[Перевод] Разбираемся с Meltdown и Spectre: что нужно знать о новых уязвимостях, которые обнаружены практически во всех CPU

Похоже, производители процессоров получили серьезный удар: за несколько дней все новостные сайты заговорили сразу о двух хардварных уязвимостях под названием Meltdown и Spectre. Должен сказать, что это очень горячая неделя, какую давно не видели в технологической отрасли. Но не буду спешить, так что разберемся со всем по порядку.


Читать дальше →

Антивирусный отчет за 2017 год: забываем о вредоносных программах



В наши дни всего за несколько часов создается больше вредоносных программ, чем за весь двадцатый век. Меняются цели, техники становятся все более сложными, увеличивается количество векторов атаки, а инструменты для осуществления атак стали все более индивидуальными и создаются под конкретные цели. Злоумышленники тщательно изучают своих жертв, чтобы адаптировать свои стратегии и достичь максимально возможного эффекта.

Действенность, эффективность и доходность кибер-атак постоянно подтверждаются цифрами: в течение 2017 года в среднем обнаруживалось до 285 000 новых образцов ежедневно.
Антивирусная лаборатория PandaLabs подготовила годовой отчет и представила свои прогнозы на 2018 год. Читать дальше →

[Перевод] 5 Тенденций Развития Микросервисов в 2018 году

image 2017 год стал важным годом для DevOps, поскольку число игроков в экосистеме существенно выросло, а количество проектов с CNCF утроилось. Глядя на год вперед, мы ожидаем, что инновации и рыночные изменения ускорятся еще больше. Ниже мы рассмотрели тенденции в области микросервисов в 2018 году: сервисные связки(так называемые “меши”), event-driven архитектуры, нативная безопасность контейнеров, GraphQL и Chaos инженерия.

1. Сервисные связки популярны!

Сервисные связки или “меши”, выделенный уровень инфраструктуры для улучшения связи между сервисами, в настоящее время наиболее обсуждаема в контексте облачности. По мере того, как контейнеры становятся более распространенными, топологии сервисов становится все более динамичными, требуя улучшеной функциональности сети. Сервисные связки могут помочь управлять трафиком через обнаружение сервисов, маршрутизацию, балансировку нагрузки, проверку работоспособности и наблюдаемость(observability). Сервисные связки пытаются укротить непоколебимую сложность контейнера. Очевидно, что сервисные сетки становятся все более популярными, поскольку балансировщики нагрузки, такие как HAProxy, traefik и NGINX, начали перестраиваться и представлять себя как плоскости данных(data planes). Мы пока не видели широкомасштабного развертывания, но мы знаем о компаниях, которые уже используют связки на живых серверах, в “продакшене”, так сказать. Кроме того, сервисные связки не являются эксклюзивными для микросервисов или сред Kubernetes, и также могут применяться в среде VM и без сервера. Например, в Национальном Центре Биотехнологической Информации(NCBI) нет контейнеров, но используется Linkerd. ...Далее...

[Перевод] Intel предупреждает пользователей о «неисправности» патчей Spectre-Meltdown



Не устанавливайте патчи от Intel для исправления уязвимостей Spectre-Meltdown.


Intel в понедельник предупредила о том, что следует прекратить установку текущих версий патчей для Spectre и Meltdown, которые Линус Торвальдс отметил комментарием «абсолютнейший мусор».

Spectre и Meltdown представляют собой уязвимости, обнаруженные исследователями в начале этого месяца во многих процессорах Intel, ARM и AMD, используемых в современных ПК, серверах и смартфонах. Они могут позволить злоумышленникам украсть ваши пароли, ключи шифрования и другую личную информацию.

С прошлой недели пользователи начали сообщать, что после установки пакета обновлений безопасности, выпущенного Intel, они столкнулись с проблемами, которых не было ранее. Например, спонтанные перезагрузки и другое «непредсказуемое» поведение системы. Читать дальше →

Security Week 1: Cтаратели не воруют, эксплойты старины глубокой, Google Play против свинства

Новость на русском. Подробнее на английском
Популярные продукты Oracle пали жертвами недавно опубликованного эксплойта, позволяющего удаленно выполнять произвольный код, — правда, к удивлению экспертов, ничего хуже несанкционированной добычи криптовалюты с ними не случилось. Злоумышленники использовали уязвимость в серверах приложений WebLogic, пропатченную Oracle еще в прошлом октябре.

Для применения эксплойта, публично описанного чуть больше месяца назад, не требуется особых умений. Неудивительно, что вредоносная кампания быстро набрала обороты. Под раздачу попали не только сами серверы WebLogic, но и другие решения Oracle, которые их используют. В том числе PeopleSoft — ERP-система для управления сложной административной инфраструктурой и финансовыми потоками крупного предприятия (часто организации хранят в этой системе все свои данные, конфиденциальные и не очень).
Читать дальше →

Контроль данных обязательной отчетности: как мы снизили число ошибок в 30 раз

Здравствуйте, меня зовут Даниил и я занимаюсь развитием аналитических систем в банке «Ренессанс Кредит». В этой статье я расскажу о том, как мы создавали систему контроля качества данных для хранилища обязательной отчетности. Такой контроль необходим, чтобы утвердительно ответить на простой, но чрезвычайно важный вопрос бизнеса: «Могу ли я доверять этому источнику информации?». Возможно, какие-нибудь из описанных приемов помогут и вам в решении разных задач.


Читать дальше →

Kali Linux в Windows

image

 
С введением подсистемы Windows для Linux (WSL) в Windows 10 появились новые и захватывающие возможности, такие как поддержка Linux дистрибутивов, в частности Ubuntu. В этой статьей я расскажу как с помощью этой подсистемы подключить Kali LInux в Windows среде не используя системы виртуализации.

Читать дальше →

Зачем солить HTTP-коллбэки


Некоторые облачные сервисы хотят двустороннего общения для нотификаций: рассказать вашему backend о завершении долгой операции, показать случившиеся ошибки, предупредить о низком балансе платных услуг — вся вот эта история. И если для общения с сервисами мы привыкли использовать HTTP-запросы, то в обратную сторону есть много вариантов: от проверок статуса раз в десять минут и до постоянного WebSocket или HTTP/2 подключения с нотификациями в реальном времени. Самый простой способ это HTTP callbacks. Вы задаете в админке URL своего бэкенда, а облачный сервис в случае интересных событий делает HTTP-запрос к этому URL с дополнительный информацией в теле запроса. Обратная сторона простоты это безопасность. Как убедиться, что запрос сделал именно облачный сервис, а не злобный хакер Вася? Несколько способов под катом.
Читать дальше →

Риски использования служб виртуальных номеров для приёма смс при регистрации на интернет-ресурсах


Ранее мы уже писали о возможности получения личного номера телефона с помощью анализа и перебора социальных ресурсов и учётных записей.

Небольшой обзор ниже рассмотрит обратную сторону медали — риски взлома учётных записей на интернет-ресурсах в случаях, когда имеется доступ к приёму смс — например в случае использования бесплатных служб виртуальных номеров.
Читать дальше →

(Не)безопасность систем мониторинга: NagiosXI

image

Сейчас в компании любого размера зачастую используется та или иная система мониторинга, переодически то в одной, то в другой находят уязвимости (которые закрываются патчами) и слабости (на которые закрываются глаза). Сегодня мы поговорим о системе мониторинга NagiosXI и расскажем о способах ее эксплуатации в ходе пентеста. А также приведем мнение разработчиков относительно проблемы безопасности их продукта.
Читать дальше →


Последние посты