Hack The Box — прохождение Craft. Копаемся в Git, эксплуатируем уязвимости в API, разбираемся с Vault
Данной статьей я начну публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. Мы рассмотрим, как можно проэксплуатировать RCE в API, покопаемся в репозиториях Gogs, поработаем с базами данных и разберемся c...
[Из песочницы] О безопасности в сети
Эта статья была написана несколько лет назад, когда блокировка мессенджера Telegram активно обсуждалась сообществом и содержит мои мысли на этот счет. И хотя сегодня эта тема уже почти забыта, я надеюсь что, возможно, это все еще будет кому-то интересно Этот текст появился в результате моих...
Эра компактного аудио: как кассеты пришли в автомобили
В прошлый раз мы говорили о Fidelipac, который стал первым коммерчески успешным плёночным форматом. Сегодня поговорим о его наследнике — Stereo-Pak, который проложил магнитной ленте дорогу в автомобильные проигрыватели. Короткий рассказ о его истории — под катом. Читать дальше →...
[Из песочницы] OSCP — мой опыт
Что это за четыре буквы и кому это вообще надо? Я не буду описывать курс PWK и OSCP экзамен, простой запрос «OSCP review» выдаст вам кучу обзоров, описание формата, рекомендации и структуру курса. Просто поделюсь своим собственным опытом, как я сделал это и какие решения принимал. Данная...
[Перевод] Забудьте о гомоморфном шифровании: теперь у нас есть функциональное шифрование
Слышали ли вы о функциональном шифровании (ФШ)? Возможно, вы слышали о нём, и для себя поставили его в один ряд с гомоморфным шифрованием, что не совсем неверно, но и не до конца правильно. Давайте сегодня с вами посмотрим на то, что такое ФШ, разберём пару примеров и то, чем оно отличается от...
Играем с огнем: запускаем произвольный код на девелоперском iPhone 7
Под Новый год к нам в руки попал программатор JC PCIE-7. В процессе использования выяснилось, что его функционал ограничен, однако вещица оказалась с двойным дном. Внутри этого программатора мы обнаружили плату iPhone 7 специальной отладочной версии. За новогодними приключениями в мире исследования...
[Из песочницы] Тайная жизнь Linux сервера или веерная брутфорс атака на подсистему SSH
Сегодня мой внешний IP был заблокирован в сервисе IVI с сообщением Ваш ip-адрес идентифицируется как анонимный. Пожалуйста, обратитесь к своему интернет-провайдеру. IP адрес .Данные предоставлены maxmind.com Читать дальше →...
[Перевод] Я создал свой собственный дипфейк за две недели и $552
Создавая это видео, я научился многому Технология дипфейков использует глубокие нейронные сети для убедительной замены на видео одного лица другим. У этой технологии есть очевидный потенциал для злонамеренного использования, и она становится всё более распространённой. По поводу социальных и...
Полнодисковое шифрование Windows Linux установленных систем. Зашифрованная мультизагрузка
Обновленное свое же руководство по полнодисковому шифрованию в рунете V0.2. Ковбойская стратегия: [A] блочное системное шифрование Windows 7 установленной системы; [B] блочное системное шифрование GNU/Linux (Debian) установленной системы (включая /boot); [C] настройка GRUB2, защита загрузчика...
Crypt, XOR, взлом нешифрованного ZIP и ГПСЧ. Решение задач с r0от-мi Crypto. Часть 2
В данной статье узнаем про функцию crypt, узнаем как подбирать пароли к ZIP архиву с незашифрованными именами файлов, познакомимся с утилитой xortool, а так же разберемся с генератором псевдослучайных чисел. Предыдущие статьи на эту тему: Часть 1 — Кодировки, шифр сдвига, брут хешей и создание...
[Из песочницы] OSCD: Threat Detection Sprint #1, итоги
Open Security Collaborative Development — это открытая международная инициатива специалистов по компьютерной безопасности, направленная на решение общих проблем, распространение знаний и улучшение компьютерной безопасности в целом. Она была создана осенью 2019 года дружественными свободными...
Криптографический АРМ на базе стандартов с открытым ключом для платформы Android
Пришло время продемонстрировать как криптографический АРМ на базе стандартов с открытым ключом cryptoarmpkcs работает на одной из мобильных платформ, а именно Android. Концепция, которая закладывалась при разработке утилиты cryptoarmpkcs, состоит в том, чтобы пользователь просто должен минимум...
О времени, когда солнце «светило ярче», трава «была зеленее» и о диностатических наушниках AKG
Существует распространённое мнение о том, что винтажная техника 70-х — 80-х годов многократно превосходит современную по верности воспроизведения. Мол, трава была зеленее, земля круглее, солнце ярче, АЧХ ровнее, а инженеры талантливей и ответственней. Отчасти я готов с этим согласиться, особенно,...
Security Week 52+1: нестандартный топ-3 новостей года
Если посмотреть на нашу подборку важных новостей за 2018 год, то может возникнуть ощущение, что в уходящем 2019 году ничего не поменялось. Аппаратные уязвимости по-прежнему выглядят многообещающе (последний пример: обход защиты Software Guard Extensions в процессорах Intel) и все еще не применяются...
[Перевод] Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала
Прим. перев.: Представляем вниманию перевод статьи старшего инженера по безопасности приложений британской компании ASOS.com. С ней он начинает цикл публикаций, посвящённых повышению безопасности в Kubernetes благодаря использованию seccomp. Если введение понравится читателям, мы последуем за...
Разбор задач по CTF
В начале декабря мы провели командные соревнования по информационной безопасности. Помимо OTUS, организаторами мероприятия для «белых хакеров» выступили Volga CTF и CTF.Moscow. Пожалуй, пришла пора подвести итоги и подробно рассказать о заданиях. Читать дальше →...
Habr Weekly #33 / Вакансия в Reddit, пчёлы, наручные часы, шизофрения и аккумуляторы — обсуждаем уходящий год
В этом выпуске: 01:33 Про удивительность пчелы, и то, как мы ее убиваем, Milfgard 11:55 Что умеют делать наручные часы кроме показа времени и как выбрать свои первые часы, Wackaloon 18:43 10 лет в IT с диагнозом шизофрения, советы по выживанию, sgrammer 30:06 Есть ли альтернатива литий-ионному...
[Из песочницы] Приготовься к введению в России социального рейтинга
Уже сегодня банки формируют свои предложения исходя из данных собранных их приложениями на смартфонах клиентов. В частности ставка по кредиту, которую вам предложат, сильно зависит от файлов, размещенных на вашем устройстве, и сайтов, которые вы посещали. Именно поэтому банки так настойчиво...