Взламываем ТВ-приставку, чтобы получить плацдарм для хакерских атак
Под катом вас ждет профессиональный экскурс в безопасность низкоуровневого ПО от одного из наших сотрудников. Вы узнаете, как получить доступ к Nand-памяти без программатора, обмануть загрузчик нулевого уровня и превратить Android-приставку в зомби за десять секунд. Читать далее...
Виртуальный город-государство и презентация новой платформы — как пройдет новый The Standoff Moscow 2021
В ноябре белые хакеры и специалисты по информационной безопасности соберутся на крупнейшей в мире открытой кибербитве The Standoff Moscow. Мы обновились и готовим для вас тренировки на киберполигоне, открытые киберучения, технические доклады от молодых профессионалов и погружение в вопросы...
Как ломать банкоматы: ARP spoofing, CVE, обход киоска
На прошедшем 20 и 21 мая 2021 г. Positive Hack Days в зоне Payment Village был конкурс, участники которого могли посоревноваться в хакерском мастерстве, в частности во взломе банкоматов. Организаторы подготовили три виртуальных машины банкоматов с разным уровнем сложности заданий. На протяжении...
Насколько все плохо с информационной безопасностью в мире? (Спойлер: очень и очень)
Как думаете, люди в большинстве своем надежно защищены от кибератак? По данным Positive Technologies, их количество растет каждый год. При этом более 70 % из них имеют конкретную цель. Несмотря на то, что инциденты с участием физических лиц составляют около 12 %, это не значит, что к вопросу личной...
Хакеры vs тюрьмы: истории успешных атак
На этой неделе иранская группа «хактивистов» Tapandegan (Сердцебиение) опубликовала изображения с камер наблюдения из тегеранской тюрьмы Эвин, где, в числе прочих содержатся политические заключенные. Событие получилось резонансное, и вы наверняка что-то про это уже слышали. Но часто ли хакерам...
Тайско-камбоджийские фишеры iCloud или история об iPhone, который украли дважды
Чуть больше года назад я работал в той самой компании, которая помогает найти дешевые авиабилеты, и жил на Пхукете. Так получилось, что в одном из тайских клубов на знаменитой Bangla Road я потерял свой айфон. Наутро без телефона я сильно досадовал о своей потере, но через некоторое время смирился...
Виртуальный город снова под ударом: новый The Standoff пройдет 9-10 ноября 2021 года
Осенью в одном из самых больших павильонов ВДНХ в Москве разразится настоящая кибербитва. Она будет длиться два дня, и если победят атакующие, то целый город F погрузится в хаос. Свои системы на прочность будут проверять самые смелые компании из промышленной отрасли, ретейла, сферы финансов. Наша...
[recovery mode] Обход 2FA на Binance и потеря 200000$
Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что попросту не беспокоится я о своей безопасности: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. В данной статье я расскажу Вам о недавнем...
Взлом госуслуг: мифы и реальность
В последнее время в СМИ обсуждаются множественные случаи взлома портала "Госуслуги". В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги. Взломать госуслуги...
Лазерный луч как инструмент шпиона: криптокошельки, робот-пылесос и цифровые ассистенты
Лазерная техника много чего дала человечеству — столько, что для описания не хватит ни статьи, ни целой серии книг, где все это будет описано хотя бы по верхам. Но лазер может использоваться не только как полезный инструмент, но и как средство для кибершпионажа. Несколько таких примеров, включая...
Greybox-фаззинг: level up. Как улучшали фаззеры
Автор: Иннокентий Сенновский В предыдущей статье мы рассмотрели, какие вообще фаззеры бывают и как они работают. В этой мы увидим, какие улучшения внедрили разработчики в современные фаззеры, чтобы они стали еще более полезным инструментом. Читать дальше...
Немного про современные технологии greybox фаззинга
Автор: Иннокентий Сенновский Как найти баги, о которых вы и не догадывались, или что такое фаззинг Все уже привыкли, что программу надо покрывать тестами, чтобы потом не было стыдно. Но вот проблема: разработчик может защититься только от багов, которые он способен предугадать. Да и тестировщик...
По следам The Standoff2021. Какие промышленные системы удалось взломать атакующим и как PT ISIM детектировал их действия
Мы продолжаем уже ставший традиционным цикл статей о том, как продукты Positive Technologies — MaxPatrol SIEM, PT Network Attack Discovery, PT Sandbox, PT Industrial Security Incident Manager и PT Application Firewall — отработали на полигоне The Standoff и что интересного они выявили во время...
Ставим палки в колеса злоумышленникам
Как то вечером моя подруга переслала мне скриншот уведомления из вконтакта с вопросом "Меня пытаются взломать?". Да, это было сообщение от лица администрации с просьбой подтвердить учетные данные и с ссылкой на фишинговую страницу. Дело было вечером, делать было нечего. А я придумал себе новое...
[Перевод] Уязвимости NFC позволяют взломать банкомат, просто взмахнув смартфоном
Исследователь безопасности обнаружил ряд ошибок, позволяющих взламывать банкоматы и широкий спектр терминалов продаж по-новому — взмахом телефона над устройством для чтения бесконтактных банковских карт. К старту курса Этичный хакер делимся переводом статьи о возможностях, которые открываются при...
Дешифрация протокола Орион Bolid
“Компания Bolid – лидер в разработке интегрированных систем безопасности” - то, что вы услышите, если позвоните им по телефону. Это своего рода российский Apple в сфере АСУТП, со своей закрытой экосистемой. Попробуем немного открыть экосистему. А можно поподробнее?...
The Standoff, май 2021 года. О пойманных зверьках в песочнице
С 18 по 21 мая 2021 года на киберполигоне The Standoff прошло очередное противостояние между атакующими и защитниками. Бои проходили в вымышленном городе FF, представляющем собой обширную инфраструктуру, моделирующую технологические и бизнес-процессы компаний в промышленности, энергетике, на...
[Перевод] Биография основателя DEF CON и Black Hat Джеффа Мосса (Dark Tangent)
К старту курса об этичном хакерстве мы перевели размещённую на сайте Black Hat биографию основателя этой серии мероприятий по кибербезопасности. Джефф Мосс родился в Калифорнии, США, в январе 1975 года, он — эксперт по компьютерной и интернет-безопасности, хакер. Первый опыт работы с компьютером он...