Рубрика «Блог компании «Digital Security»» - 10

Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным сёрф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя ещё более шикарные австралийские волны, после чего, прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.

Информационная безопасность в Австралии, и почему пентест там уже не торт

Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мёртвое, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4-х рейсов общей протяжённостью 36 часов.

Читать полностью »

Материалы конференции DEF CON 1993 2013

DEF CON — крупнейшая в мире конференция хакеров, каждый год проводящаяся в Лас-Вегасе, штат Невада. Первый DEF CON прошёл в июне 1993 года.

Интересующимся информационной безопасностью, киберпанком, а также просто любым желающим — возможно, что вы упустили эту информацию. DEF CON выкладывают всю доступную информацию с самой первой конференции. Быстрые ссылки:

По ссылкам Вы сможете найти музыку, различное видео, записи выступлений, файлы с соревнований CTF, различный арт и многое, многое другое! Enjoy ;)
Читать полностью »

Steps to reproduce:

  • Лочим телефон, поднимаем пальцем вверх панель доступа к виджетам;
  • Открываем stopwatch;
  • Выбираем будильник;
  • Удерживаем кнопку выключения до появления «Cancel»;
  • Жмем Cancel и быстро два раза нажимаем «Home»;
  • Если была запущена камера — выбираем ее и получаем доступ к фото.

источник: gizmodo.com/anyone-can-bypass-your-ios-7-lockscreen-to-see-and-sha-1350617707

А теперь дополнение от нас, чего не было в новостях на других источниках

Читать полностью »

Всем приятного чтения. Я хочу рассказать о небезопасной фиче во всемирно известном движке для блогов — WordPress, которая присутствует в нем уже долгое время. О ней многим известно (в т.ч. эту возможность признают как «законную» сами разработчики), но я точно не уверен, описывал ли кто-то её использование именно в предлагаем в статье векторе атаки (лично я найти не смог).

Множество компаний, таких как Microsoft, Nokia, Google используют WordPress. Администраторы блогов выдают права редакторов своим PR-службам… И вот тут главный момент — в WordPress только две роли имеют права использовать javascript внутри постов — администраторы и редакторы.

Вся идея в одно предложение: создаём пост, содержащий зловредный JS. Если администратор открывает наш пост — мы получаем Remote Command Execution.
Читать полностью »

Прошлое, настоящее и будущее виртуализации на ZeroNights 2013

Друзья, в этом году одной из главных тем нашей конференции станет виртуализация. Мы наконец-то определились с одним из keynote-докладчиков. Это Rafal Wojtczuk, который уже много лет в этой теме.

Для тех, кто еще не в курсе: Rafal Wojtczuk — мегакрутой спец! Он — бывший сотрудник Invisible Things Labs, где долгое время работал с Йоа́нной Рутко́вской и участвовал в таких исследованиях, как: «Detecting & Preventing the Xen Hypervisor Subversions», «Xen 0wning Trilogy: code and demos», «Attacking Intel Trusted Execution Technology», «A Stitch in Time Saves Nine: A Case of Multiple Operating System Vulnerability» и т. д. За прошедшие годы он обнаружил множество уязвимостей безопасности в ядрах популярных информационных систем, включая новые методы эксплуатации уязвимостей переполнения буфера в средах с частично рандомизированным адресным пространством. В последнее время он исследовал продвинутые технологии безопасности Intel, в особенности TXT и VTd. Он также является автором libnids – низкоуровневой библиотеки для реассемблирования пакетов. В общем, это человек, который не понаслышке знает, как устроены и как работают песочницы и системы виртуализации. Он не будет гнать маркетинговый булшит про облака, а расскажет, как на самом деле обстоят дела с виртуализацией.

Также мы будем много говорить про безопасность АСУ ТП. В частности, на ZeroNights 2013 исследовательский центр Digital Security впервые представит результаты двух наших новейших исследований в области безопасности АСУ ТП: «HART (in)security» и «Эксплуатация AVR и MSP микрочипов».

Читать полностью »

Введение

Мы очень часто слышим об уязвимостях в плагинах браузеров, особенно Java. Security отделы в компаниях в курсе этого, отключают java/flash и другие плагины у пользователей, мониторят апдейты, читают security-рассылки. Мы слышим о них настолько часто, что уже инициативные люди создали специальные сайты с отсчетом дней, когда не было бы опубликовано 0day эсксплойтов — java-0day.com/
0day в расширении Any.DO — доступ к данным на всех сайтах (обход gmail 2 steps auth). Public disclosure. Затронуто ~500 тысяч пользователей

Расширения VS Плагины

Но есть еще и расширения, которые встраиваются в браузеры и взаимодействуют с данными. Их безопасность была поднята не так давно, и первые, довольно глубокие, исследования провел Krzysztof Kotowicz. Краткий пересказ его исследований и найденная 0day уязвимость (позволяющая получить доступ к данным на всех сайтах через XSS путем отправки специального письма на gmail), которую игнорирует вендор — под катом.
Читать полностью »

Отправка сообщения от любого пользователя любому. ̶$̶6̶0̶0̶ Бесплатно ;)

Немного новостей с рынка продажи эксплойтов

Для введения в экскурс дела — существуют различные биржи эксплойтов, и на одной из них — 1337day.com, появился эксплойт со следующим названием — "Facebook Send Messages From Anyone 0day" с ценой в $600…
Читать полностью »

image

В третий раз мы проводим ZeroNights – международную конференцию, посвященную практическим аспектам информационной безопасности. И снова ждем в гости хакеров, друзей и единомышленников со всего мира.

Дата: 7-8 ноября 2013 года
Место: Москва, Варшавское шоссе, д. 28 А, центр «Коворкинг 2.0»

На конференции вы узнаете о новых методах атак и угрозах, увидите возможности для нападения и защиты, познакомитесь с нестандартными методами решения задач ИБ. Эксперты, специалисты-практики по ИБ, аналитики и хакеры со всего мира поделятся уникальными знаниями и навыками, помогут избавиться от заблуждений, представят убедительные аргументы, исследования, факты и цифры. Нам интересны такие темы, как: Security of business-critical systems, Mobile security, Hardcore exploitation, Hardware and embedded, Web security.
У нас выступают только лучшие эксперты в области ИБ и хакеры с мировым именем, мы представляем самые новые и смелые технические исследования, знакомим с нестандартными подходами к решению задач. И никакого маркетинга, APT, NSA, PRISM и прочего bla-bla-bla!

Читать полностью »

Хакеры в гостях у Микки Мауса

Мы продолжаем серию статей про поездки на разные необычные security-мероприятия. Недавно нам удалось побывать на конференции HackInParis, которая проходила 17–21 июня во Франции, в Париже, в Диснейленде! Да-да, именно в центре детских восторгов, в парке развлечений. Если вам интересно, как вместе уживаются современные киберугрозы и детский писк и визг, прошу под кат.
Читать полностью »

Привет! А расскажу-ка я сейчас про мою поездку на одну из известнейших конференций, посвященных информационной безопасности, а именно CONFidence, которая в этом году традиционно проходила в польском городе Кракове и собрала большое количество спецов со всех уголков мира.

CONFidence. Опять о том, как там круто
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js