Зображення: Kevin Spencer | Flickr

Дуже часто кіберзлочинці використовують для зломів поширені механіки, а також недоліки захисту та вразливості ІТ-систем. Цю тезу підтверджує цю тезу і приклад одного з розслідувань атаки на телекомунікаційну компанію зі Східної Європи — про нього ми сьогодні розповімо докладніше.
Читати далі →


Всі ми читаємо історію про викрадення акаунтів, троллим за слабкі паролі і думаємо, що з нами цього точно не станеться. Проте, трапилося. Під катом історія про те як я втратив свій skype-аккаунт і не зміг відновити.

Читати далі →

Правильний шлях становлення безпечника: від ламера до практичного эксплойтинга

Вітаю, тебе %хабраюзер%
Прочитав я тут статтю на хабре Іспит для майбутніх російських хакерів» у Московському Політесі

І мій мозок увійшов в нескінченний цикл нерозуміння того, що відбувається. То я зараз заглянув на школофорум «хакерів», то дійсно на хабр. Вже вибачте, з таким підходом поточного покоління вайтов просто не буде кому замінити.

У даній статті я хотів би написати, як на мою скромну думку ( раніше багхантера на стороні блэков ) варто було б дійсно починати шлях. І у жодному випадку не з Kali linux ( як виявляються викладають в політесі столиці )

Якщо вам цікавий почасти і мій шлях, ласкаво просимо під кат.


Читати далі →

Ламаємо Android. Як глибока кроляча нора?

image
Мій перший Android телефон Galaxy Note N7000 був придбаний відразу після анонсу в жовтні 2011 року. Завдяки одному німецькому умільцю під ніком bauner, у мене була можливість використовувати останню версію CyanogenMod (нині LineageOS). До тих пір, поки півтора року тому телефон не помер від китайської автомобільної зарядки.
Заміну шукав довго і зупинився на Kyocera (так, вони і телефони випускають) KC-S701. Він відрізняється брутальним зовнішнім виглядом і відсутністю сенсорних кнопок. Про root доступ до телефону я тоді навіть і не замислювався, вважаючи, що нині кожен телефон тим або іншим чином має можливість отримання root. І знайдеться умілець, який зможе під нього портувати CyanogenMod. Я помилявся.
За півтора року було випущено всього одне оновлення — фікс падіння ядра від спеціально сформованого ping пакета. А Android KitKat вже рік тому був не першої свіжості. Root доступ на цей телефон так ніхто і не отримав, і ніякої інформації про нього не було. Зазначу, що теж саме залізо використовується в американській версії телефону Kyocera Brigadier E6782, в якому за замовчуванням активовано режим fastboot і немає обмеження на запуск " непідписаних ядер (саме запуск, а не прошивку, і тільки при використанні непропатченного bootloader'а, CVE-2014-4325) і є можливість завантажуватися в ці режими шляхом затиснення кнопок телефону. Стараннями Verizon (а може Kyocera?) версія Android на Brigadier була оновлена до Lollipop.
Отже, я вирішив розібратися з процесом отримання root на Android самостійно.
Читати далі →

SQL ін'єкція в GitHub Enterprise



Привіт Хабр,

Нижче розповідь автора Orange Tsai про те, як він цілеспрямовано шукав уразливість в корпоративній версії GitHub і в підсумку виявив можливість SQL ін'єкції. Тут, на хабре, раніше вже публікувався інший переклад його статті "Як я зламав Facebook і виявив чужий бекдор".

Читати далі →

Злом на борту літака


На протязі 5 років, які я працюю в IOActive, мені довелося побувати в багатьох цікавих місцях за тисячі кілометрів від дому. Тому політ для мене став звичайним явищем. Можна подумати, що в цьому немає нічого особливого, але не для мене, як людині яка боїться літати. Не сказати, що мені вдалося позбутися від цієї фобії; після дюжини польотів долоні все ще пітніють при зльоті, але я з цим змирився, навіть, можна сказати, мені іноді подобається літати… і зламувати системи прямо з борту.

Читати далі →

Досвід роботи зі зламаним сервером

image

Хочу поділитися своїм досвідом початківця системного адміністратора. Так вже сталося, що мій перший млинець грудкою — це була пропозиція зайнятися інфраструктурою в одній маленькій компанії. Ситуація складна. Ніякої автоматизації, все вручну і за принципом: працює — не чіпай, а якщо не працює і ніхто не помітив, то вважай, що працює. Попередній співробітник не залишив майже ніякої документації. Ось доступ до серверів, кофемашина — там, начебто все…

Читати далі →

Змагання Underhanded Rust 2016

Команда зв'язків з спільнотою Rust рада повідомити про першому щорічному змаганні Underhanded Rust. Це змагання має перевірити наше припущення про готовність мови Rust його екосистеми до написання легко читається і надійного коду. Надихнувшись прикладами Underhanded C і Underhanded Crypto, ми хочемо, щоб ви змусили Rust працювати неправильно, використовуючи легкий для читання код, до якого складно причепитися. Нам потрібна ваша допомога у пошуку проломів в мові і способів їх виправлення. Чи зможете ви написати стовідсотково безпечний код, що приховує логічну помилку, або так заховати експлойт unsafe коді, щоб він пройшов аудит? Спробуйте це зробити!
Читати далі →

Злом «адмінки» роутера

*Тут могло бути попередження про те, що не потрібно користуватися цією програмою в злочинних цілях, але hydra це пише перед кожним сеансом злому*

image

Загалом, вирішив я по своїм потребам покопатися в налаштуваннях роутера, вбиваю я всім знайомий адресу, а тут пароль запитують. Як бути?
Ну, я почав перебирати паролі, а їх кількість занадто велика, що б перебирати всі і занадто маленька, щоб робити reset.

Читати далі →

ЗМІ дізналися про новий спосіб перехоплення паролів і PIN-коду з мобільних телефонів

imageБільшість користувачів впевнені, що PIN-код надійно захищає смартфони від несанкціонованого доступу. Проте новітні розробки ентузіастів і зловмисників можуть поставити під сумнів цей факт. Технології злому розвиваються чи не швидше, ніж методи забезпечення безпеки.

Нещодавно ЗМІ узнали про появу нової технології злому персональних даних користувачів через мобільний телефон, підключений до мережі Wi-Fi.

У популярному блоге колишнього технічного директора компанії SpringSource (творця Java-фреймворку Spring) Адріана Кольє (Adrian Colyer) The Morning Paper з'явилося опис цієї технології. Вона працює при введенні PIN-коду контактним способом.
Читати далі →