Рубрика «взлом» - 40

Австралийские хакеры Эд и Джулиан сыграли в Doom на банкомате.
По итогу игры они распечатали чек с набранными очками в игре.

До этого ребята играли в Doom на билборде.

На их Yotube — канале есть много чего интересного.
Похоже что смысл жизни парней — пробовать различные технические системы на прочность и при этом получать от этого удовольствие.
Под катом много видео. Эту лучше увидеть, чем прочитать.
Читать полностью »

Шамир — это S в RSA


Вот такой он забавный, с акцентом, уже 62-х летний «патриарх израильской криптографии»

Что здесь зашифровано?
День рождения Ади Шамира. Визуальная, геометрическая и нейрокриптография

Под катом некоторые достижения именинника
Читать полностью »

image
TL;DR: Сайт взломан, ключи скомпрометированы, бинарник может только расшифровывать данные (и, возможно, протроянен).

На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.
Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.

На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
image

22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.Читать полностью »

Форум avast! подвергся взломуКак сообщается в блоге avast!, их форум подвергся взлому.
Злоумышленникам стали доступны имена пользователей, электронные адреса, логины и пароли (в зашифрованном виде). Атака затронула только форум поддержки, лицензии и финансовые данные не были затронуты.
Читать полностью »

image

Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей. Специалисты компании утверждают, что личные данные пользователей и финансовая информация остались недоступны хакерам — они хранятся отдельно и хорошо зашифрованы.

Согласно предварительному расследованию, результаты которого опубликованы на корпоративном сайте eBay, взлом произошел в конце февраля/начале марта этого года. Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.

Читать полностью »

Все наверно помнят волну SMS блокировщиков под Windows, теперь мошенники осваивают новый способ выудить деньги, на этот раз у владельцев iPhone.

Мошенники блокируют iPhone
Читать полностью »

Не припоминаю я на Хабре статьи про атаки на банки. Никакой теории и фантазии, реальная практика и скрины :)

Немного введения. Не так давно я выступал на VI уральском форуме по информационной безопасности банков, где много внимания было уделено новому стандарту ЦБ РФ об обеспечении информационной безопасности банковских систем, на эту же тему был и мой доклад. В стандарте выделено 7 этапов жизни банковских систем (ПО), от написания ТЗ до снятия с эксплуатации. И схема моего доклада была следующей — рассказать некоторые реальные истории атак, проецируя их на новый стандарт от ЦБ, и показывая, как бы он (стандарт) мог «сломать» эти вектора, если бы банки его применяли. А на Хабре я опубликую пересказ своего выступления (осторожно, картинки!). Ах и да — вся информация предоставлена исключительно с целью ознакомления и не в коем случае не является руководством к действию.
Читать полностью »

Вторую часть заголовка я взял из статьи вики. Забавно звучит.

Легкое чтиво, веселого проникновения. Я хотел уже запостить котиков на страничке, нажал кнопку предпросмотр, увидел погрузку контента и мой браузер на пол секунды повис, развернув чуть ниже кнопки «добавить», «мой будущий пост». Я нажал добавить, и мне сообщили, что я должен написать минимум два тега к посту. Я набрал «милые котики» — чуть ниже снова появился блок, в котором можно было подобрать популярные теги. Я решил, что это очень хорошо и такой скрипт мне нужен для коллекции. Не долго думая, я выдрал из страницы javascript, открыл и увидел комментарии к коду на родном русском.

Было очень скучно, и я решил провести маленький взлом с разрешения администрации, для того чтобы проверить свои силы, знание языков и спецификаций. Всё исследование заняло у меня 2 дня, по 3-4 часа в день.

Я решил проверить формы и попробовать что-то сломать, увидеть ошибку или что-то еще. Они были достаточно хорошо защищены: ни намека на sql или что-то такое ужасное. Ошибок не было совсем, о чем я и написал администратору.

После, проверяя наш js файл, я увидел, что несколько переменных совсем не фильтруются на стороне клиента, и можно на странице выполнить любой код, который я вставлю в форму. Первым же делом я вставил классический.

<script>alert(1)</script>

С небес опустилось окошко. Оно гласило, что все в этом мире равно 1.
Читать полностью »

Доброго времени суток, уважаемые читатели. Давно я не писал примеров по пен-тесту из собственной практики, пора это исправить. Как раз имеется один заказ, после выполнения которого прошло уже достаточно времени, и клиент разрешил опубликовать информацию в сети, но, естественно, без упоминания названия предприятия, имён его сотрудников и т. д. Чтоб не отнимать много времени постараюсь изложить всё кратко, без воды.
Читать полностью »

Взлом сервиса Kickstarter
Как стало известно, 12 февраля официальные представители службы охраны правопорядка связались с командой Kickstarter, чтобы сообщить им о взломе их проекта. Некие хакеры получили доступ к персональным данным зарегистрированных пользователей.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js