Твой софтовый форум > Интернет > Безопасность в сети

Новости сетевой безопасности

,

все новости по сетевой безопасности

Дата публикации: 05.02.2024 - 17:48
Pages: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87
Урсу
WordPress предлагает бесплатное шифрование

Все сайты, за хостинг которых отвечает WordPress.com, вскоре автоматически начнут использовать шифрование. В пятницу представители WordPress объявили о том, что более миллиона сайтов смогут бесплатно мигрировать на HTTPS.
«Мы используем каждую возможность для того, чтобы искоренить такое явление, как незашифрованный трафик», — написал Барри Абрамсон (Barry Abrahamson), глава системных программистов Automattic, материнской компании WordPress.
WordPress уже поддерживает шифрование на своих поддоменах. Перевод остальных сайтов на защищенные соединения происходит на фоне разворачивающейся борьбы за приватность и безопасность онлайн-коммуникаций. Многие эксперты называют нынешнее время «золотым веком слежки«, и оперативное развертывание шифрования веб-сервисов — ключ к успеху для всех, кто борется за обеспечение секретности транзакций и обмена сообщениями.
«Устойчивое шифрование защищает наших пользователей как от неправомерного наблюдения за данными и коммуникациями со стороны спецслужб, так и от других опасностей — например, от перехвата cookie-файлов или угона аккаунтов», — подчеркнул Абрамсон.
Внедрение SSL-сертификатов на WordPress стало возможным благодаря проекту Let’s Encrypt — коалиции технологических компаний, экспертов по приватности и законодателей. Участники проекта разработали механизм выдачи бесплатных SSL-сертификатов всем желающим. Альянс Let’s Encrypt был образован в ноябре 2014 года и уже 10 месяцев спустя выпустил свой первый сертификат.
«Невозможность выпускать большое количество сертификатов автоматически была основным фактором, сдерживающим Интернет от массового перехода на HTTPS по умолчанию, — говорил тогда Питер Экерсли (Peter Eckersley), главный исследователь компьютерных технологий в Electronic Frontier Foundation. — Я очень рад тому, что этот важный кусочек пазла наконец встал на свое место».
На пути к сегодняшнему состоянию проект Let’s Encrypt преодолел несколько важных этапов: сначала нужно было построить специализированную инфраструктуру, разработать механизмы безопасности и создать необходимую документацию, чтобы стать авторизованной сертифицирующей организацией. Let’s Encrypt вступил в партнерские отношения с компанией IdenTrust, которая обеспечила возможность кросс-сертификации для выпуска сертификатов браузеров и программного обеспечения.
Let’s Encrypt также разработал надежный механизм аутентификации Boulder, работающий на основе нового протокола Automated Certificate Management Environment (ACME) и лежащий в основе принципа обработки автоматических запросов на получение сертификата.
Нынешнее событие тем более примечательно, что в декабре Google заявила о приоритетности сайтов, использующих HTTPS, при поисковом ранжировании.
«В частности, система начнет разыскивать HTTPS-эквиваленты страниц, использующих HTTP, даже в тех случаях, когда на них не ссылается ни одна страница, — отметил тогда представитель Google в блог-записи. — Если два URL в одном и том же домене выдают одинаковый контент, но используют разные протоколы, предпочтение при индексации будет отдано той странице, которая доступна по HTTPS».
«Проект Let’s Encrypt разработал эффективный и автоматизированный способ предоставления SSL-сертификатов большому количеству доменов, — признал Абрамсон. — Мы предоставили первую партию сертификатов в январе 2016 года и сразу же совместно с Let’s Encrypt начали налаживать процесс, чтобы сервис стал доступен постоянно растущему списку доменов».
Владельцы сайтов на WordPress, по словам Абрамсона, вскоре увидят в адресной строке браузера зеленый замочек, что будет означать завершение перехода на бесплатное шифрование. Любые HTTP-запросы будут перенаправляться на HTTPS, а управление SSL-сертификатами возьмет на себя WordPress.
Источник: threatpost.ru
HugoBo-SS
Верховный суд США разрешил обыск компьютеров в любой юрисдикции


Без лишней огласки Верховный суд США утвердил поправки к Правилу 41 в Federal Rules of Criminal Procedure (pdf), которые разрешают судам низшей инстанции выдавать ордеры на обыск (взлом) компьютеров в любой юрисдикции, то есть в любой стране мира.
» Нажмите, для открытия спойлера | Press to open the spoiler «
Источник: geektimes
KLUCHICK
Цитата | Quote(HugoBo-SS @ 1.05.2016 - 19:56)
В соответствии с новыми поправками, теперь по одному ордеру ФБР получает право проводить обыски на тысячах или миллионов компьютеров.
*


Вот и состоялось. И без малейшего сомнения - примут закон и без поправок.
А для его воплощения уже сделано всё необходимое - всучена всему миру шпионящая ось под номером 10 под девизом: "Кто не возьмёт - тому отключим газ..."

Теперь сопоставим недавнее заявление США о том, что если не вернём полуостров взад - останемся без американских технологий. Следующий санкционный шаг будет (моя версия), - на компьютеры РФ отошлют новые пакеты обновлений, которые превратят их (компьютеры) в тыквы... Прекрасный способ уронить в один день науку, производство и экономику в целом. Интересно, до какого же момента Россия будет тянуть и не переходить на открытое ПО? Пока гром не грянет?

