C 30 января по 4 июля 2014 года анонимная сеть Tor подвергалась хакерским атакам. Согласно информации опубликованной на официальном сайте Tor Project, целью атаки могла являться деанонимизация пользователей анонимной сети.Читать полностью »
C 30 января по 4 июля 2014 года анонимная сеть Tor подвергалась хакерским атакам. Согласно информации опубликованной на официальном сайте Tor Project, целью атаки могла являться деанонимизация пользователей анонимной сети.Читать полностью »
Австралийские хакеры Эд и Джулиан сыграли в Doom на банкомате.
По итогу игры они распечатали чек с набранными очками в игре.
До этого ребята играли в Doom на билборде.
На их Yotube — канале есть много чего интересного.
Похоже что смысл жизни парней — пробовать различные технические системы на прочность и при этом получать от этого удовольствие.
Под катом много видео. Эту лучше увидеть, чем прочитать.
Читать полностью »
Шамир — это S в RSA
Вот такой он забавный, с акцентом, уже 62-х летний «патриарх израильской криптографии»
Что здесь зашифровано?
Под катом некоторые достижения именинника
Читать полностью »
TL;DR: Сайт взломан, ключи скомпрометированы, бинарник может только расшифровывать данные (и, возможно, протроянен).
На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.
Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.
На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.Читать полностью »
Как сообщается в блоге avast!, их форум подвергся взлому.
Злоумышленникам стали доступны имена пользователей, электронные адреса, логины и пароли (в зашифрованном виде). Атака затронула только форум поддержки, лицензии и финансовые данные не были затронуты.
Читать полностью »
Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей. Специалисты компании утверждают, что личные данные пользователей и финансовая информация остались недоступны хакерам — они хранятся отдельно и хорошо зашифрованы.
Согласно предварительному расследованию, результаты которого опубликованы на корпоративном сайте eBay, взлом произошел в конце февраля/начале марта этого года. Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.
Все наверно помнят волну SMS блокировщиков под Windows, теперь мошенники осваивают новый способ выудить деньги, на этот раз у владельцев iPhone.
Немного введения. Не так давно я выступал на VI уральском форуме по информационной безопасности банков, где много внимания было уделено новому стандарту ЦБ РФ об обеспечении информационной безопасности банковских систем, на эту же тему был и мой доклад. В стандарте выделено 7 этапов жизни банковских систем (ПО), от написания ТЗ до снятия с эксплуатации. И схема моего доклада была следующей — рассказать некоторые реальные истории атак, проецируя их на новый стандарт от ЦБ, и показывая, как бы он (стандарт) мог «сломать» эти вектора, если бы банки его применяли. А на Хабре я опубликую пересказ своего выступления (осторожно, картинки!). Ах и да — вся информация предоставлена исключительно с целью ознакомления и не в коем случае не является руководством к действию.
Читать полностью »
Вторую часть заголовка я взял из статьи вики. Забавно звучит.
Легкое чтиво, веселого проникновения. Я хотел уже запостить котиков на страничке, нажал кнопку предпросмотр, увидел погрузку контента и мой браузер на пол секунды повис, развернув чуть ниже кнопки «добавить», «мой будущий пост». Я нажал добавить, и мне сообщили, что я должен написать минимум два тега к посту. Я набрал «милые котики» — чуть ниже снова появился блок, в котором можно было подобрать популярные теги. Я решил, что это очень хорошо и такой скрипт мне нужен для коллекции. Не долго думая, я выдрал из страницы javascript, открыл и увидел комментарии к коду на родном русском.
Было очень скучно, и я решил провести маленький взлом с разрешения администрации, для того чтобы проверить свои силы, знание языков и спецификаций. Всё исследование заняло у меня 2 дня, по 3-4 часа в день.
Я решил проверить формы и попробовать что-то сломать, увидеть ошибку или что-то еще. Они были достаточно хорошо защищены: ни намека на sql или что-то такое ужасное. Ошибок не было совсем, о чем я и написал администратору.
После, проверяя наш js файл, я увидел, что несколько переменных совсем не фильтруются на стороне клиента, и можно на странице выполнить любой код, который я вставлю в форму. Первым же делом я вставил классический.
<script>alert(1)</script>
С небес опустилось окошко. Оно гласило, что все в этом мире равно 1.
Читать полностью »
Доброго времени суток, уважаемые читатели. Давно я не писал примеров по пен-тесту из собственной практики, пора это исправить. Как раз имеется один заказ, после выполнения которого прошло уже достаточно времени, и клиент разрешил опубликовать информацию в сети, но, естественно, без упоминания названия предприятия, имён его сотрудников и т. д. Чтоб не отнимать много времени постараюсь изложить всё кратко, без воды.
Читать полностью »