Безопасность

Иранские хакеры взломали Citrix и украли 6 терабайт коммерческой переписки

упс

Citrix — американская контора, главный продукт которой — средства доступа к удаленному рабочему столу. Среди клиентов компании значатся крупные правительственные структуры США, нефте- и газодобывающие компании, технологические конторы. И вот хитрые иранские каккеры из группировки Иридиум ломанули Citrix и вынесли 6 терабайт почтовой переписки, содержащей конфиденциальные данные и коммерческую тайну. Ущерб для безопасности США может оказаться катастрофическим.

Иранские хакеры из группировки Iridium взломали Citrix

Главная тема: 

Что такое SQL-инъекция и зачем нужен SQL-файервол

технологии защиты

Есть такой класс атак — SQL-инъекция. Ошибка хорошо изучена, но на эти грабли каждый раз наступают снова и снова. Вот бы кто придумал, как решить проблему раз и навсегда. Постойте, похоже решение найдено — SQL-файервол.

Что такое SQL-инъекция и как от нее защититься

Как работает SQL-инъеция

Допустим, сайт содержит такой код:

$postId = $_GET['post_id'];
$query = "select title, body from posts where post_id = $postId";

Программное обеспечение: 

Как школьник заработал 65 млн рублей. А чего добился ты?

бизнес на уязвимостях

Обычное школоло из Аргентины Сантьяго Лопес в 2015 году присоединился к проекту по поиску багов в обмен на денежное вознаграждение. Юноша наяривал и за 4 года поиска анальных брешей в программном обеспечении заработал свой первый миллион долларов — 65 млн в переводе на деревянные.

Программа поиска дырок называется HackerOne. Никакоо риска или криминала не предполагается. Специалист находит дырку в популярной программе (например, в каком-нибудь Wordpress), сообщает владельцам, те штопают свое глючное ПО, а нашедшему выплачивается денежное вознаграждение.

Главная тема: 

WinRAR + Windows = проблемы

20-летняя дыра

В WinRAR нашли дырку, существовавшую в проприетарном упаковщике 20 лет. Дырка позволяет взломать хомячковский комп с Windows, прислав по почте специально изготовленный RAR-архив.

Зачем нужен платный WinRAR, когда есть бесплатный и открытый 7-Zip, превосходящий пропретарную поделку по всем показателям эксперты не уточняют. Возможно, среди пользователей Windows немало смельчаков, осознано ищущих острые анальные ощущения. Люди, думающие о своей безопасности, выбирают Linux, а файлы жмут удобнейшим tar + bzip2.

Главная тема: 
Дистрибутивы: 
Программное обеспечение: 

Восстановление публичного ключа шифрования по секретному

криптография для школьников

Иногда бывает, что теряешь публичный криптографический ключ. Казалось бы, всё пропало и нужно генерировать новую пару. Оказывается, секретного ключа достаточно, чтобы восстановить по нему публичный ключ. Вот вам криптолайфхак года.

Восстановление публичного ключа шифрования по секретному

ssh-keygen -y -f privatekey.pem > publickey.pem

Вуаля!

Названия программ: 
Программное обеспечение: 

Mail.ru и Яндекс поддержали законопроект об автономном Чебурнете

ссучились

Фирмы Mail.ru и Яндекс поддержали законопроект по анальному ограждению Рунета от остального цивилизованного мира.

Закон об изоляции интернета в России, чиновники и цензура побеждают

Директор по развитию сетевой инфраструктуры компании Яндекс Алексей Соколов:

Обсуждаемый законопроект вовремя направлен на защиту российского сегмента сети интернет.

Технический директор Mail.ru Group Владимир Габриелян:

Найдено объяснение тормознутости openSUSE и Fedora

производительность в обмен на безопасность

Удивительный случай произошел на прошлой неделе. В позорной поделке г-на Поттеринга SystemD нашли очередные критические дыры. На этот раз в системе журналирования. Говорили же пацанчику, что не стоит делать из простой системы инициализации целый комбайн а-ля и швец, и жнец, и на дуде игрец.

Но сейчас речь не об этом. Специалисты в области компьютерной безопасности с удивлением обнаружили, что дырявы почти все дистрибутивы, но нашлись и такие, в которых эксплоиты для SystemD попросту не срабатывали:

Главная тема: 
Дистрибутивы: 

Что почитать о Linux на каникулах

лучший подарок

Какие книги стоит почитать линуксоиду на утомительно долгих новогодних каникулах? Не только, чтобы скоротать время, но чтобы стать умнее и продвинуться по карьерной лестнице. Заценим лучшие книги на начало 2019 года.

Примечание

Роскомнадзор, в рамках реализации программы по борьбе с книгами и знаниями, забанил все три ссылки. Но вы ведь знаете, что делать? А если не знаете, то вам, вероятно, лучше и не думать о карьере хакера. Шарики для подшипников тоже кто-то должен вытачивать на заводах.

Плагин Google Container для Firefox защитит от слежки

дай отпор вуайеристам из Google

Добрые люди запилили и выложили в свободный доступ расширение для Firefox, которое умеет изолировать всю шпионящую дрянь от Google.

Компании: 
Названия программ: 

Почему нельзя доверять аппаратному шифрованию SSD

бэкдор

Исследователи посмотрели под отладчиком прошивки популярных SSD от Crucial и Samsung и обнаружили, что во многих случаях мастер-пароли на шифрование были либо очень слабыми, либо одинаковыми для всего модельного ряда, либо отсутствовали вовсе.

Главная тема: 
Компании: 
Программное обеспечение: 
Пользовательские теги: 

Мода на добровольное чипирование: плюсы и минусы чипа под кожей

хочу стать рабом

В Швеции тысячи людей выстраиваются в очереди, чтобы им вшили под кожу чип. Речь идет не о крупном рогатом скоте, а именно о шведах вида Homo sapiens. Зачем им это? Да еще за $180!

МТС, Мегафон и Билайн против борьбы с мошенниками

на воре шапка горит

Центробанк решил наконец начать борьбу с телефонными мошенниками. Всякие проходимцы рассылают SMS-ки со ссылками на вредоносный софт, чтобы в итоге получить доступ к какому-нибудь Сбербанку Онлайн и похитить у пенса личные сбережения.

Суть предложения Центробанка проста. Надо собирать базу мошенников и расшарить ее между банками, чтобы один жулик, взломав одну отдельно взятую бабку, не имел возможности продолжить свою криминальную карьеру. В базе под каждого мошенника выделяется всего 3 поля:

Пользовательские теги: 

Может ли полицейский проверить ваш телефон и читать Telegram

руки вверх!

Гражданина останавливает на улице полицейский и просит предъявить для проверки телефон. Телефон заблокирован паролем. Полицейский требует пароль. Далее страж правопорядка видит установленное приложение Telegram, запускает его и читает переписку. Законны ли действия полицейского и если нет, то с какого шага?

Пользовательские теги: 

Америкашки разработали новый класс биологического оружия

технологии убийства

Пока Русь-Матушка запиливает гиперсветовые ракеты на ядерном топливе, американский противник решил зайти с другой стороны — зачем нужны ракеты, если есть комары? Попробуй сбить комара из ПВО!

Telegram вновь опозорился: возможно раскрытие IP-адреса

fail

В «надежном» и «защищенном» Телеграмме вновь нашли забавную фичу — любой желающий может определить IP-адрес любого пользователя. Ай да приватность!

Как определить ip пользователя Telegram

Главная тема: 
Пользовательские теги: 

Яровая подглядывает за тобой

тоталитаризм

С сегодняшнего дня в России вступает в действие та часть печально известного закона Яровой, которая о сборе и хранении трафика.

Закон Яровой отзывы

Российские военные отказываются от Windows

встаём с колен

На сайте госзакупок опубликован заказ на приобретение компов для военных нужд. Приятным моментом является отказ от услуг фирмы Microsoft.

Компы будут патриотичными — на базе российского процессора Эльбрус-8С. Windows 10 со всеми своими шпионскими модулями тоже не нужен — предполагается использовать Astra Linux. Потратить предполагается 400 млн рублей, а аукцион сделать закрытым.

Дистрибутивы: 

Mutagen Astronomy атакует Debian, CentOS и RHEL

Открываю сегодня RSS-читалку и вижу на пожелтевшем Cnews шокирующую новость: «Red Hat, CentOS и Debian десять лет разрешали нелегально стать администратором». Всё пропало! Сколько я запилил интернет-магазинов на Drupal и сейчас их поддерживаю! И все на Debian. Сейчас же начнут звонить клиенты и выносить мозг! Но почему-то никто не спешил звонить.

Не храните сиське во Вконтакте!

электронный рэкет

Хакеры взломали аккаунт Вконтакте девушки из Омска и получили доступ к фотографиям интимного содержания. Негодяи потребовали 10 тыс. рублей за молчание, иначе угрожали разослать сиське по френд-ленте.

Интимные фотографии Вконтакте

Пользовательские теги: 

Как открыть в Linux порт ниже 1024 без полномочий root

Иногда требуется запустить сетевой сервис, использующий порт ниже 1024. Например, обычный web-сервер использует по умолчанию 80-й порт. Но для этого программа потребует полномочия root. А, как вы понимаете, смотрящий в интернет порт с полномочиями суперпользователя — не самая лучшая идея.

Порт ниже 1024 в Linux

В Linux существует прекрасная команда setcap, наделяющая программы дополнительными полномочиями. В частности, разрешающая открывать любые порты непривилегированным пользователям.

Дистрибутивы: 

Страницы