[Перевод] Разбираемся с Meltdown и Spectre: что нужно знать о новых уязвимостях, которые обнаружены практически во всех CPU

Похоже, производители процессоров получили серьезный удар: за несколько дней все новостные сайты заговорили сразу о двух хардварных уязвимостях под названием Meltdown и Spectre. Должен сказать, что это очень горячая неделя, какую давно не видели в технологической отрасли. Но не буду спешить, так что разберемся со всем по порядку.


Читать дальше →

[Перевод] CoffeeMiner: взлом WiFi для внедрения криптомайнера в HTML-страницы

Предупреждение: эта статья и проект имеют исключительно образовательные цели.

Несколько недель назад я прочитал этом случае Starbucks, где хакеры взламывали ноутбуки в сети WiFi, чтобы майнить на них криптовалюту. И я подумал, что может быть интересно провести атаку иным способом.

Цель этой статьи — объяснить, как провести атаку MITM (человек посередине) для внедрения определённого JavaScript-кода в страницы HTML, чтобы заставить все устройства, подключённые к WiFi, майнить криптовалюту для злоумышленника.

Задача состоит в создании скрипта, который проводит автономную атаку в сети WiFi. Это то, что мы назвали CoffeeMiner, поскольку атаки такого типа можно проводить в кафе.
Читать дальше →

Двухфакторная аутентификация — это просто, на примере JaCarta U2F

Сегодня поговорим о стандарте U2F, разработанном (ссылка https://fidoalliance.org/participate/members-bringing-together-ecosystem/) ассоциацией FIDO Aliance, участником которой мы являемся, и электронном ключе нашей собственной разработки — JaCarta U2F(ссылка https://www.aladdin-rd.ru/catalog/jacarta-u2f), и, конечно, покажем несколько примеров его использования.

О чем думает человек, услышав упоминание слов типа двухфакторная аутентификация, электронный ключ, USB-токен, смарт-карта? Человек, далекий от погружения в технологии ИБ, может быть вспомнит одноразовые смс-пароли для входа в банк, а кто-то подумает про инфраструктуры открытых ключей, сертификаты, цепочки доверия.

А тем временем, разработанный альянсом FIDO протокол U2F набирает популярность среди интернет-компаний и показывает, что двухфакторная аутентификация — не только безопасно, но легко и просто, а главное понятно для конечного пользователя, нетехнического специалиста.
Читать дальше →

[Из песочницы] Как я возвращал украденный домен популярного сайта

В 2008 году создал сайт, который, спустя время, превратился в водно-моторное сообщество, объединяющее тысячи любителей моторных лодок и катеров. В сезон, посещаемость ресурса превышала 10 000 человек в сутки и кто-то решил, что сайт ему нужнее.

Получив доступ в админ-панель моего регистратора (r01.ru), вор перенес домен к другому (internet.bs) на свой аккаунт. База данных и файлы обманным путем были получены у хостера.

Я потерял проект, над которым работал около 9 лет. Вернуть домен получилось лишь через 8 месяцев. Читать дальше →

Attention! S in Ethereum stands for Security. Part 2. EVM features


Представляем вторую часть цикла, посвященного типичным уязвимостям, атакам и проблемным местам, присущим смарт-контрактам на языке Solidity, и платформе Ethereum в целом. Здесь поговорим о некоторых особенностях EVM и о том, какими уязвимостями они могут обернуться.

Читать дальше →

Январская починка дыр в .NET Framework и Core

Аккурат к концу новогодних каникул в России, 9-го января, Microsoft выпустили обновления, исправляющие CVE-2018-0786 и CVE-2018-0764. Починили так, что кое-где ещё и сломали. В этом коротком посте мы ещё раз вспомним, что это такое и что нам теперь делать.


Для иллюстрации этого хабрапоста я попытался изобразить решето. Как видите, у меня не получилось. К сожалению, сделать решето в коде — гораздо проще, чем изобразить его, в первый раз взяв в руки графический планшет.


Читать дальше →

Корпоративные лаборатории Pentestit: практические навыки по информационной безопасности

image
 
«Корпоративные лаборатории» — программа профессиональной подготовки в области информационной безопасности, состоящая из теоретической (курсы-вебинары) и практической подготовки (работа в пентест-лабораториях).

Специалисты, проходящие обучение в «Корпоративных лабораториях», получают бесценный практический опыт работы с современными методами и инструментами проникновения в систему, изучают психологию злоумышленников, проводят расследование киберпреступлений, и, на основе этого, учатся вырабатывать наиболее эффективные механизмы защиты.
Читать дальше →

Терабит смерти. Министерство обороны США под угрозой кибератак



11 января 2018 года руководитель Агентства защиты информационных систем Министерства обороны США заявил, что в настоящее время глобальные сети Департамента обороны находятся под постоянной угрозой, кроме того заметно возрастает изощренность кибератак и усовершенствуются технологии нападений.

Генерал-лейтенант армии США, Алан Р. Линн, который помимо этого является командующим Штаба объединенных сил Агентства защиты информационных систем Министерства обороны США, рассказал о некоторых интересных и неожиданных открытиях, которые он отметил во время своей работы, начиная с назначения на этот пост в 2015 году.
Читать дальше →

Обнаружена новая «парольная» уязвимость Mac OS High Sierra


 
В актуальной версии операционной системы macOS High Sierra (10.13.2) обнаружена новая уязвимость, позволяющая кому угодно изменять настройки App Store с абсолютно любым паролем. Эта уязвимость уже вторая масштабная проблема за последние три месяца.
Читать дальше →

[Перевод] Рассказ о том, как я майню эфир через meltdown на ваших телефонах при помощи npm

Предисловие от переводчика



Пока вы не добрались до содержимого статьи, советую отложить её, отвести взгляд от монитора, и подумать на тему того, как же это происходит. Как всегда, всё гениальное просто. Ответ на поверхности. Подумали? Тогда читайте дальше.
Читать дальше →


Последние посты