Любители "десяточки" как вы? К вам уже пришли? wink.gif
HugoBo-SS
Множество уязвимостей в ImageMagick, одна из которых ведёт к RCE


Твой софтовый форум


Ryan Huber из отдела безопасности Slack анонсировал некую критическую уязвимость в софте, используемом множеством сайтов. Этим софтом оказался ImageMagick — популярный пакет для обработки изображений.
» Нажмите, для открытия спойлера | Press to open the spoiler «
По материалам securitylab и geektimes
HugoBo-SS
В популярном архиваторе 7-Zip исправили серьезные уязвимости


Автор известного архиватора 7-Zip Игорь Павлов анонсировал выпуск новой его версии v16. Мы настоятельно рекомендуем всем пользователям обновиться до этой версии, поскольку в ней исправлено несколько серьезных уязвимостей, обнаруженных ранее группой исследователей Cisco Talos. Уязвимости позволяют злоумышленникам удаленно исполнить код в системе пользователя путем отправки тому специальным образом сформированного файла, который предназначен для открытия 7-Zip. После открытия такого файла в системе пользователя будет исполнен вредоносный код.

Обе уязвимости относятся к неправильной работе кода 7-Zip с памятью, одна из них с идентификатором CVE-2016-2335 относится к типу out-of-bound read (чтение за пределами буфера) при работе с файлами типа Universal Disk Format (UDF), а другая CVE-2016-2334 к buffer-overflow (порча памяти за границей буфера) при работе с файлами формата HFS+.

Скачать актуальную версию 7-Zip можно с офсайта
Урсу
Устройства с двойным дном: мошенники «учат» российские банкоматы считывать и передавать им данные о картах пользователей

«Лаборатория Касперского» обнаружила, что многие банкоматы по всему миру, в том числе в России, заражены бэкдором Skimer, с помощью которого киберпреступники могут красть деньги пользователей без применения переносных считывающих устройств (скиммеров). Зловред позволяет атакующим получать напрямую из машины всю информацию об используемых в ней банковских картах, включая номера счетов и PIN-коды, а также снимать наличные.
Сбор данных о картах происходит незаметно, без всяких активных действий со стороны бэкдора. Обнаружить это гораздо сложнее, чем похищение данных с помощью прикрепленного скиммера, ведь зараженный банкомат не получает никаких внешних повреждений. Благодаря этому злоумышленники могут долгое время скрывать факт атаки. Чаще всего они накапливают огромное количество информации в памяти банкомата, а затем создают на ее основе копии карт и снимают наличные в других, незараженных машинах.
Чтобы добыть данные карт пользователей, мошенники активируют бэкдор, вставляя в картоприемник специальную карту с «зашитым» в магнитную полосу определенным набором цифр. Skimer считывает этот код, в результате чего начинает действовать особое меню, через которое он получает команды от злоумышленников.
«Мы выяснили, какую именно последовательность цифр кодируют атакующие, и передаем эту информацию банкам, чтобы они могли проверить свои процессинговые системы и узнать, не заражены ли их банкоматы, и заблокировать попытки киберпреступников активировать зловред», — комментирует Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Бэкдор Skimer, известный с 2009 года, — это первая вредоносная программа, направленная на банкоматы. На данный момент насчитывается 49 ее модификаций, 37 из которых нацелены на машины одного из ведущих производителей банкоматов. Самая последняя версия была обнаружена в начале мая — зловред был усовершенствован и стал еще более опасен для банков и их клиентов по всему миру. Хотя у «Лаборатории Касперского» нет точных данных о географии заражения банкоматов, образцы Skimer были обнаружены в целом ряде стран: не только в России, но и в ОАЭ, Франции, США, Макао, Китае, Испании, Германии, Грузии, Польше, Бразилии, Чехии и на Филиппинах.
«Лаборатория Касперского» детектирует эту угрозу как Backdoor.Win32.Skimer. Для ее предотвращения компания рекомендует использовать технологии белых списков и полного шифрования диска; внедрить и следить за соблюдением качественных политик управления устройствами; разрешать загрузку только с жесткого диска и изолировать сеть банкомата от внутренних сетей банка.
Источник: kaspersky.ru
HugoBo-SS
Создатели трояна-шифровальщика TeslaCrypt закрыли проект и опубликовали master-ключ для разблокировки


Твой софтовый форум


Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект.


» Нажмите, для открытия спойлера | Press to open the spoiler «
Источник: habrahabr
zoog
Цитата | Quote
сайты ранее распространявшие TeslaCrypt теперь устанавливают на компьютеры пользователей CryptXXX

Бесплатное обновление - заразительная штука!
HugoBo-SS
Хакер взломал систему оплаты карты «Тройка»


Твой софтовый форум


Опытный программист выявил уязвимость приложения «Мой проездной», которое служит владельцам смартфонов для пополнения карты «Тройка». Баг позволяет ездить на всех видах московского транспорта, в том числе аэроэкспрессах и велосипедах, фактически бесплатно, посещать планетарий и делать многое другое.
» Нажмите, для открытия спойлера | Press to open the spoiler «
Источник: МОСЛЕНТА
HugoBo-SS
Asus автоматически обновляет BIOS/UEFI по HTTP без верификации


Твой софтовый форум


Asus снова взялся за старое. Вы можете отправить любой исполняемый файл или даже прошивку BIOS на компьютер Asus под видом обновления — этот файл будет автоматически запущен на исполнение с максимальными привилегиями, а прошивка установлена, без каких-либо проверок. Ничего не нужно предпринимать — система взломает сама себя, автоматически.
» Нажмите, для открытия спойлера | Press to open the spoiler «
Источник: habrahabr
Pages: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87


Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке: Новости сетевой безопасности
SoftoRooM © 2004-2024