Pull to refresh
  • by relevance
  • by date
  • by rating

Dropbox уязвим изначально?

Information Security *
imageВ последние несколько дней по интернету стали ходить статьи с заголовками вроде “Dropbox небезопасен”, “Обнаружена серьезная уязвимость в Dropbox” и т.п. Я, как пользователь дропбокса, решил разобраться, в чем же тут дело. Русскоязычные источники информации, как это обычно бывает, пестрят громкими заявлениями в духе “Все пропало!!!!!!!!”, а ссылку на первоисточник указывать считают дурным тоном. Под катом я расскажу, как дело обстоит на самом деле.
Все пропало!!!!!
Total votes 175: ↑165 and ↓10 +155
Views 15K
Comments 124

VeriSign требует больше прав по контролю за доменными именами

Lumber room
Компания VeriSign, поддерживающая домены первого уровня .com, .net. и .name и являющаяся одним из 12 владельцев корневых DNS-серверов, запросила у ICANN более широкие права для осуществления контроля за использованием доменных имен. В частности, компания добивается возможности блокировать домены по запросу правоохранительных структур без следования установленным правовым процедурам.

Во вторник VeriSign направила соответствующий запрос в RSEP (Registry Services Evaluation Process). Обращение в RSEP является основным механизмом, который используют регистраторы для серьзных изменений в своих отношениях с ICANN. Документ, озаглавленный «Anti-Abuse Policy» и выложенный в сеть ICANN, разъясняет предложенные изменения (см. PDF). Если данные предложения будут приняты, компания сможет отказывать в регистрации новых доменов, а также блокировать, или отзывать уже зарегистрированные без соответствующего решения суда.
Читать дальше →
Total votes 44: ↑42 and ↓2 +40
Views 301
Comments 41

Ваш wi-fi расскажет мне, где вы живёте, где работаете и где путешествуете

Information Security *

Москва вайфайная

Многие знают, что ваши мобильные устройства распространяют информацию об их предыдущих соединениях. Большинство не имеет об этом представления.

Пробы WiFi


Чтобы соединиться с уже известными сетями, которые не сообщают о своём присутствии, все ваши мобильные устройства отправляют пробные пакеты, чтобы найти известные им сети. Эти пакеты можно перехватить, когда телефон включается, или когда он отсоединяется от сети. Для этого используются обычные инструменты — airodump / tcpdump. Пример:

# airodump-ng -w wifi-dump wlan0
# tcpdump -n -l -e -r wifi-dump.cap |
    grep 'Probe Request ([^)]'


Вывод содержит время, MAC-адрес устройства и имя сети. Пример:

16:32:26.628209 BSSID:ff:ff:ff:ff:ff:ff DA:ff:ff:ff:ff:ff:ff SA:50:ea:d6:aa:bb:cc
    Probe Request (SUBWAY) [1.0 2.0 5.5 11.0 Mbit]


То бишь, устройство 50:ea:d6:aa:bb:cc проверяло, есть ли сеть SUBWAY в пределах доступности.

Ну и что тут плохого?


Ну испускают они эти пакеты с именами сетей. Подумаешь.
Читать дальше →
Total votes 64: ↑61 and ↓3 +58
Views 139K
Comments 51

В Google Chrome 42 отключена поддержка Unity Web Player и Java

Java *Google Chrome Browsers
Recovery mode

Пролог


Сегодня в веб-интерфейсе одного из используемых мною продукта на месте джавовских апплетов я обнаружил уродливые заглушки с надписью «Плагин не поддерживается». Ну мало ли, может джава устарела, пойду-ка обновлю.

Зашёл на java.com, скачал апдейт, поставил, а там

image

Читать дальше →
Total votes 62: ↑57 and ↓5 +52
Views 228K
Comments 245

Security Week 31: новости с Blackhat

«Лаборатория Касперского» corporate blog Information Security *
Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей. Соответственно, конференция говорит о проблемах, но почти не обсуждает решения. И не потому, что решений нет, просто такой формат. Интересно, что на роль конструктивного собрания о методах защиты претендует февральская RSA Conference, но и там пока наблюдается некий разрыв шаблона: через кулуары бизнес-митингов с применением терминов «митигация», «комплексная стратегия», «методика реагирования на инциденты» рано или поздно пробегает некто в худи с громким криком «ААААА, ВСЕ ПРОПАЛО!1».

Пожалуй, это нормально: бизнес относительно IT-безопасности спозиционирован между морковкой всеобъемлющей защиты и тачанкой киберпреступности. Так и движется, мотивируемый и подгоняемый, в сторону светлого будущего безопасного инфопространства. Cегодня я позволю себе отойти от привычного формата и расскажу о некоторых интересных докладах с BlackHat. Пост не претендует на полноту, конференция еще продолжается: первое и второе уже подали, но компот долетит уже на следующей неделе.

tl;dr Сломали автомобили, шифрование, Android, почту, кредитки, всех обманули зараженными флешками. Интернет был сломан давно, за прошедший отчетный период не починился.
Все выпуски сериала доступны по тегу.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 7.6K
Comments 2

Мнение хабра: отключать или нет крупный сайт задолжавший 450 000 рублей?

Hosting IT Infrastructure *

Вечером 8го сентября, был отключен от всемирной паутины первый сайт рунета о культурной и клубной жизни geometria.ru. Причиной отключения послужила задолженность в полмиллиона рублей перед другой заслуженной организацией — сетью дата-центров Selectel.

Под катом не будет слезливой истории про то, кто прав, а кто виноват. Я хочу просто описать ситуацию в целом, услышать мнение хабражителей о ней, а также какой выход из подобной ситуации вам бы показался наиболее правильным, столкнись вы с подобным, независимо от стороны баррикад.
Читать дальше →
Total votes 60: ↑37 and ↓23 +14
Views 36K
Comments 197

JD.com Россия — самоуничтожение запущено

Information Security *
JD.com в России (грубо говоря, конкурент Aliexpress) преследует череда неудач. Точнее, они сами провоцируют эти неудачи, пытаясь захватить российский рынок. Постоянный маркетинговый обман и ввод в заблуждение клиентов привели к тому, что поток помоев на голову JD от российских клиентов просто не иссякает. Но 23 октября в JD.com решили, что пришло время захватить Россию целиком и окончательно. Но получилось так, что они выстрелили себе в голову.


Читать дальше →
Total votes 72: ↑59 and ↓13 +46
Views 147K
Comments 150

У Star Citizen финансовые проблемы?

Crowdsourcing
Recovery mode

Многие, вероятно, слышали про проект Star Citizen, про их успешную краудфандинговую компанию. История получила продолжение. CIG, создатели Star Citizen, игры, которая собрала $150 миллионов, сумму, превышающую во много раз первоначальные запланированные $6 млн, подала заявку на заём в банк. При этом всё, что связано с проектом, они отдают как заём: IP, ассеты, весь код, права на распространение и т.п.
Читать дальше →
Total votes 21: ↑17 and ↓4 +13
Views 13K
Comments 13

Холодные кошельки криптобиржи QuadrigaCX, основатель которой умер, оказались пустыми

Finance in IT Cryptocurrencies

В самом начале февраля этого года на Хабре публиковалась новость о том, что основатель и руководитель канадской криптобиржи QuadrigaCX умер. Его смерть стала проблемой не только для семьи и друзей, но и для всех клиентов криптобиржи.

Дело в том, что доступ к холодному хранилищу имел лишь основатель, он не сообщал пароль никому. И свою тайну он унес в буквальном смысле слова в могилу. По словам вдовы погибшего предпринимателя клиенты криптобиржи хранили на кошельках компании около $143 млн в криптовалюте и фиате. Считалось, что большая часть суммы хранится на холодных кошельках. Но сейчас оказалось, что они пусты.
Читать дальше →
Total votes 47: ↑41 and ↓6 +35
Views 32K
Comments 35

Социопатам! [именно так: Социопатам, а не Авторам, принадлежит Хабр]

Habr Community management *Social networks and communities
Sandbox
Наивное понимание прикладной социологии гиков характерно для Авторов. Попробуем разобраться. Речь пойдет не о клинических социопатах, зачехлите свои огнеметы.

Мне нравятся модели Венката и Чепмена: the Gervais Principle и MOPs. Ниже вольный перевод модели Чепмена об эволюции субкультур с моими комментариями.

I.


Гиковские сообщества умерли в конце 2000-х. Не так давно сдался последний из могикан, Скотт Александр. С ним ушел целый праксис гиков. Один редактор из NYT играючи свалил мощное генеалогическое древо информационных гигантов, корни которого уходят в гимназию Фашори в Будапеште. Венгерские марсиане дали нам фон Ноймана и [вставить любого крупного математика и физика 20 века], Интернет, Фидо, Хабр.

Мне повезло, я еще застала агонию lesswrong сообщества, где каждый юзер чекал свои Байесовы прайоры перед тем, как начать пост или комментарий. Скотт был одним из самых заметных писателей на lesswrong после Элиэзера Юдковски. Его блог slatestarcodex был последним убежищем рационалистов и эффективных альтруистов в сети. Все рационалисты знают его настоящую фамилию, но упоминать ее в приличном обществе не принято. Скотт понял, что после статьи в NYT его мирок будет доступен казуалам и сознательно ушел в подполье.
Читать дальше →
Total votes 90: ↑60 and ↓30 +30
Views 11K
Comments 119