Знали ли вы о том, что следующий bash-скрипт способен выполнять произвольный код, который предоставит ему пользователь в ответ на запрос скрипта о вводе данных?
Рубрика «информационная безопасность» - 62
В bash безобидная с виду конструкция [[ $var -eq 42 ]] умеет выполнять и произвольный код
2021-05-14 в 13:01, admin, рубрики: linux, ruvds_перевод, Блог компании RUVDS.com, информационная безопасность, системное администрирование![В bash безобидная с виду конструкция [[ $var -eq 42 ]] умеет выполнять и произвольный код - 1](https://www.pvsm.ru/images/2021/05/15/v-bash-bezobidnaya-s-vidu-konstrukciya--var-eq-42-umeet-vypolnyat-i-proizvolnyi-kod.jpeg "В bash безобидная с виду конструкция [[ $var -eq 42 ]] умеет выполнять и произвольный код - 1")
Автор атаки KRACK раскрыл подробности о 12 критических уязвимостях популярных беспроводных устройств
2021-05-13 в 11:01, admin, рубрики: FragAttacks, krack, Беспроводные технологии, Блог компании Selectel, гаджеты, информационная безопасность, Стандарты связи, уязвимости
Об атаке, вернее, атаках KRACK (Key Reinstallation Attacks) на Хабре писали несколько лет назад. Так называли инструменты, которые позволяют эксплуатировать критичные уязвимости в протоколе WPA2, который считается достаточно надежным. KRACK дает возможность обойти защиту и прослушивать трафик в беспроводной сети на участке «точка доступа — компьютер».
Сейчас один из организаторов группы, которая рассказала о KRACK в 2017 году, раскрыл еще несколько уязвимостей. Всего их 12, и каждая из них — критически опасна, поскольку затрагивает широкий спектр беспроводных устройств. Автора работы, о которой пойдет речь, зовут Мэти Ванхоф (Mathy Vanhoef). По его словам, атаки, информацию о которых он предоставил, представляют угрозу для подавляющего большинства популярных беспроводных девайсов — как пользовательских, так и корпоративных.
Читать полностью »
Владельца Bitcoin Fog выдал анализ блокчейна от 2011 года
2021-05-10 в 14:26, admin, рубрики: Bitcoin Fog, анализ блокчейна, анонимность, Блог компании GlobalSign, информационная безопасность, Криптовалюты, Роман Стерлингов, Управление e-commerce
Как известно, Bitcoin — не совсем анонимная система. Здесь все транзакции сохраняются и отслеживаются от начала и до конца. Поэтому для реального скрытия денег используются специальные анонимайзеры или миксеры. Они смешивают входящие транзакции на одном адресе, так что на выходе не видно, откуда пришли конкретные монеты.
Bitcoin Fog — один из ведущих миксеров. Он работал десять лет. И всё-таки в конце концов предположительного админа сервиса идентифицировали и задержали.
Это история показывает, насколько сложно сохранить анонимность в онлайне. И способ деанонимизации в данном случае особенно показателен.
Читать полностью »
Падение Slack 4 января 2021
2021-05-10 в 11:00, admin, рубрики: slack, vds, vps, Блог компании Маклауд, дешевые vds, информационная безопасность, мониторинг сервера, падение, Серверное администрирование
4 января 2021 года для многих людей во всем мире, также как и для большинства работников Slack был первым рабочим днем после нового года (за исключением специалистов горячей линии и службы поддержки, которые никогда не спят). В день Азии и утро в Европе прошло спокойно, но когда забрезжил рассвет в Америке мы стали получать сообщения от внешней службы мониторинга о росте количества ошибок. Мы начали разбираться, в чем дело. Ситуация с ошибками ухудшалась и мы инициировали процесс расследования инцидентов (о том, как у нас устроено управление инцидентами подробнее можно почитать в статье Райана Каткова (Ryan Katkov) All Hands on Deck https://slack.engineering/all-hands-on-deck/).
Как будто нам этого было недостаточно для того, чтобы окончательно испортить первый рабочий день нового года, в тот момент, мы пытались понять, что происходит, упали сервисы панелей мониторинга и оповещений. Мы связались с группой мониторинга, чтобы они попытались восстановить их как можно быстрее.
Читать полностью »
New IP — следующий этап развития Интернета или ужесточение контроля над пользователями
2021-05-01 в 10:20, admin, рубрики: huawei, IP, IT-стандарты, Блог компании VDSina.ru, информационная безопасность, сетевые протоколы, Сетевые технологии
В Китае жизнь превратилась в компьютерную игру. Или даже в эпизод «Черного зеркала». Там с 01.01.2021 принят новый гражданский кодекс, официально узаконивший «Систему социального кредита». Теперь каждому гражданину присваивается стартовый рейтинг в 1000 баллов. Благодаря вездесущим камерам видеонаблюдения, Единый информационный центр анализирует каждого по 160 тысячам различных параметров из 142 учреждений. Если рейтинг больше 1050 баллов, то это образцовый гражданин и маркируется индексом ААА. С 1000 баллов можно рассчитывать на А+, а с 900 – на B. Если рейтинг упал ниже 849 – это уже «мутная личность» из категории C, кого запросто могут уволить из государственных и муниципальных структур. Те, у кого меньше 600 баллов попадают в группу D, это сравнимо с «чёрной меткой». Люди с рейтингом D не могут устроиться на нормальную работу, им не дают кредиты, не продают билеты на транспорт и даже могут отказать в аренде велосипеда. Для сравнения, человеку с рейтингом А+ велосипед в аренду дадут бесплатно и еще разрешат полчаса кататься на нем без единого юаня. Человек со средним рейтингом С велосипед дадут только под залог в 200 юаней.
