​​Мифы об VPN

Мы подобрали для вас 10 самых распространенных мифов об использовании VPN. Текст на английском, но прост для восприятия. Приятного чтения.

Миф# 1: Анонимность возможна
Миф# 2: Анонимность и приватность равны
Миф# 3: Когда мой VPN провайдер говорит, что не собирает логов, это так и есть
Миф# 4: Когда мой VPN провайдер говорит, что он не собирает логов, то я анонимен
Миф# 5: Даже если мой VPN провайдер использует облака, я могу быть анонимным
Миф# 6: Даже если у моего провайдера нет своей собственной сети, я могу быть анонимным
Миф# 7: Любое логгирование это плохо
Миф# 8: "Приватные" компании не собирают мои данные
Миф# 9: Весь VPN софт одинаков
Миф# 10: Тор определенно лучше VPN

Как работает симметричное шифрование?

Я объясню вам доступным языком, что происходит при шифровании данных. Надеюсь, что без мистики и сложных штук, которые были придуманы криптографами. Приятного чтения.

https://teletype.in/@it_ha/r1Xc4hjD4

Взлом камер: поиск уязвимостей и защита от слежки

Миллионы IP-камер разных производителей открыты для хакеров. Производители камер могут экономить на работе программистов и железе – покупатели получают дешевые устройства с ограниченными вычислительными ресурсами и огромными дырами в механизмах безопасности. И к чему это приводит?

https://teletype.in/@it_ha/HkKnihowV

​​Xakep #239. Вскрыть и изучить

Где гарантия, что твой умный гаджет, подключенный к домашнему Wi-Fi, не собирает втихаря пароли от сайтов, а умный дом не транслирует в интернет стрим с камер в твоей спальне? Чтобы обезопасить себя от подобного восстания машин, в этом выпуске мы тщательно изучим принципы работы домашних гаджетов и способы их защиты от любознательных доброжелателей.

Также в номере:

-Настраиваем Firefox для повышения приватности
-Изучаем перспективные мессенджеры для приватной переписки
-Защищаемся от популярных шпионских программ
-Разбираем устройство известного трояна для IoT
-Делаем утилиту для определения песочницы
-Изучаем ОС, которая освободит твой телефон от гнета Google

🦊 Настраиваем firefox

Не секрет, что количество методов отслеживания пользователей стремительно растет. Одним блокировщиком трекеров тут не обойтись. Устраняем дыры в браузере для защиты анонимности, безопасности и приватности.

https://teletype.in/@it_ha/SyRWNELO4

Векторы атак на умный дом

Какие сейчас существуют способы взлома умного дома? Как используют фишинг для взлома умных колонок и какие есть уязвимости в протоколах умных замков?

https://teletype.in/@it_ha/HJmPrBK_N

​​Полезные блоклисты

Наверняка у многих из вас стоит блокировщик рекламы. Часто в них можно добавить свои списки блокировки. В этих списках может быть не только реклама, но и трекеры, майнеры, фишинговые сайты. Мы подобрали для вас несколько агрегаторов таких списков. Установить их можно и в hosts.

iploggerfilter - блокировка айпи логгеров для параноиков.
easylist.to - одни из лучших блоклистов для приватности.
tspprs.com - категоризированные блоклисты.
blocklist.site - много списков опасных сайтов.
energized.pro - блоклисты с трекерами и рекламой для смартфонов и десктопов.

🐲 Ghidra или IDA Pro?

В марте 2019 года Агентство национальной безопасности США (NSA) опубликовало инструментарий для реверс-инжиниринга под названием Ghidra. Пару лет назад я уже слышал это название из утечек на сайте WikiLeaks и был весьма заинтересован, чем же пользуются в NSA для реверса. Настала пора удовлетворить любопытство и посмотреть, хороша ли бесплатная «Гидра» в сравнении с зарекомендовавшими себя инструментами.

https://teletype.in/@it_ha/Sk2yQ-lFV

Ghidra vs crackme. Обкатываем Ghidra на хитрых крэкми с VM

Чтобы испытать новое средство для реверса, созданное в стенах АНБ США, я решил поломать замечательную и несложную крэкми MalwareTech. А теперь давай посмотрим, как ломать защиту c использованием гидры.

https://teletype.in/@it_ha/B16TXbet4

💾 Почему надо перезаписывать свои данные

Если у вас скопились старые компьютеры, флэшки, телефоны или жёсткие диски, а вы ими не пользуетесь, вы можете захотеть отнести их в комиссионку на продажу, в благотворительный магазин, продать самостоятельно или отправить на переработку. Но задумывались ли вы, что происходит с этими устройствами и данными, хранящимися на них?

https://teletype.in/@it_ha/SyyKKbeY4

​​Утечка FirstVDS

Была опубликована относительно старая база данных компании FirstVDS, предоставляющей услуги хостинга на виртуальных выделенных серверах VDS или VPS. Утечка содержит данные клиентов, доступы к внутренним и клиентским серверам. Общий объем данных попавших в свободный доступ около 800 мб.

Например, таблица users насчитывает 126745 строк, содержащих такие поля, как: account, password, realname, email, timezone, note, sendsms, phone, и другие.

Ниже прилагаем архив со всей базой данных.
Пароль: @it_ha

10 лучших техник веб-хакинга 2018-2019

Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite. Под катом вас ждет 10 лучших инновационных техник атак на веб-приложения, отобранных со всего мира. Всего было номинировано 59 новых техник атак, из которых сообщество путем голосования выделило 10.

https://teletype.in/@it_ha/S1DZhbgKE

​​SQL Injection Wiki

SQL инъекция — это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД что угодно.

А чтобы лучше понять техники атаки, мы нашли специальную wiki про SQL-инъекции. Разобраны все аспекты эксплуатации инъекций с примерами для MYSQL, Oracle, SQL-Server.

https://sqlwiki.netspi.com

Прячем данные в секторах

Стеганография — это сокрытие информации в каких-либо контейнерах. В картинке, аудиофайле, где угодно. Основная идея проста: на диске есть области, в которые операционная система никогда не пишет (или пишет в редких случаях). Там мы и будем прятать зашифрованные данные.

https://teletype.in/@it_ha/HyQDAw5tV

Джулиан Ассанж арестован в Лондоне

Основатель WikiLeaks Джулиан Ассанж арестован британской полицией в Лондоне. Сообщается, что полицейские были приглашены в посольство Эквадора, где находился Ассанж, после того, как Эквадор принял решение лишить его политического убежища.

Отношения Ассанжа с Эквадором резко ухудшились после прихода к власти в этой стране Ленина Морено. Новый президент назвал Ассанжа “занозой в боку у Эквадора“ и неоднократно заявлял, что его пребывание в посольстве не может продолжаться вечно. Морено подчеркнул, что британские власти ранее гарантировали, что не выдадут его в страну, где ему грозила бы смертная казнь.

Атака и защита IOT

Недавно мы публиковали статью на тему векторов атак на умный дом. Теперь же подошла очередь поговорить об атаке и защите на практике. В статье мы рассмотрели самые популярные IOT девайсы и их уязвимости.

https://teletype.in/@it_ha/BJBeWgeqN

Как работает CVE-2019-0726

Три критические уязвимости (CVE-2019-0697, CVE-2019-0698, CVE-2019-0726) содержатся в клиенте Windows DHCP. Уязвимости не требуют взаимодействия с пользователем, они приводят к повреждению памяти, когда злоумышленник отправляет клиенту специально созданные ответы DHCP. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код. Разбираем самую важную уязвимость.

https://teletype.in/@it_ha/S1snHYV5N

Какой софт нужен пентестеру?

Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.

https://teletype.in/@it_ha/Hk3eeNw9V