Специалист компании Nuix рассказал на DEF CON о том, что нательные камеры, которыми все чаще пользуются представители правоохранительных органов, имеют немало проблем.

https://xakep.ru/2018/08/15/police-body-cam-flaws/

Для подписчиков
Если ты действительно заботишься о безопасности, то некоторые приложения есть смысл запускать в виртуализации. Но держать три десятка виртуалок неудобно. Мне удалось обойти часть неудобств: мое решение работает в Linux, позволяет запускать приложения с GUI и шейрить файлы с основной системой, а оверхеды при этом минимальны. Как я этого добился? Сейчас расскажу.

https://xakep.ru/2018/08/15/appvm/

На конференциях Black Hat и DEF CON ИБ-специалист Ахамат Нафииз (Ahamed Nafeez) рассказал о проблеме VORACLE, которая при определенных условиях позволяет восстановить HTTP-трафик, переданный через VPN-подключение.

https://xakep.ru/2018/08/15/voracle/

Киберкриминалисты и ИБ-эксперты выступили на конференции DEF CON и рассказали о несовершенстве ПО, которые используют в своей работе правоохранительные органы и суды.

https://xakep.ru/2018/08/14/criminal-justice-software/

На конференции DEF CON известный ИБ-эксперт, бывший сотрудник АНБ и один из основателей компании Digita Security Патрик Вордл (Patrick Wardle) рассказал о 0-day уязвимости в составе macOS. Проблема позволяет в один виртуальный клик обойти множество защитных механизмов ОС, без всякого взаимодействия с пользователем.

https://xakep.ru/2018/08/14/0day-click/

На конференции DEF CON, прошедшей в Лас-Вегасе, специалисты Check Point рассказали о проблеме Faxploit. Такое название получила атака на протокол для факсов ITU T.30, с помощью которой преступники могут проникнуть в сеть компании или организации.

https://xakep.ru/2018/08/14/faxploit/

Резкой критике со стороны ИБ-сообщества подверглась компания MedTronic, производящая медицинские устройства (к примеру, инсулиновые помпы и кардиостимуляторы). Исследователи обнаружили ряд серьезных проблем в продукции MedTronic, однако в компании на предупреждения специалистов реагировали очень медленно и, в сущности, сочли потенциальную опасность для жизней пользователей несущественным риском.

https://xakep.ru/2018/08/14/future-is-now-arent-you-happy/

Для подписчиков
Разработка безопасных приложений на JavaScript — весьма непростое занятие. Но выполнимое. В этой статье рассмотрим особенности JavaScript, из-за которых возникает наибольшее количество проблем, и обратим внимание на инструменты разработчика, которые помогут их избежать.

https://xakep.ru/2018/08/14/unsafe-javascript/

Не часто, но все же бывает, что российская компания бросает вызов существующему в отрасли консервативному порядку, и каждая из таких success story заслуживает детального рассмотрения. Сегодня мы поговорим с нижегородскими парнями о том, как они смогли изменить сложившуюся (и не очень выгодную для клиента) ситуацию в мире систем автоматизированного проектирования.

https://xakep.ru/2018/08/14/3d-cad-exchanger/

Журналисты Associated Press опубликовали результаты расследования, согласно которым, сервисы Google следят за пользователями мобильных устройств, даже если те отключили запись «истории местоположений».

https://xakep.ru/2018/08/14/google-watching-you-2/

Аналитики компании UpGuard обнаружили в свободном доступе неправильно настроенный бакет Amazon S3, содержащий закрытую информацию об облачной инфраструктуре хостера и регистратора GoDaddy.

https://xakep.ru/2018/08/13/godaddy-leak/

Исследователи компании Kryptowire обнаружили уязвимости в прошивках и предустановленных приложениях смартфонов многих крупных производителей, включая ZTE, Sony, Nokia, LG, Asus и Alcatel.

https://xakep.ru/2018/08/13/firmware-flaws/

Специалист из Университета Огайо представил на конференции Black Hat доклад, посвященный обнаруженному им бэкдору в процессорах VIA C3, которые в начале 2000-х выпустила компания VIA Technologies Inc.

https://xakep.ru/2018/08/13/via-c3-backdoor/

Эксперты Radware обнаружили, что злоумышленники используют уязвимость некоторых устройств D-Link для изменения настроек DNS и перенаправления бразильских пользователей на фальшивые банковские сайты.

https://xakep.ru/2018/08/13/d-link-under-attack/

Для подписчиков
Распаковка исполняемых файлов — одна из задач, с которыми приходится сталкиваться при реверсе. И если наш объект — это малварь, то зачастую приходится сталкиваться с кастомными упаковщиками. В этой статье я покажу, как справиться с защитными механизмами банкера GootKit, который постоянно развивается, апгрейдится и к тому же использует разные методы сопротивления отладке.

https://xakep.ru/2018/08/13/gootkit/

На прошлой неделе Лас-Вегас традиционно принимал на своей территории сразу две хакерских конференции: Black Hat и DEF CON. Участники и посетители этих мероприятий не зря шутят, что в это время в Вегас можно приезжать только с одноразовым кнопочным телефоном, а многие компании в городе переходят на почти «осадное положение».

https://xakep.ru/2018/08/13/hackers-in-lv/

В прошлом месяце компания Nintendo начала юридически бороться с сайтами, распространяющими ROM’ы старых игр. Это привело к тому, что одни из крупнейших ресурсов такого рода, EmuParadise, был вынужден объявить о том, что прекращает распространение ретро-игр.

https://xakep.ru/2018/08/10/emuparadise/

Дубайская компания Crowdfense, чьим основным конкурентом является известный брокер уязвимостей Zerodium, анонсировала запуск Vulnerability Research Platform — Платформы исследования уязвимостей. Площадка позволит специалистам продавать эксплоиты для различных багов, в том числе анонимно.

https://xakep.ru/2018/08/10/vulnerability-research-platform/

Совсем недавно Джон Макафи предложил ИБ-специалистам взломать криптовалютный кошелек Bitfi, называя устройство «невзламываемым» и предлагая 250 000 долларов тому, кто сумеет доказать обратное. Ранее эксперты обнаружили, что Bitfi представляет собой примитивный Android-смартфон, а теперь на кошельке удалось запустить Doom.

https://xakep.ru/2018/08/10/bitfi-doom/

Для подписчиков
Работая над переводом статьи о том, как можно превратить переходник с USB на VGA в передающее программно определяемое радио, я наткнулся на схожий и не менее интересный проект — Nexmon SDR. Это кастомная прошивка чипсета Wi-Fi, которая наделяет «Малинку» новыми интересными возможностями.

https://xakep.ru/2018/08/10/www-nexmon/