Специалисты IBM X-Force рассказали о новой тактике, которую в последнее время начали активно применять неэтичные исследователи или попросту хакеры. Тактика называется «bug poaching» — браконьерство багов. Обнаружив какую-либо уязвимость в инфраструктуре компании, злоумышленники эксплуатируют найденный баг, похищают данные с серверов компании, а затем требуют «вознаграждение» в обмен на информацию о том, как был осуществлен взлом.
Для подписчиковПриложения с расширяемой функциональностью — обыденная вещь в настольных ОС. Большинство сложных, узкоспециализированных приложений позволяют подключать дополнения в виде плагинов или скриптов. Но как с этим обстоят дела в Android, где каждое приложение замкнуто в свою собственную песочницу, а распространять «просто библиотеки» через маркет нельзя?
Для подписчиковВ середине марта после почти двух месяцев разработки и семи release candidate Линус Торвальдс представил новую версию ядра 4.5. Кроме исправлений, в релизе действительно много нового. Изменения затронули все подсистемы — дисковую, работу с памятью, системные и сетевые сервисы, безопасность, и, конечно же, добавлены драйверы для новых устройств. Попробуем разобраться с некоторыми наиболее интересными.
1 июня 2016 года ФСБ и МВД России задержали создателей банковского троянца Lurk: более 50 человек из 15 регионов России. Этому предшествовало расследование при поддержке «Лаборатории Касперского» и Сбербанка. Эксперты сообщают, что за последние пять лет преступники вывели со счетов российских финансовых учреждений более 3 млрд рублей.
Центр приема жалоб на мошенничество в Интернете (Internet Crime Complaint Center, IC3), работающий под эгидой ФБР, выпустил необычное предупреждение. Согласно данным правоохранителей, мошенники проявляют небывалую активность в связи с недавними крупными утечками личных данных пользователей. Напомню, что за последние месяцы в открытый доступ попала информация о сотнях миллионов аккаунтов LinkedIn, MySpace, Tumblr, а также сайтов знакомств BeautifulPeople и Fling.com. Теперь злоумышленники рассылают жертвам утечек письма с угрозами и требуют денег.
Чилик Тамир, специалист по безопасности из компании Mi3 Security, обнаружил в мобильной платформе iOS уязвимость. Воспользовавшись ей, злоумышленник может подменить обычное приложение вредоносным. Угроза несколько смягчена тем, что проведения атаки необходим физический доступ к устройству жертвы.
Бывший сотрудник Росфинмониторинга запустил проект Expocod – первую в России биржу, через которую можно продавать софтверные уязвимости. По данным издания «Коммерсант», Expocod намеревается перепродавать полученную информацию госструктурам, компаниям в сфере информационной безопасности и спецслужбам.
Microsoft использует очень коварные трюки, чтобы заставить пользователей обновиться до Windows 10. К примеру, среди последних замеченных хитростей даже присутствовала техника, схожая с кликджекингом. Между тем компания Samsung, некоторые продукты которой до сих пор работают с Windows 10 из рук вон плохо, открыто не рекомендует своим пользователям переходить на новейшую ОС Microsoft.
Исследователи компании Duo Security представили отчет на 36 страницах, в котором рассказали, что компании Acer, Asus, Dell, Hewlett-Packard (HP) и Lenovo поставляют в комплекте со своими продуктами опасный софт. Проблемы кроются в так называемом «bloatware», который по-русски часто называют просто «фуфлософт». Это предустановленные программы с избыточной функциональностью. Подобное ПО, к примеру, маскируется под апдейтер для драйверов, но на деле оказывается совсем не тем, чем кажется. Duo Security пишет, что такой софт не только вызывает раздражение, но и подвержен различным уязвимостям.