• Учетная запись, gosuslugi.ru и ФЗ-152

      Короткая история о том, как потерять учетную запись на gosuslugi.ru, если не используешь второго фактора.

      История не моя, но я в ней участвовал и разговаривал с техподдержкой gosuslugi.ru. И теперь на сайт gosuslugi.ru только со вторым фактором.

      image
      Читать дальше →
    • Человек, 20 лет зарабатывавший взломом онлайн-игр

      • Перевод

      Хакер утверждает, что превратил поиск и использование недостатков популярных ММО видеоигр в доходную полноценную работу


      image

      Персонаж Манфреда неподвижно стоит в виртуальном мире научно-фантастической многопользовательской игры 2014 года WildStar Online. Манфред, живой человек, управляющий персонажем, вводит команды в отладчик. За несколько секунд вроде бы простейшего хака количество виртуальной валюты Манфреда взлетает до более чем 18 000 000 000 000 000 000 единиц, или 18 квинтильонов.

      Я наблюдаю за этим в демонстрационном видео, записанном Манфредом, стоя рядом с ним в баре Лас-Вегаса в четверг. Манфред, попросивший меня не называть его настоящего имени, говорит, что занимается взломом нескольких видеоигр уже 20 лет, и зарабатывает реальные деньги на взломах, подобных тому, что я сейчас видел. Его образ действий немного отличается от игры к игре, но, по сути, состоит из обманных действий, заставляющих игры выдавать ему предметы или валюту сверх положенного. Он продаёт эти предметы или валюту другим игрокам за реальные деньги или сбывает оптом на серых рынках онлайн-игр, к примеру, Internet Game Exchange, которые затем продают эти виртуальные вещи игрокам.
      Читать дальше →
    • «Жучок» в запчасти для смартфона — еще одна возможность для шпиона



        Пользователи мобильных телефонов, которые доверились сервисным центрам, где ремонтируют устройства, могут стать жертвами кибершпионажа. Пока что это лишь теоретическая возможность, показанная специалистами по информационной безопасности, но в этом случае теория без труда может стать практикой, если еще не стала. О пользователях мобильных устройств, которые после ремонта обнаружили в своих телефонах «жучков», особо ничего не слышно. Возможно, причина только в том, что такие модули хорошо спрятаны.

        Отчет о проделанной работе, опубликованный группой хакеров, может стать причиной легкой (или не очень) паранойи у многих владельцев мобильных устройств. Но удивляться возможности прослушки не приходится — сделать это не так и тяжело. Причем жертвами кибершпионажа могут стать как пользователи Android телефонов, так и владельцы iOS девайсов.
        Читать дальше →
      • Специалисты по инфобезу: «Умный автомобиль далеко не всегда безопасный автомобиль»

          image
          Источник: Getty Images

          Еще три года назад два специалиста по информационной безопасности показали, что новые модели Jeep уязвимы для атак злоумышленников. Здесь имеются в виду не ходовые качества и прочие характеристики, а возможность управлять различными функциями удаленно. И чем «умнее» машина, тем сильнее она подвержена влиянию извне. К сожалению, демонстрация, проведенная упомянутыми специалистами, особо ни к чему не привела. Да, производитель Jeep постарался решить проблему, но другие компании все так же мало обращают внимание на необходимые меры информационной безопасности, как и раньше.

          На днях сотрудники компании Trend Micro опубликовали пост, который дает понимание того, насколько плохо хорошо защищены современные автомобили от возможности взлома. Эта же информация была озвучена на конференции по инфобезу DIVMA, проводившейся в Бонне, Германия. По словам исследователей, главная проблема — это протокол CAN, который различные элементы автомобиля используют для взаимодействия друг с другом и общей сетью. Как оказалось, протокол уязвим, и злоумышленники, при условии обладания необходимыми знаниями и оборудованием, могут эксплуатировать в своих интересах слабые места в защите CAN.
          Читать дальше →
        • Специалист по инфобезу взломал криптографическую защиту Apple Secure Enclave



            На днях стало известно, что специалист по информационной безопасности с ником xerub смог получить доступ к защите Secure Enclave. Хакер уже выложил соответствующий ключ дешифровки, при помощи которого другие эксперты смогут в подробностях изучить особенности криптографической защиты устройств Apple. «Любой человек теперь может просмотреть и потыкать в SEP», — заявил xerub.

            Корпорация Apple пока что не подтвердила аутентичность ключа, выложенного хакером. Тем не менее, представители компании уже заявили, что даже если это и так, данные пользователей гаджетов компании не окажутся под угрозой.
            Читать дальше →
            • +23
            • 18,6k
            • 5
          • Государство возьмет под контроль критическую инфраструктуру Рунета



              На днях стало известно о том, что критическая инфраструктура Рунета полностью будет контролироваться государством. Для того, чтобы это стало возможным, Минкомсвязи подготовило поправки в закон «О связи». Поправки, в случае их принятия, помогут сохранить работоспособность сайтов в национальных доменных зонах .ru и.рф даже в случае введения технологических санкций. Это позволит соответствующей инфраструктуре быть доступной извне.

