Оказалось, что за последней крупной утечкой GTA 6 стоит 18-летний британец Арион Куртадж — если это не история любви к своему делу, то мы вообще не знаем, что это тогда
Дело в том, что в прошлом году он находился под домашним арестом как участник группировки LAPSU$. С него начали брать показания и ради его же безопасности перевели жить в отель. Ему запретили пользоваться компьютером и интернетом.
Но парень просто сходил в супермаркет, купил там Smart TV приставку от Amazon. С помощью смартфона, клавиатуры и мышки Куртадж смог выйти в интернет и подключиться к защищенным серверам компании, скачав оттуда более 90 роликов. То есть одна из крупнейших утечек Rockstar Games случилась из-за 18-летнего подростка, который сидел в номере отеля с ТВ-приставкой, смартфоном, клавиатурой и мышкой.
Кто-нибудь, пригласите его уже на работу, парень явно любит своё дело.
#безопасность #кек
Дело в том, что в прошлом году он находился под домашним арестом как участник группировки LAPSU$. С него начали брать показания и ради его же безопасности перевели жить в отель. Ему запретили пользоваться компьютером и интернетом.
Но парень просто сходил в супермаркет, купил там Smart TV приставку от Amazon. С помощью смартфона, клавиатуры и мышки Куртадж смог выйти в интернет и подключиться к защищенным серверам компании, скачав оттуда более 90 роликов. То есть одна из крупнейших утечек Rockstar Games случилась из-за 18-летнего подростка, который сидел в номере отеля с ТВ-приставкой, смартфоном, клавиатурой и мышкой.
Кто-нибудь, пригласите его уже на работу, парень явно любит своё дело.
#безопасность #кек
Хамза Бенделладж — хакер, которого называют Робином Гудом
В русскоязычной среде полно информации о знаменитых хакерах вроде покойного Кевина Митника, однако мало кто знает о скандальном алжирском хактивисте Хамзе Бенделладже, которого многие считают Робином Гудом и который довольно известен в США.
Рассказали историю алжирского хакера Хамзы Бенделладжа, который украл миллионы долларов и стал народным героем вроде Робина Гуда: https://tproger.ru/articles/hamza-bendelladzh-haker-kotorogo-nazyvayut-robinom-gudom
#безопасность #история
В русскоязычной среде полно информации о знаменитых хакерах вроде покойного Кевина Митника, однако мало кто знает о скандальном алжирском хактивисте Хамзе Бенделладже, которого многие считают Робином Гудом и который довольно известен в США.
Рассказали историю алжирского хакера Хамзы Бенделладжа, который украл миллионы долларов и стал народным героем вроде Робина Гуда: https://tproger.ru/articles/hamza-bendelladzh-haker-kotorogo-nazyvayut-robinom-gudom
#безопасность #история
Ликбез по распространённым Client-Side уязвимостям
Хороший и качественный код — не всегда безопасный код. Поэтому любому разработчику важно иногда изучать ИБ практики, чтобы не упускать хотя бы самые очевидные уязвимости в коде.
Начнем с Client Side-уязвимостей. Это слабые места или ошибки в ПО, работающем на стороне пользователя. Их можно использовать для хакерских атак или несанкционированного доступа к системе.
В статье — самые распространённые виды уязвимости на стороне клиента и некоторые методы Client-Side защиты: https://habr.com/ru/companies/bastion/articles/757590/
#безопасность #веб
Хороший и качественный код — не всегда безопасный код. Поэтому любому разработчику важно иногда изучать ИБ практики, чтобы не упускать хотя бы самые очевидные уязвимости в коде.
Начнем с Client Side-уязвимостей. Это слабые места или ошибки в ПО, работающем на стороне пользователя. Их можно использовать для хакерских атак или несанкционированного доступа к системе.
В статье — самые распространённые виды уязвимости на стороне клиента и некоторые методы Client-Side защиты: https://habr.com/ru/companies/bastion/articles/757590/
#безопасность #веб
Может ли саундбар вас подслушивать?
Не ещё одна фобия, но увлекательное исследование, в котором специалист по ревёрс-инжинирингу решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести.
Будет интересно не только специалистам в области ревёрс-инжиниринга, но и всем, кто интересуется конфиденциальностью и безопасностью умных устройств. Читается как остросюжетный детектив: https://habr.com/ru/companies/bizone/articles/762122/
#безопасность
Не ещё одна фобия, но увлекательное исследование, в котором специалист по ревёрс-инжинирингу решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести.
Будет интересно не только специалистам в области ревёрс-инжиниринга, но и всем, кто интересуется конфиденциальностью и безопасностью умных устройств. Читается как остросюжетный детектив: https://habr.com/ru/companies/bizone/articles/762122/
#безопасность
FlipperZero? А может лучше NokiaZero?
Flipper Zero — модный хакерский мультитул, выполненный в стиле тамагочи. Так вот один энтузиаст решил не только прокачать клавиатуру устройства, но и заключить его в корпус легендарного кнопочного телефона Nokia.
Что получилось в итоге, а также как создавался сакральный мультитул из 2000-х, читайте в статье: https://habr.com/ru/articles/764600/
#diy #безопасность
Flipper Zero — модный хакерский мультитул, выполненный в стиле тамагочи. Так вот один энтузиаст решил не только прокачать клавиатуру устройства, но и заключить его в корпус легендарного кнопочного телефона Nokia.
Что получилось в итоге, а также как создавался сакральный мультитул из 2000-х, читайте в статье: https://habr.com/ru/articles/764600/
#diy #безопасность
Разработчик Flipper Zero выпустил версию устройства с прозрачным дизайном
Только вчера писали про энтузиаста, который попытался повторить функциональность FilpperZero в корпусе легендарной Nokia. А сегодня разработчики оригинального FlipperZero решили порадовать пользователей обновлением. Теперь видны внутренние компоненты и сложный дизайн. Так в компании показали приверженность открытому исходному коду.
Всего планируют выпустить 7,5 тыс. устройств, но стоить они будут как обычно — $169 за штуку. К тому же, один пользователь сможет купить не больше 2 устройств.
#безопасность
Только вчера писали про энтузиаста, который попытался повторить функциональность FilpperZero в корпусе легендарной Nokia. А сегодня разработчики оригинального FlipperZero решили порадовать пользователей обновлением. Теперь видны внутренние компоненты и сложный дизайн. Так в компании показали приверженность открытому исходному коду.
Всего планируют выпустить 7,5 тыс. устройств, но стоить они будут как обычно — $169 за штуку. К тому же, один пользователь сможет купить не больше 2 устройств.
#безопасность
Cloudflare включает ECH для миллионов сайтов, включая пиратские, — теперь их блокировка сайтов станет бесполезной
Cloudflare активировал функцию Encrypted Client Hello (ECH). Это новый стандарт конфиденциальности, который уже получил поддержку от таких браузеров как Chrome, Firefox и Edge.
Новая функция конфиденциальности делает невозможным отслеживание интернет-провайдерами посещенных абонентами сайтов и блокировку пиратских сайтов, если и сайт, и посетитель активировали ECH. Функция активна для всех пользователей бесплатных тарифных планов, которые используют многие пиратские сайты.
Что интересно, Cloudflare не упоминает о возможности обхода блокировок. Вместо этого компания «просто рада делать интернет более конфиденциальным и безопасным для всех».
#безопасность #интернет
Cloudflare активировал функцию Encrypted Client Hello (ECH). Это новый стандарт конфиденциальности, который уже получил поддержку от таких браузеров как Chrome, Firefox и Edge.
Новая функция конфиденциальности делает невозможным отслеживание интернет-провайдерами посещенных абонентами сайтов и блокировку пиратских сайтов, если и сайт, и посетитель активировали ECH. Функция активна для всех пользователей бесплатных тарифных планов, которые используют многие пиратские сайты.
Что интересно, Cloudflare не упоминает о возможности обхода блокировок. Вместо этого компания «просто рада делать интернет более конфиденциальным и безопасным для всех».
#безопасность #интернет
Мошенничество FTX: почему для мошеннических действий не стоит писать код на Python
FTX — онлайн-сервис обмена цифровых валют. В 2021 году компания имела более миллиона пользователей и объем торгов был третьим среди криптобирж. Уже в ноябре 2022 года компания подала заявление о банкротстве. Но в работе криптобиржи нашли много странных историй, похожих на мошеннические действия. До сих пор ведется расследование.
На днях стало известно, что свидетельства мошенничества FTX обнаружились в самом коде. Впервые взглянуть на кодовую базу FTX мы смогли в прошлую среду.
По идее, ознакомление жюри присяжных должно было сбить их с толку. Но инженеры FTX написали достаточно чистый код с описательными именами переменных и короткими функциями, а также выбрали человекочитаемый язык Python.
Например, этот фрагмент кода якобы демонстрирует данные с баланса страхового фонда, который колеблется, когда биржа добавляет фонды или изымает их для покрытия убытков.
Даже программисту-новичку будет понятно, что на самом деле разработчики просто обновляли сумму, прибавляя к ней объём торгов за день, умножая на случайное число и деля его на миллиард.
Если интересно посмотреть на другие фрагменты кода, указывающие на мошеннические действия, и почувствовать себя в роли следователя, эта статья для вас: https://habr.com/ru/articles/766960/
#безопасность #python #криптовалюта
FTX — онлайн-сервис обмена цифровых валют. В 2021 году компания имела более миллиона пользователей и объем торгов был третьим среди криптобирж. Уже в ноябре 2022 года компания подала заявление о банкротстве. Но в работе криптобиржи нашли много странных историй, похожих на мошеннические действия. До сих пор ведется расследование.
На днях стало известно, что свидетельства мошенничества FTX обнаружились в самом коде. Впервые взглянуть на кодовую базу FTX мы смогли в прошлую среду.
По идее, ознакомление жюри присяжных должно было сбить их с толку. Но инженеры FTX написали достаточно чистый код с описательными именами переменных и короткими функциями, а также выбрали человекочитаемый язык Python.
Например, этот фрагмент кода якобы демонстрирует данные с баланса страхового фонда, который колеблется, когда биржа добавляет фонды или изымает их для покрытия убытков.
Даже программисту-новичку будет понятно, что на самом деле разработчики просто обновляли сумму, прибавляя к ней объём торгов за день, умножая на случайное число и деля его на миллиард.
Если интересно посмотреть на другие фрагменты кода, указывающие на мошеннические действия, и почувствовать себя в роли следователя, эта статья для вас: https://habr.com/ru/articles/766960/
#безопасность #python #криптовалюта
Может ли саундбар вас подслушивать: исследование саундбара Yamaha YAS-109, часть 2
В прошлый раз автор решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести. Но исследование оборвалось на самом интересном месте.
В этот раз автору действительно удалось раскрыть уязвимости и недекларированные возможности, которые зачем-то встроил производитель. Все в стиле предыдущей статьи — читается на одном дыхании, будет интересно всем, кто интересуется конфиденциальностью и безопасностью умных устройств: https://habr.com/ru/companies/bizone/articles/768904/
#безопасность
В прошлый раз автор решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести. Но исследование оборвалось на самом интересном месте.
В этот раз автору действительно удалось раскрыть уязвимости и недекларированные возможности, которые зачем-то встроил производитель. Все в стиле предыдущей статьи — читается на одном дыхании, будет интересно всем, кто интересуется конфиденциальностью и безопасностью умных устройств: https://habr.com/ru/companies/bizone/articles/768904/
#безопасность
Взлом YouTube: как технически работает скачивание видео с популярного видеохостинга
Вы наверняка слышали о специальном софте, который позволяет скачивать видео с YouTube. Это — youtube-dl (yt-dl) и его клоны, такие как yt-dlp и yt-dlc.
Исходный код yt-dl и самого популярного клона yt-dlp написан на Python и опубликован на Github. Все инструменты используют стандартный интерфейс YouTube API, который постоянно меняется.
В статье рассматривают примеры обращения к YouTube API из командной строки и показывают, как работают «хакерские» способы, используемые в yt-dl и yt-dlp: https://habr.com/ru/companies/ruvds/articles/765798/
#google #безопасность #opensource
Вы наверняка слышали о специальном софте, который позволяет скачивать видео с YouTube. Это — youtube-dl (yt-dl) и его клоны, такие как yt-dlp и yt-dlc.
Исходный код yt-dl и самого популярного клона yt-dlp написан на Python и опубликован на Github. Все инструменты используют стандартный интерфейс YouTube API, который постоянно меняется.
В статье рассматривают примеры обращения к YouTube API из командной строки и показывают, как работают «хакерские» способы, используемые в yt-dl и yt-dlp: https://habr.com/ru/companies/ruvds/articles/765798/
#google #безопасность #opensource
А вы знали, что по времени между нажатиями клавиш можно предположить, что за буквы набираются в пароле?
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.
Тайминг нажатий клавиш в консоли — известный вектор атаки ещё с 80-х. Грубо говоря, по паттерну появления звёздочек на экране можно примерно определить нажатые клавиши, что на порядок сокращает количество вариантов для брутфорса.
Например, рядом стоящие клавиши обычно нажимаются медленнее, чем дальние, если человек работает двумя руками. Подробнее о том, как это работает, рассказали в статье: https://habr.com/ru/companies/ruvds/articles/770792/
#безопасность
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.
Тайминг нажатий клавиш в консоли — известный вектор атаки ещё с 80-х. Грубо говоря, по паттерну появления звёздочек на экране можно примерно определить нажатые клавиши, что на порядок сокращает количество вариантов для брутфорса.
