[Перевод] Ад — это чересчур уверенные в себе разработчики, пишущие собственную криптографию
Чересчур уверенные в себе разработчики, пишущие собственный криптографический код, были проклятием отрасли информационной безопасности ещё до того, как она вообще стала отдельной отраслью. Само по себе это необязательно плохо, несмотря на то, что одна из аксиом информационной безопасности запрещает...
[Перевод] Хакаем любую Субару с доступом к Интернету
Введение 20 ноября 2024 года я и Шубхам Шах обнаружили уязвимость безопасности в сервисе автомобиля Subaru, подключённого к STARLINK. Он предоставил нам неограниченный целевой доступ ко всем автомобилям и аккаунтам пользователей в США, Канаде и Японии. Благодаря доступу, полученному через эту...
[Перевод] Станет ли ИИ катастрофой для сквозного шифрования?
Недавно я обнаружил потрясающую новую статью How to think about end-to-end encryption and AI, написанную группой исследователей из Нью-Йоркского и Корнеллского университетов. Я очень рад прочтению этой статьи, потому что, хоть не согласен со всеми её выводами, она стала первой попыткой ответа на...
[Перевод] Бюджетный квадрокоптер на базе ESP32 своими руками
За последние годы дроны стремительно переросли из нишевых хобби-девайсов в гибкие инструменты, применяемые для множества всевозможных задач — от фотографии до сельского хозяйства и даже военной сферы. В зависимости от назначения, характеристик и способности нести полезную нагрузку подобные...
[Перевод] Как долго можно извлечь данные из RAM после отключения компьютера?
Для обеспечения сохранности содержимого Dynamic RAM (DRAM) его необходимо периодически обновлять. Если значение какого-то бита поменяется самопроизвольно, то можно считать, что память работает не так, как должна. JEDEC (Joint Electron Device Engineering Council — организация, среди прочего,...
[Перевод] PyMyFlySpy: отслеживание полёта по бортовым данным
«Где мы, папа», — спросил меня 5-летний сын. «Мы приземлимся примерно через час», — ответил я. «Да нет, я имею в виду, где мы? Мы ещё не пролетаем Италию?» Точно ответить я не мог. Это был недолгий перелёт по низкому тарифу без удобств в виде встроенных в подголовники кресел экранов. Тогда я...
[Перевод] MomBoard: E-Ink дисплей для родственника с амнезией
Моя матушка страдает амнезией, и примерно два года назад я поставил у неё дома E-Ink дисплей, чтобы упростить ей самостоятельную жизнь. В итоге этот дисплей прекрасно работает по сей день, и я решил поделиться основными моментами его настройки для тех, кому он может пригодиться в похожих ситуациях....
[Перевод] Реализация подобия Apple Vision Pro
Не так давно я был свидетелем запуска Apple Vision Pro. Презентация оказалась очень интересной, но больше всего моё внимание зацепила одна деталь — дистанционное управление вводом с помощью пальцев. Выглядит очень интуитивно — использовать перемещение и сведение пальцев для управления курсором на...
[Перевод] Как я одержал победу над создателем чита для MMO-игры
В конце 2000-х я работал в нишевой компании, разрабатывавшей MMO-игру. У нас была небольшая команда и скромная прибыль, зато верная аудитория. Игра опиралась именно на навыки, не предлагая привычных усилений, и игрокам такая система нравилась. Так вот, однажды до нас дошли слухи, что для нашей игры...
[Перевод] Охота за (не)аутентифицированным удалённым доступом в роутерах Asus
Почитав в сети подробности о нескольких обнародованных критических CVE, связанных с маршрутизаторами Asus, мы решили проанализировать уязвимую прошивку этих устройств и, быть может, написать подходящий эксплойт «n-day». В итоге в процессе поиска уязвимой части программы и написания эксплойта для...
[Перевод] Как я получил 50000 + 0 долларов за уязвимость в Zendesk
Привет, меня зовут Дэниел, мне пятнадцать лет, я имею опыт программирования, в свободное время занимаюсь поиском багов. В посте я расскажу безумную историю о том, как обнаружил один баг, затронувший больше половины компаний из списка Fortune 500. Поприветствуйте Zendesk Возможно, вы уже...
[Перевод] Можно ли получить рут при помощи одной зажигалки?
Спойлер: ДА. Элитный инструмент для хакинга; от вас скрывают, что он уже у вас есть Прежде чем писать эксплойт, нам нужен баг. А если багов нет, то приходится быть изобретательными — тут нам на помощь приходит внесение неисправностей. Внесение неисправностей (fault injection) может принимать...
[Перевод] Как хакеры «красной команды» в роли злоумышленников проникают в здания и системы
ИНТЕРВЬЮ. В среду утром девушка-хакер без пропусков и ключей проникла в здание «очень крупного города» с целью украсть чувствительные данные, «взломав» вход не только в физическое пространство, но и корпоративную сеть Wi-Fi. Как в итоге оказалось, ей вообще не потребовалось ничего взламывать....
[Перевод] Как использовать YouTube для кражи файлов
Занимаясь исследованиями безопасности, я часто сталкиваюсь со странными причудами и поведением, которые могут пригодиться, разве что, в качестве весёлого фокуса на вечеринке. Тем не менее мне нравится их отслеживать. Кто знает, возможно, однажды что-то из этого окажется как раз тем самым...
[Перевод] Как я узнал номер паспорта и телефон премьер-министра по фото в Instagram*
Акт 1: полдень воскресенья Я занимался домашними делами, ни о чём плохом не думал, пил водичку и ни в коем случае не имел никаких намерений заниматься подрывной деятельностью против Австралийского Союза. А потом я получил сообщение в «групповом чате»1. Милое сообщение от моего друга с фотографией...
[Перевод] Портируем декодер AV1 с С на Rust для повышения быстродействия и безопасности
AV1 становится всё более значимым видеоформатом, которому требуется безопасный и производительный декодер. Исходя из этой идеи, мы в тандеме с командой из Immutant создали rav1d, портировав на Rust написанный на С декодер dav1d. Перед вами первая из двух статей, посвящённых решению этой задачи. —...
[Перевод] Интригующее расследование QUEENCREEK
На ваших машинах — будь то домашних ПК или корпоративных серверах — установлено много программного обеспечения, которое разработано с учётом автоматического запуска без участия пользователя. Вот хорошие примеры: Жизненно важные системные и пользовательские службы, такие как подключение к сети или...
[Перевод] Домашние шпионы: как поставщики WiFi-оборудования следят за вашей личной жизнью
Когда вы используете домашний интернет, к которому подключено всё, включая фитнес-устройства, игровые приставки, смартфоны и ноутбуки, маркетинговые компании могут следить за вами при помощи миниатюрного девайса, о котором вы можете даже не догадываться. Речь идёт о WiFi-узлах (WiFi-pods),...
Назад