Сегодня случилась со мной странная история. Зашёл я сутра в web-интерфейс Gmail, а меня отредиректило на какую-то порнуху:
Я поразился. Посмотрел host gmail.com, вроде всё красиво. Посмотрел dig — тоже… Ну ладно, думаю, почту-то прочитать надо, отвечу я на ваши вопросы.
На последней DEFCON был продемонстрирован взлом протокола аутентификации MS-CHAPv2 (давно пора). В результате многие СМИ разразились информацией о том, что «тысячи VPN и WPA2-утройств находятся в опасности». Рассмотрим, насколько это утверждение верно для Wi-Fi сети реализующей WPA2.
Скандалы? Интриги? Расследования?
Читать полностью »
Недавно я рассказывал о том, как защитить своё приложение с помощью валидации покупок на своём сервере. Через пару дней после публикации поста этот вид защиты научились обходить. Да, в чистом виде валидация через сервер разработчика не работает. Её надо улучшать, и ниже я расскажу вам как.
Читать полностью »
В большинстве сегодняшних операционных систем модель безопасности своими корнями уходит в Unix, наследуя предположение о том, что пользователь может доверять программам, которые он запускает. Однако, как показывает практика – это утверждение в корне неверно.
Marc Stiegler сравнивает это с ситуацией, когда вы нанимая уборщика даете ему Главный И Единственный Ключ, которые не только открывает комнату, в которой необходимо сделать уборку, а открывает все двери, в т.ч. и дверь сейфа с золотом. Т.е. у вас всего две альтернативы – либо не давать уборщику этот ключ – и тогда он не сможет выполнить свою работу, либо дать и надеяться на его порядочность.
Модель безопасности на основе мандатных ссылок (англ. capability-based security) предлагает решение этой проблемы.
Читать полностью »
Наручники, копии 3D-печатью и лазерной резкой
Как показал отчет немецкого энтузиаста на конференции «Хакеры на планете Земля» (Hackers On Planet Earth, сокр. HOPE) в Нью-Йорке, технология 3D-печати может найти применения не только в нескольких отдаленных от обычной жизни средах, как то копии окаменевших остатков вымерших животных или создание подробных моделей кровеносной системы. Отныне полагаться на форму какого-то объекта как на ключ будет ошибочным решением: консультант компьютерной безопасности из Германии Рэй, как он сам себя назвал, продемонстрировал дешевые копии пластиковых ключей, способные открыть наручники компаний Bonowi и Chubb.
Как известно, обе фирмы делают всё возможное, чтобы ограничить попадание своих ключей только в руки собственных клиентов, как правило, правоохранительных служб. Рэй рассказал о проблеме некоторых производителей наручников, чьи устройства имеют одну форму ключа, что позволяет одному человеку заковать подозреваемого, а другому освободить его, не задумываясь над уникальностью своих комплектов ключей. До того, как у каждого комплекта наручников не будет собственный ключ, безопасность такой системы можно поставить под сомнение.Читать полностью »
Наручники, копии 3D-печатью и лазерной резкой
Как показал отчет немецкого энтузиаста на конференции «Хакеры на планете Земля» (Hackers On Planet Earth, сокр. HOPE) в Нью-Йорке, технология 3D-печати может найти применения не только в нескольких отдаленных от обычной жизни средах, как то копии окаменевших остатков вымерших животных или создание подробных моделей кровеносной системы. Отныне полагаться на форму какого-то объекта как на ключ будет ошибочным решением: консультант компьютерной безопасности из Германии Рэй, как он сам себя назвал, продемонстрировал дешевые копии пластиковых ключей, способные открыть наручники компаний Bonowi и Chubb.
Как известно, обе фирмы делают всё возможное, чтобы ограничить попадание своих ключей только в руки собственных клиентов, как правило, правоохранительных служб. Рэй рассказал о проблеме некоторых производителей наручников, чьи устройства имеют одну форму ключа, что позволяет одному человеку заковать подозреваемого, а другому освободить его, не задумываясь над уникальностью своих комплектов ключей. До того, как у каждого комплекта наручников не будет собственный ключ, безопасность такой системы можно поставить под сомнение.Читать полностью »
В продолжение моего топика о Google-репутации я пишу этот пост, поскольку на примере маразматичности одного человека можно построить отличный case-study для всех кто не дай бог столкнется с такой-же проблемой.
Копии моих документов (1,2 страницы и прописка из пасспорта, копия ИНН) были выложены в интернет.
Один из крупнейших голландских провайдеров KPN обнаружил, что у многих пользователей до сих пор действует дефолтный пароль welkom01, который им выдали при регистрации. Провайдер насчитал около 120 тысяч юзеров с паролем welkom01 и ещё 20 тысяч, у которых пароль совпадает с именем пользователя. Это выглядит ещё печальнее, если учесть, что у KPN всего 180 тыс. пользователей.
Теоретически, любой желающий мог войти в Customer Self Center под чужим логином, посмотреть персональные данные клиента, номер банковского счёта, и изменить эту информацию.
Многие места на спутниковых снимках подвергаются цензуре. Основная цель этого — препятствовать возможным террористам осуществлять свои атаки, детально изучив местность и инфраструктуру объекта, а также скрыть секретные и многие стратегические объекты.
Не секрет, что с момента запуска карт Google главные правительственные здания США (такие, как Белый Дом и Капитолий) были искусственно замазаны — на оригинальных снимках можно было обнаружить позиции снайперов на крышах и многие другие вещи, которые не были предназначены для лишних глаз.
В одном из смежных топиков зашел разговор о безопасности беспроводного шифрования, и, в частности, дурацкой «уязвимости» Hole196. Когда-то я писал по этому поводу здесь. Рекомендую к прочтению, кому интересно.
Читать полностью »
