Сказ о том как в касперыче раскрыли "операцию триангуляция".
Ранее публиковались материалы об этом. Но на мой взгляд именно такой формат презентации от самих исследователей смотреть в разы круче.
https://media.ccc.de/v/37c3-11859-operation_triangulation_what_you_get_when_attack_iphones_of_researchers

Ох прям как из рога изобилия бьют крутые доклады с CCC Hamburg.
На этот раз очень интересный похек автопилота теслы от "студентов" из TU Berlin. Я этих ребят недавно слушал на bsides berlin когда они рассказывали как через хардварные похеки включали подогрев сидений, тогда как подогрев заднего ряда идет платной опцией. Они там честно признались что часть проблем была им известна ранее, т.к они занимались рисёрчем в области процессоров AMD. А тут внезапно в тесле те же процессоры 😁
В этот раз они добрались до системы Autopilot.
https://media.ccc.de/v/37c3-12144-back_in_the_driver_s_seat_recovering_critical_data_from_tesla_autopilot_using_voltage_glitching

Подбивая статистику за год, пришлось собрать всю информацию о поездках на каршеринге. Ну и посчитать её стоимость. В этом графике нет долгосрочных поездок за год. Они посчитались отдельно.
Но что забавно, за прошлый год цифра была практически копейка в капейку 😁️️️️️️
И снова прихожу к тому что владеть своим авто в Берлине не выгодно. Страховки, парковки, ремонты, резина съели бы значительно больше денег.

PR отдел из 23andMe кринжанулись и выкатили офигенную историю о том почему пользователи сами во всем виноваты. Имхо, если у тебя смогли пробить несколько десятков тысяч учёток, то проблема точно не в твоих пользователях 🤡
PS: видимо надо сесть и дописать статью на медиум. Ух там столько кринжовых кейсов которые я не показывал раньше в бложике.
https://x.com/mattjay/status/1742617021936787672?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw

Чувствую кому-то завтра будет не весело такое разгребать. И что самое дикое - можно физический пропуск создать и спокойненько сходить до стоек.
Никто не хочет вентиляторы дата центра послушать? А то у меня есть пара лишник "билетов" 😁

BSides Berlin наконец-то залили все доклады. Много докладов было связано с AI. Начиная от рисков и заканчивая непосредственно атаками AI.
Вот мой топ докладов на которые не жалко потратить время. И они будут интересны читателям моего канала.
1) Vangelis Stykas с очень классной подачей, поведал как он блэчеров ломал.
2) Bar Lanyado и доклад по сути о dependency confussion но через ChatGPT. Весьма интересно послушать. Ну и посмотреть реальный пример. Полезно кстати командам разработки показать такое.
3) Alberto del Rio рассказал о моём похеке блэчеров атаковавших пользователей N26. Необычно было видеть как мой репорт с рекомендациями по решению проблемы доплыл до доклада на конфе от целого банка.
4) Mikko Hypponen с весьма интересной подачей про AI и ML. Это был завершающий доклад, и мне он показался весьма интересным.
Думаю на BSides Berlin 2024 сам схожу что нибудь рассказать 😎️️️️️️

Из всех месенджеров и социальных сеток меня засыпает новостью что Германия приняла закон об упрощенном гражданстве. А многие друзья присылают и поздравляют. Может я слишком душный сегодня, но правда не очень понимаю радости, особенно для меня.
1) Бундестаг спустя годы обсуждений и попыток принять новый закон наконец-то утвердил его. Дада, этот закон не первый год маячит в новостях. Ну, а теперь что же такое Бундестаг? Bundestag – это парламент Федеративной Республики Германия. Бундестаг является высшим законодательным органом Германии. Он принимает федеральные законы. Поскольку Германия является федеральной парламентской демократией, 16 земель также участвуют в формировании ее политической системы. Так, многие законы и распоряжения могут быть приняты только при условии одобрения со стороны федеральных земель. Федеральные земли представлены в земельной палате – Bundesrat (бундесрат)
2) Получается что закон еще не до конца приняли и он должен быть одобрен в Бундесрате. Незнай могут ли уже на этом этапе влиять на закон, но это действительно еще не финал.
3) Новый закон упрощает получение гражданства и позволяет получить немецкий паспорт через 5 лет арбайтена на немецкую экономику. При этом не нужно будет отказываться от текущего гражданства. Раньше нужно было отказываться и возможность вступить в гражданство была с 7-8 лет. В зависимости от успешности интеграции.
С учетом того что я вдыхаю этот немецкий воздух 7 лет, то для меня вообще не принципиально через сколько времени я могу вступить в новое гражданство. Мне буквально пофиг. Конечно удобненько что от первого не придется отказываться, НО...
Представьте сколько теперь людей подаст документы на получение нового гражданства?! Да немцы эту очередь разгребать будут из заявок года 2-3 минимум. Ну и да, гражданство получить без знаний языка нельзя. А язык нужно не просто выучить но и сдать экзамены до уровня B1. И далеко не секрет что язык не самый простой...
Вообщем новость конечно интересная, но если принять во внимание все нюансы, то я не вижу повода для радости. Налоги то с немецким паспортом меньше не станут 😁

Решил устроить себе выездное спортивное мероприятие на пару недель в Австрии. Отвлекусь от рутины, различных проблем и буду выкатывать зимний сезон на полную катушку🏂
Если окажетесь где-то рядом - пишите. Ведь каждый читатель этого канала - мой хороший приятель🍻

Подсмотрел в твиттере интересный читкод для любителей вайлд скоупа.
Если зарегать учётку на https://builtwith.com/ и сходить посмотреть relationships у запрошенного домена, то можно найти связанные домены.
Связи находятся через совпадения всяких трэкинг пикселей на страницах.
Однажды простой угадайкой я нашел доменную зону, которая в итоге принесла пятизначный ревард. Видимо теперь в угадайку можно не играть. А жаль, было увлекательно и очень азартно 😁

Не так давно я рассказывал как похекал хакеров, и потом это вылилось в целый доклад от n26 банка на конференции.
Но тут похек "хакеров" вышел на новый уровень.
Полагаю что "сотрудникам сбербанка" на шконке было предложено сходить по ссылкам и что-то ввести. Из-за чего всё награбленно пропало. А дальше подгорело одно место 🔞
Весьма смело конечно исполнять такое... Надеюсь победителей/робингудов не судят.

Минутка полезности. Ну и попытка сохранить то, что возможно сам потом буду искать у себя же в канале.
И так, если конторка по которой вы ищите баги в меру крупная, то стоит попробовать посмотреть apex домены через Microsoft 365 и Microsoft Defender for Identity instance.
Таким образом через скриптец в репозитории очень часто можно выцепить весьма редкие домены.
https://github.com/expl0itabl3/check_mdi

Чувак, который делал какие-то унылые видосики по майнкрафту, внезапно сделал неплохую серию роликов про ребят которые плевали на 272, на мораль и вообще на здравый смысл.
Классно собраны факты истории Arion Kurta из Lapsus$, который прославлился похеком Uber и удивил всех багхантеров Hackerone, ну и до кучи хекнул Rockstar и слил реальные файлы GTA 6, которая на тот момент только готовилась к рекламным релизам.
Там же на канале лежат не менее интересные ролики про Mt. Gox похек и глупости которые вытворяли ребята из Lizard Squad просто ради лайков в твиттере.

Закономерно пришел к одной идее. И очень надеюсь на вашу поддержку 😇
Coming soon ...

Кажется никто из читателей не ждал что подобная новость случится так скоро 🤖
Но есть определенные доказательства того, что один из багхантеров смог прицепить AI для майнинга багов в багабаунти. Как итог - 4к реварда от Apple Security.
Вероятно что товарищ сделал связку с openinterpreter и теперь вынимает какие-то не очень сложные баги. По крайне мере размер выплаты говорит о том что бага не супер критичная.
Ну, а тут очередной пруф как он балуется со своей aiko. 👏
....
Позабыты хлопоты, остановлен бег,
Вкалывают роботы, а не человек! 🤖

Мой 15ый айфон старательно напоминает мне о важности использовать apple vision pro при съемке видео. Хотя его у меня нет. В настройках уже тоже привезли важные пункты меню.
Однако после обзоров на этот девайс, единственной причиной купить такое за 3500$ - это по исследовать само устройство и принципы взаимодействия. Ну, а потом попытаться «вернуть деньги» через vulnerability report и возможно уйти в небольшой плюс.
Спасибо “The Verge” за отличный обзор.
https://youtu.be/hdwaWxY11jQ?si=MaxOUzj-KjIUgfqG