Трофейная техника НАТО имеет неплохое бронирование и посредственную подвижность

Специалисты российского оборонно-промышленного комплекса, изучив трофейную технику НАТО, предварительно, выяснили, что западные образцы имеют приемлемое бронирование, но обладают посредственной подвижностью и излишней сложностью конструкции, не всегда рациональной. Об этом стало известно РИА Новости от информированного источника.

По его информации, западные образцы имеют большое число слабых мест из-за не отвечающего требованиям современного боя распределения защиты. В то же время техника НАТО имеет крайне посредственную подвижность и маневренность, особенно на сложных и вязких грунтах, в том числе из-за низкой проходимости.

Кроме того, западные образцы крайне сложно ремонтировать, особенно в полевых условиях, а техобслуживание очень ресурсозатратное. Связано это в первую очередь с особенностями конструкции их техники.

https://lenta.ru/news/2023/07/29/nato/

https://habr.com/ru/post/713764/?utm_source=habrahabr&utm_medium=rss&utm_campaign=713764

Если вы приобретали новый автомобиль в последние несколько лет, то велика вероятность, что в нем есть хотя бы один встроенный модем, который нужен для разных полезных функций вроде удалённого прогрева автомобиля, самодиагностики, которая предупреждает о сбоях до того, как они произойдут, и всевозможных опций безопасности.

Автопроизводители активно используют электронику в своих новых моделях. Но, как показывает исследование охотника за ошибками и штатного инженера по безопасности Yuga Labs Сэма Карри, в электронных системах есть масса уязвимостей, которые позволяют отслеживать и даже контролировать некоторые автомобили, включая машины экстренных служб.

https://habr.com/ru/post/710906/?utm_source=habrahabr&utm_medium=rss&utm_campaign=710906

В этой статье я расскажу вам о том, как ровно год назад я связал в цепочку несколько проблем безопасности для достижения Удаленного выполнения кода (RCE) на нескольких серверах компании VK. Я постарался описать свои шаги в подробностях, так как мне самому, как постоянному читателю отчетов по баг-баунти, всегда хочется понять, как исследователь мыслит во время обнаружения необычных уязвимостей. Надеюсь, для вас эта статья будет интересна.

https://habr.com/ru/post/708384/?utm_source=habrahabr&utm_medium=rss&utm_campaign=708384

Всем привет! В нашем блоге мы уже рассказывали о том, что на форуме Positive Hack Days 11 работала специальная зона Payment Village, где любой желающий мог поискать уязвимые места в онлайн-банке, банкоматах (если вдруг пропустили, читайте подробный райтап) и POS-терминалах.

Делимся райтапом и подробными итогами конкурса.

https://habr.com/ru/post/702508/?utm_source=habrahabr&utm_medium=rss&utm_campaign=702508

Автоматизированные системы управления технологическими процессами (АСУ ТП) контролируют работу критических информационных инфраструктур на таких значимых для страны объектах как крупные транспортные корпорации, компании из сферы здравоохранения и связи, предприятия топливно-энергетического комплекса, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

https://habr.com/ru/post/697338/?utm_source=habrahabr&utm_medium=rss&utm_campaign=697338

Регулярные выражения – очень полезный и удобный инструмент для поиска и замены текста. Однако в некоторых случаях они могут привести к зависанию системы или даже стать причиной уязвимости к ReDoS-атакам.

https://habr.com/ru/post/697294/?utm_source=habrahabr&utm_medium=rss&utm_campaign=697294

Подход фаззинг-тестирования родился еще в 80-х годах прошлого века. В некоторых языках он используется давно и плодотворно — соответственно, уже успел занять свою нишу. Сторонние фаззеры для Go были доступны и ранее, но в Go 1.18 появился стандартный. Мы в «Лаборатории Касперского» уже успели его пощупать и тестируем с его помощью довольно большой самостоятельный сервис.







Меня зовут Владимир Романько, я — Development Team Lead, и именно моя команда фаззит баги на Go. В этой статье я расскажу про историю фаззинга, про то, где и как искать баги, а также как помочь фаззинг-тестам эффективнее находить их в самых неожиданных местах. И покажу этот подход на примере обнаружения SQL-инъекций.
Читать дальше →

https://habr.com/ru/post/696724/?utm_source=habrahabr&utm_medium=rss&utm_campaign=696724

За последнюю неделю в информационном поле инфобеза стали появляться новости о втором пришествии уязвимости Log4Shell, окрестившим себя Text4Shell. Первым об уязвимости сообщил Alvaro Mu~noz, который рассказал о возможности удаленного выполнения произвольных скриптов в продуктах, использующих библиотеку Apache Commons Text.

Сама уязвимость была обнаружена еще в марте 2022 года, но команде Apache Commons потребовалось время на ее исправление и выпуск обновлений библиотеки. Уязвимости был присвоен идентификатор CVE-2022-42889 (CWE-94 – Code Injection) и определен достаточно высокий уровень риска CVSS 9.8.

В течение последующих дней после раскрытия информации об уязвимости стали появляться сомнения в критичности уязвимости, ссылаясь на невозможность эксплуатации в версиях JDK 15+ или по причине маловероятности попадания пользовательских данных в функцию интерполяции переменной. Однако при дальнейшем изучении уязвимости оказались открыты и другие векторы ее эксплуатации.

Наша команда PT Application Inspector решила определить уязвимые места в исходном тексте, оценить выпущенный патч от команды разработки и посоветовать шаги, которые помогут защититься от возможных атак.

https://habr.com/ru/post/694720/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694720

Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест, и редтиминг, и bug bounty. Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для пользователей. В этой и следующих статьях мы подробно пройдемся по теме bug bounty и расскажем о том, как прокачаться в багхантинге веб- и мобильных приложений.

Первая статья будет особенно интересна самым маленьким начинающим багхантерам. Но и те, кто уже зарабатывал на этом, смогут найти для себя что-то новое.

https://habr.com/ru/post/690716/?utm_source=habrahabr&utm_medium=rss&utm_campaign=690716

В среде разработчиков бытует мнение, что информационная безопасность относится к IT не напрямую, а косвенно, что это вспомогательная область и даже вторичная. Но так ли это на самом деле? На этот неоднозначный вопрос серьезно и обстоятельно ответили спикер Слёрма Роман Панин и его коллега Павел Шатилов, руководители направления архитектуры ИБ в МТС.

https://habr.com/ru/post/689944/?utm_source=habrahabr&utm_medium=rss&utm_campaign=689944

Современные приложения почти всегда используют сторонние библиотеки. Если библиотека содержит уязвимость, то уязвимым может оказаться и использующее её приложение. Но как определить наличие таких проблемных зависимостей?

https://habr.com/ru/post/686746/?utm_source=habrahabr&utm_medium=rss&utm_campaign=686746

Сегодня пост короткий и тематический. И не весёлый. Но мне нужно это рассказать.

Я встречала подругу Ирочку на автовокзале в Камне-на-Оби около двух часов дня. Ливень шёл стеной, вода с тонкой прослойкой воздуха. Автобус опоздал почти на час, и это хорошо – как раз гроза закончилась. Мы заранее договорились, что я буду уже в купальнике – заедем на Горькое, искупнёмся. Оказалось, дождь прошёл локально, не затронув озёрные пляжи. Машинами и палатками весь берег уставлен. Подъехали на то самое место, где в прошлый раз был зрительный зал. Не то чтобы яблоку негде упасть, но народу много. И местечко есть, где остановиться, поближе к воде. Я и остановилась. Предварительно с Ирой обсуждали, что я попробую в этот раз с ластами всё-таки поплавать.

Не успела я двигатель заглушить, к капоту подошла пара – мужик в панамке и его жена, судя по всему. Мужик сверлил меня ненавидящим взглядом. Сразу, превентивно. И сказал, чтобы я перепарковала машину. И показал щелку в стороне, между двумя другими автомобилями. Как туда втиснуться, тем более – дверь открыть, непонятно. Ира вступила в диалог, пытаясь объяснить, что мы не надолго, никому не помешаем выехать¸ если что. Мы и так бы не помешали, места для проезда достаточно. Бесполезно. «Панамка» упёрся. Я начала тихо закипать.

Открыла дверь. Поздоровалась вежливо. Показала «панамке» на инвалидский знак, прикреплённый к лобовухе. Сказала тихим, ровным голосом буквально следующее: «Видите этот знак? Он тут не просто так висит. Мне тяжело ходить, каждый шаг даётся с трудом. Тем более, по песку». Больше мне сказать ничего не дали. «Панамка», торжествующе ухмыльнувшись, заявил: «А здесь этот знак никакой силы не имеет. Здесь люди отдыхают». Подчеркнув голосом слово «люди».

Я была не готова. Я была совершенно не готова. Он меня пробил на раз. В области солнечного сплетения образовалась не просто дыра – воронка, высасывающая всё – настроение, силы, жизнь… На мгновение представила себе, что будет, если я сейчас перепаркуюсь, «как велели». Или оставлю машину там, где остановилась. И пойду плавать. Ежеминутно дёргаясь от взглядов, обжигающих спину. Считая каждую бесконечную секунду, чтобы побыстрее выйти из воды и уехать отсюда, подальше от «панамки» и тех, с чьего молчаливого одобрения вся эта сцена происходила… Никто, кроме Иры, не попытался за меня вступиться… Ни один из отдыхающих людей… Я сказала Ире, чтобы она села в машину. Она села, и мы уехали.

Всю дорогу с трудом сдерживала слёзы. Даже не слёзы – рыдания. Но надо было ехать. Глупо останавливаться посреди дороги и распускать сопли. Хотя, очень хотелось.

Я расслабилась. Я позволила себе непозволительно расслабиться. С какого-то глузду вдруг поверила, что меня окружают добрые люди, готовые помочь. Хотя, не верила в эту ерунду много лет. И основания были очень веские. Я же не просто так стала мизантропом. Именно после аварии, когда вдруг, совершенно неожиданно, оказалась парией, изгоем, на том простом основании, что моё тело искалечено и не похоже на тела людей. Случайные прохожие и те, с кем приходилось вступать в контакт по разным поводам, шарахались от меня, как от прокажённой. Прятали глаза и старались как можно быстрее уйти.

И всё это никуда не делось. Оно терпеливо ждало, когда я сниму тяжёлый бронежилет, который уже почти врос в кожу. Сниму и останусь беззащитной. И вот тогда меня ударят. Больно. В самое незащищённое место. Мне напомнят, что я – не люди. Люди – это другие. Это здоровые и нормальные. Которым не трудно шагать по песку. А я своим уродским видом не должна портить им отдых.    

Я больше не была на озере. Понимаю, что вода и берег ни в чём не виноваты. Но я не могу найти в себе силы их снова увидеть. И заставку с фото того берега убрала с рабочего стола.

Нельзя быть открытой. Открытость – синоним уязвимости. Только люди с железной волей и стальными нервами, спокойные и равнодушные, как стадо удавов, могут себе такое позволить. Я не настолько сильна, увы. Такие дела. 

Меня зовут Артем Мышенков, я ведущий инженер по технической защите информации в команде безопасности REG.RU. Наша команда занимается тестированием систем компании на безопасность и поиском уязвимостей.

В этой статье я расскажу о том, как с помощью XSS-атаки в сочетании с ClickJacking’ом злоумышленники могут похитить сохраненные в браузере пароли.

https://habr.com/ru/post/680256/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680256