Карта Тройка представляет из себя универсальный пополняемый электронный кошелек, широко используемый в системах оплаты общественного транспорта Москвы с 2013 года.

Цель данного исследования — выяснить защищенность системы электронного кошелька от подделки баланса, оценить безопасность инфраструктуры, работающей с картой. Вся работа была выполнена без использования специальных технических средств. Использовался дешевый смартфон на платформе Android и персональный компьютер. Общее время, затраченное на исследование, составило 15 дней.

В ходе работы был успешно проведен реверс­-инжиниринг мобильного приложения «Мой проездной», что позволило получить доступ к памяти карты и изучить структуру хранения данных. Были найдены уязвимости, позволяющие выполнить подделку баланса, записанного на электронном кошельке карты Тройка. В результате чего стало возможным использование систем, поддерживающих карту, без оплаты.

Итогом исследования стала разработка приложения TroikaDumper, позволяющего эксплуатировать уязвимости системы электронного кошелька.

Внимание! Данные материалы представлены исключительно в ознакомительных целях. Подделка проездных билетов является уголовным преступлением и преследуется по закону.

Фото: Скриншот видео Telegraph.co.uk

В наше время любой человек с банковской картой и выходом в интернет может попытаться заработать на бирже. Таких людей иногда называют «дневными трейдерами» или DIY (do it yourself) трейдерами. Как обычные люди, которые никогда не работали в хедж-фондах или HFT-компаниях попадают на биржу, и каких успехов им удается добиваться (и удается ли вообще)? Именно об этом пойдет речь в нашем сегодняшнем материале.

Для эффективного управления собственной компанией необходимо иметь в арсенале несколько приложений, которые облегчат вашу жизнь. Начиная c программы учета времени и заканчивая облачными средствами интеграции данных. Эти инструменты помогут вам вести свой бизнес грамотно и рационально, без лишних затрат. Вот список бесплатных приложений, которые должны быть у каждого предпринимателя.

Биометрия это такая тема, которая сопровождается мифами и легендами. Про 99% точность, надёжность, про прорывные технологии, про распознавание людей Вконтакте. Пару дней назад была статья про Сбербанк, например. Рассказывая про биометрию очень просто манипулировать информацией: мало кто из людей чувствует статистику.

Лет пять назад я уже писал на Хабре серию статей про биометрию и то как она устроена (1, 2, 3). Как ни странно, за эти годы достаточно мало что изменилось, хотя изменения и произошли. В этой статье я попробую как можно более популярно рассказать про сегодняшние технологии, про то какой прогресс идёт и почему к словам Грефа о том, что к словам «карта, основная задача которой состоит в идентификации, уходит в прошлое» стоит относится с скептицизмом.

Нейронные сети – один из самых популярных классов алгоритмов для машинного обучения. В финансовом анализе они чаще всего применяются для прогнозирования, создания собственных индикаторов, алгоритмического трейдинга и моделирования рисков. Несмотря на все это, репутация у нейронных сетей подпорчена, поскольку результаты их применения можно назвать нестабильными.

Количественный аналитик хедж-фонда NMRQL Стюарт Рид в статье на сайте TuringFinance попытался объяснить, что это означает, и доказать, что все проблемы кроются в неадекватном понимании того, как такие системы работают. Мы представляем вашему вниманию адаптированный перевод его статьи.

Организаторы PHDays традиционно показали свое мастерство организации, как всегда что-то новое, интересное и конечно большое количество стендов под управлением SCADA систем. Редкая возможность попробовать свои силы во взломе системы жизнеобеспечения большого города, развернуть противоракетную установку и произвести выстрел, устроить железнодорожную катастрофу, затопить город, захватить управление дамбой и многое другое.

Всех участников, и мы не исключение, привлекает возможность получения опыта работы со SCADA, управляющей моделями промышленных объектов. Нам показался интересным стенд компании ИнфоТеКС — «Атака на топливный склад», который нам в итоге удалось покорить. Ниже приведена последовательность взлома, кому это интересно.

Условия конкурса «Атака на топливный склад»
Исходные данные: атака состоит из двух этапов.
1. Этап: Необходимо в «Цифровом баре» найти подсказку для начала первого этапа атаки. В результате 1 этапа атаки требуется овладеть неким «секретом» для перехода к этапу №2. Первый этап считается успешно пройденным в случае, если действия нарушителя не были замечены межсетевым экраном.
2. Этап: Получив «секрет», атакующий переходит ко второй стадии атаки. Задача – подача не авторизованной команды на розлив пунша.
Цель: Осуществить несанкционированный слив топлива объемом 50 или 100 литров.
Разрешается: Использование собственного ноутбука, с любым необходимым программным обеспечением.
Запрещается: Любое физическое воздействие на макет топливного склада. Нарушитель будет сразу отстраняется от участия в конкурсе.

Наши специалисты выпустили специальный служебный инструмент — расшифровщик (декриптор) зашифрованных вымогателем TeslaCrypt файлов. Приложение TeslaCryptDecryptor поможет расшифровать файлы тем пользователям, которые пострадали от деятельности вредоносной программы TeslaCrypt новых версий v3 и v4. Создание инструмента стало возможным после того, как киберпреступники, стоящие за его разработкой, закрыли проект, а одному из наших аналитиков удалось получить универсальный ключ для расшифровки файлов.



Один из наших антивирусных экспертов — Igor Kabina, который отслеживал деятельность этой вредоносной программы, а также связанные с ней изменения, является автором этого инструмента. Мы заметили снижение активности TeslaCrypt уже несколько недель назад, когда стало очевидно, что авторы собираются отказываться от поддержки своего «продукта». В то же время, другие киберпреступники, которые зарабатывали на распространении TeslaCrypt, стали переключаться на другой вымогатель CryptProjectXXX.

Предлагаю вашему вниманию перевод статьи «A Candid Discussion with an Algorithmic Trader» с сайта quantinsti.com).

Роль алгоритма в жизни человека слишком существенна, чтобы ее игнорировать. От простой процедуры использования кофе-машины до музыкальной системы в вашем автомобиле, от лифтов до поисковых систем, таких, как Google — все это управляется набором логических инструкций — Алгоритмов, которые позволяют нам удовлетворять наши конкретные потребности.

Относительно темпов и проблем развития Интернета вещей (в целом и по отдельным его сегментам) можно обнаружить различные экспертные мнения. Некоторые разработчики и специалисты говорят о технической и технологической стандартизации взаимодействия вещей и необходимости ускоренного введения единых протоколов общения. Другие делают акцент на безусловной безопасности осуществления транзакций для пользователей и устройств. Высказывается мнение о нерешенных проблемах самих устройств в части обеспечения источниками постоянного электропитания, устойчивого функционирования и удобства использования. Отдельные скептики склоняются к тому, что пользователи психологически и социально в принципе не готовы к всеобъемлющей цифровой среде.



Но давайте подумаем о таком сдерживающем факторе роста сегментов Интернета вещей, как непонимание владельцами и менеджментом компаний способов ведения бизнеса в условиях новой глобальной информационной экономики, всё более ориентирующейся на многоуровневое «мгновенное» цифровое взаимодействие потребителей, вещей и алгоритмов. Может быть этот фактор и становится главным «тормозом» для IoT?

Сегодня предпринимателю Джеку Ма 51 год, его богатство оценивается в 23,3 млрд долларов, не считая 150 млрд IPO – самых крупных в истории. Впрочем, начинал он с работы учителем английского языка за 12 долларов в месяц (хотя он был доволен жизнью и в тот период).

Учитывая скромность и мизерность первых шагов Джека Ма, в его достижения практически невозможно поверить. За свою жизнь он пережил больше неудач (и они были более впечатляющими), чем сумело бы вынести большинство из нас.

Вот 7 моментов, когда Джек Ма, столкнувшись с унизительными провалами, ухитрился сохранить свой оптимизм. В точности, как и его любимый персонаж Форрест Гамп.

Asus снова взялся за старое. Вы можете отправить любой исполняемый файл или даже прошивку BIOS на компьютер Asus под видом обновления — этот файл будет автоматически запущен на исполнение с максимальными привилегиями, а прошивка установлена, без каких-либо проверок. Ничего не нужно предпринимать — система взломает сама себя, автоматически.

Вкратце: компьютеры с материнскими платами Asus осуществляют запросы к удалённому серверу по HTTP на регулярной основе. Причиной является программное обеспечение LiveUpdate, которое предустанавливается на компьютеры Asus. Оно отвечает за скачивание новых прошивок BIOS/UEFI и исполняемых файлов. Обновления поступают в архивах ZIP по чистому HTTP, распаковываются во временную папку, а исполняемый файл запускается от имени пользователя. Не происходит никакой верификации файлов или аутентификации при их загрузке, что позволяет провести MiTM-атаку и банальную эскалацию привилегий до NT AUTHORITY\SYSTEM.

Прочитав эту статью, вы больше не когда не сможете запостить на Хабре статью с унылой картинкой.
Основные законы дизайна и простые инструменты ним, под катом.

Фото: Владислав Шатило

Игорь Калганов работает в сфере IT более 10 лет. «33 Слона» – сервис долгосрочной аренды и продажи жилья, который предоставляет арендодателям юридические услуги, страховку и помощь с налоговыми органами, а также следит за состоянием квартиры на протяжении всего срока сдачи.

«Мы, фактически, замена профессионального управляющего, потому что мы делаем все то, что и он для владельца недвижимости, которую он отдал в управление», отмечает основатель. В компании «33 Слона» работает 28 сотрудников.

Центральная часть проекта — система CRM, координирующая работу менеджеров, фотографов, клининговые и сервисные компании и других подрядчиков. За счет большого количества услуг, предлагаемых сервисом, себестоимость этих услуг достаточно низкая, поэтому фирма может предлагать клиентам выгодные условия. Сам же сайт и мобильные приложения, по сути, являются лишь инструментами маркетинга. Личный кабинет, например, позволяет в автоматическом режиме оплачивать услуги, переводить деньги за аренду квартиры, пользоваться другими сервисами — от партнеров компании.

Как и многие другие стартапы, проект менял бизнес-модель, как говорится, по ходу пьесы. Игорь Калганов согласился ответить на несколько вопросов о сервисе, о вариантах его развития и планах на будущее.

Холодным днём 18 января 2001 года Максим Игоревич Попов, 20-летний украинский парень, нервно толкнул двери американского посольства в Лондоне. Его можно было принять за участника программы по студенческому обмену, который пришёл получать визу, но самом деле Максим был хакером, участником восточноевропейской хакерской группы, которая атаковала американские коммерческие компании, зарабатывая на вымогательстве и фроде. Прокатившаяся волна таких атак выглядела словно предвестник нового этапа Холодной войны между США и организованными хакерскими группировками в странах бывшего советского блока. Максим Попов с детским лицом, в очках и с короткой стрижкой, собирался стать первым перебежчиком в этой войне.

Утечки баз данных с паролями и личной информацией пользователей уже стали неким фоном жизни интернета. И фоном крайне неприятным. Естественно, любая компания старается скрыть факты нарушения её периметра безопасности и кражи данных. В крайнем случае, если информация просочилась наружу — а так чаще всего и бывает — пострадавшая сторона старается преуменьшить масштабы ЧП, в попытке снизить хотя бы репутационный ущерб.

Но, как говорится, всё тайное когда-нибудь становится явным. Выяснилось, что представители соцсети LinkedIn, помогающей людям расширять свои бизнес-связи, несколько лукавили, когда в 2012 году сообщили о краже 6,5 млн паролей своих пользователей — их было украдено 117 млн. То есть 27% всей текущей базы данных LinkedIn. Сейчас украденные данные всплыли на чёрном рынке. Учитывая, что это сеть не просто для общения, а для поиска и установления деловых контактов, то и ожидания пользователей относительно качества услуг сервиса всё-таки выше. В свете этого возникает вопрос: насколько привлекательным сегодня представляется LinkedIn с точки зрения налаживания бизнес-связей?

/ фото Alexandre Dulaunoy CC

Облачные вычисления – одна из самых увлекательных технологий, используемых на данный момент. Мы в 1cloud постоянно следим за новинками и трендами в этой области. Совсем недавно мы публиковали материал, посвященный изменениям в ИТ-инфраструктуре, а сегодня нам бы хотелось взглянуть на тренды в сфере безопасности.

Три последних материала из нашего блога на Хабре:

• Как выбрать направление для развития ИТ-проекта
• Технологические решения для ЦОД
• Пятничный формат: Необычные решения ЦОД

4200 человек из разных стран мира стали свидетелями живого и несколько безумного праздника под названием Positive Hack Days VI. За два дня на площадке произошли сотни событий. На первый взгляд, хакеры чувствовали себя полными хозяевами положения. На деле — в условиях максимальной защиты никто не продвинулся дальше периметра DMZ.

Возможно, через несколько недель или месяцев город все равно бы пал. Такую защиту не взламывают кавалерийским наскоком. Но зрители не могли наблюдать за растянутой во времени целенаправленной атакой. Они хотели видеть, как топят поселок и жгут провода ЛЭП. Для повышения зрелищности решено было немного снизить уровень безопасности, отключив часть систем. И вот тут все увидели, что такое недостаточное внимание к ИБ. Хакеры использовали любую оплошность: успешно атаковали GSM/SS7, отключали системы умного дома, удаляли резервные копии важных систем, выводили деньги из ДБО.

Форум наглядно показал, что бывает с незащищенной критической инфраструктурой. Специалисты по информационной безопасности в силах обеспечить очень высокий уровень защиты без нарушения технологического процесса — но развернуться так, как на PHDays, им дают очень редко. После отключения средств защиты нападающие проникли в технологическую сеть АСУ через корпоративную, атаковали физическое оборудование системы, взломали ГЭС, провели сброс воды, отключили линии электропередачи.

Так или иначе, захватить город CityF целиком — и выиграть соревнования — ни одной команде хакеров не удалось. Подробные райтапы и итоги конкурсов ожидаются совсем скоро, а сейчас мы расскажем о нескольких выступлениях второго дня (рассказ о лучших моментах первого дня читайте здесь).

Здравствуй, Хабр!

Хочу представить вам свой блог по защите информации и персональных данных.
На хабре я написал несколько статей на эту тему. Раз. Два. Три. Четыре. Пять.

Свой блог решил завести по нескольким причинам:

1. Хочется писать не только длинные статьи, но и короткие заметки, высказывать свои мысли и просто свое видение на ту или иную проблему. А это не совсем формат хабра.
2. Не хочется оглядываться на карму, рейтинг и прочие атрибуты. Захотелось свою площадку, где можно выразить свои мысли, может даже и не очень популярные.
3. Я давно читаю других блогеров по ИБ, и со временем у меня сформировалось понимание того, что мне тоже есть что сказать.

Проанализировав свои статьи на хабре я понял, что наибольший интерес вызвала самая первая статья о подготовке к проверкам Роскомнадзора по защите персональных данных. Поэтому решил начать свой блог с цикла статей на эту тему, переработав их, разбив на тематические блоки и добавив новую информацию, которая появилась со времени публикации первой статьи.

Неделю назад мы опубликовали своё небольшое исследование, в котором подтвердили гипотезу о том, что на ИТ-вакансии, в которых указана заработная плата, откликаются чаще. Причём размер указываемой заработной платы не имеет значения — главное, чтобы она просто была сразу указана.

Мы решили не останавливаться на собранной нами статистике по размещённым на «Моём круге» вакансиям и пошли дальше: провели социологический опрос среди ИТ-специалистов из хабра-сообщества. Мы задали им вопрос: «Что в вакансии для вас самое важное, без чего вы не станете на неё откликаться?».

На данный момент в опросе приняли участие 400 с лишним человек, и уже мало вероятно, что получившиеся результаты сильно изменятся с ростом числа ответивших. Так что показываем их вам!

Американская компания Groupon продала российское подразделение. Еще в апреле «мы ушли из России, продав актив, таким образом, число стран [присутствия Groupon] сократилось до 27», заявил финансовый директор компании Брайан Кайман.

100% «Групон рус» выкупил инвестиционный фонд ru-Net Леонида Богуславского. Среднесрочная стратегия ru-Net – повысить рентабельность бизнеса «Групон» в России, стимулировать его рост за счет развития в регионах, инвестировать в «отдел продаж и технологии».

Фонд также владеет скидочным сервисом Biglion и является соинвестором немецкого сервиса-агрегатора скидок Cuponation. Biglion был главным конкурентом Groupon в России.

Покупка российского бизнеса Groupon совершена «в полном соответствии с акционерным соглашением холдинговой компании Biglion», отмечает инвестиционный директор ru-Net Александр Павлов.