Рубрика «хакерство»

Девайсы для пентеста. Обзор хакерских девайсов. Часть 3: Wi-Fi + Network - 1

Дисклеймер: эта статья носит исключительно образовательный характер. Мы не поддерживаем и осуждаем любые киберпреступления. Надеемся, что эта статья поможет вам лучше организовать свою безопасность в интернете, предупрежден — значит, вооружен.

За последние годы в клирнет вышло огромное количество пентестерских устройств и постоянно появляются новые. Большинство продаётся в разрозненных магазинах по всему миру (и на алиэкспрессе в том числе), и у пентестеров появилась новая головная боль — выбирать среди десятков похожих устройств нужное или искать очередное «универсальное» решение. Наконец, крутой специалист и консультант по информационной безопасности Yago Hansen просто собрал каталог крутых девайсов, железяк и аксессуаров, доказавших свою эффективность. Сейчас каталог второй версии, в нём 177 наименований из 8 категорий. Предлагаем вашему вниманию его адаптацию в виде цикла из 7 постов (некоторые категории будут совмещены или поделены на две статьи из-за разницы в объёме).Читать полностью »

В мире интернета, как и в обычной жизни, не всегда открытая дверь означает, что всё, что за ней вынесут, а закрытая не всегда гарантия от спокойствия.

Прочность «цифровых дверей» - 1

Наш сегодняшний рассказ про несколько крупных утечек данных и финансовых краж в истории Всемирного интернета.
Читать полностью »

Девайсы для пентеста. Обзор хакерских девайсов из дарквеба. Часть 1: Мини компьютеры - 1


За последние годы в клирнет вышло огромное количество пентестерских устройств и постоянно появляются новые. Большинство продаётся в разрозненных магазинах по всему (и на алиэкспрессе в том числе), и у пентестеров появилась новая головная боль — выбирать среди десятков похожих устройств нужное или искать очередное «универсальное» решение. Наконец, крутой специалист и консультант по информационной безопасности Yago Hansen просто собрал каталог крутых девайсов, железяк и аксессуаров, доказавших свою эффективность. Сейчас каталог второй версии, в нём 177 наименований из 8 категорий. Предлагаем вашему вниманию его адаптацию в виде цикла из 7 постов (некоторые категории будут совмещены или поделены на две статьи из-за разницы в объёме).Читать полностью »

Как Секретная служба США перепутала киберпанк-RPG с учебником для хакеров - 1

Только одна книга с правилами ролевой игры имеет на обложке сообщение «Книга, конфискованная Секретной службой США!» Эта RPG — GURPS Cyberpunk, дополнение 1990 года к Generic Universal Roleplaying System, изданной Steve Jackson Games.

Утром 1 марта 1990 года автора GURPS Cyberpunk Ллойда Бланкеншипа и его жену разбудили шесть агентов Секретной службы, которые вторглись в их дом, конфисковали компьтер, принтер и даже телефон. Затем Секретная служба отправилась в офис Steve Jackson Games, где Бланкеншип работал старшим редактором, и произвела те же действия. Офис ещё был закрыт, и агенты Секретной службы едва не выбили дверь, прежде чем по-прежнему полуодетый Бланкеншип не объяснил им, что у него есть ключи.

Я спросил у Стива Джексона письмом, помнит ли он тот день, когда его компанию штурмовали агенты, первоочередная работа которых заключается в защите президента от пуль.

«Достаточно смутно», — ответил он. «Когда они вторглись в офис, я ещё не пришёл. Президент компании был там, он позвонил мне, рассказал о происходящем и посоветовал не приезжать, ведь в офис никого не впускают. Поэтому в тот день я не сталкивался с ребятами из Секретной службы, зато позже мы общались довольно долго».

Секретная служба конфисковала компьютеры, на которой работала BBS компании Steve Jackson Games (эту технологию люди использовали, когда ещё не существовало онлайн-форумов и разделов комментариев), а также все компьютеры, на которых были файлы, относящиеся к тогда ещё не опубликованной GURPS Cyberpunk. Они вскрывали коробки, повредили нож для открывания писем, пытаясь взломать закрытый канцелярский шкаф и, по слухам, съели с чьего-то стола конфеты-драже.
Читать полностью »

7 октября 2019 года директор отдела исследований PortSwigger (производителя BurpSuite) опубликовал исследование о новых подходах к HTTP Request smuggling. С их помощью он заработал на bugbounty около $70000. В этой заметке мы коротко выясним суть атаки, инструментарий, а также методики исследования веб серверов, подверженных этой уязвимости.

Читать полностью »

Тех, кого раньше бы окрестили киберпанками, сегодня величают себя более политкорректно: DevSecOps. Помните «весь спектр радуги», из легендарного фильма «Хакеры»? 1) Зелёная (всемирная среда UNIX); 2) ярко-оранжевая (критерии защиты данных компьютера по стандартам DOD); 3) розовая рубашка (справочник IBM; прозвали так из-за дурацкой розовой рубашки на мужике с обложки); 4) книга дьявола (библия UNIX); 5) книга дракона (разработка компилятора); 6) красная книга (сети национального управления безопасности; известна как мерзкая красная книга, которой нет места на полке).

