Акселерометр смартфона можно ввести в заблуждение, используя звуковые волны
Группа исследователей продемонстрировала, как можно обмануть аппаратные сенсоры современных смартфонов.
Сотни Twitter-аккаунтов крупных СМИ и организаций подверглись массовому взлому
Хакеры взломали множество Twitter-аккаунтов и дефейснули сотни сайтов из-за турецко-голландского политического конфликта.
Во взломе Yahoo обвинили россиян, включая недавно арестованного офицера ФСБ
Министерство юстиции США опубликовало пресс-релиз, согласно которому ответственность за взлом Yahoo лежит на «русских хакера…
Уязвимости в веб-клиентах WhatsApp и Telegram позволяли завладеть чужим аккаунтом
Специалисты Check Point обнаружили опасную проблему в онлайн-платформах популярных мессенджеров WhatsApp и Telegram.
ФБР не опубликует инструмент для взлома iPhone, ведь он еще может «быть полезен»
В прошлом году ФБР каким-то образом взломало iPhone террориста из Сан-Бернардино, но до сих пор отказывается объяснить как.
Nintendo Switch взломали прошлогодним эксплоитом для джейлбрейка iOS
Исследователь обнаружил, что Nintendo Switch можно взломать, использовав WebKit эксплоит, созданный для джейлбрейка iOS.
Обзор эксплоитов #217. Уязвимости в WordPress, Bitbucket, MyBB и библиотеке GMP (GNU Multi-Precision) в PHP
В этом выпуске я расскажу об ошибке в десериализаторе объектов GMP в PHP, об уязвимости в сервере Bitbucket, которая позволяет, минуя авторизацию, попасть в админку. Не обошли стороной и уязвимость в популярной CMS WordPress. Эксплуатация найденного бага позволяет изменять содержимое любой записи или страницы.
32 млн пользователей Yahoo пострадали от атак, и компания знала о взломах с 2014 года
Компания Yahoo представила ежегодный отчет по форме 10-K, который пролил свет на новые факты о взломах компании.
Исследователь нашел способ обмануть reCAPTCHA с помощью Google Speech Recognition API
Исследователь, известный под псевдонимом East-EE, продемонстрировал «логическую уязвимость» в reCAPTCHA.
Перехватить контроль над игрушками CloudPets может кто угодно, понадобится только смартфон
Проблемы Spiral Toys продолжаются. Игрушки CloudPets не только сливали данные пользователей, их оказалось легко взломать.
Атака web cache deception обманом вынуждает серверы кешировать персональные данные
Исследователь продемонстрировал методику, которая позволяет обмануть серверы кешерования.
Игрушечные медведи записывали и сливали всем желающим разговоры детей и их родителей
Интернет вещей действительно пора переименовывать в интернет уязвимых вещей. ИБ-эксперты нашли очередную опасную «умную» игр…
Инженеры Google реализовали первую в мире коллизионную атаку на алгоритм SHA-1
Алгоритм криптографического хешированияSHA-1 официально повержен, инженеры Google создали документы с одинаковым хешем.
Изучаем и вскрываем BitLocker. Как устроена защита дисков Windows и как ее взломать
Технология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.
Компрометация британского хостера DomainMonster привела к дефейсу сотен доменов
Хакерская группа National Hackers Agency взломала британского доменного регистратора и хостера, компанию DomainMonster.
Хак-группа RTM атакует российские компании, использующие «1С:Предприятие 8»
Компания ESET подготовила отчет о деятельности хакерской группы RTM, чья основная цель — системы ДБО.
Реверсинг малвари для начинающих. Вскрываем упаковщики, ломаем протекторы
Один из излюбленных приемов зловредописателей — использование упаковщиков и протекторов исполняемых файлов. Изначально эти инструменты считались весьма банальными и были призваны, по сути, уменьшать размер скомпилированного файла или создавать demo-версии, не заморачиваясь с защитой в основном коде. Но позднее вирусописатели приспособили эти инструменты в корыстных целях.
Вредонос, атаковавший польские банки, нарочно начинили безграмотным «русским» транслитом
Авторы вредоноса, недавно атаковавшего польские банки, явно пытались выдать себя за русскоговорящих.
Сисадмин отомстил за увольнение: проник в сеть бумажной фабрики и нанес миллионный урон
44-летнего Брайна Джонсона приговорили к 34 месяцам тюрьмы и выплате 1,1 млн долларов за взлом своего бывшего работодателя.
Хакеры похитили более 200 млн, редактируя текстовые файлы с помощью трояна TwoBee
Изменяя текстовые файлы, которые циркулируют между бухгалтерскими и банковскими системами, можно неплохо «заработать».
Русскоговорящий хакер Rasputin взломал более 60 университетов и учреждений
Русскоговорящий black hat взломал множество организаций, используя для этого обычные SQL-инъекции.
IoT-устройства, принадлежащие университету, атаковали свою альма матер
Специалисты Verizon рассказали об интересном случае: университет подвергся DDoS-атаке со стороны своих же устройств.
