среда, 24 сентября 2014 г.

bash/CVE-2014-6271

Рекомендую испугаться и установить обновления, особенно на серверных системах "коллективного" доступа. Упоминаются Git, Subversion и даже немного Apache и другие CGI при условии шеловского фанатизма.

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

http://seclists.org/oss-sec/2014/q3/650

PS. Уже боюсь подключатся к WiFi с MacOS. Что скажете про Android в Московском Метро?

вторник, 23 сентября 2014 г.

Jetinfo: Статический анализ кода: что могут инструментальные средства?

Попросили прокомментировать статью в Jetinfo. Кратко: по тексту - серьезных возражений не имею. Даже фраза про PT AI "На сегодняшний день набор применяемых правил для поиска уязвимостей достаточно беден" недалека от истины. Но есть нюанс (C)(R)(TM). Под катом.

вторник, 2 сентября 2014 г.

Наука "поИБ"

Не хочу вдаваться в долгие рассуждения, хотя по катом привожу (да простит меня собеседник) переписку между "индустрией" и "академией", приведшую к появлению этой заметки.

По сути. Уже давно на Positive Hack Days мы (точнее Андрей Петухов, за что ему огромное спасибо) делаем секцию Young School, близкую к "академии". Зачастую эти результаты оказываются совсем не академическими, а совсем на оборот.

Собственно "амбула". На юбилейном, PHDays vV хотим организовать научный поток, который YS органично вольется. Поскольку как верно подчеркивает мой визави, образование-наука-индустрия - все звенья одной цепи.

Что думаете?

Конечно, есть прекрасные площадки, такие как Рускрипто, MMM ACNS и SA&PS4CS. Но, как обычно, хочется всех объединить на одной площадке, и физиков и лириков, и практиков и теоретиков.


понедельник, 1 сентября 2014 г.

iCloud? Взломали? Украли? Подобрали?

Интересным комментарием к бурно обсуждаемой утечке личных фотографий "звезд" из iCloud выглядит p0c для подбора AppleID через уязвимости в  API Find My iPhone, не блокировавшем учетную запись при большом количестве неверных попыток.

Судя по всем - дырку прикрыли.

Ну и много других версий,  и русский след, конечно же.

Представляю сейчас top поисковых запросов и заголовков спам/мэлваре рассылок :)