Рубрика «Блог компании Positive Technologies» - 28

в 8:40, , рубрики: ntp, Блог компании Positive Technologies, информационная безопасность, уязвимости

В конце декабря специалисты по безопасности из Google Security Team обнаружили ряд критических уязвимостей в реализации протокола NTP, который используется во многих промышленных системах управления для синхронизации времени на серверах.

Уязвимости, которым подвержены все NTP-сервера до версии 4.2.8, включают несколько вариантов переполнения буфера и позволяют атакующему удалённо выполнять произвольный код на сервере. Как отмечают исследователи, эксплойты для данных уязвимостей уже существуют в публичном доступе.

По данным Positive Technologies, использование открытых источников позволяет легко выявить более 30 000 серверов в интернет, до сих пор подверженных данной уязвимости. Причем 4300 из них расположенны в российском сегменте сети Интернет.

imageЧитать полностью »

в 15:02, , рубрики: Блог компании Positive Technologies, вебинар, информационная безопасность

На днях в «Нью-Йорк таймс» опубликовали статью о том, как были получены доказательства причастности Серверной Кореи к массированной атаке на корпорацию Sony. Специалисты Агентства национальной безопасности США еще в 2010 году взломали компьютерные сети КНДР и тайно наблюдали за активностью северокорейских хакеров.

Помимо источников в спецслужбах эту версию подтверждают и документы, ранее обнародованные Эдвардом Сноуденом в журнале «Шпигель». Сотрудникам АНБ удалось внедриться в китайские сети, которые связывают интернет Серверной Кореи с остальным миром, и распространить вредоносную программу среди местных хакерских группировок.

image

По сведениям «Нью-Йорк таймс», специалисты АНБ наблюдали за первыми фишинговыми атаками на Sony, когда был украден пароль одного из системных администраторов корпорации, что стало отправной точкой внедрения.Читать полностью »

в 8:37, , рубрики: NFC, PHDays, Блог компании Positive Technologies, информационная безопасность, социальная инженерия, уязвимости

image

Пятый международный форум по практической безопасности Positive Hack Days состоится 26 и 27 мая 2015 года в московском Центре международной торговли. На конференции, организованной компанией Positive Technologies, соберутся ведущие специалисты по киберзащите и элита хакерского мира, представители государственных структур и руководители крупного бизнеса, молодые ученые и журналисты.

В начале декабря стартовал прием заявок от желающих выступить на PHDays V, и сейчас мы анонсируем первую группу участников, попавших в основную техническую программу форума.Читать полностью »

в 10:41, , рубрики: icloud, Блог компании Positive Technologies, блокировка iOS8, информационная безопасность, мошенничество, уязвимости

К шумным скандалам с утечками интимных фотографий звездных пользователей Apple похоже вскоре прибавится еще один. В последние дни многие владельцы телефонов и планшетов Apple столкнулись с блокировкой учетных данных iCloud. Аккаунты блокирует сама компания Apple, реагируя на массовые попытки подбора паролей. Эксперты Positive Technologies предупреждают о попытках злоумышленников использовать блокировку на iCloud с целью вымогательства и призывают игнорировать подозрительные письма.

image

Подобные письма уже стали приходить, причем преступники рассылают их от имени крупнейшего российского портала в области информационной безопасности SecurityLab.ru.Читать полностью »

в 8:31, , рубрики: Facebook, xss, Блог компании Positive Technologies, Веб-разработка, информационная безопасность, разработка

Будни багхантинга: еще одна уязвимость в Facebook - 1

Декабрь для меня получился наиболее удачным за четыре года участия в разнообразных программах bug bounty, и я хотел бы поделиться информацией об одной из обнаруженных уязвимостей. Речь пойдет о небезопасной обработке Request-URI (Request Target). На этот раз красивой комбинацией уязвимостей порадовал Facebook.
Читать полностью »

в 6:39, , рубрики: асу тп, Блог компании Positive Technologies, ИБ, информационная безопасность, Исследования и прогнозы в IT, кибервойны, платежные терминалы, прогнозы, тренды

image

Как могли заметить читатели этого блога, в прошедшем году наш исследовательский центр существенно расширил сферу своих интересов. Мы рассказывали про уязвимости массовых веб-приложений и возможности взлома банкоматов, про атаки на сложные индустриальные системы управления и маленькие персональные гаджеты. Но 2014 год закончился, самое время подвести итоги: отметить ключевые тренды в области информационных угроз и защиты от них, а также представить свои прогнозы развития этих трендов в новом году.Читать полностью »

в 11:40, , рубрики: Huwei, snmp, Блог компании Positive Technologies, информационная безопасность, протокол SNMP, Сетевые технологии, уязвимости

Бесконечно можно делать три вещи: смотреть, как горит огонь, смотреть, как течет вода, — и говорить о безопасности небезопасных протоколов. Мы уже рассказывали о сканировании корпоративных сетей, сетевых устройств и Cisco IOS. На этот раз предлагаем вам историю о протоколе SNMP, а точнее — о работе по этому протоколу с сетевым оборудованием HP/H3C и Huawei. Данные устройства позволяют получить доступ к критически важной информации, обладая минимальными правами. Эксплуатация уязвимости позволяет злоумышленнику проникнуть в корпоративные сети коммерческих компаний и технологические сети операторов связи, использующих эти широко распространенные устройства.

image

В 2003 году Huawei Technologies и 3Com основали совместное предприятие H3C. В 2007 году компания 3Com выкупила у Huawei ее долю, а в 2010 году вошла в состав HP, которая автоматически получила и H3C. Таким образом, уязвимым оказалось сетевое оборудование сразу нескольких вендоров — 3Com, H3C и HP, Huawei. Устройства эти используются в тысячах компаний, от небольших предприятий до крупнейших провайдеров. Читать полностью »

в 16:53, , рубрики: 31C3, scada, анб, Блог компании Positive Technologies, информационная безопасность

image

27 декабря в Гамбурге открылась одна из крупнейших в мире хакерских конференций — Chaos Communications Congress (31C3). Ежегодный конгресс собирает огромное число инженеров, мейкеров, политических активистов, людей искусства и хакеров в широком смысле этого слова. На 31-й съезд приехали более 12 000 участников, которые стали свидетелями весьма интересных событий. Читать полностью »

в 10:55, , рубрики: kernel, reverse engineering, Windows 8.1, Блог компании Positive Technologies, информационная безопасность, системное программирование

imageПериодически, как правило во вторую среду месяца, можно услышать истории о том, что Windows после очередного обновления перестает загружаться, показывая синий экран смерти. В большинстве случаев причиной такой ситуации оказывается либо руткит, либо специфичное системное ПО, фривольно обращающееся со внутренними структурами ОС. Винят, конечно, все равно обновление, ведь «до него все работало». С таким отношением не удивительно, что «Майкрософт» не поощряет использование всего, что не документировано. В какой-то момент, а именно с релизом Windows Server 2003, MS заняла более активную позицию в вопросе борьбы с чудо-поделками сторонних разработчиков. Тогда появился механизм защиты целостности ядра — kernel patch protection, более известный как PatchGuard.

С самого начала он не позиционировался как механизм защиты от руткитов, поскольку руткиты работают в ядре с теми же привилегиями, а следовательно, PatchGuard может быть обезврежен. Это скорее фильтр, отсекающий ленивых разработчиков руткитов.Читать полностью »

в 10:59, , рубрики: Android Wear, bluetooth, Блог компании Positive Technologies, информационная безопасность, уязвимости

В уходящем году одним из главных бумов IT-индустрии стали гаджеты, которые по-русски лучше всего назвать «наручными». С одной стороны, шагомеры и другие сенсоры персональной физической активности стали всё чаще делать в виде браслетов — такова, например, эволюция популярного трекера Fitbit. С другой стороны, старая гвардия тоже включилась в борьбу за человеческие запястья, выпуская умные часы: тут и Android Wear, и Apple Watch, и Microsoft Band. Сегодня мы поговорим о некоторых опасностях этой моды.

image

Нет, мы вовсе не против здорового образа жизни. Мы даже поддерживаем идею о том, что 1 января лучше не объедаться салатами перед телевизором, а вместо этого принять участие в одном из новогодних забегов. Однако многие отправятся на такие забеги или тренировки с модными фитнесс-браслетами и другими трекерами. Авторы рекламных статьей, расхваливающих эту бижутерию, обычно не задаются вопросами типа «как здесь набрать пароль?» или «где здесь выключатель?». Между тем, эти вопросы вскрывают целый ворох проблем безопасности, которые несёт миниатюризация наручных компьютеров. Читать полностью »

1...1020...272829...40...43
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js