А вы знали, что по времени между нажатиями клавиш можно предположить, что за буквы набираются в пароле?
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.
Тайминг нажатий клавиш в консоли — известный вектор атаки ещё с 80-х. Грубо говоря, по паттерну появления звёздочек на экране можно примерно определить нажатые клавиши, что на порядок сокращает количество вариантов для брутфорса.
Например, рядом стоящие клавиши обычно нажимаются медленнее, чем дальние, если человек работает двумя руками. Подробнее о том, как это работает, рассказали в статье: https://habr.com/ru/companies/ruvds/articles/770792/
#безопасность
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.
Тайминг нажатий клавиш в консоли — известный вектор атаки ещё с 80-х. Грубо говоря, по паттерну появления звёздочек на экране можно примерно определить нажатые клавиши, что на порядок сокращает количество вариантов для брутфорса.
Например, рядом стоящие клавиши обычно нажимаются медленнее, чем дальние, если человек работает двумя руками. Подробнее о том, как это работает, рассказали в статье: https://habr.com/ru/companies/ruvds/articles/770792/
#безопасность
YouTube использует spyware-cкрипты для обнаружения блокирующих рекламу плагинов — хакеры используют те же инструменты
Tomshardware сообщают, что консультант из Ирландии по вопросам защиты частной жизни планирует судиться с YouTube из-за слежки за пользователями. Он утверждает, что скрипты YouTube подпадают под шпионское ПО spyware, являясь технологией слежки. Оно устанавливается без ведома пользователей, чтобы проследить за поведением.
Как минимум, на такие вещи требуется согласие пользователей в соответствии с законодательством ЕС. Как максимум, это уже действительно находится на грани незаконной слежки, а разница между действиями хакеров и большой корпорацией здесь небольшая.
Представители YouTube пока никак не отреагировали на обвинения.
#безопасность #google
Tomshardware сообщают, что консультант из Ирландии по вопросам защиты частной жизни планирует судиться с YouTube из-за слежки за пользователями. Он утверждает, что скрипты YouTube подпадают под шпионское ПО spyware, являясь технологией слежки. Оно устанавливается без ведома пользователей, чтобы проследить за поведением.
Как минимум, на такие вещи требуется согласие пользователей в соответствии с законодательством ЕС. Как максимум, это уже действительно находится на грани незаконной слежки, а разница между действиями хакеров и большой корпорацией здесь небольшая.
Представители YouTube пока никак не отреагировали на обвинения.
#безопасность #google
Взламываем транспортные карты: чит на бесконечные деньги
Это интересный рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему. Один из них — на фото, открыл все турникеты на станции.
Парни смогли сделать так, чтобы транспортная карта бесконечно пополнялась. И даже сделали портативный терминал для пополнения прямо из рюкзака.
Энтузиастам повезло, что после инцидента руководители транспортной компании не стали подавать на них в суд. А пригласили в офис и спросили совета, как такого не допустить в будущем. В итоге они выступили с докладом на DEF CON 31 и создали неплохой урок по реверс-инжинирингу.
В статье — технические подробности о том, как старшеклассникам это удалось: https://habr.com/ru/companies/bastion/articles/772222/
#безопасность #diy
Это интересный рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему. Один из них — на фото, открыл все турникеты на станции.
Парни смогли сделать так, чтобы транспортная карта бесконечно пополнялась. И даже сделали портативный терминал для пополнения прямо из рюкзака.
Энтузиастам повезло, что после инцидента руководители транспортной компании не стали подавать на них в суд. А пригласили в офис и спросили совета, как такого не допустить в будущем. В итоге они выступили с докладом на DEF CON 31 и создали неплохой урок по реверс-инжинирингу.
В статье — технические подробности о том, как старшеклассникам это удалось: https://habr.com/ru/companies/bastion/articles/772222/
#безопасность #diy
Как работают полумошеннические конторы по ремонту компьютеров: инсайды и советы
В студенчестве автору статьи «посчастливилось» познакомиться изнутри с одной из таких контор. Поскольку их бизнес до сих пор процветает, он решил кратко рассказать, как там все устроено. Он привел примеры их работы и рассказал, как избежать огромных трат, если такие дельцы пришли к кому-то из ваших знакомых, которые не сильно разбираются в технике.
Подробнее — в статье: https://habr.com/ru/companies/lanit/articles/769526/
#безопасность #hardware
В студенчестве автору статьи «посчастливилось» познакомиться изнутри с одной из таких контор. Поскольку их бизнес до сих пор процветает, он решил кратко рассказать, как там все устроено. Он привел примеры их работы и рассказал, как избежать огромных трат, если такие дельцы пришли к кому-то из ваших знакомых, которые не сильно разбираются в технике.
Подробнее — в статье: https://habr.com/ru/companies/lanit/articles/769526/
#безопасность #hardware
Топ 5 самых безопасных и технологичных VPN
В настоящее время многие VPN не только не безопасны, но и работают через день, а каждый раз скачивать новое приложение — неудобно и проблемно.
Поэтому мы собрали для вас подборку лучших платных и бесплатных VPN. В этой статье вы сможете узнать какие протоколы и алгоритмы шифрования они используют, их среднюю скорость и, помимо всего, ещё и особенности каждого из них.
#vpn #безопасность
В настоящее время многие VPN не только не безопасны, но и работают через день, а каждый раз скачивать новое приложение — неудобно и проблемно.
Поэтому мы собрали для вас подборку лучших платных и бесплатных VPN. В этой статье вы сможете узнать какие протоколы и алгоритмы шифрования они используют, их среднюю скорость и, помимо всего, ещё и особенности каждого из них.
#vpn #безопасность
Польские хакеры помогли узнать причину блокировки поездов
Команда белых хакеров Dragon Sector помогли крупной польской ж/д компании SPS, столкнувшейся с тем, что поезда, после обслуживания в сторонних мастерских, внезапно переставали работать и блокировались.
Причина такой блокировки была найдена в последние часы до расторжения договора с SPS. Оказалось, что Newag — производитель электропоездов специально блокирует нормальную работу систем управления, если поезд долго находится в депо конкурентов. Кроме того, удалось выяснить, что снять блокировку можно при помощи нажатия комбинации клавиш в кабине машиниста. Newag свою вину не признает и заявляет, что стала жертвой киберпреступников, делом занимаются правоохранительные органы.
Вся история — отличное напоминание того, что ничего не мотивирует сильнее, чем приближающийся дедлайн.
#новости #безопасность
Команда белых хакеров Dragon Sector помогли крупной польской ж/д компании SPS, столкнувшейся с тем, что поезда, после обслуживания в сторонних мастерских, внезапно переставали работать и блокировались.
Причина такой блокировки была найдена в последние часы до расторжения договора с SPS. Оказалось, что Newag — производитель электропоездов специально блокирует нормальную работу систем управления, если поезд долго находится в депо конкурентов. Кроме того, удалось выяснить, что снять блокировку можно при помощи нажатия комбинации клавиш в кабине машиниста. Newag свою вину не признает и заявляет, что стала жертвой киберпреступников, делом занимаются правоохранительные органы.
Вся история — отличное напоминание того, что ничего не мотивирует сильнее, чем приближающийся дедлайн.
#новости #безопасность
Бермудский треугольник: откуда банки берут данные, которые им никто не давал?
Один из пользователей Хабра заметил необычную особенность работы банковский приложений: его знакомым и коллегам приходят счета за газ, штрафы ГИБДД и не только, хотя никаких услуг и подписок они не подключали.
В ходе разбирательств подписки так и не удалось отменить ни в приложении, ни после звонка в службу поддержки, где, кстати говоря, так и не смогли объяснить, откуда банк берёт данные для выставления подобных счетов.
Подробнее о том, чем закончилась история и можно ли как-то защитить свои данные в подобных ситуациях.
#безопасность
Один из пользователей Хабра заметил необычную особенность работы банковский приложений: его знакомым и коллегам приходят счета за газ, штрафы ГИБДД и не только, хотя никаких услуг и подписок они не подключали.
В ходе разбирательств подписки так и не удалось отменить ни в приложении, ни после звонка в службу поддержки, где, кстати говоря, так и не смогли объяснить, откуда банк берёт данные для выставления подобных счетов.
Подробнее о том, чем закончилась история и можно ли как-то защитить свои данные в подобных ситуациях.
#безопасность
Гайд для новичков в кибербезопасности
Эксперт по инфобезу с девятилетним опытом предельно доступно рассказывает, с чего вообще начать, где в законах РФ прописана методика выявления уязвимостей и какое ПО отвечает за проверку фронт-, бэкенда и других компоненты системы.
#безопасность
Эксперт по инфобезу с девятилетним опытом предельно доступно рассказывает, с чего вообще начать, где в законах РФ прописана методика выявления уязвимостей и какое ПО отвечает за проверку фронт-, бэкенда и других компоненты системы.
#безопасность
Хакеры нашли «ключ» для взлома миллионов гостиничных замков по всему миру
Группа хакеров продемонстрировала метод взлома замков Saflok, используемых в 3 млн гостиничных номеров по всему миру.
#безопасность
Группа хакеров продемонстрировала метод взлома замков Saflok, используемых в 3 млн гостиничных номеров по всему миру.
#безопасность
А вы в зелёной зоне?
Интересная инфографика о том, сколько времени требуется на подбор пароля брутфорсом в 2024 году. Она основана на анализе реальных утечек данных, а также учитывает длину и сложность пароля, используемый алгоритм хеширования и вычислительную мощность оборудования хакера.
Полный текст исследования, откуда взяли картинку: https://www.hivesystems.com/blog/are-your-passwords-in-the-green
#факты #безопасность
Интересная инфографика о том, сколько времени требуется на подбор пароля брутфорсом в 2024 году. Она основана на анализе реальных утечек данных, а также учитывает длину и сложность пароля, используемый алгоритм хеширования и вычислительную мощность оборудования хакера.
Полный текст исследования, откуда взяли картинку: https://www.hivesystems.com/blog/are-your-passwords-in-the-green
#факты #безопасность