Эволюция Zeus. Part III
Предыдущая часть здесь. Читать дальше →...
PVS-Studio покопался во внутренностях Linux (3.18.1)
Соавтор: Святослав Размыслов SvyatoslavMC. В рекламных целях мы решили попробовать проверить ядро Linux с помощью нашего статического анализатора кода. Эта задача интересна своей сложностью. Исходные коды Linux чем только не проверялись и проверяются. Поэтому найти хоть что-то новое, весьма сложная...
Вести с форума 31C3: новые происки АНБ, компьютерное управление мозгом и Интернет туалетов
27 декабря в Гамбурге открылась одна из крупнейших в мире хакерских конференций — Chaos Communications Congress (31C3). Ежегодный конгресс собирает огромное число инженеров, мейкеров, политических активистов, людей искусства и хакеров в широком смысле этого слова. На 31-й съезд приехали более 12...
Как я племянника с Днем рождения поздравлял
В очередной раз, когда я пользовался интернет-банкингом украинского Альфа-банка, мое внимание привлекла форма отправки квитанции на имейл: Интересное в ней было то, что заголовок письма и текст сообщения можно было редактировать. Исследовав отправляемый на сервер запрос, я добился того, что можно...
[Из песочницы] Сброс пароля VK
Получил мой друг root-права на Android планшете и, дабы насладиться новыми возможностями и проверить их, установил он себе Intercepter-NG. После этого начал слушать Wi-Fi сеть. Не буду уточнять, что за сеть и где она находится. В куче всего, что происходило в сети, он наткнулся на кое-что...
[Из песочницы] Сброс пароля VK
Получил мой друг root-права на Android планшете и, дабы насладиться новыми возможностями и проверить их, установил он себе Intercepter-NG. После этого начал слушать Wi-Fi сеть. Не буду уточнять, что за сеть и где она находится. В куче всего, что происходило в сети, он наткнулся на кое-что...
VNC-рулетка. Srsly?
Многие VNC-серверы не требуют установки пароля, из-за чего в интернете оказываются клиентские или серверные машины с открытым доступом по этому протоколу. Просканировав весь интернет, не всегда понятно, что же делать с ними всеми. Почему бы не сделать из них рулетку с элементами социальной сети?...
Windows 8.1 Kernel Patch Protection — PatchGuard
Периодически, как правило во вторую среду месяца, можно услышать истории о том, что Windows после очередного обновления перестает загружаться, показывая синий экран смерти. В большинстве случаев причиной такой ситуации оказывается либо руткит, либо специфичное системное ПО, фривольно обращающееся...
Anonymous слил большой список паролей, кредитных карт, а также фильм “The interview” от Sony
Несколько часов назад пользователь под логином Anonymous написал в твиттере, что был украден большой список аккаунтов, с Amazon, PlayStation, XBox Live, Hulu Plus, Walmart и других магазинов и сервисов. Читать дальше →...
Встраивание электронной подписи в системы с WEB-интерфейсом с помощью браузерного плагина и openssl
Несколько лет назад нашей компанией был сделан продукт Рутокен Плагин, который предназначен для встраивания ЭЦП в системы с web-интерфейсом. Основываясь на полученном опыте интеграции продукта в реальные проекты мне хочется отметить, что нередко разработчики для реализации серверной части...
Mail.Ru объявляет о начале закрытого бета-тестирования двухфакторной аутентификации
Хабр, привет! Мы рады поделиться с вами отличными новостями: мы давно работаем над реализацией двухфакторной аутентификации в сервисах Mail.Ru и сейчас, накануне Нового года, внезапно готовы начать закрытое бета-тестирование. Приглашаем к участию всех желающих. В нашей реализации в качестве второго...
Bluetooth и другие способы взлома наручников
В уходящем году одним из главных бумов IT-индустрии стали гаджеты, которые по-русски лучше всего назвать «наручными». С одной стороны, шагомеры и другие сенсоры персональной физической активности стали всё чаще делать в виде браслетов — такова, например, эволюция популярного трекера Fitbit. С...
Изменение ролей пользователей 1С 8 (файловый вариант)
Небольшая вводная: системный администратор уволился, пароль не оставил. Изменения в законодательстве, необходимо обновить 1С. Вариантов несколько: сбросить список пользователей, сбросить пароль администратора или узнать его с помощью брутфорса. Мы пойдем другим путем — сделаем пользователя с...
Нестандартный Top10 событий в сфере IT-безопасности 2014 года
В нашей рабочей терминологии есть одно устоявшееся английское выражение «threat landscape». На русский язык оно нормально не переводится (ландшафт угроз, ага). Если все предельно упростить, то это такая штука, на основе которой компании делают выбор: закупить еще железа или потратить деньги на...
Регистрация оффшорной компании в Белизе
Я горжусь тем, что плачу налоги в Соединенных Штатах. Правда, я бы гордился не меньше за половину суммы. (с) Артур Годфри Пару месяцев назад я писал на Хабре о регистрации компании в Эстонии. Сегодня же, я хочу поделиться опытом регистрации компании в Белизе, рассказать пару юридических тонкостей,...
[Из песочницы] Странное поведение архиватора Zip
Доброго времени суток! Хочу поделиться неожиданным открытием, а точнее — рассказать о необычном поведении довольно известного архиватора Zip. Мне нужно было сделать проект на свободную тему по курсу «Защита информации» в университете. Наша команда решила создать приложение на Python, которое, если...
[Из песочницы] Странное поведение архиватора Zip
Доброго времени суток! Хочу поделиться неожиданным открытием, а точнее — рассказать о необычном поведении довольно известного архиватора Zip. Мне нужно было сделать проект на свободную тему по курсу «Защита информации» в университете. Наша команда решила создать приложение на Python, которое, если...
Уязвимости счетов PayPal, мошенничество refund transactions, взлом аккаунта
Хочу рассказать о реальном случае мошенничества со счетом Paypal. Случай произошел с одним моим знакомым, который в результате потерял несколько сотен евро. Многократные обращения в службу поддержки, конфликтную комиссию PayPal ни к чему не привели, деньги возвращены не были и подобная уязвимость...