Wi-Fi сети: проникновение и защита. 3) WPA. OpenCL/CUDA. Статистика подбора
Баста карапузики, кончилися танцы. В предыдущей части мы детально рассмотрели «читерские» приёмы обхода «защит» (скрытие SSID, MAC-фильтрация) и защит (WPS) беспроводных сетей. И хотя работает это в половине случаев, а иногда и чаще — когда-то игры заканчиваются и приходится браться за тяжёлую...
[Перевод] Людей гораздо проще заразить вредоносным ПО, если заплатить им пару центов
Вы бы установили себе вредоносное ПО, если бы кто-нибудь вам за это заплатил? Команда из 4 исследователей обнаружила, что от 22% до 43% испытуемых готовы загрузить и запустить неизвестный исполняемый файл, если им заплатить в диапазоне от 1 цента до 10 долларов. Читать дальше →...
[Перевод] Уязвимость OpenSSL CCS
Ингве Петтерсен продолжает изучать проблемы уязвимостей и тестировать веб-серверы на вопрос незакрытых брешей. На прошлой неделе появились сообщения о новой уязвимости в OpenSSL, которой были подвержены все версии библиотеки. Эта новая уязвимость, часто называемая уязвимостью CCS, относится к типу...
Крупнейший майнинговый пул созывает круглый стол, чтобы решить, как спасти Биткоин от спонтанной централизации
Сейчас майнинг биткоинов экономически оправдан либо для владельцев крупных и очень крупных ферм, либо в составе пула, объединяющего усилия многих майнеров — время одиночек уже прошло. Вот уже несколько месяцев крупнейшим пулом является Ghash.io — уже в начале этого года его доля достигла 40%. В...
Программа стажировки «Zero Security:A» — практика этичного хакинга
Если вам интересна информационная безопасность и вы с восхищением смотрите на CTF, но не знаете, кого спросить и с чего начать — пройдите стажировку в «Zero Security: A». Программа стажировки включает теоретическую и практическую подготовку. В процессе обучения инструктора из PentestIT проводят...
На PHDays IV взломали «умный город»
Во время международного форума Positive Hack Days IV состоялся конкурс по анализу безопасности критической инфраструктуры под названием Critical Infrastructure Attack. Участники соревнования должны были обнаружить и эксплуатировать уязвимости для получения контроля над системами промышленной...
Шифрование резервного копирования на облачных сервисах
Многие из нас уже оценили преимущества облачных технологий, которые сегодня задают моду на работу в Интернет и хранение файлов. В зависимости от размера занимаемого пространства, у пользователя появляется возможность, платно или бесплатно, хранить на удаленных серверах достаточно большие объемы...
Оказалось, что Xbox One включается, когда слышит свою рекламу по телевизору
Понедельник, он же почти как пятница, поэтому он тоже достоин веселых новостей. Итак, игровая приставка Xbox One умеет распознавать голосовые команды (причем настолько хорошо, что в некоторых играх игрока могут оштрафовать за мат, но это другая история). Так вот, если рядом с приставкой произнести...
[Из песочницы] Спидран по 13 уязвимостям на сайтах. Основные понятия, и средства защиты
Недавно по работе собирал своего рода лекцию по веб-безопасности, ознакомился с известным рейтингом уявзимостей OWASP 2013 года, но с удивлением обнаружил, что корректной инфы на русском языке крайне мало, или её практически нет. Это, собственно, и стало поводом написать такую статью, в которой...
Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту
Данный пост является логическим продолжением исследований, начатых в тыц и тыц. В первом посте я писал о старом добром SMB Relay в контексте современных условий эксплуатации. Второй пост затрагивал новую технику под названием SMB Hijacking с помощью которой можно выполнить код даже если исходящая...
Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту
Данный пост является логическим продолжением исследований, начатых в тыц и тыц. В первом посте я писал о старом добром SMB Relay в контексте современных условий эксплуатации. Второй пост затрагивал новую технику под названием SMB Hijacking с помощью которой можно выполнить код даже если исходящая...
Пока вы тут сидите, мы уже расклеиваем плакаты про паранойю
Есть особый кайф вешать вот такие плакаты в магазинах и заставлять людей немного задуматься: Читать дальше →...
un1c0rn, «Google для уязвимостей»
На хабре уже появлялись статьи о незащищенный инстансах mongodb и непропатченных openssl с heartbleed. Проект un1c0rn решил не мелочиться и сделать целый «поисковик уязвимостей», в статье на Motherboard.vice.com un1c0rn даже назвали «Google-ом для уязвимостей». Читать дальше →...
un1c0rn, «Google для уязвимостей»
На хабре уже появлялись статьи о незащищенный инстансах mongodb и непропатченных openssl с heartbleed. Проект un1c0rn решил не мелочиться и сделать целый «поисковик уязвимостей», в статье на Motherboard.vice.com un1c0rn даже назвали «Google-ом для уязвимостей». Читать дальше →...
SiteLock – визуальный генератор пароля для сайтов от PHPShop
Мы часто сталкиваемся с задачей по созданию дополнительного пароля на сайт и панель управления — это дает большую уверенность в сохранности данных, и, конечно, рекомендуем использовать этот метод всем и почаще. Конечно, есть много способов поставить пароль, но все-таки, все они требуют наличия...
[Из песочницы] Атака на чёрный ящик. Реверс-инжиниринг виртуализированного и мутированного кода
Защита собственного программного обеспечения от реверс инжиниринга достаточно старая проблема, в своё время терзавшая сердца многих shareware разработчиков и не только. Обычно для таких целей применяют протектор, но насколько бы ни был крутой протектор, всегда найдутся люди которые его распилят и...
[Перевод] Раскрывая секрет. Архитектура Secret
Любая ваша мысль или желание может анонимно распространяться по всему миру менее чем за секунду, начиная только с вас и ваших друзей. Secret вышел лишь четыре дня назад, и все, что мы увидели, нас вдохновляет. Мысли, распространяющиеся по стране честные, трогательные, смешные и, вопреки ожиданиям,...
Как?мы?реализовали?DKIM?в?«Mail.Ru?для?бизнеса»
Недавно на Хабре уже была статья о том, как «Mail.Ru для бизнеса» становится лучше благодаря вашим комментариям: мы рассказывали, как реализовывали ваши пожелания. Сегодня я хочу остановиться на одной из воплощенных хотелок — возможности настройки собственной DKIM-подписи. Для нас она была одним из...