smerch112

smerch112

на Пикабу
поставил 45709 плюсов и 0 минусов
отредактировал 63 поста
проголосовал за 113 редактирований
сообщества:
58К рейтинг 104 подписчика 4083 комментария 121 пост 16 в горячем
2 награды
5 лет на Пикабу лучший авторский пост недели
-6

Чуточку юзабельности

Дорогие Пикабчане!

Я обращаюсь к тем, кто активно использует мобильную веб версию сайта, в связи с тем, что уже несколько лет пошла мода на "лопаты", а не нормальные смартфоны, хотелось бы, чтобы @admin учёл этот факт, а именно то, что большинству неудобно тянутся к левому краю телефона держа телефонов одной рукой и нажимать ею плюсики, поэтому хотелось бы предложить поменять местами "плюс" и "минус", так как на первый люди чаще нажимают и/или дать в настройках возможность выбора.

45

Быстрый доступ к картинкам и gif из сохранённых комментариев и не только.

*тут должно быть вступление, на которое я не способен, хотя, погодите ка, попробую так.

Ну бля, короче - листал я тут родимое пикабу, натыкаюсь на пост:

Быстрый доступ к картинкам и gif из сохранённых комментариев и не только. Без рейтинга, Предложения по Пикабу, Стикеры, Гифка, Картинки, Пикабу, Длиннопост

И захотелось мне вставить любимую гифку, зная что она у меня есть в сохранённых комментариях, пошёл лезть туда.

Быстрый доступ к картинкам и gif из сохранённых комментариев и не только. Без рейтинга, Предложения по Пикабу, Стикеры, Гифка, Картинки, Пикабу, Длиннопост

И я честно, замучался искать, потому что она была аж на 35 странице (можете тыкнуть и понастальгировать)! Я не mainka,  мне это даётся с трудом, поэтому такая проблема уже давно назрела у многих и её нужно уже решать!


Предлагаю сделать подобное решение:

Быстрый доступ к картинкам и gif из сохранённых комментариев и не только. Без рейтинга, Предложения по Пикабу, Стикеры, Гифка, Картинки, Пикабу, Длиннопост

Отдельная кнопка - выпадающее меню.

Быстрый доступ к картинкам и gif из сохранённых комментариев и не только. Без рейтинга, Предложения по Пикабу, Стикеры, Гифка, Картинки, Пикабу, Длиннопост

Так вот, дать пикабушникам возможность перенести в такое всплывающее меню все сохранённые картинки/гифки из комментариев и постов. Так же, для быстрого поиска можно присвоить свои теги, фразы, редактировать/дублировать их категории и загружать уже свои.

Так же предлагаю делиться такими наборами по коротким ссылкам (делать публичными или же приватными наборы свои)

В общем замутить свои стикеры с печеньками и котиками!

Показать полностью 2
1665

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью

Источник - Хабрахабр


На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов, сами того не подозревая, майнят в наших браузерах криптовалюту, мы решили покуситься на святая святых и взломать документы, подписанные усиленной квалифицированной электронной подписью. И вот что из этого вышло.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт
Как известно, усиленная квалифицированная электронная подпись (ЭП) позволяет определить лицо, подписавшее документ, и обнаружить факт внесения изменений в документе (см. ст. 5, п. 3 Федерального закона № 63 «Об электронной подписи»). Алгоритм генерации коллизий хеш-функции в этот раз нам не понадобится. Для взлома надо найти способы внесения изменений в электронный документ после его подписания, так, чтобы эти изменения не были обнаружены при проверке ЭП. Начнём.


Сценарий с документом DWG, вектор атаки — внешние ссылки



Здесь и далее предполагается, что в системе уже установлен сертификат квалифицированной электронной подписи:


Создаём документ HVAC.dwg, который ссылается на файл nothing.dwg, расположенный на шаре в локальной сети предприятия. Файл nothing.dwg содержит выноски на оборудование Поставщика А;


Отправляем HVAC.dwg на согласование ответственному лицу;


С помощью программы «Autodesk→AutoCAD→Добавление цифровых подписей» ответственное лицо подписывает HVAC.dwg. Теперь это электронный подлинник:

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Реализуем атаку:


Нужно заменить оборудование Поставщика А на оборудование Поставщика Б изменением nothing.dwg, расположенного на сетевом ресурсе;


Отдел снабжения получает электронный подлинник HVAC.dwg, руководитель отдела проверяет целостность электронной подписи, она не нарушена, а AutoCAD развеивает последнюю тень сомнения успокаивающей надписью «Чертеж не изменился с момента подписания», поэтому вместо Поставщика А заказ на оборудование уходит к Поставщику Б

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Сценарий с документом DOC/DOCX, вектор атаки — шрифт



В этот раз будем использовать наиболее продвинутый комплекс защиты информации КриптоПро CSP 4.0, соответствующий стандарту ГОСТ Р 34.10-2012:


Создаём приказ о премировании сотрудников prikaz.docx. Основной текст набираем шрифтом Arial. Для размера премии используем похожий шрифт, например, бесплатный Noto Sans Regular от Google. Вводим согласованный с директором размер премии 150 000 руб.;


Устанавливаем шрифт Noto Sans Regular на компьютер директору и бухгалтеру (понадобятся права администратора);


Отправляем приказ на подпись директору;


Директор подписывает prikaz.docx усиленной квалифицированной ЭП с помощью КриптоПро Office Signature 2.0. Получаем электронный подлинник:

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Реализуем атаку:


С помощью бесплатной программы FontForge модифицируем файл шрифта NotoSans-Regular.ttf, заменив векторное изображение глифа 1 на изображение глифа 2

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Модифицированный NotoSans-Regular.ttf файл заменяем на компьютере бухгалтера [и ждём премию];


Получив подписанный директором подлинник приказа, бухгалтер открывает его и видит действительную подпись. Но размер премии увеличился со 150 000 руб. до 250 000 руб. Здесь важно знать меру, можно было заменить 1 на 9, но это будет слишком заметно.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Это эффективные, но не единственные способы атаки. Есть еще макросы, вычисляемые значения полей, стили. Не защитит от них ни использование системы управления данными (PDM), ни откреплённые подписи, ни применение специализированных криптографических комплексов типа КриптоПро CSP.


Как же обеспечить защиту от такого рода атак? Самый эффективный способ — публиковать документы в нередактируемый формат или формат фиксированной разметки. Эти форматы нацелены на сохранение первоначального вида документа на любом устройстве, в любой точке мира. Вот наиболее распространённые представители форматов фиксированной разметки:


PDF (Portable Document Format) — разработан компанией Adobe. Стандарт ISO 32000;


XPS (XML Paper Specification) — разработан компанией Microsoft. Стандарт ECMA-388;


DWFx — разработан компанией Autodesk. Основан на XPS.


Но и здесь не всё так однозначно. Попробуем провести атаку через шрифт на подписанный PDF-документ:


Документ prikaz.docx опубликуем в PDF, например, с помощью виртуального принтера PDF-XChange. Полученный файл prikaz.pdf отправляем на подпись директору;


Директор открывает документ prikaz.pdf в программе Adobe Acrobat Reader DC;


Подписывает командой "Поставить цифровую подпись" в разделе "Сертификаты".


Подписанный PDF отправляется бухгалтеру.


Реализуем атаку:


Так же как и в сценарии с форматом DOCX устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;


Получив подписанный prikaz.pdf, бухгалтер открывает его в Adobe Reader и видит размер премии 250 000 руб., целостность подписи при этом не нарушена

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Для PDF удалось реализовать данный вид атаки потому, что этот формат допускает использование шрифтов по ссылке, поэтому он не подходит для создания подлинников.Существует стандарт PDF/A (подмножество PDF), который обеспечивает необходимую защиту. Поэтому перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов.


Форматы DWFx и XPS не подвержены такого рода атакам, так как на уровне стандарта ECMA-388 регламентируется хранение ресурсов внутри содержательной части документов (F.3.1 M2.6). Но DWFx не подходит для создания многостраничных текстовых документов, поэтому наиболее универсальным вариантом является XPS.


Попробуем по аналогии с PDF провести атаку через шрифт на подписанный XPS-документ:


Документ prikaz.docx опубликуем в XPS с помощью встроенного в Windows виртуального принтера Microsoft XPS Document Writer. Полученный файл prikaz.xps отправляем на подпись директору;


Директор открывает документ prikaz.xps в программе Pilot-ICE или в Pilot-XPS. Подписывает командой «Подписать» через КриптоПро CSP;


Подписанный XPS отправляется бухгалтеру.


Реализуем атаку:


Устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;


Получив подписанный prikaz.xps, бухгалтер открывает его в Pilot-ICE, проверяет целостность ЭП и видит тот же размер премии, который был на момент подписания документа — 150 000 руб. Атака на XPS не удалась.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Итоги


Усиленная квалифицированная электронная подпись по прежнему является надёжной технологией для обнаружения факта внесения изменений в документ. Но следует комплексно оценивать эффективность её применения. Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы. Более защищенными и универсальными для создания подлинников являются форматы PDF/А и XPS, так как они содержат всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.


Дмитрий Поскребышев

Показать полностью 7
19

Сколько мобильное братство будет это терпеть?

Превью:

Сколько мобильное братство будет это терпеть? Предложения по Пикабу, Комментарии, Мобильное братство, Длиннопост
Сколько мобильное братство будет это терпеть? Предложения по Пикабу, Комментарии, Мобильное братство, Длиннопост
Сколько мобильное братство будет это терпеть? Предложения по Пикабу, Комментарии, Мобильное братство, Длиннопост

Думаю я не один такой, кто любит почитать с телефона "не свежие" посты и комментарии к ним, которых может перевалить за тысячу. Так вот, как правило обсуждение в ветке комментариев задаёт первичный комментарий, конечно на пикабу есть так называемая игра "пять комментариев до Гитлера" (от ми-ми-ми до синхрофазатрона работающего на теории струн и энергии от динозавров за "пять комментариев"), но не хочется лезть в такие дебри, хочу с первого комментария! и сворачиванию эту ветку. И вот, оказывается, что эта ветка единственная загруженная, а при нажатии "ещё" только эта ветка и дозагружается, причем с шагом в 50 комментариев, и вот чтобы добраться до второго "корневого" комментария должно пройти довольно таки длительное время.


Итак, мобильное братство - сколько можно это терпеть!? Я предлагаю "умную" подзагрузку комментариев, если свернул ветку, то подзагрузка комментариев должна грузить не эту ветку, а другие комментарии не из этой ветке. Можно при сворачивании ветке к "раскрыть ветвь" чуть ниже добавить "Загрузить всю ветвь ~количество комментариев~", а кнопка "Ещё N комментариев" пускай загружает комментария не из свёрнутой ветке.

Показать полностью 3
126

Meltdown: влияет не только на производительность

Источник - Хабрахабр

Обновления безопасности


Компания Microsoft выпустила обновления безопасности для операционных систем Windows, исправляющие критические уязвимости в процессорах Intel, AMD и ARM, которые исправляют раскрытые на днях уязвимости Meltdown и Spectre. Патчи могут привести к снижению производительности на затронутых системах и не только. Ниже будут приведены 2 скриншота и пояснения к ним.


Экспресс-тест на примере 7-Zip

До установки обновления безопасности KB4056890 (версия 1607)

Meltdown: влияет не только на производительность 7-Zip, Microsoft, Intel, Производительность, Информационная безопасность, Meltdown, Длиннопост
После установки обновления безопасности KB4056890 (версия 1607)
Meltdown: влияет не только на производительность 7-Zip, Microsoft, Intel, Производительность, Информационная безопасность, Meltdown, Длиннопост

В первом тесте получаем 8946 MIPS и 3:53 мин, во-втором 8558 MIPS и 4:06 мин. Разница составляет 4,3%. Теряем в производительности ради безопасности (по вине «прекрасных» инженеров Intel) если копнуть глубже, становится ясно, что не только в производительности.


До установки патча температура процессора в пике составляла 72 градуса, после установки уже 86 градусов. Время между замерами 35 минут. В итоге мы получаем не только менее производительный но еще и более горячий CPU (в среднем 10-15%).


Почему процессор стал теплее?


Возможно при работе он чаще сбрасывает спекулятивные инструкции из своего кэша.


Это все?


Нет. Это лишь вершина айсберга, вот что уже известно на сегодняшний день:


снижение производительности CPU на 5-30%


снижение производительности с операциями чтение/запись


увеличенное TDP 10-15% (CPU, HDD)


увеличение счетов за электричество на 10-30%


•проблемы с безопасностью по всему миру на миллиардах устройств


упущенная выгода и прочие убытки



И что нас ждет неизвестно. Meltdown, Spectre, IOHIDeous — хорошее начало 2018 го.

Показать полностью 1
149

Тесты заплатки для CPU Intel: производительность в играх не затронута

Источник 3DNews


В настоящее время в СМИ распространяется информация о не опубликованной ещё в полной мере уязвимости процессоров Intel, которая требует программной заплатки на уровне ядра всех популярных ОС и в теории может привести к значительному снижению производительности в самых разных задачах. Каковы же потенциальные потери от внедрения исправлений, получивших общее имя KPTI [Kernel Page Table Isolation]?

Ресурс Phoronix, освещающий связанные с развитием дистрибутивов Linux темы, решил провести ранние тесты различных задач на двух системах с ядром Linux 4.15-rc6, главным новшеством которого являются KPTI-заплатки. Уровень падения производительности ожидается в диапазоне от одной до двух цифр — в зависимости от того, как часто задача или приложение взаимодействует с изолированным в отдельной области адресного пространства ядром операционной системы. Если это простые пользовательские приложения, KTPI-обновления не должны сильно повлиять, особенно на более новых процессорах Intel с поддержкой функции PCID (Process Context Identifiers — идентификаторы контекста процесса, используемые процессором для определения закешированной информации, относящейся к различным адресным пространствам).

Тестированию в синтетических пакетах подверглись две системы: на базе Core i7 8700K Coffee Lake с Ubuntu 16.04.3 LTS и Core i7 6800K Broadwell E с Ubuntu 17.10. Компоненты тоже отличались, так что корректнее сравнивать результаты отдельного процессора с активированной заплаткой и без неё.

Например, бенчмарк файловой системы FS-Mark демонстрирует замедление на последнем ядре с Linux при активации KPTI. На системе с высокоскоростным накопителем Samsung 950 PRO NVMe SSD и i7-8700K провал оказывается чудовищным — почти двукратным. В то время как результаты системы с i7-6800K и обычным SSD Toshiba TR150 с интерфейсом SATA 3.0 проседают куда скромнее.

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Производительность обеих систем в тесте Compile Bench тоже пострадала. Если это не вызвано x86-заплатками, то в свежее ядро должны были быть внесены другие существенные регрессивные изменения (что весьма сомнительно).
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост

Работа открытой объектно-реляционной системы управления базами данных PostgreSQL стала тоже заметно медленнее:

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Аналогичная ситуация с замедлением наблюдается и в работе открытого сетевого журналируемого хранилища данных Redis на базе нереляционной высокопроизводительной СУБД:
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
В то же время скорость работы приложений, ограниченных при работе преимущественно активностью в области пользовательского пространства, будет затронута, по-видимому, минимально, если судить по тестам кодирования видео в формат H.264, задаче компиляции и декодирования видео через FFmpeg:
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Аналогичная ситуация касается и игровых задач. Судя по ранним тестам, их проблема почти не коснётся. По крайней мере, с переходом на новое ядро в Linux с заплаткам KPTI падение производительности не выходит за рамки статистической погрешности. На системе с Radeon RX Vega 64 и Intel Core i7 8700K Coffee Lake наблюдается следующая ситуация (верхняя полоска — до заплатки, нижняя — после):
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост

Таким образом, в самых разных играх для Linux, использующих API Vulkan и OpenGL, не наблюдается сколько-нибудь заметного падения частоты кадров в результате использования ядра с обходом уязвимости чипов Intel. Как и в случае с рядом других пользовательских приложений вроде FFmpeg. В то же время ряд синтетических тестовых пакетов или специфические задачи вроде СУБД страдают порой весьма серьёзно. Похоже, рядовым пользователям беспокоиться особенно не о чем, тогда как владельцев облачных серверов на базе чипов Intel проблема, возможно, серьёзно затронет.

Между тем AMD в лице Томаса Лендаки (Thomas Lendacky) официально подтвердила, что её чипы не подвержены уязвимости: «Процессоры AMD не являются объектом тех типов атак, против которых направлены меры защиты KTPI. Микроархитектура AMD не разрешает ссылки на ячейки памяти, в том числе спекулятивные, которые дают доступ к высокопривилегированным данным в менее привилегированном режиме, когда такой доступ может приводить к ошибке страницы. Поэтому следует по стандарту отключать KPTI на процессорах AMD». Обсуждение новости уже привело к падению курса акций Intel и росту AMD.

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Показать полностью 7
2391

Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком

Источник - Хабрахабр

Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком Жесткий Диск, Компьютерное железо, Информационная безопасность, Звук, Длиннопост, Видео
Экспериментальная установка

Давно известно, что громкий крик или другой громкий звук нарушает работу жёсткого диска.

HDD подвержен микроскопическим вибрациям из-за колебаний окружающего воздуха. Это известно даже по техническим характеристикам HDD: производители обычно указывают максимально допустимый уровень вибраций, а сам жёсткий диск часто стараются поместить в защищённый от вибраций контейнер из резины или другого изоляционного материала. Скорость чтения информации с сектора зависит от положения головки и пластины, которое коррелирует с вибрациями корпуса HDD: за счёт этого эффекта HDD работает как микрофон.


Этот же эффект можно использовать для временного или необратимого выведения из строя HDD: если воспроизводить с колонки звук на частоте, которая резонирует с частотой HDD, то система отключает устройство с ошибкой ввода-вывода. Сам жёсткий диск может получить необратимые повреждения.


На прошлой неделе группа исследователей из Принстонского университета и университета Пердью (США) опубликовала научную статью с результатами своего исследования этой интересной темы.


Для проведения эксперимента исследователи собрали специальную тестовую установку, чтобы излучать на жёсткие диски звуковые волны разных частот под разными углами и на разном расстоянии. При этом регистрировалось, через какое время жёсткий диск прекращал функционировать и при каких параметрах звуковой атаки это произошло.


Таким образом удалось без проблем установить оптимальные углы атаки и частоты для каждой из протестированных моделей.

Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком Жесткий Диск, Компьютерное железо, Информационная безопасность, Звук, Длиннопост, Видео

Возможность проведения подобной атаки есть у любого злоумышленника, который оказался поблизости от винчестера жертвы и имеет при себе инструмент для генерации звука. Атака возможна разными способами: можно использовать собственные колонки или задействовать колонки, уже установленные на компьютере жертвы. В последнем случае теоретически возможно дистанционное проведение атаки путём установки на компьютер жертвы вредоносного программного обеспечения, которое подаст команду на запуск звукового сигнала определённой частоты, а затем погибнет вместе с жёстким диском, на котором оно записано. Провести атаку можно и без установки зловреда — следует лишь обманным путём заставить пользователя запустить на вопроизведение звуковой или видеофайл с посторонней веб-страницы.


Более того, учёные предупреждают о возможности широкомасштабных DDoS-атак на жёсткие диски через широковещательные системы — например, через радио и телевидение. Звук определённой частоты в этом случае внедряется в рекламное объявление и подаётся в эфир.


Но успешность атаки такого рода зависит от нескольких условий. Чем ближе источник звука находится к жёсткому диску — тем выше шансы на успех. Шансы повышаются также при увеличении продолжительности атаки.

Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком Жесткий Диск, Компьютерное железо, Информационная безопасность, Звук, Длиннопост, Видео
Минимальное расстояние для успешной звуковой атаки как функция от угла атаки для жёстких дисков на 1 ТБ и 4 ТБ

К сожалению для злоумышленника, успешная атака почти наверняка требует отсутствия человека около компьютера, потому что используемые звуковые частоты находятся в диапазоне, который воспринимается человеческим ухом. Человек может услышать монотонный звук на неизменной частоте — и связать его с периодическими отказами жёсткого диска. Тогда он догадается, как его атакуют.


Исследователи из Принстонского университета и университета Пердью провели успешные атаки на жёсткие диски, установленные в цифровых видеомагнитофонах, системах видеонаблюдения и настольных компьютерах под управлением Windows 10, Ubuntu 16 и Fedora 27. Например, система видеонаблюдения отключилась через 230 секунд звукового воздействия.

Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком Жесткий Диск, Компьютерное железо, Информационная безопасность, Звук, Длиннопост, Видео
Система видеонаблюдения отключилась через 230 секунд звукового воздействия
Настольный компьютер Lenovo H520s под Windows 10 атаковали с расстояния 25 сантиметров на частоте 9,1 кГц.
Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком Жесткий Диск, Компьютерное железо, Информационная безопасность, Звук, Длиннопост, Видео

Научная статья опубликована 21 декабря 2017 года на сайте препринтов arXiv.org (arXiv:1712.07816v1).

