Рубрика «безопасность» - 10

S в аббревиатуре IoT означает «Security», или Как я лампу хакнул - 1

Недавно мне выдали пару настольных светодиодных ламп, чтобы улучшить освещение для видеосовещаний. Это простые ламы с тремя элементами управления: включение-отключение, температура, яркость. Благодаря тупиковому стремлению создавать IOT-устройства с приложением для монетизации данных пользователей управление температурой и яркостью — это не просто регуляторы на лампе, нет, они управляются проприетарным приложением, которые вы вынуждены (если вы, конечно, его не хакнете, но об этом позже) скачать на свой телефон или компьютер. Кроме того, для установки приложения необходимо принять условия пользовательского соглашения. После установки приложения нужно «активировать» лампу в приложении, подключив её к WiFi и Интернету.

Полный стек лампы

Теперь это не просто лампа, а целый компьютер и точка доступа к WiFi. Кроме того, он требует установки на телефон или компьютер проприетарного приложения, для которого невозможно провести аудит безопасности. Права владения — главная мера степени конфиденциальности, безопасности и свободы; если вы не владеете устройством полностью, то вами владеет разработчик (и производитель) устройства. Единственный способ вернуть лампу себе в собственность — это взломать её.
Читать полностью »

Кибербезопасники опять рассказали прессе, что открытые доски в Trello индексируются поисковыми системами. На этот раз прессу встревожили Infosecurity из Softline Group. Они пожаловались «Коммерсанту», что индексируется почти миллион публичных досок, «причем тысячи из них содержат конфиденциальную информацию».

Trello (Читать полностью »

Когда разработчики вносят прямо в исходный код секретные данные, вроде паролей и ключей API, эти данные вполне могут добраться до общедоступных репозиториев.

Я — разработчик, и я признаю то, что раньше допускала попадание секретных данных в открытые GitHub-репозитории. Подобные данные, жёстко заданные в коде, всегда были проблемой в различных организациях. Я, выполняя испытания на проникновение с целью проверки систем защиты компаний, всегда в первую очередь исследую код этих компаний на наличие в нём секретных данных. Если разработчик вносит что-то вроде паролей в код, эти данные могут оказаться в общедоступных репозиториях или в пакетах приложений, а после этого могут попасть в руки злоумышленников.

Поиск секретных данных в исходном коде - 1

По мере того, как микросервисные архитектуры и приложения, построенные вокруг неких API, получают всё более и более широкое распространение, разработчики часто нуждаются в программных механизмах обмена идентификационными данными и другими секретными сведениями. А это значит, что программисты, работая с подобными данными, иногда могут совершать ошибки.
Читать полностью »

Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым - 1

Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для злоумышленников. Detectify Crowdsource подготовил список наиболее часто встречающихся ошибок, делающих сайт уязвимым для атак.

Читать полностью »

Битсквоттинг сайта Windows.com - 1

Недавно я вернулся к мысли о возможности совершения битсквоттинга. В статье по ссылке эта тема рассматривается очень глубоко, поэтому здесь я объясню в очень общих чертах:

Когда вы пытаетесь получить доступ к сайту по его домену, этот домен хранится в памяти вашего компьютера, устройства и т.д. в структуре, выглядящей примерно так:

01110111 01101001 01101110 01100100 01101111 01110111 01110011
w i n d o w s

Теперь представим, что компьютер перегрелся, произошла вспышка на Солнце или космический луч (вполне реальная штука) инвертировал в компьютере значение одного бита.

01110111 01101000 01101110 01100100 01101111 01110111 01110011
w h n d o w s

О нет! Теперь в памяти хранится значение whndows.com, а не windows.com! Что же произойдёт, когда придёт время создания подключения к этому домену?

nslookup whndows.com

*** can’t find whndows.com: Non-existent domain

Домен не резолвится в IP-адрес!
Оказалось, что из 32 возможных доменных имён, находящихся в одной замене бита от windows.com, 14 имён были доступны для покупки! Это довольно редкий случай — обычно такие имена покупаются компаниями, например, Microsoft, чтобы предотвратить их использование в целях фишинга. Итак, я их купил. Все. Примерно за 126 долларов.
Читать полностью »

За неделю с 8 по 15 февраля приложение Clubhouse для iOS поднялось с 12 на 1 место по скачиваниям среди бесплатных по России. «За эту неделю трафик в приложении вырос на 550%", — добавляет директор по маркетингу Yota Дмитрий Рудских.

Эксперт «Известий» считает, что в России у ClubHouse от 20 тыс. до 50 тыс. пользователей. Другой эксперт из «Фридом Финанс» предположил 15 тысяч,Читать полностью »

В новой версии Telegram 7.4 для macOS устранены две уязвимости, которые нашел индийский кибербезопасник Дхирадж Мишра. В конце декабря он рассказал о проблемах в Telegram и получил баунти в размере €3000. Он обнаружил, что самоудаляющиеся фото и видео в секретных чатах удалялись из чатов, но оставались храниться локально на устройстве получателя.

Кроме того, Читать полностью »

«Служба безопасности Яндекса раскрыла факт внутренней утечки», сообщает пресс-релиз компании.

Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, Читать полностью »

Это руководство посвящено настройке защиты приложений с помощью TLS-аутентификации. При таком подходе возможность работы пользователей с приложением зависит от имеющихся у них сертификатов. То есть — разработчик может самостоятельно принимать решения о том, каким пользователям разрешено обращаться к приложению.

Простая настройка взаимной проверки подлинности клиента и сервера с использованием TLS - 1

В учебном проекте, который будет здесь разобран, показаны основные настройки сервера и клиента. Их взаимодействие изначально осуществляется посредством HTTP. А это значит, что данные между ними передаются в незашифрованном виде. Наша задача заключается в том, чтобы обеспечить шифрование всего того, чем обмениваются клиент и сервер.

Мы рассмотрим следующие вопросы:

  1. Запуск сервера
  2. Отправка приветствия серверу (без шифрования)
  3. Включение HTTPS на сервере (односторонний TLS)
  4. Аутентификация клиента (двусторонний TLS)
  5. Установление двустороннего TLS-соединения с использованием доверенного удостоверяющего центра.
  6. Автоматизация различных подходов к аутентификации

Читать полностью »

Любой человек может оказаться в неприятной ситуации когда он едет ночью, в лес, в багажнике... Предусмотрительные граждане пытаются избежать подобных инцидентов выбирая сервисы такси известных брендов, которые декларируют безопасность поездки, контроль за водителями и даже вешают в приложении огромную кнопку "БЕЗОПАСНОСТЬ" которую надо жать в случае если что-то пошло не так.

Но помогает ли эта кнопка? Давайте проверим на практике.

Читать полностью »

https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js