Пересмотрев в очередной раз этот легендарный фильм, я задался вопросом: а что бы сегодня читали киберпанки прошлого, ставшие в наше время DevSecOps’ами? И получился обновлённый, более современный вариант этого радужного спектра:

– Фиолетовая (руководство APT-хакера)
– Чёрная (корпоративная кибер-не-безопасность)
– Красная (справочник красноармейца)
– Книга бизона (культивирование DevOps-культуры в сообществе разработчиков; названа так из-за зверя с обложки)
– Жёлтая паутина (жёлтая, в смысле злободневная, подборка уязвимостей всемирной паутины)
– Коричневая (книга багоборца)
– Книга возмездия (библия безопасной разработки кода)

От киберпанка до DevSecOps: 7 книг, ради которых DevSecOps-инженеру английский выучить всё-таки стоит - 1

Читать полностью »

По самым скромным оценкам в 2017 году общемировой ущерб от кибератак составил триллион долларов, говорится в годовом исследовании BI.ZONE за 2017-2018 год. Оценить реальный ущерб почти невозможно, поскольку 80% компаний скрывают случаи взломов и утечек. Эксперты прогнозируют, что, если ничего не предпринять, через несколько лет размер ущерба вырастет до $8 трлн.

Тренды кибербезопасности от BI.ZONE - 1

Мы в Binary District составили краткий пересказ исследования BI.ZONE, посвященного новым вызовам цифрового мира. Выбрали основные тренды в сфере киберпреступности и интересные факты из исследования, которые привлекли наше внимание: как быстро киберпреступный мир узнает об уязвимостях в MS Office, в чем проблема интернета вещей и почему выстраивание защиты своей инфраструктуры еще не гарантирует полную безопасность компании.

Читать полностью »

Приветствую, %username%. Ты готов к экшену? Поехали!

Человек по своей природе не враждебен. Ему склонно решить проблемы мирно и не
вступать в конфликтные ситуации. Мы пытаемся завоевать доверие человека и наладить
общение с ним. Социальный инженер делает все то же самое, только для собственных
корыстных целей. Он манипулирует людьми, не испытывая настоящих чувств. Социальная
инженерия – один из самых опасных типов атак.

ПРЕДИСЛОВИЕ
«Only for fun» — такой девиз мы часто использовали, атакуя какие-либо
системы. За довольно короткий период своей деятельности скопилось большое
количество материала. Передо мной встала задача, как его упорядочить. Целью
данной статьи не является обучение взлому. Это просто истории, в которых
лишь поверхностно описывается атака методом социальной инженерии. В
основном, это взлом каких-либо веб-систем, в которых важную роль играет
человеческий фактор. Сама концепция, что можно взломать что-то без единой
строчки кода, делает взлом системы интересным и уникальным. Социальная
инженерия – это не просто наука. Нет единой универсальной схемы взлома этим
способом. В каждом отдельном случае хакер разрабатывает собственный путь
к достижению конкретного результата. В данной статье раскрыты некоторые приемы социальной инженерии, и я делюсь этим с вами.
Читать полностью »

Уязвимость алгоритма хеширования в платформе MIGS - 1

С появлением кредитных карт и Интернета совершение покупок стало намного проще и, как говорят, безопаснее. Всего пара кликов и нужный Вам товар уже на пути к Вашему дому. Однако не все системы идеальны, точнее таких нет. Всегда можно найти какую-то ошибку, брешь, позволяющую злоумышленникам делать свое черное дело. Сегодня я хотел бы обратить Ваше внимание на исследование очень талантливого программиста Yohanes Nugroho, рассказавшего об уязвимости в системе MIGS.Читать полностью »

Начиналось все просто: у вас есть два набора символов (имя пользователя и пароль) и тот, кто знает оба, может войти в систему. Ничего сложного.

Однако и экосистемы, в которых они функционировали, тоже были простыми — скажем, система с разделением времени от МТИ, которая считается первой компьютерной системой, где применялись пароли.

Эволюция паролей: руководство по аутентификации в современную эпоху - 1

Но такое положение дел сложилось в шестидесятые годы прошлого века, и с тех пор много воды утекло. Вплоть до последней пары десятилетий у нас было очень небольшое количество учетных записей с ограниченным числом связей, что делало спектр угроз достаточно узким. Навредить вам могли только те, кто находился в непосредственной близости — то есть люди, которые имели возможность напрямую, физически получить доступ в систему. Со временем к ним присоединились и удаленные пользователи, которые могли подключиться через телефон, и спектр угроз расширился. Что произошло после этого, вы и сами знаете: больше взаимосвязей, больше аккаунтов, больше злоумышленников и больше утечек данных, особенно в последние годы. Изначальная схема с простой сверкой символов уже не кажется такой уж блестящей идеей.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js