения данных

Своеобразным триггером, вызвавшим появление этой статьи, стало огромное количество публикаций, уныло повторяющих одну и ту же мантру: используйте стойкий код…

Энергетическая компания из Южной Африки взломана, потому что ее сотрудник скачал The Sims 4

Крупнейший поставщик электроэнергии в ЮАР, компания Eskom, пострадал от компрометации. Эксперты пришли к выводу, что сотрудники Eskom имеют очень туманное…

Проблему точек в адресах Gmail все еще используют хакеры

Специалисты компании Agari предупреждают, что мошенники по-прежнему злоупотребляют функциональностью Gmail, приравнивающей адреса с точками друг к другу.

Представлено расширение для Chrome, оповещающее о компрометации паролей

Разработчики Google выпустили расширение Password Checkup, которое проверяет, подвергались ли учтенные данные компрометации.

Пользователи обменника QuadrigaCX лишились 190 млн долларов из-за смерти создателя сайта

Пользователи еще одной криптовалютной биржи лишились своих средств. Однако на этот раз причиной, похоже, стал не взлом и не экзит…

Японские власти собираются вторгаться на пользовательские IoT-устройства ради безопасности

В преддверие Летних Олимпийских игр 2020, которые пройдут в Токио, власти Японии хотят найти и обезопасить пользовательские IoT-устройства.

Как Apple и Google защищают «здоровье» пользователей. Извлекаем и сравниваем данные Apple Health и Google Fit

Комбинация данных с носимого устройства и информации о твоем местоположении позволяет восстановить картину твоей деятельности буквально по минутам. Сегодня мы…

При смене номера телефона можно увидеть чужие сообщения в WhatsApp

Сотрудница компании Amazon обнаружила интересную недоработку в WhatsApp: создав новый аккаунт WhatsApp, на новом телефоне девушка обнаружила в мессенджере переписку…

200 000 000 резюме оказались в открытом доступе из-за незащищенной установки MongoDB

ИБ-специалист нашел в сети незащищенную и свободно доступную установку MongoDB и 854 Гб данных: личную информацию 200 млн человек.

Facebook утратила доверие пользователей

Согласно результатам исследования, проведенного компанией Toluna, 40% пользователей разочаровались в Facebook и более не доверяют компании.

Chrome OS будет блокировать порты USB при включенном экране блокировки

Инженеры Google улучшают безопасность и стремятся защитить Chromebook’и от злоумышленников с физическим доступом.

Хакеры размещают пейлоады своей малвари в Google Cloud Storage

Специалисты Menlo Labs обнаружили, что преступники хранят вредоносные файлы на storage.googleapis.com. Вредоносная кампания, в которой задействованы эти пейлоады, направлена на…

Продемонстрирована удаленная атака, повреждающая BMC и UEFI

Исследователи из компании Eclypsium показали PoC-атаку, не менее разрушительную, чем вайперы и прочая деструктивная малварь.