Архив за 26 мая 2016 - 7

в 10:23, , рубрики: android, mifare, NFC, Беспроводные технологии, информационная безопасность, Разработка под android, смарт-карты

Карта тройка

Карта Тройка представляет из себя универсальный пополняемый электронный кошелек, широко используемый в системах оплаты общественного транспорта Москвы с 2013 года.

Цель данного исследования — выяснить защищенность системы электронного кошелька от подделки баланса, оценить безопасность инфраструктуры, работающей с картой. Вся работа была выполнена без использования специальных технических средств. Использовался дешевый смартфон на платформе Android и персональный компьютер. Общее время, затраченное на исследование, составило 15 дней.

В ходе работы был успешно проведен реверс­-инжиниринг мобильного приложения «Мой проездной», что позволило получить доступ к памяти карты и изучить структуру хранения данных. Были найдены уязвимости, позволяющие выполнить подделку баланса, записанного на электронном кошельке карты Тройка. В результате чего стало возможным использование систем, поддерживающих карту, без оплаты.

Итогом исследования стала разработка приложения TroikaDumper, позволяющего эксплуатировать уязвимости системы электронного кошелька.
Читать полностью »

в 10:23, , рубрики: edisonsoftware, open source, Блог компании Edison, отладка, Пол Грэм, Программирование, Профессиональная литература, разработка

image

Сейчас Пол Грэм учит правительства и университеты как создавать стартап-хабы, а а вот раньше… он провел замечательную аналогию между высококлассными программистами и художниками.

За 13 лет глава, одноименная с названием книги, затерялась в сети. Для удобства, хочу опубликовать ее, собранную по кусочкам из различных архивов.

Перевод Анастасии Грызуновой, Яны Щекотовой. Приведение текста в порядок — CaptainCrocus. Помощь в публикации — компания Edison.

Оригинал — Hackers and Painters (May 2003)

Пол Грэм: Глава 2. Хакеры и художники (Habr edition) - 2
Закончив аспирантуру по computer science, я пошел на художественный факультет изучать живопись. Многие удивились, что компьютерщик вдруг заинтересовался живописью. Эти люди, видимо, считали, что хакерство и художество — очень разные занятия: хакерство — холодное, точное и методичное, а художество — яростное выражение некого первобытного порыва.

Оба представления неверны. У хакерства и художества масса общего. Из множества различных типов людей хакеры и художники — едва ли не самые похожие.

Общее у них вот в чем — и те, и другие творцы. И те, и другие пытаются делать нечто качественное. Как композиторы, архитекторы и писатели. И те, и другие проводят исследования не ради исследований (хотя если в процессе создания чего-то качественного открываются новые методы — тем лучше).

Мне никогда не нравился термин «computer science». Главным образом потому, что такой науки не бывает. «Computer science» — мешок старьевщика, куда история капризно свалила кучу слабо связанных областей науки — получилась какая-то Югославия. На одном полюсе математики, которые зовут свою работу computer science, чтобы получать гранты DARPA. На экваторе — какое-нибудь компьютерным естествознание: скажем, поведение алгоритмов при передаче данных по сетям. А на другом полюсе — хакеры; они пишут интересное ПО, и компьютеры для них — только среда самовыражения, как бетон для архитектора или краска для художника. Все равно что математиков, физиков и архитекторов согнать на один факультет.

Иногда работу хакеров называют «программной инженерией» (software engineering). Этот термин тоже сбивает с толку. С тем же успехом можно назвать инженером архитектора. Между архитектурой и инженерией граница нечеткая, однако она есть. Проходит она между «что» и «как»: архитектор решает, что делать, инженер вычисляет, каким образом.Читать полностью »

в 10:23, , рубрики: open source, zeronet, децентрализованные сети, децентрализованные системы, децентрализованный вход на сайты, информационная безопасность, регулирование интернета, метки:
image

Мысли о защите и нападении

Простите за некоторое отступление, но оно может оказаться важным.

Все мы прекрасно осведомлены о невесёлых тенденциях последних лет в сфере «регулирования» интернета. Самое удивительное, что это «вторжение» в рунет произошло с огромным запозданием и поэтому его несостоятельность совершенно очевидна для всех, кто хоть немного знаком с реальностью.

На момент вторжения естественная саморегуляция сети была уже на очень достойном уровне. Крупнейшие и наиболее интересные ресурсы уже тогда не допускали на своих страницах хоть сколько-нибудь сомнительного контента, уже тогда существовали программные фильтры контента для детей, которые вполне могли использовать и родители и общеобразовательные учреждения. «Регулировать», по сути, было уже нечего. И что же оставалось в такой ситуации?
Читать полностью »

в 10:16, , рубрики: alexa, антивирусная защита, вирусы, информационная безопасность, мобильные редиректы, Разработка веб-сайтов

Если посмотреть на Top-1000 сайтов рейтинга Alexa в зоне .ru, то в первых трех сотнях будут сайты Яндекса, Google, Mail.ru и других крупных проектов и компаний, а дальше пойдут, в основном, развлекательные, игровые ресурсы, торренты и профильные СМИ (а еще временами будут встречаться домены тизерных партнерских сетей).