Турецкий хакер, похитивший $55 млн у банков, приговорен к восьми годами тюрьмы
Вынесен приговор гражданину Турции Эркану Финдикоглу, возглавлявшему группу кардеров в 2011-2013 годы.
Недавняя атака на польские банки связана с хак-группой Lazarus, взломавшей Sony Pictures
Эксперты проанализировали недавние атаки на польские банки и пришли к выводу, что это часть более масштабной кампании.
Массовый дефейс WordPress сайтов продолжается, а уведомления Google пугают пользователей
Хакеры продолжают атаковать новую критическую уязвимость в WordPress. Взломано уже более 1,5 млн страниц.
«Невидимая» малварь не оставляет файлов, прячется в памяти и атакует крупные компании
Исследователи «Лаборатории Касперского» обнаружили малварь, атаковавшую более 140 банков и крупных компаний по всему миру.
Хакер заставил 150 000 неправильно настроенных принтеров распечатать ASCII-картинки
Хакер, известный как Stackoverflowin, продемонстрировал уязвимость неправильно настроенных принтеров наглядным примером.
Несколько радиостанций в США взломали из-за уязвимости в LPFM передатчиках
Уязвимость в устройствах Barix Exstreamer привела к тому, что в эфире ряда радиостанций прозвучала песня "Fuck Donald Trump"…
Хакер скомпрометировал более 10 000 .onion-сайтов, отомстив хостеру за детское порно
Хостинг-провайдер Freedom Hosting II взломан, более 10 000 сайтов пострадали от дефейса и хищения данных.
Хакеры опубликовали инструменты для взлома iOS, похищенные у компании Cellebrite
Неизвестные, взломавшие компанию Cellebrite и похитившие 900 Гб данных, обнародовали дамп в открытом доступе.
Представители Denuvo оправдывают свою защиту после быстрого взлома Resident Evil 7
Представители Denuvo Software Solutions прокомментировали взлом защиты Resident Evil 7: Biohazard, на который ушло всего 5 д…
На конференции показали, что дронов можно сбивать при помощи звука
Исследователи показали, как использовать звук для выведения дронов из строя и обманывать капельницы с помощью лазерной указк…
Испанские СМИ сообщили об аресте хакера, взломавшего Hacking Team
Ряд испанских изданий сообщили об аресте известного хакера, известного под псевдонимом Phineas Fisher.
*NIX-бэкдор быстрого приготовления. Внедряемся в систему аутентификации Linux, BSD и macOS
Способов закрепиться на взломанной машине масса. От самых банальных и легко обнаруживаемых (добавить себя в базу пользователей) до сложных модулей ядра, реализующих обратный шелл на удаленную машину. Но есть среди них очень простой в реализации и достаточно скрытный метод, о котором знают на удивление мало людей. Это модификация модулей системы аутентификации PAM, которую используют все современные UNIX-системы.
Обзор эксплоитов #216. RCE в MySQL, MariaDB и Percona, получение root в nginx и RCE в memcached
В этом выпуске обзора мы рассмотрим три эксплоита. Один использует уязвимость в MySQL и некоторых других БД, которая приводит к выполнению произвольного кода с правами root. Второй создан тем же автором и эксплуатирует особенности ротации логов nginx с похожим результатом. Третий приводит memcached к отказу в обслуживании и опять же удаленному выполнению кода.
Неизвестный хакер-доброжелатель предупреждает владельцев баз Cassandra о проблемах
Кто-то взламывает уязвимые установки Apache Cassandra и предупреждает администраторов о проблемах.
Вымогателям мало MongoDB и Elasticsearch, внимание хакеров привлекли CouchDB и Hadoop
Шантажисты продолжают вымогать деньги у администраторов плохо защищенных БД, теперь под атакой CouchDB и Hadoop.
Viber как оружие: используем популярный мессенджер для атак на пользователя
С каждым днем все больше владельцев смартфонов отдают приоритет мобильным мессенджерам, популярный представитель которых — Viber, позволяющий удобно объединить переписку на разных устройствах. Неудивительно, что исследованию их безопасности в последнее время уделяется пристальное внимание. Думаешь, Viber полностью надежен и неспособен тебя подвести? Ну что ж, давай посмотрим, насколько это соответствует истине.
Двойное подтверждение. Изучаем двухфакторную аутентификацию Android, iOS и Windows 10 Mobile
Пароли не взламывает только ленивый. Недавняя массовая утечка учетных записей из Yahoo только подтверждает тот факт, что одного лишь пароля — и совершенно неважно, какой он будет длины и сложности, — уже недостаточно для надежной защиты. Двухфакторная аутентификация — это то, что обещает дать такую защиту, добавляя дополнительный уровень безопасности.
Разработчик встраивал бэкдор в свои сайты и скомпрометировал 20 000 пользователей
Голландская полиция сообщила, что от рук арестованного в прошлом году хакера пострадали 20 000 пользователей.
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
950 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире