Pull to refresh
  • by relevance
  • by date
  • by rating

А мужики-то не знают: защита в Wordpress 2.4, дыры и апдейт в 2.3 и подсветка синтаксиса

WordPress *
Пока пишутся большие посты и другие программы, сделаю небольшой обзор того, о чём следует знать, если не каждому, то большинству.
Читать дальше →
Total votes 24: ↑21 and ↓3 +18
Views 1.6K
Comments 12

[Безопасность] Список дырявых плагинов WordPress

WordPress *
Все уже знают, что очередной релиз Wordpress 2.3.3 в основном призван исправить бреши в безопасности (как обычно русскую версию можно скачать у Кактуса), но гарантирует ли это, что на ваш блог не смогут посягнуть?
Читать дальше →
Total votes 10: ↑8 and ↓2 +6
Views 1.1K
Comments 10

Сканирование портов с использованием зомби.

Lumber room
     О! Интересную штуку откопал. Все вы наверное знаете, что часто взлом начинается со сканирования портов. Впрочем, часто со сканирования портов начинается не только взлом.
     Для сканирования портов применяется например тул под названием nmap. Это консольная утилита, которая умеет определять открытые порты. А так же догадываться, что за ОС стоит на атакуемой (сканируемой) машине.
     Так вот…
Читать дальше →
Total votes 37: ↑31 and ↓6 +25
Views 1.3K
Comments 7

Почему векторные иконки Haiku такие компактные?

Software
Translation
В Haiku векторные иконки такие компактные, как же так? Вы, наверное, ожидаете какой-нибудь хак, но секрет в том, что HVIF (Haiku Vector Icon Format) довольно прост. Самое главное, что этот формат оптимизирован для иконок. Как только вы соглашаетесь с этим простым предположением, сразу же приходят идеи различных способов оптимизации объёма данных.
И что же получилось?
Total votes 20: ↑19 and ↓1 +18
Views 767
Comments 24

Русификации читалки Nook: что получилось (техническая сторона)

Development for Android *
image

В общем, купил я себе читалку Nook, читал-читал несколько недель, а потом мне захотелось написать что-нибудь под нее и это начинание перешло в русифицированную прошивку, сделанную вместе с хабраюзером nilov и при помощи разных людей с nookdevs.org, включая JesusFreke и poutine.

Читать дальше →
Total votes 61: ↑52 and ↓9 +43
Views 2.7K
Comments 30

Вардрайвинг с HTC Hero

Lumber room
Не так давно я решил узнать, где находятся открытые wifi-точки в моём районе. Для этого мне потребовался ноутбук и GPS-приёмник. Ноутбук благо нашёлся довольно быстро. А вот с GPS пришлось помучаться.

Из арсенала моих гаджетов нашёлся только один, умеющий определять местоположение, и это был HTC Hero. Работающих программ, позволяющих превратить свой КПК в приёмник я не нашёл, да и все они хотели, чтобы телефон подключался по Bluetooth, что съедало бы зарядку мобильного за несколько минут.

Идея



К сожалению, Android не позволяет телефонам с официальной прошивкой работать с USB, зато он разрешает посылать логи через кабель в debugger. Я решил воспользоваться именно этим.

Реализация



Первым делом я прикрутил к своей уже написанной программе на Дройд ведение логов ( Log.i(«DroidGPS», (NMEA + "\n"));), важно было посылать логи именно в NMEA-строке. Для её формирования я вытянул класс из нерабочей программы, найденной на просторах Интернета.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 514
Comments 13

Hack Quest 2010 Online

Self Promo
С 15 декабря стартовало online-соревнование по защите информации — Hack
Quest 2010, представляющий из себя урезанную игровую инфраструктуру Hack
Quest, который проводился в конце августа на площадке фестиваля Chaos
Constructions 2010. В рамках конкурса участники могут попробовать свои
навыки в области оценки защищенности, поиска и эксплуатации уязвимостей,
реверс-инжиниринга. Игровая инфраструктура содержит уязвимости «живой
природы». Таким образом участник может почувствовать себя настоящим
взломщиком :)

Всего игровая инфраструктура Hack Quest 2010 Online содержит 17 ключей
(флагов) общей стоимостью 100 очков (баллов). Принять участие в соревновании
может любой желающий. Подробности по следующей ссылке: www.securitylab.ru/hq2010
Читать дальше →
Total votes 30: ↑27 and ↓3 +24
Views 853
Comments 5

Небольшой квест на тему WEB 2.0

Self Promo
Вашему вниманию предлагается интересный двухуровневый квест по тематике информационной безопасности в сфере технологий WEB 2.0.

Сервер: http://46.4.187.243:8080/
Задача:

Минимум – получить часть исходного кода серверной части приложения.
Максимум – добиться выполнения своего кода на стороне сервера.

Задание не типичное и довольно сложное. Успехов в прохождении!

Примечание: сервер слабенький, поэтому использовать автоматизированные средства не рекомендуется. Более того, для решения задания автоматизация не поможет :)

Автор задачи Qwazar. Подробности по ссылке: http://qwazar.ru/?p=68
Total votes 8: ↑5 and ↓3 +2
Views 505
Comments 1

Петр Митричев — победитель Facebook Hacker Cup

Social networks and communities
imageПодведены итоги Facebook Hacker Cup. Соревнование, в котором приняли участие 11768 человек со всего мира, проходит в формате решения сложных алгоритмических задач в три раунда «на вылет». Двадцать пять финалистов были приглашены в штаб-квартиру Facebook в Пало-Альто для последнего состязания.

В финал попали 7 представителей Польши, 6 — из России, 4 — из США, 2 — из Японии и по одному из Китая, Германии, Нидерландов, Сингапура, Швейцарии и Украины. Все они смогли провести 2 дня в офисе Facebook: встретиться с разработчиками, пообедать в Cafe X, поиграть Catan и попытаться прокатиться на RipStik.

Участники имели возможность выбора машины (Mac или PC), после чего начался финальный раунд. От финалистов требовалось решить три алгоритмические задачи: Party Time, Safest Place и Alien Game — как можно быстрее.

Результаты представляются на суд по мере готовности решения для каждой из задач, и по окончании двухчасового раунда подсчитвается итоговое количество баллов для каждого участника.

Условия задач можно посмотреть в блоге Facebook Engineering (впрочем, если будет спрос — я могу попробовать перевести их позже).

В итоге «золото» досталось нашему соотечественнику Петру Митричеву (участнику и призеру многих аналогичных соревнований).

UPD #1 — интересные подробности от Skiminok:
Добавлю ещё, что там была потрясающая интрига касательно победителя.
Главный соперник Митричева — Lou Tian Cheng, также известный как ACRush.
Принцип этого соревнования таков, что каждая из трех задач оценивается в 1 очко, и в турнирной таблице выше тот, у кого больше сдано задач, а при равенстве выше тот, у кого суммарное время, потраченное на каждую задачу с начала раунда, ниже. При этом финальная проверка ответов происходит только после того, как раунд закончится.

Так вот, ACRush опережал Митричева на протяжении всего раунда. Митричев сдавал те же задачи, по количеству они всегда были одинаковы — но ACRush сдавал их быстрее, мы уже и не надеялись на победу Пети. И тут раунд заканчивается, происходит финальная проверка, и у ACRush падает одна из задач с неправильным ответом, и он оказывается с двумя очками, и опускается на два места, пропуская вперед Петю с тремя решенными медленнее, но правильно.

UPD #2 — перевод собственно задач (опять же спасибо Skiminok)
Читать дальше →
Total votes 111: ↑106 and ↓5 +101
Views 4.5K
Comments 43

Перехват нажатий клавиш смартфона при помощи акселерометра

Information Security *
Translation
Двое исследователей из Калифорнийского университета в Дэвисе (UC Davis), Хао Чэнь (Hao Chen) и Лянь Цай (Lian Cai) нашли способ определять, какие клавиши были нажаты на экранной клавиатуре ОС Android путем измерения смещений, покачиваний и вибрации устройства, измеренных встроенным акселерометром [Прим. перев.: и гироскопом]. Это важно, поскольку данные от акселерометров не рассматривались как потенциальный вектор атаки, и, таким образом, свободно доступны любому приложению на любом смартфоне или планшете.
Читать дальше →
Total votes 52: ↑50 and ↓2 +48
Views 11K
Comments 70

Повстанцы дефейснули главную страницу регистратуры .LY

Domain names administrating *
.LYНаверное все в курсе последних ливийских происшествий где сейчас на улицах Триполи ведутся бои между повстанцами и силами лояльными полковнику Кадаффи. На сегодня в городе нет даже телефонной связи. Но все ливийские домены различных сервисов как bit.ly и brief.ly продолжают работать.

Читать дальше →
Total votes 27: ↑26 and ↓1 +25
Views 626
Comments 43

Канал Microsoft на Youtube был взломан

Information Security *
Канал Microsoft на Youtube был взломан 23.10.11 18:48 по Москве. Все видео из него были удалены и залиты несколько новых, первые залитые были с названиями «We Are Sponsoring !» и «Make us a Background to Get Subbox !!!». Кроме того в шапке недолго висел логотип компании Apple. За вечер внешность и содержание канала несколько раз менялось. В данный момент на нём находится видео записи тематики MS. За вечер в канале прибавилось более 700 комментариев. До этого, за всё существование канала их набралось всего порядка 1450. Сам канал www.youtube.com/user/Microsoft



Пока единственный официальный комментарий происшедшего от Microsoft гласит «Мы вернули себе контроль над учетной записью Microsoft на YouTube и работаем над восстановлением оригинального контента. Мы продолжим работать совместно с YouTube, чтобы обеспечить защиту от повтора подобных инцидентов в дальнейшем»
Хронология событий под катом.
Total votes 58: ↑43 and ↓15 +28
Views 1.2K
Comments 36

Взлом одного Android приложения

Development for Android *
Недавно я усиленно разрабатывал свое приложение под Android, и в процессе защиты платной версии понял, что довольно сложно обезопасить приложение от взлома. Ради спортивного интереса решил попробовать убрать рекламу из одного бесплатного приложения, в котором баннер предлагается скрыть, если заплатить денежку через In-App Purchase.


В этой статье я опишу, как мне удалось убрать рекламу бесплатно и в конце — несколько слов о том, как усложнить задачу взломщикам.

Читать дальше →
Total votes 76: ↑70 and ↓6 +64
Views 132K
Comments 42

За кулисами Android: что-то, чего вы можете не знать

Information Security *Cryptography *
Sandbox
Tutorial


0. Оглавление


  • 1. Предисловие
  • 2. Хак eMMC памяти HTC Desire HD с целью изменения идентификационной информации телефона
  • 3. Создание телефона-оборотня с использованием криптографии
  • 4. Ложная безопасность: обзор угроз несанкционированного доступа к данным
  • 5. Заключение


1. Предисловие


Мобильные гаджеты стали неотъемлемой частью нашей повседневной жизни, мы доверяем им свои самые сокровенные тайны, а утрата такого устройства может привести к серьезным последствиям. Сегодня много внимания уделяется освещению вопросов мобильной безопасности: проводятся конференции, встречи, крупные игроки выпускают комплексные продукты для персональной и корпоративной защиты мобильных устройств. Но насколько такие средства эффективны, когда устройство уже утрачено? Насколько комфортны они в повседневном использовании – постоянные неудобства с дополнительным ПО, повышенный расход батареи, увеличенный риск системных ошибок. Какие советы можно дать беспокоящимся за сохранность своих мобильных данных? Не хранить ничего важного на смартфоне? Тогда зачем он такой нужен – не птичек же в космос отправлять, в самом деле?
Сегодня я хочу поговорить с вами об устройствах под управлением ОС Android, созданной глубокоуважаемой мною компанией Google. В качестве примера я использую неплохой смартфон прошлых лет от компании HTC – Desire HD. Почему его? Во-первых, именно с него мы начали свою исследовательскую деятельность в области безопасности Android-устройств, во-вторых – это все еще актуальный смартфон с полным набором функций среднестатистического гуглофона. Он поддерживает все версии Android, в нем стандартный взгляд HTC на организацию файловой системы и стандартная же раскладка разделов внутренней памяти. В общем, идеальный тренажер для защиты и нападения.
С этим докладом я выступил на вот-вот только прошедшей конференции ZeroNights 2012 и теперь хочу презентовать его хабрасообществу. Надеюсь он будет вам интересен и даже немного полезен.
Читать дальше →
Total votes 108: ↑102 and ↓6 +96
Views 148K
Comments 33

На пути к созданию безопасного (веб)ресурса. Часть 3 — офис, сотрудники

Information Security *

Типичная работа сотрудника глазами самого сотрудника и глазами отдела безопасности

Первые две части данной темы были посвящены преимущественно веб-ресурсам. Эта часть более общая и не имеет как таковой привязки к профилю проекта (все же за исключением пары пунктов). Она освещает возможные, популярные векторы атак на сотрудников и на техническое обеспечение офиса компании (p.s. изначально хотел написать про security-тестирование, но решил «перепрыгнуть» эту тему в силу разных причин).

Автор не несет никакой ответственности за незаконное использование описанных методик и/или инструментов.
Читать дальше →
Total votes 39: ↑35 and ↓4 +31
Views 21K
Comments 12

Хак синтаксиса PHP

PHP *Programming *C *
Translation
Tutorial
Вы когда-нибудь задумывались о том, как расширить ядро PHP? Что нужно для того, чтобы создать новое ключевое слово или даже разработать новый синтаксис? Если у вас есть базовые знания языка C, то проблем с созданием небольших изменений возникнуть не должно. Да, я понимаю, что это может быть немного бессмысленно, но неважно — забавно ведь.

Давайте создадим альтернативный способ определения класса. Самый простой способ определения, разрешённый в PHP, выглядит следующим образом:

<?php
class ClassName {}

Мы можем упростить синтаксис и заменить фигурные скобки на точку с запятой.

<?php
class ClassName;

Если вы попытаетесь выполнить этот код, то он, очевидно, выдаст ошибку. Не проблема, мы можем это исправить.
Читать дальше →
Total votes 131: ↑93 and ↓38 +55
Views 28K
Comments 45