Рубрика «хакерство» - 3

Привет! Меня зовут Антон Карпов, в Яндексе я руковожу службой информационной безопасности. Недавно передо мной встала задача рассказать школьникам — студентам Малого ШАДа Яндекса — о профессии специалиста по безопасности. Я решил, что вместо скучной теории, которую и так можно прочитать в учебниках (да и что расскажешь за одну лекцию!), лучше рассказать историю компьютерной безопасности. На основе лекции я подготовил этот короткий рассказ.

Как ни крути, а информационная безопасность у многих прочно ассоциируется с хакерами. Поэтому и рассказать я хочу сегодня про хакеров и их историю. В наши дни под хакером понимается злоумышленник, который делает что-то нелегальное, взламывает какие-то системы с материальной выгодой для себя. Но это далеко не всегда было так.
Читать полностью »

Разработчики мобильных приложений зачастую сталкиваются с необходимостью хранить конфиденциальные данные пользователя на пользовательском устройстве. Это могут быть, например, номер кредитной карточки или аутентификационные данные. В этой статье мы поговорим о типичных ошибках реализации хранения конфиденциальных данных с точки зрения информационной безопасности на примере мобильной платформы iOS.
Обычно настройки приложения хранятся в конфигурационных файлах. Библиотека Cocoa Touch, используемая при разработке приложений для мобильной платформы iOS, предоставляет слой абстракции для хранения настроек приложения в классе NSUserDefaults. Класс NSUserDefaults реализует нелюбимый многими шаблон проектирования «Одиночка» (более известный как Singleton), предоставляя доступ к интерфейсу над стандартным конфигурационным файлом приложения.
Стандартный файл конфигурации приложения располагается в его домашней директории по относительному адресу Library/Preferences/<your.company.name>.<app.name>.plist. Как и другие файлы, расположенные в «песочнице», он не доступен на чтение для других приложений пользовательского уровня. Исключения составляют устройства, подвергнутые модификациям политики безопасности системы (jailbroken-устройства).
Многие разработчики по достоинству оценили удобство работы с классом NSUserDefaults. Подавляющее число приложений используют его для хранения внутренних настроек и/или настроек пользователя. К сожалению, удобство использования редко коррелирует с безопасностью. Хранение конфиденциальных данных пользователя в стандартном файле настроек является типичной ошибкой разработчиков, приводящей к утечке пользовательской информации.
В результате исследования исходного кода Приложения А на наличие ошибок в контексте информационной безопасности было выявлено, что приложение сохраняет данные аутентификации пользователя в конфигурационном файле настроек. Загрузив Приложение А на iPad под управление оригинальной операционной системы iOS версии 6.1.3, мы прошли стадию аутентификации и принялись за исследование файла настроек приложения.

image
Рис. 1. Загрузка приложения на iPad

Для демонстрации уязвимости мы использовали приложение iExplorer, доступное для операционных систем семейств Windows NT и Mac OS X. Приложение iExplorer представляет собой графический файловый менеджер для устройств под управлением iOS. Находим Приложение А в списке установленных приложений и открываем Library/Preferences/<settings-name>.plist на чтение.

image
Рис. 2. Внешний вид приложения iExplorer c доступом к нужному файлу

image
Рис. 3. Конфигурационный файл с конфиденциальной информацией

Читать полностью »

В четверг власти Швеции сообщили о том, что они выдадут сооснователя The Pirate Bay Готтфрида Свартхольма Варга Дании, где его обвиняют в хакерских атаках.

На данный момент Свартхольм отбывает срок в Шведской тюрьме за взлом компьютером компании обслуживающих налоговую службу. Выдача Свартхольма Дании состоится 27-го ноября на основании июньского заявления датских властей о том, что Готтфрид Свартхольм в апреле-августе 2012 года занимался нелегальным скачиванием файлов принадлежащих полиции.
Читать полностью »

image
10 сентября Компания «Крок» проводила конференцию, на которой докладчиком был Кевин Митник.
Для меня этот человек — кумир и легенда (я диплом писал отчасти по его книгам), поэтому попасть на его выступление было для меня делом чести.
Узнал я о конференции за 3 дня до ее начала и официально попасть мне на конференцию не удалось.
Что ж, у Митника я многому научился, и поэтому, пустив в ход социальную инженерию, я осуществил физический доступ (проникновение на охраняемый периметр).
Под катом краткий конспект выступления
Читать полностью »

Недавно автор, не пожелавший раскрывать свое имя, опубликовал интересное исследование, из которого он сделал следующие выводы:

Каковы размеры Интернета?

Считать можно по-разному. На момент исследования было зарегистрировано 420 млн. IP-адресов, отвечавших на запросы по команде ping, плюс еще 36 млн. адресов с одними или несколькими открытыми портами. Таким образом, около 450 млн. адресов можно однозначно считать функционирующими и доступными для всех пользователей Интернета.

Читать полностью »

Интервью с CYBERMANIACЕсли вы знаете, и помните человека под ником CYBERMANIAC, для вас этот разговор будет похож на внезапное обнаружение половины студенческой зарплаты во внутреннем кармане старой куртки. Для тех кто никогда не слышал о Станиславе, я думаю будет тоже интересно почитать о небольшой, но уникальной искре времени начал интернета в далеком от столиц городов России глазами CYBERMANIAC'а. Он мне показался неизменным с 00 годов да и настолько изолированным, что очень уж захотел написать о нем.

Мы осторожно поговорим о жизни программиста в глубинке, о языках программирования с момента появления их в России: Forth, Borland Pascal, Delphi ,C#, MegaBasic, Java, SQL, C++. о япоском языке, о змеях, о национальных напитках, о Сократе, о советских объективах, о звездах, человеческих страхах.

CYBERMANIAC носит в себе большой опыт в крекинге, написании утилит, автор Neo Sign 0f Misery, древней электронной книги “Теоретические основы крегинга”, а так же автор многим любимого windows scanner и большого фотолюбителя-звездочета. Интервью получилось многим больше, чем я расчитывал. Но надеюсь, для вас будут звучать колокольчиками похожие мысли. Именно их мы и слушаем, когда читаем…
Читать полностью »

Я уже больше 8 лет продаю свои программные продукты, и первые лет 5 основной проблемой была даже не реклама, а защита от хакеров. Не я один замечал резкую «просадку» продаж при выходе взломанной версии. — просто почитайте SWRUS или раздел Shareware на RSDN.

Я не буду касаться этичности или законности взлома программ, а расскажу о решении, которое при копеечной стоимости полностью избавило меня от взломов. Думаю, оно применимо для 90% десктопного софта.

Суть проста: перенести данные пользователя к себе на сервер, тогда взлом десктопного инструмента потеряет смысл. Ломать онлайновую систему — задача посложнее, кроме того я легко могу улучшать ее защиту по мере необходимости, что невозможно в случае разошедшейся по торрент-трекерам инсталляхи.

Первые варианты защиты использовали FTP, но проблемы возникали в моменты пиковой нагрузки: не всегда канала сервера хватало на обслуживание аплоада. Кроме того, возникал вопрос целостности файлов — бывали ошибки, что в случае со сжатыми данными попросту «уничтожало» их.

Читать полностью »

Ленты новостей запестрили заголовками о повышении уровня киберпреступности в России. Статистические данные показывают, что доходы интернет-мошенников за последний год повысились в разы. Но больше всего нас поразило то, как эта информация подается.

image

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js