Эксперты-криминалисты ФБР при помощи «третьей стороны» (вероятно, израильской компании Cellebrite) сумели расшифровать данные на iPhone 5c, который принадлежал стрелку из Сан-Бернардино.
Читать полностью »
Рубрика «брутфорс» - 3
ФБР всё-таки взломало iPhone вопреки желанию Apple
2016-03-29 в 7:49, admin, рубрики: apple, Cellebrite, iOS, iphone, NAND-зеркалирование, брутфорс, информационная безопасность, смартфоны, ФБР, метки: CellebriteПочему важно не выдавать пользователям простой пароль
2015-12-30 в 10:56, admin, рубрики: брутфорс, гос. порталы, дневник, информационная безопасность, образование В начале года во всех (ну почти) школах Москвы ввели новый электронный дневник. Его использование было обязательно. Разработчиком этого «великолепного» творения был Департамент ИТ города Москвы. Хоть и красивый дизайн, который доступен пользователям Chrome, внушал, что журнал хорош, на деле было наоборот. Фронтенд был написан на Angular, который, используя API дневника, получал все пользовательские данные. Из-за большой нагрузки со всех школ Москвы или плохой оптимизации, скорость работы дневника была низкой и иногда он даже не был доступен. Учителя жаловались о том, что оценки не выставляются и домашнее задание не сохраняется. Ученики и их родители были не довольны кривым отображением расписания и сообщений от учителей. По поводу отсутствия кроссбраузерности и поддержки мобильных девайсов на фоне всего не очень сильно переживали. Также кроме багов и медленной скорости работы была и «особенность».
Читать полностью »
Ботнет из тысяч взломанных роутеров Aethra использовался для атаки на WordPress-сайты
2015-12-27 в 13:03, admin, рубрики: Aethra, ddos, wordpress, брутфорс, информационная безопасность, Италия, роутеры 
Итальянская компания VoidSec, работающая в сфере информационной безопасности, опубликовала материал о недавно обнаруженном ботнете из роутеров Aethra. Как оказалось, эти устройства подвержены взлому, а злоумышленники используют ботнеты из таких устройств для проведения брутфорс-атак на сайты WordPress.
Одна из таких атак была обнаружена специалистом компании, когда тот анализировал логи WordPress-сайтов, подвергшихся атаке. Как оказалось, атака шла с довольно близкого диапазона IP-адресов. После детального анализа оказалось, что атака осуществлялась с IP, отнсящихся к 6 интернет-провайдерам: Fastweb, Albacom (BT-Italia), Clouditalia, Qcom, WIND, и BSI Assurance UK. 4 провайдера работают в Италии. Большинство этих компаний устанавливают клиентам роутеры Aethra.
Читать полностью »
Новый алгоритм для проверки надёжности паролей
2015-10-25 в 11:14, admin, рубрики: zxcvbn, брутфорс, информационная безопасность, пароли, энтропия, метки: zxcvbnМногие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких:
'password' => [
'required',
'confirmed',
'min:8',
'regex:/^(?=S*[a-z])(?=S*[A-Z])(?=S*[d])S*$/',
];
К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1. С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.
Некоторые специалисты говорят, что это не лучший вариант.
Читать полностью »
Расшифровка паролей Ashley Madison
2015-09-14 в 9:41, admin, рубрики: Ashley Madison, xkcd, брутфорс, информационная безопасность, пароли 
Месяц назад в открытый доступ попали более 36 млн парольных хешей пользователей сайта для супружеских измен Ashley Madison. Скачать базу можно, например, с этого торрента (также дамп № 2 и дамп № 3 в даркнете через гейт).
Пароли обработаны хеш-функций bcrypt. На первый взгляд, такая защита кажется относительно надёжной. Но специалисты из хакерской группы CynoSure Prime решили не тупо брутфорсить bcrypt, а покопаться в исходном коде бэкенда и фронтенда Ashley Madison (исходники доступны по вышеуказанному торренту). Они изучили непосредственно алгоритм хеширования.
Читать полностью »
Сможет ли Ello стать достойной альтернативой Facebook?
2015-08-03 в 9:52, admin, рубрики: ello, Facebook, linkedin, twitter, анализ, брутфорс, дизайн, Дизайн в IT, интерфейс, информационная безопасность, обзор, обзор сервисов, социальные сети, Социальные сети и сообщества, стартап 
1. Регистрация
Если Вы хотите зарегистрироваться в социальной сети Ello, введите свой email в окошко на главной странице и система отправит на него ссылку на регистрацию. Или же Вы можете попросить своих друзей отправить вам инвайт. Если Вы выберете второй способ, то код приглашения и ваш почтовый ящик будут заполнены автоматически. Вам лишь нужно ввести имя и пароль.
Но, на мой взгляд, в регистрационной форме кроется один недочет: отсутствует окно подтверждения пароля. Наличие данной формы помогло бы избежать ошибок. Альтернативным вариантом мог бы стать видимый пароль. В этом случае пользователь мог бы самостоятельно проверить правильность ввода пароля. Но этот метод нельзя назвать совершенным, т.к. человек, излишне уверенный в правильности своих действий, лишь на миг взглянет на пароль и поспешит нажать заветную кнопку «Зарегистрироваться».
Читать полностью »
Устройство для подбора pin-кодов к iPhone
2015-03-18 в 12:46, admin, рубрики: iphone, pin, безопасность, брутфорс, информационная безопасность, смартфоны 
Английские специалисты по безопасности обнаружили в продаже хитрое устройство для брутфорса pin-кодов iPhone. Стоит оно £200, а его особенность заключается в способности обойти ограничение в настройках на 10 попыток ввода. Если включить эту опцию, то после 10 неправильных попыток смартфон обычно затирает память. Но не в этом случае.
Хитрость заключается в необычном подключении устройства. Для ввода кодов оно включается в стандартный порт iPhone, для определения того, что код подошёл, используется фотодатчик, который прикрепляется к экрану. А для того, чтобы счётчик кодов не уменьшался, у смартфона нужно отключить аккумулятор и подавать питание с устройства. В результате, после каждого неправильного ввода PIN-кода устройство успевает оборвать цепь питания раньше, чем уменьшится счётчик оставшихся попыток.
Читать полностью »
Визуальный брутфорс на примере решения 3D-головоломки
2015-02-17 в 9:26, admin, рубрики: javascript, брутфорс, визуализация, головоломкаКогда-то давно друзья подарили вот такую головоломку:
Собрать её самостоятельно я так и не смог (всегда оставался один фрагмент). Посему было решено написать программу.
Для тех, кто не любит читать, решение доступно по ссылке (внимание, сильно нагружает процессор).
Читать полностью »
О том, как я был кул хацкером
2013-11-28 в 15:26, admin, рубрики: bruteforce, sql-injection, брутфорс, информационная безопасность, метки: bruteforce, sql-injection, брутфорс 
Эти две небольших истории произошли со мной когда я был молод и глуп, но скорее глуп чем молод. Наверное, каждый из вас, в свое время, увлекался чем-либо. Возможно, это увлечение пришло к вам спонтанно, из-за стечения разного рода обстоятельств, так получилось и у меня. В те далекие-далекие времена я увлекся темной стороной силы взломом сайтов. Мой интерес был праздным, я лишь начинал свой путь веб-программиста и несколько моих сайтов взломали с помощью sql-injection. Мне требовалось дополнить свои юные знания чтобы впредь подобное не повторялось, чем, собственно, я и занялся.
Ну и как многие другие, в то время я увлекался браузерными играми и решил применить свои небольшие на тот момент и на этот знания в коварных целях. Читать полностью »
Защита сайта от спамеров и угона аккаунтов
2013-10-14 в 12:22, admin, рубрики: брутфорс, Веб-разработка, защита сайта, информационная безопасность, спам, метки: брутфорс, защита сайта, спам 
В этой статье не будет ничего принципиально нового, однако некоторым будет весьма интересен взгляд со стороны спамера (уже бывшего) со стажем. Идея написать на хабр пришла давно, после прочтения этой статьи, которая только вызвала улыбку. Так уж вышло, что давным-давно, во времена учебы в университете, я искал удаленную работу, поскольку на стипендию трудно выживать, не говоря уже о каких-то развлечениях. Тогда один товарищ пригласил меня в компанию, где работал сам. Работа была простая – оставлять где угодно ссылки на определенные сайты, попутно добавляя к ним какое-то сообщение, т.е. обычный спам. Тут, как понимаете, абсолютно никакая капча, проверка cookies или javascript не спасет ситуацию, поскольку регистрируется настоящий человек с помощью обычного браузера. По поводу автоматических спамилок ситуация похожая, если они разновидности «заскриптованный браузер». Однако есть способы усложнить жизнь спамерам и, если не полностью убрать, то значительно снизить поток спама на свой сайт.