Привет!
Дима на связи, сегодня я расскажу о том, как проходил одно из заданий курса по информационной безопасности Pentestit.
Суть задания в том, чтобы изучить работу веб-приложения (сайта) и найти файл с токеном, который находится где-то на сервере сайта.
Я заметил, что при переходе по ссылкам сайт использует необычный параметр – название файла, в котором лежит код отображаемой страницы. Чаще всего это означает то, что веб-сервер настроен неправильно и возможно можно прочитать содержимое и других файлов. Я проверил passwd файл и оказался прав. Когда я подставил его адрес в параметр, содержимое файла отобразилось у меня на экране!
Затем я попробовал получить доступ к логам веб сервера. Там хранится информация обо всех посещениях сайта: IP адрес, информация о браузере и т.п. Информацию о браузере очень легко подменить и подставив туда payload вместо реальных данных, мне удалось получить доступ к файлам сервера.
Как я уже говорил ранее, прохождение заданий – интересный и увлекательный квест, а в случае затруднений у вас будет возможность попросить совет у наставника, который наведет на правильный путь, а не слепо выдаст ответ.
В следующем посте я подведу итоги обучения и расскажу о том, стало ли оно полезным для меня. До скорого!
#pentest
Дима на связи, сегодня я расскажу о том, как проходил одно из заданий курса по информационной безопасности Pentestit.
Суть задания в том, чтобы изучить работу веб-приложения (сайта) и найти файл с токеном, который находится где-то на сервере сайта.
Я заметил, что при переходе по ссылкам сайт использует необычный параметр – название файла, в котором лежит код отображаемой страницы. Чаще всего это означает то, что веб-сервер настроен неправильно и возможно можно прочитать содержимое и других файлов. Я проверил passwd файл и оказался прав. Когда я подставил его адрес в параметр, содержимое файла отобразилось у меня на экране!
Затем я попробовал получить доступ к логам веб сервера. Там хранится информация обо всех посещениях сайта: IP адрес, информация о браузере и т.п. Информацию о браузере очень легко подменить и подставив туда payload вместо реальных данных, мне удалось получить доступ к файлам сервера.
Как я уже говорил ранее, прохождение заданий – интересный и увлекательный квест, а в случае затруднений у вас будет возможность попросить совет у наставника, который наведет на правильный путь, а не слепо выдаст ответ.
В следующем посте я подведу итоги обучения и расскажу о том, стало ли оно полезным для меня. До скорого!
#pentest
Топ-4 самых опасных типа вложенных файлов
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Telegraph
Топ-4 самых опасных типа вложенных файлов
У распространителей вирусов есть форматы-«любимчики». Рассказываем, в каких файлах вредоносные программы чаще всего скрываются в том году. 1. ZIP- и RAR-архивы Киберпреступники очень любят прятать зловредов в архивы. Например, ZIP-файлы с интригующим названием…
Не рано ли тебе, сынок, в такие игры играть?
Все дети играют, в том числе — на компьютере и телефоне. Само по себе это нормально, но игры бывают разные. Не зря же на коробках с дисками и в онлайн-магазинах указывают возрастные ограничения для некоторых из них. Нужно ли бить тревогу, например, если ваш десятилетний ребенок увлекся Fortnite с рейтингом 12+? Давайте разберемся, кто и как определяет, с какого возраста можно играть в ту или иную игру, и насколько строги эти требования.
Все дети играют, в том числе — на компьютере и телефоне. Само по себе это нормально, но игры бывают разные. Не зря же на коробках с дисками и в онлайн-магазинах указывают возрастные ограничения для некоторых из них. Нужно ли бить тревогу, например, если ваш десятилетний ребенок увлекся Fortnite с рейтингом 12+? Давайте разберемся, кто и как определяет, с какого возраста можно играть в ту или иную игру, и насколько строги эти требования.
Telegraph
Не рано ли тебе, сынок, в такие игры играть?
Кто задает возрастные ограничения для игр В мире есть примерно пара десятков возрастных классификаций для игр. Так, большая часть Европы подчиняется стандарту Pan European Game Information (PEGI), а в США, Канаде и Мексике за рейтинги отвечает организация Entertainment…
Можно ли прочитать зашифрованный PDF-файл?
Формат файлов PDF, согласно спецификациям, поддерживает шифрование. В нем используется алгоритм AES с режимом Cipher Block Chaining. Так что в теории человек или компания, защитившие файл, могут быть уверены, что содержимое документа станет известно кому-либо только в том случае, если он знает пароль.
Исследователь Фабиан Айзинг на Chaos Communications Congress показал, насколько надежно шифрование в PDF-файлах.
Формат файлов PDF, согласно спецификациям, поддерживает шифрование. В нем используется алгоритм AES с режимом Cipher Block Chaining. Так что в теории человек или компания, защитившие файл, могут быть уверены, что содержимое документа станет известно кому-либо только в том случае, если он знает пароль.
Исследователь Фабиан Айзинг на Chaos Communications Congress показал, насколько надежно шифрование в PDF-файлах.
Telegraph
Можно ли прочитать зашифрованный PDF-файл?
В теории зашифрованные PDF-файлы нужны для передачи данных через незащищенный канал или канал, которому нельзя доверять. Представьте, что кто-то загружает файл в облачное хранилище, доступ к которому имеют многие. Исследователь решил найти способ модификации…
Вымирание компьютерных файлов
Я люблю файлы. Мне нравится переименовывать их, перемещать, сортировать, изменять способ отображения в папке, создавать резервные копии, выгружать их в интернет, восстанавливать, копировать и даже дефрагментировать их. Как метафора способа хранения информационного блока, я думаю, они великолепны. Мне нравится файл как единое целое. Если мне нужно написать статью, она окажется в файле. Если мне нужно выдать в свет изображение, оно будет в файле. Новомодные технологические сервисы меняют наши интернет-привычки.
Я люблю файлы. Мне нравится переименовывать их, перемещать, сортировать, изменять способ отображения в папке, создавать резервные копии, выгружать их в интернет, восстанавливать, копировать и даже дефрагментировать их. Как метафора способа хранения информационного блока, я думаю, они великолепны. Мне нравится файл как единое целое. Если мне нужно написать статью, она окажется в файле. Если мне нужно выдать в свет изображение, оно будет в файле. Новомодные технологические сервисы меняют наши интернет-привычки.
Telegraph
Вымирание компьютерных файлов
Ода файлам .doc
Все файлы — скевоморфны. Скевоморфизм это модное слово означает, отражение физического объекта в цифровом виде. Например, документ Word — это как лист бумаги, который лежит на вашем рабочем столе (экране). Файл .JPEG похож на картину, и так…
Все файлы — скевоморфны. Скевоморфизм это модное слово означает, отражение физического объекта в цифровом виде. Например, документ Word — это как лист бумаги, который лежит на вашем рабочем столе (экране). Файл .JPEG похож на картину, и так…
Сбербанк идет в киберспорт
Mail.Ru Group ищет покупателя на киберспортивный холдинг ESforce. Долю в нем может купить Сбербанк. Пять лет назад, когда Алишер Усманов вложил в ESforce $100 млн, казалось, что он угадал с новой перспективной нишей — как до этого с соцсетями.
Интересны такие новости?
#новости
Mail.Ru Group ищет покупателя на киберспортивный холдинг ESforce. Долю в нем может купить Сбербанк. Пять лет назад, когда Алишер Усманов вложил в ESforce $100 млн, казалось, что он угадал с новой перспективной нишей — как до этого с соцсетями.
Интересны такие новости?
#новости
Telegraph
Убыточный киберспорт для Сбербанка, своя «Яндекс.Лавка» для Mail.Ru Group, раскол разработчиков ИИ
Откуда взялся ESforce
ESforce — киберспортивный холдинг, созданный на базе одной из старейших российских команд Virtus.pro. В 2010 году она могла распасться, но ее спас молодой предприниматель Антон Черепенников, который сам когда-то играл за несколько клубов.…
ESforce — киберспортивный холдинг, созданный на базе одной из старейших российских команд Virtus.pro. В 2010 году она могла распасться, но ее спас молодой предприниматель Антон Черепенников, который сам когда-то играл за несколько клубов.…
Тестирование на проникновение.
В 2019 году эксперты Positive Technologies провели десятки тестирований на проникновение («пентестов») корпоративных информационных систем организаций из разных отраслей . Для данного исследования были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Различие в выборках для двух типов работ объясняется тем, что каждая компания могла проводить отдельно внешний или внутренний пентест либо и тот, и другой в комплексе.
Основной целью пентестера при проведении внешнего тестирования было проникновение из интернета в локальную корпоративную сеть организации, а при внутреннем — получение максимально возможных привилегий в корпоративной инфраструктуре (компрометация контроллеров доменов, получение привилегий администраторов доменов или леса доменов 2). В отдельных пентестах руководство организации ставило задачу продемонстрировать возможность получения контроля над критически важными системами (например, системами управления банкоматами, SWIFT, АРМ КБР, рабочими станциями топ-менеджеров).
Ключевые результаты
• Внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий (6 — крайне низкий, 1 — низкий; 1 — выше среднего).
• Для проникновения во внутреннюю сеть банка в среднем требуется пять дней.
• Во всех 10 организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель — продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.
• Для получения полного контроля над инфраструктурой банка внутреннему злоумышленнику потребуется в среднем два дня.
• Общий уровень защищенности корпоративной инфраструктуры большинства финансовых организаций от внутренних атак оценивается как крайне низкий (8 — крайне низкий, 2 — низкий).
• В рамках трех внешних пентестов и в двух внутренних были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО.
Подробнее тут.
В 2019 году эксперты Positive Technologies провели десятки тестирований на проникновение («пентестов») корпоративных информационных систем организаций из разных отраслей . Для данного исследования были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Различие в выборках для двух типов работ объясняется тем, что каждая компания могла проводить отдельно внешний или внутренний пентест либо и тот, и другой в комплексе.
Основной целью пентестера при проведении внешнего тестирования было проникновение из интернета в локальную корпоративную сеть организации, а при внутреннем — получение максимально возможных привилегий в корпоративной инфраструктуре (компрометация контроллеров доменов, получение привилегий администраторов доменов или леса доменов 2). В отдельных пентестах руководство организации ставило задачу продемонстрировать возможность получения контроля над критически важными системами (например, системами управления банкоматами, SWIFT, АРМ КБР, рабочими станциями топ-менеджеров).
Ключевые результаты
• Внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий (6 — крайне низкий, 1 — низкий; 1 — выше среднего).
• Для проникновения во внутреннюю сеть банка в среднем требуется пять дней.
• Во всех 10 организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель — продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.
• Для получения полного контроля над инфраструктурой банка внутреннему злоумышленнику потребуется в среднем два дня.
• Общий уровень защищенности корпоративной инфраструктуры большинства финансовых организаций от внутренних атак оценивается как крайне низкий (8 — крайне низкий, 2 — низкий).
• В рамках трех внешних пентестов и в двух внутренних были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО.
Подробнее тут.
Telegraph
Тестирование на проникновение в организациях кредитно-финансового сектора
Векторы проникновения в локальную сеть Злоумышленник может использовать различные способы проникновения в локальную сеть банков. Максимальное количество разных векторов проникновения, которые были обнаружены в рамках одного проекта — пять; минимальное — один.…
Отчёт Malwarebytes о кибератаках, выход PyTorch3D, запуск сервиса GeForce Now и другие новости ИТ за февраль
• HackerOne провела четвёртое ежегодное исследование хакерской экосистемы. В отчёте говорится, что за 2019 год по баг-баунти программам белые хакеры получили $40 млн — почти столько же, сколько за все предыдущие годы в сумме.
• Google открыла доступ к первой превью-версии Android 11 для разработчиков. Среди нововведений отмечают улучшенную поддержку 5G и «водопадных» дисплеев, а в шторке уведомлений появится новый раздел для переписок.
• Google выпустила новую стабильную версию IDE Android Studio 3.6. Релиз содержит улучшения, которые делают более удобным процесс редактирования и отладки кода.
• Опубликован отчёт HackerRank Developer Skills Report. Самым распространённым языком по-прежнему остаётся JavaScript, за ним следуют Java, C, Python и С++. В рейтинге фреймворков произошли перестановки, но тройка лидеров не изменилась: AngularJS, React и Spring.
• Microsoft выпустит мобильные версии антивируса Defender для Android и iOS. Мобильный Defender не даст пользователям открыть потенциально небезопасные ресурсы, а также будет предотвращать фишинговые атаки и проникновение вредоносов на их устройства.
• В среде разработки Xcode от Apple с версией 11.4 beta появилась поддержка «универсальных покупок» приложений для macOS и других платформ. То есть Apple позволит разработчикам продавать приложения для macOS и iOS в одном наборе.
• Пользователи Reddit заметили новую заявку Google в Бюро по патентам и товарным знакам США на регистрацию торговой марки Pigweed. Судя по описанию, она предназначена для операционной системы компании.
• Nvidia анонсировала запуск игрового сервиса GeForce Now. Пользователям будут доступны игры, приобретённые на сторонних платформах, в том числе через аккаунты Steam, Epic и Battle.net.
• В Южной Корее благодаря технологии виртуальной реальности мать смогла «увидеться» со своей умершей семилетней дочерью. Парк, где состоялась «встреча», был воссоздан на основе места, где семья часто проводила время.
• Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON. Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
• YouTube, Twitter и другие компании потребовали от Clearview AI перестать собирать изображения пользователей для распознавания лиц. Стартап продавал доступ к базе с 3 млрд фотографий полиции и спецслужбам.
• По данным ежегодного отчёта Malwarebytes о ситуации в области кибератак, количество обнаруженных угроз на macOS растёт быстрее, чем на Windows. Количество угроз для Mac за год увеличилось на 400% в сравнении с 2018 годом.
• Facebook опубликовала библиотеку PyTorch3D для обучения нейросетей на 3D-данных. По словам разработчиков, библиотека может применяться, например, для улучшения навигации роботов в пространстве, распознавания объектов самоуправляемыми авто или же для повышения реалистичности VR и качества обработки 2D-изображений.
• Microsoft выпустила первую версию Windows 10X для двойных экранов. В системе будет поддержка классических приложений и разные варианты работы с контентом, а обновляться она должна быстрее, чем настольная версия.
• Подразделение Microsoft AI & Research представило крупнейшую в мире модель синтеза речи на основе нейронной архитектуры Transformer. Она содержит 17 млрд параметров.
#новости revolt
• HackerOne провела четвёртое ежегодное исследование хакерской экосистемы. В отчёте говорится, что за 2019 год по баг-баунти программам белые хакеры получили $40 млн — почти столько же, сколько за все предыдущие годы в сумме.
• Google открыла доступ к первой превью-версии Android 11 для разработчиков. Среди нововведений отмечают улучшенную поддержку 5G и «водопадных» дисплеев, а в шторке уведомлений появится новый раздел для переписок.
• Google выпустила новую стабильную версию IDE Android Studio 3.6. Релиз содержит улучшения, которые делают более удобным процесс редактирования и отладки кода.
• Опубликован отчёт HackerRank Developer Skills Report. Самым распространённым языком по-прежнему остаётся JavaScript, за ним следуют Java, C, Python и С++. В рейтинге фреймворков произошли перестановки, но тройка лидеров не изменилась: AngularJS, React и Spring.
• Microsoft выпустит мобильные версии антивируса Defender для Android и iOS. Мобильный Defender не даст пользователям открыть потенциально небезопасные ресурсы, а также будет предотвращать фишинговые атаки и проникновение вредоносов на их устройства.
• В среде разработки Xcode от Apple с версией 11.4 beta появилась поддержка «универсальных покупок» приложений для macOS и других платформ. То есть Apple позволит разработчикам продавать приложения для macOS и iOS в одном наборе.
• Пользователи Reddit заметили новую заявку Google в Бюро по патентам и товарным знакам США на регистрацию торговой марки Pigweed. Судя по описанию, она предназначена для операционной системы компании.
• Nvidia анонсировала запуск игрового сервиса GeForce Now. Пользователям будут доступны игры, приобретённые на сторонних платформах, в том числе через аккаунты Steam, Epic и Battle.net.
• В Южной Корее благодаря технологии виртуальной реальности мать смогла «увидеться» со своей умершей семилетней дочерью. Парк, где состоялась «встреча», был воссоздан на основе места, где семья часто проводила время.
• Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON. Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
• YouTube, Twitter и другие компании потребовали от Clearview AI перестать собирать изображения пользователей для распознавания лиц. Стартап продавал доступ к базе с 3 млрд фотографий полиции и спецслужбам.
• По данным ежегодного отчёта Malwarebytes о ситуации в области кибератак, количество обнаруженных угроз на macOS растёт быстрее, чем на Windows. Количество угроз для Mac за год увеличилось на 400% в сравнении с 2018 годом.
• Facebook опубликовала библиотеку PyTorch3D для обучения нейросетей на 3D-данных. По словам разработчиков, библиотека может применяться, например, для улучшения навигации роботов в пространстве, распознавания объектов самоуправляемыми авто или же для повышения реалистичности VR и качества обработки 2D-изображений.
• Microsoft выпустила первую версию Windows 10X для двойных экранов. В системе будет поддержка классических приложений и разные варианты работы с контентом, а обновляться она должна быстрее, чем настольная версия.
• Подразделение Microsoft AI & Research представило крупнейшую в мире модель синтеза речи на основе нейронной архитектуры Transformer. Она содержит 17 млрд параметров.
#новости revolt
Горящие билеты — мошенники пытаются нажиться на Burning Man
Каждый год в конце августа или начале сентября десятки тысяч людей собираются в пустыне Блэк-Рок в американском штате Невада на арт-фестиваль Burning Man. На восемь дней это место становится центром притяжения творческих людей со всего мира. Монументальные инсталляции, поражающие воображение перфомансы и особая атмосфера фестиваля привлекают огромное количество посетителей.
Каждый год в конце августа или начале сентября десятки тысяч людей собираются в пустыне Блэк-Рок в американском штате Невада на арт-фестиваль Burning Man. На восемь дней это место становится центром притяжения творческих людей со всего мира. Монументальные инсталляции, поражающие воображение перфомансы и особая атмосфера фестиваля привлекают огромное количество посетителей.
Россия без Revolut
Британский Revolut — один из самых успешных (оценка — $5,5 млрд) и модных финтех-стартапов в мире. В 2015 году его основали выходец из России Николай Сторонский и украинец Влад Яценко. Из-за происхождения Сторонского Revolut в России особенно ждали. О планах стартапа вот-вот запуститься в России сам Сторонский рассказал еще в 2018 году. Теперь, как выяснил The Bell, эти планы заморожены на неопределенный срок. Почему Revolut так ждали?
#новости
Британский Revolut — один из самых успешных (оценка — $5,5 млрд) и модных финтех-стартапов в мире. В 2015 году его основали выходец из России Николай Сторонский и украинец Влад Яценко. Из-за происхождения Сторонского Revolut в России особенно ждали. О планах стартапа вот-вот запуститься в России сам Сторонский рассказал еще в 2018 году. Теперь, как выяснил The Bell, эти планы заморожены на неопределенный срок. Почему Revolut так ждали?
#новости
Привет, это снова Дима!
Вот я и прошел курс по информационной безопасности от Pentestit. Хочу подвести итоги, как это было и поделиться своими впечатленями.
Это был интересный опыт, который безусловно дал мне новые знаний в области пентеста, проникновения. Мне понравился формат курса – большая часть была направлена на практические задания, но, не смотря на это, теории тоже было уделено достаточно внимания, а отдельные темы были детально рассмотрены на видеолекциях.
Я и ранее увлекался пентест лабораториями, а курс дал мне возможность углубиться в эту тему. Думаю, что именно задания такого типа способны прокачать скиллы в этой области. Спасибо Pentestit за интересные задания! :)
Pentestit проводит этот и иные, боллее продвинутые курсы регулярно, если заинтересовались, подробности можно узнать на их сайте.
Спасибо, что читали мой цикл статей про курс, надеюсь, что он оказался полезным. На связи!
#pentest
Вот я и прошел курс по информационной безопасности от Pentestit. Хочу подвести итоги, как это было и поделиться своими впечатленями.
Это был интересный опыт, который безусловно дал мне новые знаний в области пентеста, проникновения. Мне понравился формат курса – большая часть была направлена на практические задания, но, не смотря на это, теории тоже было уделено достаточно внимания, а отдельные темы были детально рассмотрены на видеолекциях.
Я и ранее увлекался пентест лабораториями, а курс дал мне возможность углубиться в эту тему. Думаю, что именно задания такого типа способны прокачать скиллы в этой области. Спасибо Pentestit за интересные задания! :)
Pentestit проводит этот и иные, боллее продвинутые курсы регулярно, если заинтересовались, подробности можно узнать на их сайте.
Спасибо, что читали мой цикл статей про курс, надеюсь, что он оказался полезным. На связи!
#pentest
Pentestit | Информационная безопасность
WebSecOps - практическая подготовка в области веб-безопасности
WebSecOps - практическая подготовка в области безопасности веб-приложений
👍1
Троян Ginp: вам SMS от банка, подтвердите платеж
Мобильные банковские трояны, проникнув на телефон, как правило, пытаются получить доступ к SMS. Им это нужно для того, чтобы перехватывать одноразовые коды подтверждения операций, которые отправляют банки. Получив такой код, владельцы зловреда могут незаметно для жертвы что-нибудь оплатить или перевести деньги на свой счет. Многие мобильные трояны заодно используют SMS, чтобы заразить побольше устройств, рассылая ссылку на скачивание себя по всему списку контактов жертвы.
Некоторые вредоносные приложения пользуются правом на отправку SMS более креативно — например, устраивают массовую рассылку с оскорблениями. А зловред Ginp умеет создавать на телефоне жертвы входящие SMS, которых на самом деле вообще никто не посылал. И не только SMS! Но давайте начнем с начала.
Мобильные банковские трояны, проникнув на телефон, как правило, пытаются получить доступ к SMS. Им это нужно для того, чтобы перехватывать одноразовые коды подтверждения операций, которые отправляют банки. Получив такой код, владельцы зловреда могут незаметно для жертвы что-нибудь оплатить или перевести деньги на свой счет. Многие мобильные трояны заодно используют SMS, чтобы заразить побольше устройств, рассылая ссылку на скачивание себя по всему списку контактов жертвы.
Некоторые вредоносные приложения пользуются правом на отправку SMS более креативно — например, устраивают массовую рассылку с оскорблениями. А зловред Ginp умеет создавать на телефоне жертвы входящие SMS, которых на самом деле вообще никто не посылал. И не только SMS! Но давайте начнем с начала.
Релиз Kuberflow 1.0, отмена Google I/O, выход рейтинга языков RedMonk и другие новости ИТ за неделю
• Google отменила ежегодную конференцию для разработчиков I/O из-за вспышки коронавируса Covid-19. Компания планирует рассказать участникам о продуктах без их личного присутствия.
• Alphabet показала систему для распознавания и отслеживания рыбы на фермах. Технология поможет фермерам оптимизировать работу и сократить потребление дикой рыбы, рассчитывают в компании.
• Corellium представила бета-версию проекта Project Sandcastle, благодаря которому можно установить Android на iPhone 7, 7 Plus и iPod Touch. Пока проект находится на ранней стадии и производители не знают, как он влияет на производительность или работу аккумулятора устройств.
• Google выпустила стабильную версию операционной системы Chrome OS 80. Сборка доступна для большинства актуальных моделей Chromebook.
• Опубликован релиз открытой ML-платформы Kubeflow 1.0. Она упрощает развёртывание, масштабирование и управление контейнеризованными приложениями в среде Kubernetes.
• RedMonk опубликовала свежий рейтинг языков программирования. Самым популярным остаётся JavaScript, второе место поделили Java и Python. Источниками данных служат GitHub (использование в разработке) и StackOverflow (количество обсуждений).
• Ватикан создал свод нравственных и этических принципов для разработчиков искусственного интеллекта и других современных технологий. Вместе с IBM и Microsoft он призывает разработчиков думать не только о технологиях, но и о том, что они должны нести благо для человечества и окружающего мира.
• Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 11.3. Ожидаемая в версии 11.3 интеграция поддержки языков C/C++ из переданной компанией Oracle кодовой базы в очередной раз перенесена на следующий выпуск.
• Доступен релиз прослойки JPype 0.7.2, которая позволяет организовать полный доступ Python-приложений к библиотекам классов на Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения.
• Microsoft представила выпуск командной оболочки PowerShell 7.0, исходные тексты которой были открыты в 2016 году под лицензией MIT. Новый выпуск оболочки подготовлен для Windows, Linux и macOS.
• Google переводит ОС Fuchsia на стадию финального внутреннего тестирования на сотрудниках, не занимающихся разработкой. Fuchsia должна стать универсальной операционной системой, способной работать на любых типах устройств.
#новости revolt
• Google отменила ежегодную конференцию для разработчиков I/O из-за вспышки коронавируса Covid-19. Компания планирует рассказать участникам о продуктах без их личного присутствия.
• Alphabet показала систему для распознавания и отслеживания рыбы на фермах. Технология поможет фермерам оптимизировать работу и сократить потребление дикой рыбы, рассчитывают в компании.
• Corellium представила бета-версию проекта Project Sandcastle, благодаря которому можно установить Android на iPhone 7, 7 Plus и iPod Touch. Пока проект находится на ранней стадии и производители не знают, как он влияет на производительность или работу аккумулятора устройств.
• Google выпустила стабильную версию операционной системы Chrome OS 80. Сборка доступна для большинства актуальных моделей Chromebook.
• Опубликован релиз открытой ML-платформы Kubeflow 1.0. Она упрощает развёртывание, масштабирование и управление контейнеризованными приложениями в среде Kubernetes.
• RedMonk опубликовала свежий рейтинг языков программирования. Самым популярным остаётся JavaScript, второе место поделили Java и Python. Источниками данных служат GitHub (использование в разработке) и StackOverflow (количество обсуждений).
• Ватикан создал свод нравственных и этических принципов для разработчиков искусственного интеллекта и других современных технологий. Вместе с IBM и Microsoft он призывает разработчиков думать не только о технологиях, но и о том, что они должны нести благо для человечества и окружающего мира.
• Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 11.3. Ожидаемая в версии 11.3 интеграция поддержки языков C/C++ из переданной компанией Oracle кодовой базы в очередной раз перенесена на следующий выпуск.
• Доступен релиз прослойки JPype 0.7.2, которая позволяет организовать полный доступ Python-приложений к библиотекам классов на Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения.
• Microsoft представила выпуск командной оболочки PowerShell 7.0, исходные тексты которой были открыты в 2016 году под лицензией MIT. Новый выпуск оболочки подготовлен для Windows, Linux и macOS.
• Google переводит ОС Fuchsia на стадию финального внутреннего тестирования на сотрудниках, не занимающихся разработкой. Fuchsia должна стать универсальной операционной системой, способной работать на любых типах устройств.
#новости revolt
Как силовики получают любые наши данные по одному запросу
На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов. Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика. The Bell объясняет, как это работает.
На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов. Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика. The Bell объясняет, как это работает.
Medium
Законы против персональных данных, лихие 90-е на рынке хостинга и новые инвесторы TON
Какие наши данные и на каких основаниях интернет-сервисы обязаны передавать силовикам?
Ошибочное понимание ИТ-безопасности: пароли
Поговорим о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?
#пароль
Поговорим о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?
#пароль
Medium
Какие пароли можно называть надежными?
Практически любой согласится: да, надежный пароль действительно важен, но в то же время его так сложно запомнить! Поэтому многие даже не…
Ворующая пароли малварь маскируется под карту распространения коронавируса
Аналитики компании Reason Cybersecurity предупредили, что одна из новых атак злоупотребляет стремлением пользователей получать оперативную информацию о коронавирусе. Данная кампания ориентирована на людей, которые ищут карты распространении COVID-19. Их обманом вынуждают загрузить и запустить вредоносное приложение, которое, на первый взгляд, действительно отображает карту, загруженную с легитимного сайта (мониторингом COVID-19 действительно занимается Университет Джона Хопкинса), однако на фоне в это время происходит компрометация системы.
Дело в том, что вредоносная карта, распространяющаяся под видом файла Corona-virus-Map.com.exe, содержит малварь AZORult, предназначенную для хищения информации. AZORult ворует данные из браузеров, в частности файлы cookie, историю посещений, идентификаторы пользователей, пароли и связанную с криптовалютами информацию.
В свою очередь издание ZDNet сообщает, что тему пандемии не обошли вниманием и правительственные хак-группы из Китая (группы Mustang Panda и Vicious Panda), Северной Кореи (группировка Kimsuky) и России (группа Hades, связанная с APT28). Так, еще в феврале коронавирус стал фишинговой приманкой и теперь спам, содержащий вредоносные документы или ссылки, якобы посвященные COVID-19, используется для атак против Министерства здравоохранения Украины, южнокорейских чиновников и правительственных организаций Монголии.
Хакер, ZDNet, Reason Cybersecurity.
Аналитики компании Reason Cybersecurity предупредили, что одна из новых атак злоупотребляет стремлением пользователей получать оперативную информацию о коронавирусе. Данная кампания ориентирована на людей, которые ищут карты распространении COVID-19. Их обманом вынуждают загрузить и запустить вредоносное приложение, которое, на первый взгляд, действительно отображает карту, загруженную с легитимного сайта (мониторингом COVID-19 действительно занимается Университет Джона Хопкинса), однако на фоне в это время происходит компрометация системы.
Дело в том, что вредоносная карта, распространяющаяся под видом файла Corona-virus-Map.com.exe, содержит малварь AZORult, предназначенную для хищения информации. AZORult ворует данные из браузеров, в частности файлы cookie, историю посещений, идентификаторы пользователей, пароли и связанную с криптовалютами информацию.
В свою очередь издание ZDNet сообщает, что тему пандемии не обошли вниманием и правительственные хак-группы из Китая (группы Mustang Panda и Vicious Panda), Северной Кореи (группировка Kimsuky) и России (группа Hades, связанная с APT28). Так, еще в феврале коронавирус стал фишинговой приманкой и теперь спам, содержащий вредоносные документы или ссылки, якобы посвященные COVID-19, используется для атак против Министерства здравоохранения Украины, южнокорейских чиновников и правительственных организаций Монголии.
Хакер, ZDNet, Reason Cybersecurity.
Выпуск ОС Bottlerocket, релиз новой версии Firefox, выход рейтинга языков TIOBE и другие новости ИТ за неделю
• Amazon Web Services анонсировала новую ОС Bottlerocket с открытым кодом для запуска контейнеров на виртуальных машинах и физических серверах. Она построена на базе Linux и пока выпущена только в виде превью-версии для разработчиков.
• Эксперты Reason Labs выяснили, что хакеры крадут пользовательские данные через приложения для отслеживания статистики о Covid-19. Злоумышленники создают сайты, предлагают скачать приложение, запускают через него вредоносные программы и таким образом получают доступ к данным.
• Вышла 74-я версия браузера Firefox. В ней отключена поддержка протоколов TLS 1.0 и TLS 1.1, реализован импорт профилей из Microsoft Edge и устранены 20 уязвимостей.
• Google представила TensorFlow Quantum — фреймворк машинного обучения для тренировки квантовых моделей. Он позволяет строить квантовые датасеты, гибридные и классические модели машинного обучения, обучать дискриминативные и генеративные квантовые модели и поддерживает эмуляторы квантовых схем.
• Опубликован мартовский рейтинг языков программирования TIOBE. В топ-10 ворвался Go, совершив большой скачок в восемь позиций. Четверка лидеров остается неизменной: Java, C, Python и C++.
• Google выпустила шестую версию датасета для компьютерного зрения Open Images, в которую добавила новые виды маркировки. Например, появилась мультимодальная разметка, в которой синхронизированы текст аннотации, начитка и движения указателя мыши по описываемым предметам.
• Поисковик DuckDuckGo опубликовал список веб-трекеров Tracker Radar: датасет содержит наименования 5326 доменов, через которые 1727 компаний и организаций отслеживают активность пользователей в сети.
• Вышел релиз языка системного программирования Rust 1.42. Добавлена поддержка шаблонов для сопоставления частей срезов, появился новый макрос matches!, в разряд стабильных переведена новая порция API.
#новости revolt
• Amazon Web Services анонсировала новую ОС Bottlerocket с открытым кодом для запуска контейнеров на виртуальных машинах и физических серверах. Она построена на базе Linux и пока выпущена только в виде превью-версии для разработчиков.
• Эксперты Reason Labs выяснили, что хакеры крадут пользовательские данные через приложения для отслеживания статистики о Covid-19. Злоумышленники создают сайты, предлагают скачать приложение, запускают через него вредоносные программы и таким образом получают доступ к данным.
• Вышла 74-я версия браузера Firefox. В ней отключена поддержка протоколов TLS 1.0 и TLS 1.1, реализован импорт профилей из Microsoft Edge и устранены 20 уязвимостей.
• Google представила TensorFlow Quantum — фреймворк машинного обучения для тренировки квантовых моделей. Он позволяет строить квантовые датасеты, гибридные и классические модели машинного обучения, обучать дискриминативные и генеративные квантовые модели и поддерживает эмуляторы квантовых схем.
• Опубликован мартовский рейтинг языков программирования TIOBE. В топ-10 ворвался Go, совершив большой скачок в восемь позиций. Четверка лидеров остается неизменной: Java, C, Python и C++.
• Google выпустила шестую версию датасета для компьютерного зрения Open Images, в которую добавила новые виды маркировки. Например, появилась мультимодальная разметка, в которой синхронизированы текст аннотации, начитка и движения указателя мыши по описываемым предметам.
• Поисковик DuckDuckGo опубликовал список веб-трекеров Tracker Radar: датасет содержит наименования 5326 доменов, через которые 1727 компаний и организаций отслеживают активность пользователей в сети.
• Вышел релиз языка системного программирования Rust 1.42. Добавлена поддержка шаблонов для сопоставления частей срезов, появился новый макрос matches!, в разряд стабильных переведена новая порция API.
#новости revolt
Чем опасен шпион MonitorMinor
Использование шпионского ПО не только неэтично, но и небезопасно. Первый пункт едва ли требует дополнительных разъяснений. Что касается второго, то вот в чем проблема: шпионское ПО крадет с устройства и отправляет в сеть огромное количество конфиденциальных данных. При этом создатели приложений для слежки совершенно не заботятся о том, чтобы защитить эти данные.
Информация, украденная такой программой, неизвестно как хранится и неизвестно как передается на командный сервер. Как следствие, невозможно предугадать, сколько людей получит доступ к этим данным в результате работы «сталкера». Учитывая темпы развития функций приложений-шпионов, это может стать для жертвы даже большей проблемой, чем, к примеру, слежка за ее перемещениями, которая изначально интересовала злоумышленника.
Использование шпионского ПО не только неэтично, но и небезопасно. Первый пункт едва ли требует дополнительных разъяснений. Что касается второго, то вот в чем проблема: шпионское ПО крадет с устройства и отправляет в сеть огромное количество конфиденциальных данных. При этом создатели приложений для слежки совершенно не заботятся о том, чтобы защитить эти данные.
Информация, украденная такой программой, неизвестно как хранится и неизвестно как передается на командный сервер. Как следствие, невозможно предугадать, сколько людей получит доступ к этим данным в результате работы «сталкера». Учитывая темпы развития функций приложений-шпионов, это может стать для жертвы даже большей проблемой, чем, к примеру, слежка за ее перемещениями, которая изначально интересовала злоумышленника.
Medium
Одно из самых опасных шпионских приложений для Android на сегодня.
Что умеет шпионское приложение MonitorMinor
Как IT-рынок справляется и помогает бороться с коронавирусом
На этой неделе ВОЗ признала коронавирус пандемией — и теперь уже кажется, что других новостей в мире, кроме разразившегося бедствия, не осталось. Как себя чувствует IT рынок?
На этой неделе ВОЗ признала коронавирус пандемией — и теперь уже кажется, что других новостей в мире, кроме разразившегося бедствия, не осталось. Как себя чувствует IT рынок?
Medium
Как IT-рынок справляется и помогает бороться с коронавирусом
Тотальный обвал
Релиз Java SE 14, запуск приложения GitHub, вручение премии Free Software Awards 2019 и другие новости ИТ за неделю
• GitHub запустил мобильное приложение для iOS и Android. Приложение поможет разработчикам управлять проектами со смартфона — просматривать сообщения о багах, назначать задачи, но не редактировать код.
• Apple проведёт конференцию для разработчиков WWDC 2020 в онлайн-режиме из-за вспышки коронавируса. Мероприятие впервые пройдёт только в режиме трансляции.
• GitHub купила npm — один из крупнейших сервисов для разработки на JavaScript. В компании пообещали, что доступ к публичному реестру останется бесплатным.
• Google приостановила выпуск обновлений для Chrome и Chrome OS, чтобы избежать перебоев в работе во время карантина.
• Windows 10 преодолела рубеж в 1 млрд активных устройств. Это единственная операционная система, под управлением которой работает более 80 тысяч моделей ноутбуков и гибридных устройств от более чем 1000 производителей.
• Firefox отказывается от протокола FTP из соображений безопасности. Изменение будет включено в релиз Firefox 77, запланированный на июнь этого года.
• Google выпустила Android 11 Developer Preview 2. Это вторая бета-версия ОС, сейчас она находится на раннем этапе тестирования и отладки и доступна только для разработчиков.
• Oracle выпустила платформу Java SE 14. Сохранена обратная совместимость с прошлыми выпусками платформы Java. Расширена экспериментальная поддержка текстовых блоков, в сборщик мусора G1 добавлен новый механизм распределения памяти, добавлен API для организации непрерывного мониторинга.
• Фонд свободного ПО наградил лауреатов ежегодной премии Free Software Awards 2019 за значительный вклад в развитие свободного ПО и социально значимые свободные проекты. Церемония награждения проходила в онлайне.
#новости revolt
• GitHub запустил мобильное приложение для iOS и Android. Приложение поможет разработчикам управлять проектами со смартфона — просматривать сообщения о багах, назначать задачи, но не редактировать код.
• Apple проведёт конференцию для разработчиков WWDC 2020 в онлайн-режиме из-за вспышки коронавируса. Мероприятие впервые пройдёт только в режиме трансляции.
• GitHub купила npm — один из крупнейших сервисов для разработки на JavaScript. В компании пообещали, что доступ к публичному реестру останется бесплатным.
• Google приостановила выпуск обновлений для Chrome и Chrome OS, чтобы избежать перебоев в работе во время карантина.
• Windows 10 преодолела рубеж в 1 млрд активных устройств. Это единственная операционная система, под управлением которой работает более 80 тысяч моделей ноутбуков и гибридных устройств от более чем 1000 производителей.
• Firefox отказывается от протокола FTP из соображений безопасности. Изменение будет включено в релиз Firefox 77, запланированный на июнь этого года.
• Google выпустила Android 11 Developer Preview 2. Это вторая бета-версия ОС, сейчас она находится на раннем этапе тестирования и отладки и доступна только для разработчиков.
• Oracle выпустила платформу Java SE 14. Сохранена обратная совместимость с прошлыми выпусками платформы Java. Расширена экспериментальная поддержка текстовых блоков, в сборщик мусора G1 добавлен новый механизм распределения памяти, добавлен API для организации непрерывного мониторинга.
• Фонд свободного ПО наградил лауреатов ежегодной премии Free Software Awards 2019 за значительный вклад в развитие свободного ПО и социально значимые свободные проекты. Церемония награждения проходила в онлайне.
#новости revolt
Коронавирус как приманка
Рассказываем, как ажиотаж вокруг коронавируса используется мошенниками для атак на компании с целью установить вредоносное ПО.
Рассказываем, как ажиотаж вокруг коронавируса используется мошенниками для атак на компании с целью установить вредоносное ПО.
Telegraph
Коронавирус как приманка
Письма, имитирующие деловую переписку и содержащие во вложениях всевозможные вредоносные программы — не новость. Мы наблюдаем их в мусорном трафике на протяжении как минимум трех последних лет. Причем чем ближе имитация к специфике работы жертвы, тем меньше…