Информационная безопасность

  • Хабрахабр

    [Из песочницы] Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты

    Привет, Хабр! Представляю вашему вниманию перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack» автора Sean Coonce. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты», которая вычистила мой счёт на Coinbase. В прошлую среду я потерял более 100000 долларов. У меня нет аппетита; я не могу заснуть; я наполнен чувствами тревоги,…

    Подробнее »
  • Хабрахабр

    AirBnb халатно относится к своим акаунтам

    Привет, читатели Хабра! Хочу описать ситуацию, которая произошла со мной и сервисом AirBnb пару дней назад. И как без наличия аккаунта связаться с AirBnb совершенно невозможно. Если вкратце: С моего аккаунта совершили одно успешное бронирование и попытались совершить еще 3 без каких либо подтверждений с моей стороны, далее отвязали номер телефона и удалили мой аккаунт без каких либо подтверждений. Я…

    Подробнее »
  • Хабрахабр

    AirBnb халатно относится к своим акаунтам

    Привет, читатели Хабра! Хочу описать ситуацию, которая произошла со мной и сервисом AirBnb пару дней назад. И как без наличия аккаунта связаться с AirBnb совершенно невозможно. Если вкратце: С моего аккаунта совершили одно успешное бронирование и попытались совершить еще 3 без каких либо подтверждений с моей стороны, далее отвязали номер телефона и удалили мой аккаунт без каких либо подтверждений. Я…

    Подробнее »
  • Хабрахабр

    Elasticsearch сделала бесплатными проблемные security-функции, ранее выведенные в open source

    На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей. Теперь в базовые сборки версий 6. В официальной блогозаписи содержатся «правильные» слова о том, что open source должен быть бесплатным и что владельцы проекта строят свой бизнес на прочих дополнительных функциях, которые…

    Подробнее »
  • Хабрахабр

    Face Anti-Spoofing или технологично узнаём обманщика из тысячи по лицу

    Пароли можно украсть, подсмотреть, забыть, ключи – подделать. Биометрическая идентификация человека – это одна из самых старых идей для распознавания людей, которую вообще попытались технически осуществить. Это могут быть отпечатки пальцев, голос, рисунок сосудов сетчатки глаза, походка и прочее. А вот уникальные характеристики самого человека подделать и потерять намного труднее. Вот об этом мы сегодня и поговорим. Конечно же, системы…

    Подробнее »
  • Хабрахабр

    Яндекс не считает Tabnabbing уязвимостью

    Что такое Tabnabbing? Про это написано уже множество статей, например, эта и на OWASP. Установив ссылку на внешний сайт с target="_blank", сайт будет иметь доступ к window.opener, через который можно сменить location у вкладки, с которой ведет ссылка. Если вкратце — управление вкладкой браузера через дочернюю вкладку, открытую с target="_blank". Все крупные сервисы, разрешающие вставлять ссылки, защищают пользователя от такого…

    Подробнее »
  • Хабрахабр

    От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)

    Как я понял, в компании произошел небольшой конфликт. В начале года мне написал сотрудник одной фирмы. Решение провести аудит системы определенно было правильное. Из-за которого существовал риск компроментации системы каким-то из сотрудников. В основе лежал сервис аутентификации. Ведь результаты проверки приятно удивили меня, и «неприятно» удивили заказчика.Архитетура системы в принципе была стандартная. Дальше по выданному jwt токену пользователь мог использовать…

    Подробнее »
  • Хабрахабр

    [Перевод] Пистолеты из 3D-принтера вернулись, и теперь их уже не остановить

    В онлайне мобилизуется децентрализованная сеть сторонников распечатывания оружия. Они анонимно делятся чертежами, советами, и создают своё сообщество. И простого способа остановить их не существует. В США снова растёт сеть сторонников распечатывания оружия на 3D-принтере – но сейчас уже всё по-другому. В отличие от предыдущих попыток популяризации оружия, которое можно печатать на 3D-принтере, данная операция полностью децентрализована. У неё нет никакой…

    Подробнее »
  • Хабрахабр

    Что-что случится 1 февраля 2020 года?

    TL;DR: начиная с февраля 2020 года, DNS-серверы, не поддерживающие обработку DNS-запросов как по UDP, так и по TCP, могут перестать работать. Читателю рекомендуется бегло ознакомиться с первой частью истории, дабы понимать контекст. Это продолжение поста «Что-что случится 1 февраля?» от 24 января 2019 г. Конечно, там тепло, дёшево, и кухня интересная, и визы половине населения Земли туда не нужно получать…

    Подробнее »
  • Хабрахабр

    В 19% популярнейших Docker-образов нет пароля для root

    В минувшую субботу, 18 мая, Jerry Gamblin из Kenna Security проверил 1000 самых популярных образов с Docker Hub на используемый в них пароль для пользователя root. В 19% случаев он оказался пустым. Предыстория с Alpine Поводом для проведённого мини-исследования стал появившийся ранее в этом месяце Talos Vulnerability Report (TALOS-2019-0782), авторы которого — благодаря находке Peter Adkins из Cisco Umbrella —…

    Подробнее »


Кнопка «Наверх»
Закрыть