• Хакаем WhatsApp, часть 2 – разбор Whatsapp VOIP протокола
    0
    Автор, спасибо за работу. Ложка дегтя. Немного или даже много сбилось оформление. В середине читать стало сложно.
  • Как дочка Роснано, продавшая с Ростехом тысячи камер в школы, делает «российские» камеры c дырявой китайской прошивкой
    0
    Смело, однако. Думаю, в понедельник-вторник статьи здесь уже не будет. Хабр — место публичное, известное и достаточное людное в технических кругах.
    Автор -молодец.

    Следующий шаг — написать свою прошивку, собрать лист камер, пройтись брутфорсом, получить доступ и обновить прошивку на свою чистую и честную, сделав работу «за них» =) На работу не возьмут (а могут еще и срок впаять), но история выйдет в лучших традициях хакерских сериалов (естественно, whitehat смысле).
  • «Двойное дно Telegram» — Конкурс на $5000
    0
    Ух уж эти конкурсы с громкими суммами. Я уж грешным делом подумал, опять конкурс от Дурова, но с каким-то «обнищавшим призом» :)
    Напишите все тоже самое, только за 15.000$ — xss.is/threads/37983 (если что, не реклама)
  • Как Hyundai данные оберегал
    0
    Автор, зачем себе портить нервы? Лично я уже ничему не удивляюсь после описанного здесь, на хабре, случая со Steam'ом. Человек сообщал несколько раз о багах, а в ответ ему просто забанили акк, вместо выплаты багбаунти. Чему еще удивляться, после такого?

    Рекомендую кейс: нашли баг => отправили вендору на е-маил => выждали необходимое количество дней (мораль, закон) => слили в паблик (на хабр или хакерские форумы) с пометкой о снятии с себя ответственности. И пусть заработают хакеры на этом, значит :)

    Почему белошляпник должен бегать за компанией? Умолять, объяснять? Звонить 10 раз в колл-центр? Должно быть наоборот.
  • Безалаберность пользователей PayPal позволяющая украсть их аккаунт и деньги [Исправлено]
    0
    Да, верно, но РР я и не имел ввиду, у них принцип работы и задумка другие. А переводы между аккаунтами? В любом случае, каждая платежная система на операциях/действиях берет свой %, это ведь аксиома.
    Поэтому «Обменники комиссию берут» — конечно же, берут. Не считаю это минусом криптовалюты.
  • Как мы антифрод систему в четыре руки и три головы писали
    0
    Вопрос к автору. Речь шла именно о чистых EverCookie? Или вы дорабатывали? Почему спрашиваю — инструмент ведь довольно устаревший (хоть и единственный из публичных в своем роде). Легко чистится в браузере и обходится тем же тором. Т.е., как на сейчас, малополезен.

    А если дорабатывали, интересно узнать — как и что.
  • Безалаберность пользователей PayPal позволяющая украсть их аккаунт и деньги [Исправлено]
    –1
    Комиссию берет каждая платежная система и сервис. Webmoney, Paypal, ЯД, Qiwi и т.д т.п. тоже ведь не бесплатно деньги переводят между аккаунтами и, тем более, выводят в нал.
  • Безалаберность пользователей PayPal позволяющая украсть их аккаунт и деньги [Исправлено]
    0
    Проблемы есть. Как показывает моя заминусованная карма, проблема — прежде всего, наше общество, которое к крипте еще не готово ;) И это на хабре, тематическом ресурсе, где по логике, к таким новшествам должны относиться с позитивом. Но, видимо, аудитория хабра сейчас состоит больше из IT-менеджеров, чем из технарей :)

    Все остальное — это не аргументы. Ведь забыть можно все, что угодно. И кредитную карту потерять. И кошелек в трамвае забыть. И пароль от входа в клиент-банк забыть. Это ведь общие человеческие проблемы, при чем здесь крипта. Если за собой замечаются такие вещи, значит пароли нужно ставить проще или записывать куда-то. Или жене бумажечку с паролем и флешку с криптой отдать на хранение :)

    Ну ничего, парочку законов ФЗ-115, несколько раз залочит PayPal (как меня). И сразу захочется пользоваться криптой. Уже не лень и появляется желание (проверенно на себе).

