«БЕЗОПАСНЫЕ» НОВОСТИ

[ClockeeLoo]

Разрешено ли создавать сайты о вирусах типа стилеры, раты, крипторы, логгеры и выкладывать их туда?
Вроде таких сайтов в узнете нет, поэтому хотел создать такой форум.

[Иванов Михаил]

Рекламная баннерная сеть afishamedia.uz разносит js вредоносный код
oa.afishamedia.uz использует тот же openx что был заражен ранее на uforum

[German Stimban]

Цитата:

Сообщение от ClockeeLoo

Разрешено ли создавать сайты о вирусах типа стилеры, раты, крипторы, логгеры и выкладывать их туда?
Вроде таких сайтов в узнете нет, поэтому хотел создать такой форум.

Это будет копипаста с иностранных сайтов или авторские статьи?

[ClockeeLoo]

Цитата:

Сообщение от German Stimban

Цитата:

Это будет копипаста с иностранных сайтов или авторские статьи?

копипаста

[Janbolat]

«Лаборатория Касперского» запустила интерактивную карту для отслеживания киберугроз.

[German Stimban]

Цитата:

Сообщение от ClockeeLoo

Цитата:

копипаста

Тогда зачем такое счастье нужно?

[ClockeeLoo]

[ratheon]

Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta шагает по планете:

Цитата:

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. В то время была продемонстрирована успешная атака на TLS (BEAST), и многие перешли на защищенную версию TLS 1.2, появление которой совпало с выходом OpenSSL 1.0.1.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

[Азизбек Кадыров]

Цитата:

Сообщение от ratheon

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость? Или же намеренно оставленная закладка?

[Марат Фаттахов]

Это не просто уязвимость, это полный epic fail!

Проблема в том, что фактически любой более менее грамотный чел, может отправить спец. запрос на уязвимый сервер и получить содержимое части памяти этого сервера. А в этом содержимом - логины/пароли/куки/транзакции и многое другое.

Прежде всего в полной Ж - банки (привет интернет-банкингу), платёжные системы (пайнет в том числе) и интернет-провайдеры, имеющие персональный кабинет по HTTPS с уязвимым SSL).

Рунет уже на ушах стоит: http://habrahabr.ru/post/218661/

ИМХО сейчас такой момент, что сотрудникам UZ-CERT надо собраться с духом и обойти всевозможные HTTPS сайты, так или иначе имеющие отношение к Узбекистану, выйти на их сисадминов с настойчивой просьбой проапгрейдить SSL!