Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

197_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

19.05 Mб

Скачать

☆

1 / 151 2 3 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
				BUY
				BUY
ИЮНЬ 2015 РЕКОМЕНДОВАННАЯЦЕНА 630to Р									m
w Click									m
w
	w							o
	.						.c
		p				g
			df		n		e
				-x cha
№197

Cover

Story

стр. 10

социальная

инженерия

Теория и практикА

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

АТАКИНАВСЕВРЕМЕНА

Социальная инженерия — это класс атак на все времена. Неважно, что сейчас в тренде — Windows 95 или вездесущие облака. Основные векторы атак будут работать всегда. Взять хотя бы банальный пример — более-менее свежую статистику методов угона учеток социальных сетей. Лидирующие места по-прежнему занимает фишинг в комбинации с методами социальной инженерии. А в основе почти те же методы, что используются уже давно и всем известны. Это если мы говорим об обычных пользователях, у которых основная ценность — это пароль для почты и вконтактика.

А представь себе, каково бизнесу? Это ведь обычное дело, когда на почту бухгалтера небольшой компании приходит письмо примерно с таким содержанием: «По результатам проверки у вашей компании перед ООО „ПромСтройТяжМонтаж“ обнаружился долг в размере 46 800 руб 00 коп. Просим срочно оплатить в установленные сроки». И обязательно аттач вида «Акт сверки 20 мая НОВЫЙ (2)» или ссылка с полезной нагрузкой. Множеству людей слова «Акт сверки» и «обнаружился долг» сразу же отключат разум.

Все потому, что самое слабое звено в любой системе — это человек с присущими ему сопереживанием, страхом и боязнью ответственности. Он как был движим эмоциями, так и остается. Этот тезис легко подтвердят и сами мошенники, которые по-прежнему используют атаки на людей как важнейший рычаг для доступа к конфиденциальной информации.

Stay tuned, stay ][!

Илья Русанен, главред ][ @IlyaRusanen

				hang		e
			C			e	E
		X					E
	-							d
	F									i
	F									t
P	D									o
P	D					NOW!				r
					BUY	NOW!
				to	BUY
				to
w											m
w Click										o	m
	w									o
	.								.c
		p	df					e
		p					g
						n
				-x cha

№ 06 (197)		Дата выхода: 03.06.2015
Илья Русанен		Ирина Чернова
Главный редактор		Выпускающий редактор
rusanen@glc.ru		chernova@glc.ru
Андрей Письменный		Евгения
Шеф-редактор		Шарипова
pismenny@glc.ru		Литературный редактор
Редакторы рубрик
Андрей Письменный	Антон «ant» Жуков	Александр «Dr.»
PC ZONE и СЦЕНА	ВЗЛОМ	Лозовский
pismenny@glc.ru	zhukov.a@glc.ru	MALWARE, КОДИНГ,
		PHREAKING
Юрий Гольцев	Илья Илембитов	lozovsky@glc.ru
ВЗЛОМ	UNITS
goltsev@glc.ru	ilembitov@glc.ru	Евгений Зобнин
		X-MOBILE
Илья Русанен	Павел Круглов	execbit.ru
КОДИНГ	UNIXOID и SYN/ACK
rusanen@glc.ru	kruglov@glc.ru
	АРТ
Елена Тихонова	Алик Вайнер	Екатерина Селиверстова
Арт-директор	Дизайнер	Дизайнер
	Обложка	Верстальщик
	DVD
Антон «ant» Жуков		Максим Трубицын
Выпускающий редактор		Монтаж видео
zhukov.a@glc.ru
	Реклама
Анна Яковлева		Мария Самсоненко
PR-менеджер		Менеджер по рекламе
yakovleva.a@glc.ru		samsonenko@glc.ru

РАСПРОСТРАНЕНИЕ И ПОДПИСКА

Подробная информация по подписке shop.glc.ru, info@glc.ru Отдел распространения

Наталья Алехина (lapina@glc.ru) Адрес для писем: Москва, 109147, а/я 50

Вслучаевозникновениявопросовпо качествупечати:claim@glc.ru.Адресредакции:115280,Москва,ул.ЛенинскаяСлобода,д.19,Омегаплаза.Издатель: ООО«Эрсиа»:606400, Нижегородскаяобл.,Балахнинскийр-н,г.Балахна,Советскаяпл., д. 13. Учредитель: ООО «Принтер Эдишионс», 614111, Пермский край, г. Пермь, ул. Яблочкова, д. 26. Зарегистрировано вФедеральнойслужбепонадзорувсфересвязи,информационныхтехнологийимассовыхкоммуникаций(Роскомнадзо- ре),свидетельствоПИ№ФС77-56756от29.01.2014года.Отпечатанов типографииScanweb,PL116,Korjalankatu27,45101 Kouvola, Финляндия. Тираж 96 500 экземпляров. Рекомендованная цена — 630 рублей. Мнение редакции не обязательно совпадаетс мнениемавторов.Всематериалыв номерепредоставляютсякакинформацияк размышлению.Лица,использующие данную информацию в противозаконных целях, могут быть привлечены к ответственности. Редакция не несет ответственности за содержание рекламных объявлений в номере. По вопросам лицензирования и получения прав на использование редакционных материалов журнала обращайтесь по адресу: chernova@glc.ru. © Журнал «Хакер», РФ, 2015

16+

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
				BUY
				BUY
2015to
июньw
w Click									m
№ 197								o
	w							o
	.						.c
		p				g
			df		n		e
				-x cha

004 MEGANEWS Все новое за последний месяц

010 Правнуки лейтенанта Шмидта Истории из практики именитых пентестеров

014 Социальная разведка Используем соцсети для сбора данных

016 Современная социнженерия на практике Как подготовить и провести социотехнический пентест

020 Amazon под прицелом Добиваемся своего от техподдержки

022 frontend по-новому Подборка приятных полезностей для разработчиков

024 Походная аптечка сисадмина Минимальный набор утилит для максимально эффективного решения проблем

028 FileMaker PRO 14 Приложения iOS без единой строчки кода

032 карманный десктоп Пробуем удаленный доступ на основе Parallels Access 2.5

034 История великого библиотекаря Как появилась AmigaOS и что с ней стало теперь

040 Уроки ядерной физики Интервью с Франциско Франко, создателем кастомного Android-ядра franco.kernel

044 SqLite под микроскопом Что можно сделать с системой с помощью прав root и редактора баз данных

050 Колонка Евгения Зобнина Назад в будущее

051 Карманный софт Выпуск #8. Анализируем APK

052 Easy Hack Хакерские секреты простых вещей

056 Обзор эксплойтов Анализ свеженьких уязвимостей

061 Tor: полная деанонимизация Фингерпринтим пользователей с помощью системы активного мониторинга и не только

066 RSA Conference 2015 Отчет о крупнейшей мировой конференции по IT-безопасности

072 Колонка Юрия Гольцева Типовые ошибки, активно эксплуатируемые в рамках внутреннего пентеста

074 золотая середина Обзор инструментов для проведения MITM-атак

078 WPAD для хакера Перехватываем трафик с помощью WPAD

082 X-TOOLS Cофт для взлома и безопасности

084 ][-тестирование: Самый быстрый Internet Security McAfee Total Protection, Microsoft Security Essentials и другие

090 Аббревиатуры против вирмейкеров WIM, CSRSS, EMET, CCMP, EFS, SEHOP, ASLR, KPP, UAC, DEP и еще кое-что

094 Колонка Дениса Макрушина Carbanak и Equation — малварь на миллиард долларов

096 Повелитель ботов на Android Восстанавливаем забытые пароли по локальной сети

102 Геотаргетинг для программиста Что интересного могут рассказать бесплатные геоинформационные API

106 Задачи на собеседованиях Задачи от компании CUSTIS и решения от DZ Systems

110 Как продеть слона через игольное ушко Обработка максимальных объемов данных за минимальное время

116 Принцесса Джесси: выход в свет Обзор Debian 8

122 День сурка Осваиваем сетевую IDS/IPS Suricata

126 Идеи для сиквела Рассматриваем бесплатные инструменты для MS SQL Server

130 Недремлющее око большого брата Обзор системы обнаружения вторжений Bro

136 Эпическая мышь и двусторонний коврик Обзор топового игрового комплекта Razer

140 FAQ Вопросы и ответы

144 WWW Полезные веб-сервисы

		hang		e
		C		e	E
		X			E
		-				d
	F						t
D							i
D							r
P							o
P		Meganews
			BUY	NOW!
		to						m
w Click								m
w
w							o
		.				.c
		p			g
		df		n		e
		-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Мария «Mifrill» Нефёдова mifrill@real.xakep.ru

Последние

сводки

оWindows10

Небольшой дайджест самого интересного из стана Microsoft

Планы Microsoft относительно Windows 10 воистину амбициозны. Компания заявила, что планирует преодо-

леть барьер в миллиард Windows 10 устройств

за два-три года. Для сравнения — за пятнадцать месяцев после релиза было продано всего 200 миллионов копий Windows 8.

омпания Microsoft вот-вот выпустит Windows	пока умалчивает, однако разработчиков заверили, что
10 на рынок, и новости в ожидании этого со-	изменения в расширения нужно будет внести мини-
бытия льются как из рога изобилия. Мы поста-	мальные. Браузер также был официально добавлен
рались собрать самое важное и интересное за	в Microsoft Bounty Programs. Награда за баги варьиру-
прошедший месяц.	ется в пределах от 500 до 15 тысяч долларов.
Наконец-то стало известно настоящее имя	Еще одна интересная новость тоже касается свое-
браузера, который все последние месяцы мы	образной кросс-платформенности. Слух, гласивший,
Кзнали под кодовым названием Project Spartan. Брау-	что Windows 10 будет поддерживать приложения для
зер получил имя Edge, явно позаимствованное у движ-	Android и iOS, оказался правдой. Microsoft решила не
ка рендеринга веб-страниц, на котором он построен.	использовать для этого эмуляторы, как многие пред-
Пользователи, которым имя Spartan полюбилось	полагали, и вместо этого предлагает разработчикам
больше, даже попросили компанию вернуть рабочее	перекомпилировать свои приложения, без суще-
название, но Microsoft не намерена менять имя брау-	ственных изменений, в универсальные приложения
зера. Возможно, причина кроется в том, что компания	для Windows. Помочь в этом призваны два новых SDK.
не хочется окончательно рвать с прошлым и отказы-	Android-разработчикам разрешили использовать Java
ваться от привычного лого с буквой E. Логотип нового	и C++, а разработчики iOS-приложений будут доволь-
браузера до боли напоминает иконку Internet Explorer,	ствоваться Objective-C.
что достаточно странно. Ведь Microsoft уверяла, что	Хотелось бы отметить и еще одно важное со-
хочет полностью избавиться от наследия IE и его дур-	бытие. Microsoft закрывает подразделение Open
ной репутации. К тому же IE останется в Windows 10	Technologies, которое последние годы служило мо-
для ПК, ноутбуков и больших планшетов в роли до-	стиком, соединяющим Microsoft и сообщество Open
полнительного браузера. Два браузера с почти оди-	Source, и работало над улучшением совместимости
наковыми иконками видятся весьма странной идеей.	Linux и Windows. Microsoft заявила, что теперь прин-
Впрочем, оставим дизайн. Гораздо интереснее, что	ципы этого подразделения распространяются на всю
Microsoft раскрыла еще один козырь и пообещала, что	компанию в целом, поэтому в нем более нет нужды.
в Edge будет поддержка расширений Google Chrome	Время покажет, насколько это заявление соответству-
и Mozilla Firefox. Как именно это реализуют, компания	ет действительности.

Новость

месяца

Логотипы Internet Explorer и Edge очень похожи.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 06 /197/ 2015
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Нововведения на YouTube

Google готовит свой видеосервис к монетизации

Google официально подтвердила, что собирается ввести платные услуги для YouTube. Слухи на этот счет циркулировали давно, и теперь мы знаем, что они были правдой. На YouTube действительно планируется ввести плату за просмотр сайта без рекламы. Схема предельно проста. Не нравится рекла-

ма? Заплати, и рекламы не будет. Пока о грядущей монетизации сообщили только партнерам видеосервиса, создателям контента. Подробностей Google практически не раскрывает: когда именно введут платный доступ и сколько он будет стоить — неизвестно. Аналитики и СМИ уже предрекают, что вместе с началом монетизации Google развернет

имасштабную кампанию по борьбе с блокировщиками рекламы. В частности, компания точно планирует продвигать приложения для мобильных устройств и платформ, которые препятствуют такой блокировке.

Кроме того, Google планово остановила работу YouTube API v2, которые были доступны с 2008 года. Разработчикам давался год, чтобы перейти на YouTube API v3. Теперь приложения, использующие API-функции v2, перестали работать. Google признает, что изза отключения API v2 пострадали устройства, выпущенные в 2012 году и ранее, в том числе с поддержкой Google TV, iOS, телевизоры и проигрыватели Blu-ray-дисков Sony

иPanasonic. Также отключение повлияло на работу веб-сервисов, использующих выгрузку информации о видео в формате XML. Но увы, в данном случае «проблемы индейцев шерифа не волнуют».

В связи с отключением API v2 пользователям разъяснили проблему морального устаревания их устройств и философски предлагают либо обновиться, либо, если это невозможно, отказаться от использования сервисов Google вовсе.

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
				BUY
				BUY
w Click				to5					m
w
	w							o
	.						.c
		p				g
			df		n		e
				-x cha

По-настояще му старый баг

В Windows обнаружили дырку, возраст которой составляет 18 лет

Cпециалисты компании Cyclance обнаружили уязвимость, которой подвержены ПК под управлением практически любой версии Windows, вплоть

до новой «десятки». Брешь в безопасности позволяет похитить с машины жертвы логины и пароли примерно из трех десятков продуктов как самой Microsoft, так и сторонних разработчиков. В число уязвимых продуктов попали Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Microsoft Excel, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus и другие.

Уязвимость действительно серьезная, и тем парадоксальнее выглядит тот факт, что корнями баг уходит к атаке Redirect to SMB, методика которой была описана еще в далеком 1997 году! Все завязано на протокол Server Message Block. Смысл в том, чтобы заставить машину жертвы соединиться с SMB-сервером хакера, используя логин/пароль текущего пользователя. По меньшей мере четыре функции Windows API (URLDownloadToFile, URLDownloadToCacheFile, URLOpenStream, URLOpenBlockingStream) точно могут переключаться с соединения HTTP/HTTPS на SMB, когда видят URL вида file://1.1.1.1. Так как патча и реакции со стороны Microsoft пока нет, специалисты рекомендуют блокировать исходящий трафик через порты TCP 139 и TCP 445.

«Компьютерные игры невероятно увлекательны, благодаря им в детстве я захотел научиться программировать.

Я решил, что смогу создавать игры сам, хотел узнать, как они работают, хотел сделать свою игру. Так я начал программировать».

Илон Маск

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
				BUY					MEGANEWS
				BUY
w Click				to 6
w Click									m
w
	w							o
	.						.c
		p				g
			df		n		e
				-xcha

Yahoo предлагает смотреть на биометрию шире

Не только отпечатки пальцев человека имеют уникальный рисунок

Д	авно известно, что отпечатки пальцев далеко
	не единственная уникальная часть человеческого
	тела. Тогда как хакеры предлагают все новые спо-
	собы обхода сканеров биометрических данных,
	производители софта и железа закономерно ста-
раются усложнить им задачу. Внедрить более сложную биоме-
трию (скажем, распознающую рисунок кровеносных сосудов
под кожей) повально во все гаджеты — задача сложная и неде-
шевая. Поэтому производители вынуждены думать и о более
простых, но не менее надежных альтернативах.
На конференции Computer-Human Interaction исследователи
Yahoo Labs представили собственный проект биометрической
системы Bodyprint. Приложение Bodyprint превращает экран
практически любого, даже самого дешевого смартфона в биоме-
трический сканер. Так как экран смартфона, разумеется, больше		Аутентификация
сканера отпечатков пальцев, он предлагает более широкие воз-		при помощи Bodyprint
можности. Так, специалисты Yahoo предложили разблокировать		выполняется всего
смартфон, приложив к нему ухо, ведь рисунок ушной раковины		за секунду. Судя
тоже уникален. Также можно использовать всю ладонь, фаланги		по первым испытани-
или костяшки пальцев. В теории это может помочь производи-		ям, точность системы
телям гаджетов не только улучшить безопасность, но и сэконо-		весьма неплоха: в те-
мить — специальные биометрические сканеры стоят недешево		стах приняли участие
и, разумеется, влияют на конечную цену продукта.		двенадцать человек,
		точность опознавания
		составила 99,52%.

«На российском рынке „ВКонтакте“ достиг максимума, превзойдя конкурентов как по доле рынка, так и по темпам роста. Однако, несмотря на наши

многолетние усилия, „ВКонтакте“ не удалось выйти на глобальный рынок. После многих попыток международной экспансии стало понятно, что для успеха на зарубежных рынках „ВКонтакте“ необходимо изменить три вещи — концепцию,

название и акционерный состав».

Павел Дуров

в интервью LIVE Plus

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 06 /197/ 2015
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

166816

Пароль по умолчанию

На RSA Conference Дэвид Бирн

и Чарльз Хендерсон рассказали о беспрецедентной халатности. Известный производитель POS-терминалов, выпускающий их с 1990 года, за все двадцать пять лет ни разу не менял на своих устройствах пароль по умолчанию. Речь идет о десятках миллионов машин. Пассворд везде одинаков: 166816 (или Z66816, зависит от типа клавиатуры).

К сожалению, хакеры не стали разглашать название «отличившейся» компании, но сетевая общественность уже вычислила, что, скорее всего, проштрафилась компания Verifone.

173 132

электронных письма

Любители почитать секретную документацию и закрытую переписку — радуйтесь. На WikiLeaks опубликовали 173 132 электронных письма из ящиков 2000 сотрудников и 30 287 документов с серверов Sony Pictures Entertainment. Все это с полнотекстовым поиском и максимальными удобствами. Столь

масштабная утечка легко объясняется прошлогодним взломом Sony. В архивах уже откопали более сотни писем с почтовыми адресами, принадлежащими правительственным службам.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 06 /197/ 2015
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Китайская «царь-пушка»

Специалисты считают, что у Китая появилось мощное кибероружие

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
				BUY
				BUY
w Click				to7					m
w
	w							o
	.						.c
		p				g
			df		n		e
				-x cha

