Рубрика «информационная безопасность»

 

Ты пират и я пират: 70% молодых шведов-мужчин качают нелицензионный видеоконтент - 1
После того, как об иске правообладателей к Bredbandsbolaget стало известно, сотни шведов вышли на улицы для участия в акции протеста (Источник: FREDRIK PERSSON/AFP/Getty Images)

Оплотом цифрового пиратства в Европе считаются страны СНГ. Это, в первую очередь, Россия, Украина, Белоруссия и другие государства. Речь сейчас идет не о распространении пиратского медиаконтента, а о его потреблении. Почему в этих странах потребителей нелицензионного контента больше, чем тех, кто соглашается платить за фильмы, музыку, софт? Можно было бы подумать, что причина в низком уровне дохода на душу населения. В целом по этому показателю в СНГ все не так и плохо, все не так уж плохо, но хуже, чем в большинстве стран Западной Европы.

Но данные исследования уровня пиратства в Швеции, проведенного аналитической компанией Mediavision, показывают, что связь между доходами населения и количеством «пиратов» не такая и явная. Как оказалось, нелицензионный контент активно качают граждане одного из самых богатых государств Европы — Швеции. Согласно отчету Mediavision, здесь пиратами можно назвать 70% молодых мужчин.
Читать полностью »

image

Идея редактирования переменных окружения пользователя для повышения прав при тестировании на проникновение стара как мир. По этой теме написано множество статей, и даже в книгах начали появляться советы по использованию абсолютного пути вместо относительного. Вот пример такого совета из довольно известной книги Unix и Linux. Руководство системного администратора (4 издание):

…
Рекомендуем взять за правило при вводе команды указывать полное имя, например /bin/su или /usr/bin/su, а не просто su. Это послужит определенной защитой от тех программ с именем su, которые преднамеренно были прописаны в переменной среды path злоумышленником, намеревавшимся собрать хороший “урожай” паролей.
…

Но так ли это безопасно? Если вы тоже задавались этим вопросом, то добро пожаловать под кат.

Читать полностью »

Комментарии к записи Что делать когда в самолете скучно — запустить Google Chrome на спинке кресла отключены

Думаю, что многие из вас пользовались медиа центром на спинке кресла дорогих авиакомпаний, или хотя бы видели, как он работает. Там можно смотреть фильмы, музыку и даже играть в примитивные игры на джойстике.

image

Но что делать, если это устройство много часов у вас перед глазами, а вам очень скучно?
Конечно же, искать уязвимости и недочеты интерфейса!
Находить их, а потом отправлять в техническую поддержку, чтобы их исправили.

Что я собственно и сделал, но опубликовал способ обхода интерфейса до исправления недочетов.
Если хотите узнать почему я так поступил, что находится под интерфейсом медиа центра и что делает тех поддержка Turkish Airlines в свободное время — читайте под катом.
Читать полностью »

Опечатка в коде официального кошелька Zerocoin позволила украсть криптовалюты на $648 тыс - 1
Курс Zcash (ZXC) в течение последнего месяца во время того, как неизвестный злоумышленник или злоумышленница обналичивал(-а) средства

16 февраля 2017 года группа разработчиков Zerocoin нашла баг в официальной реализации Zerocoin. Оказалось, что в коде присутствует опечатка — единственный лишний символ, случайно добавленный при наборе на клавиатуре. Из-за этой опечатки была возможность проводить транзакции без соответствующей траты монет. То есть можно было перечислять деньги, не снимая их с кошелька.

К сожалению, опечаткой в коде уже воспользовались нечистые на руку и не имеющие совести персонажи, которые увели с кошельков Zerocoin криптовалюты в эквиваленте на $648 тыс.
Читать полностью »

Google опять раскрыла незакрытую уязвимость в WIndows - 1

Второй раз за три месяца разработчики из компании Google раскрыли баг в операционной системе Windows до того, как Microsoft выпустила патч. Теоретически, теперь несколько недель кто угодно может эксплуатировать критическую уязвимость, доступную на всех компьютерах под Windows.

Считается, что публичное разглашение информации — самый эффективный способ поторопить вендора с выпуском патча. Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.

В данном случае уязвимость обнаружена в подсистеме Windows GDI (Graphics Device Interface), то есть в библиотеке gdi32.dll.
Читать полностью »

История — это опыт, который позволяет современному поколению не наступить вновь на грабли. Но в программировании, как и в других активно развивающихся областях, такой идеальный сценарий не всегда возможен. Почему? Потому что появляются новые языки программирования, многие процессы становятся сложнее, а машины умнее. В этой статье я приведу две реальные истории. Что их объединяет? Во-первых, время — все они произошли в СССР; во-вторых, люди — каждая история могла пойти по другому сценарию, если бы главные герои не проявили свои лучшие/худшие человеческие качества; в-третьих, конечно же, программирование, иначе статья была бы просто неуместна в нашем блоге.

Picture 6

Читать полностью »

Я должен знать, о чём ты думаешь: прозрачность мышления ИИ как необходимое условие - 1

Как многие из вас знают, в 2015 году Стивен Хокинг, Элон Маск и сотни учёных, разработчиков искусственного интеллекта и крупных бизнесменов подписали открытое письмо, в котором подчеркнули опасность ИИ для существования человечества и призвали сообщество инженеров и учёных не создавать искусственные интеллекты, которые не могут полностью контролироваться человеком. В 2016-м на конференции Code Conference основателю Space X и Tesla задали вопрос: какие компании, разрабатывающие сегодня ИИ, вызывают у него опасения? На это ответил, что сейчас его пугает лишь одна из них. Какая — не сказал. И несмотря на все уверения техноадептов в том, что ИИ — исключительно благо, цена пренебрежения механизмами безопасности может оказаться непомерной высока.Читать полностью »

Не доверяйте SUDO, она может вас подвести - 1

Всем доброго времени суток, в этой статье постараюсь описать некоторые способы обхода ограничений на исполнение команд в ОС Linux, советы по использованию которых можно часто встретить на различных форумах. Демонстрация будет проведена на примере задания Restricted shells с сайта Root-Me. И так, начнём.Читать полностью »

Суд вынес приговор украинскому кардеру Мухе, который прислал 1 г героина Кребсу и позвонил в полицию - 1Карма всё-таки существует, а плохие поступки не остаются безнаказанными. Украинский киберпреступник Сергей Вовненко, известный под никами Fly (Муха), Flycracker и MUXACC1, владелец подпольного кардерского форума, получил-таки 41 месяц тюремного заключения. Именно этот парень несколько лет назад терроризировал известного журналиста Брайана Кребса. Он пытался подставить Брайана, когда отправил ему по почте 1 грамм героина и позвонил в полицию с сообщением о распространении наркотиков. К счастью, Брайан заблаговременно внедрился на русскоязычный форум и заранее узнал о планах Сергея, так что успел предупредить полицию.

Кребс уже подробно рассказывал об этой истории. В русскоязычном киберпреступном мире Брайана люто ненавидят за его расследования и доксинг участников сообщества. В 2013 году один из хейтеров под ником Fly начал присылать Кребсу издевательские твиты и ссылки на вредоносные страницы, вероятно, пытаясь подсадить трояна на его компьютер. В своём ЖЖ-блоге Муха тоже развернул активную кампанию, публикуя копии кредитных отчётов, домашний адрес Кребса, карту местности с его домом, фотографии входной двери и другие конфиденциальные детали о журналисте.
Читать полностью »

Security Week 07: RSA и искуcственный интеллект, безопасность Android, госрегулирование IoT - 1На этой неделе расцвела пышным цветом, растеклась по лугам и долинам, распустилась и опала главная конференция по информационной безопасности — RSA Conference 2017. Конференция, в отличие от мероприятий типа Blackhat или нашего собственного Security Analyst Summit, немножко маркетинговая. Исследований по безопасности там почти нет (у нас есть, а так не очень), зато красивых слов об инновационных технологиях — много. Слова тоже нужны: хочется того или нет, инфобезопасность давно перестала быть чисто техническим феноменом, превратившись в социальный. Возможно из-за того, что в прошлом году я был на мероприятии, а в этом — нет, в этот раз слова с RSA я воспринимаю с несколько большей долей скепсиса.

Может быть так происходит и потому, что инфобезопасный маркетинг в последнее время часто строится на некоем ожидании чуда. Пока технарь ждет, когда соберется проект, иной маркетолог мечтает о голубом вертолете с волшебником, который прилетит и решит все, абсолютно все проблемы. Но нет. Показательным примером дисбаланса между мечтами и суровой реальностью стал семинар, посвященный технологиям будущего — конкретно искусственному интеллекту и квантовым вычислениям — в переложении на киберзащиту (новость).
Читать полностью »