информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2014
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Рекордная кража миллиарда с лишним аккаунтов, опять эти русские; Принципиальная уязвимость в USB; МВД объявило конкурс на проведение исследования возможности получения информации о пользователях Tor; 20-летняя уязвимость в библиотеке LZO; Гугль форкнул OpenSSL.

#355, 06.08.2014

Рекордная кража миллиарда с лишним аккаунтов, опять эти русские
dl // 06.08.14 03:17
По словам специалистов компании Hold Security из Милуоки, группировка злобных русских хакеров, за которой они следили последние семь месяцев, успешно внедрила вредоносный код по крайней мере на 420 тысяч сайтов. Результатом этих действий стала кража 1.2 миллиарда сочетаний имен/паролей и более полумиллиарда почтовых адресов.

Отдельные эксперты уже успели назвать это предупреждением от русских и скорее политическим заявлением, чем угрозой безопасности.
Источник: USA Today


Принципиальная уязвимость в USB
dl // 01.08.14 14:01
USB-устройства всегда были большой головной болью с точки зрения безопасности. Понадобилось больше десятка лет, чтобы справиться с банальным автозапуском, сценарий с подсовыванием зараженных флешек не описывался только ленивым.

Теперь, похоже, история выходит на новый виток. Немецкие исследователи Карстен Ноль (Karsten Nohl) и Якоб Лель (Jakob Lell) анонсировали на 7 августа демонстрацию атаки BadUSB, основанной на использовании накопителя с модифицированной прошивкой. Подобное устройство может имитировать работу других устройств - например, клавиатуры. Таким образом, простое подключение накопителя может привести к выполнению команд, установке троянов и т.п. В дальнейшем успешно атакованная система может стать источником заражения других подключенных устройств.

Особую прелесть атаке придает тот факт, что она практически необнаружима современными средствами - никто не контролирует прошивки usb-устройств. Число популярных контроллеров, используемых в устройствах, вполне конечно, а их защитой никто толком не занимается.
Источник: Wired


МВД объявило конкурс на проведение исследования возможности получения информации о пользователях Tor
dl // 24.07.14 14:57
На сайте госзакупок уже почти две недели висит заявка на выполнение НИР "Исследование возможности получения технической информации о пользователях (пользовательском оборудовании) анонимной сети ТОR".

Бросившимся кричать "распил, распил" хочется напомнить, что c Tor'ом связана богатая история как утечек, так и подобных исследований. Из последнего - анонсированный и позднее отмененный доклад о бюджетном взломе Tor на ближайшем Black Hat. А порой можно и без взлома обойтись, как в случае с прошлогодним вычислением гарвардского "подрывника".
Источник: Сайт госзакупок


20-летняя уязвимость в библиотеке LZO
dl // 28.06.14 15:22
Целочисленное переполнение в реализации популярного алгоритма сжатия LZO (Lempel–Ziv–Oberhumer) может привести как к DoS-атакам, так и к удаленному исполнению кода при (не)удачном стечении обстоятельств. LZO используется в ряде современных ключевых продуктов, большинство из которых оказалось подвержено как минимум DoS, - от ядра Linux, OpenVPN, Android и mplayer2 до Apache Hadoop и Juniper Junos IPsec. Практически ее можно найти в любом современном линуксе, вплоть до марсианских роверов.

Уже вышли исправления для ядер Linux, ffmpeg, libav.
Источник: DarkReading


Гугль форкнул OpenSSL
dl // 21.06.14 18:32
Вслед за OpenBSD, анонсировавшей свой форк OpenSSL под именем LibReSSL, об аналогичных планах отписался Адам Лэнгли (Adam Langley) - человек, отвечающий за сетевой стек в Google Chrome, да и вообще за всю гуглевскую https-инфраструктуру. Результат, который должен скоро появиться в репозитории Chromium, получил предварительное имя BoringSSL.

Основная идея этого форка - перестать страдать многочислеными патчами OpenSSL, которыми приходилось раньше заниматься разработчикам Chrome и Android (которые потом иногда входили, а иногда не входили в состав основного пакета), а держать свою отлаженную версию и подтягивать в нее при необходимости функциональность, появляющуюся в OpenSSL.
Источник: Slashdot




обсудить  |  все отзывы (0)
[33737]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach