VMware взломана специалистами Digital Security

Александр Панасенко 09 Августа 2012 - 18:23

...

27 июля аудитор Digital Security Александр Миноженко выступил на конференции DEFCON в Лас-Вегасе с докладом «Как взломать сервер VMware vCenter за 60 секунд» ("How to Hack VMware vCenter Server in 60 Seconds"). Исследователь продемонстрировал аудитории, как можно получить полный контроль над виртуальной инфраструктурой с помощью нескольких безобидных на вид уязвимостей.

Среди них уязвимость обхода каталога на веб-сервере Jetty, которая считалась закрытой после одного из обновлений безопасности VMware, однако эксперты исследовательской лаборатории Digital Security обнаружили, что патч, как это часто бывает, не решает проблему полностью.

«Для любого исследователя безопасности выступление на таком легендарном событии, как DEFCON, является значимым шагом. Мой доклад слушали больше тысячи человек, и это лучшее признание того, что моя работа в составе исследовательской лаборатории Digital Security интересна и полезна для широкой аудитории. Нам также приятно отметить, что до выступления к нам обратился представитель компании VMware и поблагодарил за проведенное исследование, строгое соблюдение принципа non-disclosure и предварительное информирование компании VMware о найденной уязвимости», – поделился впечатлениями Александр.

«К сожалению, в нашей стране буквально единицы экспертов по информационной безопасности, признанных на мировом уровне, так что участие российского исследователя в DEFCON можно считать историческим событием. За двадцатилетнюю историю DEFCON это второе выступление специалиста российской компании, притом с паузой в 11 лет – первым в 2001 году был Дмитрий Скляров, который, кстати, был арестован сразу после выступления. Нам не привыкать нести знамя российских исследователей ИБ на Западе: в прошлом году мы стали первыми россиянами, выступившими на BlackHat в Лас-Вегасе; за полгода до этого мы приняли участие в BlackHat в Вашингтоне; этой весной мы выступали на BlackHat Europe, а этим летом опять были приглашены на BlackHat в Лас-Вегасе. За последние три года мы также трижды выступили на третьей по значимости конференции по ИБ в мире – Hack in the Box (Куала-Лумпур и Амстердам), и более десяти раз посетили другие конференции по всему миру – от Майами до Бангалора – менее известные, но зачастую не менее интересные. Так что регулярные выступления на ведущих западных конференциях с рассказом о наших передовых исследованиях стали для нас хорошей традицией. Уверен, что в следующем году мы также пройдем жесточайший конкурсный отбор и сможем уже в пятый раз выступить на легендарном BlackHat, а также на совершенно иной и довольно специфичной, но не менее легендарной конференции DEFCON», – добавил директор Digital Security Илья Медведовский.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Яков Шпунт 13 Февраля 2026 - 08:52

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи

Злоумышленники обманывают россиянок от имени звезд

Компания F6 предупреждает о резком росте числа мошеннических схем, в которых злоумышленники выманивают деньги у россиянок, представляясь звёздами шоу-бизнеса — как российскими, так и зарубежными. Для убедительности аферисты активно используют дипфейки, а также мессенджеры и социальные сети. В ход идут сгенерированные нейросетями голосовые и видеосообщения.

О новой волне дипфейк-атак на россиянок рассказал изданию «Фонтанка» эксперт F6 Сергей Золотухин.

«Главный тренд года в схемах “про любовь” — использование искусственного интеллекта. С помощью нейросетей киберпреступники уже давно создают фейковые фото и видео со знаменитостями, которые сложно отличить от настоящих. Известны случаи, когда для обмана использовались образы Димы Билана, Сергея Лазарева, Брэда Питта, Райана Гослинга и Леонардо Ди Каприо», — рассказал Сергей Золотухин.

Сценарий обычно начинается с комплиментов и виртуального флирта, после чего злоумышленники переходят к отработке различных схем. Самая распространённая — просьба о финансовой помощи. В качестве повода могут называться болезнь, блокировка счетов, необходимость купить билеты или иная «экстренная» ситуация. После получения денег мошенники чаще всего исчезают, хотя иногда продолжают выманивать средства повторно.

Так, в январе жительницу Саратовской области обманул злоумышленник, представившийся Филиппом Киркоровым. Он попросил оплатить поездку и прекратил общение сразу после перевода денег.

Существуют и схемы без прямого требования перевода средств. Например, аферисты выдают себя за владельцев сети салонов красоты и предлагают бесплатное посещение. Для записи нужно перейти по ссылке, которая ведёт на заражённый сайт. После этого устройство жертвы может быть скомпрометировано, а злоумышленники получают над ним контроль.

Как отмечает Сергей Золотухин, не исчезла и классическая схема Fake Date, рассчитанная преимущественно на мужчин. В этом году злоумышленники чаще всего заманивают жертв на фишинговые сайты якобы для покупки билетов в театр или на концерт. В результате в их распоряжении оказываются платёжные данные. По аналогичной схеме аферисты действовали и ранее.

В 2026 году появился и новый предлог для перехода по фишинговой ссылке — «бесплатная фотосессия». Злоумышленники представляются фотографами, а ссылка якобы ведёт на сайт студии. Также участились попытки вовлечь жертв в инвестиционные мошеннические схемы.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »