Вдогонку к предыдущему посту о темах, взгляд с другой стороны, а если быть точным, то пост для тех самых пользователей, которые все эти темы качают.

Пока пишутся большие посты и другие программы, сделаю небольшой обзор того, о чём следует знать, если не каждому, то большинству.

Все уже знают, что очередной релиз Wordpress 2.3.3 в основном призван исправить бреши в безопасности (как обычно русскую версию можно скачать у Кактуса), но гарантирует ли это, что на ваш блог не смогут посягнуть?

Продолжаем публиковать список плагинов, которые стоит:
а) обновить до безопасной версии
б) отключить, если таковой не имеется.

Все наверное знают, что есть очень много разных способов угрозы безопасности. Их действительно достаточно, сколько их узнаете прочитав под катом.

     О! Интересную штуку откопал. Все вы наверное знаете, что часто взлом начинается со сканирования портов. Впрочем, часто со сканирования портов начинается не только взлом.
     Для сканирования портов применяется например тул под названием nmap. Это консольная утилита, которая умеет определять открытые порты. А так же догадываться, что за ОС стоит на атакуемой (сканируемой) машине.
     Так вот…

В Haiku векторные иконки такие компактные, как же так? Вы, наверное, ожидаете какой-нибудь хак, но секрет в том, что HVIF (Haiku Vector Icon Format) довольно прост. Самое главное, что этот формат оптимизирован для иконок. Как только вы соглашаетесь с этим простым предположением, сразу же приходят идеи различных способов оптимизации объёма данных.

В общем, купил я себе читалку Nook, читал-читал несколько недель, а потом мне захотелось написать что-нибудь под нее и это начинание перешло в русифицированную прошивку, сделанную вместе с хабраюзером nilov и при помощи разных людей с nookdevs.org, включая JesusFreke и poutine.

Не так давно я решил узнать, где находятся открытые wifi-точки в моём районе. Для этого мне потребовался ноутбук и GPS-приёмник. Ноутбук благо нашёлся довольно быстро. А вот с GPS пришлось помучаться.

Из арсенала моих гаджетов нашёлся только один, умеющий определять местоположение, и это был HTC Hero. Работающих программ, позволяющих превратить свой КПК в приёмник я не нашёл, да и все они хотели, чтобы телефон подключался по Bluetooth, что съедало бы зарядку мобильного за несколько минут.

Идея

К сожалению, Android не позволяет телефонам с официальной прошивкой работать с USB, зато он разрешает посылать логи через кабель в debugger. Я решил воспользоваться именно этим.

Реализация

Первым делом я прикрутил к своей уже написанной программе на Дройд ведение логов ( Log.i(«DroidGPS», (NMEA + "\n"));), важно было посылать логи именно в NMEA-строке. Для её формирования я вытянул класс из нерабочей программы, найденной на просторах Интернета.

С 15 декабря стартовало online-соревнование по защите информации — Hack
Quest 2010, представляющий из себя урезанную игровую инфраструктуру Hack
Quest, который проводился в конце августа на площадке фестиваля Chaos
Constructions 2010. В рамках конкурса участники могут попробовать свои
навыки в области оценки защищенности, поиска и эксплуатации уязвимостей,
реверс-инжиниринга. Игровая инфраструктура содержит уязвимости «живой
природы». Таким образом участник может почувствовать себя настоящим
взломщиком :)

Всего игровая инфраструктура Hack Quest 2010 Online содержит 17 ключей
(флагов) общей стоимостью 100 очков (баллов). Принять участие в соревновании
может любой желающий. Подробности по следующей ссылке: www.securitylab.ru/hq2010

Вашему вниманию предлагается интересный двухуровневый квест по тематике информационной безопасности в сфере технологий WEB 2.0.

Сервер: http://46.4.187.243:8080/
Задача:

Минимум – получить часть исходного кода серверной части приложения.
Максимум – добиться выполнения своего кода на стороне сервера.

Задание не типичное и довольно сложное. Успехов в прохождении!

Примечание: сервер слабенький, поэтому использовать автоматизированные средства не рекомендуется. Более того, для решения задания автоматизация не поможет :)

Автор задачи Qwazar. Подробности по ссылке: http://qwazar.ru/?p=68

Подведены итоги Facebook Hacker Cup. Соревнование, в котором приняли участие 11768 человек со всего мира, проходит в формате решения сложных алгоритмических задач в три раунда «на вылет». Двадцать пять финалистов были приглашены в штаб-квартиру Facebook в Пало-Альто для последнего состязания.

В финал попали 7 представителей Польши, 6 — из России, 4 — из США, 2 — из Японии и по одному из Китая, Германии, Нидерландов, Сингапура, Швейцарии и Украины. Все они смогли провести 2 дня в офисе Facebook: встретиться с разработчиками, пообедать в Cafe X, поиграть Catan и попытаться прокатиться на RipStik.

Участники имели возможность выбора машины (Mac или PC), после чего начался финальный раунд. От финалистов требовалось решить три алгоритмические задачи: Party Time, Safest Place и Alien Game — как можно быстрее.

Результаты представляются на суд по мере готовности решения для каждой из задач, и по окончании двухчасового раунда подсчитвается итоговое количество баллов для каждого участника.

Условия задач можно посмотреть в блоге Facebook Engineering (впрочем, если будет спрос — я могу попробовать перевести их позже).

В итоге «золото» досталось нашему соотечественнику Петру Митричеву (участнику и призеру многих аналогичных соревнований).

UPD #1 — интересные подробности от Skiminok:
Добавлю ещё, что там была потрясающая интрига касательно победителя.
Главный соперник Митричева — Lou Tian Cheng, также известный как ACRush.
Принцип этого соревнования таков, что каждая из трех задач оценивается в 1 очко, и в турнирной таблице выше тот, у кого больше сдано задач, а при равенстве выше тот, у кого суммарное время, потраченное на каждую задачу с начала раунда, ниже. При этом финальная проверка ответов происходит только после того, как раунд закончится.

Так вот, ACRush опережал Митричева на протяжении всего раунда. Митричев сдавал те же задачи, по количеству они всегда были одинаковы — но ACRush сдавал их быстрее, мы уже и не надеялись на победу Пети. И тут раунд заканчивается, происходит финальная проверка, и у ACRush падает одна из задач с неправильным ответом, и он оказывается с двумя очками, и опускается на два места, пропуская вперед Петю с тремя решенными медленнее, но правильно.

UPD #2 — перевод собственно задач (опять же спасибо Skiminok)

В этот раз атаке подвергся сайт Sony BMG Greece, была украдена база данных, содержащая логины, e-mail`ы и реальные имена зарегистрированных пользователей.

Двое исследователей из Калифорнийского университета в Дэвисе (UC Davis), Хао Чэнь (Hao Chen) и Лянь Цай (Lian Cai) нашли способ определять, какие клавиши были нажаты на экранной клавиатуре ОС Android путем измерения смещений, покачиваний и вибрации устройства, измеренных встроенным акселерометром [Прим. перев.: и гироскопом]. Это важно, поскольку данные от акселерометров не рассматривались как потенциальный вектор атаки, и, таким образом, свободно доступны любому приложению на любом смартфоне или планшете.

Наверное все в курсе последних ливийских происшествий где сейчас на улицах Триполи ведутся бои между повстанцами и силами лояльными полковнику Кадаффи. На сегодня в городе нет даже телефонной связи. Но все ливийские домены различных сервисов как bit.ly и brief.ly продолжают работать.

Канал Microsoft на Youtube был взломан 23.10.11 18:48 по Москве. Все видео из него были удалены и залиты несколько новых, первые залитые были с названиями «We Are Sponsoring !» и «Make us a Background to Get Subbox !!!». Кроме того в шапке недолго висел логотип компании Apple. За вечер внешность и содержание канала несколько раз менялось. В данный момент на нём находится видео записи тематики MS. За вечер в канале прибавилось более 700 комментариев. До этого, за всё существование канала их набралось всего порядка 1450. Сам канал www.youtube.com/user/Microsoft



Пока единственный официальный комментарий происшедшего от Microsoft гласит «Мы вернули себе контроль над учетной записью Microsoft на YouTube и работаем над восстановлением оригинального контента. Мы продолжим работать совместно с YouTube, чтобы обеспечить защиту от повтора подобных инцидентов в дальнейшем»

Недавно я усиленно разрабатывал свое приложение под Android, и в процессе защиты платной версии понял, что довольно сложно обезопасить приложение от взлома. Ради спортивного интереса решил попробовать убрать рекламу из одного бесплатного приложения, в котором баннер предлагается скрыть, если заплатить денежку через In-App Purchase.


В этой статье я опишу, как мне удалось убрать рекламу бесплатно и в конце — несколько слов о том, как усложнить задачу взломщикам.

0. Оглавление

• 1. Предисловие
• 2. Хак eMMC памяти HTC Desire HD с целью изменения идентификационной информации телефона
• 3. Создание телефона-оборотня с использованием криптографии
• 4. Ложная безопасность: обзор угроз несанкционированного доступа к данным
• 5. Заключение

1. Предисловие

Мобильные гаджеты стали неотъемлемой частью нашей повседневной жизни, мы доверяем им свои самые сокровенные тайны, а утрата такого устройства может привести к серьезным последствиям. Сегодня много внимания уделяется освещению вопросов мобильной безопасности: проводятся конференции, встречи, крупные игроки выпускают комплексные продукты для персональной и корпоративной защиты мобильных устройств. Но насколько такие средства эффективны, когда устройство уже утрачено? Насколько комфортны они в повседневном использовании – постоянные неудобства с дополнительным ПО, повышенный расход батареи, увеличенный риск системных ошибок. Какие советы можно дать беспокоящимся за сохранность своих мобильных данных? Не хранить ничего важного на смартфоне? Тогда зачем он такой нужен – не птичек же в космос отправлять, в самом деле?
Сегодня я хочу поговорить с вами об устройствах под управлением ОС Android, созданной глубокоуважаемой мною компанией Google. В качестве примера я использую неплохой смартфон прошлых лет от компании HTC – Desire HD. Почему его? Во-первых, именно с него мы начали свою исследовательскую деятельность в области безопасности Android-устройств, во-вторых – это все еще актуальный смартфон с полным набором функций среднестатистического гуглофона. Он поддерживает все версии Android, в нем стандартный взгляд HTC на организацию файловой системы и стандартная же раскладка разделов внутренней памяти. В общем, идеальный тренажер для защиты и нападения.
С этим докладом я выступил на вот-вот только прошедшей конференции ZeroNights 2012 и теперь хочу презентовать его хабрасообществу. Надеюсь он будет вам интересен и даже немного полезен.

Типичная работа сотрудника глазами самого сотрудника и глазами отдела безопасности

Первые две части данной темы были посвящены преимущественно веб-ресурсам. Эта часть более общая и не имеет как таковой привязки к профилю проекта (все же за исключением пары пунктов). Она освещает возможные, популярные векторы атак на сотрудников и на техническое обеспечение офиса компании (p.s. изначально хотел написать про security-тестирование, но решил «перепрыгнуть» эту тему в силу разных причин).

Автор не несет никакой ответственности за незаконное использование описанных методик и/или инструментов.

Вы когда-нибудь задумывались о том, как расширить ядро PHP? Что нужно для того, чтобы создать новое ключевое слово или даже разработать новый синтаксис? Если у вас есть базовые знания языка C, то проблем с созданием небольших изменений возникнуть не должно. Да, я понимаю, что это может быть немного бессмысленно, но неважно — забавно ведь.

Давайте создадим альтернативный способ определения класса. Самый простой способ определения, разрешённый в PHP, выглядит следующим образом:

<?php
class ClassName {}

Мы можем упростить синтаксис и заменить фигурные скобки на точку с запятой.

<?php
class ClassName;

Если вы попытаетесь выполнить этот код, то он, очевидно, выдаст ошибку. Не проблема, мы можем это исправить.