[Перевод] Как я «случайно» получил root-доступ к платёжному терминалу
Этот проект я посвятил реверс-инжинирингу платёжных терминалов, так как из-за сопряжённых с их использованием финансовых рисков они представляют особый интерес в плане безопасности. И хотя эта отрасль для меня была не особо знакома, я считал, что в таком устройстве должна быть куча всяких защит. По...
[Перевод] Пишем на C самоизменяющуюся программу x86_64
«Зачем вообще писать программу, меняющую код в процессе выполнения? Это же ужасная идея!» Да, всё так и есть. Но это и хороший опыт. Такое делают только тогда, когда хотят что-то исследовать, или из любопытства. Самоизменяемые/самомодифицируемые программы не обладают особой полезностью. Они...
[Перевод] Как одна строка кода могла окирпичить ваш iPhone
Это история о том, как я недавно обнаружил в iOS уязвимость, которая стала одной из моих любимых. Почему любимых? Потому что реализовать для неё эксплойт оказалось очень легко. Кроме того, она использовала публичный легаси API, на который до сих пор опираются многие компоненты ОС Apple, и о котором...
[Перевод] Как защищают фильмы и доставляют их в кинотеатры
У кинематографической индустрии есть собственные стандарты для защищённого создания и распространения фильмов. Всё необходимое, от форматов файлов и шифрования до проекционных систем, определяется в спецификации DCI (Digital Cinema Initiatives). Сама спецификация доступна публично, но связана с...
[Перевод] Evertop: ультра-экономичный ПК на солнечной батарее
Evertop — это портативный ПК, эмулирующий IBM XT с процессором 80186 и 1МБ RAM. На нём можно запускать DOS, Minix и некоторые другие ОС из 80-х. Можно запустить и Windows до версии 3.0. Благодаря мощному и при этом экономичному микроконтроллеру, E-Ink дисплею, батареям на 10 000 мАч и реализации...
[Перевод] Ох уж эти скрытные ботнеты
Вот очередной день, когда ботнеты пытаются взломать мой скромный почтовый сервер брутфорсом для рассылки спама. Такое случается волнами, но волны эти возникают постоянно и являются частью жизни системного администратора (естественно, они терпят неудачу ;). IP-адреса, с которых происходят попытки...
[Перевод] Все знают, где ты находишься — можешь убедиться сам
Прошло больше двух месяцев после того, как я опубликовал свой первый пост о передаче данных местоположения сторонним приложениям. За это время я пообщался со многими людьми из этой сферы: с членами некоммерческих организаций, сражающихся за права на конфиденциальность данных в разных странах до...
[Перевод] Почему в индустрии фотокамер такой беспорядок с форматами RAW, и что говорят производители?
Когда вы настраиваете новую камеру или даже делаете фото с некоторых смартфонов, перед вами возникает выбор: JPG или RAW? Фото в JPG изначально готово к публикации практически везде, в то время как RAW — это сырой файл с дополнительными данными, дающими широкие возможности для пост-обработки. Такая...
[Перевод] О скрытии сообщений в эмодзи и взломе казначейства США
30 декабря 2024 года, пока большинство из нас суетились в преддверии празднования Нового года, Казначейство США готовило для Финансового комитета Сената США важное уведомление. В нём сообщалось, что его системы, которые, очевидно, содержат особо чувствительные конфиденциальные данные, были взломаны...
[Перевод] Как мы взломали цепочку поставок и получили 50 тысяч долларов
В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой исследователи безопасности находят уязвимости и сообщают о них, получая за это вознаграждение. Однако...
[Перевод] Отладка приложения, которое не хочет, чтобы его отлаживали
Недавно я столкнулся с приложением, которое: Блокирует прикрепление к нему отладчиков. Выполняет преждевременный выход при попытках инъецирования кода. Приводит к вылету телефона целиком, если запустить её со включённым джейлбрейком (!). По последнему пункту: кто вообще так делает??? Всё, что мы...
[Перевод] Ад — это чересчур уверенные в себе разработчики, пишущие собственную криптографию
Чересчур уверенные в себе разработчики, пишущие собственный криптографический код, были проклятием отрасли информационной безопасности ещё до того, как она вообще стала отдельной отраслью. Само по себе это необязательно плохо, несмотря на то, что одна из аксиом информационной безопасности запрещает...
[Перевод] Хакаем любую Субару с доступом к Интернету
Введение 20 ноября 2024 года я и Шубхам Шах обнаружили уязвимость безопасности в сервисе автомобиля Subaru, подключённого к STARLINK. Он предоставил нам неограниченный целевой доступ ко всем автомобилям и аккаунтам пользователей в США, Канаде и Японии. Благодаря доступу, полученному через эту...
[Перевод] Станет ли ИИ катастрофой для сквозного шифрования?
Недавно я обнаружил потрясающую новую статью How to think about end-to-end encryption and AI, написанную группой исследователей из Нью-Йоркского и Корнеллского университетов. Я очень рад прочтению этой статьи, потому что, хоть не согласен со всеми её выводами, она стала первой попыткой ответа на...
[Перевод] Бюджетный квадрокоптер на базе ESP32 своими руками
За последние годы дроны стремительно переросли из нишевых хобби-девайсов в гибкие инструменты, применяемые для множества всевозможных задач — от фотографии до сельского хозяйства и даже военной сферы. В зависимости от назначения, характеристик и способности нести полезную нагрузку подобные...
[Перевод] Как долго можно извлечь данные из RAM после отключения компьютера?
Для обеспечения сохранности содержимого Dynamic RAM (DRAM) его необходимо периодически обновлять. Если значение какого-то бита поменяется самопроизвольно, то можно считать, что память работает не так, как должна. JEDEC (Joint Electron Device Engineering Council — организация, среди прочего,...
[Перевод] PyMyFlySpy: отслеживание полёта по бортовым данным
«Где мы, папа», — спросил меня 5-летний сын. «Мы приземлимся примерно через час», — ответил я. «Да нет, я имею в виду, где мы? Мы ещё не пролетаем Италию?» Точно ответить я не мог. Это был недолгий перелёт по низкому тарифу без удобств в виде встроенных в подголовники кресел экранов. Тогда я...
[Перевод] MomBoard: E-Ink дисплей для родственника с амнезией
Моя матушка страдает амнезией, и примерно два года назад я поставил у неё дома E-Ink дисплей, чтобы упростить ей самостоятельную жизнь. В итоге этот дисплей прекрасно работает по сей день, и я решил поделиться основными моментами его настройки для тех, кому он может пригодиться в похожих ситуациях....
Назад