Фотографии в заложниках. Первый взлом цифровых камер по WiFi (протокол PTP/IP)
В наше время ни одно устройство с сетевым подключением не защищено от потенциального взлома. Даже фотоаппарат. На хакерской конференции DEF CON 2019 Эяль Иткин из Check Point Software Technologies показал первый в мире действующий эксплоит для протокола PTP (Picture Transfer Protocol). Многие...
PVS-Studio в гостях у Apache Hive
Последние десять лет движение open source является одним из ключевых факторов развития IT-отрасли и важной ее составной частью. Роль и место open source не только усиливается в виде роста количественных показателей, но происходит и изменение его качественного позиционирования на IT-рынке в целом....
Telegram наносит ответный удар DPI и блокировкам — Fake TLS
Telegram тестирует новый вариант обхода блокировок — маскировка трафика под обычный TLS (https). Предистория: Попытки заблокировать Telegram происходят в разных странах, первый вариант блокировки был простым — блокировка IP адресов серверов Telegram. Telegram достаточно успешно отбивается от этой...
5 open-source систем управления событиями безопасности
Чем хороший безопасник в ИТ-сфере отличается от обычного? Нет, не тем, что он в любой момент времени по памяти назовёт количество сообщений, которые менеджер Игорь отправил вчера коллеге Марии. Хороший безопасник старается выявить возможные нарушения заранее и отлавливать их в режиме реального...
[Перевод] Ещё лучшая ZIP-бомба
В статье показано, как создать нерекурсивную zip-бомбу, которая обеспечивает высокую степень сжатия путём перекрытия файлов внутри zip-контейнера. «Нерекурсивная» означает, что она не зависит от рекурсивной распаковки декомпрессорами файлов, вложенных в zip-архивы: здесь всего один раунд. Выходной...
Как секретный ключ Huawei попал в прошивки маршрутизаторов Cisco
Разработчики сканера IoT Inspector периодически проводят рутинную проверку прошивок разных производителей. Иногда находят уязвимости в устройствах Интернета вещей. Но последняя находка особенно удивительна. В прошивке маршрутизатора Cisco SG250 сканер нашёл несколько сертификатов и соответствующий...
Запускаем OpenVPN в Докере за 2 секунды
Привет, хабровчане! Сталкивались ли вы когда-либо с ситуацией, когда очень хотелось бы виртуально перенестись в другой город, страну или на другой континет? У меня такая необходимость возникает достаточно часто, поэтому возможность иметь свой VPN сервер, который можно запусть где угодно, за пару...
Elasticsearch сделала бесплатными проблемные security-функции, ранее выведенные в open source
На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей. В официальной блогозаписи содержатся «правильные» слова о том, что open source...
[Перевод] Почему открытые прошивки важны для безопасности
Недавно на GoTo Chicago я читала лекцию на эту тему и подумала, что будет неплохо написать статью с выводами. Этот пост посвящён тому, почему прошивки с открытым исходным кодом важны для безопасности. Уровни привилегий В типичном стеке у вас различные уровни привилегий. Кольцо 3. Приложения:...
Об open-source реализациях хэш-функции ГОСТ Р 34.11-2012 и их влиянии на электронную подпись ГОСТ Р 34.10-2012
В свое время реализация отечественных криптографических алгоритмов в библиотеке libgcrypt очень меня вдохновила. Стало возможным задействовать эти алгоритмы и в Kleopatra и в Kmail и в GnuPg в целом, рассматривать библиотеку libgcrypt как алтернативу openssl с ГОСТ-ым engine. И все было...
Хождение по мукам или Шифрование трафика в Direct Connect, ч.3
И никто не вливает молодого вина в мехи ветхие; а иначе молодое вино прорвет мехи, и само вытечет, и мехи пропадут; но молодое вино должно вливать в мехи новые; тогда сбережется и то и другое. Лк. 5:37,38 В апреле этого года администрация крупнейшего в мире DC хаба объявила о начале поддержки...
[Перевод] Keybase и настоящий TOFU
В мессенджерах со сквозным шифрованием (E2E) пользователь отвечает за свои ключи. Когда он теряет их, то вынужден переустанавливать учётную запись. Сброс учётной записи опасен. Вы стираете открытые ключи и во всех разговорах становитесь криптографическим незнакомцем. Вам нужно восстановить...
[Перевод] Mozilla WebThings — настройка шлюза
Шлюз WebThings от Mozilla — это программное обеспечение для шлюзов, используемых в системах умного дома, которое позволит напрямую мониторить и контролировать умные устройства через интернет без посредников. Это руководство предполагает, что вы уже подняли шлюз, следуя руководству по началу работы....
[Перевод] Mozilla WebThings на Raspberry Pi — начало работы
от переводчика Mozilla сделала универсальный хаб для устройств умного дома, чтобы связать вместе устройства разных вендоров и протоколов (в т.ч. Zigbee и Z-Wave), и управлять ими без использования облаков и из одного места. Год назад была новость о первой версии, а сегодня я выкладываю перевод...
Бесплатный VPN сервис Wireguard на AWS
Для чего? С ростом цензурирования интернета авторитарными режимами, блокируются все большее количество полезных интернет ресурсов и сайтов. В том числе с технической информацией. Таким образом, становиться невозможно полноценно пользоваться интернетом и нарушается фундаментальное право на свободу...
Wireshark 3.x: анализ кода под macOS и обзор ошибок
Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap. Здесь заканчивается цитирование анонса и начинается наша...
Как запретить стандартные пароли и заставить всех тебя ненавидеть
Человек, как известно, существо ленивое. А тем более, когда касается вопроса выбора устойчивого пароля. Думаю, каждый из администраторов когда-либо сталкивался с проблемой использования легких и стандартных паролей. Такое явление часто встречается среди верхних эшелонов руководства компании. Да-да,...
Письма от социальных сетей: достаточно ли хороша ваша приватность? Две проблемы и их решение
При использовании социальных сетей имеют место разнообразные проблемы, выходящие за рамки темы этой статьи. Но есть две проблемы, о которых обыкновенно забывают. Социальные сети периодически посылают своим пользователям письма о недавних событиях: публикациях друзей, ответах, лайках, личных...