Рубрика «информационная безопасность» - 41

в 12:16, , рубрики: безопасность умных автомобилей, Блог компании Маклауд, Взлом автомобилей, взлом умных устройств, информационная безопасность, смарт автомобили, умные автомобили, умный дом
Кибербезопасность? Да, теперь и ваша машина в зоне риска - 1

В автомобилестроении примерно шесть лет назад всерьез взялись за кибербезопасность, начали инвестировать в проектирование и развертывание киберзащитных решений. Сегодня в автомобильной индустрии кибербезопасность обеспечивается как аппаратными, так и программными решениями, но предстоит долгий путь, прежде чем все до одного ECU (электронные блоки управления) в машине будут защищены от активизирующихся кибератак. 

Кибербезопасность в автомобилестроении гораздо сложнее, чем на смартфонах и ПК, по двум основным причинам: 

  1. Десятки ЭБУ в каждой машине, соединенные множеством электронных шин и отвечающих за различные скорости и характеристики, и 
  2. Множество потенциальных точек доступа, как расположенных внутри автомобиля, так и удаленных, в частности, OBDII, USB и SD-порты, бесключевой доступ, Bluetooth и Wi-Fi, встроенный модем, датчики, инфотейнмент или приложения для смартфонов, а также множество подключений с применением телематики и других облачных систем, имеющих доступ к системам автомобиля.

Повод для оптимизма – в том, что в области автомобильной кибербезопасности все больше делается для оснащения автомобиля собственным аппаратным и программным обеспечением, а также для развития облачных платформ, обеспечивающих кибербезопасность. Формируется несколько стандартов и регламентов, регулирующих кибербезопасность, что дополнительно способствует развертыванию киберзащитных решений во всех подключенных автомобилях. 

В следующей таблице обобщены аспекты кибербезопасности, затронутые в этой авторской колонке. Дополнительная информация будет изложена в другой авторской колонке на эту тему.
Читать полностью »

в 9:00, , рубрики: anonymous, Блог компании Маклауд, информационная безопасность, тайные общества, хакеры, Читальный зал

Имя им — легион. Самые громкие акции Anonymous - 1

Слово «Анонимус» уже давно стало нарицательным — его часто употребляют в отношении пользователей интернета, не желающих лишний раз светить своими персональными данными. В то же время термин Anonymous имеет вполне конкретное значение — так называется международное движение хактивистов, прославившееся целым рядом громких и скандальных акций. Сегодня мы вспомним самые нашумевшие из них.
Читать полностью »

в 13:03, , рубрики: Open Redirect, ruvds_статьи, xss, аудит безопасности, Блог компании RUVDS.com, информационная безопасность, облачные сервисы, сервисы, уязвимости, хостинг

Неочевидные уязвимости онлайн сервисов. Часть первая - 1


Пожалуй, каждый второй программист хоть раз задумывался попробовать создать свой, если не стартап, то собственный онлайн сервис. Может быть, такой инструмент умел бы делать простые SEO-аудиты сайтов, помогал находить технические ошибки, упрощая жизнь вебмастерам или маркетологам.

А может быть, вы популярный хостинг? Хотите привлечь пользователей, используя около-тематический трафик — создаете онлайн сервис который смог бы заменить целые серверные утилиты — nslookup, dig, curl?! Звучит неплохо, но всё ли так хорошо с безопасностью пользователей?

Об интересных и неочевидных уязвимостях онлайн-сервисов поговорим под катом. Читать полностью »

в 9:50, , рубрики: Google VRP, idor, YouTube, баг, Блог компании VDSina.ru, информационная безопасность, Работа с видео, Тестирование веб-сервисов
Кража закрытых видео YouTube по одному кадру - 1

В декабре 2019 года, спустя несколько месяцев после того, как я занялся хакингом по программе Google VRP, я обратил внимание на YouTube. Мне хотелось найти способ получать доступ к закрытым (Private) видео, которыми я не владею.

При загрузке видео на YouTube можно выбрать один из трёх параметров доступа. «Открытый» (Public) позволяет находить и просматривать видео любым пользователям, «Доступ по ссылке» (Unlisted) позволяет просматривать видео только пользователям, знающим ID видео (URL), «Ограниченный доступ» (Private) позволяет просматривать видео только вам или другим аккаунтам, которым дано на это разрешение.

Первым делом я загрузил видео на свой второй тестовый канал аккаунта YouTube и переключил параметры доступа видео на Private, чтобы его можно было использовать для тестирования. (Помните, что тестирование всегда нужно проводить на тех ресурсах/аккаунтах, которыми вы владеете!) Если я смогу найти способ получить доступ к видео с первого тестового аккаунта, то мы выявим наличие бага.

Я открыл YouTube под первым аккаунтом, проверил каждую функцию и нажал на каждую кнопку, которую смог найти. Каждый раз, когда я видел HTTP-запрос с указанием ID видео, я заменял его на тестовое видео с доступом Private, надеясь, что так утечёт какая-нибудь информация о нём, но успеха не добился. Похоже, что основной веб-сайт YouTube (по крайней мере, все его конечные точки, которые я протестировал) всегда проверяет, находится ли видео в состоянии Private, и когда пытается выполнить запрос к целевому закрытому видео, он всегда возвращает ошибки наподобие This video is private!.

Мне нужно найти другой способ.
Читать полностью »

в 8:00, , рубрики: Блог компании ДомКлик, информационная безопасность, история, расследование инцидентов, сотовая связь, Читальный зал
Кто читает ваши SMS - 1

Эту историю я услышал от своего друга из финтеха. История мне понравилась тем, что все мы стараемся защищать свои персональные данные, соблюдаем цифровую гигиену, но на самом базовом (я бы сказал, фундаментальном уровне) всё просто.

Добро пожаловать под кат, далее будет небольшая история.

Итак, есть веб-сайт по приему заявок на потребительский кредит и кредитные карты. Клиент заходит на сайт, вбивает свои персональные данные и получает решение по кредиту. Упрощенная архитектура выглядит так:

Читать полностью »

в 7:45, , рубрики: Airodump-ng, CloudShark, dpi, Npcap, pcap, RawCap, SSL, tcpdump, Termshark, TLS, tshark, USBPcap, wireshark, Блог компании VDSina.ru, информационная безопасность, криптография, Софт

Wireshark для всех. Лайфхаки на каждый день - 1
Пакет с сертификатами от Хабра

Wireshark — очень известная программа для захвата и анализа сетевого трафика, незаменимый инструмент хакера, сетевого инженера, программиста, специалиста по безопасности. Да вообще любого любознательного человека, который хочет детально изучить трафик со своего или чужого мобильного телефона, фитнес-браслета, телевизора.
Читать полностью »

в 17:21, , рубрики: Блог компании Selectel, информационная безопасность, мессенджеры, смартфоны, сотовая связь, устройства, шифрованные сообщения
Австралия и ФБР несколько лет распространяли среди криминала «защищенное» приложение, а потом арестовали 800 человек - 1

На Хабре не стоит объяснять, что любой смартфон, купленный в магазине — потенциальный «жучок», который могут прослушивать в любой момент. С какой целью это делается — второй вопрос, но сейчас это и не столь важно. Тема статьи — интереснейшая операция австралийской полиции и ФБР, связанная с криминалом, защищенными телефонами и шифрованием.

