Рубрика «информационная безопасность» - 2

Взлом Amazon Echo и Google Home для защиты приватности - 1

Специалисты по безопасности скептически относятся к понятиям «умный дом» и «интернет вещей». Производители норовят собрать побольше данных о пользователях, что чревато утечками. Недавно Amazon отправила по неверному адресу 1700 разговоров одного пользователя с домашним помощником Alexa.

Это единичный случай, но Amazon сохраняет аудиозаписи на своих серверах, как и Google. Домашний помощник вроде Amazon Echo и Google Home — это полноценный жучок, который пользователь сам устанавливает в доме, добровольно соглашаясь на прослушку. Пока нет доказательств, что такие устройства ведут запись без произнесения слова-триггера, но технически ничто не мешает им это делать.

Project Alias призван изменить положение вещей и вернуть контроль людям.
Читать полностью »

[] Реализация honeypot на маршрутизаторах Cisco - 1

Пришла в голову мысль сделать на маршрутизаторе Cisco некое подобие известного пакета fail2ban, используя средства только самого маршрутизатора.

Работает это так. В списке доступа, прикреплённом к интерфейсу граничного интернет-маршрутизатора, создаются правила-ловушки. Когда правило срабатывает, в лог записывается событие. Каждая строка такого события содержит специальную метку, чтобы их легче было отобрать. Лог анализируется, и все попавшие в ловушку IP адреса заносятся в специальную объектную группу. Эту группу можно использовать в том же списке доступа, чтобы забанить доступ злоумышленникам уже ко всем IP адресам и портам нашей сети.

Для понимания этой статьи нужно знать, что такое списки доступа (access lists), и для чего они нужны, а также знать, как использовать в списках доступа объектные группы (object-group).
Читать полностью »

Руководство и шпаргалка по Wireshark - 1Даже поверхностное знание программы Wireshark и её фильтров на порядок сэкономит время при устранении проблем сетевого или прикладного уровня. Wireshark полезен для многих задач в работе сетевого инженера, специалиста по безопасности или системного администратора. Вот несколько примеров использования:

Устранение неполадок сетевого подключения

  • Визуальное отображение потери пакетов
  • Анализ ретрансляции TCP
  • График по пакетам с большой задержкой ответа

Исследование сессий прикладного уровня (даже при шифровании с помощью SSL/TLS, см. ниже)

  • Полный просмотр HTTP-сессий, включая все заголовки и данные для запросов и ответов
  • Просмотр сеансов Telnet, просмотр паролей, введённых команд и ответов
  • Просмотр трафика SMTP и POP3, чтение писем

Читать полностью »

На The Pirate Bay перестали появляться новые торренты - 1

У The Pirate Bay 2018 год был особенно сложным. Попытки (и не всегда безуспешные) разделегировать домен ресурса, нехватка средств на содержание трекера, атаки со стороны правительственных органов разных стран и компаний. Все это привело к тому, что в работе The Pirate Bay стали возникать перебои, причем довольно часто.

Администрация ресурса не особо распространялась о проблемах, но они были, и немало. Но вполне может быть, что 2019 год станет еще более сложным, или уже стал. Дело в том, что ко всем проблемам прибавилась еще одна — на The Pirate Bay перестали появляться новые торренты. За прошедшие выходные на ресурсе никто ничего не выложил, что довольно странно.
Читать полностью »

Решение суда США: власти не имеют права заставлять человека разблокировать телефон пальцем или лицом - 1

Власти США не могут заставить гражданина разблокировать телефон, защищённый биометрическими методами, такими как сканирование лица (типа Face ID) или сканирование пальца (Touch ID и проч.). Хотя биометрическая защита легко поддаётся взлому, но сам пользователь имеет полное право отказаться от участия в этой процедуре и никто не может его принудить. Такое решение 10 января 2019 года приняла федеральный судья в Окленде, Калифорния.

Ранее было принято решение, что Пятая поправка распространяется на пароли и пинкоды: разглашение пароля приравнивается к самооговору. Но полиция считала, что всё равно может брать палец или использовать лицо подозреваемого для разблокировки телефона. Теперь все методы аутентификации уравнены в правах: любое принуждение человека к разблокировке телефона запрещено Пятой поправкой, которая защищает от дачи показаний против себя. Аналогичная статья есть в Конституции РФ.
Читать полностью »

На Pwn2Own предлагают Tesla Model 3 тому, кто взломает систему защиты электромобиля - 1

Конференция CanSecWest привлекает многих специалистов по информационной безопасности. Рассказать о собственных достижениях в плане проверки на прочность защищенных и не очень систем хочется многим. Кроме того, в рамках конференции обычно проводится конкурс профессионалов по кибербезопасности Pwn2Own.

Об этом конкурсе часто пишут на Хабре с указанием достижений победителей. В этом году победитель может пойти домой не пешком, а уехать на новенькой Tesla Model 3. Компания Tesla предлагает свой электромобиль тем специалистам, кто сможет взломать систему защиты транспортного средства.
Читать полностью »

Интервью с багхантером Артёмом Московским. Он взломал Steam и получил самую крупную награду в истории Valve - 1

Артем Московский — багхантер, пентестер и безопасник которому сразу хочется задать стыдный вопрос «сколько ты зарабатываешь?» В прошлом году он получил самое большое вознаграждение в истории Valve — $20 тыс и $25 тысяч за две крупные уязвимости в Steam и еще $10 тыс за баги поменьше.

Мы переписывались несколько дней, и Артем рассказал, как начал заниматься своим делом, какие скиллы для этого нужны, и не тянет ли с таким талантом на темную сторону.
Читать полностью »

Пару месяцев назад я начал заниматься проектом под названием malicious-packages (ака "вредоносные пакеты"). Он следит за обновлениями в npm репозитории, скачивает все новые модули, а затем проверяет их на вшивость — ищет сетевую активность, подозрительные операции с файловой системой и т.д. Даже маленькие проекты на node.js часто имеют большое дерево зависимостей, и у разработчиков физически нет возможности проверить их все. Это даёт злоумышленникам огромный простор для манёвра, и возникает вопрос — сколько же всякой гадости прячется по тёмным углам npm registry? 180000 проверенных пакетов спустя я получил примерный ответ.

image

Читать полностью »

Security Week 03: 2019 — год приватности - 1Ладно, может и не весь 2019 год, и вообще предсказания — штука сложная и неблагодарная. После громкого заголовка выскажемся точнее: важные новости начала января почти все так или иначе посвящены приватности. В 2018 году вопросы ценности данных, собираемых с клиентов сетевых сервисов, а также проблемы бесконтрольного использования этих данных впервые начали обсуждаться широко. Виной тому стал скандал с социальной сетью Facebook и массовым сбором данных пользователей соцсети даже не самим Фейсбуком, а какими-то непонятными левыми фирмами, с последующим широким применением, в том числе и на выборах.

Специалистам и тем, кто в теме, давно уже было понятно: интернет-гигантам известно про нас почти все. Где мы находимся, о чем мечтаем, сколько зарабатываем, чем болеем, сколько стоим в пробках, за кого голосуем на выборах, из чего на праздники был салат. Более широкое обсуждение темы и, возможно, более серьезное давление на компании, собирающие информацию, — это в целом неплохая штука. Она может привести к окончанию своеобразной эпохи Дикого Запада на рынке данных. Главное, чтобы в погоне за приватностью не пострадало качество сервисов, тоже зависящее от персональных данных пользователей.
Читать полностью »

Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера - 1

Один из клиентов GoDaddy обратил внимание, что хостер внедряет в HTML-страницы своих пользователей посторонний JavaScript.

На админской стороне никаких скриптов не было, а со стороны клиента в коде появился <script></script> с комментарием от хостера.
Читать полностью »