    Даже под этой статьей ниже человек жалуется на блокировку и «потерю» денег в РР.
  • Безалаберность пользователей PayPal позволяющая украсть их аккаунт и деньги [Исправлено]
    –3
    Хранить — в криптовалюте на локальном кошельке. Неудобство только в том, как платить (увы, пока далеко не каждый сервис принимает те же биткоины). Как средство платежа — это пока действительно неудобства.

    Для тех, кто боится колебаний курса, есть стейбкоины (USDT и так далее, они привязаны к доллару 1:1). Вся установка — это установка программы для хранения и выбор биржи/обменника для операций ввода-вывода на ту же карту Сбера, например.

    Деньги где-то, не у тебя в руках, это всего лишь запись на счете, не более. У криптовалют хватает своих недостатков, но как минимум, есть одно преимущество, превышающее все минусы — деньги у тебя в руках и их не смогут заблокировать только потому, что у оператора службы поддержки сегодня плохое настроение (привет, вебмани, надеюсь, вы уже умерли естественной смертью?)

    Как человек, у которого гребанный paypal (и не менее идиотская webmoney) блокировала кошельки, я согласен с человеком выше. Деньги я, конечно, не потерял, все восстановил, деньги ведь были мои и честные-легальные, но вот сколько нервов и сил было потрачено зря… недели и месяцы, но с тех пор paypal'ом не пользуюсь.
  • Данные 9 млн клиентов «Билайна» утекли в сеть
    0
    Шутка юмора в том, что чем больше законодатели беспокоятся о «защиты персональных данных», тем больше этих персональных данных утекает =)
    Да, сливы были и раньше, сливают все и всегда. Но этот месяц — прям-таки особенно «злачный». Осталось загибать пальцы и считать то, что еще не утекло.
  • Дуров не имеет никакого отношения к TON
    +1
    «Таки он существует» и даже скоро будет запущен (в каком-то виде).

    Разработчики TON официально подтвердили запуск платформы в октябре

    Инвесторы блокчейн-проекта Telegram Open Network (TON) получили письмо, в котором разработчики официально подтвердили запуск платформы в конце этого месяца. Инвесторы также получили доступ к ПО для генерации ключей. Об этом сообщает The Bell.

    С помощью ПО под названием TON Key Generator необходимо создать два ключа шифрования — персональный закрытый и открытый.

    Последний необходимо отправить команде TON по почте не позднее 16 октября. После с инвесторами свяжутся для подтверждения информации.
  • ФСБ требует заблокировать почтовые сервисы Mailbox.org и Scryptmail.com
    +1
    Блин, ну почему все всегда вот так у нас? Даже обычная процедура по обеспечению порядка, превратилась в интриги, закулисные игры ФСБ, какие-то «планы подрыва», «террористические акты» и вечную боязнь власти потерять свои насиженные места.

    Самое грустное, что все это перебралось из, казалось бы, далеких сфер — политика, власть, в наше «обычное рядовое IT».

    По сути вопроса — даже комментировать нечего. Смешно. ФСБ нужно запретить телефоны (и обязательно мобильные), ведь по ним тоже звонят с сообщениями о ложном минировании. Обязательно запретить гугло-яндексы, ведь там могут искать детское порно. А информацию черпать будем из газеты «Правда» образца 1960 года.

    Надоело все это, до боли в сердце.
  • Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос
    0
    Ну, если так уж честно сказать, правильно и намекнули. Если есть знания и время потестить, поучаствуйте тоже, так сказать :) Он же на то и оперсоурс, чтобы быть открытым для любых добрых начинаний.

    В целом, если так грубо, Exim сейчас популярнее. Так что, если в результате которого по счету CVE бага, его «очередь пройдет» и все перейдут на Postfix, думаю, там обнаружится все тоже самое.

    Для меня между Exim/Postfix отличия слились, грубо говоря, в то, что Postfix модульная система :) Еще в Postfix конфиги лаконичнее и проще, но это субъективно.
  • Большая часть Android-устройств уязвима к фишинговым атакам через смс
    +2
    С одной стороны — да. С другой, даже не 50%, а 5% Самсунгов на андроиде — это уже катастрофа (самсунг — это ~300 млн проданных смартов/год). Проблема в распространенности.
  • Исследователь обнаружил утечку данных 419 млн пользователей Facebook
    +1
    Это неизбежно, только дело времени. Компания (в данном случае ФБ), собирающая столько данных о пользователях, все равно рано или поздно их потеряет. Из-за кривых субподрядчиков, из-за СИ, человеческого фактора, из-за багов и уязвимостей. Невозможно собирать данные направо и налево о миллиардах людей (обо всем) и при такой сложной инфраструктуре, как у ФБ, их надежно «спрятать» и «хранить».

    Так что, мне кажется, или ФБ пойдет по пути уменьшения количества метрик и сборов перс.данных, или постепенно, потихоньку «сдуется», как десятки гигантов до них.
  • Когда 'a' не равно 'а'. По следам одного взлома
    +2
    nginx — достаточно безопасный и очень стабильный продукт. Да и серьезных багов в нем очень мало. Проблема в 9 случаев из 10 в Wordpress/Joomla/плагинах для них и т.д т.п.
    Хакают через дырявые плагины, а потом заливают шелл и уже повышают привилегии.
  • Год за рулём электромобиля
    0
    Все отлично. Но запас хода 200км — это мало, и вообще, и по сегодняшним реалиям. Я бы смотрел в сторону Hyundai Kona
    Кто-то выше упоминал в комментариях его цену 65k$ — это не так. Цена на версию 64kwh — 40k$ в Европе — www.hyundai.lv/ru/wp-content/uploads/sites/2/2018/10/082019_Baltic-pricelist_lv-ru.pdf
    В штатах наверняка будет еще дешевле.
    Так у него запас хода ведь совсем другой. Красооота!
  • ASIC-майнер second hand: риски, проверка и переклеенный хэшрейт
    0
    Все чаще в последнее время ловлю себя на мысли, что в реальности: Срок гарантии = Предельный срок эксплуатации + ~10-25%. При условии эксплуатации девайса целиком. Касается большинства устройств, выпущенных в последние 2-3 года.

    Не знаю, прав ли я. Или это просто комплекс старика, типа «вот вот в мою молодость, 50 лет назад было лучше, трава зеленее, небо голубее».
  • Утечка персональных данных предположительно сотрудников ОАО «РЖД»
    +4
    Т.е. даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных.

    А смешнее всего, что они таки правда будут блокировать эти самые сайты. И еще отчитаются на какой-то пресс-конференции об «успешно отраженной атаке». Не найдя реальную причину слива. Ведь действия РКН — это сплошной оксюморон.
  • Valve признала свою ошибку, когда хакер Василий Кравец опубликовал второй 0day для Steam
    0
    Какой же абсурд.

    Ждем следующую новость «Valve пошла навстречу исследователю и в качестве жеста доброй воли соизволила разбанить исследователя в H1. Чтобы он имел возможность в будущем слать отчеты. Конечно же, без выплаты вознаграждения, ведь вам всем показалось в продуктах Valve багов нет».

    Надеюсь, больше не один вайтхет не будет им слать баги в H1, а будут сразу же сливать блекхетам. С целью профилактики и перевоспитания. Чтобы ценили, что люди за копейки на фоне возможных потерь, спасают им репутацию.
  • Microsoft выплатит до 30 тыс. долларов за найденные уязвимости в новой сборке браузера Edge
    0
    Все это так по-майкрософтовски :)
    В принципе, если включить режим «КЭП», то баги будут в том, что они дописали поверх, а именно:
    возможность настройки новых вкладок;
    режим совместимости с Internet Explorer 11.

    Узкие места, имхо.
  • И ещё один Steam Windows Client Local Privilege Escalation 0day
    +1
    Вот буквально спрашивал в комментах к прошлой статье — забанили ли?
    В итоге меня забанили Valve на H1 — я не могу участвовать в их программе по отклонению уязвимостей (остальной H1 мне доступен).

    Получил ответ =) Класс, что сказать, отличный подход. В следующий раз продайте на черном рынке найденный у них баг, желательно подешевле, чтобы как можно больше блекхетов заюзали баг и поюзали их. Раз по-человечески не реагируют.
  • Об анонимности в интернете, жизни и её относительности
    0
    Некоторые вещи параноидальны =) Но, в целом, все верно.

    Но почему VeraCrypt? Ведь неоднократно всплывала информация, что тот самый «независимый аудит» VeraCrypt был проверен аффилированной структурой Quarkslab (своими же) и оказался вполне зависимым.
    Возможно, лучше таки ориентироваться на TrueCrypt 7.1а? (предпоследняя версия)
  • Steam Windows Client Local Privilege Escalation 0day
    0
    Обычно после таких вот публичных срачей раскрытий, компании таки идут на контакт, выплачивают положенное вознаграждение. И присылаются отписку, мол «Сотрудник Вася ошибся, просим прощения».

    Но не уверен, что Valve «нормальные», учитывая, сколько раз я читал на тематических форумах «I found XSS in Steam, reported via ticket and email, posted on their forums and found my steam account disabled» и т.д. в таком же ключе.

    Интересно, xi-tauw, локнут ли вам сам аккаунт. Если заблокируют — вообще отпетые.
  • Habr Special // Подкаст с автором книги «Вторжение. Краткая история русских хакеров»
    0
    Купил себе бумажный вариант, начну читать на викенд :)

    Увы, уже даже «пиратский» вариант начал гулять по сети. Хотя книга стоит всего 500р. Я бы сделал на месте книгоиздателей микс — бумажный, для тех, кто любит олдскул, запах бумаги и хочет пополнить коллекцию. И электронный, кто хочет просто почитать, но за 30% стоимости бумажного варианта. Так бы и пиратство было сведено к минимуму.
    Много где такое уже реализовано, кстати.
  • Tesla резко наращивает объемы производства электромобилей
    0
    В любом случае, Tesla пока не способна полностью удовлетворить спрос. И так продолжается уже много лет подряд, компания не может справиться с кризисом роста. В западноевропейских странах (особенно, север, Норвегия, Дания, Швеция и т.д.) спрос просто зашкаливает.

    В общем, тот случай, когда отличный маркетинг, хороший продукт, но проблемы с логистикой, поставщиками и организацией производства. В итоге — рекордные убытки с квартала — в квартал. А результатами крутого маркетинга удачно пользуются конкуренты (тот же Nissan).
  • Иследование современного Malware Cerberus под Android
    0
    Нагуглил и такой обзор: xss.is/threads/30415
  • На пенсию в 22
    0
    Кстати, в дополнение к моему предыдущему комменту. Еще есть большая разница между полом (м/ж). Я где-то читал американское исследование, что для женщины профессиональное выгорание более свойственно. Мужчина более вынослив и психологически готов «добывать» всю жизнь. А женщина — ввиду глубоко сидящего материнского инстинкта (пусть даже, в 22 года — чисто теоретического, сидящего очень глубоко и не реализуемого), женщина физиологически больше смотрит в сторону семьи и меньше приспособлена к тяжелой постоянной работе/нагрузкам.

    Проще говоря, девушка, если выгорела на работе, стоит подумать в сторону семьи/рождения детей. Это может быть чисто инстинктивное.

    Прошу меня не обвинять в сексизме ))
  • На пенсию в 22
    +2
    С одной стороны — совершенно верно, сам задумывался об этом. Нужно миксовать досуг и работу, иначе когда одного из этих факторов становится много, жизнь начинает идти не в радость. Т.к. очень важен правильный баланс. Иначе сдуешься.

    С другой же стороны. Мне 41 год. В полноценном отпуске, вот так, чтобы на 2 недели отключить мозги, я не был >10 лет (так давно, что даже не помню, когда это было).
    Не выгорел. Работаю по 10-12-14 часов в день. Но в выходные отдыхаю.
    Возможно, дело просто в работе? Если заниматься тем, что реально приносит кайф, выгорания не происходит (проверено мной лично) :)

    Имхо, автору нужно менять работу — на более кайфовую.