Идея выглядит следующим образом: автор некоторого контента, при создании торрент-файла, получает возможность указать свой Bitcoin-кошелёк, а загрузившие торрент в своих клиентах увидят соответствующий значок, клик по которому позволит отблагодарить автора некоторой суммой в криптовалюте. По факту речь идёт просто о том, что в откроется установленный в системе Bitcoin-кошелёк или произойдёт переход на сайт, где можно будет скопировать номер кошелька или отсканировать его QR-код для, собственнно, последующей оплаты.

Таким образом разработчики торрент-клиента FrostWite пытаются использовать популярность Bitcoin, а также с максимальной степенью удобности организовать возможность донейта — причём, как можно видеть, контент совсем необязательно должен лицензионным, а просто популярным, что должно в известной степенью понравиться не только авторам оригинального контента, а и тем, кто хотел бы сохранить свою анонимность.

Silk Road вне всяких сомнений является местом №1, если речь идет о покупке чего-то нелегального. Сайт работает в сети TOR и все сделки оплачиваются при помощи биткоинов. Сайт приобрел еще большую популярность после статьи на 8banks об аресте Росса Ульбрихта (предполагаемый владелец и управляющий), который был обвинен в содействии продаже наркотических веществ. А тем временем конкуренты не дремлют…

0. Оглавление

• 1. Предисловие
• 2. Хак eMMC памяти HTC Desire HD с целью изменения идентификационной информации телефона
• 3. Создание телефона-оборотня с использованием криптографии
• 4. Ложная безопасность: обзор угроз несанкционированного доступа к данным
• 5. Заключение

1. Предисловие

Мобильные гаджеты стали неотъемлемой частью нашей повседневной жизни, мы доверяем им свои самые сокровенные тайны, а утрата такого устройства может привести к серьезным последствиям. Сегодня много внимания уделяется освещению вопросов мобильной безопасности: проводятся конференции, встречи, крупные игроки выпускают комплексные продукты для персональной и корпоративной защиты мобильных устройств. Но насколько такие средства эффективны, когда устройство уже утрачено? Насколько комфортны они в повседневном использовании – постоянные неудобства с дополнительным ПО, повышенный расход батареи, увеличенный риск системных ошибок. Какие советы можно дать беспокоящимся за сохранность своих мобильных данных? Не хранить ничего важного на смартфоне? Тогда зачем он такой нужен – не птичек же в космос отправлять, в самом деле?
Сегодня я хочу поговорить с вами об устройствах под управлением ОС Android, созданной глубокоуважаемой мною компанией Google. В качестве примера я использую неплохой смартфон прошлых лет от компании HTC – Desire HD. Почему его? Во-первых, именно с него мы начали свою исследовательскую деятельность в области безопасности Android-устройств, во-вторых – это все еще актуальный смартфон с полным набором функций среднестатистического гуглофона. Он поддерживает все версии Android, в нем стандартный взгляд HTC на организацию файловой системы и стандартная же раскладка разделов внутренней памяти. В общем, идеальный тренажер для защиты и нападения.
С этим докладом я выступил на вот-вот только прошедшей конференции ZeroNights 2012 и теперь хочу презентовать его хабрасообществу. Надеюсь он будет вам интересен и даже немного полезен.

Телекомпания CBC News опубликовала секретную презентацию канадских спецслужб, которая свидетельствует о том, что в 2012 году Центр безопасности коммуникаций Канады (Communications Security Establishment Canada, CSEC) в тесном сотрудничестве с АНБ США испытывали систему слежения за электронными устройствами граждан с помощью Wi-Fi-точек доступа, размещенных в общественных местах Канады и США, таких как аэропорты, библиотеки, отели и кафе.

Судя по полученным документам, прилетевший человек проходя через терминал аэропорта попадал в зону Wi-Fi, если в этот момент на его устройствах была включена беспроводная связь, система регистрировала их, присваивая уникальный ID и начинала отслеживать метаданные и дальнейшие перемещения по городу.

Sony SmartWatch – достаточно интересный девайс своего времени, разработку под который почему-то обошли стороной на хабре. Ну раз так – давайте исправлять! В качестве примера мы разработаем простое приложение для управлением любым аудио-плеером.

Статья предназначена для тех, кто уже хотя бы минимально знает, с какой стороны держать инструменты для разработки под Android, а так же тех, кто видел те самые часы или читал про них обзоры, и, соответственно, представляет их функционал. Разрабатывать будем сразу под первую и вторую версии SmartWatch.

О Bitcoin я узнал относительно недавно, но он меня сразу подкупил своей идеей p2p. Чем глубже я зарывался в их Wiki, тем больше проникался этой идеей. Ее реализация красива и элегантна с технической точки зрения.

Поиск хабра по Bitcoin выдает два топика. Но это скорее новости. По комментариям заметно, что у многих людей, особенно не знакомых с Bitcoin напрямую, возникает много вопросов насчет принципов его работы. Также много догадок, зачастую неверных. Чтобы как-то прояснить ситуацию, было решено написать эту статью.

Множество неоднозначных статей написаных про биткойн побудили написать меня статью о внутреннем устройстве этой системы. Меня удивило, что некоторые авторы писали о цифровых монетах без понимания внутреннего устройства, и смысл длительных рассуждений был безуспешной попыткой узнать лохотрон ли это. Надеюсь после данной статьи вера или доверие bitcoin перейдет в уверенность и осознанность. Я не буду раскрывать в этой статье общественно-экономического влияния цифровых монет, а сосредоточусь исключительно на внутренних алгоритмах.

Здравствуй Хабр!

Несколько лет назад, когда я впервые познакомился с Android, я услышал от своего коллеги по работе, что Android предусматривает возможность установки модифицированных или самодельных прошивок. Признаться, тогда я был далек от этого. И даже пол года назад меня едва интересовали подобные вещи. Глубоко в душе, я был уверен: то, что делает производитель, уже предназначено для нормального использования.

Каково же было мое разочарование, когда я приобрел телефон из поднебесной, где заводскими настройками было запрещено использование Google, Skype, Facebook и других приложений. В принципе, на некоторые вещи можно было закрыть глаза, но когда мой телефон не подразумевал использование учетной записи Google — я взял с себя обещания обязательно разобраться во что бы мне это не стало.

Прошло пол года и мои кастомные прошивки с успехом используются по всему миру.

В данной серии статей пойдет речь о том, как делать reverse программирование для Android, реализовывать патчи, твики и моды.

Всем привет! Этот топик посвящен разным трюкам при анализе защищенности (пентесте) веб приложений. Периодически сталкиваешься с ситуацией, когда надо обойти какую-нибудь защиту, выкрутиться в данных ограничениях или просто протестировать какое-то неочевидное место. И этот пост как раз об этом! Добро пожаловать под кат.

Примечание редактора: венчурная фирма Марка Андреессена, Andreessen Horowitz, вложила чуть менее $50 млн в стартапы, связанные с Биткоин. Фирма активно ищет другие объекты для инвестиций, работающие с Биткоин, но сам Марк владеет только минимальной суммой криптовалюты.

Загадочная новая технология появилась, казалось бы, из ниоткуда, но на самом деле стала результатом двух десятилетий интенсивных исследований и разработок почти анонимных энтузиастов.

Для политических идеалистов она стала прообразом освобождения и революции; элита же относится к ней с презрением и скептицизмом.

Да, именно так и обстоит дело — криптовалюту начинает принимать все большее число компаний, включая и те из них, которые присутствуют на Хабре. Так вот, на днях стало известно о том, что биткоины начал принимать Камбрийский университет в Великобритании. Это учебное заведение не одиноко — биткоины принимает также и Университет Никосии, который расположен на Кипре.

Волею судеб довелось мне иметь дело с криптовалютами. Не то что бы плотно работаю с ними, но иногда то отправлю монетки, то получу. Скажем так, понемногу прощупываю новую сферу изнутри.

И вот однажды беда приключилась. Отослал я криптомонетки, а до получателя они не дошли. Собственно, пост о том, как средства возвращались. Ну и размышления и советы по сложившейся ситуации на десерт. Сразу отмечу, что нижесказанное применимо не к какой-то конкретной валюте, а к большинству форков (если не ко всем).

Вчера я писал о том, что ритейлерская сеть Overstock.com начала принимать Bitcoin (пока что только для покупок, которые отправляются в США). Сейчас не так много мест, где можно потратить криптовалюту, и начало приема платежей в Overstock — значимое событие. Так вот, Patrick Byrne, СЕО компании, сегодня заявил о том, что за первые сутки после приема Bitcoin компания приняла 840 платежей на сумму около 130 тысяч долларов (по текущему курсу криптовалюты).

Создание пакетов или packet crafting — это техника, которая позволяет сетевым инженерам или пентестерам исследовать сети, проверять правила фаерволлов и находить уязвимые места.
Делается это обычно вручную, отправляя пакеты на различные устройства в сети.
В качестве цели может быть брандмауэр, системы обнаружения вторжений (IDS), маршрутизаторы и любые другие участники сети.
Создание пакетов вручную не означает, что нужно писать код на каком-либо высокоуровневом языке программирования, можно воспользоваться готовым инструментом, например, Scapy.

Scapy — это один из лучших, если не самый лучший, инструмент для создания пакетов вручную.
Утилита написана с использованием языка Python, автором является Philippe Biondi.
Возможности утилиты практически безграничны — это и сборка пакетов с последующей отправкой их в сеть, и захват пакетов, и чтение их из сохраненного ранее дампа, и исследование сети, и многое другое.
Всё это можно делать как в интерактивном режиме, так и создавая скрипты.
С помощью Scapy можно проводить сканирование, трассировку, исследования, атаки и обнаружение хостов в сети.
Scapy предоставляет среду или даже фреймворк, чем-то похожий на Wireshark, только без красивой графической оболочки.
Утилита разрабатывается под UNIX-подобные операционные системы, но тем не менее, некоторым удается запустить ее и в среде Windows.
Эта утилита так же может взаимодействовать и с другими программами: для наглядного декодирования пакетов можно подключать тот же Wireshark, для рисования графиков — GnuPlot и Vpython.
Для работы потребуется права суперпользователя (root, UID 0), так как это достаточно низкоуровневая утилита и работает напрямую с сетевой картой.
И что важно, для работы с этой утилитой не потребуются глубокие знания программирования на Python.

Идентификация личности на основе данных о перемещениях

Не так давно в сети наткнулся на занимательную статью — аналитический отчет о том, как можно практически с 95 % гарантией идентифицировать личность пользователя мобильного устройства, зная только лишь 4 точки (по сути — базовые станции), через которые он выходил на связь через определенные промежутки времени (1,5-2 часа). В чем там оказалась суть…

Среди научных исследований в области управления доступом на основе данных о местоположении особо стоит отметить работу группы американских и английских исследователей [1], которые провели детальный анализ данных о перемещениях примерно 1,5 млн. абонентов сотовой сети связи в течении более чем полутора лет. Задачей анализа было выявить насколько уникальными являются маршруты передвижения абонентов и возможно ли, обладая лишь только данными о пребывании абонента в определенных точках в течении некоторого времени, достаточно точно идентифицировать его личность. Результатом исследования стал вывод, что, зная всего 4 пространственно-временных точки, можно с вероятностью в 95 % идентифицировать человека.

Около двух лет назад государство взяло курс на активное вмешательство в интернет-пространство и его регулирование. Самое время подвести итоги постепенного усиления цензуры в интернете.

Если вы помните, летом 2012 года Госдума внезапно приняла поправки в 139-ФЗ «о защите детей от вредной информации».Это объяснялось необходимостью защитить наших детишек от педофилов и наркоманов, а также от тех, кто их склоняет к совершению самоубийств. Закон, конечно, содержал гарнир в виде маркировки продукции для детей знаками 18+ и т.п., но вот мясцо этих поправок было в виде механизма цензуры посредством блокировки сайтов.

В этом мини-исследовании я выступлю как капитан очевидность и покажу то, что все и так знали, только для большей убедительности приведу ряд объективных показателей. Так что теперь можно будет оперировать и конкретными цифрами!

Итак, давайте посмотрим, действительно ли введение цензуры было продиктовано необходимостью защиты наших детей.

Что мы всё о биткоинах, да о биткоинах? Новые разработки в сфере криптовалют не стоят на месте. На Хабре вроде бы ещё не освещалась подробно концепция Proof of Stake, которая призвана восполнить недостатки традиционной Proof of Work. А ведь ей уже больше двух лет.



В этой статье я хочу рассказать вам о:

• концепции Proof of Stake (PoS) и защите от атаки 51%
• 100% PoS и «майнинге» с любого устройства, не зависящем от вычислительной мощности
• криптовалюте Nxt, написанной с нуля и реализующей эту концепцию
• не новой, но и не упоминавшейся на Хабре прежде фишке — brainwallet
• перспективах нового подхода

Создатель системы (предположительно, некий Сатоси Накамото) вел разработку с 2007 года, запустил Bitcoin 3 января 2009 года и полностью исчез из интернета в апреле 2011 года. Последние сообщения от Сатоси говорят, что он ушёл в другие проекты, посчитав, что Bitcoin находится в «хороших руках».

В первом сгенерированном Блоке («Блок 0», также называемый Genesis block) Сатоси оставил текстовое сообщение «The Times 03/Jan/2009 Chancellor on brink of second bailout for banks».

График изменения курса Bitcoinза все время его существования:

Сегодня я хочу рассказать вам о таком интересном проекте как Twister.

Twister — это сервис микроблогинга (аналогичный твиттеру), но его отличает несколько очень интересных технологий которые были использованы одновременно.

А именно: Bitcoin Block Chain, Bittorrent DHT, Bittorrent Swarm.

Другими словами — это полностью анонимный, децентрализованный сервис микроблогинга который вобрал в себя всё лучшее от Bittorrent и Bitcoin.

Если ты разработчик open-source приложения, загляни в свой почтовый ящик и проверь папку «спам», вдруг там лежит письмо от биткоин-санты. В лучших традициях биткоин-сообщества (да-да, и Санта Клауса), никто точно не знает того, кто скрывается под псевдонимом Bitcoin Grant, но известно, что он, или она, или они, время от времени появляются из ниоткуда и дарят подарки разработчикам систем с открытым исходным кодом. Единственное отличие от Санты, их подарки — это крупные суммы в биткоинах.

В течении последних месяцев они ищут open source проекты и связываются с разработчиками, чтобы поощрить их усилия по укреплению сообщества, при этом — делают этот анонимно, и не требуют ничего взамен.