В Китае аналогичный принцип ранжирования людей применяют и в Интернете. А компания Huawei решила пойти дальше и разработала новый стек протоколов, с которым провайдеры могут блокировать доступ в Сеть любого пользователя с низким рейтингом.
Откуда в стране почти без интернета хакеры: что мы знаем о севернокорейской хакерской группировке Lazarus
2021-04-30 в 7:01, admin, рубрики: vds, vps, Блог компании Маклауд, взломы, выгодные vps, дешевые vps, информационная безопасность, северная корея, хакеры, Читальный зал
Что мы знаем о Северной Корее? Да почти ничего. Как минимум, нам известно, что у этой замечательной страны имеется руководитель Шрёдингера (то ли жив, то ли нет), которого время от времени подменяет на ответственном посту симпатичная сестренка. Еще у них, вроде бы, есть атомная бомба и ракеты, причем последние временами даже летают. Наконец, злые языки утверждают, будто Северная Корея — одна из немногих стран, обладающих собственной группировкой хорошо обученных боевых хакеров. Но это, ясное дело, тоже не точно. Как подобное удалось государству, где с компьютерами и интернетом дела обстоят примерно как с копчёной колбасой в позднем СССР — все знают, что это такое, но доступно это благо только избранным? Вот об этом мы сегодня и поговорим.
Читать полностью »
Обман обманщиков: форк-бомба нового уровня
2021-04-29 в 11:57, admin, рубрики: linux, ruvds_переводы, безопасность, Блог компании RUVDS.com, информационная безопасность, Настройка Linux, системное администрированиеСразу предупреждаю: не копируйте примеры кода из этой статьи и не запускайте их в своей командной оболочке.
Есть люди, которые развлекают себя жестокими шутками над новичками, обманом подводя их к запуску разрушительных инструкций в командной оболочке.
Часто это принимает форму грубо замаскированных команд, вроде той, что показана ниже. Её запуск приведёт к выполнению в текущей директории команды rm -rf *, которая всё удалит. Вот эта команда:
$(echo cm0gLXJmICoK | base64 -d)
Много лет назад я наткнулся на людей, которые играли в такие игры, и решил их проучить.
Читать полностью »
S в аббревиатуре IoT означает «Security», или Как я лампу хакнул
2021-04-29 в 9:45, admin, рубрики: IoT, безопасность, Блог компании VDSina.ru, гаджеты, Интернет вещей, информационная безопасность, Разработка для интернета вещей
Недавно мне выдали пару настольных светодиодных ламп, чтобы улучшить освещение для видеосовещаний. Это простые ламы с тремя элементами управления: включение-отключение, температура, яркость. Благодаря тупиковому стремлению создавать IOT-устройства с приложением для монетизации данных пользователей управление температурой и яркостью — это не просто регуляторы на лампе, нет, они управляются проприетарным приложением, которые вы вынуждены (если вы, конечно, его не хакнете, но об этом позже) скачать на свой телефон или компьютер. Кроме того, для установки приложения необходимо принять условия пользовательского соглашения. После установки приложения нужно «активировать» лампу в приложении, подключив её к WiFi и Интернету.
Полный стек лампы
Теперь это не просто лампа, а целый компьютер и точка доступа к WiFi. Кроме того, он требует установки на телефон или компьютер проприетарного приложения, для которого невозможно провести аудит безопасности. Права владения — главная мера степени конфиденциальности, безопасности и свободы; если вы не владеете устройством полностью, то вами владеет разработчик (и производитель) устройства. Единственный способ вернуть лампу себе в собственность — это взломать её.
Читать полностью »
Белогривые лошадки. Как облачные технологии меняют мир
2021-04-26 в 8:57, admin, рубрики: ruvds_статьи, безопасность в сети, Блог компании RUVDS.com, будущее, Интернет вещей, информационная безопасность, облачные сервисы, облачные технологии
Предсказывать будущее — дело неблагодарное: говорят, в этом преуспел разве что Нострадамус да одна слепая болгарская старушка. Вместе с тем, некоторые тенденции развития IT-технологий явно намекают нам на то, что уже в ближайшей перспективе вычислительные мощности и возможности девайсов будут расти, а сами эти устройства — становиться проще и дешеветь. Как такое возможно? Ответ прост: облака.
Читать полностью »