• Превратить группу камер наблюдения в ботнет? Нет ничего проще



      Уже долгое время специалисты по информационной безопасности говорят о том, что современные IoT устройства и системы слабо защищены от вмешательства извне. Некоторые из них вовсе не защищены, и взломать подобный гаджет или целую систему может даже школьник. Около года назад специалисты из Proofpoint обнаружили ботнет, основными элементами которого была домашняя «умная» техника. Как оказалось, в ботнет входили телевизоры и даже один холодильник.

      Взлом, о котором идет речь, был осуществлен между между 23 декабря 2013 года и 6 января 2014 года. Гаджеты, составляющие ботнет, три раза в день отправляли письма пакетами в 750 тысяч за раз со 100 тысяч устройств (да, это был большой ботнет) предприятиям и частным лицам по всему миру. Но легче всего для злоумышленников, как оказалось, использовать для создания ботнета не холодильник и не телевизор, а камеру безопасности, подключенную к Сети.

      При этом именно камеры безопасности являются одними из наиболее распространенных IoT устройств. В Сети уже публиковались отчеты, согласно которым в прошлом году по всему миру работало около 245 миллионов камер наблюдения. И это только те, что установлены профессионально, о которых что-то известно. Кроме них, есть еще миллионы других камер, установленные, образно говоря, домохозяйками, которые ничего не знают о безопасности и, соответственно, не использовавших настройки безопасности для своих устройств.
      Читать дальше →
      • +15
      • 21,1k
      • 9
    • Зарабатывающая идея реального форекс-робота

        Общеизвестно, что заработать на форекс невозможно. Изменения курсов валют носят случайный характер, а комиссия брокера уменьшает вероятность положительного итогового заработка, часто делая ее совсем непривлекательной, ― ниже, чем в казино, например. Тем не менее, я содержу себя и свои проекты исключительно за счет форекс уже три года, я шел к этому около 7 лет и, вспоминая этот путь, решил написать заметку для тех, кого привлекает эта антинаучная возможность заработка.

        Речь пойдет не о чудесных Граалях, продаваемых в интернете, не о высокочастотной торговле и не о «безрисковых» вложениях в мифические ТОП-20 лучших трейдеров. Только хардкор: мы проводим многочисленные торговые операции, кто-то вручную, кто-то ― автоматически, и получаем в результате этих операций положительный прирост счета при статистически значимом количестве сделок.
        Читать дальше →
      • Балансировка MySQL

          Это краткая заметка как настроить отказоустойчевый кластер с балансировкой нагрузки из 2 MySQL серверов. Исходные данные 2 свежеустановленных MySQL сервера. Необходимо настроить работу таким образом, что бы в нормальной ситуации запросы балансируются между MySQL серверами, в случае выхода из строя одного из MySQL серверов все запросы идут ко второму.

          Читать дальше →
          • +5
          • 16,9k
          • 4
        • Практика настройки Mikrotik для чайников

          UPD: 01/08/2018

          Есть задача: настроить устройство на базе RouterOS в качестве замены SOHO роутера для дома или небольшого офиса. Это HOWTO, потому технических подробностей будет минимум, Next-Next-Next-Ok и вы получаете готовое к работе устройство, так что приступаем.
          Читать дальше →
        • Мобильные телефоны для/против спецслужб

            — Здравствуйте, это вам из ФСБ звонят.
            — Я знаю.
            — Откуда?
            — Вы мне на выключенный мобильник дозвонились.


            Какой самый защищенный телефон?

            Вот какие телефоны последние 2 недели стали жителями моего рюкзака. Знающие люди сразу поймут, что это за две трубки слева.

            Чем больше я копал, тем печальнее мне становилось. Каждый (второй?) человек на Земле носит с собой жучок и за просто так отдает всю свою коммуникацию на блюдечке третьим лицам. И никто об этом не парится кроме профессиональных параноиков.

            При том, что телефонов на планете больше, чем всех других устройств вместе взятых (немного загнул, но почти так), материалов катастрофически мало. Например, я до сих пор толком не нашел описаний тех команд оператора, которые скрытно включают телефон на прослушку. Или как операторы и органы борются (и борются ли) со скремблерами?

            Почему нет хакерских/опенсорсных проектов телефонов? Вон, ноутбук запилили, чем мобильник сложнее?
            (Хотя вот тут есть кой-какие обсуждения).

            Давайте на секунду задумаемся, как бы выглядел хакерский телефон?
            Какие бы функции у него были, чем он был бы нафарширован из железа и из ПО.
            А пока посмотрим, что есть на рынке, какие штучные решения уже реализованы, что можно у них подсмотреть.
            Читать дальше →
          • SCADA и мобильники: оценка безопасности приложений, превращающих смартфон в пульт управления заводом

              image

              Сегодня мобильные технологии – неотъемлемая часть нашей жизни, и иногда проникают туда, где их не следовало бы использовать. Удобство часто оказывается важнее безопасности. Сейчас можно отслеживать состояние АСУ ТП (автоматизированной системы управления технологическим процессом) или даже управлять ей с новенького смартфона на Android или iOS. Поищите “HMI” (человеко-машинный интерфейс), “SCADA” (система диспетчерского контроля и сбора данных) или “PLC” (программируемый логический контроллер) в магазине Google Play, и вы удивитесь количеству результатов. Более того, многие из этих приложений разработаны серьезными производителями: Siemens, GE, Omron и т. д., и обеспечивают доступ, контроль и управление HMI, PLC, DCS (распределенная система управления) и SCADA-системами в инфраструктуре АСУ ТП. Безопасны ли они? Может ли злоумышленник нанести вред, получив доступ к планшету инженера-технолога? Какие уязвимости существуют в этих приложениях? Какие векторы атак возможны?
              Читать дальше →
            • Обзор площадки для тестирования веб-уязвимостей OWASP Top-10 на примере bWAPP

                Привет, Хабр!

                В этой статье предлагаю читателю ознакомится с уязвимостями веб-приложений (и не только), по классификации OWASP Top-10, и их эксплуатацией на примере bWAPP.

                image

                Читать дальше →
                • +17
                • 47k
                • 8
              • Must-read книги за 2014 год по ИБ и программированию

                  Пока вся страна готовится к новому экономическому кризису, судорожно скупая всевозможные товары, продукты и недвижимость, мы предлагаем всем заняться саморазвитием, вложиться в себя. Ведь гречка с макаронами скоро будут съедены, но зато на новые харчи можно будет заработать, вложив время в самообразование. Сами понимаете, в непростые времена выгодно быть универсальным, неприхотливым и не болеющим. О последних двух качествах, возможно, поговорим отдельно, а сейчас обсудим ассортимент наиболее интересной литературы по информационной безопасности и программированию, опубликованной в 2014 году.

                  Безопасность


                  Тактика хакера: практическое руководство по тестированию на проникновение (The Hacker Playbook: Practical Guide To Penetration Testing)




                  Книга написана в стиле планирования футбольной игры. Здесь подробно и пошагово разобраны проблемы и трудности, с которыми сталкиваются специалисты по безопасности, тестируя системы защиты. В частности, рассматриваются атаки на различные типы сетей, обход антивирусов и взлом систем безопасности. Автор книги — Питер Ким, специалист по IT-безопасности с многолетним опытом, CEO компании Secure Planet.
                  Читать дальше →