Хакеры и взломы...

 
1 5 6 7 8 9 10 11

GOGI

координатор
★★★★
Balancer> Если с солью — то нет.
Да ну, как соль на словарную атаку-то влияет? Ну увеличится на два порядка время перебора - все равно оно маленьким останется.
1  48.048.0

Balancer

администратор
★★★★★
GOGI> Да ну, как соль на словарную атаку-то влияет? Ну увеличится на два порядка время перебора - все равно оно маленьким останется.

При наличии хешей без соли просто генерируем хеши по таблице и ищем полученное в утянутой базе. N паролей — N операций и один запрос.

При наличии хешей с солью придётся перебирать пароли на каждого юзера индивидуально. N паролей, M юзеров — N*M операций. Для миллиона пользователей Opera это усложнение на 6 порядков, а не на два.

И всё это в том случае, если у хакера есть используемый алгоритм хеширования. Если алгоритма нет, то поиск типовых методов хеширования без соли сводится к их перебору. А вот при наличии соли задача усложняется многократно. А если ещё есть дополнительная общая соль в коде, не в БД, то задача не решается вообще.
 33

GOGI

координатор
★★★★
Balancer> При наличии хешей с солью придётся перебирать пароли на каждого юзера индивидуально. N паролей, M юзеров — N*M операций. Для миллиона пользователей Opera это усложнение на 6 порядков, а не на два.
А это я туплю. У меня почему-то в голове отложилось что соль это один символ. Не знаю, откуда это.
1  47.047.0
LT Bredonosec #30.08.2016 09:20  @Balancer#29.08.2016 16:44
+
-
edit
 
Balancer> Это хорошо, когда ты сидишь на одной машине. Когда ты постоянно меняешь 4-5-6 машин и когда у тебя пароли на разных ресурсах разные и ты в голове все их не можешь удержать, то синк становится незаменимым.

вообще-то (посчитал) с 4.
Самые важные - только с головы. Потому что. А всякую фигню - даже если потеряется, не суть важно.

Bod

координатор
★★★★☆

Хакер нашел уязвимость авторизации Google

Злоумышленники могут без особых проблем заполучить пароли пользователей. // korrespondent.net
 
Исследователь компьютерной безопасности Эйдан Вудс нашел уязвимость сервисов Google, позволяющую злоумышленникам заполучить пароль пользователя, вводящего его на странице авторизации, сообщает Business Insider.

Сайты Google не блокируют параметр Continue в адресной строке даже, что в свою очередь позволяет при помощи вредоносного программного обеспечения подменить на фишинговый сайт в том числе и страницу авторизации.

Примечательно, что Вудсу не удалось наладить контакт с представителями компании Google, чтобы они устранили уязвимость, потому ему пришлось продемонстрировать проблему публично. В Google утверждают, что не могут отказаться от этого функционала.
 


Google: Faulty Login Pages
https://www.aidanwoods.com/blog/faulty-login-pages
 48.048.0
+
+1
-
edit
 

Balancer

администратор
★★★★★
>Примечательно, что Вудсу не удалось наладить контакт с представителями компании Google

Это не «примечательно», это реально задалбывающая их политика. Никакой обратной связи. :angry:
 47.047.0

+
+1
-
edit
 

Bod

координатор
★★★★☆

Твиттер, Amazon и Spotify оказались недоступны в США из-за масштабной DDoS-атаки

Из-за атаки на предоставляющую доменные имена компанию популярные сервисы были недоступны на восточном побережье // slon.ru
 
Пользователи в США 21 октября столкнулись с неполадками в работе нескольких популярных сервисов и ресурсов, сообщает Mashable.

Недоступны оказались Spotify, твиттер, Soundcloud, Amazon, Airbnb и другие, а также информационные ресурсы The Verge, Recode, Business Insider.

Причиной стала крупная DDoS-атака на компанию Dyn, предоставляющую доменные имена. В Dyn уточнили, что атака затронула по большей части пользователей на восточном побережье США. К 16:20 мск, по сообщению Dyn, проблема была решена.

Gizmodo приводит полный список ресурсов, на проблемы с доступом к которым жаловались пользователи. По данным сайта, атака затронула также PayPal, Reddit, Imgur, The Guardian.
 


Here’s an internet outage map from DownDetector as of 12:46 PM EST:

ActBlue
Basecamp
Big cartel
Box
Business Insider
CNN
Cleveland.com
Etsy
Github
Grubhub
Guardian.co.uk
HBO Now
Iheart.com (iHeartRadio)
Imgur
Intercom
Intercom.com
Okta
PayPal
People.com
Pinterest
Playstation Network
Recode
Reddit
Seamless
Spotify
Squarespace Customer Sites
Starbucks rewards/gift cards
Storify.com
The Verge
Twillo
Twitter
Urbandictionary.com (lol)
Weebly
Wired.com
Wix Customer Sites
Yammer
Yelp
Zendesk.com
Zoho CRM
Credit Karma
Eventbrite
Netflix
NHL.com
Fox News
Disqus
Shopify
Soundcloud
Atom.io
Ancersty.com
ConstantContact
Indeed.com
New York Times
Weather.com
WSJ.com
time.com
xbox.com
dailynews.com
Wikia
donorschoose.org
Wufoo.com
Genonebiology.com
BBC
Elder Scrolls Online
Eve Online
PagerDuty
Kayak
youneedabudget.com
Speed Test
Freshbooks
Braintree
Blue Host
Qualtrics
SBNation
Salsify.com
Zillow.com
nimbleschedule.com
Vox.com
Livestream.com
IndieGoGo
Fortune
CNBC.com
FT.com
Survey Monkey
Paragon Game
Runescape
 


Вашей Америке - кирдык ©

Here’s a gif that shows the internet outage at 9:00 AM EST versus 12:30 PM EST:

 49.049.0
+
+1
-
edit
 

Carpe diеm

опытный

☠☠
Bod> Here’s a gif that shows the internet outage at 9:00 AM EST versus 12:30 PM EST:

Про пятничную веселуху вышла аналитическая статья

Today the web was broken by countless hacked devices – your 60-second summary

IoT gadgets behind tens of millions of IP addresses flooded DNS biz Dyn // www.theregister.co.uk
 

1. Начавшаяся в 11:10 UTC (15:10 Москвы) DDoS атака снесла DNS сервера компании Dyn. Атака продолжилась весь день тремя отдельными волнами, так как атакующие выносили дата-центры Dyn один за другим, включая размещённый на восточном побережье США. К 20:37 UTC (00:37 Москвы) после введения специальных мероприятий ситуацию взяли под контроль.

2. Dyn — один из основных столпов инфраструктуры Интернета, предоставляющий DNS на коммерческой основе.

3. Один из руководителей компании Dyn, Kyle York, сообщил изданию TheRegister, что атака шла с десятков миллионов IP-адресов.

4. Большая часть трафика, но не весь, шла с IoT устройств, заражённых малварью “Mirai”. В сентябре эта же малварь положила сайт блоггера Brian Krebs, пишущего о киберпреступлениях. Мощность сентябрьской атаки оценили в 620 Гигабит/сек. В конце сентября “добрые люди” выложили исходники Mirai в открытый доступ. Теперь любой желающий может создать свою сеть Mirai и трамбовать сайты врагов армадой заражённых устройств.

5. Один из онлайн-счётчиков Mirai насчитал 1,2 млн заражённых устройств; из них более 173 тысяч были активны за последние 24 часа.

6. Mirai распространяется по сети, логинясь в устройства по telnet и ssh с фабричными паролями. Поскольку никто не меняет пароли, Mirai в темпе вальса садится на роутеры, CCTV веб-камеры, DVR рекордеры… а теперь ещё и на оборудование операторов сотовой связи.

7. Kyle York сказал, что волны атак были различны — в мире работают несколько армий, сшибающих сервера из онлайна. И добавил: “Мы ждём БП”.

8. Публичные провайдеры DNS, такие как Google и интернет-провайдеры, работают посредниками и также не могли достучаться до серверов Dyn. Героем дня оказался OpenDNS, оказавшийся спасительной альтернативой Dyn.

9. Вебсайты постепенно переходят с Dyn на OpenDNS.

Вся картина пятницы хорошо видна на DownDetector Pro | Fair use violation
 
RU Carpe diеm #23.10.2016 04:59
+
-
edit
 

Carpe diеm

опытный

☠☠
Макафи утверждает что за всем этим стоит КНДР :D

John McAfee: 'Iran hacked the DNC, and North Korea hacked DYN'

Cybersecurity legend John McAfee looks to the Dark Web for answers on the DNC and DYN hacks. // www.csoonline.com
 

Radio Free Europe/Radio Liberty тоже выяснило кто стоит за этой атакой.

Hacking Group From Russia, China Claims Credit For Massive Cyberattack

A hacker group from China and Russia claimed responsibility for a massive cyberattack that caused outages on popular websites from the U.S. east coast to Europe and Asia on October 21. // www.rferl.org
 
 
Это сообщение редактировалось 23.10.2016 в 06:53
LT Bredonosec #23.10.2016 17:06
+
-
edit
 

Захарова подтвердила взлом официального сайта МИД РФ

Ранее телеканал CNN сообщил о взломе американским хакером сайта российского внешнеполитического ведомства. // news.mail.ru
 

Ранее телеканал CNN сообщил о взломе американским хакером сайта российского внешнеполитического ведомства.

«Сайт взломан. Кем — это выясняют специалисты», — сказала Захарова в эфире радиостанции «Говорит Москва».

Накануне в эфире американского телеканала сообщалось, что американский хакер по прозвищу The Jester («Шут») взломал официальный сайт Министерства иностранных дел РФ.

Об этом в интервью телеканалу заявил сам злоумышленник, объяснив взлом «предупреждением» российским властям, которые обвиняются Вашингтоном в хакерских атаках с целью повлиять на внутренние дела США.

Спекуляции относительно хакеров, якобы действующих по указке России, регулярно появляются в американских СМИ в последние несколько месяцев. В частности, в июле на сайте WikiLeaks была опубликована электронная корреспонденция, похищенная неизвестными из систем Национального комитета Демократической партии.


интересно. что еще будет взломано в ближайшие дни?
US Mishka #25.10.2016 20:04  @Carpe diеm#23.10.2016 04:59
+
-
edit
 

Mishka

модератор
★★★
C.d.> 6. Mirai распространяется по сети, логинясь в устройства по telnet и ssh с фабричными паролями. Поскольку никто не меняет пароли, Mirai в темпе вальса садится на роутеры, CCTV веб-камеры, DVR рекордеры… а теперь ещё и на оборудование операторов сотовой связи.

А ведь элементарные шаги... У меня и пароли, и юзверя свои. И все сервисы (ssh, telnet, web) не подняты на внешнем интерфейсе. И всякий PNAT по UDP запрещён...

Со всякими приставками ещё можно иногда бороться, а вот со многими вебкамерами... часто и не получается. Зашито всё там в ПЗУ насмерть (привет родственничкам из Китая).
 49.049.0
LT Bredonosec #05.11.2016 02:08
+
-
edit
 
Сообщение было перенесено из темы Век БПЛА.

Невзламываемый код существует

Специалисты по информатике могут доказать отсутствие ошибок в программе с такой же уверенностью, с какой математики могут доказывать теоремы. Эти достижения... // m.geektimes.ru
 

и как для бпла и в более широком плане интересно
RU mico_03 #05.11.2016 12:13  @Bredonosec#05.11.2016 02:08
+
-
edit
 

mico_03

аксакал

Bredonosec> https://...
Bredonosec> и как для бпла и в более широком плане интересно

В части не взламываемого кода - как и создание вечного двигателя. В добрый путь.
 33
RU FantomAK #05.11.2016 17:08  @Bredonosec#23.10.2016 17:06
+
-
edit
 

FantomAK

опытный


Bredonosec> Захарова подтвердила взлом официального сайта МИД РФ - Новости Политики - Новости Mail.Ru
...
Bredonosec> Накануне в эфире американского телеканала сообщалось, что американский хакер по прозвищу The Jester («Шут») взломал официальный сайт Министерства иностранных дел РФ.
Bredonosec> Об этом в интервью телеканалу заявил сам злоумышленник, объяснив взлом
А ведь этот х...ер сам прилюдно признался в совершении преступления!
Те. я правильно понимаю, что с его выдачей для отсидки в РФ никаких проблем быть не может... Есть преступление, есть статья, есть чистосердечное признание
Осталось только подать в интерпол
%)
"Быть пессимистом потрясающе. Я всегда или прав, или приятно удивлен."(с)  
LT Bredonosec #05.11.2016 20:49  @mico_03#05.11.2016 12:13
+
-
edit
 
m.0.> В части не взламываемого кода - как и создание вечного двигателя.
суть статьи прочли?
RU mico_03 #06.11.2016 00:57  @Bredonosec#05.11.2016 20:49
+
-
edit
 

mico_03

аксакал

m.0.>> В части не взламываемого кода - как и создание вечного двигателя.
Bredonosec> суть статьи прочли?

А нехрен подобные заголовки закидывать. По сути.
 33
LT Bredonosec #06.11.2016 04:18
+
-
edit
 

Белый дом отреагировал на сообщения о кибератаках на Россию

США всегда готовы ответить на угрозы в киберпространстве. Таким образом представитель Совета национальной безопасности Белого дома Марк Строх прокомментировал РИА... // news.mail.ru
 

Белый дом отреагировал на сообщения о кибератаках на Россию

США всегда готовы ответить на угрозы в киберпространстве. Таким образом представитель Совета национальной безопасности Белого дома Марк Строх прокомментировал РИА Новости информацию о том, что американские военные хакеры внедрились в российские компьютерные системы.

«В соответствии с установленной в прошлом практикой общество не должно предполагать, что оно обязательно будет знать о том, какие действия предпринимаются и какие действия будут предприниматься. Некоторые ответы вы можете увидеть, некоторые — нет», — сказал Строх.

Он добавил, что США будут жестко пресекать попытки других стран вмешиваться в президентскую кампанию.

4 ноября телеканал NBC News со ссылкой на свои источники сообщил, что американские военные хакеры проникли в энергосистему России, телекоммуникационные сети и «кремлевские системы управления». Отмечалось, что вред может быть нанесен, если Вашингтон посчитает это необходимым.


Эту информацию уже прокомментировали пресс-секретарь президента Дмитрий Песков и российский МИД.

В начале ноября госсекретарь США Джон Керри заявил, что решение об ответе на российские хакерские атаки на американские серверы уже давно принято президентом Бараком Обамой.

До этого сообщалось, что американская администрация рассматривает возможность проведения беспрецедентной тайной кибероперации против России. По данным источников в разведке, ЦРУ было предложено предоставить варианты осуществления широкомасштабной операции, направленной на дискредитацию «кремлевского руководства».


собсно, что тут еще комментировать?
LT Bredonosec #06.11.2016 05:15  @mico_03#06.11.2016 00:57
+
-
edit
 
Bredonosec>> суть статьи прочли?
m.0.> А нехрен подобные заголовки закидывать. По сути.
то есть, "чукча писатель". Как обычно. вопросов больше не имею.
RU mico_03 #06.11.2016 10:35  @Bredonosec#06.11.2016 05:15
+
-
edit
 

mico_03

аксакал

Bredonosec>>> суть статьи прочли?
m.0.>> А нехрен подобные заголовки закидывать. По сути.
Bredonosec> то есть, "чукча писатель". Как обычно. вопросов больше не имею.

И это естественно, бо Вы даже ответ не поняли. По сути.
 33
RU Balancer #06.11.2016 13:16  @Bredonosec#05.11.2016 02:08
+
-
edit
 

Balancer

администратор
★★★★★
Bredonosec> Невзламываемый код существует / Geektimes

Там правильный комментарий был. Невзламываемый код бывает. Невзламываемых систем — не бывает.
 44
LT Bredonosec #06.11.2016 15:10  @Balancer#06.11.2016 13:16
+
-
edit
 
Balancer> Там правильный комментарий был. Невзламываемый код бывает. Невзламываемых систем — не бывает.
попробуй взломать советский утюг :) Или холодильник :)
Это просто пример, этим список не исчерпывается :)
LT Bredonosec #06.11.2016 15:12  @mico_03#06.11.2016 10:35
+
-
edit
 
m.0.> И это естественно, бо Вы даже ответ не поняли. По сути.
я прекрасно понял, что вы дальше заголовка не прочли, а уже бросились писать. Традиционно.
На будущее - если пожелаете продолжить срач - найдите себе для него другого собеседника. Мне этот детский сад скучен.
RU Balancer #06.11.2016 15:36  @Bredonosec#06.11.2016 15:10
+
-
edit
 

Balancer

администратор
★★★★★
Balancer>> Невзламываемый код бывает. Невзламываемых систем — не бывает.
Bredonosec> попробуй взломать советский утюг :)

А это код или [программная взаимодействующая] система?

Bredonosec> Это просто пример, этим список не исчерпывается :)

Ага. «Человека можно отравить ядом» — «попробуй отравить булыжник!»
 44
LT Bredonosec #06.11.2016 16:48  @Balancer#06.11.2016 15:36
+
-
edit
 
Balancer> А это код или [программная взаимодействующая] система?
говорю ж, список не исчерпывается. Напр, взломай примитивный китайский мультиротор, у которого всё в пзу прошито. Или калькулятор советский.
Не привязывайся к конкретному примеру. Список не исчерпывается :)

Balancer> Ага. «Человека можно отравить ядом» — «попробуй отравить булыжник!»
кстати хороший пример :)
Что такое отравить? Это разрушить часть организма, сделав его неспособным функционировать. Разрушить - в смысле растворить, или наоборот заставить выпасть в осадок, распасться, т.д.
Камень тоже можно растворить. Напр, в плавиковой кислоте. Можно не целиком, а частично. Можно капнуть чем-нибудь еще, что прореагирует и преобразует часть камня в что-то другое.
Только для камня это никак не скажется на его способности функционировать (напр .в качестве какой-то детали)

честно говоря, вместо демагогии хотелось бы простой для понимания пример, который превращает код обычный в нечто математическое, что невозможно сломать именно по этой причине. Просто участки кода без уязвимостей вполне могу представить, а вот это - хотелось бы примера.
RU Balancer #06.11.2016 17:10  @Bredonosec#06.11.2016 16:48
+
-
edit
 

Balancer

администратор
★★★★★
Bredonosec> говорю ж, список не исчерпывается. Напр, взломай примитивный китайский мультиротор, у которого всё в пзу прошито

Если это открытая управляемая система, то взламывается уже, скажем, через канал управления.

Bredonosec> Или калькулятор советский.

А этот не тянет на программную систему :)

Bredonosec> Не привязывайся к конкретному примеру. Список не исчерпывается :)

Ок, продолжай. Примеры выше не подходят, как видишь.

Bredonosec> кстати хороший пример :)
Bredonosec> Что такое отравить?

Это уже троллинг.

Bredonosec> Камень тоже можно растворить. Напр, в плавиковой кислоте.

Только это будет уже не отравление организма.

Bredonosec> честно говоря, вместо демагогии хотелось бы простой для понимания пример, который превращает код обычный в нечто математическое, что невозможно сломать именно по этой причине.

Как только код превращается из математической абстракции в конкретную сложную открыто взаимодействующую с окружением систему, его уже можно взломать.
 44

  • Balancer [06.11.2016 17:10]: Перенос сообщений из Век БПЛА
1 5 6 7 8 9 10 11

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru