Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

163_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

8.26 Mб

Скачать

☆

1 / 151 2 3 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P

				toИНТЕРВЬЮ С КРИСОМ КАСПЕРСКИ
w Click				BUY						026
w Click									m
w
	w							o
	.						.c
		p				g
			df		n		e
				-xcha

ЖУРНАЛ ОТ КОМПЬЮТЕРНЫХ ХУЛИГАНОВ

	WWW.XAKEP.RU

08(163)2012	МИНИ-КОМПЬЮТЕРЗА35$

018

ХАКЕРСКИЙ

ЧЕМОДАНЧИК

14НЕОБЫЧНЫХГАДЖЕТОВ,КОТОРЫЕРЕАЛЬНО ИСПОЛЬЗУЮТСЯДЛЯПРОНИКНОВЕНИЯ

В ИНФОРМАЦИОННЫЕСИСТЕМЫ

054	059	114
СПУФИНГ,	НЕВСЕPHP	ТАКЛИ
КОТОРЫЙ	ОДИНАКОВО	ХОРОШНОВЫЙ
РАБОТАЕТ	ПОЛЕЗНЫ	LINUXMINT?

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Стоп-вирус:

избавляемсяотзаразы безантивируса

РЕКОМЕНДОВАННАЯ

ЦЕНА:230р.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

				to	BUY	©
w Click				to		ЗАО				m
w Click						ЗАО				m
w
	w								o
	.					.правообладателейихсобственностьюявляютсяобслуживаниязнакиизнакитоварныеЗарегистрированные.2012Касперского»,«Лаборатория		.c
		p
		p					g
			df			n		e
				-x cha

Яхочу быть уверен, что мои логины и пароли, музыка и документы

вбезопасности. Вот почему я установил Kaspersky Internet Security.

www.kaspersky.ru

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							.c
		p					g
			df	-xcha			n	e
			df				n

азговариваясдрузьямииколлегамиоперсональной

Рбезопасностивинтернете,ярегулярновыясняю,что используютонинавсехсервисаходинаковыепароли(ну,

илисминимальнымиизменениями),чтопаролиих—этонеслиш- комсложныйнаборбуквицифр,которыйлегкозапомнить,иочень часто—чтоихтакилииначевзламывали.Укого-тосвконтактика лилсяспам,укого-товпочтебылаподозрительнаяактивность, акто-тодажелишилсясвоихкровныхЯндекс.Денег.Иэтонеуди- вительно.Использованиеодинаковыхслабыхпаролейвсовокупностисхалатностью(илинедобросовестностью)разработчиков веб-сервисовдаютнеутешительныйрезультат.

Вот,например,недавновпабликевсплывалибазыLinkedIn иLast.fm.ВпервойдляхраненияпаролейиспользоваласьхешфункцияSHA1безсоли,вовторойMD5тожебезсоли(спасибо, чтонеplaintext).Этихеши,даещеибезсоли,брутятсясиспользованиемGPUилирадужныхтаблицсневероятной,просто чудовищнойскоростью.Сприличнымисловарямиихорошей видеокартойхакерзанеделькуилидвелегкополучитпроцентов

70–80всехпаролейпользователейэтихмногомиллионныхсерви- сов.Иэтижепаролионсможетиспользоватьдлядоступакдругим сервисампользователя,будьтопочтаиличто-тоболееценное— ведьчащевсегопаролиодинаковые!

Иэтотолькопарабаз,которыепочьей-тоглупостизасвети- лись.Представляешь,сколькоухакеровинформации,окоторой онипредпочитаютнеболтатьнафорумах?Потакомупринципу могутвзломатьлюбого,ктонезаморочитсяадекватнойпарольной политикой—длинные,сложные,аглавное,разныепароли.

Надеятьсянаразработчиковсервисовбесполезно.ВрядлипослепарывзломоввсерезкобудутперехешироватьужеимеющиесяслабыехешиспомощьюbcryptилиPBKDF2cкучейитераций.

Поэтомупросторекомендуюзадуматьсяосвоихпаролях.

gorl, вып.ред.Х

P.S.За11летработывжурналеэтомоепервоеIntro…ипоследнее. Япокидаюжурнал,чтобывсерьеззанятьсяпрограммированием. Всегдалюбилэтодело;).

				hang		e
			C			e	E
		X					E
	-							d
	F									i
	F									t
P	D									o
P	D					NOW!				r
					BUY	NOW!
				to	BUY
				to
w											m
w Click										o	m
	w									o
	.								.c
		p	df					e
		p					g
						n
				-x cha

РЕДАКЦИЯ

Главныйредактор	Степан«step»Ильин (step@real.xakep.ru)
Выпускающийредактор	Николай«gorl»Андреев (gorlum@real.xakep.ru)
Редакторырубрик
PC_ZONEиUNITS	Степан«step»Ильин (step@real.xakep.ru)
ВЗЛОМ	ЮрийГольцев (goltsev@real.xakep.ru)
UNIXOIDиSYN/ACK	Андрей«Andrushock»Матвеев (andrushock@real.xakep.ru)
MALWAREиКОДИНГ	Александр«Dr.Klouniz»Лозовский (alexander@real.xakep.ru)
Литературныйредактор	ЕвгенияШарипова
PR-менеджер	ЛюдмилаВагизова (vagizova@glc.ru)
DVD
Выпускающийредактор	Антон«ant»Жуков (ant@real.xakep.ru)
Unix-раздел	Андрей«Andrushock»Матвеев (andrushock@real.xakep.ru)
Security-раздел	Дмитрий«D1g1»Евдокимов (evdokimovds@gmail.com)
Монтажвидео	МаксимТрубицын
ART
Арт-директор	АликВайнер(alik@glc.ru)
Дизайнер	ЕгорПономарев
Верстальщик	ВераСветлых
Билд-редактор	ЕленаБеднова
Иллюстрациянаобложке	АнтонБессонов(bessonovart.ru)

PUBLISHING

Учредитель ООО«ГеймЛэнд»,115280,Москва, ул.ЛенинскаяСлобода,19,Омегаплаза,5этаж,офис№21. Тел.:(495)935-7034,факс:(495)545-0906

Генеральныйдиректор	ДмитрийАгарунов
Финансовыйдиректор	АндрейФатеркин
Директорпомаркетингу	ЕленаКаркашадзе
Управляющийарт-директор	АликВайнер
Главныйдизайнер	ЭндиТернбулл
Директорпопроизводству	НатальяШтельмаченко

РАЗМЕЩЕНИЕРЕКЛАМЫ

Тел.:(495)935-7034,факс:(495)545-0906

РЕКЛАМНЫЙОТДЕЛ

Заместительгенерального
директорапопродажам	ЗинаидаЧередниченко(zinaidach@glc.ru)
ДиректоргруппыTECHNOLOGY	МаринаФилатова(filatova@glc.ru)
Директорпорекламе	ЕленаПоликарпова(polikarpova@glc.ru)
Старший менеджер	СветланаМельникова(melnikova@glc.ru)
Менеджер	ДмитрийКачурин(kachurin@glc.ru)
ДиректоргруппыCORPORATE	(работасрекламнымиагентствами)
	КристинаТатаренкова(tatarenkova@glc.ru)
Старшийтрафик-менеджер	МарьяБуланова(bulanova@glc.ru)

ОТДЕЛРЕАЛИЗАЦИИСПЕЦПРОЕКТОВ

Директор АлександрКоренфельд(korenfeld@glc.ru)

РАСПРОСТРАНЕНИЕ

Директорподистрибуции	ТатьянаКошелева(kosheleva@glc.ru)
Руководительотделаподписки	ВикторияКлепикова(lepikova@glc.ru)
Руководитель
спецраспространения	НатальяЛукичева(lukicheva@glc.ru)

Претензииидополнительнаяинфа:

В случаевозникновениявопросовпокачествупечатииDVD-дисков:claim@glc.ru.

Горячаялиния поподписке

Факсдляотправкикупоновиквитанцийнановыеподписки:(495)545-09-06 ТелефонотделаподпискидляжителейМосквы:(495)663-82-77

Телефондляжителейрегионовидлязвонковсмобильныхтелефонов:8-800-200-3-999 Дляписем: 101000,Москва, Главпочтамт,а/я652,Хакер

ЗарегистрировановМинистерствеРоссийскойФедерацииподелампечати,телерадиовещанию исредстваммассовыхкоммуникацийПИЯ77-11802 от14.02.2002.

ОтпечатановтипографииScanweb,Финляндия.Тираж218500экземпляров.

Мнениередакциинеобязательносовпадаетсмнениемавторов.Всематериалывномере предоставляютсякакинформациякразмышлению.Лица,использующиеданнуюинформацию впротивозаконныхцелях,могутбытьпривлеченыкответственности.Редакцияненесетответ-

ственностизасодержаниерекламныхобъявленийвномере.Заперепечаткунашихматериаловбез спроса—преследуем.

Повопросамлицензированияиполученияправнаиспользованиередакционныхматериалов журналаобращайтесьпоадресу:content@glc.ru.

©ООО«ГеймЛэнд»,РФ,2012

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to	Content
					Content
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

HEADER

012 ДАННЫЕСКРЕДИТНЫХКАРТ, ОСНАЩЕННЫХБЕСПРОВОДНЫМ ЧИПОМNFC,ЛЕГКОСЧИТЫВАЮТСЯ ДАЖЕПРИЛОЖЕНИЕМДЛЯANDROID. ДОКАЗАНОНАПРАКТИКЕ.

004	MEGANEWS	016	КолонкаСтёпыИльина
	Всеновоезапоследниймесяц		Какпрототипприложенияпомогаетдоказатьсостоятельностьидеи
011	hackertweets	017	Proof-of-concept
	Хак-сценавтвиттере		Защищаемсессиюспомощьюодноразовыхтокенов

COVERSTORY

026

Крис

Касперски

Интервьюсудивительным человеком,автором][ иоднимизизвестнейших спецоввобластиИТ

COVERSTORY

018

Чемоданчикхакера

14гаджетовдляисследованиябезопасности

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							038
	.							.c
		p					g
			df			n		e
				-xcha

114

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

		PCZONE		АКАДЕМИЯ
		PCZONE		АКАДЕМИЯ
	032	Бескорыстныепомощники	102	ШколаHighload.Урок№2
		15замечательныхбесплатныхутилит		Маштабированиефронтендов
		дляWindows-администратора,которыенезаслуженно
		находятсявтени		UNIXOID
	038	Макси-гайдпомини-компам
	038	Макси-гайдпомини-компам
		ВыбираеммеждуRaspberryPi,CottonCandy,CuBox,
		PandaBoard,Trim-SliceиAllWinnerA10	108	Автостопомполабиринтамядра
				ИсторияключевыхизмененийвядреLinux
		ВЗЛОМ		сверсии3.0по3.4
			114	Покорениевершины
			114	Покорениевершины
				ОбзорLinuxMint13«Maya»
	044	Easy-Hack	120	Когданевозможноевозможно
		Хакерскиесекретыпростыхвещей		ИнтервьюсДмитриемГринбергом,которомуудалось
	050	Обзорэксплоитов		запуститьUbuntuLinuxна8-битноммикроконтроллере
		Анализсвеженькихуязвимостей
	054	Неверьсвоимглазам		SYN/ACK
		Актуальныеметодыспуфингавнашидни		SYN/ACK
	059	НевсеPHPодинаковополезны
		УязвимостиальтернативныхреализацийPHP	124	Новаяпородапочтарей
	064	Ядовитаяобертка		Обзорпопулярныхрешенийдлябыстрогоразвертывания
		КакврапперыPHPмогутбытьиспользованы		почтовогосервера
		дляатакинавеб-приложения	128	Контрольвсвободномпотоке
	068	X-Tools		СобираемстатистикуприпомощиNetFlow
		7утилитдляисследователейбезопасности
		MALWARE		FERRUM
				FERRUM

			132	Bequickorbedead
	070	Намалварьбезантивируса		Тестированиетвердотельныхнакопителей
		Чтоделать,еслиегобазыещенеуспелиобновиться?		синтерфейсомSATA3.0
	078	Махмуд,поджигай!	138	Подходи,налетай,Z77выбирай!
		Flamer—самаясложнаявируснаяугроза		ТестированиематеринскойплатыGIGABYTEG1.Sniper3
		последнеговремени
		КОДИНГ		ЮНИТЫ
				ЮНИТЫ
			140	FAQUNITED


084		РецептыдляWindowsPhone7.5		БольшойFAQ
		Семьпоказательныхпримеровпрограммирования	143	Диско
		подмобильнуювинду		8,5 Гбвсякойвсячины
090		Хардкорныйпутькпроизводительности	144	WWW2
		Достигаемфеноменальнойскоростинапримере		Удобныеweb-сервисы
		шифрованияГОСТ28147—89
096		Задачинасобеседованиях
		Подборкаинтересныхзаданий,которыедают
		насобеседованиях

098ДартСветлоликий

Новыйязыкпрограммированияоткорпорациидобра: выстрелитилинет?

				hang		e
			C			e	E
		X					E
	-						d
	F							t
	D							i
	D							r
P						NOW!		o
P
					BUY
				to	BUY
w Click				to	MEGANEWS
					MEGANEWS
									m
w
	w							o
	.						.c
		p					g
			df			n	e
				-xcha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to	BUY
ВПРОШЛОМГОДУОБЪЕМФРОДОВЫХ	w Click				to						m
ВПРОШЛОМГОДУОБЪЕМФРОДОВЫХ	w Click										m
	w
		w								o
		.							.c
транзакцийчерезДБОвыросна40%,			p					g
				df-x chan					e
				df-x chan

сообщаетЦентральныйбанкРоссийской Федерации.

ЕЩЕОДИНТРОЯН ПРОПИСЫВАЕТСЯВBIOS

МАЛВАРЬНЕСТОИТНАМЕСТЕ

щеосеньюпрошлогогодакитайскаяантивируснаяком-

ЕпанияобнаружилатроянецMebromi,которыйвнедряется

вBIOS(AwardBIOS),гдепотомискрываетсяотантивирусногоПО.ПрипомощизапускаемогоизкоманднойстрокиCBROMтроян внедряетсвоипроцедурывBIOS.Приследующейзагрузкесистемы BIOSужедобавляетдополнительныйкодкглавнойзагрузочной записи(MBR)жесткогодиска,чтобыинфицироватьпроцессы winlogon.exeиwinnt.exeнаWindowsXPи2000/2003передзагрузкой системы.ПриследующемзапускеОСвредоносскачиваетруткит дляпредотвращенияочисткиMBRжесткогодискаантивирусным сканером.Нодажееслижесткийдискбудеточищен,всяпроцедура инфицированияповторитсяприследующейзагрузкеBIOS.Mebromi может«выжить»дажеприсменежесткогодиска!Есликомпьютерне используетAwardBIOS,вируспростоинфицируетMBR.

ВэтоммесяцекомпанияMcAfeeсообщила,чтообнаруженеще одинпохожийвредонос—Niwa!mem.Новыйтрояндействует примернотакимжеспособом,чтоиMebromi,переписываяMBR

ипомещаявсистемебиблиотекуDLL,котораясодержитcbrom.

exeипоражаетAwardBIOS.Экспертыполагают:свыходомвторого экземпляраможноожидать,чтозаписьвредоносногокодавBIOS станетобычнымделомдлямалвари.

Специалисты считают:новый троянNiwa!mem можетбытьнаписан темижеавторами, чтоиMebromi,ведь многиестрокикода вредоносоввыглядятпрактически идентично.

НАШИВGOOGLECODEJAM

УСПЕХИРОССИЙСКИХПРОГРАММИСТОВНАПОПУЛЯРНОМ СОРЕВНОВАНИИ

контестеGoogleCodeJamмыписалиуженераз,нона

Овсякийслучайнапомним:этотмеждународныйпрограммерскийчемпионатпроводитсякомпаниейGoogleс2003года.

Чемпионатбылучрежденсцельювыявлениялучшихумовпланеты (чтобыпотомпереманитьихработатьвGoogle,да-да:)).Соревно- ваниесостоитизнабораалгоритмическихзадач,которыедолжны бытьрешенызафиксированноевремя.Вотличиеотбольшинства соревнованийпопрограммированию,здесьучастникимогутиспользоватьдлярешениязадачлюбойязыкпрограммированияисреду разработки.НедавнозавершилсятретийраундGoogleCodeJam2012, вкоторыйиздесятковтысячпретендентоввышлилишь500лучших. Входетретьегораундабылиопределены25победителей,которых ужепригласятвНью-Йоркдляучастиявочномфинале.Интересно, чтовэтомгодуконкурспрошелприабсолютномдоминировании российскихпрограммистов,шестьизкоторыхпродвинулисьвфинал: EgorKulikov,eatmore,andrewzta,Burunduk1,vepifanovиDlougach. ТакжевфиналвышлигражданинБеларусиГеннадийКороткевич

идваукраинца—Vasylиsdya.Датаиместофинальногоочногораун- да(тире)27июля,нью-йоркскийофисGoogle.




КАЖДЫЙТРЕТИЙРЕКЛАМ-	PAYPALБУДЕТВЫПЛАЧИ-	СТОИМОСТЬПРОДВИЖЕНИЯ	MICROSOFTИСКЛЮЧИЛА	23САЙТАИЗ100САМЫХ
НЫЙБЛОКвбесплатных	ВАТЬДЕНЬГИЗАУЯЗВИМО-	САЙТА—отстарублейдо	HTCИЗСПИСКАКОМПАНИЙ,	ПОСЕЩАЕМЫХРЕСУРСОВ
русскихверсияхAngryBirds	СТИ.Компаниюинтересуют	несколькихмиллионов.	которыесмогутвыпускать	ВИНТЕРНЕТЕпринадлежат
ведетнавредоносныйфайл,	дыркиXSS,CSRF,SQL	ВывестивТОПзапрос«секс»	ARM-планшетынагрядущей	компанииGoogle.Причиной
подсчиталианалитики«Ла-	injectionиразличныемето-	стоит35000рублей,а«пор-	Windows8.Причинытакого		томумножестволокализо-
бораторииКасперского».	дыобходаштатнойсистемы	но»—76000рублей(по	решениянеизвестны.		ванныхверсийGoogle.
	аутентификации.	даннымсервисаrookee.ru).

004	ХАКЕР 08 /163/ 2012

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e		E
		X						E
	-								d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY	MEGAm NEWS
w Click				to
w Click
w
	w									o
	.								.c
		p						g
			df	-xcha			n		e

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
ДОХОДЫОТПРОДАЖHDDБЬЮТВСЕРЕКОРДЫ:впервомкварталеэтогогодасуммасоставила9,6миллиардадолларов.w Click				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ТРОЛОЛОНЕПРОЙДЕТ!

«ЛАБОРАТОРИЯКАСПЕРСКОГО»ВЫИГРАЛАСУДУПАТЕНТНОГОТРОЛЛЯ

KasperskyLab потребовалось 3,5годаработы и2,5миллионадоллароврасходов, чтобывыиграть дело.Другиепроизводителианти-

вирусоввыплатили IPATотнескольких десятковтысячдо несколькихмиллионовдолларов.

казывается,проблемыспатентнымитроллямихорошознакомыне

Отолькозападнымкомпаниям.НедавноЕвгенийКасперскийопублико- валвсвоемблогепост(eugene.kaspersky.ru/2012/06/26/kill-the-troll),

вкоторомподробноописал,как«ЛабораторияКасперского»бороласьспатентнымтроллем.Сутьтакова:некаяамериканскаякомпанияIPATобвиняла ЛКвнарушениидвухсвоихпатентов.IPAT—классическиепатентныетролли. В2008годукомпанияподаладвапатентныхискапротив«ЛабораторииКасперского»иеще34компаний,средикоторыхбылиSymantec,Sophos,McAfee, F-Secure,CA,TrendMicro,Novell,Eset,Microsoftидругие.Компанияобвинила ответчиковвнарушениипатентов,которыеописываютспособыограничения запускакомпьютерныхпрограмм.УпомянутыевискепатентыСША5,311,591 и5,412,717былиполученывсередине90-хгодовизобретателемЭдисономФи- шером,азатемвыкупленыунегокомпаниейIPAT.«ЛабораторииКасперского» потребовалосьнемаловремениисил,чтобыотстоятьсвоюправоту,новитоге всезакончилосьхорошо.«СудВосточногоОкругаТехасвынесрешениепоиску компанииIPATиполностьюснялснасвсеобвинения.Чтоважно—спометкой WITHPREJUDICE,тоестьIPATбольшенесможетподатьискпоэтимпатентам снова!»—пишетЕвгенийКасперский.Рекомендуемознакомитьсясвышеупо- мянутымпостомиполнойверсиейсобытий,потомучтоисториявышлавесьма занимательная:).

APPLEОСОЗНАЛАПРОБЛЕМЫСБЕЗОПАСНОСТЬЮВMACOSX

ИЗОПИСАНИЯMACOSИСЧЕЗЛИ ВСЕЗАЯВЛЕНИЯОТОМ,ЧТО MACOSXНЕПОДВЕРЖЕНА ВИРУСАМ,ВРОДЕ«DOESN’T GETPCVIRUSES»

SIRIСЛЕДИТЗАТОБОЙ

ПОМОЩНИКSIRIХРАНИТГОЛОСОВЫЕОТПЕЧАТКИ ЛЮДЕЙ

тпечатокголоса—такаяжеуникальнаябио- О логическаяметкачеловека,какиотпечаток

пальца,точностьраспознаваниячеловекауних вполнесравнима.Именнопоэтомууэкспертоввызывают беспокойствометодыработыпрограммыSiri,которая установленанамобильныхтелефонахiPhoneипланшетах iPad.Деловтом,чтораспознаваниеголосапрограммой SiriосуществляетсянепосредственнонасерверахкомпанииApple,тоестьфрагментысзаписьюголосапередаютсятудачерезинтернетихранятсянасерверах.Здесьвоз- никаетсразунесколькопроблем.Во-первых,компания Appleнеговорит,какдолгохранятсяаудиозаписиикакие технологиииспользуютсядлязащитыэтойинформации. Во-вторых,вэтихаудиофрагментахможетприсутство- ватьперсональнаяинформация—малоликакиевопросы пользовательзадаетсвоемутелефону,ведьзачастую человекнеподозревает,чтоегословазаписываются иотправляютсянаудаленныйсервер,гдепомещаются

вбазуданных.Носамаяглавнаяугрозазаключаетсявтом, чтоголосчеловекаявляетсяегоуникальнымидентификатором,которыйпрактическибезошибочнопозволяет выявитьегосредимиллионателефонныхразговоров

вэфире.Наэтомпринципеоснованысистемысквозного прослушиванияэфира«Эшелон»идругие.Такимобразом, компанияAppleвладеетбазойуникальныхидентификаторов,спомощьюкоторыхможноосуществлятьглобальнуюслежкузапользователями.Иеслисамакомпания Appleэтимнесобираетсязаниматься,тобазацифровых отпечатковможетбытьполезназлоумышленнику,которыйспособенполучитькнейдоступнасерверахAppleили перехвативтрафикмеждуклиентскимприложениемSiri исервером.

