• Ещё немного про телефоны Xiaomi и борьбу с ними. Updated

    image

    Честно признаться, у меня не было планов писать и публиковать эту статью, но, после того, как за два месяца увидел в ближнем кругу коллег 5 штук свежеприобретённых телефонов от Xiaomi, и недавнюю статью на Geektimes, рекламирующую управление умным домом от Xiaomi, ко мне пришла совесть и, сцуко, потребовала поделиться знанием с остальными.
    Читать дальше →
  • На Pastebin кто-то разместил базу валидных логинов и паролей к тысячам IoT устройств



      На днях специалисты по информационной безопасности обнаружили очередную утечку тысяч пар логин-пароль от устройств «Интернета вещей», которые были прописаны вместе с IP гаджетов, доступ к которым можно получить при помощи этих данных. Сообщается, что данные, которые ушли в Сеть — валидные, их без проблем могут использовать взломщики для превращения IoT-гаджетов в «зомби» или других целей. База размещена в Pastebin, впервые ее опубликовали еще в июне. С тех пор авторы утечки обновляли содержимое базы несколько раз.

      Стоит отметить, что пароли и логины, о которых идет речь, подходят к 8233 IoT устройствам, 2174 которых на момент утра пятницы находились в сети и были доступны по Telnet. Информация об утечке предоставлена GDI Foundation в лице ее руководителя Виктора Джерверса. Он же рассказал о том, что из 2174 систем, находившихся в пятницу в онлайне, 1774 были доступны по логинам и паролям из базы. Примечательно, что для всех 8223 устройств использовались лишь 144 пары логин/пароль. Другими словами, пользователи этих девайсов вряд ли меняли данные доступа по умолчанию.
      Читать дальше →
    • Как легко расстаться с $1000

        • Прелюдия
        • Разработка игры под iOS
        • Продвижение игры
        • Чисто поржать

        Прелюдия


        Эта история случилась в мае ровно на той скамейке, где Берлиоз с Бездомным поспорили о сущности Христа. Мы с приятелями тоже поспорили о возможности заработать на своей iPhone-игре. Я заявил, вдруг, что без вложения денег это невозможно. Мои оппоненты нехотя согласились. Я усилил троллинг и добавил: — Друзья мои, без больших денег это совершенно невозможно! Любая сумма менее $25000, потраченная на раскрутку приложения — обернется пшиком. Пшшшш!

        Все возмутились и прогнали меня со скамейки. Заодно уж и из Москвы.

        По следам публикации


        По следам публикации разгорелась нешуточная борьба за Кубок 26-08.
        Игроки с Хабра настолько сильны, что в первый же день выгнали меня с вершины Олимпа. Но! В первой башне я нашел решение на 2 очка лучше прочих.И победил парней из Украины и России.
        Можем еще!

        Читать дальше →
      • Взлет и падение Bitcoin Cash: игры на рынке криптовалют продолжаются

          Магия слова Биткоин распространяется и на его форки: едва появившаяся в результате отделения от биткоина монета Bitcoin Cash уже попадает в заголовки, начав расти вслед за старшим братом.

          image

          Когда инфраструктура битка пришла в норму, владельцы Bitcoin обнаружили у себя аналогичную сумму в Bitcoin Cash. Правда, условием для этого была поддержка биржей или кошельком новой криптовалюты. Курс форка сразу после стабилизации был неплохим, что-то около 300 долларов США за монетку. Мнения о будущем Bitcoin Cash разделились. Скептики сразу оказались в большинстве: оно и понятно — никто особо не знал, что можно делать с новой валютой, куда её вкладывать и как майнить. Высокая сложность майнинга (сейчас она упала) и туманное будущее ограничили интерес майнеров к Cash. С ним до сих пор работает ограниченное количество бирж, а поначалу форк поддерживали и вовсе единицы. Но «альтернативный биткоин» держится на плаву и даже умудряется удивлять аналитиков неожиданной динамикой курса.

          Читать дальше →
        • Специалисты по инфобезу: «Умный автомобиль далеко не всегда безопасный автомобиль»

            image
            Источник: Getty Images

            Еще три года назад два специалиста по информационной безопасности показали, что новые модели Jeep уязвимы для атак злоумышленников. Здесь имеются в виду не ходовые качества и прочие характеристики, а возможность управлять различными функциями удаленно. И чем «умнее» машина, тем сильнее она подвержена влиянию извне. К сожалению, демонстрация, проведенная упомянутыми специалистами, особо ни к чему не привела. Да, производитель Jeep постарался решить проблему, но другие компании все так же мало обращают внимание на необходимые меры информационной безопасности, как и раньше.

            На днях сотрудники компании Trend Micro опубликовали пост, который дает понимание того, насколько плохо хорошо защищены современные автомобили от возможности взлома. Эта же информация была озвучена на конференции по инфобезу DIVMA, проводившейся в Бонне, Германия. По словам исследователей, главная проблема — это протокол CAN, который различные элементы автомобиля используют для взаимодействия друг с другом и общей сетью. Как оказалось, протокол уязвим, и злоумышленники, при условии обладания необходимыми знаниями и оборудованием, могут эксплуатировать в своих интересах слабые места в защите CAN.
            Читать дальше →
          • «Жучок» в запчасти для смартфона — еще одна возможность для шпиона



              Пользователи мобильных телефонов, которые доверились сервисным центрам, где ремонтируют устройства, могут стать жертвами кибершпионажа. Пока что это лишь теоретическая возможность, показанная специалистами по информационной безопасности, но в этом случае теория без труда может стать практикой, если еще не стала. О пользователях мобильных устройств, которые после ремонта обнаружили в своих телефонах «жучков», особо ничего не слышно. Возможно, причина только в том, что такие модули хорошо спрятаны.

              Отчет о проделанной работе, опубликованный группой хакеров, может стать причиной легкой (или не очень) паранойи у многих владельцев мобильных устройств. Но удивляться возможности прослушки не приходится — сделать это не так и тяжело. Причем жертвами кибершпионажа могут стать как пользователи Android телефонов, так и владельцы iOS девайсов.
              Читать дальше →
            • Как второй чип позволяет хакерам обойти процесс верификации банковской карты

              • Translation


              Когда Вы выбирали или меняли PIN-коды для Вашей кредитной карты и сотового телефона, то все сделали правильно: Вы избежали соблазна использовать год Вашего рождения, при этом выбрали разные коды для карты и телефона. Впрочем, эти меры предосторожности могут оказаться бесполезными, если кибер-преступник перехватил Вашу кредитную карту в торговой точке.

              Стандартный процесс верификации для оплат дебетовыми или кредитными картами требует карту с интегрированным чипом и PIN-код. Однако группа исследователей из École Normale Supérieure (ENS) в Париже недавно опубликовала отчет, в котором они объяснили, как группа хакеров нашла способ обойти
              Читать дальше →
            • Чем вам помогут открытые проекты

                Совсем недавно мы начали рассказывать здесь в том числе и о различных управленческих хитростях, на которые следует обращать внимание руководителям ИТ-отделов.

                Сегодня мы обратили внимание на весьма занимательный пост на эту тему от разработчика RedHat и Kano OS, Радека Паздера (Radek Pazdera).

                Посмотрим, какой вывод можно сделать на основе рассказа Радека.

                Читать дальше →
                • +12
                • 11.6k
                • 5
              • HackerSIM: подделка любого телефонного номера. CTF по социальной инженерии

                  «Народ не должен бояться своего правительства, правительство должно бояться своего народа»
                  «Privacy is ultimately more important than our fear of bad things happening, like terrorism.»


                  Уверены ли вы, что вам звонит тот, за кого себя выдает? Даже если высвечивается знакомый номер.

                  Недавно я обзавелся "хакерской симкой всевластия". Которая помимо лютой анонимности имеет фичу — подделка номера. Расскажу как это происходит.

                  Чак на своем телефоне, куда вставлена HackerSIM, набирает команду *150*НомерАлисы# и через секунду получает подтверждение, что номер успешно «подделан». Затем Чак звонит со своего телефона Бобу. Телефон Боба принимает вызов, и на нем высвечивается, что ему звонит… Алиса. Profit.

                  Далее события разворачиваются в зависимости от социнженерного (или чревовещательного) таланта Чака.

                  Я начал разыгрывать своих хороших знакомых.
                  Читать дальше →
                • Поддельная базовая станция за $1400 позволяет точно определить местонахождение телефона в 4G/LTE сети



                    Исследователи разработали недорогой способ обнаружения точного местоположения смартфона, работающего в LTE/4G сотовой сети. Эта разработка дает понять, что мобильные сети новых поколений так же уязвимы к некоторым типам атак, как и сети, работающие по прежним, уже устаревшим, стандартам связи и спецификациям.