Например, рядом стоящие клавиши обычно нажимаются медленнее, чем дальние, если человек работает двумя руками. Подробнее о том, как это работает, рассказали в статье: https://habr.com/ru/companies/ruvds/articles/770792/
#безопасность
YouTube использует spyware-cкрипты для обнаружения блокирующих рекламу плагинов — хакеры используют те же инструменты
Tomshardware сообщают, что консультант из Ирландии по вопросам защиты частной жизни планирует судиться с YouTube из-за слежки за пользователями. Он утверждает, что скрипты YouTube подпадают под шпионское ПО spyware, являясь технологией слежки. Оно устанавливается без ведома пользователей, чтобы проследить за поведением.
Как минимум, на такие вещи требуется согласие пользователей в соответствии с законодательством ЕС. Как максимум, это уже действительно находится на грани незаконной слежки, а разница между действиями хакеров и большой корпорацией здесь небольшая.
Представители YouTube пока никак не отреагировали на обвинения.
#безопасность #google
Tomshardware сообщают, что консультант из Ирландии по вопросам защиты частной жизни планирует судиться с YouTube из-за слежки за пользователями. Он утверждает, что скрипты YouTube подпадают под шпионское ПО spyware, являясь технологией слежки. Оно устанавливается без ведома пользователей, чтобы проследить за поведением.
Как минимум, на такие вещи требуется согласие пользователей в соответствии с законодательством ЕС. Как максимум, это уже действительно находится на грани незаконной слежки, а разница между действиями хакеров и большой корпорацией здесь небольшая.
Представители YouTube пока никак не отреагировали на обвинения.
#безопасность #google
Взламываем транспортные карты: чит на бесконечные деньги
Это интересный рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему. Один из них — на фото, открыл все турникеты на станции.
Парни смогли сделать так, чтобы транспортная карта бесконечно пополнялась. И даже сделали портативный терминал для пополнения прямо из рюкзака.
Энтузиастам повезло, что после инцидента руководители транспортной компании не стали подавать на них в суд. А пригласили в офис и спросили совета, как такого не допустить в будущем. В итоге они выступили с докладом на DEF CON 31 и создали неплохой урок по реверс-инжинирингу.
В статье — технические подробности о том, как старшеклассникам это удалось: https://habr.com/ru/companies/bastion/articles/772222/
#безопасность #diy
Это интересный рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему. Один из них — на фото, открыл все турникеты на станции.
Парни смогли сделать так, чтобы транспортная карта бесконечно пополнялась. И даже сделали портативный терминал для пополнения прямо из рюкзака.
Энтузиастам повезло, что после инцидента руководители транспортной компании не стали подавать на них в суд. А пригласили в офис и спросили совета, как такого не допустить в будущем. В итоге они выступили с докладом на DEF CON 31 и создали неплохой урок по реверс-инжинирингу.
В статье — технические подробности о том, как старшеклассникам это удалось: https://habr.com/ru/companies/bastion/articles/772222/
#безопасность #diy
Как работают полумошеннические конторы по ремонту компьютеров: инсайды и советы
В студенчестве автору статьи «посчастливилось» познакомиться изнутри с одной из таких контор. Поскольку их бизнес до сих пор процветает, он решил кратко рассказать, как там все устроено. Он привел примеры их работы и рассказал, как избежать огромных трат, если такие дельцы пришли к кому-то из ваших знакомых, которые не сильно разбираются в технике.
Подробнее — в статье: https://habr.com/ru/companies/lanit/articles/769526/
#безопасность #hardware
В студенчестве автору статьи «посчастливилось» познакомиться изнутри с одной из таких контор. Поскольку их бизнес до сих пор процветает, он решил кратко рассказать, как там все устроено. Он привел примеры их работы и рассказал, как избежать огромных трат, если такие дельцы пришли к кому-то из ваших знакомых, которые не сильно разбираются в технике.
Подробнее — в статье: https://habr.com/ru/companies/lanit/articles/769526/
#безопасность #hardware
Топ 5 самых безопасных и технологичных VPN
В настоящее время многие VPN не только не безопасны, но и работают через день, а каждый раз скачивать новое приложение — неудобно и проблемно.
Поэтому мы собрали для вас подборку лучших платных и бесплатных VPN. В этой статье вы сможете узнать какие протоколы и алгоритмы шифрования они используют, их среднюю скорость и, помимо всего, ещё и особенности каждого из них.
#vpn #безопасность
В настоящее время многие VPN не только не безопасны, но и работают через день, а каждый раз скачивать новое приложение — неудобно и проблемно.
Поэтому мы собрали для вас подборку лучших платных и бесплатных VPN. В этой статье вы сможете узнать какие протоколы и алгоритмы шифрования они используют, их среднюю скорость и, помимо всего, ещё и особенности каждого из них.
#vpn #безопасность
Польские хакеры помогли узнать причину блокировки поездов
Команда белых хакеров Dragon Sector помогли крупной польской ж/д компании SPS, столкнувшейся с тем, что поезда, после обслуживания в сторонних мастерских, внезапно переставали работать и блокировались.
Причина такой блокировки была найдена в последние часы до расторжения договора с SPS. Оказалось, что Newag — производитель электропоездов специально блокирует нормальную работу систем управления, если поезд долго находится в депо конкурентов. Кроме того, удалось выяснить, что снять блокировку можно при помощи нажатия комбинации клавиш в кабине машиниста. Newag свою вину не признает и заявляет, что стала жертвой киберпреступников, делом занимаются правоохранительные органы.
Вся история — отличное напоминание того, что ничего не мотивирует сильнее, чем приближающийся дедлайн.
#новости #безопасность
Команда белых хакеров Dragon Sector помогли крупной польской ж/д компании SPS, столкнувшейся с тем, что поезда, после обслуживания в сторонних мастерских, внезапно переставали работать и блокировались.
Причина такой блокировки была найдена в последние часы до расторжения договора с SPS. Оказалось, что Newag — производитель электропоездов специально блокирует нормальную работу систем управления, если поезд долго находится в депо конкурентов. Кроме того, удалось выяснить, что снять блокировку можно при помощи нажатия комбинации клавиш в кабине машиниста. Newag свою вину не признает и заявляет, что стала жертвой киберпреступников, делом занимаются правоохранительные органы.
Вся история — отличное напоминание того, что ничего не мотивирует сильнее, чем приближающийся дедлайн.
#новости #безопасность
Бермудский треугольник: откуда банки берут данные, которые им никто не давал?
Один из пользователей Хабра заметил необычную особенность работы банковский приложений: его знакомым и коллегам приходят счета за газ, штрафы ГИБДД и не только, хотя никаких услуг и подписок они не подключали.
В ходе разбирательств подписки так и не удалось отменить ни в приложении, ни после звонка в службу поддержки, где, кстати говоря, так и не смогли объяснить, откуда банк берёт данные для выставления подобных счетов.
Подробнее о том, чем закончилась история и можно ли как-то защитить свои данные в подобных ситуациях.
#безопасность
Один из пользователей Хабра заметил необычную особенность работы банковский приложений: его знакомым и коллегам приходят счета за газ, штрафы ГИБДД и не только, хотя никаких услуг и подписок они не подключали.
В ходе разбирательств подписки так и не удалось отменить ни в приложении, ни после звонка в службу поддержки, где, кстати говоря, так и не смогли объяснить, откуда банк берёт данные для выставления подобных счетов.
Подробнее о том, чем закончилась история и можно ли как-то защитить свои данные в подобных ситуациях.
#безопасность
Гайд для новичков в кибербезопасности
Эксперт по инфобезу с девятилетним опытом предельно доступно рассказывает, с чего вообще начать, где в законах РФ прописана методика выявления уязвимостей и какое ПО отвечает за проверку фронт-, бэкенда и других компоненты системы.
#безопасность
Эксперт по инфобезу с девятилетним опытом предельно доступно рассказывает, с чего вообще начать, где в законах РФ прописана методика выявления уязвимостей и какое ПО отвечает за проверку фронт-, бэкенда и других компоненты системы.
#безопасность
Хакеры нашли «ключ» для взлома миллионов гостиничных замков по всему миру
Группа хакеров продемонстрировала метод взлома замков Saflok, используемых в 3 млн гостиничных номеров по всему миру.
#безопасность
Группа хакеров продемонстрировала метод взлома замков Saflok, используемых в 3 млн гостиничных номеров по всему миру.
#безопасность
А вы в зелёной зоне?
Интересная инфографика о том, сколько времени требуется на подбор пароля брутфорсом в 2024 году. Она основана на анализе реальных утечек данных, а также учитывает длину и сложность пароля, используемый алгоритм хеширования и вычислительную мощность оборудования хакера.
Полный текст исследования, откуда взяли картинку: https://www.hivesystems.com/blog/are-your-passwords-in-the-green
#факты #безопасность
Интересная инфографика о том, сколько времени требуется на подбор пароля брутфорсом в 2024 году. Она основана на анализе реальных утечек данных, а также учитывает длину и сложность пароля, используемый алгоритм хеширования и вычислительную мощность оборудования хакера.
Полный текст исследования, откуда взяли картинку: https://www.hivesystems.com/blog/are-your-passwords-in-the-green
#факты #безопасность