My blog

Category: Security

  • Мысли вслух

    приехала с саммита про ИБ. В числе прочего рассказала про копа, который жаловался, что при поимке каких-то реально плохих парней они сначала 2 месяца ждали IP от Гугла (использовался GMail) по санкции, а потом узнали у провайдера, что логи хранятся 3 недели. На том же саммите дали DVD с каким-то фильмом, где один из участников был консультантом по ИБ и компьютерам. (more…)

  • Попмеханика жжот

    Это прекрасно, я считаю:

    via Leprosorium.ru

  • Прекрасное

    Оказывается ВНЕЗАПНО при использовании МТС’а в качестве провайдера нельзя использовать интернет для Скайпа и прочего VoIP’a. Почти 10 лет Стримом пользуюсь, а не знал!

    Пруфлинк: http://static.mts.ru/uploadmsk/contents/1655/dogovor_ob_okazanii_uslug_svyazi_22.03.11.pdf

    Содержательная часть:

    3.4. Абоненту запрещается:

    3.4.4. Использовать Услуги для целей передачи голосовой информации по
    сети передачи данных, в том числе по сети Интернет, то есть Абоненту
    запрещается использовать такие программы, как Skype и ей подобные, для
    передачи голосовой информации по сети Интернет.

  • Делают это не так

    Google давно же сделал двухфакторную аутентификацию для своих сервисов. Казалось бы, отличная идея: устанавливаешь на телефон приложение, которое постоянно говорит тебе несколько цифр, вводимых после пароля. Все логично и очень просто.

    Однако, некоторые сервисы (например, почта по IMAP) такую аутентификацию поддерживать не могут. Не беда: сделаем для них длинный пароль, который нельзя поменять на запоминающийся. Раньше этот пароль можно было вводить и в мобильных приложениях гугла, но вот буквально несколько дней назад это изменили и теперь там тоже двухфакторная аутентификация. То есть войти в приложение на смартфоне, который авторизован как генератор OTP, вообще нельзя никак: переключаем приложение, переписываем магически цифры, возвращаемся обратно в какой-нибудь G+ и видим пустые формы ввода логина и пароля!

  • Cronopay

    http://www.macrumors.com/2011/08/04/raid-on-russian-firm-may-have-taken-down-macdefender-malware/

    Какие интересные слухи!

  • Эксперимент

    Попробовал проверить, работает ли способ отпечатать палец на желатиновой конфете, а потом авторизоваться этой конфетой через биометрический сканер. Теперь у меня ноутбук липкий. А способ не работает.

  • Спам

    У Симантека хороший отчет по спаму, говорят, что спама стало меньше. Доход спамеров падает (видно в отчете Cisco), он стал совсем какой-то невнятный, известный спамер Солоуэй вроде как скатился с $20к в день в 1990 году до $20 на момент его закрытия.

    Собственно, зачем я полез все это искать и смотреть. Почтового спама стало меньше, а вот непочтового – больше. Например, френдботы в ЖЖ. Я еще понимаю, как монетезируется ЖЖ какого-нибудь магазина, френдящего всех подряд. Мне стало интересно, чем живут боты, просто копипастящие новости отовсюду и создающие видимость жизни. СЕОтота продает такие аккаунты по 20 центов и, на сколько я понимаю, основное их применение опять же в раскрутке. А дальше что? Как и сколько зарабатывают на “раскрученном” аккаунте в ЖЖ? Ну понятно, что первые 100 блогеров чуть менее чем все спонсируемые (про цены видел только общие слова, может плохо искал), интересно сколько платят нетоповым. Зарубежные цены примерно понятны, от 10 до 300 долларов в зависимости от уважаемости ресурсов (цены и биржи гуглятся), про топовых нашел вот такую картинку. У меня есть стойкое ощущение, что нам портят жизнь люди, которые зарабатывают на своих пакостях 10 баксов в день.

  • Экономика спама

    http://cseweb.ucsd.edu/~savage/papers/Oakland11.pdf

    Взял у Шнайера.

  • Defective by design

    Я слоупок и об этом писали уже 100 раз, но популярный сервис Dropbox авторизует пользователя по уникальному “host_id”, а файлы по хешу. Возможностей для развлечений масса, можно направленно тырить файлы, который пользователь расшаривает только себе, а можно положить сам дропбокс, расшарив всем подконтрольным много-много файлов. Соответственно, моментально появился сервис: “кто-то сказал вам хеш – у вас теперь есть его файл” (статья с подробным описанием).

    Примечательно, что судя по заметке на Хабре, господа из Дропбокса пошли не по пути исправления технических проблем, а стали размахивать DMCA, стали давить на разработчика, чтобы он удалил проект с GitHub’а, грозить судом и всячески привлекать к себе внимание.

  • Голосовальный спам (я и.о. К.О.)

    навел небольшую статистику на главную ЖЖ. Самое интересное, как мне кажется, что роботоводы действуют от чистого сердца, просто выводят “в топ” что соответствует их политическим взглядам или интересам.

    Собственно, меня интересует вот этот момент:
    <dd class=”vote-for”> <form action=”/tools/endpoints/rating_post_vote.bml” method=”post”> <input type=”hidden” name=”journalid” value=”10064515″ /><br /> <input type=”hidden” name=”postid” value=”526563″ /><br /> <input type=”hidden” name=”vote” value=”plus” /><br /> <button type=”submit” name=”submit”>+1</button><br /> </form> </dd> <p>

    так принято делать голосования, чтобы уже с инструкцией для первокуров и почти готовым csrf’ом, или я чего-то не понимаю?

    Вот, например, кнопка для накручивания, ее можно нажать: