Рубрика «взлом» - 38

Квантмех для защиты пластиковых карт - 1

«Квантовый мир» уже просачивается в нашу реальность, о чем свидетельствует статья на Ленте, которая пестрит перлами: «фотон пребывает сразу в нескольких местах» или «попытка подсмотреть эту процедуру аутентификации обрушит квантовую природу света» или «если бросить на карту квантовые фотоны».

«Один мой знакомый» уже писал на Хабре про квантовые деньги, а тут нидерландские ученые подхватили эстафету Стивена Виснера и прикрутили фотонную аутентификацию к пластиковым карточкам.

Оригинал статьи в PDF. Сама статья интересная. (Опубликована вроде в серьезных источниках: журнале Optica и в пресс-релизе Американского оптического общества.)

Опять же, в главной роли выступает теорема о запрете клонирования, которая не позволяет скопировать ключ, основываясь не на технической сложности и математических допущениях, а на физической невозможности.

Ждем ответа китайских нанохакеров.

Решающее правило и устойчивость к атакам:
Квантмех для защиты пластиковых карт - 2
Читать полностью »

Американский производитель кофеварок Keurig последовал примеру Apple встроил в одну из моделей некое подобие «DRM», которая должна была помешать сварить «неправильный кофе», выпущенный другой компанией. Защита была основана на механизме загрузки кофе в аппарат — в специальное устройство необходимо вставлять кофейный брикет с наклейкой и, если наклейка оказывалась принадлежащей другому производителю, то кофеварка сообщала, что отказывается работать.
Читать полностью »

PayPal authorization

Инженер из Египта Ясер Али во время исследования работы PayPal обнаружил критическую уязвимость, которая позволила ему полностью обойти используемую сервисом систему защиты от CSRF-атак (межсайтовая подделка запросов). Эту уязвимость он подробно описал в своем блоге, мы перевели и адаптировали пост с описанием уязвимости.

Для успешного проведения атаки такого рода злоумышленнику требуется заставить жертву обманным путем попасть по специально подготовленной ссылке, с помощью которой он сможет создавать запросы от лица жертвы. Атака возможна только если пользователь авторизован на веб-сайте, который подвергается ей.

Пост подготовлен специально для корпоративного блога сайта о платежных системах c мониторингом обменников Web-payment.ru.
Читать полностью »

Скрытые камеры и их обнаружение, жучки, локпикинг, клонирование ключей, RFID и магнитных карт - 1

Наша цель — это портативные гаджеты, которые по праву можно внести в джентльменский набор хакера, начинающего детектива или специалиста по информационной безопасности. Сегодня мы раскроем темы использования и модификации различных спецустройств, которые еще недавно могли считаться уделом избранных.
Читать полностью »

Одна из самых легендарных игр студии Valve вышла 16 ноября 2004 года

Half-Life 2 исполнилось 10 лет - 1После шести лет разработки и нескольких переносов даты выхода игра с бюджетом в 40 миллионов долларов попала на прилавки и произвела настоящий фурор.

Единодушному мнению критиков об успехе не помешала даже хакерская атака, в результате которой публика с удивлением узнала об маленьком обмане большого руководителя корпорации. Дело в том, что на выставке E3 была показана техническая демо-версия игры. Ожидания от иллюстрации возможностей были настолько велики, что игра ещё до выхода получила несколько наград.

Valve обещала, что игра будет готова уже к сентябрю 2003 года. Этого не произошло по причине очередного переноса сроков. Но 2 октября в Интернете появились утекшие в сеть исходники. Гейб Ньюэлл даже просил помощи сообщества в поимке хакера. Вместе с исходниками 22-летний немец Аксель Джембе, как и миллионы геймеров с нетерпением ждавший релиза, утянул из корпоративной сети компании и техническую демонстрацию, которая была глубоко заскриптована. Почти всё, что было показано на E3, было не работой ИИ, а лишь набором готовых сценок.

Утечка чуть не сорвала процесс разработки, стоимость месяца которой обходилась в миллион. Дизайнеры всёрьёз задумывались, не убъёт ли это компанию. Но Valve выстояла и выпустила игру, инновациям которой по сей день подражают другие.
Читать полностью »

В ходе конференции MALCON 2014, состоявшейся в Пуэрто-Рико, израильские ученые продемонстрировали новый метод взлома компьютеров.

Речь идёт о взломе изолированных ПК и ноутбуков при помощи мобильного телефона, находящегося в непосредственной близости к объекту атаки, взлом которого происходит при помощи технологии AirHopper, разработанной Мордекаи Гурии и профессором Иувалем Эловичи из Лаборатории кибербезопасности израильского университета Бен-Гуриона.

Компьютер можно взломать при помощи радиосигналов FM диапазона

Читать полностью »

image

ZeroNights, пожалуй, единственная конференция по безопасности в России, с которой любой посетитель может вернуться не только с объемным багажом полезных знаний, применимых на практике, но и с солидным денежным призом ;) В этом году азартная составляющая мероприятия зашкаливает. С программой конференции можно ознакомиться здесь: 2014.zeronights.ru/assets/files/schedule_rus_fin.pdf

Подробности наших активностей смотрите ниже.
Читать полностью »

image

До старта конференции ZeroNights 2014 остается совсем немного времени. Скоро площадка для встречи специалистов-практиков по ИБ, исследователей, программистов, звезд хакерского мира, да и просто хороших друзей и знакомых откроет свои двери навстречу новому. В этом году мы постарались не только наполнить мероприятие качественным контентом и разнообразными активностями, но и раскрыть новые темы, имеющие практическое значение для всех, неравнодушных к проблемам ИБ.

На этот раз мы пригласили в качестве keynote-спикера Александра Песляка, также известного как Solar Designer! Он знаком всем как отличный специалист с широким диапазоном знаний во множестве областей, включая не только методы атак, но и методы защиты. Его доклад «Is infosec a game?» откроет конференцию 13 ноября и обещает быть особенным, совсем не таким, как все привыкли видеть ;)

Специально для посетителей Habrahabr мы сделали приблизительную разбивку докладов по темам. Так вы сможете заранее определить для себя, какие доклады вам близки по духу, специфике работы и т. д., в каких активностях вы хотите принять участие. Хотя, конечно, вы можете использовать подход нашего техдира sh2kerr, который, как правило, выбирает выступления на малознакомые темы – расширяет кругозор, получая инфу от продвинутых специалистов в своей области. Как он говорит, «В тех темах, в которых я разбираюсь, я разберусь и из слайдов» ;)

Читать полностью »

Изгоняем нечисть из ReadyNAS
На Хабре уже есть несколько статей, касающихся безопасности различных устройств из сферы так называемых «Вещей-интернета»: домашние роутеры, «умные» телевизоры, NAS-устройства и т.д.

Данная статья поведает об особенностях NAS модели ReadyNAS. Статья о том, как мне удалось выгнать чужака из NAS-устройства, который там очень неплохо закрепился. Забегая вперёд скажу, что собранной информации было недостаточно, чтоб утверждать кто был этим чужаком: взломщик с человеческим лицом и корыстью или бесчувственный вирус. Поэтому в названии данной статьи фигурирует обезличенное слово «нечисть».

В один прекрасный день мой товарищ позвонил мне и попросил: «посмотри что не так с этой железякой? ну, я на ней фильмы храню… ну, ты понял о чём я!» И далее следовали описания симптомов. Был обычный рабочий вечер, и голова уже соображала не супер. Конечно, из телефонного разговора я толком ничего не понял. Но решил не производить допросов по телефону и приехать на место происшествия, лично посмотреть что и как. Я попросил отключить устройство от интернета до моего приезда.

Приехав к нему домой, я так и не понял что за симптомы он мне описывал. Но на всякий случай решил глянуть железку. Это оказался ReadyNAS. На вид устройство работало вполне нормально, особых тормозов или неадекватного поведения замечено не было. Неопознанных пользователей в списке на устройстве не обнаружено. После чего я решил всё же поглядеть логи. Так, для очистки совести. Поводов для беспокойства у меня пока не было. Так что моя мотивация была скорее в том, чтоб успокоить моего товарища. Мол, я провозился с железкой, в логах всё хорошо, тормозов не вижу, ложная тревога. Уходить сразу, не изобразив даже попытку реально разобраться было некрасиво. Но логи оказались не столь успокаивающими. И я понял, что вечер выдастся с борьбой.Читать полностью »

Приветствую Хабравчан!

Думаю, данной темой не многих удивишь — достаточно набрать в поисковике фразу arduino bruteforce и сразу станет понятно, насколько распространен перебор паролей при помощи платформы Arduino. Я же хочу рассказать о том, как это быстро организовать с наименьшим наборов компонентов, без разводки/травления плат и пайки. Сразу оговорюсь, что описанные мною действия носят ознакомительный характер и никому не причинили вреда, ни морального, ни физического… разве что мошенникам.

Брутфорсим EFI с Arduino
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js