Войти
Хакинг

Хакинг

Взлом - это искусство

Описание

Пока мы размышляем, когда нам начать изучать хакинг, часто бывает уже слишком поздно.

Записи сообщества

8
Сотрудники Apple под тотальной слежкой

Почти как у нас: сотрудники Apple рассказали, как компания нарушает их конфиденциальность. Впрочем, это проблема многих крупных организаций. Коротко пересказываем основную суть.

1. «Из соображений безопасности» Apple требует от сотрудников подключать личные Apple ID к рабочим устройствам, а после увольнения запрещает стирать оттуда данные.

2. Тестировщикам приходится исследовать ПО на личных устройствах.

3. Таким образом, компания имеет доступ к сообщениям и иным личным данным сотрудников.

4. Большой Брат следил за сотрудниками через камеру их смартфонов. Право работодателя на слежку закреплено в трудовом соглашении.

5. Компания также получает право исследовать любые личные вещи. И речь даже не об устройствах, а о шкафах, столах, кабинетах и так далее.

6. Впрочем, сотрудники для работы могут использовать и второй телефон, но многие просто не хотят казаться параноиками. Ну и тестировать продукт лучше на том телефоне, которым пользуешься регулярно.
Показать полностью...
Хакер выложил на продажу за 6 биткоинов (около 285 тысяч долларов) треть базы данных пользователей T-Mobile, одного из крупнейших мобильных операторов США. Продавец говорит, что во всей базе в целом собраны данные около 100 миллионов клиентов: даты рождения, номера водительских лицензий и номера социального страхования. Возможно, там ещё есть имена, телефонные номера, IMSI и IMEI. Продажу оставшейся части базы, по словам продавца, он обсуждает с кем-то частно.

Данные появились якобы в результате взлома. Хакеры рассказывают, что им уже перекрыли доступы, но до этого они успели выгрузить все данные и надёжно их забэкапить.

Чем это страшно? Если у злоумышленника есть номер соцстрахования жертвы, этого достаточно, чтобы взять на её имя кредит и потратить медицинскую страховку. Если преступника потом арестуют, он может оставить полицейским этот номер и втянуть жертву в разбирательства, де-факто лишая её заодно шансов получить работу в сфере, где перед наймом проверяют, не был ли человек замешан в чём-то противозаконном.

С водительской лицензией схожая история. Злоумышленник может выпустить поддельную лицензию, например, или подать от имени владельца лицензии заявку на пособие по безработице.

Вариантов много, в общем, если датасет настоящий. Увы, очень на то похоже.
Показать полностью...
GetContact вошёл в реестр распространения информации

Роскомнадзор внес самый известный сервис по пробиву номера в реестр организаторов распространения информации. GetContact определяет пользователя по номеру и показывает, как он записан на других устройствах. Теперь сервис обязан хранить все данные и предоставлять их силовым ведомствам России.
​​Космосу нашли применение

Обожаю этого парня – Илона Маска. Предприниматель от Бога. ПО для бизнеса писал, систему платежей запилил, электромобили сделал, солнечные батареи на крыши навесил, ракеты на Марс запулил, сверхскоростные туннели накопал, искусственный интеллект и чипы в мозг на очереди. Вот какой бы здоровый человек, особенно русский, имея миллиарды долларов, дальше бы что-то делал? Купил бы себе остров с туземками, завалил бы его кокосами и всякими аттракционами и писал бы блог.

Короче, у Маска новая тема – реклама в космосе. Для этого создают отдельный спутник CubeSat, который закинут на орбиту в начале 2022. Как сообщают, его оборудуют дисплеем с транслирующейся рекламой и камерой, которая будет снимать происходящее и показывать в прямом эфире на Twitch и YouTube. Для рекламодателей планируют сделать аукцион и продавать места за крипту.

С Земли будет не видно, поэтому придется лезть на Ютуб, но планы запустить туда полноценный рекламный щит уже тоже есть. Как и планы закинуть группу спутников, которые будут лазерами проецировать изображения на ночном небе планеты.

Выезжаешь ты с девушкой на природу, хочешь ей показать большую медведицу, а видишь «Макдональдс» ну или там «Яндекс.Маркет» в небе. А может даже: «Платите налоги. ФНС России», у них тоже бабла хватит. И даже подписку никакую не купить, чтобы убрать, хотя смотреть или нет – дело чисто добровольное. Одна надежда – русские хакеры вскроют ПО спутника и напишут для всех на небе что-то великое и могучее, после чего гуманоиды точно будут облетать нашу планету стороной 🤣
Показать полностью...
CISA рассказало об успешных методах атак хакеров

В отчете CISA описываются векторы атак, которые хакер может использовать для компрометации сетей.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало отчет, в котором подробно излагаются результаты оценки рисков и уязвимостей, проведенной в течение 2020 финансового года в различных отраслях.

В документе подробно описывается потенциальные векторы атак, которые злоумышленник может использовать для компрометации систем организации, с учетом выявленных уязвимостей за последний год. И анализ CISA, и сопутствующая инфографика, которая включает процент успеха для каждой тактики и техники, соответствуют базе знаний MITER ATT&CK.

По словам специалистов, чаще всего преступники получали первоначальный доступ с помощью фишинговых ссылок (в 49% случаев). Далее следуют эксплуатация уязвимостей в приложениях (11,8%), за ними — фишинговые вложения (9,8%). Командная оболочка PowerShell использовалась в 24,4% случаев, за ними следовал легитимный инструмент Windows Management Instrumentation (13%) и интерпретатор команд и сценариев (12,2%).

Действительные учетные записи использовались для повышения привилегий в 37,5% случаев, за которыми следовала эксплуатация уязвимостей повышения привилегий (21,9%), а также создание и выдача токенов (15,6%). Для перемещения по сети злоумышленники в основном использовали метод pass-the-hash (29,8%), за которым следует протокол Remote Desktop Protocol (25%) и эксплуатация проблем в удаленных сервисах (11,9%).
Показать полностью...
Хакеры Magecart скрывают украденные данные кредитных карт в изображениях

Специалисты связывают новые атаки с группировкой Magecart Group 7.

Хакеры Magecart скрывают украденные данные кредитных карт в изображениях.

Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, вооружились новыми техниками обфускации вредоносного кода и шифрования украденных данных кредитных карт во избежание обнаружения.

Специалисты из компании Sucuri связывают данные атаки с группировкой Magecart Group 7 на основании совпадений в тактике, техниках и процедурах.

В одном случае заражения web-сайта электронной коммерции Magento компании GoDaddy скиммер был внедрен в один из PHP-файлов, участвующих в процессе оформления заказа, в виде сжатой строки в кодировке Base64.

Для дополнительной маскировки присутствия вредоносна злоумышленники объединили вредоносный код с фрагментами комментариев, которые «функционально ничего не делают, но добавляют уровень обфускации».

Целью злоумышленников является кража данных платежных карт клиентов в режиме реального времени на скомпрометированном web-сайте. Похищенные данные сохраняются в файл изображения на сервере и впоследствии загружаются хакерами путем отправки GET-запроса.
Показать полностью...
​​Twitter тестирует дизлайки

Социальная сеть в рамках эксперимента запустила возможность негативной оценки комментариев к твитам.

Вместо обыденных кнопок ответа и перепоста у некоторых пользователей появились стрелочки вверх или вниз, либо в аналогичные стороны большие пальцы. Такое «голосование» не меняет порядок комментариев в ветке. Отрицательную оценку видит только поставивший ее человек. Экспериментальная функция не соответствует в полной мере привычному дизлайку.
Перед вами список VPN-сервисов, которые заблокируют на территории России

Рассылка была еще 15 апреля среди сотрудников Сбера. Информация об этом появилась на форуме ntc.party, где сидят разработчики анти-цензурного софта.
Cсылка
Поделись записью
Выбрать из галереи