Рубрика «информационная безопасность» - 42

в 13:01, , рубрики: linux, linux kernel, linux security, meltdown, open source, ruvds_статьи, spectre, безопасность, Блог компании RUVDS.com, информационная безопасность, Настройка Linux, облачные технологии, системное администрирование

Что такое Core Scheduling и кому он будет полезен? - 1


Не за горами выход новой версии ядра Linux 5.14. За последние несколько лет это обновление ядра является самым многообещающим и одно из самых крупных. Была улучшена производительность, исправлены ошибки, добавлен новый функционал. Одной из новых функций ядра стал Core Scheduling, которому посвящена наша статья. Это нововведение горячо обсуждали в интернете последние несколько лет, и наконец-то оно было принято в ядро Linux 5.14.

Если вы работает с Linux или занимаетесь информационной безопасностью, вам интересны новые технологии, то добро пожаловать под кат.Читать полностью »

в 6:38, , рубрики: Apple ID, icloud, брутфорс, восстановление пароля, информационная безопасность, криптография, обратная разработка, реверс-инжиниринг, шифрование трафика
Почему я отказался от 18 тысяч долларов по баунти-программе Apple - 1

Эта статья посвящена тому, как я обнаружил уязвимость в конечной точке восстановления пароля Apple, которая позволила мне захватить аккаунт iCloud. Уязвимость полностью пропатчена отделом безопасности Apple и больше не работает. В рамках баунти-программы Apple Security Team вознаградила меня 18 тысячами долларов, но я отказался их получать. В статье я расскажу о том, почему отказался от вознаграждения.

После обнаружения уязвимости захвата аккаунта Instagram я осознал, что многие другие сервисы подвержены брутфорсу на основе условий гонки. Поэтому я продолжил сообщать о подобных проблемах других поставщиков услуг, подверженных уязвимости, например Microsoft, Apple и некоторых других.

Многие люди путают эту уязвимость с обычной атакой брутфорсом, но это не так. В ней мы отправляем множество параллельных запросов серверу, чтобы воспользоваться уязвимостью условий гонки, присутствующей в ограничениях частоты запросов, позволяющих обойти защиту.

Теперь я расскажу о том, что обнаружил у Apple.
Читать полностью »

в 13:59, , рубрики: IoT, permissions, reddit, Samsung, smart home, smart washer, Блог компании ITSOFT, информационная безопасность, конфиденциальность
Приложение для стиральной машины Samsung требует доступ к контактам и геолокации - 1

Ряд приложений от Samsung, позволяющих потребителям управлять подключенными к интернету устройствами, требует доступ ко всем контактам в телефоне, а иногда и к приложению для звонков, локации и камере. Такая ситуация приводила пользователей в бешенство годами. 

В среду, 7 июля, Читать полностью »

в 10:59, , рубрики: apt, cobalt strike, Malware, антивирусная защита, Блог компании ITSOFT, бэкдор, информационная безопасность, центр сертификации
Бэкдор от монгольского центра сертификации CA MonPass - 1

Мы обнаружили загружаемый с официального сайта MonPass (крупного центра сертификации в Монголии) установщик с бинарными файлами Cobalt Strike (фреймворк, помогающий эксплуатировать уязвимости, закрепиться и продвинуться в целевой системе). Немедленно уведомив их о нашей находке, мы призвали MonPass обратиться к их скомпрометированному серверу и предупредить тех, кто скачал клиент с бэкдором.

Читать полностью »

в 10:47, , рубрики: android, application, development, github, huntmix, java, open source, security, story, Блог компании Huntmix apps, информационная безопасность, Разработка под android

На связи снова Алексей который спешит уже с техническими подробностями проекта) В этой части узнаем как работают триггеры в приложении и поговорим о проблемах Google Play! Данная часть будет больше предыдущей так что берите напиток по погоде и погружайтесь в статью!

Под капотом

Как я писал раньше - в ранних версиях был один основной триггер - ярлык обманка. В чем же его суть? Пользователь сам задает иконку и название ярлыка под которое он маскируется, а в последних версиях открывает приложение с заданным именем пакета! Ниже на скриншотах вы можете посмотреть как делается ярлык вайбера.

Читать полностью »

в 18:42, , рубрики: android development, java, security, story, Блог компании Security addon, информационная безопасность, Разработка под android, Хакатоны

В этой части я коротко расскажу о мотивах и с чего начиналась разработка. Меня зовут Алексей и я желаю вам приятного чтения!

Идея

Тут все произошло более чем спонтанно зимнем вечером — я на тот момент ещё junior java developer с опытом не более двух месяцев листал новости. И без упоминания ужасных событий того времени — меня просто взбудоражила новость говорящая подобное: «У молодого человека задержали телефон и посадили за подписку на канал». Это дало мне пинок для размышлений, а как вообще защищены данные на android. И тут скорее вопрос не к шифрованию хранилища, не в бэкдорах от «компании добра», а просто в экстренных ситуациях. Ведь любой пароль в принципе можно достать из владельца, и причем многими способами. И сделать так может любой человек просто даже подсмотрев его или подобрав. В поисках решение подобной проблемы я нашел только одно приложение (Ripple) — но его функционал оставлял желать лучшего учитывая что проект официально не обновлялся 2 года.

Поняв что подобного нет, я загорелся идеей создать такое приложение хотя бы для себя

Первые версии

Спустя всего-то 2-3 дня — я получил самую сырую версию которая могла только удалять приложения имена пакетов которых я вводил в ручную — быстро и тихо. А запускалось все отдельной иконкой или внутри приложения.

Скриншоты

image
image

Несмотря на то что приложение писалось полностью под себя, некоторым моим знакомым оно понравилось, сработал эффект сарафанного радио, начали поступать запросы на новые функции и я решил выложить приложение в массы и на спец. форумы.
Читать полностью »

в 8:00, , рубрики: Apple iPhone, GEA-1, GEA-2, GPRS, Huawei P9, OnePlus 6T, Samsung Galaxy S9, SSL, StingRay, базовая станция, Блог компании VDSina.ru, информационная безопасность, криптография, поддельная сота, смартфоны, сотовая связь, Холодная война, шифрование, экспортные ограничения

Бэкдоры в наших смартфонах живут уже 20 лет. И это не последние подарки от государства - 1
Оборудование для фальшивой базовой станции 4G/LTE, источник

Иногда складывается впечатление, что основная угроза безопасности граждан исходит от государственных спецслужб. Эти не размениваются на мелочи. Их интересует взлом не с одного сайта, а всего трафика в интернете. Прослушка не отдельного человека, а сразу всех. Спецслужбы неоднократно пытались внедрить бэкдоры в алгоритмы публичной криптографии (см. генератор «случайных» чисел Dual EC DRBG с бэкдором АНБ). Прослушка произвольного гражданина в любой стране, на любом устройстве — голубая мечта «Большого брата».

Несколько лет назад вскрылись факты, что ЦРУ давно внедрилось в швейцарскую компанию Crypto AG, крупнейшего мирового производителя криптооборудования. Сейчас ФСБ навязывает российским гражданам отечественную криптографию, где тоже подозревают наличие бэкдора на уровне алгоритма.

Ещё одна интересная история — с алгоритмами шифрования GPRS, которые до сих пор поддерживаются в большинстве телефонов, включая Apple iPhone, Samsung Galaxy S9, Huawei P9 Lite, OnePlus 6T и многие другие.
Читать полностью »

в 9:02, , рубрики: command line, Git, gitea, GnuPG, gpg, ios app, linux, open source, pass, password manager, pgp, Philip R. Zimmermann, ruvds_статьи, Блог компании RUVDS.com, информационная безопасность, менеджер паролей, парольный менеджер, хранение данных, шифрование, шифрование информации

Наверняка многим из вас знакомы работы Филиппа Циммерманна, а в частности, самая известная из них — PGP (Pretty Good Privacy — Почти Полная Конфиденциальность), опубликованная в далеком 1991 году. Изначально PGP как пакет программного обеспечения предназначался для шифрования электронной почты и до сегодняшнего момента алгоритм(ы) шифрования, заложенные в PGP еще не были взломаны.

Менеджер паролей с GPG шифрованием: настройка PASS на iOS + Git - 1

В этом году PGP исполняется 30 лет и в связи с этой знаменательной датой я с вашего позволения напишу свой опыт взаимодействия с PGP в качестве основы для менеджера паролей.

Небольшая ремарка: PGP был отжат корпоратами и стал проприетарным, а альтернативная версия с открытым исходным кодом стала носить имя GnuPG (сокр. GPG). Далее в этой статье буду пользоваться аббревиатурой GPG.

Читать полностью »

в 8:20, , рубрики: Блог компании VDSina.ru, игры, Игры и игровые приставки, информационная безопасность, Исходный код игр, разработка игр, утечка кода

В начале июня компания EA сообщила о том, что её серверы взломали хакеры, похитившие 780 ГБ данных, в том числе исходный код игры FIFA 21 и движка Frostbite. Мы решили вспомнить, как на протяжении многих лет утекал в руки хакеров и широкой публики код различных игровых проектов.

Ultimate Mortal Kombat 3

image

Рекламные материалы порта игры для 3DO. На изображениях использованы скриншоты из версий для Sega Saturn и SNES

В своё время Mortal Kombat 3 получил огромную популярность, поэтому позже была выпущена его дополненная версия под названием «Ultimate Mortal Kombat 3» (UMK3), которую портировали на множество консолей, в том числе на Genesis, Sega Saturn и SNES. Разрабатывался и порт для Panasonic 3DO, но почти завершённый проект был остановлен (вероятно, из-за падения популярности консоли).
Читать полностью »

в 14:01, , рубрики: drm, drm в html5, forensic watermarking, netflix, Okko, ruvds_перевод, Блог компании RUVDS.com, водяные знаки, защита контента, информационная безопасность, Кинопоиск, кинотеатр, криптография, онлайн-кинотеатры, пиратство, Работа с видео, сжатие данных

Защищает ли Netflix свой контент? - 1

Наверное всё, что нужно знать про DRM, защиту контента и продвинутые водяные знаки.

Часть I, про DRM

Защищает ли Netflix свой контент? - 2

Главная проблема для Netflix'а и других стримингов — слив контента на торренты, в общий доступ. Ну и последующее снижение количества подписчиков сервиса.
Чтобы избежать плачевной ситуации онлайн-кинотеатры защищают контент всеми силами, используя DRM и водяные знаки по указке правообладателей. Сначала расскажу про DRM.
Читать полностью »

1...1020...414243...5060...934
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js