Так ли безопасны «топовые» сайты: исследуем рейтинг Alexa - 1

У сайтов, занимающих не самые топовые позиции из первой тысячи, посещаемость бывает порядка 10 000 – 80 000 уникальных хостов в сутки, а иногда и выше. Для хакеров подобные ресурсы привлекательны тем, что, с одной стороны, сайты имеют высокую посещаемость, а с другой – низкий уровень защиты (обычно, вообще никакого), поскольку владельцы подобных сайтов часто не уделяют должного внимания вопросам безопасности (не знают, не умеют, не хотят). Например, ресурс с посещаемостью 85000 уникальных хостов в сутки может работать на WordPress с уязвимыми версиями плагинов. Получается, что соотношение затрат на взлом к “профиту” от него для данной категории сайтов максимально, и это лакомый кусок, которым, как минимум, один злоумышленник да воспользуется. В теории все вроде бы логично, но хотелось бы в этом убедиться на практике, поэтому я решил просканировать большой массив топовых ресурсов (например, первые 50 000 сайтов Alexa в зоне .ru) на предмет взлома/заражения, редиректов и других проблем безопасности. Что из этого получилось – ниже в статье.
Читать полностью »

в 10:14, , рубрики: C#, SAP PI, информационное табло, реверс-инженеринг, реверс-инжиниринг, метки:

Преамбула

В конце 2013 года наша компания переехала в новый офис в одну из башен комплекса Москва-Сити. В наследство от прошлого арендатора помещения нам достались потолочные часы, предназначенные для отображения времени в различных часовых поясах. Судя по всему, арендатор был завязан с финансовым или банковским сектором.

Сначала мы пытались перенастроить часы (подправить время и сменить отображаемые города), но не смогли этого сделать – на потолке висела монолитная алюминиевая коробка без каких-либо органов управления. В последствие часы были обесточены и остались висеть без признаков жизни. Спустя два года загорелись идеей воскресить часы и использовать их как нечто большее.

Потолочные часы

Читать полностью »

в 10:11, , рубрики: Новости, метки:

Компания Lenovo Group опубликовала отчет за четвертый квартал 2016 финансового года и год в целом, завершившийся у нее 31 марта.

Выручка за четвертый квартал составила 9,1 млрд долларов, что на 19% меньше, чем за такой же период предыдущего финансового года. Чистая прибыль за квартал составила 180 млн долларов, что на 80% больше, чем за такой же период предыдущего финансового года.

Выручка за год составила 44,9 млрд долларов. Это на 3% меньше, чем год назад. В целом год завершился чистым убытком в размере 128 млн долларов.

в 10:08, , рубрики: Copy Hooks, DropBox, fuse, Kernel Authorization, Блог компании Rootwelt, бэкдор, информационная безопасность, системное программирование, файловая система, хранилища данных, ядро

Dropbox объяснил, почему внедряется в ядро операционной системы - 1

Ровно месяц назад Dropbox анонсировал Dropbox Infinite — «революционно новый способ доступа к вашим файлам», как писала компания в корпоративном блоге. В демонстрационном видео показали, что десктопный клиент Dropbox предоставляет прямой доступ к облачному хранилищу файлов на уровне файловой системы, без необходимости запускать браузер. Локальный диск «увеличивается» на размер облачного хранилища, файлы доступны напрямую. Облачное хранилище может быть больше по размеру, чем локальный диск. Сейчас компания раскрыла технические подробности, как работает эта функция.

Сразу после первого анонса эксперты высказали опасения, что Project Infinite откроет доступ в систему посторонним, если они найдут уязвимости в клиенте Dropbox. Собственное расширение ядра от Dropbox станет тогда своеобразным бэкдором в системе.
Читать полностью »

в 9:55, , рубрики: Новости, метки:

Информация о смартфоне OnePlus 3, анонс которого намечен на 14 июня, в базе данных китайского агентства TENAA, занимающегося сертификацией оборудования связи.

По предварительным данным, предусмотрен выпуск трех цветовых вариантов OnePlus 3

Читать полностью »

в 9:47, , рубрики: DirectX 12, javascript, microsoft, skydrive, Visual Studio, Windows 10, Windows 8, Windows 8.1, Windows Server, Блог компании Microsoft, день рождения хабрахабр

Сегодня Хабрахабру исполняется 10 лет – это ли не повод предаться ностальгии? Мы решили вспомнить самые теплые моменты и составили Топ-10 популярных статей нашего блога за все время его существования.

10 лет Хабрахабру: Топ-10 самых популярных статей нашего блога - 1
Читать полностью »

в 9:37, , рубрики: php, socket, socket server, stream_set_blocking, WebSocket, вебсокет, ненавижу Safari

10 месяцев назад я начал делать браузерную игрушку. Выбор пал на cocos js в качестве графики и websocket в качестве общения с сервером. Технология очень понравилась и я на ней организовал всё общение игры с сервером. Использовал для этого эту статью. Но, к сожалению, тот код, который приведен в той статье, нельзя использовать в продакшене. Как выяснилось, уровень проблемы даже не критический, а блокирующий. Всё настолько плохо, что мне пришлось переписывать всё общение с сервером с вебсокетов на longpooling. В итоге я оставил вариант «если у нас браузер не сафари, то использовать websocket, иначе longpolling» и ещё немного ветвления на эту тему.

Так что опыт использования вебсокет в продакшене накопился приличный. И вот недавно случилось событие, которое сподвигло меня написать первую статью на Хабре.
Читать полностью »

1...678...10...11
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js