Злоумышленники крадут идентификационные данные, используя Cisco WebVPN
Специалисты компании Volexity обнаружили атаку, нацеленную на Cisco Clientless SSL VPN (WebVPN). Данный продукт позволяет кл…
Приложение «Музыка ВКонтакте» содержит вредоносный код
Сотрудник «Лаборатории Касперского» Роман Унучек опубликовал на Securelist информацию о том, что приложение «Музыка ВКонтакт…
Easy Hack #201. Часть 1: эксплуатация directory traversal в архивах
Давай представим себе ситуацию: у нас есть какое-то веб-приложение и в нем функция, позволяющая загружать архивы. Приложение разархивирует получаемые файлы во временную директорию для работы с ними. Согласен, ситуация не из повседневных, но здесь есть интересная возможность для атаки.
Китайские хакеры предприняли попытку атаковать Samsung Pay
New York Times сообщает, что в марте текущего года компания LoopPay, разработавшая ядро платежной системы Samsung Pay, была …
Сеть отелей Дональда Трампа взломали
В результате атаки хакеров пострадали семь люксовых отелей сети Trump Hotel Collection (THC), принадлежащей миллиардеру Дона…
Обнаружена атака, использующая Outlook Web Application
Специалисты компании Cybereason опубликовали отчет об интересном случае. Компания-клиент Cybereason, чье название не раскрыв…
Почти 15 ГБ пользовательских данных украдено с краудфандингового сайта Patreon
Неизвестные хакеры сумели взломать популярный ресурс для сбора пожертвований Patreon. В результате был опубликован архив, об…
Хакеры используют фальшивый BSOD для осуществления атак
Хакеры постоянно придумывают что-то новое, чтобы обвести доверчивых пользователей вокруг пальца. Уже никого не удивить тем, …
Специалисты CloudFlare обнаружили необычную DDoS-атаку
Компания CloudFlare сообщила об обнаружении DDoS-атаки весьма необычного вида. Нападению подвергся сайт клиентов CloudFlare,…
Взломанные аккаунты Uber используются в Китае
Взломы аккаунтов Uber в последнее время участились. По данным специалистов TrendMicro, данный «товар» стремительно набирает …
Баг в Imgur использовался для атак на пользователей имиджбордов
Администрация сервиса для хранения и обмена фото Imgur, совместно с руководителями имиджбордов 4chan и 8chan, сообщает об об…
В ходе взлома Службы управления персоналом США украдено 5,6 млн отпечатков пальцев
Летом 2015 года стало известно о взломе Службы управления персоналом США (U.S. Office of Personnel Management, OPM) и послед…
Компания Zerodium предлагает $1 млн за эксплоит для iOS 9
Крупнейшая награда в истории предлагается хакеру, который сумеет обнаружить 0day в iOS 9 и предоставить эксплоит. Компания Z…
Тысячи сайтов на базе WordPress пострадали в ходе новой вредоносной кампании
Wordpress — далеко не самая безопасная CMS в мире, но одна из наиболее простых и популярных. Именно из-за совокупности двух …
Эпидемия в App Store, магазин подвергся атаке хакеров
Минувшие выходные стали неспокойными для компании Apple. Хакеры (предположительно, китайские) сумели подделать официальный и…
X-TOOLS #200. Софт для взлома и анализа безопасности
В этом выпуске — инструменты для внедрения в шелл и сбора данных под Windows, а также MITM-фреймворк, backdoor на Питоне и кросс-платформенный дизассемблер.
Критическая уязвимость в Bugzilla позволяет воровать баги
Совсем недавно компания Mozilla сообщала о том, что некие злоумышленники сумели взломать аккаунт одного из привилегированных…
UPD. Обнаружена новая атака на маршрутизаторы Cisco
В официальном блоге компании FireEye появилась информация об обнаружении новой серии атак на маршрутизаторы Cisco. Специалис…
Малварь для банкоматов физически ворует банковские карточки
Эксперты компании FireEye обнаружили интересный образчик малвари, залитый на VirusTotal неким российским пользователем. Не с…
Опубликованы самые популярные пароли Ashley Madison
Огромная база данных сайта для измен Ashley Madison была опубликована хакерами почти месяц тому назад. Данные 36 млн аккаунт…
Easy Hack #200. Пароли админа Windows, уязвимости веб-фреймворков и ключи протокола Cisco
Представим себе типичную ситуацию: через какую-то уязвимость мы получили возможность удаленно выполнять команды на сервере с Windows. Высоких привилегий в ОС у нас нет, и порты зафильтрованы на внешнем файрволе. Подошел бы вариант с бэк-коннект шеллом, но ведь надо закачать наш шелл в ОС. И если под *nix-системы существует куча разных возможностей, то с виндой труднее...
Через Google Play распространяется троян, умеющий обходить CAPTCHA
Специалисты компании BitDefender сообщили об обнаружении в официальном магазине приложений Google Play программ, содержащих …
Компания Zimperium обнародовала эксплоит для уязвимости Stagefright
К сожалению, отсрочить неизбежное удалось ненадолго. Компания Zimperium, в июле 2015 года опубликовавшая информацию об уязви…
Quantity ne Quality. Колонка Юрия Гольцева
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.
Русскоязычная хак-группа Turla ломает спутники, чтобы скрыть свои следы
Эксперты «Лаборатории Касперского» обнародовали новый отчет о деятельности небезызвестной хакерской группы Turla. Специалист…
Уязвимость в мобильном приложении PayPal позволяет миновать двухфакторную аутентификацию
Основатель и CEO компании Vulnerability Lab Бенджамин Кунц Меджри (Benjamin Kunz Mejri) обнаружил в API мобильных приложений…
Жесткие диски Seagate уязвимы для атак, благодаря недокументированному root-аккаунту
Сотрудники компании Tangible Security обнаружили неприятную проблему в жестких дисках компании Seagate. Некоторые модели вне…
Fiat Chrysler отзывает еще 7810 автомобилей из-за опасности взлома
В июле 2015 года исследователи Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) показали всему миру, что совреме…
Взломан багтрекер Mozilla, хакеры украли данные о 185 багах
Представители Mozilla обнародовали отчет о взломе багтрекера Bugzilla, согласно которому, неизвестным удалось похитить инфор…
Троян-вымогатель использует протокол XMPP и требует денег от имени АНБ
Исследователи из израильской компании Check Point обнаружили новый образчик Android-малвари. Эта версия шифровальщика Simplo…
Падение Ashley Madison. Как хакеры разоблачили нечестный сайт знакомств и его пользователей
Взломы, утечки данных, обнаружение новых 0day-уязвимостей — все это происходит каждый день, но некоторые события выбиваются из общего ряда. Взлом сайта знакомств Ashley Madison не был обычным. Это масштабная история о том, как хакеры объявили войну крупной компании и выиграли ее, не считаясь с «сопутствующим ущербом».
Тайная жизнь Windows 10. О чем Windows 10 стучит в Microsoft и как заставить ее прекратить
С момента своего появления Windows был естественной средой обитания зловредов всех мастей. Похоже, новая версия этой операционки сама стала одним из троянов. Сразу после установки чистая система ведёт себя подозрительно. Данные рекой льются на десятки серверов Microsoft и партнерских компаний. Мы решили разобраться с жалобами на шпионские замашки «Десятки» и узнали, что и куда она отправляет.
Рекламное ПО Genieo научилось пробираться в Mac Keychain, подделывая разрешение пользователя
В августе 2015 года в OS X обнаружили уязвимость, которая позволяла приложениям устанавливаться в систему, без разрешения по…
Хакеры Lizard Squad мстят британским правоохранителям
28 августа 2015 года британское Национальное агентство по борьбе с преступностью (NCA) сообщило об аресте шести подростков (…
У Ashley Madison все хорошо, даже женщины на сайте существуют
Представители Ashley Madison уверяют, что у сервиса все хорошо, невзирая на громкий скандал, утечку данных 32 млн человек и …
Найден баг, позволяющий взламывать страницы групп в Facebook
Индийский специалист по безопасности Лаксман Мутиях (Laxman Muthiyah) неоднократно зарабатывал неплохие деньги на программах…
Дети лейтенанта CryptoLocker’a. Вскрываем DirCrypt, TorLocker, TeslaCrypt, TorrentLocker, Critroni и CryptoWall
Первые образцы малвари, шифрующей файлы, а затем требующей денег за расшифровку, появились очень давно. Однако именно CryptoLocker основал в среде вирусописателей нехорошую тенденцию — использовать самые последние достижения криптографии в виде весьма стойких алгоритмов шифрования. Сегодня мы исследуем несколько троянов-шифровальщиков, появившихся после нашумевшего шествия по интернету CryptoLocker’а (или в одно время с ним).
Исследователю заплатили $750 за критическую уязвимость в PayPal
19 июня 2015 года египетский исследователь Ибрагим Хегази (Ebrahim Hegazy) обнаружил на сайте платежной системы PayPal серье…
Руководство Ashley Madison одобряло взлом конкурентов
Компания Avid Life Media (ALM), ставшая жертвой хакеров на прошлой неделе, далеко не «белая и пушистая» пострадавшая сторона…
Слово хакерам: Q&A со взломщиками Ashley Madison
Бесспорно, самый громкий взлом прошлой недели – работа хакерской группы The Impact Team, взломавшей компанию Avid Life Media…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире