Мошенничество FTX: почему для мошеннических действий не стоит писать код на Python
FTX — онлайн-сервис обмена цифровых валют. В 2021 году компания имела более миллиона пользователей и объем торгов был третьим среди криптобирж. Уже в ноябре 2022 года компания подала заявление о банкротстве. Но в работе криптобиржи нашли много странных историй, похожих на мошеннические действия. До сих пор ведется расследование.
На днях стало известно, что свидетельства мошенничества FTX обнаружились в самом коде. Впервые взглянуть на кодовую базу FTX мы смогли в прошлую среду.
По идее, ознакомление жюри присяжных должно было сбить их с толку. Но инженеры FTX написали достаточно чистый код с описательными именами переменных и короткими функциями, а также выбрали человекочитаемый язык Python.
Например, этот фрагмент кода якобы демонстрирует данные с баланса страхового фонда, который колеблется, когда биржа добавляет фонды или изымает их для покрытия убытков.
Даже программисту-новичку будет понятно, что на самом деле разработчики просто обновляли сумму, прибавляя к ней объём торгов за день, умножая на случайное число и деля его на миллиард.
Если интересно посмотреть на другие фрагменты кода, указывающие на мошеннические действия, и почувствовать себя в роли следователя, эта статья для вас: https://habr.com/ru/articles/766960/
#безопасность #python #криптовалюта
FTX — онлайн-сервис обмена цифровых валют. В 2021 году компания имела более миллиона пользователей и объем торгов был третьим среди криптобирж. Уже в ноябре 2022 года компания подала заявление о банкротстве. Но в работе криптобиржи нашли много странных историй, похожих на мошеннические действия. До сих пор ведется расследование.
На днях стало известно, что свидетельства мошенничества FTX обнаружились в самом коде. Впервые взглянуть на кодовую базу FTX мы смогли в прошлую среду.
По идее, ознакомление жюри присяжных должно было сбить их с толку. Но инженеры FTX написали достаточно чистый код с описательными именами переменных и короткими функциями, а также выбрали человекочитаемый язык Python.
Например, этот фрагмент кода якобы демонстрирует данные с баланса страхового фонда, который колеблется, когда биржа добавляет фонды или изымает их для покрытия убытков.
Даже программисту-новичку будет понятно, что на самом деле разработчики просто обновляли сумму, прибавляя к ней объём торгов за день, умножая на случайное число и деля его на миллиард.
Если интересно посмотреть на другие фрагменты кода, указывающие на мошеннические действия, и почувствовать себя в роли следователя, эта статья для вас: https://habr.com/ru/articles/766960/
#безопасность #python #криптовалюта
Может ли саундбар вас подслушивать: исследование саундбара Yamaha YAS-109, часть 2
В прошлый раз автор решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести. Но исследование оборвалось на самом интересном месте.
В этот раз автору действительно удалось раскрыть уязвимости и недекларированные возможности, которые зачем-то встроил производитель. Все в стиле предыдущей статьи — читается на одном дыхании, будет интересно всем, кто интересуется конфиденциальностью и безопасностью умных устройств: https://habr.com/ru/companies/bizone/articles/768904/
#безопасность
В прошлый раз автор решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести. Но исследование оборвалось на самом интересном месте.
В этот раз автору действительно удалось раскрыть уязвимости и недекларированные возможности, которые зачем-то встроил производитель. Все в стиле предыдущей статьи — читается на одном дыхании, будет интересно всем, кто интересуется конфиденциальностью и безопасностью умных устройств: https://habr.com/ru/companies/bizone/articles/768904/
#безопасность
Взлом YouTube: как технически работает скачивание видео с популярного видеохостинга
Вы наверняка слышали о специальном софте, который позволяет скачивать видео с YouTube. Это — youtube-dl (yt-dl) и его клоны, такие как yt-dlp и yt-dlc.
Исходный код yt-dl и самого популярного клона yt-dlp написан на Python и опубликован на Github. Все инструменты используют стандартный интерфейс YouTube API, который постоянно меняется.
В статье рассматривают примеры обращения к YouTube API из командной строки и показывают, как работают «хакерские» способы, используемые в yt-dl и yt-dlp: https://habr.com/ru/companies/ruvds/articles/765798/
#google #безопасность #opensource
Вы наверняка слышали о специальном софте, который позволяет скачивать видео с YouTube. Это — youtube-dl (yt-dl) и его клоны, такие как yt-dlp и yt-dlc.
Исходный код yt-dl и самого популярного клона yt-dlp написан на Python и опубликован на Github. Все инструменты используют стандартный интерфейс YouTube API, который постоянно меняется.
В статье рассматривают примеры обращения к YouTube API из командной строки и показывают, как работают «хакерские» способы, используемые в yt-dl и yt-dlp: https://habr.com/ru/companies/ruvds/articles/765798/
#google #безопасность #opensource
А вы знали, что по времени между нажатиями клавиш можно предположить, что за буквы набираются в пароле?
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.
Тайминг нажатий клавиш в консоли — известный вектор атаки ещё с 80-х. Грубо говоря, по паттерну появления звёздочек на экране можно примерно определить нажатые клавиши, что на порядок сокращает количество вариантов для брутфорса.
Например, рядом стоящие клавиши обычно нажимаются медленнее, чем дальние, если человек работает двумя руками. Подробнее о том, как это работает, рассказали в статье: https://habr.com/ru/companies/ruvds/articles/770792/
#безопасность
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.
Тайминг нажатий клавиш в консоли — известный вектор атаки ещё с 80-х. Грубо говоря, по паттерну появления звёздочек на экране можно примерно определить нажатые клавиши, что на порядок сокращает количество вариантов для брутфорса.
Например, рядом стоящие клавиши обычно нажимаются медленнее, чем дальние, если человек работает двумя руками. Подробнее о том, как это работает, рассказали в статье: https://habr.com/ru/companies/ruvds/articles/770792/
#безопасность
YouTube использует spyware-cкрипты для обнаружения блокирующих рекламу плагинов — хакеры используют те же инструменты
Tomshardware сообщают, что консультант из Ирландии по вопросам защиты частной жизни планирует судиться с YouTube из-за слежки за пользователями. Он утверждает, что скрипты YouTube подпадают под шпионское ПО spyware, являясь технологией слежки. Оно устанавливается без ведома пользователей, чтобы проследить за поведением.
Как минимум, на такие вещи требуется согласие пользователей в соответствии с законодательством ЕС. Как максимум, это уже действительно находится на грани незаконной слежки, а разница между действиями хакеров и большой корпорацией здесь небольшая.
Представители YouTube пока никак не отреагировали на обвинения.
#безопасность #google
Tomshardware сообщают, что консультант из Ирландии по вопросам защиты частной жизни планирует судиться с YouTube из-за слежки за пользователями. Он утверждает, что скрипты YouTube подпадают под шпионское ПО spyware, являясь технологией слежки. Оно устанавливается без ведома пользователей, чтобы проследить за поведением.
Как минимум, на такие вещи требуется согласие пользователей в соответствии с законодательством ЕС. Как максимум, это уже действительно находится на грани незаконной слежки, а разница между действиями хакеров и большой корпорацией здесь небольшая.
Представители YouTube пока никак не отреагировали на обвинения.
#безопасность #google
Взламываем транспортные карты: чит на бесконечные деньги
Это интересный рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему. Один из них — на фото, открыл все турникеты на станции.
Парни смогли сделать так, чтобы транспортная карта бесконечно пополнялась. И даже сделали портативный терминал для пополнения прямо из рюкзака.
Энтузиастам повезло, что после инцидента руководители транспортной компании не стали подавать на них в суд. А пригласили в офис и спросили совета, как такого не допустить в будущем. В итоге они выступили с докладом на DEF CON 31 и создали неплохой урок по реверс-инжинирингу.
В статье — технические подробности о том, как старшеклассникам это удалось: https://habr.com/ru/companies/bastion/articles/772222/
#безопасность #diy
Это интересный рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему. Один из них — на фото, открыл все турникеты на станции.
Парни смогли сделать так, чтобы транспортная карта бесконечно пополнялась. И даже сделали портативный терминал для пополнения прямо из рюкзака.
Энтузиастам повезло, что после инцидента руководители транспортной компании не стали подавать на них в суд. А пригласили в офис и спросили совета, как такого не допустить в будущем. В итоге они выступили с докладом на DEF CON 31 и создали неплохой урок по реверс-инжинирингу.
В статье — технические подробности о том, как старшеклассникам это удалось: https://habr.com/ru/companies/bastion/articles/772222/
#безопасность #diy
Как работают полумошеннические конторы по ремонту компьютеров: инсайды и советы
В студенчестве автору статьи «посчастливилось» познакомиться изнутри с одной из таких контор. Поскольку их бизнес до сих пор процветает, он решил кратко рассказать, как там все устроено. Он привел примеры их работы и рассказал, как избежать огромных трат, если такие дельцы пришли к кому-то из ваших знакомых, которые не сильно разбираются в технике.
Подробнее — в статье: https://habr.com/ru/companies/lanit/articles/769526/
#безопасность #hardware
В студенчестве автору статьи «посчастливилось» познакомиться изнутри с одной из таких контор. Поскольку их бизнес до сих пор процветает, он решил кратко рассказать, как там все устроено. Он привел примеры их работы и рассказал, как избежать огромных трат, если такие дельцы пришли к кому-то из ваших знакомых, которые не сильно разбираются в технике.
Подробнее — в статье: https://habr.com/ru/companies/lanit/articles/769526/
#безопасность #hardware
Топ 5 самых безопасных и технологичных VPN
В настоящее время многие VPN не только не безопасны, но и работают через день, а каждый раз скачивать новое приложение — неудобно и проблемно.
Поэтому мы собрали для вас подборку лучших платных и бесплатных VPN. В этой статье вы сможете узнать какие протоколы и алгоритмы шифрования они используют, их среднюю скорость и, помимо всего, ещё и особенности каждого из них.
#vpn #безопасность
В настоящее время многие VPN не только не безопасны, но и работают через день, а каждый раз скачивать новое приложение — неудобно и проблемно.
Поэтому мы собрали для вас подборку лучших платных и бесплатных VPN. В этой статье вы сможете узнать какие протоколы и алгоритмы шифрования они используют, их среднюю скорость и, помимо всего, ещё и особенности каждого из них.
#vpn #безопасность
Польские хакеры помогли узнать причину блокировки поездов
Команда белых хакеров Dragon Sector помогли крупной польской ж/д компании SPS, столкнувшейся с тем, что поезда, после обслуживания в сторонних мастерских, внезапно переставали работать и блокировались.
Причина такой блокировки была найдена в последние часы до расторжения договора с SPS. Оказалось, что Newag — производитель электропоездов специально блокирует нормальную работу систем управления, если поезд долго находится в депо конкурентов. Кроме того, удалось выяснить, что снять блокировку можно при помощи нажатия комбинации клавиш в кабине машиниста. Newag свою вину не признает и заявляет, что стала жертвой киберпреступников, делом занимаются правоохранительные органы.
Вся история — отличное напоминание того, что ничего не мотивирует сильнее, чем приближающийся дедлайн.
#новости #безопасность
Команда белых хакеров Dragon Sector помогли крупной польской ж/д компании SPS, столкнувшейся с тем, что поезда, после обслуживания в сторонних мастерских, внезапно переставали работать и блокировались.
Причина такой блокировки была найдена в последние часы до расторжения договора с SPS. Оказалось, что Newag — производитель электропоездов специально блокирует нормальную работу систем управления, если поезд долго находится в депо конкурентов. Кроме того, удалось выяснить, что снять блокировку можно при помощи нажатия комбинации клавиш в кабине машиниста. Newag свою вину не признает и заявляет, что стала жертвой киберпреступников, делом занимаются правоохранительные органы.
Вся история — отличное напоминание того, что ничего не мотивирует сильнее, чем приближающийся дедлайн.
#новости #безопасность
Бермудский треугольник: откуда банки берут данные, которые им никто не давал?
Один из пользователей Хабра заметил необычную особенность работы банковский приложений: его знакомым и коллегам приходят счета за газ, штрафы ГИБДД и не только, хотя никаких услуг и подписок они не подключали.
В ходе разбирательств подписки так и не удалось отменить ни в приложении, ни после звонка в службу поддержки, где, кстати говоря, так и не смогли объяснить, откуда банк берёт данные для выставления подобных счетов.
Подробнее о том, чем закончилась история и можно ли как-то защитить свои данные в подобных ситуациях.
#безопасность
Один из пользователей Хабра заметил необычную особенность работы банковский приложений: его знакомым и коллегам приходят счета за газ, штрафы ГИБДД и не только, хотя никаких услуг и подписок они не подключали.
В ходе разбирательств подписки так и не удалось отменить ни в приложении, ни после звонка в службу поддержки, где, кстати говоря, так и не смогли объяснить, откуда банк берёт данные для выставления подобных счетов.
Подробнее о том, чем закончилась история и можно ли как-то защитить свои данные в подобных ситуациях.
#безопасность
Гайд для новичков в кибербезопасности
Эксперт по инфобезу с девятилетним опытом предельно доступно рассказывает, с чего вообще начать, где в законах РФ прописана методика выявления уязвимостей и какое ПО отвечает за проверку фронт-, бэкенда и других компоненты системы.
#безопасность
Эксперт по инфобезу с девятилетним опытом предельно доступно рассказывает, с чего вообще начать, где в законах РФ прописана методика выявления уязвимостей и какое ПО отвечает за проверку фронт-, бэкенда и других компоненты системы.
#безопасность
Хакеры нашли «ключ» для взлома миллионов гостиничных замков по всему миру
Группа хакеров продемонстрировала метод взлома замков Saflok, используемых в 3 млн гостиничных номеров по всему миру.
#безопасность
Группа хакеров продемонстрировала метод взлома замков Saflok, используемых в 3 млн гостиничных номеров по всему миру.
#безопасность
А вы в зелёной зоне?
Интересная инфографика о том, сколько времени требуется на подбор пароля брутфорсом в 2024 году. Она основана на анализе реальных утечек данных, а также учитывает длину и сложность пароля, используемый алгоритм хеширования и вычислительную мощность оборудования хакера.
Полный текст исследования, откуда взяли картинку: https://www.hivesystems.com/blog/are-your-passwords-in-the-green
#факты #безопасность
Интересная инфографика о том, сколько времени требуется на подбор пароля брутфорсом в 2024 году. Она основана на анализе реальных утечек данных, а также учитывает длину и сложность пароля, используемый алгоритм хеширования и вычислительную мощность оборудования хакера.
Полный текст исследования, откуда взяли картинку: https://www.hivesystems.com/blog/are-your-passwords-in-the-green
#факты #безопасность
Технология DPI: как работает глубокая фильтрация пакетов и ее применение в сетевой безопасности
Каждый день бизнес в России сталкивается с киберугрозами. Любая утечка может обернуться миллионными расходами. Поэтому компании всё чаще устанавливают технологию Deep Packet Inspection для глубокой фильтрации пакетов, чтобы эффективно защищать свои данные.
Рассказали, как работают DPI-решения, зачем они нужны правительствам, провайдерам и корпорациям и какие сегодня есть инструменты для контроля сетевого трафика.
#безопасность
Каждый день бизнес в России сталкивается с киберугрозами. Любая утечка может обернуться миллионными расходами. Поэтому компании всё чаще устанавливают технологию Deep Packet Inspection для глубокой фильтрации пакетов, чтобы эффективно защищать свои данные.
Рассказали, как работают DPI-решения, зачем они нужны правительствам, провайдерам и корпорациям и какие сегодня есть инструменты для контроля сетевого трафика.
#безопасность
Даркнет и безопасность: чему разработчики могут научиться у киберпреступников
Хотя эта часть интернета чаще ассоциируется с незаконными делами, она также предоставляет хорошие уроки по обеспечению конфиденциальности и защищённости.
Рассказываем, какие фишки киберпреступников могут использовать разработчики для защиты цифровых экосистем.
#безопасность
Хотя эта часть интернета чаще ассоциируется с незаконными делами, она также предоставляет хорошие уроки по обеспечению конфиденциальности и защищённости.
Рассказываем, какие фишки киберпреступников могут использовать разработчики для защиты цифровых экосистем.
#безопасность