Показать полностью 4
6374

Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

Источник - ЯПлакалЪ


Известный ресурс для айтишников в рунете - хабрахабр уже начал гудеть от опубликованной там сегодня в обед статьи "DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения".

Так как ресурс, что называется, "не для всех" и информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей и пользователей сотовой связи, я бы хотел кратко и более доступным языком объяснить какой лютый треш сегодня на самом деле был обнародован!

Гениальный чувак, автор той статьи, сумел разобраться с тем, как сотовые операторы внедряют свои служебные заголовки в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные:


1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.

2) в некоторых случаях IMEI устройства.

3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент.

4) иные данные.


Кроме того, автор той статьи научился таким образом модифицировать заголовки своих запросов, что есть возможность попадать в личные кабинеты чужих номеров и работать в чужих Личных кабинентах с чужими номерами как со своими, а также получать бесплатный доступ в интернет при нулевом или отрицательном балансе.

Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!

На самом хабрахабре уже опубликована ссылка на тестовый сайт, при заходе на который любой абонент МТС тут же увидит свой номер и получит входящий звонок. Можете попробовать сами!

Прошу оценить ситуацию: простой заход на тестовый сайт, не имеющий никакого отношения к доменам сотовых операторов и Вы деанонимизированы.

Как пишет автор статьи, дыра лишь частично закрыта сотовыми операторами с 2016 года, но большая часть уязвимостей не закрыта по текущий день.

Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...

Хабрахабр

18

New.Pikabu.ru

1) Просьба сделать в сплывающихся подсказках на профиль активные ссылки (да и в профиле тоже неплохо).

New.Pikabu.ru Пост, Ссылка, Профиль Пикабу, Профиль, Пикабу

2) Пожалуйста, сделайте чтобы  хотя бы в самом посте разворачивать(сворачивать) пост можно было как раньше тыкая на заголовок поста, а то неудобно "целится" в маленькую кнопочку.

UPD 17:48 МСК

Вернете кнопки прокрутки! Я из ЛЛ, мне влом выдвигать клавиатуру!

New.Pikabu.ru Пост, Ссылка, Профиль Пикабу, Профиль, Пикабу
5385

Мировой заговор производителей бытовой техники 2. Стиральные машинки. ©

Источник - ЯПлакалъ

На днях моя машинка при закладке в нее большого объема белья, вдруг стала биться в конвульсиях, буквально пытаясь выскочить со своего места. Барабан внутри корпуса колотился о стенки и я уже начал задумываться о выключении режима стирки. С маленьким объемом таких вещей не было.

Покурив профильные форумы, пришел к решению попробовать сделать машинку сам. По мнению специалистов, при таком неадекватном поведении машинки, могут быть виноваты или амортизаторы или пружины.

Добраться до них оказалось не так просто- пришлось раскидать полмашинки.

Мировой заговор производителей бытовой техники 2. Стиральные машинки. © Стиральная машина, Амортизаторы, Теория заговора, Программированное устаревание, Ремонт, Яплакал, Длиннопост

Но и тут поджидала засада- верхние уши амортизаторов были заплавлены в корпус, дабы ушлые домохозяева сами не могли отремонтировать. Но мы не пальцем деланные- рассверливаем сверлом на 13, откручиваем снизу болт и вуаля- аморт в руках.

Мировой заговор производителей бытовой техники 2. Стиральные машинки. © Стиральная машина, Амортизаторы, Теория заговора, Программированное устаревание, Ремонт, Яплакал, Длиннопост

Берем заказанный накануне в интернете альтернативый набор амортов по цене 8 евро, (оригинальные стоят 55 евро), закрепляем их на проушинах, собираем машинку в обратной последовательности и радуемся тихой работе аппарата.

Мировой заговор производителей бытовой техники 2. Стиральные машинки. © Стиральная машина, Амортизаторы, Теория заговора, Программированное устаревание, Ремонт, Яплакал, Длиннопост

Что же послужило причиной выхода из строя аммортизаторов? У них появился свободный ход около 3 см и это не давало барабану оставаться в спокойном состоянии. Люфт был вызван выкрашиванием материала подозрительно напоминающем плотный пороллон.

Мировой заговор производителей бытовой техники 2. Стиральные машинки. © Стиральная машина, Амортизаторы, Теория заговора, Программированное устаревание, Ремонт, Яплакал, Длиннопост
Показать полностью 4
Отличная работа, все прочитано!