Уязвимость в Telegram позволяет обходить пароль local code
Пользователь ресурса habr.com под псевдонимом ne555 обнаружил в мессенджере Telegram уязвимость, позволяющую обходить пароль local code любой длины. Уязвимость является «продолжением» обнаруженной им ранее уязвимости, с помощью которой атакующий мог скомпрометировать секретные чаты.
Как сообщал исследователь, для того чтобы завладеть секретными чатами Telegram, «достаточно было скопировать “несколько файлов” с root-девайса на другой, взломать некриптостойкий local code с помощью JTR». Хотя скорость брутфорс-атаки была довольно большой, ее все равно было недостаточно для быстрого взлома local code, состоящего более чем из 30 знаков. Теперь же ne555 доработал свою атаку и описал способ, позволяющий взломать local code пароля любой длины и сложности.
Исследователь протестировал атаку на четырех Android-приложениях – KeePassDroid, «Сбербанк Онлайн», «Яндекс.Деньги» и Telegram. Как оказалось, уязвимости подвержен только Telegram.
«Telegram подвержен атаке хищения ключей, но самое странное в мессенджере – “интегрированный отпечаток пальца в приложение”» – сообщил исследователь.
В KeePassDroid, «Сбербанк Онлайн», «Яндекс.Деньги» реализована функция разблокировки приложения по отпечатку, поэтому они защищены от подобных атак. В Telegram эта функция принудительно интегрирована, и злоумышленники могут ею воспользоваться.
Пользователь ресурса habr.com под псевдонимом ne555 обнаружил в мессенджере Telegram уязвимость, позволяющую обходить пароль local code любой длины. Уязвимость является «продолжением» обнаруженной им ранее уязвимости, с помощью которой атакующий мог скомпрометировать секретные чаты.
Как сообщал исследователь, для того чтобы завладеть секретными чатами Telegram, «достаточно было скопировать “несколько файлов” с root-девайса на другой, взломать некриптостойкий local code с помощью JTR». Хотя скорость брутфорс-атаки была довольно большой, ее все равно было недостаточно для быстрого взлома local code, состоящего более чем из 30 знаков. Теперь же ne555 доработал свою атаку и описал способ, позволяющий взломать local code пароля любой длины и сложности.
Исследователь протестировал атаку на четырех Android-приложениях – KeePassDroid, «Сбербанк Онлайн», «Яндекс.Деньги» и Telegram. Как оказалось, уязвимости подвержен только Telegram.
«Telegram подвержен атаке хищения ключей, но самое странное в мессенджере – “интегрированный отпечаток пальца в приложение”» – сообщил исследователь.
В KeePassDroid, «Сбербанк Онлайн», «Яндекс.Деньги» реализована функция разблокировки приложения по отпечатку, поэтому они защищены от подобных атак. В Telegram эта функция принудительно интегрирована, и злоумышленники могут ею воспользоваться.
В России создается орган для контроля над интернетом
Центр мониторинга и управления сетью связи общего пользования планируется создать в РФ до 1 июня 2019 года. Новая структура будет подчиняться Роскомнадзору и займется «обобщением и обработкой трафика операторов связи и госсистем передачи данных для обеспечения безопасности Рунета».
Медведев поручил Микомсвязи согласовать с ФСБ до 1 января 2020 регламент взаимодействия новой структуры с цифровыми госсистемами, в том числе с сегментом обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Какую именно информацию планируется анализировать, нужно определить до 1 мая. К этому же сроку должен появиться проект федерального закона и нормативных актов, необходимых для выполнения заявленных функций.
Кажется, недолго осталось интернету в том виде, котором он существует сейчас.
Хочется надеяться, что Салтыков-Щедрин был прав и "суровость закона компенсируется его невыполнением"
@thecodered
Центр мониторинга и управления сетью связи общего пользования планируется создать в РФ до 1 июня 2019 года. Новая структура будет подчиняться Роскомнадзору и займется «обобщением и обработкой трафика операторов связи и госсистем передачи данных для обеспечения безопасности Рунета».
Медведев поручил Микомсвязи согласовать с ФСБ до 1 января 2020 регламент взаимодействия новой структуры с цифровыми госсистемами, в том числе с сегментом обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Какую именно информацию планируется анализировать, нужно определить до 1 мая. К этому же сроку должен появиться проект федерального закона и нормативных актов, необходимых для выполнения заявленных функций.
Кажется, недолго осталось интернету в том виде, котором он существует сейчас.
Хочется надеяться, что Салтыков-Щедрин был прав и "суровость закона компенсируется его невыполнением"
@thecodered
Как создать свой сайт в сети Tor
Создание сайта в доменной зоне .onion не чем не отличается от стандартного «сайтостроения» в легальном интернете.
Приступая к работе необходимо знать английский язык, базовый знаний будет достаточно ну и конечно HTML, HTML5, PHP…
Нам понадобится браузер Tor, бесплатный хостинг в моём случае. Если вы решили создать действительно серьезный сайт или форум, нужно «купить» домен и хостинг.
1. Проходим не большую регистрацию
Username пишем слитно без пробелов (AnonymusMan), сайт автоматически сгенерирует доменное имя
2. После регистрации в разделе FTP нужно создать новый пароль, в верхней ячейке таблицы оставляем старый указанный при регистрации
3. Заливаем через FTP свой «шаблон» сайта на хост
Для создания сайта на своём ПК вам необходимо, то есть ваш компьютер будет в роли сервера. Установить Веб-сервер и настроить сервер, в файле hostname вы можете найти адрес вашего сайта: (примерно будет выглядеть так) http://hsa42zowcd7jvqum.onion/ в .onion сети.
Вот и все первые шаги в «Темную паутину» сделаны, можно приступать к работе.
@thecodered
Создание сайта в доменной зоне .onion не чем не отличается от стандартного «сайтостроения» в легальном интернете.
Приступая к работе необходимо знать английский язык, базовый знаний будет достаточно ну и конечно HTML, HTML5, PHP…
Нам понадобится браузер Tor, бесплатный хостинг в моём случае. Если вы решили создать действительно серьезный сайт или форум, нужно «купить» домен и хостинг.
1. Проходим не большую регистрацию
Username пишем слитно без пробелов (AnonymusMan), сайт автоматически сгенерирует доменное имя
2. После регистрации в разделе FTP нужно создать новый пароль, в верхней ячейке таблицы оставляем старый указанный при регистрации
3. Заливаем через FTP свой «шаблон» сайта на хост
Для создания сайта на своём ПК вам необходимо, то есть ваш компьютер будет в роли сервера. Установить Веб-сервер и настроить сервер, в файле hostname вы можете найти адрес вашего сайта: (примерно будет выглядеть так) http://hsa42zowcd7jvqum.onion/ в .onion сети.
Вот и все первые шаги в «Темную паутину» сделаны, можно приступать к работе.
@thecodered
Хакер и программист не противопоставляются, а дополняют друг друга.
Они оба программисты, только на разных уровнях программирования.
Главное их отличие - это цели и задачи, которые ставят перед собой. А объединяет их великолепное знание компьютера и готовность продавать свои знания.
Но откуда взять эти великолепные знания?
Мы рекомендуем заглянуть в @cccoding, ведь там собраны лучшие статьи для программистов и хакеров, множество курсов на любой интересующий язык
@cccoding
Они оба программисты, только на разных уровнях программирования.
Главное их отличие - это цели и задачи, которые ставят перед собой. А объединяет их великолепное знание компьютера и готовность продавать свои знания.
Но откуда взять эти великолепные знания?
Мы рекомендуем заглянуть в @cccoding, ведь там собраны лучшие статьи для программистов и хакеров, множество курсов на любой интересующий язык
@cccoding
Кабельное ТВ оснастят средствами контроля Роскомнадзора
Минцифры предложило обязать кабельных операторов предоставлять Роскомнадзору доступ к своей сети и установить на ней «средства технического контроля», которые позволят службе «осуществлять контроль и надзор» за исполнением российского законодательства. Соответствующий документ опубликован на федеральном портале проектов нормативных и правовых актов.
Техническое оборудование необходимо Роскомнадзору, чтобы иметь представление о контенте телеканалов, распространяемых исключительно в кабельных сетях, следует из материалов министерства. Сейчас в России как телеканалы и телепрограммы зарегистрированы свыше 7,2 тыс. средств массовой информации. Лицензию на вещание в кабельных сетях и так называемую универсальную лицензию (позволяет вещать в том числе и в кабеле) имеют более 2,1 тыс. СМИ. При этом около 60% кабельных телеканалов, которые распространяются в пределах одного региона, находятся вне контроля Роскомнадзора, говорится в пояснительной записке.
@thecodered
Минцифры предложило обязать кабельных операторов предоставлять Роскомнадзору доступ к своей сети и установить на ней «средства технического контроля», которые позволят службе «осуществлять контроль и надзор» за исполнением российского законодательства. Соответствующий документ опубликован на федеральном портале проектов нормативных и правовых актов.
Техническое оборудование необходимо Роскомнадзору, чтобы иметь представление о контенте телеканалов, распространяемых исключительно в кабельных сетях, следует из материалов министерства. Сейчас в России как телеканалы и телепрограммы зарегистрированы свыше 7,2 тыс. средств массовой информации. Лицензию на вещание в кабельных сетях и так называемую универсальную лицензию (позволяет вещать в том числе и в кабеле) имеют более 2,1 тыс. СМИ. При этом около 60% кабельных телеканалов, которые распространяются в пределах одного региона, находятся вне контроля Роскомнадзора, говорится в пояснительной записке.
@thecodered
Как найти человека в ВК по фото?
Существует масса жизненных ситуаций, когда необходимо найти профиль человека, имея только пару его фотографий. Сайт FindMeVK почти безошибочно и мгновенно найдёт любого человека на фото (если у него, конечно, есть аккаунт с фотографиями в ВК). Так же можно загружать фото с несколькими людьми в кадре, сайт позволит выбрать нужного.
Чем больше фото у вас есть тем лучше, потому что у пользователя могут быть фотографии с разных ракурсов. Результаты просто отличные - найдено 7 людей из 8.
Сайт - https://findmevk.com
@thecodered
Существует масса жизненных ситуаций, когда необходимо найти профиль человека, имея только пару его фотографий. Сайт FindMeVK почти безошибочно и мгновенно найдёт любого человека на фото (если у него, конечно, есть аккаунт с фотографиями в ВК). Так же можно загружать фото с несколькими людьми в кадре, сайт позволит выбрать нужного.
Чем больше фото у вас есть тем лучше, потому что у пользователя могут быть фотографии с разных ракурсов. Результаты просто отличные - найдено 7 людей из 8.
Сайт - https://findmevk.com
@thecodered