«Наверное,все,чтоможетвасидентифицировать, должнооставатьсянателефоне»,—говоритПремНата- раян(PremNatarajan),исполнительныйвице-президент корпорацииRaytheonBBNTechnologies(Кембридж), котораявыполняетнаучно-исследовательскиерабо- тыпозаказуПентагонаиявляетсякрупнейшимвмире центромпоразработкесистемидентификациичеловека поголосу.Поегословам,состороныAppleбылобыболее грамотнымрешениемпроизводитьпервичнуюобработку голосанателефонеипередаватьтолькоэтуинформацию, анесаминетронутыеаудиозаписи.Специалистсчитает, чтокачествораспознаванияголосаотэтогосовершеннонепострадает,акомпанияAppleпоступаетиначе, исключительночтобыснизитьнагрузкунаCPUтелефонаисэкономитьзарядаккумулятора.Вответнаэти опасенияпредставителикомпанииAppleзаверили,что аудиозаписисголосомпользователяпередаютсячерез интернетвзашифрованномвидеихранятсянасерверахбезпривязкикдругимпользовательскимданным, которыескачиваетSiri,втомчислеконтакт-лист,GPS- координатыпользователя,списокегопесенитакдалее.

006	ХАКЕР 08 /163/ 2012

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e		E
		X						E
	-								d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY	MEGAm NEWS
w Click				to
w Click
w
	w									o
	.								.c
		p						g
			df	-xcha			n		e

ПРИЯТНАЯСТАТИСТИКАОТMCAFEE:антивируснаязащитасактуальнымибазамистоитна83%компьютеровв

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
мире.w Click				to						m
мире.w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

GOOGLEЗАСВОБОДУВСЕТИ

КОРПОРАЦИЯДОБРАБУДЕТИНФОРМИРОВАТЬ ЮЗЕРОВОСЛЕЖКЕСОСТОРОНЫВЛАСТЕЙ

еснойтекущегогодаСергейБринзаявилвинтер-

ВвьюгазетеGuardian,чтоВсемирнаясетьвнаши днистолкнуласьссамымисерьезнымиугрозами

завсюисториюсвоегосуществования.Угрозыисходят снесколькихсторон:этоигосударственнаяцензура,ко-

тораявразныхстранахпытаетсяограничитьдоступсвоих гражданкинформацииивсяческиущемитьихправа;это

икорпоративнаяполитикакомпанийFacebookиApple,направленнаянасозданиеизолированныхфрагментовСети; этоимедиабизнесвегопопыткахборотьсяспиратством. Действительно,ужеизвестномножествослучаев,когда спецслужбыавторитарныхстранведутслежкузагражданами,получивдоступкихпочтовымящикам,аккаунтам всоциальныхсетяхичерезпараллельныеинстансы Skype.Googleсчелсвоимдолгомзащититьсвободу

иприватностьграждан:теперькомпанияпредупреждает пользователейовозможныхпопыткахкомпрометации аккаунтасостороныгосударственныхслужб.Пользователям,которыеувиделитакоесообщение,рекомендуется немедленносменитьпарольнасложнуюкомбинациюпрописных/строчныхбукв,цифризнаковпунктуации,включитьдвухфакторнуюверификациюсподтверждениемSMS намобильномтелефоне,обновитьбраузер,операционную системуиплагины,внимательнопроверятьURLвадреснойстрокеприавторизациивGoogle.

Неясно,покаким признакамGoogle распознает«государственный» источникатаки напользователя (этаинформациясекретна).

Нопредупреждения якобыоснованы на«детальном анализе»исведениях,полученных отреальныхжертв государственной слежки.

