Форум информационной безопасности - Codeby.net
Статья Новостной дайджест по ИБ/IT за 11.01-18.01
Здравия всем, дамы и господа. Если вы тут, значит вас интересует, что же всё-таки произошло за прошедшую неделю. А я не знаю. 
Нет, правда, я пишу это во вторник, я не знаю, что произошло, например, в среду потому, что среда ещё не произошла. Вы узнаете об этом совсем скоро, а я – завтра.
Нет, правда, я пишу это во вторник, я не знаю, что произошло, например, в среду потому, что среда ещё не произошла. Вы узнаете об этом совсем скоро, а я – завтра.
Ключ небезопасности
“Лаборатория ниндзя” (NinjaLab) опубликовали исследование, гласящее… Нет, кричащее об уязвимости в, так называемых, “ключах безопасности”, которые, как оказалось, лёгким мановением руки и покупкой спец. устройства за $12 000 можно клонировать, а, значит, безопасность такого устройства начинает слегка пошатываться. Уязвимость CVE-2021-3031 реализуется следующим образом:
- вскрытие ключа (Google Titan, YubiKey или подобный);
- покупка оборудования на 12 тысяч долларов;
- изучение операций, производимых на микроконтроллере NXP A7005. (именно его использует Google Titan);
- клонирование.
A Side Journey to...
Вводим систему баллов в VK группе — The Codeby
В связи с этим запускаем конкурс, который начинается прямо сейчас, и продлится до 31 января 2021 года.
Перейти в группу VK
1 место - скидка 30% на любой наш курс + 1500 руб
2 место - скидка 20% на любой наш курс + 1000 руб
3 место - скидка 10% на любой наш курс + 500 руб
- Занявшим 1-3 место выдаем One Level на 1 год на нашем форуме.
- При желании вы можете продать купон на скидку.
В конкурсе автоматически регистрируется каждый участник группы. Участвуйте в жизни сообщества, ставьте лайки, делитесь сообщениями, комментируйте. Ссылка на кабинет участника конкурса.
Наблюдать за ходом соревнований, а так же видеть свою позицию, можно в рейтинге конкурса. Он расположен в группе, над товарами.
Тем, кто интересуется нашими курсами есть приятная новость: помимо участия в конкурсах, баллами можно оплачивать наши курсы. 1 балл = 1 руб. Позже введем новые курсы и другие товары к уже существующим.
Принять участие
Всем удачи!
Перейти в группу VK 1 место - скидка 30% на любой наш курс + 1500 руб 2 место - скидка 20% на любой наш курс + 1000 руб 3 место - скидка 10% на любой наш курс + 500 руб- Занявшим 1-3 место выдаем One Level на 1 год на нашем форуме.
- При желании вы можете продать купон на скидку.
В конкурсе автоматически регистрируется каждый участник группы. Участвуйте в жизни сообщества, ставьте лайки, делитесь сообщениями, комментируйте. Ссылка на кабинет участника конкурса.
Наблюдать за ходом соревнований, а так же видеть свою позицию, можно в рейтинге конкурса. Он расположен в группе, над товарами.
Тем, кто интересуется нашими курсами есть приятная новость: помимо участия в конкурсах, баллами можно оплачивать наши курсы. 1 балл = 1 руб. Позже введем новые курсы и другие товары к уже существующим.
Принять участие Всем удачи!
Статья Уязвимость CVE-2021-3019
Добрый день,Уважаемые Форумчане и Друзья.
Поздравляю всех с Новым Годом,желаю здоровья и счастья.
Но безопасность всегда стоит впереди даже в праздники.
И сегодня поговорим об одной из первых уязвимостей нового года.
Уязвимость получила наименование CVE-2021-3019
Касается она продуктов Lanproxy project.
Ей подвержены lanproxy версии 0.1
Представляет собой уязвимость Directory Traversal
Позволяет обходить каталог Ffay в lanproxy и читать файлы конфигурации.
Интересно,что обнаружена уязвимость была 4-5 января 2021 года и ей присвоили средний класс опасности.
На данный момент класс опасности повышен.
Ещё бы,ведь там где чтение конфиденциальных данных,там и вероятный угон сервера.
Вся информация предоставлена исключительно для ознакомления и изучения проблем безопасности.
Категорически запрещено применение рассматриваемого материала в незаконных целях.
В своём тестировании остановился на двух exploit.
Мы рассмотрим работу обоих вариантов.
Первый был опубликован сегодня автором Negan.
Статья Новостной дайджест по ИБ/IT за 4.01-11.01
Здравия всем, дамы и господа. Понедельник — день тяжёлый, так ведь? Держитесь там, я же, в свою очередь, облегчу вам жизнь. Вам больше не нужно сёрфить в поисках новостей, большинство интересного вы найдёте здесь.
Помните прикол, мол "Дети собирают айфоны”? Так вот, анекдот оказался не таким уж и смешным. Два крупных издания опубликовали отчёт, гласящий, что у Apple есть поставщики, использующие принудительный труд, мало того, есть ещё и те, что обращаются к “помощи” несовершеннолетних. Вообще, у яблок наблюдаются некоторые проблемы с поставками, вспомним хотя бы бунты на фабрике Wistron.
Apple reportedly took years to drop a supplier that used underage labor...
В каждой шутке есть доля шутки
Помните прикол, мол "Дети собирают айфоны”? Так вот, анекдот оказался не таким уж и смешным. Два крупных издания опубликовали отчёт, гласящий, что у Apple есть поставщики, использующие принудительный труд, мало того, есть ещё и те, что обращаются к “помощи” несовершеннолетних. Вообще, у яблок наблюдаются некоторые проблемы с поставками, вспомним хотя бы бунты на фабрике Wistron.
Apple reportedly took years to drop a supplier that used underage labor...
Статья Новостной дайджест по ИБ/IT за 28.12-4.01
Здравия всем, дамы и господа. Рассказать вам анекдот? В прошлом дайджесте я сказал «неплохая идея начать с Нового года отсчёт заново, то есть следующий дайджест — 7 января». Знаете, в чём подвох? В том, что статьи выходят по понедельникам, а если пробить 7 января по календарю становится ясно, что это вообще не понедельник. Сейчас у меня суббота, статью нужно через два дня, переключившись в режим форсажа и бахнув кофейка, я начинаю.
Каким образом это происходит? Всё работает посредством DTLS — это протокол, обеспечивающий защиту для протоколов, использующих датаграммы. Редиска (нехороший человек) может отправить маленький DTLS пакет на устройство с поддержкой оного, а в ответ получит пакет куда большего размера. Насколько большего? Раньше считалось, что предел увеличения составляет 4-5 раз, но устройства Citrix дают увеличение в 35 раз, что уже довольно ощутимо. А обнаружил всё это безобразие немецкий системный администратор Марко Хоффман. Мало того он его ещё и исследовал. Почти все приведённые данные —...
Citrix усиливают DDOS
Каким образом это происходит? Всё работает посредством DTLS — это протокол, обеспечивающий защиту для протоколов, использующих датаграммы. Редиска (нехороший человек) может отправить маленький DTLS пакет на устройство с поддержкой оного, а в ответ получит пакет куда большего размера. Насколько большего? Раньше считалось, что предел увеличения составляет 4-5 раз, но устройства Citrix дают увеличение в 35 раз, что уже довольно ощутимо. А обнаружил всё это безобразие немецкий системный администратор Марко Хоффман. Мало того он его ещё и исследовал. Почти все приведённые данные —...Citrix усиливают DDOS