Рубрика «информационная безопасность» - 699

One Time Secret – после прочтения сжечь
Если Вы когда-либо беспокоились, что данные, которые вы пересылаете по Сети (пароли, адреса, места встречи), то onetimesecret.com может вам помочь.

Данный сервис позволяет создавать одноразовые «секреты» — отправив секрет, вы получаете одноразовую ссылку на него, после перехода по которой секрет удаляется.
Читать полностью »

Поддерживая тему троллинга сайтов государственной важности, представляю Вашему вниманию дефейс очередного говносайта «Департамента спорта ХМАО-Югры».
Хочу отметить, что в ХМАО-Югре очень мало толковых веб-разработчиков и достаточно часто сайты бюджетных учреждений делают школьники, что в последствии приводит к таким резултатам:
Дефейс сайта департамента спорта хмао югры
Сайт в таком состоянии находится не двух недель и «единственное решение», предложенное владельцами сайта — добавить в игнор лист этот сайт. Производится рассылка всем учреждениям округа с просьбой ограничить доступ к этому сайту.
Читать полностью »

Около года назад приобрел камеру D-Link DCS-2121.

Исследуем firmware камеры D Link DCS 2121

Вот ее краткие характеристики:

  • Разрешение 1 Мп
  • Микрофон
  • Поддержка WiFi
  • Web-интерфейс для доступа к данным
  • Запись на SD-карту
  • Детектор движения
  • Внешние логические выходы для подключения к сигнализации

Установлена она была дома, подключена к zoneminder для видеонаблюдения и записи.
Для упрощения доступа сделал «секретную» страничку на домашнем веб-сервере, защищенную паролем, чтобы домашние могли заглядывать в камеру, находясь вне дома. Понятное дело, что на эту «секретную» страничку может заглянуть любой, и это меня здорово беспокоило – никак нельзя понять, смотрит сейчас кто-нибудь в камеру или нет. Отказаться от странички тоже не было возможности по некоторым причинам, не суть важно.

D-Link во все свои устройства встраивает linux. Решил на досуге «поковыряться» в прошивке, вдруг смогу найти в ней что-нибудь интересное.
Читать полностью »

«Доска позора» с юзерами, выдающими приватную информацию

18-летний студент юрфака и PHP-разработчик Колум Хэйвуд (Callum Haywood) запустил настоящий социальный эксперимент на сайте We Know What You’re Doing («Мы знаем, что ты делаешь»). Сайт вытягивает информацию об отдельных пользователях через Facebook Graph API выкладывает её на всеобщее обозрение. Причём выкладывает не просто так, а с разбивкой по категориям: 1) список пользователей, которые «хотят, чтобы их уволили» с соответствующими цитатами из социальной сети; 2) список пользователей, которые находятся в похмелье с цитатами и фотографиями; 3) список тех, кто только что закурил марихуану или принял другой наркотик; 4) список пользователей, которые опубликовали свой новый номер телефона.
Читать полностью »

В одном из смежных топиков зашел разговор о безопасности беспроводного шифрования, и, в частности, дурацкой «уязвимости» Hole196. Когда-то я писал по этому поводу здесь. Рекомендую к прочтению, кому интересно.
Читать полностью »

Как сообщил блог одного из лидирующих технических новостных сайтов TechRadar, хакерам удалось получить базу данных с именами их пользователей, мейлов, дат рождений и хешей паролей.

На TechRadar произошла утечка личных данных пользователей

Это не первый случай взлома подобного размера. Ранее утечки данных были обнаружены на LinkedIn и Last.fm.

Не понятно, в каком виде «унесли» хеши паролей и сколько из счетов подверглись реальному взлому.

Читать полностью »

Facebook в своём стиле взял и заменил в профилях (таймлайнах) пользователей все адреса сторонних почтовых сервисов, таких как @_gmail.com или @_mail.ru, на свои адреса @_facebook.com. У кого раньше не было почтового адреса facebook.com — тому система автоматически сгенерировала его и сделала главным. Прежний адрес электронной почты ушёл в глубины сайта и не демонстрируется в качестве контактной информации.

Оказывается, это очень просто — поменять почтовые адреса нескольким сотням миллионов человек. Главное, действовать смело и решительно.
Читать полностью »

Под катом — инфографика, которая едва ли открывает что-то новое для специалистов. Её основное достоинство — наглядное изображение типичных схем работы с беспроводными сетями, которые могут грозить кражей данных и другими проблемами безопасности. Там же даны и довольно очевидные правила поведения, обеспечивающие сравнительно безопасную работу с Wi-Fi.

Хорошо подходит для распечатки и вывешивания в каком-нибудь офисе.
Читать полностью »

Сетевая недокроссплатформенность

Здравствуйте! В этой статье я хотел бы поделиться своим опытом с начинающими разработчиками, которые учатся писать мобильные приложения, но еще не очень далеко продвинулись на этом поприще. Если быть точным — я бы хотел рассказать, как писать переносимый код и проектировать приложения, которые будут работать как на «родных» .NET-платформах (Windows Phone 7 и настольные приложения Windows), так и на портированных версиях .NET для мобильных платформ, таких как Monotouch и Monodroid.Читать полностью »

Мысль о том, что «Если пользователи найдут баги в нашей системе, то лучше заплатим им мы, чем они продадут информацию хакерам», которую довольно давно эксплуатируют Google, Facebook, Samsung, Mozilla также сочла удачной и платежная система PayPal.

Директор по информационной безопасности PayPal Майкл Баррет (Michael Barrett) объявил о том, что его компания начинает программу по выплате вознаграждений для независимых разработчиков, которые смогут обнаружить уязвимости в программном обеспечении или архитектуре платежной системы.

Компетентным пользователям (имеющим PayPal-аккаунт, поскольку именно на него будут выплачиваться вознаграждение) предлагается сообщить в компанию, если ими будет обнаружена одна из следующих уязвимостей: Cross-site scripting (XSS), cross-site request forgery (CSRF), SQL injection (SQLi), а также за описание возможности обойти механизм аутентификации пользователей на сайте системы.

Имеется нюанс — заранее о размере выплат не говорится. Каждый случай будет рассматриваться инженерной командой PayPal и, в зависимости от серьёзности рассматриваемого случая, будет приниматься конкретное решение о величине вознаграждения. В этом смысле Mozilla поступает честнее — фонд сразу декларирует, что разработчик получит сумму от $500 до $3000 за найденные баги в продуктах; аналогично поступает и Google — за рядовые уязвимости поисковый гигант платит по $500, однако за информацию об опасных дырах Google готов заплатить более значительную сумму — также $3000.
Читать полностью »