БРЮСШНАЙЕР КРИТИКУЕТТОРГОВЛЮ УЯЗВИМОСТЯМИ

ЧЕРНЫЙРЫНОКПОДТАЛКИВАЕТ ПРОГРАММИСТОВКСАБОТАЖУ

риптограф,писательиспециалиствобластиИБ К БрюсШнайервпоследнемномересвоейеже-

месячнойрассылкиCrypto-Gramрезкораскрити-

ковалдеятельностькомпаний,занимающихсякуплей- продажейэксплойтов,—Vupen,Netragardидругих. Предысториятакова:парумесяцевназаджурналForbs опубликовалстатью,вкоторойприводилсясвоеобразный прайс-листнауязвимости(обычнотакиевещинеозвучи- ваютсяширокойпублике).СогласноинформацииForbs, которуюпотомподтвердилисведущиелюди,ценанекоторыхдырможетдоходитьдо250тысячдолларов.Шнайер пишет,чтовначаледаженеповерил,чтоэтиценыреальны,норыноквсамомделеоченьизменилсязапоследние годы.Дажееслисравниватьситуациюс2010годом.

БрюсШнайервсегдабылуверен,чтопоискуязвимостейповышаетобщуюбезопасность,посколькупоощряет публикациюинформациивоткрытомдоступе,однако новыереалиирынкасовершенноменяютдело.Никтона черномрынкевообщенезаинтересованвзакрытииуязвимостей.ПлюсупрограммистоввMicrosoft,Googleитак далеепоявилсястимулоставлятьошибкивкоде,апотом тайнопродаватьихгосударственнымагентствам.Именно поэтомуналичиечерногорынкаэксплойтовопаснодля всех.БрюсШнайерутверждает,чтониоднасофтверная компаниявмиренеобладаетнастольконадежнойсистемойревизиикода,чтобывыявлятьподобныйсаботаж: найтиошибкуидоказатьзлойумысел.

АВТОРСИСТЕМЫХЕШИРОВАНИЯ ПАРОЛЕЙMD5CRYPTПол-Хенинг Камппризнал,чтоданный алгоритмболеенельзясчитать безопасным.Поводомдляэтого заявленияпослужилинедавние утечкимиллионовхешейпаролейсайтовLinkedIn,eHarmony иLast.fm.Крупнымсайтам (больше50тысячаккаунтов) Пол-ХенингКампрекомендовал использоватьмодифицированныйалгоритм,базирующийсяна стойкиххешах,такихкакSHA.


FACEBOOKВБЛИЖАЙШЕМ
FACEBOOKВБЛИЖАЙШЕМ		СОВСЕМНЕДАВНОМЫ
БУДУЩЕМПЛАНИРУЕТВЫ-		ПИСАЛИОБИНИЦИАТИВЕDO
ПУСКСОБСТВЕННОГОСМАРТ-	NOTTRACK,ивотещесвежие
ФОНА,работанадкоторым	новости:Microsoftобъявила,
уженачалась,поинформации	чтовIE10опцияDNTбудет
источниковTheNewYork	включенапоумолчанию.
Times.

008	ХАКЕР 08 /163/ 2012

1 / 151 2 3 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.20248.76 Mб1158_Optimized.pdf
#
20.04.20248.59 Mб1159_Optimized.pdf
#
20.04.20249.25 Mб1160_Optimized.pdf
#
20.04.20248.76 Mб1161_Optimized.pdf
#
20.04.20249.67 Mб1162_Optimized.pdf
#
20.04.20248.26 Mб1163_Optimized.pdf
#
20.04.202414.81 Mб1164_Optimized.pdf
#
20.04.202412.01 Mб1165_Optimized.pdf
#
20.04.20249.6 Mб1166_Optimized.pdf
#
20.04.202418.32 Mб1167_Optimized.pdf
#
20.04.202419.47 Mб1168_Optimized.pdf