едавняя мощнейшая атака на GitHub заставила весь		ка проводилась в несколько этапов. Вначале было тестирова-
мир заговорить о «китайском следе». Теперь Китай		ние, длившееся с 3 по 6 марта, с использованием IP-адреса
и вовсе обвиняют в создании кибероружия, кото-		114.113.156.119:56789 и ограничением на количество запро-
рое в СМИ уже успели окрестить «Великой пушкой»		сов. Основная фаза атаки началась 14 марта, и ее мишенью
н(Great Canon), по аналогии с Великой китайской стеной и Ве-		стал d3rkfw22xppori.cloudfront.net. Использовались запросы
ликим китайским файрволом.		как HTTP, так и HTTPS. 18 марта список мишеней на *.cloudfront.
Смелые выводы сделали специалисты канадской лабора-		net расширился, и в трафике впервые появились «устаревшие»
тории Citizen Lab, расположенной в университете Торонто, из-		нефункционирующие скрипты. 25 марта атака против Cloudfront
учив атаку на GitHub, а также похожую атаку на сайт Greatfire.	Исследователи Citizen	прекратилась. Началось нападение на GitHub. Первой мишенью
org, которая произошла немногим позже эпохального DDoS	Lab уверены, что новое	выбрали github.com/greatfire/wiki/wiki/nyt/, затем github.com/
на GitHub. По данным Citizen Lab, «Великая пушка» не атакует	кибероружие — это	greatfire/ и github.com/greatfire/wiki/wiki/dw/.
сайты напрямую, а работает как атака man-on-the-side чудо-	государственная раз-	С начала до окончания атаки применялись девятнадцать
вищного масштаба. Она перехватывает трафик популярных	работка и сейчас Китай	различных скриптов JS. Размер инъекций составлял от 995
сервисов и перенаправляет его на жертву. Так, во время атаки	старается продемон-	до 1325 байт. Изменялись страницы следующих доменов: cbjs.
на GitHub были использованы мощности поисковика Baidu.	стрировать его мощь,	baidu.com (123.125.65.120), eclick.baidu.com (123.125.115.164),
Свое исследование атаки на GitHub провела и корпорация	запугав таким образом	hm.baidu.com (61.135.185.140), pos.baidu.com (115.239.210.141),
Google, использовав для этого данные сервиса Safe Browsing.	критиков.	cpro.baidu.com	(115.239.211.17),	bdimg.share.baidu.com
Компания никого не обвиняет и не делает выводов, но ин-		(211.90.25.48),	pan.baidu.com (180.149.132.99), wapbaike.baidu.
формация, опубликованная в официальном блоге, весьма		com (123.125.114.15).
интересна. Анализ трафика с 1 марта по 15 апреля 2015 года		Единственный вывод, который Google позволила себе сде-
показал, что первые признаки инъекций скриптов в контент		лать в заключении этого отчета, звучит так: «Если бы весь веб
Baidu замечены 3 марта 2015 года, последние — 7 апреля. Ата-		перешел на TLS, такие атаки стали бы невозможны».

«Если бы весь веб перешел на TLS, такие атаки стали бы невозможны», — пишут специалисты Google в официальном анализе атаки на GitHub.

Самый

популярный язык на GitHub

Сервис для контроля версий и истории при разработке Loggy

провел масштабное исследование среди пользователей GitHub, выясняя, какой язык самый популярный. Были использованы данные, которые открыли сами клиенты сервиса (таких около 70% всех пользователей) за период со второго квартала 2012 года по четвертый квартал 2014 года.

				h	ang	e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY					MEGANEWS
				to	BUY
w Click				to	8
w Click										m
w
	w								o
	.							.c
		p					g
			df	-x		n		e
				-x	cha

Серверы Minecraft под угрозой

Опубликован эксплойт, который позволяет практически любому вывести из строя серверы популярной игры

Невзирая на то, что программы вознаграждения за найденные уязвимости работают уже практически у всех уважающих себя компаний, истории, подобные этой, к сожалению, не редкость. Очередной исследователь выявил серьезный баг, долго пытался добиться его устранения, но в ответ получал,

по сути, игнор.

Еще летом 2013 года Аммар Аскар обнаружил уязвимость, благодаря которой любой желающий может «положить» серверы Minecraft DoS-атакой. Достаточно отправить на сервер вредоносные пакеты, и это приведет к переполнению памяти. Исследователь тут же связался с компанией Mojang и попытался привлечь к проблеме внимание сотрудников. Аскар постоянно напоминал компании о себе, но ничего так и не добился. Прошло почти два года, версия игры сменилась с 1.6.2. на 1.8.3, а критический баг по-прежнему оставался на месте. В итоге Аскар отчаялся и попросту опубликовал эксплойт у себя в блоге (blog.ammaraskar.com/minecraft-vulnerability- advisory).

Для атаки используются пакеты 0x08: Block Placement Packet и 0x10: Creative Inventory Action. Дело в том, что при обмене данными с компьютером пользователя сервер открыт для приема невероятно сложных запросов, в том числе кода с вложенными списками, количество которых может достигать 30 миллионов. Можно сгенерировать несколько миллионов Java-объектов, включая ArrayLists, рассказал Аскар. Разумеется, в результате на сервере заканчивается оперативная память, а CPU подвергается предельной нагрузке.

Ирония состоит в том, что стоило автору опубликовать эксплойт в открытом доступе, как Mojang тут же выпустила патч.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 06 /197/ 2015
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Неполезные Androidприложения

Google Play по-прежнему

не гарантирует, что приложение безопасно на 100%

Впрошлом месяце стало известно, что Google уже несколько месяцев использует «ручную» фильтрацию при отборе приложений

вGoogle Play, но, видимо, даже это не панацея. Специалисты «Доктор Веб» обнаружили в каталоге Google Play сразу несколько приложений adware, навязчивая реклама от которых делает нормальное использование устройства с Android весьма затруднительным. Адварь способна на многое: выводить на экран баннеры (в том числе поверх окон других работающих программ и такого размера, что они перекрывают весь интерфейс), открывать в браузере рекламные ссылки, демонстрировать рекламные и иные сообщения в панели уведомлений. Зараза получила имя Adware.MobiDash.2.origin и представляет собой обновленную версию «агрессивной» рекламной платформы Adware.MobiDash.1.origin. Что интересно, коварный вредонос начинает проявлять активность не сразу после установки содержащего его приложения, а через определенное время, снижая тем самым вероятность обнаружить источник рекламы.

Кстати, еще одно, не менее подлое приложение, которое нашли специалисты «Доктора Веба», распространяется уже не через Google Play, но вреда способно нанести больше. Малварь получила имя Android.Toorch.1.origin. Она маскируется под обычное приложение-фонарик. Что характерно, сам фонарик работает, так что заподозрить в нем вредонос сможет не каждый. Стоит установить его на устройство, как злой фонарик получает root-доступ и способен на все, начиная от передачи любых данных хакерам и заканчивая установкой и удалением любых приложений без ведома пользователя.

Сколько стоят твои личные данные?

Компания Trend Micro совместно с Ponemon Institute узнала у пользователей в США, Европе и Японии, насколько те ценят свои данные и в какую сумму теоретически их оценивают. В опросе приняли участие 1903 респондента из 18 стран мира.

Почему за последние пять лет вы стали больше беспокоиться из-за сохранности личных данных?

63%..................	61% ........	53%...........	49% .....................	23%
• я чаще исполь-	• я уже	• я стал	• больше моих пер-	• меня все
зую мобильные	становил-	чаще поль-	сональных данных,	больше напря-
устройства, такие	ся жертвой	зоваться со-	включая медицин-	гает слежка со
как планшеты	утечки	циальными	ские, стали доступ-	стороны пра-
и смартфоны	данных	медиа	ны третьим лицам	вительства

Сколько, 75,8 по-вашему, 59,8 может стоить

ваша личная 55,7

информация?

$ 36,0 29,2 23,5 20,6 16,1 12,9 12,2

пароли и логины

медицинские данные

номер социального страхования (только для жителей США) информация о кредитной карте или других платежных средствах

кредитная история

имена друзей и родных

история покупок

место нахождения (GPS)

домашний адрес

фото и видео

1 / 151 2 3 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
19.04.202425.3 Mб1192_Optimized.pdf
#
19.04.202433.24 Mб1193_Optimized.pdf
#
19.04.202455.88 Mб1194_compressed.pdf
#
20.04.202417.37 Mб1195_Optimized.pdf
#
20.04.202418.23 Mб1196_Optimized.pdf
#
20.04.202419.05 Mб1197_Optimized.pdf
#
20.04.202462.63 Mб1198_Optimized.pdf
#
20.04.202454.2 Mб1199_Optimized.pdf
#
20.04.202421.92 Mб1200_Optimized.pdf
#
20.04.202417.2 Mб1201_Optimized.pdf
#
20.04.202413.99 Mб1202_Optimized.pdf