Безопасность

Иранские хакеры взломали Citrix и украли 6 терабайт коммерческой переписки

Citrix — американская контора, главный продукт которой — средства доступа к удаленному рабочему столу. Среди клиентов компании значатся крупные правительственные структуры США, нефте- и газодобывающие компании, технологические конторы. И вот хитрые иранские каккеры из группировки Иридиум ломанули Citrix и вынесли 6 терабайт почтовой переписки, содержащей конфиденциальные данные и коммерческую тайну. Ущерб для безопасности США может оказаться катастрофическим.

Иранские хакеры из группировки Iridium взломали Citrix

Что такое SQL-инъекция и зачем нужен SQL-файервол

Есть такой класс атак — SQL-инъекция. Ошибка хорошо изучена, но на эти грабли каждый раз наступают снова и снова. Вот бы кто придумал, как решить проблему раз и навсегда. Постойте, похоже решение найдено — SQL-файервол.

Что такое SQL-инъекция и как от нее защититься

Как работает SQL-инъеция

Допустим, сайт содержит такой код:

$postId = $_GET['post_id'];
$query = "select title, body from posts where post_id = $postId";

Как школьник заработал 65 млн рублей. А чего добился ты?

Обычное школоло из Аргентины Сантьяго Лопес в 2015 году присоединился к проекту по поиску багов в обмен на денежное вознаграждение. Юноша наяривал и за 4 года поиска анальных брешей в программном обеспечении заработал свой первый миллион долларов — 65 млн в переводе на деревянные.

Программа поиска дырок называется HackerOne. Никакоо риска или криминала не предполагается. Специалист находит дырку в популярной программе (например, в каком-нибудь Wordpress), сообщает владельцам, те штопают свое глючное ПО, а нашедшему выплачивается денежное вознаграждение.

WinRAR + Windows = проблемы

В WinRAR нашли дырку, существовавшую в проприетарном упаковщике 20 лет. Дырка позволяет взломать хомячковский комп с Windows, прислав по почте специально изготовленный RAR-архив.

Зачем нужен платный WinRAR, когда есть бесплатный и открытый 7-Zip, превосходящий пропретарную поделку по всем показателям эксперты не уточняют. Возможно, среди пользователей Windows немало смельчаков, осознано ищущих острые анальные ощущения. Люди, думающие о своей безопасности, выбирают Linux, а файлы жмут удобнейшим tar + bzip2.

Восстановление публичного ключа шифрования по секретному

Иногда бывает, что теряешь публичный криптографический ключ. Казалось бы, всё пропало и нужно генерировать новую пару. Оказывается, секретного ключа достаточно, чтобы восстановить по нему публичный ключ. Вот вам криптолайфхак года.

Восстановление публичного ключа шифрования по секретному

ssh-keygen -y -f privatekey.pem > publickey.pem

Вуаля!

Mail.ru и Яндекс поддержали законопроект об автономном Чебурнете

Фирмы Mail.ru и Яндекс поддержали законопроект по анальному ограждению Рунета от остального цивилизованного мира.

Закон об изоляции интернета в России, чиновники и цензура побеждают

Директор по развитию сетевой инфраструктуры компании Яндекс Алексей Соколов:

Обсуждаемый законопроект вовремя направлен на защиту российского сегмента сети интернет.

Технический директор Mail.ru Group Владимир Габриелян:

Найдено объяснение тормознутости openSUSE и Fedora

Удивительный случай произошел на прошлой неделе. В позорной поделке г-на Поттеринга SystemD нашли очередные критические дыры. На этот раз в системе журналирования. Говорили же пацанчику, что не стоит делать из простой системы инициализации целый комбайн а-ля и швец, и жнец, и на дуде игрец.

Но сейчас речь не об этом. Специалисты в области компьютерной безопасности с удивлением обнаружили, что дырявы почти все дистрибутивы, но нашлись и такие, в которых эксплоиты для SystemD попросту не срабатывали:

Что почитать о Linux на каникулах

Какие книги стоит почитать линуксоиду на утомительно долгих новогодних каникулах? Не только, чтобы скоротать время, но чтобы стать умнее и продвинуться по карьерной лестнице. Заценим лучшие книги на начало 2019 года.

Почему нельзя доверять аппаратному шифрованию SSD

Исследователи посмотрели под отладчиком прошивки популярных SSD от Crucial и Samsung и обнаружили, что во многих случаях мастер-пароли на шифрование были либо очень слабыми, либо одинаковыми для всего модельного ряда, либо отсутствовали вовсе.

МТС, Мегафон и Билайн против борьбы с мошенниками

Центробанк решил наконец начать борьбу с телефонными мошенниками. Всякие проходимцы рассылают SMS-ки со ссылками на вредоносный софт, чтобы в итоге получить доступ к какому-нибудь Сбербанку Онлайн и похитить у пенса личные сбережения.

Суть предложения Центробанка проста. Надо собирать базу мошенников и расшарить ее между банками, чтобы один жулик, взломав одну отдельно взятую бабку, не имел возможности продолжить свою криминальную карьеру. В базе под каждого мошенника выделяется всего 3 поля:

Может ли полицейский проверить ваш телефон и читать Telegram

Гражданина останавливает на улице полицейский и просит предъявить для проверки телефон. Телефон заблокирован паролем. Полицейский требует пароль. Далее страж правопорядка видит установленное приложение Telegram, запускает его и читает переписку. Законны ли действия полицейского и если нет, то с какого шага?

Яровая подглядывает за тобой

С сегодняшнего дня в России вступает в действие та часть печально известного закона Яровой, которая о сборе и хранении трафика.

Закон Яровой отзывы

Российские военные отказываются от Windows

На сайте госзакупок опубликован заказ на приобретение компов для военных нужд. Приятным моментом является отказ от услуг фирмы Microsoft.

Компы будут патриотичными — на базе российского процессора Эльбрус-8С. Windows 10 со всеми своими шпионскими модулями тоже не нужен — предполагается использовать Astra Linux. Потратить предполагается 400 млн рублей, а аукцион сделать закрытым.

Mutagen Astronomy атакует Debian, CentOS и RHEL

Открываю сегодня RSS-читалку и вижу на пожелтевшем Cnews шокирующую новость: «Red Hat, CentOS и Debian десять лет разрешали нелегально стать администратором». Всё пропало! Сколько я запилил интернет-магазинов на Drupal и сейчас их поддерживаю! И все на Debian. Сейчас же начнут звонить клиенты и выносить мозг! Но почему-то никто не спешил звонить.

Как открыть в Linux порт ниже 1024 без полномочий root

Иногда требуется запустить сетевой сервис, использующий порт ниже 1024. Например, обычный web-сервер использует по умолчанию 80-й порт. Но для этого программа потребует полномочия root. А, как вы понимаете, смотрящий в интернет порт с полномочиями суперпользователя — не самая лучшая идея.

Порт ниже 1024 в Linux

В Linux существует прекрасная команда setcap, наделяющая программы дополнительными полномочиями. В частности, разрешающая открывать любые порты непривилегированным пользователям.

Страницы