                    Новая атака использует уязвимость в LTE протоколе. Этот стандарт к концу года будет обеспечивать связь для 1,37 млрд абонентов. Для проведения атаки требуется собрать систему из элементов, общая стоимость которых составляет около $1400. В качестве ПО используется Open Source софт. Система, узел NodeB, позволяет определить местонахождение телефонов, совместимых с LTE-стандартом, с точностью до 10-20 метров. В некоторых случаях это оборудование позволяет узнать и GPS-координаты устройств, хотя атака такого типа может быть обнаружена пользователем смартфона. Разработан и еще один способ определения координат смартфонов, при этом атаку практически невозможно обнаружить. Этот метод позволяет определить местонахождение заданного устройства в пределах пары квадратных километров.
                    Читать дальше →
                  • HackedSim. Звонок с любого номера — вымысел или реальность?

                      imageНа прошлой неделе на хабре появилась статья про HackerSIM с интригующим названием и многообещающем содержанием. Суть статьи сводилась к следующему: за существенную сумму, на порядок превышающую стоимость обычной sim-карты, некие ребята предоставляют Вам свою sim-карту, которая позволяет «безопасно звонить с любого номера из любой страны с любым голосом на выбранные номера» (в кавычках потому, что здесь цитируется агрегация тезисов из ранее упомянутой статьи). Посмотрев комментарии, выяснилось, что к данной теме проявляется живой интерес, но ни у кого нет точного понимания, как это работает и работает ли вообще.

                      Немного подумав с коллегами, мы решили рассказать, как данная услуга осуществима в реальной жизни.
                      Читать дальше →
                    • Почему писать скрипты для борьбы с «браузером Амиго» — зло?

                        Прочитав пост про удаление ненужного софта мне в который раз стало очень грустно. Автор предлагает «эффективное решение» по избавлению от всякого нежелательного софта, вроде упомянутого «амиго». И если некоторые части скрипта еще можно назвать, ну хотя бы безвредными, то удаление и запрет на запись "%username%\AppData\Local\Apps" выглядит как откровенный саботаж. Плохо еще и то, что такой или аналогичный по механике «полезный скрипт» некоторые всерьез считают действенной мерой. Это далеко не первая статья, от которой у меня сводит скулы, вижу что многие не понимают с чего вообще нужно начинать настройку безопасности в Windows-среде.

                        Представляю читателям мое видение списка минимально необходимых настроек и действий (в первую очередь для Windows-домена), чтобы никогда не видеть непонятных браузеров и свести риск вредоносного ПО к абсолютному минимуму. Некоторые описанные решения могут показаться спорными, и мало того, они таковыми и являются. Но заранее прошу, увидев первое предложение какого-то пункта, не спешите писать комментарий, прочитайте мысль до конца, возможно у вас отпадут вопросы.
                        Почему я не знаю как выглядит браузер Амиго?
                      • Еще один способ отключения сбора телеметрии в OC Windows 10

                          Микрософт с помощью пасьянса и косынки учила пользователей пользоваться мышью,
                          теперь с помощью windows 10 учит читать лицензионное соглашение.

                          После выхода windows 10 сразу появились сообщения о сборе информации о действиях пользователей и много обсуждений, что делать. Достаточно быстро пользователи составили список основных серверов, собирающих информацию и попытались их заблокировать через файл hosts. Но скептики сразу выдвинули здравое предположение, что MS мог предусмотреть этот метод и некоторые адреса прописать в коде. Тем более, что MS всегда может актуализировать адреса серверов через windows update.

                          В нашей компании начали появляться первые пользователи windows 10, и мы решили опробовать блокировку передачи телеметрии через встроенный windows firewall.
                          Читать дальше →
                        • Как я покупал квартиру

                            Я хотел написать статью про линейную регрессию, но потом подумал, да ну её, лучше куплю квартиру. И пошёл искать, что предлагают. А предлагают, как оказалось, много чего. В подходящий мне ценовой диапозон попало больше 500 квартир. И что, мне теперь все это просматривать? Ну нееет, программист я в конце концов или не программист. Надо это дело как-то автоматизировать.
                            Читать дальше →
                          • Хакер, криптограф или экстрасенс. Обыкновенное волшебство

                              На грани: искусство крипто-хакинга или волшебство




                              В 2007 году в Калифорнии, по заказу властей штата, во время предвыборной компании за короткий срок были собраны несколько сильных хакерских команд, которые проанализировали применяемые системы электронных машин для голосования и, о «ужас», показали чудовищную слабость каждой из них. Поразительно, что за более чем десятилетний срок использования компьютерных систем на выборах верховной политической власти в США (номинально наиболее демократичной страны мира), оборудование для голосования официально не подвергалось всесторонней, независимой аудиторской проверке на безопасность. Изготовители предоставили полную документацию, внутренние технические описания и тексты исходных кодов программ. Срок на исследования был ограничен тремя неделями, но их оказалось вполне как достаточно для демонстрации слабой защиты всех электронных систем голосования от злоупотреблений и манипуляций голосами избирателей.
                              читать дальше
                              • +21
                              • 42.3k
                              • 9
                            • Прозрачный обход блокировок в домашней сети

                              Последние новости в очередной раз заострили проблему блокировок интернет-ресурсов. С одной стороны о способах их обхода написано немало, и пережевывать эту тему в очередной раз казалось бы незачем. С другой, регулярно предпринимать какие-то дополнительные действия для посещения нужного ресурса — это не совсем то, что должно удовлетворить айтишника (и не всегда то, с чем может справится человек к айти неблизкий).

                              Нужно простое и прозрачное для пользователей решение, которое, будучи единожды настроенным, позволит просто пользоваться интернетом, не задумываясь, что же сегодня заблокировали по заявкам очередных копирастов-плагиаторов.

                              Сама собой напрашивается мысль о том, чтобы обходить блокировку уже на домашнем маршрутизаторе.
                              Читать дальше →
                            • Symantec самовольно выпустил сертификат для google.com и www.google.com

                              Незамеченным на Хабре остался инцидент с выпуском сертификата для доменов google.com и www.google.com удостоверяющим центром компании Symantec. Об этом сообщается в блоге «корпорации добра».

                              Сертификат был выпущен 14 сентября примерно в 19:20 (GMT) удостоверяющим центром Thawte (принадлежит компании Symantec) без разрешения или запроса со стороны Google. Причем не простой сертификат, а Extended Validation (EV). Таким образом, это первый зафиксированный случай нелегального выпуска EV сертификата.
                              Читать дальше →
                            • 13 хаков для поиска работы, которые могут сработать лучше, чем традиционное резюме

                              • Translation


                              Поиски работы можно причислить к одним из самых стрессовых видов деятельности – часто стандартная рассылка своего резюме работодателям вызывает у вас такое опустошающее чувство, словно все они идут во всепоглощающую черную дыру.

                              К счастью, сейчас существует множество нестандартных способов урвать отличную работу. Пользователям доступны приложения и онлайн-сервисы, которые помогут вам попасть на бесплатный обед с потенциальным работодателем, лучше показать свою индивидуальность или же, например, превратить ваш послужной рабочий список в замечательную инфографику. Кроме того, есть возможность заполучить удаленную работу на несколько часов с мгновенной оплатой по завершению проекта или организовать стажировку с привязкой к конкретному проекту, где вам не придется готовить кофе коллегам.

                              Представляем вам 13 «технологических» способов для того, чтобы попасть на новую работу.
                              Читать дальше →
                              • +10
                              • 38.1k
                              • 8
                            • Раскопки построения фотохостинга VK

                              Нравится мне этот веб-сайт и изучать его (архитектуру) одно удовольствие. Правда сегодня, обнаружил то, что мне крайне не понравилось. А суть, собственно, в следующем:

                              CEO VK Павел Дуров 26 января при репосте записи команды завысил важность фотохостинга VK в 80 раз!

                              Смыслом данной публикации явилось моё личное исследование, результаты которого доказывают факт завышения реальной информации и раскрывают некоторые технические особенности построения фотохостинга VK.
                              Читать дальше →
                            • Сергей Супонев — вспомним

                                Просматривал список известных людей, которые родились в этот день, и увидел в нём одного человека, чьё имя всколыхнуло очень тёплые воспоминания.

                                В 90-е годы, когда я был ещё совсем мал, большинство окружающих меня сверстников увлекались игровыми приставками. Кто-то рубился в Dendy, кому-то посчастливилось иметь Sega. Кто-то мечтал о приставках, а те, у кого они уже были, помимо того, что часами играли, выискивали по друзьям и знакомым игры, обменивались «картриджами», покупали что-то новое. До сих пор помню лотки на рынке с огромным количеством разных картриджей, которые казались тогда несметным богатством.
                                В те 90-е годы по Первому каналу (тогда ещё ОРТ) была передача — «Денди — Новая реальность» (хотя, сначала она выходила на канале 2x2), позже сменившая название на просто «Новая реальность». Для нас, детей, это было поистине окно в другую, новую реальность. Ведущим её был Сергей Супонев.
                                Читать дальше →