Несколько лет назад существовала такая компания, как Phantom Secure. Она занималась распространением среди криминальных элементов модифицированных смартфонов — чаще всего с удаленными физически камерами и микрофонами, вырезанными сервисами производителей и ограниченной функциональностью, которая оставляет лишь возможность обмениваться текстовыми сообщениями по зашифрованным каналам. Phantom Secure была не единственной такой компанией, но именно к ней у правоохранителей было больше всего вопросов. В 2018 году ее закрыли, руководителя — арестовали, после чего началось самое интересное.
Читать полностью »

в 12:00, , рубрики: Microsoft Authenticator, Блог компании VDSina.ru, браузеры, вирусы, информационная безопасность, отзывы, поддельные отзывы, фальшивые отзывы

Фальшивые положительные отзывы заполонили все уголки современного цифрового мира, они вводят в заблуждение потребителей, предоставляя нежелательное преимущество мошенникам и посредственным продуктам. К счастью, обнаружение и отслеживание аккаунтов, создающих подобные фальшивые отзывы, часто является простейшим способом выявления мошенничества. В этой статье мы расскажем о том, как ложные отзывы о поддельном браузерном расширении Microsoft Authenticator позволили выявить десятки других расширений, вытягивающих у пользователей личные и финансовые данные.

Находим опасные браузерные расширения по фальшивым отзывам - 1

Комментарии под фальшивым браузерным расширением Microsoft Authenticator показывают, что отзывы на эти приложения или положительны, или сильно отрицательны, и это, по сути, даёт понять, что оно мошенническое.
Читать полностью »

в 17:01, , рубрики: ruvds_перевод, АЭС, безопасность, Блог компании RUVDS.com, информационная безопасность, Научно-популярное, физика, Чернобыль, ядерный реактор

Тридцать пять лет назад на АЭС Форсмарк в Швеции сработала система предупреждения о радиационной опасности. После расследования было установлено, что источником радиации была не сама электростанция, а нечто, находящееся за её пределами. В итоге, с учётом направления господствующих ветров, было выяснено, что радиация пришла с советской территории. Советское правительство, после некоторых политических распрей, признало, что источником радиационного заражения была Чернобыльская атомная электростанция, на которой произошла авария.

Причины катастрофы были тщательно исследованы и сейчас у нас есть достаточно хорошее понимание того, что тогда случилось. Возможно, самый важный урок, который человечество вынесло из Чернобыльской катастрофы, заключается в том, что её причиной нельзя назвать недочёты конкретного реактора, или неправильные действия персонала в зале управления АЭС, или особенности отдельно взятого тоталитарного режима. Причиной происшествия такого масштаба стала целая цепь событий.

Советский реактор РБМК: 35 лет после Чернобыльской катастрофы - 1

В пользу этой идеи говорит тот факт, что оставшиеся реакторы серии РБМК, включая три установки на Чернобыльской АЭС, функционировали без заметных проблем с 1986 года, а девять из них работают до сих пор. В ходе международного расследования причин возникновения Чернобыльской катастрофы в соответствующих отчётах МКГЯБ постоянно говорится о недостаточном уровне «культуры безопасности».

Анализ обстоятельств, которые привели к созданию четвёртого энергоблока Чернобыльской АЭС и к последующему его использованию, потенциально опасному, может дать человечеству множество знаний о предотвращении катастроф. Это — история о том, какую важную роль культура безопасности играет в отраслях промышленности, где цена аварий измеряется человеческими жизнями.
Читать полностью »

в 20:08, , рубрики: ruvds_статьи, Блог компании RUVDS.com, информационная безопасность, квест, Читальный зал

Это было… познавательно. Ноутбук вспучивался и потрескивал под струёй азота. Умер он тихо, без искр, мигания и прочих спецэффектов, настоящий был боец. А котик даже мяукнуть не успел, когда полтонны живой рояльной массы почти перерубили ноутбук пополам.

Операция по спасению танцующего котика закончилась. Удалось ли его спасти и как прошли последние минуты жизни ноутбука и рояля — об этом под катом.

Итак, бывшая нашего друга сдержала слово: в полдень по московскому времени она всё-таки перерезала последний трос, удерживающий рояль над ноутбуком. Впрочем, это уже не столь важно, ведь до этого её нанятые подельники залили несчастное устройство жидким азотом. 

▍ Вот как это происходило:

Читать полностью »

1...1020...404142...5060...931
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js