Jump to content
  • *** ПРИВЕТСТВУЕМ ВСЕХ! ***

    Если вы хотите задать какой-либо интересующий вас вопрос, но не знаете, где его разместить, - для этого создан Раздел на форуме Задай вопрос-получишь ответ

    В России сотрудники операторов сотовой связи продавали данные о клиентах

    DiW
    By DiW,
    В Саранске (Республика Мордовия) суд привлек к ответственности двух сотрудников сотовых компаний, продававших персональные данные своих клиентов. Об этом сообщает издание «МК Саранск».   Как следует из материалов дела, специалист «Вымпелком» 24-летняя Анна С. предложила 27-летнему оператору контактного центра «Т2Мобайл» Анатолию П. подзаработать путем продажи паспортных данных абонентов. За информацию по каждому клиенту злоумышленница предлагала платить по 200 рублей.   В течение трех месяцев оператор копировал из базы данных фамилии, реквизиты удостоверяющих личность документов и сведения о движении денежных средств на лицевых счетах и продавал своей сообщнице, которая затем распространяла их в интернете.   Оба злоумышленника были задержаны сотрудниками УФСБ по Республике Мордовия. По решению суда, Анатолий П. получил условный срок 1 год 7 месяцев, а Анна С. условный срок1 год 4 месяца. Помимо этого, они не смогут занимать определенные должности в течение 2,5 лет.   securitylab.ru В Саранске (Республика Мордовия) суд привлек к ответственности двух сотрудников сотовых компаний, продававших персональные данные своих клиентов. Об этом сообщает издание «МК Саранск». Как следует из материалов дела, специалист «Вымпелком» 24-летняя Анна С. предложила 27-летнему оператору контактного центра «Т2Мобайл» Анатолию П. подзаработать путем продажи паспортных данных абонентов. За информацию по каждому клиенту злоумышленница предлагала платить по 200 рублей. В течение трех месяцев оператор копировал из базы данных фамилии, реквизиты удостоверяющих личность документов и сведения о движении денежных средств на лицевых счетах и продавал своей сообщнице, которая затем распространяла их в интернете. Оба злоумышленника были задержаны сотрудниками УФСБ по Республике Мордовия. По решению суда, Анатолий П. получил условный срок 1 год 7 месяцев, а Анна С. условный срок1 год 4 месяца. Помимо этого, они не смогут занимать определенные должности в течение 2,5 лет. Подробнее: https://www.securitylab.ru/news/493796.php

    В Google Chrome выявлена опасная уязвимость

    DiW
    By DiW,
    В Google Chrome обнаружена опасная уязвимость, затрагивающая все версии браузера для Windows, Mac, Linux и других операционных систем. Инженеры Google отказались раскрывать суть уязвимости, лишь описали ее как проблему, связанную с «некорректной обработкой CSP заголовка» (CVE-2018-6148).   Как поясняется в блоге команды Chrome, решение придержать технические подробности о проблеме связано с желанием предоставить пользователям время на установку корректирующего обновления. Уязвимость исправлена в стабильной версии Chrome 67.0.3396.79 для Windows, Mac и Linux. Пользователям рекомендуется обновить браузер как можно скорее.   Content Security Policy (CSP) — механизм безопасности, направленный на защиту от XSS- и Clickjacking- атак. CSP позволяет указать доверенные источники загрузки ресурсов, такие как Javascript, шрифты, CSS и другие, а также запретить исполнение встроенного Javascript-кода.   В конце минувшего мая Google представила стабильную версию браузера Chrome 67 с поддержкой стандарта WebAuthn, позволяющего авторизоваться на большинстве сайтов без использования пароля.   securitylab.ru

    В Сети обнаружен ботнет из более чем 40 тыс. серверов, модемов и IoT-устройств

    DiW
    By DiW,
    Специалисты компании GuardiCore выявили в Сети массивный ботнет, включающий более 40 тыс. инфицированных web-серверов, модемов и других IoT-устройств. Ботнет, получивший название Prowli, используется для майнинга криптовалюты и перенаправления пользователей на вредоносные сайты. Заражение устройств осуществляется с помощью эксплоитов и брутфорс-атак.   После компрометации сервера или IoT-устройства операторы Prowli определяют, могут ли использовать его для интенсивной добычи криптовалют. Если устройство является подходящим, его заражают майнером Monero и червем r2r2, способным осуществлять брутфорс-атаки на SSH. Кроме того, злоумышленники инфицируют сайты под управлением популярных систем управления контентом (WordPress, Joomla!, Drupal) бэкдором, использующимся для внедрения вредоносного кода, который перенаправляет пользователей на различные мошеннические и вредоносные ресурсы.   Как полагают исследователи, организаторы Prowli преследуют исключительно финансовую выгоду. По их словам, злоумышленникам удалось заразить более 40 тыс. серверов и IoT-устройств, расположенных в сетях свыше 9 тыс. компаний. Причем операторы ботнета не отдают предпочтение какому-либо региону, а атакуют пользователей по всему миру.   securitylab.ru

    Cloudflare экспериментирует со скрытым сервисом Tor

    DiW
    By DiW,
    Cloudflare добавила в свой DNS-сервис скрытый сервис Tor. Как поясняли в Cloudflare, хотя компания стирает логи и не записывает на диск IP-адреса клиентов, «пользователи, особенно заботящиеся о своей конфиденциальности, могут и вовсе не хотеть раскрывать DNS-резолверу свои IP-адреса».   Адрес DNS-клиента dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion доступен через сайт tor.cloudflare-dns.com. Столь сложный адрес объясняется тем, что он представляет собой открытый ключ для шифрования коммуникаций со скрытым сервисом. Поэтому пользователям не нужно запоминать «dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad», поскольку для того, чтобы браузер «знал» как и где получить доступ к ресурсу, сервис использует заголовок HTTP Alt-Svc. Функция поддерживается браузером Mozilla Firefox Nightly, предлагающим onion-адреса в качестве альтернативных сервисов.   Заголовок сигнализирует браузеру о доступности onion-адреса для сайта tor.cloudflare-dns.com (как через прокси-сервер SOCKS), и браузер запускает проверку сертификата и имени сервера. Если проверка прошла удачно, браузер отправляет запросы альтернативному сервису (скрытому DNS-резолверу), для того чтобы будущие запросы не покидали пределы сети Tor.   Как пояснили эксперты Cloudflare, скрытый сервис защищает пользователей от вредоносных выходных узлов и атак, направленных на деанонимизацию. Компания опубликовала инструкцию по конфигурации демона cloudflared для использования сервиса. Проект является экспериментальным и не должен использоваться в коммерческих продуктах.   securitylab.ru

    Исследователь удаленно взломал системы находящихся в воздухе самолетов

    DiW
    By DiW,
    Исследователь безопасности из компании IO Active Рубен Сантамарта (Ruben Santamarta) успешно взломал Wi-Fi сети и оборудование спутниковой связи находящегося в воздухе самолета с земли. Об этом сообщает издание Dark Reading.   Эксперту удалось подключиться к бортовым сетям Wi-Fi, в том числе к устройствам пассажиров, а также получить доступ к важным спутниковым и коммуникационным устройствам в самолете.   Исследователь планирует продемонстрировать, как именно он получил доступ к самолетам и бортовым устройствам спутниковой связи на конференции Black Hat, которая будет проходить с 4 по 9 августа 2018 года в Лас-Вегасе (США). Сантамарта намерен рассказать, каким образом оборудование для спутниковой связи может быть превращено в оружие и в конечном итоге создать угрозу безопасности самолета.   По словам специалиста, он использовал аналогичные методы для поиска нескольких военных объектов НАТО в зонах конфликтов, а также смог получить доступ к сетям морских судов.   Ранее Сантамарта обнаружил уязвимость в мультимедийной системе Panasonic Avionics, используемой на борту самолетов 13 крупных авиакомпаний, в том числе Air France и American Airlines, позволяющую хакерам удаленно перехватить контроль над самолетом.   securitylab.ru

    Компания Huawei имела доступ к данным пользователей Facebook

    DiW
    By DiW,
    Компания Facebook подтвердила наличие у китайского производителя техники компании Huawei, считающейся угрозой национальной безопасности США, доступа к данным о пользователях.   Как сообщили представители Facebook, компания Huawei смогла получить доступ к данным для обеспечения работы мобильного приложения социальной сети на своих смартфонах.   «Facebook вместе со многими другими американскими технологическими компаниями работала с Huawei и другими китайскими производителями для того, чтобы интегрировать свои сервисы в их устройства. Учитывая интерес со стороны Конгресса [США], мы хотели четко указать, что вся информация хранилась непосредственно на устройствах, а не на серверах Huawei», - цитирует заявление представителей Facebook информационное агентство Reuters.   Как отметили в компании, не зафиксировано случаев нарушения политики конфиденциальности со стороны производителей мобильных телефонов, которые уже много лет имеют доступ к данным о пользователях и их друзьях.   До сих пор приложение Facebook способствовало стандартизации использования социальной сети на смартфонах. Порядка 60 производителей устройств, таких как Amazon, Apple, Blackberry, HTC, Microsoft и Samsung, работали с Facebook над адаптацией интерфейса Facebook на своих устройствах. В то же время представители Facebook заявили о прекращении партнерства с Huawei к концу текущей недели.   securitylab.ru

    Библиотеки для распаковки архивов подвержены опасной уязвимости Zip Slip

    DiW
    By DiW,
    Специалисты команды Synk обнародовали подробности о серьезной уязвимости Zip Slip, затрагивающей открытые библиотеки на Java, JavaScript, Python, Ruby, .NET, Go и Groovy, обрабатывающие архивированные файлы. Проблема заключается в реализации процесса распаковки архивов и позволяет распаковать архив за пределами базового каталога и переписать важные файлы, такие как системные библиотеки, конфигурационные файлы сервера и пр. Уязвимость затрагивает различные форматы, включая tar, jar, war, cpio, apk, rar и 7z.   Атакующий может проэксплуатировать уязвимость с помощью специально сформированного архива, в котором в путь сохраненного в архиве файла подставлены символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранен в папку вне базового каталога распаковки архива.   По словам исследователей, проблема в основном затрагивает библиотеки на Java из-за отсутствия официально рекомендованного инструмента для обработки архивированных файлов. В связи с этим, разработчики создают множество альтернативных решений, большинство из которых подвержены Zip Slip. Распространению уязвимости способствует и тот факт, что программисты делятся фрагментами уязвимого кода на Stack Overflow, то есть, многие разработчики могут непреднамеренно представить Zip Slip в своих приложениях, написанных на Java.   Среди решений, использующих уязвимые библиотеки, указаны пакетный менеджер npm, платформа Google Cloud, продукты Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop, Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. Полный список уязвимых проектов доступен на GitHub.   Специалисты также представили видео, демонстрирующее процесс эксплуатации уязвимости:   securitylab.ru Специалисты команды Synk обнародовали подробности о серьезной уязвимости Zip Slip, затрагивающей открытые библиотеки на Java, JavaScript, Python, Ruby, .NET, Go и Groovy, обрабатывающие архивированные файлы. Проблема заключается в реализации процесса распаковки архивов и позволяет распаковать архив за пределами базового каталога и переписать важные файлы, такие как системные библиотеки, конфигурационные файлы сервера и пр. Уязвимость затрагивает различные форматы, включая tar, jar, war, cpio, apk, rar и 7z. Атакующий может проэксплуатировать уязвимость с помощью специально сформированного архива, в котором в путь сохраненного в архиве файла подставлены символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранен в папку вне базового каталога распаковки архива. По словам исследователей, проблема в основном затрагивает библиотеки на Java из-за отсутствия официально рекомендованного инструмента для обработки архивированных файлов. В связи с этим, разработчики создают множество альтернативных решений, большинство из которых подвержены Zip Slip. Распространению уязвимости способствует и тот факт, что программисты делятся фрагментами уязвимого кода на Stack Overflow, то есть, многие разработчики могут непреднамеренно представить Zip Slip в своих приложениях, написанных на Java. Среди решений, использующих уязвимые библиотеки, указаны пакетный менеджер npm, платформа Google Cloud, продукты Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop, Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. Полный список уязвимых проектов доступен на GitHub. Специалисты также представили видео, демонстрирующее процесс эксплуатации уязвимости: Подробнее: https://www.securitylab.ru/news/493771.php

    Госдума одобрила штрафы за нарушение закона о запрете анонимайзеров

    DiW
    By DiW,
    Во вторник, 5 июня, Госдума РФ приняла в третьем (заключительном) чтении закон о введении штрафов за неисполнение закона о запрете использования анонимайзеров и VPN-сервисов, сообщает информагентство РИА «Новости».   Как следует из документа, штрафами будут облагаться операторы поисковых систем в случае, если они не исполняют возложенные на них обязанности по получению доступа к реестру Роскомнадзора и блокировке ссылок на информационные ресурсы, включенные в перечень запрещенных сайтов.   Для физических лиц предусмотрены штрафы в размере от 3 тыс. до 5 тыс. рублей, для должностных лиц - от 30 тыс. до 50 тыс. и для юридических лиц от 500 тыс. до 700 тыс. рублей.   Документ вступит в силу спустя три месяца после его официальной публикации.   Напомним, поправки в закон «Об информации, информационных технологиях и о защите информации», запрещающие использование технологий, позволяющих обойти блокировку запрещенных на территории РФ интернет-ресурсов, были приняты Государственной Думой и одобрены президентом России в июле 2017 года.   securitylab.ru

  • Who's Online (See full list)

    There are no registered users currently online

  • Login to site

    Sign In

  • Themes

  • Статистика портала

    • Total Topics
      11,005
    • Total Posts
      29,797
    • Total Members
      1,443
    • Most Online
      3,867
      08/13/2018 03:00 AM

    Newest Member
    awaldorf
    Joined 04/18/2019 07:31 AM
  • Заказ услуг

    Тема поддержки Заказать услугу
  • Поиск в Интернете

    Фраза: GO!
    MSDN RSDN
  • Онлайн Антивирус

    ПРОВЕРЬ ФАЙЛЫ



  • Помощь порталу

    Если Вы желаете поддержать портал:

    WMR - R124516874021
    WMZ - Z710827566240
    ЯД - 410011732301196

    СПАСИБО!

    Вы также можете поддержать портал через кнопку Яндекс.Деньги

  • Счетчик посетителей




    Яндекс.Метрика

    Регистрация сайта в каталогах, раскрутка и оптимизация сайта, контекстная реклама

×

Important Information

By using this site, you agree to our Terms of Use.