Ранее я уже публиковал интервью со сценерами, но они были взяты давно, и для других сообществ и сайтов. Сегодня я предлагаю интервью с бывшим сценером специально для хабра. Начинал он, как это обычно бывает, в малоизвестных группах, а в итоге к середине 2000-х стал участником топовой crack-группы, то есть они взламывали софт — выпускали кряки, кейгены и т.п. Он русский, хотя во всех группах, где он состоял, подавляющее большинство были зарубежные коллеги.
Читать полностью »
Нас взломали! Нас взломали!
— не отличалась оригинальностью моя реакция на взлом In-App Purchase моего приложения “Hideninja VPN” под Android. Но об этом я написал только в предпоследнем абзаце. А до него есть еще несколько строк о том, что за проект такой этот «Hideninja VPN». Также я расскажу о том, как был пройден путь от первого прототипа, как проект вышел в top-5 по запросу “vpn” англоязычного Google Play, как редизайн повлиял на восприятие приложения пользователями, сбор граблей и, наконец, про взлом In-App Purchase. Конечно, я разделил этот материал на несколько частей, иначе читать его было бы абсолютно утомительно. Итак, Часть 1.
-pervyi-prototip-pervyi-vzlom-In-App-Purchase.png "Как я запускал мобильное приложение Hideninja VPN (Часть 1): Первый прототип, первый взлом In App Purchase")
Вот она, взломанная “Версия 3.3 PRO”.
Добрый день всем! Ситуация такая, работаю на техподдержке и в последние пару недель появилось множество обращений от абонентов о том, что через роутер инет не работает. Некоторые приносят роутеры в офис к нам, к остальным ходят техники и везде одинаковая проблема — роутер не выдает по dhcp шлюз на любые подключенные устройства и соответственно если ручками его не прописать, то инет не работает + невозможно зайти на интерфейс роутера, пароли не подходят. У всех абсолютно пользователей роутеры модели TP-Link (741, 841, 940 итд). Приходится делать полный сброс настроек и по новой настраивать, этот геморрой порядком поднадоел.
Читать полностью »
Второй ежегодный мобильный конкурс Pwn2Own в рамках Zero Day Initiative пройдет на PacSec Applied Security Conference в Токио, 13 и 14 ноября. Призовой фонд – более 300,000 долларов.
Конкурс Mobile Pwn2Own это поиск уязвимостей и возможностей взлома в мобильных устройствах. В этом году его спонсирует Android Security Team и BlackBerry.Читать полностью »
10 сентября Компания «Крок» проводила конференцию, на которой докладчиком был Кевин Митник.
Для меня этот человек — кумир и легенда (я диплом писал отчасти по его книгам), поэтому попасть на его выступление было для меня делом чести.
Узнал я о конференции за 3 дня до ее начала и официально попасть мне на конференцию не удалось.
Что ж, у Митника я многому научился, и поэтому, пустив в ход социальную инженерию, я осуществил физический доступ (проникновение на охраняемый периметр).
Под катом краткий конспект выступления
Читать полностью »
На днях в Сети появилась интересная новость, показывающая, что даже самые совершенные вычислительные системы, с отличной системой защиты, могут быть скомпрометированы в результате действий сообразительных взломщиков. Так, 24-летний взломщик был осужден на 18 месяцев тюремного заключения за продажу доступов к суперкомпьютеров, работающих в Natural Energy Research Scientific Computing Center (Energy Department, США). В принципе, 18 месяцев еще ничего, ведь злоумышленник мог получить 15 лет и полмиллиона долларов штрафа. Но давайте посмотрим, что же продавал Эндрю Джеймс Миллер.
Новый клиент захотел перенести свой сайт, состоящий из сотен статичных страничек на систему управления контентом, а заодно и к нам на хостинг. Прежде чем переносить сайт была проведена беглая проверка и обнаружен код, находящийся в начале каждой страницы:
Читать полностью »
Несколько дней назад интернет облетела история о безработном палестинском веб-разработчике Халиле Шритехе (Khalil Shreateh), которому Facebook отказался выплачивать вознаграждение за найденную уязвимость. Хакер обнаружил баг, позволяющий публиковать сообщения на стене любого пользователя Facebook, даже если тот не является вашим другом, и независимо от настроек приватности.
Халил сначала взломал страничку Сары Гудин, однокурсницы Цукерберга, разместил там видеоролик — и отправил ссылку в отдел безопасности Facebook.
Но они ответили, что одной ссылки недостаточно для воспроизведения бага.
Возмущённый Халил в ответ на это взломал страницу Цукерберга и опубликовал у него на стене описание ситуации.
Читать полностью »
Трудно представить себе практическую цель создателей, но факт остаётся фактом: на следующей конференции Def Con в Лас-Вегасе пара исследователей — Джастин Инглер(Justin Engler) и Пол Вайнс (Paul Vines) — планируют представить свою разработку под кодовым наименованием Robotic Reconfigurable Button Basher (или R2B2), которая представляет из себя робота, цель которого — подобрать ПИН-код Android-смартфона. Причём весьма незамысловатым образом: просто перебирая все возможные варианты «тыканьем» в экран смартфона — так же, как это делает человек, только с несоизмеримо большим терпением.
Технически R2B2 довольно прост и обошёлся своим создателям примерно в 200$. Робот собран из трёх сервомоторов стоимостью в 10$ каждый, микроконтроллера Arduino, пластикового стилуса и набора запчастей, которые были напечатаны на бытовом 3D-принтере Makerbot стоимостью в 2800$, которому у парней имелся доступ. Сервомоторы перемещают пластиковый стилус по экрану и «нажимают» на него, а за реакцией смартфона на текущую комбинацию ПИН-кода следит 5-долларовая веб-камера, отдающая картинку по USB в специально для этой цели написанное ПО, которое после конференции будет опубликовано в статусе open-source. R2B2 может быть подключён к Windows или Mac, где, собственно, и происходит процесс распознавания.
Читать полностью »
В столице нашей необъятной Родины идет беспрецедентный по масштабу проект внедрения технологии Gpon от компании МГТС под эгидой борьбы против медных проводов и за доступную интернетизацию населения. Число абонентов МГТС по городу Москва превышает 3.5 миллиона человек, предполагается, что охвачены будут все.
Идея замечательная – оптика в каждую квартиру, высокоскоростной интернет, бесплатное подключение и Wi-Fi роутер в подарок (правда официально без права его перенастройки, но об этом далее). Реализация же такого масштабного проекта (подобное устройство ставится в каждую квартиру, где есть хотя бы городской телефон от МГТС) как обычно не обошлась без дыр в планировании, которые могут дорого обойтись конечному пользователю. Наша компания заинтересовалась вопросами информационной безопасности клиентов столь масштабного проекта и провела экспресс-исследование, результаты которого мы и предлагаем общественности для информирования о существующих угрозах и мерах борьбы с ними в домашних условиях.
