информационная безопасность без паники и всерьез подробно о проекте |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
Рекордная кража миллиарда с лишним аккаунтов, опять эти русские; Принципиальная уязвимость в USB; МВД объявило конкурс на проведение исследования возможности получения информации о пользователях Tor; 20-летняя уязвимость в библиотеке LZO; Гугль форкнул OpenSSL. #355, 06.08.2014 Рекордная кража миллиарда с лишним аккаунтов, опять эти русские
Отдельные эксперты уже успели назвать это предупреждением от русских и скорее политическим заявлением, чем угрозой безопасности.
Принципиальная уязвимость в USB
Теперь, похоже, история выходит на новый виток. Немецкие исследователи Карстен Ноль (Karsten Nohl) и Якоб Лель (Jakob Lell) анонсировали на 7 августа демонстрацию атаки BadUSB, основанной на использовании накопителя с модифицированной прошивкой. Подобное устройство может имитировать работу других устройств - например, клавиатуры. Таким образом, простое подключение накопителя может привести к выполнению команд, установке троянов и т.п. В дальнейшем успешно атакованная система может стать источником заражения других подключенных устройств. Особую прелесть атаке придает тот факт, что она практически необнаружима современными средствами - никто не контролирует прошивки usb-устройств. Число популярных контроллеров, используемых в устройствах, вполне конечно, а их защитой никто толком не занимается.
МВД объявило конкурс на проведение исследования возможности получения информации о пользователях Tor
Бросившимся кричать "распил, распил" хочется напомнить, что c Tor'ом связана богатая история как утечек, так и подобных исследований. Из последнего - анонсированный и позднее отмененный доклад о бюджетном взломе Tor на ближайшем Black Hat. А порой можно и без взлома обойтись, как в случае с прошлогодним вычислением гарвардского "подрывника".
20-летняя уязвимость в библиотеке LZO
Уже вышли исправления для ядер Linux, ffmpeg, libav.
Гугль форкнул OpenSSL
Основная идея этого форка - перестать страдать многочислеными патчами OpenSSL, которыми приходилось раньше заниматься разработчикам Chrome и Android (которые потом иногда входили, а иногда не входили в состав основного пакета), а держать свою отлаженную версию и подтягивать в нее при необходимости функциональность, появляющуюся в OpenSSL.
|
анонимность
клоуны
конференции
спам
уязвимости
.net
acrobat
activex
adobe
android
apple
beta
bgp
bitcoin
blaster
borland
botnet
chrome
cisco
crypto
ctf
ddos
dmca
dnet
dns
dos
dropbox
eclipse
ecurrency
eeye
elcomsoft
excel
facebook
firefox
flash
freebsd
fsf
github
gnome
google
gpl
hp
https
ibm
icq
ie
intel
ios
iphone
java
javascript
l0pht
leak
linux
livejournal
mac
mcafee
meltdown
microsoft
mozilla
mysql
netware
nginx
novell
ny
open source
opera
oracle
os/2
outlook
password
patch
php
powerpoint
programming
pwn2own
quicktime
rc5
redhat
retro
rip
router
rsa
safari
sco
secunia
server
service pack
shopping
skype
smb
solaris
sony
spyware
sql injection
ssh
ssl
stuff
sun
symantec
torrents
unix
virus
vista
vmware
vpn
wikipedia
windows
word
xp
xss
yahoo
yandex
youtube
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|