[Перевод] Фаззинг в стиле 1989 года
С наступлением 2019 года хорошо вспомнить прошлое и подумать о будущем. Оглянемся на 30 лет назад и поразмышляем над первыми научными статьями по фаззингу: «Эмпирическое исследование надёжности утилит UNIX» и последующей работой 1995 года «Пересмотр фаззинга» того же автора Бартона Миллера. В этой...
Mkcert: валидные HTTPS-сертификаты для localhost
В наше время использование HTTPS становится обязательным для всех сайтов и веб-приложений. Но в процессе разработки возникает проблема корректного тестирования. Естественно, Let’s Encrypt и другие CA не выдают сертификаты для localhost. Традиционно есть два решения. Читать дальше →...
Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара
Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей публикации. Например:...
Самые крутые новинки CES 2019
В Лас-Вегасе сегодня началась главная выставка потребительской электроники. Больше 180 000 людей и 4400 компаний приехали в Лас-Вегас, чтобы показать и посмотреть последние гаджеты и технологии. В числе тех, кто похвастается своими техническими достижениями, будут Huawei, Intel, Samsung, LG, Asus,...
[Перевод] Конференция DEFCON 18. Практический шпионаж с помощью мобильного телефона. Часть 2
Конференция DEFCON 18. Практический шпионаж с помощью мобильного телефона. Часть1 Мы хотим применить определённые методы, чтобы ускорить захват телефонов фальшивой сетью. На данный момент у нас есть простой перехватчик IMSI, вы можете попробовать позвонить и услышать записанное мною предупреждение....
За информацию о взломе WhatsApp и iMessage объявлена награда в $1 млн
Источник: cnn.com В мире немало компаний, которые работают в поле информационной безопасности, но как бы в обратном направлении. Такие организации покупают информацию о способах взлома известных и не очень сервисов и приложений, а также покупают эксплоиты. Одна из таких организаций, Zerodium,...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook
Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями червя для Facebook. Этот код...
[Перевод] Конференция DEFCON 18. Практический шпионаж с помощью мобильного телефона. Часть1
Добро пожаловать на презентацию «Практический шпионаж с помощью сотового телефона». Прежде чем мы начнем, сделаю пару замечаний по поводу конфиденциальности. В-первых, звонок по сотовому телефону может быть записан прямо во время разговора. Сюрприз! Так что если вы не хотите, чтобы ваш звонок был...
Как взять сетевую инфраструктуру под свой контроль. Часть третья. Сетевая безопасность
Т.к. эта глава получается довольно объемной, то я решил публиковать ее по частям. Сетевая безопасность. Часть первая. Нет смысла говорить о полном устранении security рисков. Мы в принципе не можем снизить их до нуля. Также нужно понимать, что при стремлении сделать сеть более и более безопасной...
Взломана DRM-защита Widevine L3
На днях специалист по кибербезопасности Дэвид Бьюкенен из Великобритании заявил об успешном взломе технологии защиты аудио/видео контента Widevine L3. Взлом дает возможность дампить все данные, которые передаются через защищенный этой технологией канал связи. Widevine L3 является разработкой...
[Перевод] Зал славы потребительской электроники: истории лучших гаджетов последних 50 лет, часть 3
Вторая часть GPS-навигатор Garmin StreetPilot Garmin StreetPilot помог уничтожить рынок уличных атласов, но, возможно, сохранил несколько браков Путь вперёд: Garmin StreetPilot, появившийся в 1998 году по цене в $400, был одним из первых практичных и доступных GPS-навигаторов Если вы родились до...
«Радар» Google Soli продолжает развиваться
В 2015 году корпорация Google показала несколько интересных новинок на своей конференции Google I/O. Одна из них — мини-радар Project Soli, который позволяет изменить опыт взаимодействия человека и электронных устройств. Новости об этой технологии время от времени появлялись, но не так, чтобы очень...
[Перевод] DEFCON 21. Одних паролей недостаточно, или почему «ломается» шифрование диска и как это можно исправить. Часть 2
DEFCON 21. Одних паролей недостаточно, или почему «ломается» шифрование диска и как это можно исправить. Часть 1 Существуют забавные штуки, такие, как монотонно возрастающие счетчики, с помощью которых можно контролировать активность TMP, а затем проверять полученные значения. Есть небольшой...
Исследователи проходят ReCAPTCHA при помощи сервисов Google
Проверки «докажи, что ты не робот» раздражают многих. Да, ReCAPTCHA и другие подобные инструменты помогают отсекать массу ботов и спамеров, но обычные пользователи теряют время и тратят нервные клетки на эти тесты. Поэтому специалисты по информационной безопасности со всего мира пытаются найти...
[Перевод] DEFCON 21. Одних паролей недостаточно, или почему «ломается» шифрование диска и как это можно исправить. Часть 1
Спасибо всем, что пришли, сегодня мы поговорим о полном шифровании жёсткого диска (FDE), которое не так безопасно, как вы думаете. Поднимите руки, кто шифрует таким образом HDD своего компьютера. Поразительно! Ну что же, добро пожаловать на DefCon! Похоже на то, что 90% из вас используют для...
Выборочный обход блокировок на маршрутизаторах с прошивкой Padavan и Keenetic OS
Инструкций с разными вариантами обхода блокировок Интернет-ресурсов опубликовано огромное количество. Но тема не теряет актуальности. Даже всё чаще звучат инициативы на законодательном уровне заблокировать статьи о методах обхода блокировок. И появились слухи, что Роскомнадзор получит ещё одну...
ADB vs Spy Cam
Как проверить, ведет ли какое-нибудь приложение на Android-смартфоне фото- или видеорепортаж, хотя ему это ни разу ни к чему? Нижепредлагаемый вариант совсем не идеален, но не требует «рута» или кастомной прошивки. Что требуется установить: ADB (например, в составе Android SDK Platform Tools);...
[Перевод] 2018-й был годом самоката. Что дальше?
Вряд ли кто-то мог это предугадать. Главным транспортным трендом 2018 года неожиданно стали не электромобили и не автопилоты, а маленькие электрические самокаты. Сервисы их аренды просто-таки заполонили американские (а потом и европейские) города. Такие ранее никому не известные компании, как Lime,...