Рубрика «инфобез»

CAPTCHA сегодня: мало защиты, но много проблем - 1

Источник.

CAPTCHA — технология для защиты веб-сайтов от мошенничества, атак, злоупотреблений, спама и прочих угроз. Изначальная цель — обеспечить доступ к сайту и его наполнению только реальным пользователям, а не ботам. В целом, технология работала, но с определенного момента что-то пошло не так. Обо всем этом — под катом.
Читать полностью »

В оборудовании Cisco обнаружена критическая уязвимость на 10 из 10 баллов по шкале CVSS - 1

В роутерах Cisco серий 4000, ASR 1000 и 1000V обнаружена критическая уязвимость
(CVE-2019-12643), которую оценили на 10 из 10 возможных баллов по шкале угроз CVSS (обычно угрозы уровня Critical получают 7,5-9,1 балл, редко — 9,8). Соответствующая информация размещена на официальном сайте производителя оборудования.

Уязвимость в контейнере виртуальных сервисов API Cisco REST для ПО Cisco IOS XE позволяет удаленному злоумышленнику обойти аутентификацию на управляемом устройстве без прохождения проверки подлинности.

Инженеры Cisco рекомендуют срочно установить патч на все роутеры под управлением IOS XE, например, с помощью специального инструмента Cisco IOS Software Checker.
Читать полностью »

Привет! В этой статье хочу вам рассказать про свой опыт прохождения лаборатории Friendzone на портале hackthebox. Для тех, кто не слышал, что такое hackthebox — это портал, на котором вы можете проверить свои умения пентеста на практике, имеются CTF таски и собственно лабораторные машины, о прохождении одной из которых и пойдет речь в этой статье.
Читать полностью »

Защищенный от взлома смартфон Purism Librem 5 на Debian Linux появится уже в этом году - 1

О смартфоне Purism Librem 5, который защищен от большинства методов взлома, говорят уже давно. В этом году его можно будет купить. Он работает на Linux OS, что дает владельцу достаточно надежную защиту. Кроме того, производители оснастили девайс тремя аппаратными кнопками, при помощи которых можно отключать многие функции устройства.

По словам разработчиков, этот смартфон исключает возможность установить за владельцем слежку. Правда, при условии, что тот примет определенные меры для этого. Операционная система мобильного устройства — доработанный Debian Linux с GNOME Shell. Последнюю также модифицировали в соответствии с нуждами мобильных пользователей.
Читать полностью »

Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их устраняем. Иначе бы ФСТЭК России вряд ли сертифицировала Astra Linux на обработку данных, составляющих гостайну. Но о сертификации мы поговорим подробней в другом посте. А в этом расскажем о том, как организована работа над уязвимостями Astra Linux и взаимодействие с отечественным банком данных угроз безопасности информации.

Как мы закрываем уязвимости в ОС Astra Linux Special Edition - 1
Фото: Leonhard Foeger/Reuters
Читать полностью »

Сервис Google Duplex пугает своей красивой и правильной речью, есть недовольные - 1

Несколько дней назад корпорация Google представила сразу несколько новинок, которые взбудоражили как представителей телекоммуникационной сферы, так и обычных людей. Одна из них — сервис Google Duplex, это слабая форма ИИ, способная позвонить вместо своего пользователя в парикмахерскую и записать человека на определенное время.

Duplex можно считать своего рода цифровым ассистентом человека, причем гораздо более «человечным» чем те же Siri или Cortana. Обычные разговоры ассистент вести не может, работа его касается лишь назначения времени встречи или приема. Но «речь» виртуального помощника звучит очень реалистично. Вряд ли кто-либо из нас смог бы отличить ее от речи обычного человека. И как раз эта схожесть напугала некоторых специалистов по информационной безопасности.
Читать полностью »

— У нас дыра в безопасности.
— Ну, хоть что-то у нас в безопасности.

— Айфоны, вон, каждый год ломают, и ничего.

Я нашел эту ошибку случайно. Уверен, что ни один тестировщик и не подумал бы пойти таким путем — это настолько не очевидно, дико и непредсказуемо, что только случайность помогла мне поучаствовать в bug bounty от Xiaomi. В этом посте расскажу о том, как мне это удалось, что за это было и почему китайские сервисы — зло.
Читать полностью »

«Жучок» в запчасти для смартфона — еще одна возможность для шпиона - 1

Пользователи мобильных телефонов, которые доверились сервисным центрам, где ремонтируют устройства, могут стать жертвами кибершпионажа. Пока что это лишь теоретическая возможность, показанная специалистами по информационной безопасности, но в этом случае теория без труда может стать практикой, если еще не стала. О пользователях мобильных устройств, которые после ремонта обнаружили в своих телефонах «жучков», особо ничего не слышно. Возможно, причина только в том, что такие модули хорошо спрятаны.

Отчет о проделанной работе, опубликованный группой хакеров, может стать причиной легкой (или не очень) паранойи у многих владельцев мобильных устройств. Но удивляться возможности прослушки не приходится — сделать это не так и тяжело. Причем жертвами кибершпионажа могут стать как пользователи Android телефонов, так и владельцы iOS девайсов.
Читать полностью »

Оператор ботнета Mirai получил условный срок - 1

В феврале этого года в британском аэропорту был арестован человек, которого подозревали в осуществлении большого количества мощнейших DDoS-атак на сети многих организаций. В числе пострадавших — французский хостинг-провайдер OVN и компания Dyn, которая обеспечивает работу сетевой инфраструктуры таких компаний и сервисов, как Twitter, Amazon, Tumblr, Reddit, Spotify и Netflix. Также ботнет атаковал оборудование и сервисы Deutsche Telekom, Eircom, TalkTalk, UK Postal Office и KCOM.

Вину задержанного пытались доказать в течение нескольких месяцев. Полиция понемногу разматывала клубок, получала новую информацию и в конце концов, получила признание самого арестованного. В феврале его имя не сообщалось, но сейчас стало известно, что его зовут Дэниел Кайе. Ему 29 лет, он гражданин Великобритании. Как уже сообщалось, именно он управлял модифицированной версией Mirai, которая была способна атаковать роутеры через 7547-й порт, работая для этого с протоколами TR-064 и TR-069.
Читать полностью »

Умную автомойку можно превратить в ловушку для автомобиля и пассажира - 1
Заехать на мойку легко, но злоумышленники могут сильно осложнить выезд

Технологии продолжают развиваться, мобильные устройства, бытовая техника и промышленные системы становятся все «умнее». Управлять многими такими системами можно удаленно, равно, как и получать важную информацию об их состоянии в режиме реального времени. Все это очень удобно, но одновременно, и опасно. Специалисты по инфобезу достаточно давно обсуждают вопрос о необходимости надежной защиты для систем и устройств, которые предполагают возможность удаленного управления.

И речь не о компьютерах или умных холодильниках, из которых формируют ботнеты. Злоумышленники, при должном умении, могут взламывать и другие объекты, о которых сразу и не скажешь, что ими можно управлять удаленно. Какие это объекты? Ну например, автомойки. На днях группа специалистов по информационной безопасности показала возможность взлома автомойки с превращением ее в ловушку для водителя и пассажиров машины.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js