              В проекте закона указывается необходимость создания на территории России национальной системы корневых серверов DNS, пишут «Известия». Это, по мнению законодателей, необходимо сделать для предотвращения возможности вмешательства в работу российского сегмента Сети. В пояснительной записке говорится, что «подсистема обеспечивает взаимодействие с аналогичными национальными системами корневых серверов иных государств (например Китая)».
              Читать дальше →
            • AdBlock похитил этот баннер, но баннеры не зубы — отрастут

              Подробнее
              Реклама
            • Найден способ противостоять атаке на 3D принтеры



                В 2016 году на Geektimes публиковалась статья о взломе 3D принтеров с целью внесения изменений, которые приводят к разрушению создаваемого объекта в процессе его эксплуатации. Короче говоря, речь идет об атаке на предприятия, которые используют 3D принтеры для создания деталей или их частей с целью изменения конфигурации производимых элементов. К примеру, это может быть винт коптера, части корпуса автомобиля, детали станка и многое другое. Исследование ученых получило название “dr0wned – Cyber-Physical Attack with Additive Manufacturing”. В его ходе специалисты получили доступ к файлм моделей деталей пропеллера дрона, изменили параметры модели, изготовили детали и запустили дрон. В итоге винт разрушался в полете и коптер падал с большой высоты.

                Понятно, что это была лишь демонстрация возможности атаки, которая могла быть гораздо масштабнее, если бы речь шла о реальном производстве. Только сейчас, спустя почти год, специалисты из другой команды нашли способ, который поможет противостоять теоретическому взломщику 3D-принтеров. Результаты этого проекта были представлены в Ванкувере, на мероприятии USENIX Security Symposium.
                Читать дальше →
              • Пакет Network Security Services и утилита Pretty-print

                  Пакет Network Security Services (NSS) представляет собой набор библиотек, используемых при кроссплатформенной разработке защищенных клиентских и серверных приложений.
                  Читать дальше →
                • К VPN через доверие

                    image

                    В России на текущий момент времени защищённые сетевые сервисы, необходимость использования которых на первый взгляд не совсем очевидна, становятся если не стандартом де-факто, то всё более востребованы со стороны пользователей. Это происходит по ряду причин, среди которых, конечно же, почти пятилетняя агрессивная отечественная государственная политика по отношению к регулированию интернет-пространства, а также общемировой тренд на безопасность и сохранение как можно больше личных данных при себе во время сетевых коммуникаций, чтобы ни злоумышленники, ни корпорации, ни госчиновники не воспользовались ими в своих интересах без твоего ведома.

                    Право на анонимность при цифровом взаимодействии есть у каждого из нас и подтверждается даже на высоких площадках ООН регулярно.

                    Если говорить про российское госрегулирование интернета и IT, то можно вспомнить десятки законов, которые были приняты за последние годы и все из них носят исключительно регрессивный, репрессивный и обременительный для интернет-отрасли и граждан характер. Большинство из этих законов вносят изменения в федеральный закон «Об информации, информационных технологиях и о защите информации» (149-ФЗ), а также в иные нормативно-правовые акты, например, в КоАП, вводя вместе с интернет-регуляторикой и административное воздействие для «непокорных». На данный момент «непокорными», которых можно наказывать блокировками и штрафами, для государства выступают только те или иные сетевые сервисы или IT-компании: веб-сайты, разработчики ПО, операторы связи, хостинг-компании, владельцы интернет-магазинов и т.д. До пользователей государство пока не добралось. Ну если оставить за скобками «экстремистские» дела за постинг и репостинг широкого спектра материалов, которые, как считают российские правоохранительные органы, могут нести угрозу безопасности государства или оскорбляют чьи-либо чувства.
                    Читать дальше →
                  • Китайский разработчик дронов DJI добавит оффлайн-режим работы из-за отказа военных США от сотрудничества


                      Новая модель копера компании, Phantom 3 SE

                      В начале этого месяца стало известно, что военные США получили запрет на использование квадрокоптеров китайской компании DJI. Проблема заключается в том, что производитель дронов установил в своих устройствах специальное программное обеспечение, которое определяет местоположение устройства для того, чтобы определить, в какой зоне находится беспилотник — запрещенной для полетов или в обычной. С одной стороны, это правильно, поскольку владельцы коптеров не смогут запускать их в полет около важных промышленных объектов, АЭС, аэропортов и стадионов.

                      С другой стороны, пользователи дронов жалуются на то, что, покупая девайс, они не вправе использовать его функции на все 100%. Кроме того, некоторые клиенты DJI жаловались на «подслушивание». Несмотря на то, что производитель все отрицает, военные США все же предпочли отказаться от сотрудничества с китайской компанией и прекратить эксплуатацию коптеров DJI.
                      Читать дальше →
                    Самое читаемое
                    Интересные публикации