Pull to refresh

RAdmin. Знаете ли вы что…

Information Security *
Знаете ли вы, что radmin версий до 2.2 позволяет делать перебор паролей по сети со скоростью, ограниченной каналом и мощностью машины? Говорят, в 2.2 исправили, не проверял.

Знаете ли вы, что в radmin версий до 2.2 при авторизации по паролю, клиент передаёт на самом деле хэш пароля, который сервер хранит открытым в реестре, поэтому «подпатченный» клиент может соединяться по украденному ключу.

Знаете ли вы, что в radmin версии 2.1 (дальше не знаю) используется библиотека zlib с древней дырявой версией?

Знаете ли вы, что radmin пользуется собственными алгоритмами шифрования, чудесным образом совпадающими с Twofish?

Знаете ли вы, что реально существуют (и можно нарыть, чуток поискав) компоненты ActiveX, которые осуществляют перебор пароля radmin на произвольном количестве IP и проверку реестра компьютера на наличие хэша пароля radmin, на котором исполняются?

Знаете ли вы, что есть готовые perl-скрипты, осуществляющие перебор пароля к radmin?

Вот так вот.
Total votes 10: ↑6 and ↓4 +2
Views 7.3K
Comments 18

Google Hacking Database

Information Security *
В обсуждении недавно опубликованной мною ccылки на поиск по коду, сожержащему пароли доступа к MySQL базам промелькнула ещё одна интересная ссылка.

Google Hacking for Penetration Testers
Некто Джонни оказывается ведёт целый каталог подобных ссылок, именуемый Google Hacking Database (GHDB). Там же представлена книжка по использованию возможностей Google. Просто праздник какой-то :)
Total votes 21: ↑19 and ↓2 +17
Views 11K
Comments 0

«Диггеры» взломали Netscape.com

Lumber room
Вчера сайт Netscape.com был взломан. Хакеры использовали уязвимость Cross Site Scripting (XSS) в свежем движке новостной службы, которая нагло копирует сайт Digg.

Как известно, портал Netscape.com открылся в обновленном виде в июне 2006 г. После своего «второго рождения» он стал почти точной копией Digg и полностью изменил собственную концепцию. Это вызвало массовое недовольство пользователей и возмущение фанатов Digg. Тем более что директор Netscape.com в весьма наглой манере предложил самым активным пользователям Digg сумму $1000 в месяц за то, что они перейдут к нему.

Хакеры (очевидно, это фанаты Digg) через уязвимость XSS внедрили собственные скрипты на страницы Netscape.com, в том числе на главную страницу. Эти скрипты выводили на экран пользователя системное сообщение с каким-нибудь комичным текстом и переправляли его на сайт Digg.com. Скриншоты можно увидеть здесь, здесь и здесь.
Rating 0
Views 402
Comments 3

iXBT.com был атакован арабскими хакерами

Lumber room
Форум популярного сайта iXBT.com 28 июля оказался взломан группой арабских хакеров «Team-Evil». «Вы убиваете палестинский народ, мы убиваем израильские серверы» («u KILL palestin people, we KILL Israeli Servers»), — гласил текст, размещенный хакерами на главной странице конференции.

Вероятно, взлом явился следствием недавнего обсуждения «Израиль и Ливан – начинается война на Ближнем Востоке?», которое оказалось самым популярным 28 июля на компьютерном форуме. В настоящее время сервера ресурса вновь в действии.
Rating 0
Views 515
Comments 0

Продавец аккаунтов eBay арестован в Бресте

Lumber room
В марте 2006 г. многие мировые СМИ сообщали о появлении сайта, на котором можно купить чужой аккаунт eBay и PayPal. Аккаунт с количеством отзывов менее десяти стоил $5, с количеством отзывов более пятидесяти — $25, оптовым покупателям скидки.

Торговцы аккаунтами осуществляли свою деятельность через сайт ebayseller.cc (Кокосовые острова). Поскольку вся информация на сайте была на русском языке (см. скриншот), то под подозрение попали русские хакеры.

Истина оказалась совсем рядом. Начинающий хакер, взломавший аукцион eBay, на днях был задержан в Бресте. Представители правоохранительных органов рассказали, как им удалось вычислить хакера. Дело в том, что юный белорус не соблюдал все необходимые правила конспирации. Он впервые сел за компьютер всего три года назад.
Rating 0
Views 2K
Comments 0

Взломаны сайты Кевина Митника

Lumber room
Сайты Кевина Митника, в прошлом опасного киберпреступника, оказались взломаны в минувшее воскресенье. Неизвестный хакер, вероятно – из Пакистана, вскрыл 4 сайта Митника и оставил там вульгарное послание, заодно расписавшись в любви к своей девушке.
«Вместо биографии Митника, его статей и текстов о чинной консалтинговой деятельности все воскресенье на сайтах defensivethinking.com, mitsec.com, kevinmitnick.com и mitnicksecurity.com висело похабное сообщение, оставленное хакером-взломщиком», — сообщает CNET.com.

«Хостинг-провайдер, обслуживающий мои сайты, был атакован, — подтверждает Митник. – К счастью, не держу никаких конфиденциальных данных на своих ресурсах, так что ничего серьезного не произошло. И, конечно, я убрал то сообщение – кому такое понравится».
Напомним, Митник печально известен своим арестом, последовавшим после активной мошеннической деятельности в интернете. В 1995 году хакер был пойман ФБР и посажен в тюрьму на 5 лет. Сейчас Митник занимается консалтингом в сфере обеспечения компьютерной безопасности.
Rating 0
Views 680
Comments 0

Хакеры взломали 650 тыс. аккаунтов Second Life

Lumber room
Всем жителям виртуальной вселенной Second Life настоятельно рекомендуется поменять пароли доступа к игре. В результате грандиозного взлома хакерам удалось скопировать базу данных с приватной информацией обо всех 650 тыс. игроках. Кроме паролей, в базе хранились также их имена и адреса.

Как сообщается, для доступа к базе злоумышленники воспользовались дырой в свободном wiki-движке TikiWiki в справочном разделе на сайте.

Компания-разработчик игры Linden Lab уверяет, что вторая база данных с информацией о кредитных картах осталась нетронутой, так что финансовому состоянию пользователей ничего не угрожает.
Rating 0
Views 417
Comments 0

Хакеры взломали один из сайтов РБК

Lumber room
30 сентября аналитикам «Лаборатории Касперского» поступило сообщение о непонятном поведении веб-браузеров при открытии страницы top.rbc.ru: Internet Explorer со всеми выпущенными «заплатками» аварийно завершал свою работу; Firefox работал, но при этом «съедал» около 400 МБ оперативной памяти.

В процессе анализа страницы аналитики «Лаборатории Касперского» обнаружили в её коде ссылку, ведущую на сайт, зарегистрированный в домене pp.se. По этой ссылке обнаружился скрипт, содержащий эксплойт уязвимости, описанной в Microsoft Security Advisory (926043).

Эксплойт скачивает на атакуемый компьютер новую версию троянца Trojan-PSW.Win32.LdPinch — ayj, которая затем отсылает все отчёты с паролями злоумышленникам через «гейт», расположенный на том же сайте.
Rating 0
Views 407
Comments 6

Взломан официальный блог Google

Lumber room
Неизвестные хакеры взломали официальный блог Google и опубликовали в нем фальшивое сообщение о том, что Google прекращает тестирование сервиса “click-to-call”.

Сервис “click-to-call” (телефонные звонки, которые инициируются щелчком по баннеру) является дополнительным сервисом AdWords и сейчас проходит тестирование. Недавно компания Google подписала соглашение с компанией eBay, в соответствии с которым они, возможно, объединят свои системы “click-to-call”.

Представители Google очень сухо прокомментировали этот инцидент. Они сказали, что взлом стал возможен из-за дыры в движке Blogger. Баг быстро устранили, а фальшивое сообщение было удалено.

Тем не менее, фальшивая новость успела разойтись по интернету под видом настоящей. Это можно воспринимать как первый звоночек о больших фейках, которые станут возможны в будущем. Их целью может быть манипулирование курсом акций или провокация.
Rating 0
Views 352
Comments 0

Взлом защиты FairPlay поможет конкурентам Apple

Lumber room
Очередная «музыкальная» защита взломана. На этот раз жертвой хакера стала система FairPlay от Apple, позволявшая владельцам плееров iPod прослушивать приобретённые в Интернете файлы только на iTunes.

22-летний норвежец, живущий в Сан-Франциско, уже успел отметиться на ниве предоставления пользователям прав на защищённые медиа-файлы. Именно он в возрасте 15 лет смог вскрыть коды защиты DVD.

На данный момент Apple не позволяет прослушивать на других системах музыку, купленную в их онлайн-магазине. Система FairPlay также не даёт прослушивать на iPod файлы, купленные в магазинах других компаний. По статистике, ITunes занимает 88% американского рынка легальных медиа-файлов, а iPod используют 66% меломанов этой страны.

Специалисты поясняют, что этот «взлом» – по сути просто изменение технологии, которое позволит конкурентам Apple предоставить свой контент владельцам iPod. В этой связи стоит отметить, что Microsoft, Nokia, Sony Ericsson и Samsung Electronics анонсировали создание собственных сервисов по продаже музыки.
Rating 0
Views 413
Comments 2

Взломана DRM-защита AllOfMP3

Lumber room
На прошлой неделе музыкальный магазин AllOfMP3.com выпустил альфа-версию программы “Music For Masses”, предназначенной для бесплатного прослушивания композиций из обширной коллекции веб-ресурса. Единственная загвоздка заключается в том, что для воспроизведения треков необходимо быть подключенным к интернету, а поделиться музыкой с друзьями не представляется возможным.

Впрочем, уже нашелся умелец, который поможет пользователям AllOfMP3 избавиться от этих маленьких неприятностей. Появившаяся в интернете программа с дерзким названием “Music For Me” взламывает DRM-защиту музыкальных файлов и делает из них обычные MP3-композиции, пригодные для проигрывания любым плеером в любое удобное время. Теги ID3 при этом остаются прежними, меняется только название файла.
Rating 0
Views 289
Comments 9

AllOfMP3.com залатал дыру в DRM

Lumber room
Обнаруженная уязвимость в программе “Music For Masses” на днях была устранена.

Сервис “Music For Masses”, как известно, позволяет бесплатно прослушивать любые музыкальные композиции с сайта AllOfMP3.com. Однако их нельзя сохранить на диск, а для воспроизведения необходимо находиться в онлайне. Уязвимость же позволила создать хакерское приложение “Music For Me”, которое взламывает DRM-защиту музыкальных файлов и делает из них обычные MP3-композиции, пригодные для проигрывания любым плеером в любое удобное время.

Однако, два дня назад некий блоггер на сайте Digg.com сообщил о том, что во время работы программы “Music For Masses” ему было предложено загрузить обновление, после чего взлом защиты и сохранение файлов на диск оказалось невозможным. Разумеется, в комментариях к записи многие выразили мысль, что новая уязвимость расставит все по местам.
Rating 0
Views 334
Comments 7

Google выдал полиции поисковые запросы преступника

Lumber room
Благодаря поисковику Google полиции удалось доказать вину Мэтью Шустера — работника компании Alpha Computer Service, уволенного и обиженного. После того как его выставили на улицу, Мэтью попытался взломать беспроводную сеть компании.

Его роковой ошибкой стало использование Google — Шустер вводил в строку запроса фразы вроде: «how to broadcast interference over wifi 2.4 GHZ», «wireless networks 2.4 interference» и «interference over wifi 2.4 GHZ». Это его и сгубило: поисковые запросы фигурировали в суде как доказательство вины. В результате Шустера приговорили к 15 месяцам тюремного заключения и $20 тыс. штрафа.

Каким же образом было доказано, что все эти запросы вводил именно Мэтью Шустер? Security Lab предполагает, что Google либо фиксирует IP-адреса посетителей, либо регистрирует поисковые запросы пользователей, зарегистрировавшихся в различных сервисах.
Total votes 10: ↑8 and ↓2 +6
Views 594
Comments 12

Windows Vista: шесть уязвимостей за месяц

Lumber room
Шесть серьёзных уязвимостей было обнаружено в операционной системе Windows Vista экспертами по безопасности и простыми хакерами за месяц существования её на рынке, пишет блог Monkey Bites.

В частности, описана ошибка в браузере Internet Explorer 7, позволяющая злоумышленникам скрытно устанавливать вредоносные программы на компьютере пользователя при посещении им инфицированных сайтов. Кроме того, сообщалось о возможности отключения Microsoft Exchange Server при помощи отправки зараженного email-сообщения.

Наконец, совсем недавно российский программист опубликовал информацию об уявимости, обнаруженной им в нескольких операционных системах Microsoft, включая и Windows Vista. Прореха, которую прозевали разработчики, позволяет расширять права пользователя ОС.

Завершает все эти мрачные события сообщение компании Trend Micro, сотрудники которой нашли на японской электронной «доске объявлений» предложение о продаже информации о новой уязвимости в Windows Vista за жалкие $50 тыс.
Total votes 14: ↑14 and ↓0 +14
Views 290
Comments 11

В сети BitTorrent появился фильм в формате HD DVD

Lumber room
Видеопираты в очередной раз заявили о своём полном презрении различных схем защиты контента от копирования, разместив в сети BitTorrent «сграбленный» фильм «Миссия Серенити» в формате HD DVD. Размер EVO-файла, который доступен всем желающим, составляет 19,6 Гбайт.

Как сообщает Ars Technica, эту новость предваряло сообщение о том, что защита от копирования дисков HD DVD была взломана анонимным программистом, скрывающимся под ником Muslix64, который воспользовался пакетом BackupHDDVD (им же, по свежим данным, и написанным), распространяемым как open-source.
Total votes 9: ↑9 and ↓0 +9
Views 405
Comments 15

Сайт Михаила Горбачева взломан

Lumber room
В субботу днем возобновил свою работу сайт фонда Михаила Горбачева, закрытый после того, как он был взломан группой хакеров, разместивших на заглавной странице политические заявления и критику в адрес бывшего лидера СССР.

Взломщики, судя по всему выходцы из Азербайджана, обвинили Горбачева в жестоком подавлении народных волнений в 1990 году, когда советские войска практически взяли Баку штурмом в ночь с 19 на 20 января. Тот месяц стал известен в стране как «Черный январь». Волнения тогда сопровождались погромами в домах армянского населения.

Никаких комментариев от потерпевшей стороны пока не поступило.
Total votes 11: ↑6 and ↓5 +1
Views 286
Comments 10

Хакер обворовывал счета, сидя в тюрьме

Lumber room
Молдавский хакер похищал деньги с банковских счетов прямо из тюремной камеры. Местные правоохранительные органы сообщили, что за два месяца Александр Мельник и два его подельника, один из которых ранее был работником ограбленного банка, сумели похитить с клиентских счетов более 185 тыс. леев (примерно $14,2 тыс.).

Имея в камере портативный компьютер и мобильным телефон, Мельник подключался к интернету и взламывал систему безопасности одного из молдавских банков, передает Regions.ru. Получив доступ к цифровым кодам счетов, он передавал их сообщникам, которые подделывали банковские карты и обналичивали деньги.

Сейчас все соучастники арестованы, и ждут суда. Им предъявлены обвинения в нарушении статей «Хищения в особо крупных размерах» и «Изготовление или применение фальсифицированных банковских карт или других платежных документов». Стоит отметить, Мельника посадили в тюрьму именно из-за воровства с банковских счетов.
Total votes 11: ↑10 and ↓1 +9
Views 637
Comments 8

Владельцам ботнетов дали слишком малые сроки

Information Security *
В минувший вторник голландский суд приговорил к тюремному заключению двух хакеров, организовавших сеть типа «ботнет», состоящую из нескольких миллионов компьютеров. Злоумышленники, молодые люди 20 и 28 лет, собирали личные данные пользователей, чтобы затем использовать их eBay и PayPal-аккаунты для совершения онлайновых покупок.

Одному хакеру дали два года, второму — 18 месяцев. Оба они уже «отмотали» свои сроки в ходе предварительного заключения, поэтому их выпустят на свободу. Кроме того, им придётся заплатить весьма символические штрафы в размере 4 тыс. и 9 тыс. евро, пишет CNet.

Специалисты полагают, что такая мера наказания является слишком мягкой. Эксперты считают «ботнеты» самой главной угрозой интернету.
Total votes 12: ↑10 and ↓2 +8
Views 2K
Comments 7

Apache vs IIS

Information Security *
Ругать безопасность Windows и хвалить Linux — это уже как речевой штамп. Никто уже особо и не задумывается, почему это происходит, поскольку классическое «Microsoft suxx» как бы объясняет все и сразу.

Но добрый человек Richard Stiennon подошел к этому более серьезно. На примере одной и той же несложной задачи — отдача веб-сервером HTML-страницы с картинкой — он построил карту системных вызовов.

Читать дальше →
Total votes 31: ↑26 and ↓5 +21
Views 17K
Comments 46

Американский умелец превратил Optimus Mini Three в видеоплеер

Gadgets
Некому Скотту Хансельману, с помощью ряда хитростей удалось превратить трехкнопочную клавиатуру Артемия в видеоплеер с тремя дисплеями.
Конечно, качество изображения, с учетом габаритов кнопок, оставляет желать лучшего, но все же…

Описание процесса «взлома» Optimus Mini Three можно прочитать на страницах блога Хансельмана.

источник: lenta.ru
Total votes 16: ↑12 and ↓4 +8
Views 437
Comments 5