Шифрованный тоннель для общения через VK (RSA + GreaseMonkey)
В связи с развитием событий в мире последним временем пользователи сети всё чаще задумываются о своей безопасности: кто-то отказывается пользоваться рядом web-сервисов, кто-то удаляет личную информацию, фото и другие данные с социальных сетей, а кто-то и вовсе «блокирует» свои учётные записи. Но...
Адам Лэнгли объяснил причины бага в iOS: лишняя строчка кода поломала всю безопасность
Вчера компания Apple выпустила обновление безопасности iOS 7.0.6 для iPhone 4 и более поздних моделей, iPod touch 5-го поколения и iPad 2+. Одновременно выпущен аналогичный патч 6.1.6 для iPhone 3GS и iPod touch 4-го поколения. Обновление закрывает уязвимость CVE-2014-1266, которая позволяет...
А может не уведомлять об обработке персональных данных?
Частью первой ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее в статье — Закон) предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки. Сразу же (во второй части статьи) Закон...
[Из песочницы] Беда с web безопасностью или самый защищенный банк Америки
Вдохновившись статьей MrGrey о реакций российских компаний на плохие новости о дырах в безопасности, решил добавить свои 5 копеек, рассказав о своем опыте общения с американским Банком, который называет самым защищенным банком и является одним из крупнейших банков Америки — и в ообщем, наверное,...
[Из песочницы] Беда с web безопасностью или самый защищенный банк Америки
Вдохновившись статьей MrGrey о реакций российских компаний на плохие новости о дырах в безопасности, решил добавить свои 5 копеек, рассказав о своем опыте общения с американским Банком, который называет самым защищенным банком и является одним из крупнейших банков Америки — и в общем, наверное,...
[Из песочницы] Как я перехватывал трафик покер рума или «Пишем свой MitM SSL прокси на C#»
Однажды у меня появилась навязчивая идея: посмотреть, а что же там такого покерный клиент отправляет на сервер. Как Вы понимаете, крупные покерные румы используют SSL для передачи данных. Протоколы, основанные на асимметричном шифровании, подвержены только одному известному мне виду атак — MitM...
[Перевод] Переполненяем стек в fprintf на Linksys WRT120N
После того, как мы получили расшифрованную прошивку и JTAG-доступ к устройству, настало время поисследовать код на какие-нибудь интересные баги. Как мы узнали раньше, WRT120N работает на RTOS. В целях безопасности, административный WEB-интерфейс RTOS использует HTTP Basic authentication:...
[Перевод] Переполненяем стек в fprintf на Linksys WRT120N
После того, как мы получили расшифрованную прошивку и JTAG-доступ к устройству, настало время поисследовать код на какие-нибудь интересные баги. Как мы узнали раньше, WRT120N работает на RTOS. В целях безопасности, административный WEB-интерфейс RTOS использует HTTP Basic authentication:...
[Из песочницы] Реакция разных компаний на уязвимости их ресурсов
В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности. Некоторые компании не будут названы в статье, чтобы не портить «имидж». Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru,...
[Из песочницы] Реакция разных компаний на уязвимости их ресурсов
В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности. Некоторые компании не будут названы в статье, чтобы не портить «имидж». Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru,...
[Перевод] Исследуем обфускацию прошивки Linksys WRT120N
Недавно мое внимание привлек факт, что в обновлениях прошивок для Linksys WRT120N используют какую-то обфускацию. Мне показалось, что будет интересно порыться в ней, и я решил взглянуть. Последняя версия прошивки не выглядит как прошивка, с которой можно сразу работать Как вы можете видеть, есть...
[Перевод] Исследуем обфускацию прошивки Linksys WRT120N
Недавно мое внимание привлек факт, что в обновлениях прошивок для Linksys WRT120N используют какую-то обфускацию. Мне показалось, что будет интересно порыться в ней, и я решил взглянуть. Последняя версия прошивки не выглядит как прошивка, с которой можно сразу работать Как вы можете видеть, есть...
Twister теперь действительно работает на Windows
Совсем недавно был пост о выходе Twister для Windows, к сожалению, версия обладала ошибкой, из-за которой некоторые клиенты не могли подключится, теперь всё работает. Кроме того, теперь в твистере отображаются популярные хештеги (Trending). Желающие протестировать P2P сервис микроблогига предлагаю...
Уязвимость в рутере или как невзначай «испортить» имидж компании
Есть такая довольно популярная линейка рутеров в Европах — AVM Fritz!Box. Это и рутер и мини АТС и для VOIP- и для аналоговой или ISDN-телефонии и медиа-сервер и вообще все-что-хочешь в одном. Особенно топовые модели у AVM всегда отличались «умом и сообразительностью»(TM). Вплоть до того, что...
Переходы наличности и переходы на личности
Представьте, что мы живем в мире криптографии, электронной коммерции и свободных экономических отношений. Пользуемся электронными средствами платежей, где в корзине и кошельке операции осуществляет калькулятор, где микроскопические суммы и огромные средства проводятся в многочисленных транзакциях...
Германия и Франция не хотят пропускать европейский трафик через США
И снова новости, связанные с многократно упоминавшейся на Хабре организацией NSA. Эта организация, как уже говорилось, получала (и, скорее всего, получает) доступы к серверам разного рода организаций США, связанным с ИТ. Трафик мониторится, анализируется, а данные собираются в NSA. И ладно бы, если...
Смотрим закрытые профили в LinkedIn
Решил я тут намедни поискать своих бизнес-партнёров на LinkedIn и обнаружил небольшую дырку в предоставлении информации. Схема работает для небольших, либо связанных компаний. Так сказать локальный Privilege Escalation внутри LinkedIn. Заранее прошу прощения у своих коллег из компании NETCUBE за...
Очерк безопасности SIP
Интернет — прекрасная среда для общения. Общения при помощи писем, чата, голоса или видео. Если видеосвязь это достаточно ново, то телефоном люди пользуются уже сто лет. С прокладкой новых интернет-магистралей и развитием программ вроде интернета с воздушных шаров доступ в сеть будет в скором...