Численні уразливості в останніх версіях CMS 1С-Бітрікс. Відео атаки

У своїй роботі щодо забезпечення ІБ сайтів, ми досліджуємо проблеми безпеки популярних в Росії систем управління веб-проектами. CMS 1С-Бітрікс – є лідером у цій галузі, тому цій системі приділяється підвищена увага.

Для актуального на сьогодні дослідження безпеки, була обрана демо-версія інтернет-магазину, який працює на CMS 1С-Бітрікс.

Дослідження проводилося у віртуальній лабораторії 1С-Бітрікс, призначеної для онлайн тестування функціоналу платформи.

Адреса лабораторії «1С-Бітрікс: Управління сайтом»: http://bitrixlabs.ru. Не вносячи жодних змін у процес інсталяції, був «розгорнутий» демо інтернет-магазин, що працює під управлінням 1С-Бітрікс: Управління сайтом 16.5.4 за адресою:
http://1071lab.bitrixlabs.ru/

Читати далі →

Як працюють ІТ-фахівці. Микита Абдуллін, аналітик з питань безпеки в компанії Riscure

imageМи продовжуємо розпитувати фахівців про режим праці та відпочинку, професійні звички, про інструментарій, який вони використовують, і багато чому іншому.

Буде цікаво з'ясувати, що їх об'єднує, в чому вони суперечать один одному. Можливо, їх відповіді допоможуть виявити якісь загальні закономірності, корисні поради, які допоможуть багатьом з нас.

Сьогодні наш гість — Микита Абдуллін, Security analyst з Riscure.


Микита має більше 7 років досвіду в сфері технологій електронних платежів, безпеки і продуктивності систем обробки даних платіжних карт. Він також спеціалізується з безпеки вбудованих систем, систем віртуалізації, баз даних і усунення багів in vitro в особливо великому і критично важливому для широкого спектру платформ та архітектур.

Читати далі →

Як працюють ІТ-фахівці. Іван Новіков, СЕО компанії Wallarm

image

Ми продовжуємо розпитувати фахівців про режим праці та відпочинку, професійні звички, про інструментарій, який вони використовують, і багато чому іншому.

Буде цікаво з'ясувати, що їх об'єднує, в чому вони суперечать один одному. Можливо, їх відповіді допоможуть виявити якісь загальні закономірності, корисні поради, які допоможуть багатьом з нас.

Сьогодні наш гість — Іван Новіков, генеральний директор компанії Wallarm. Не можна сказати, що його робота полягає тільки в управлінні компанією: йому доводиться багато брати на себе — від досліджень до підтримки клієнтів.
Читати далі →

Посилений ботнет Aidra заразив 3500 пристроїв менше, ніж за тиждень



Дані про нової атаки з'явилися з блогу користувача з ніком Unixfreakjp. В його публикации йдеться про новий, більш потужному, ніж Mirai, ботнеті інтернету речей. Йому вдалося заразити близько 3500 пристроїв у місячний термін за п'ять днів. На сьогодні ця атака стала самої «вдалою» з подібних за останній час. Завдяки високій швидкості атаки, кількість порушених бот-клієнтів досягло такого рівня з моменту виявлення завантажувального файлу. Після атаки на Dyn це подія, ймовірно, стане лише початком прийдешніх більш неприємних подій для всього інтернету.

У цій замітці ми розкриваємо подробиці того, як працює черв'як і розповідаємо, кого підозрюють в організації атаки.

Читати далі →

Як впливають тренди кібербезпеки на ринок розкрадань грошових коштів



За 2015-2016 фінансовий рік у Росії хакери вкрали понад 5,5 мільярда рублів. Це на 44% більше, ніж у минулому році. Найбільшу частку в загальній сумі збитків забезпечив злом російських банків. Так, вони втратили 2,5 мільярда рублів, що в чотири рази перевищує аналогічний показник за минулий рік.

Загальний обсяг розкрадань, які вдалося запобігти, склав п'ять мільярдів рублів, повідомив у четвер заступник начальника головного управління безпеки і захисту інформації ЦБ Артем Сичов. Сюди входять фізичні, юридичні особи і банки як такі.
Читати далі →

Після найбільшої крадіжки даних в історії на Yahoo! обрушилися ще «33 нещастя»



22 вересня 2016 року компанія Yahoo признала, що персональні дані користувачів були викрадені. Мова йде про крадіжку даних не менше 500 мільйонів акаунтів.

Це сталося ще в 2014 році, але факт був визнаний компанією тільки зараз. Yahoo! виявила цей злом після того, як у серпні отримала інформацію про іншій атаці, яка виявилася помилковою.

Обсяг викрадених даних перевищує обсяги, вкрадені з інших серверів електронних компаній – таких як MySpace.
Читати далі →

В результаті злому відомого opensource-хостингу були заражені дистрибутиви Audacity, Classic Shell та інші



2 серпня був взломан сайт FOSShub. Це безкоштовний хостинг, на якому розробники вільного і відкритого ЗА розміщують свої додатки. Найбільш відомі продукти, які користувачі скачують з FOSShub, – це Audacity і Classic Shell. Вони набрали 25 мільйонів і 15 мільйонів завантажень відповідно.

Після злому сайт деякий час поширював заражені вірусом версії додатків. Зловмисники модифікували їх вихідний код і завантажили на сервер FOSShub. Установники (для Windows), програм ClassicShell, qBittorent, Audacity і, можливо, деяких інших були замінені на троян, який затирає MBR, залишаючи повідомлення від хакерської групи PeggleCrew.

Після установки зараженого софта і перезавантаження комп'ютера операційна система переставала завантажуватися.
Читати далі →

Двофакторна аутентифікація. Нові виклики

Замість прологу: у даній статті мова піде про крадіжку грошей з рахунків користувачів платіжних систем, різних клієнт-банків і т. п.

image

Читати далі →

Розширюємо функціонал «блокнота»

У цій статті ми досліджуємо аналог однієї дуже відомої програми для Windows під назвою «Блокнот» і напишемо DLL розширює його можливості. Аналог називається NFOPad.


Читати далі →

«ВКонтакте» запускає програму BugBounty

Всім відома соціальна мережа «ВКонтакте» оголосила про запуск програми BugBounty. Серед сервісів, заявлених в умовах:
  • *.vk.com
  • login.vk.com
  • *.vk.me
  • *.vk-cdn.net
  • *.vkmessenger.com
  • *.vkontakte.ru
  • *.vk.cc
  • Офіційні мобільні додатки VK
Про кожної знайденої уразливості можна повідомити, використовуючи платформу HackerOne.

Мінімальна нагорода за знайдену пролом становить 100$. При цьому необхідно бути уважним — експлуатація виявленої уразливості проти користувачів соціальної мережі може призвести до повної відмови від виплати винагороди за неї.

Джерело: Хабрахабр