Автор материала, перевод которого мы сегодня публикуем, говорит, что последние пару лет замечает за собой устойчивый интерес к нейротехнологиям. В этой статье она хочет рассказать о своих экспериментах с различными аппаратными и программными системами, которые позволяют налаживать связь между мозгом и компьютером.

Porch pirates («пираты крыльца») в США – это уже профессия. Как налетчики, карманники или домушники. С распространением онлайн-шопинга и доставки на дом, появились десятки тысяч людей, которые живут c воровства посылок из-под двери, и только этим и промышляют. Часто работает команда: один «пират» сидит за рулем машины, второй/вторая – охотится за посылкой.

В среднем американцы получают по 27 посылок каждый год. Каждый третий – хотя бы раз сталкивался с тем, что у него что-то украли. Причем темпы ежегодно растут. В 2017-м уже 11 млн (!) жителей США сообщили о том, что у них украли посылку. Всего было похищено 26 млн посылок (очевидно, кому-то не повезло несколько раз). Жертвы в среднем тратят около $200, чтобы заменить каждый украденный пакет. Многие вынуждены «бороться» с этим, оставаясь дома целый день, если ожидают, что к ним придет посылка. Для миллионов других это не вариант.

Кто-то берет решение проблемы в свои руки. Например, делает так, чтобы посылка издавала звуки стрельбы из дробовика, если её поднимают. Или кладет в свои коробки содержимое кошачьего лотка, делая ворам «подарок» к Рождеству. Ну а некоторые, используя свой опыт проектирования марсоходов для NASA, делают девайсы в стиле «Один дома», чтобы доставить ворам полный спектр впечатлений.

Полиция и Amazon тоже нашли довольно нестандартные методы борьбы с таким новым типом грабителей.

Для тех, кто не смог посетить Top 3D Expo, рассказываем о мелкосерийном производстве пластиковых деталей методом вакуумного литья в силикон, мастер-класс по которому был организован на конференции с помощью наших друзей из «Фолипласт».

29 ноября 2018 года пользователь твиттера под псевдонимом @TheHackerGiraffe «взломал» более 50 000 сетевых принтеров и распечатал на них листовки с призывом подписываться на YouTube-канал некоего PewDiePie. Он говорит, что таким образом хотел способствовать популярности своего кумира, который сейчас сражается за 1-е место по количеству подписчиков на YouTube.

Здесь интересна простота, с которой хакеру удалось получить доступ к 50 000 принтеров. В сессии вопросов и ответов AMA на Reddit хакер раскрыл подробности этого взлома. Оказывается, в нём нет ничего сложного. Более того, в Сети свободно доступны программные инструменты для эксплуатации многих уязвимостей в старых прошивках принтеров. К сожалению, повторить этот фокус может буквально любой желающий.

На иллюстрации: пeчать по raw-порту 9100

В этой статье я хочу рассказать о безопасности систем автоматизированной оплаты парковки. Приблизительно таких, как на этой картинке.


При въезде выдается парковочный талон, при выезде он засовывается обратно в терминал. В основном, талоны бывают двух типов: бумажные со штрихкодом/QR-кодом и пластиковые бесконтактные карты, о последних и пойдет речь.

В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

Рассматриваемые темы:

• Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
• В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
• Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
• Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
• Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

Внимание!

В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.

В файлах PDF много информации. Бóльшая часть используется для одинаковой визуализации документа на разных платформах. Но также есть множество метаданных: дата и время создания и редактирования, какое приложение было использовано, тема документа, название, автор и многое другое. Это стандартный набор метаданных, а имеются способы вставить в PDF пользовательские метаданные: скрытые комментарии в середине файла. В данной статье мы представим некоторые формы метаданных и покажем, где их искать.

С 1 июля 2016 года в странах Евросоюза начал работать регламент eIDAS (electronic IDentification, Authentication and trust Services) об электронной идентификации и доверенных услугах. Он выступил в силу после принятия Положения (EU) N°910/2014 и отмены Директивы об электронных подписях (eSignature Directive) от 1999 года. Регламент устанавливает общий стандарт для электронных подписей, электронных печатей, меток времени, услуг eDelivery и сертификатов аутентификации веб-сайтов.

Обязательное взаимное признание электронных идентификаторов странами Евросоюза действует с 29 сентября 2018 года.

Не секрет что главной проблемой дронов на батарейках является время работы в режиме полета. Решать ее часто предлагают либо переходом на более энергоемкий источник энергии, либо удаленной зарядкой. Оригинальное решение в виде установки на коптер солнечных батарей, или работу от длинного провода я в данном случае я не беру в расчет.

Мое же решение намного проще, дешевле… и напоминает процесс игры с известной всему миру игрушкой.

Для начала я приведу примеры технологий, которые лягут в основу «матрешки».


Дрон с руками для захвата предметов. Это будет основа для возможности обеспечения процесса замены аккумуляторов.

Так же есть патент от IBM, который описывает систему «воздушной эстафеты». Беспилотники в этом случае будут иметь подвижную направляющую пластину, установленную в нижней части, где пакет удерживался бы на месте в конце выдвижной платформы, снабженной электромагнитным соединительным устройством. Между тем на верхней стороне находилась бы специальная рука с док-станцией на конце.

Это громкая и страшная аббревиатура из трёх неприличных букв. Хотите поучаствовать в тендере, устраиваетесь на работу, нужно получить данные — вам подсовывают эту бумажку, мол, подпиши сначала, а то нашли дураков без NDA тебе что-нибудь рассказывать. При этом в большинстве случаев вы ничего сверхсекретного или коммерчески важного не узнаете, но процедура подписания NDA стала неким таинством посвящения, которое стороны выполняют не особо задумываясь над смыслом.

Это так же как вы неизбежно получите требование вместе с учредительными документами предоставить выписку из ЕГРЮЛ не старше 30 дней. Хотя всё доступно в онлайне, все распечатывают эту выписку из интернета, заверяют её и передают контрагенту, который даже не смотрит её, потому что всё есть в интернете. Ну, вы поняли, короче, отечественную любовь к таинствам.

Вы часто вынуждены решать проблемы, связанные с SSL / TLS, если работаете веб-инженером, веб-мастером или системным администратором.

Существует множество онлайн-инструментов для работы с SSL-сертификатами, тестирования слабых мест в протоколах SSL/TLS, но когда дело доходит до тестирования внутренней сети на основе URL, VIP, IP, тогда они вряд ли будут полезны.



Для диагностики ресурсов внутренней сети, вам необходимо отдельное программное обеспечение/инструменты, которые вы можете установить в своей сети и провести необходимую проверку.

Возможны различные сценарии, например:

• имеются проблемы при установке SSL-сертификата на веб-сервер;
• требуется использовать новейший/конкретный шифр, протокол;
• хочется проверить конфигурацию после ввода в работу;
• обнаружена угроза безопасности в ходе проведения тестов на уязвимости.

Следующие инструменты будут полезны в устранении подобных проблем.

Приветствую всех и благодарю за то, что вы сделали мою презентацию завершающей конференцию DEFCON в этом году. Я очень ценю это и постараюсь вас не разочаровать. Меня зовут Мэтт Уийр, я аспирант Университета штата Флорида. Прежде чем мы начнём говорить непосредственно о взломе паролей, я хочу сказать о том, что работаю с очень хорошей командой, и назвать её членов прямо сейчас. Это мой руководитель, профессор, доктор Сидир Эггрвол, который приложил свою руку к моей презентации и профессор Брено де Медейрос. Также мне хотелось бы поблагодарить Национальный институт юстиции и Национальный центр криминальных исследований «Белые воротнички» за финансирование моих исследований.



Я действительно ценю это, потому что данная помощь придала моим исследованиям немного легитимности. Потому что когда я пошёл на научный совет, чтобы он одобрил тему моих исследований, то начал разговор с того, что она посвящена взлому паролей. Эти слова вызвали возмущённую реакцию, так что мне пришлось объяснять, что это нужно для того, чтобы, например, поймать и привлечь к ответственности растлителей малолетних и прочих преступников такого рода.

Уникальный нейрологической «функциональный отпечаток» позволяет учёным изучать влияние на структуру связей мозга генетики, окружающей среды и старения

Микаэла Кордова, научный сотрудник и менеджер лаборатории в Орегонском институте здравоохранения и науки, начинает с деметаллизации: снимает кольца, часы, убирает гаджеты и другие источники металла, проверяет карманы на предмет забытых объектов, которые, как она говорит, могут «залететь внутрь». Затем она заходит в комнату со сканером, поднимает и опускает ложе, машет наголовником с датчиками примерно в сторону просмотрового окна и камеры iPad, позволяющей провести эту виртуальную экскурсию (я наблюдаю за происходящим с расстояния в тысячи километров, находясь в Массачусетсе). Её голос немного искажается микрофоном, встроенным в МРТ-сканер, который с моей, немного размытой точки зрения, выглядит не как труба индустриального вида, а больше как зверь со светящейся синей пастью. Не могу отделаться от мысли, что это страшноватое описание может откликаться в сердцах её типичных клиентов.

На днях стало известно о том, что разработчики из компании Neurotrend вместе с партнерами собираются представить в ноябре этого года программно-аппаратный комплекс с нейрогарнитурой для умного дома. Правда, изначально система создается для людей с ограниченными физическими способностями, например, постинсультных пациентов, людей с военными ранениями или промышленными травмами. По идее авторов, люди, получившие в результате таких травм нарушения речи и двигательных функций, смогут общаться с окружающими, а также заниматься посильной для себя в текущем состоянии работой и управлять системами умного дома.

Сами по себе нейроинтерфейсы не являются чем-то новым, они предназначены в большинстве случаев для прямого общения компьютера и человека. В ходе мыслительного процесса сигналы мозга регистрируются при помощи электродов. Регистрация производится при помощи электроэнцефалограммы, магнитоэнцефалограммы, функциональной магнитно-резонансной томографии или функциональной спектроскопии в ближней инфракрасной области. После этого сигнали преобразуются в понятные для компьютерной системы команды.

Мы уже привыкли, что запуск тестов производится нажатием одной кнопки. Проверки проходят автоматически при каждом коммите, статистики собираются без участия тестировщика, а баги заводятся в полуавтоматическом режиме. В общем, мы привыкли применять технологии программной и системной инженерии к нашим программным проектам. А теперь представьте себе, что перед вами стоит задача протестировать работу атомной электростанции. Нужно не только протестировать её софт, но и провести испытания всех её составляющих.

Разумеется, никто не сможет сначала построить станцию и потом перенести несущую стену из-за того, что система вентиляции не сможет быть смонтирована в текущей конфигурации. Поэтому процессы реального мира всё больше уходят в «цифру». Как вам понравится комментарий к коммиту «Перенос капитальной стены на 2 метра севернее»? При проектировании и тестировании АЭС применяется полностью цифровой подход: создается информационная модель, к ней применяется классическая V-модель управления жизненным циклом. Таким образом, АЭС превращается в тиражируемый и полностью цифровой объект. Тестирование и запуск современных АЭС происходит в цифровом виде, и только после этого строители приступают к монтажу, используя всё те же цифровые модели.

Из этой статьи вы узнаете о том, что представляет собой современная информационная система, как происходит разработка и тестирование «капитальных» объектов на примере АЭС.


В основе материала — расшифровка доклада Вячеслава Аленькова, директора по системной инженерии и информационным технологиям инжиниринговой компании «Атомстройэкспорт» (ASE) с нашей декабрьской конференции Heisenbug 2017 Moscow.

В настоящее время Bluetooth переживает возрождение. Этому способствует развитие IoT, отсутствие выхода под наушники в современных смартфонах, а также популярные bluetooth-колонки, беспроводные мыши /клавиатуры, гарнитуры и прочее. Мы решили посмотреть, какие рекомендации по безопасности представлены в стандарте NIST для Bluetooth.


Почему «синий зуб»? Название Bluetooth появилось от прозвища короля викингов Харальда I Синезубого, который правил в X веке Данией и частью Норвегии. За время своего правления он объединил враждовавшие датские племена в единое королевство. По аналогии Bluetooth тоже объединяет, только не земли, а протоколы связи.

Примечание: статья написана исключительно в ознакомительных целях, и не является призывом к повторению подобных экспериментов дома ввиду потенциального риска причинения вреда физическому здоровью (в случае использования в приборах Li-ion аккумуляторов и фоторезисторов).

Доброго времени суток, уважаемые хаброюзеры и хаброчтители) Это – моя первая серьезная статья на Хабре, посему СУДИТЕ МАКСИМАЛЬНО СТРОГО, обещаю работать над стилем и содержанием.

Задача: в Техническом Задании на комплексную IT-систему был пункт – «выполнить расчет коэффициента готовности системы».

Решение: использовать материалы из ГОСТ, запросить дополнительные данные у вендоров по элементам оборудования и использовать несложную математику для выполнения итогового расчета.

В предыдущих статьях про сниффер на PowerShell и сбор данных о загрузке с удаленного сервера я уже немного писал про возможности ETW (Event Tracing for Windows). Сегодня я хочу подробнее рассказать про эту технологию.

Заодно покажу на примере разбора HTTPS и создания кейлоггера на PowerShell, как ее можно использовать во благо. Или не совсем во благо.

Основой модели безопасности, заложенной в современные браузеры, является механизм «Same origin policy». Суть его заключается в том, что браузеры не позволяют сценариям обращаться к данным, расположенным на сторонних доменах. Исключение составляют лишь возможности передавать POST-запросы и подключать к странице файлы javascript и css. При этом не существует никаких легальных способов читать данные, получаемые с другого домена.