Уважаемые Хабрапользователи!

Наша компания уже несколько лет входит в состав технического комитета по стандартизации ТК-234 «Системы тревожной сигнализации и противокриминальной защиты» и является активным участником процессов стандартизации в области охранных систем. Так уж получилось, что принятие стандартов в нашей стране происходит, так сказать, «за кулисами» на основании решения достаточно скромной группы профильных экспертов. Такое положение дел нам кажется неправильным и сейчас, в ходе разработки очередного стандарта, мы решили по собственной инициативе организовать общественное обсуждение проекта ГОСТ «Системы охранные телевизионные. Защита оцифрованных видеоданных от случайного и преднамеренного искажения».

Мы будем крайне признательны за конструктивную критику проекта, а все ценные замечания и пожелания будут внесены в очередную редакцию стандарта. Если такой опыт окажется удачным, то будем представлять на суд уважаемой Хабрааудитории все проекты всех стандартов, проходящих через ТК-234. Текст стандарта под катом.

Рассказываю забавную идею, которая была сформулирована у нас сегодня на работе.

Представим себе бота, который занимается майнингом биткоинов, предоставляет какие-то простенькие услуги через WWW (например, генерирует псевдоосмысленный текст за очень малые деньги на бирже копирайтеров).

И пусть этот бот имеет простую программу:
1) Часть выручки переводить на свой лицевой счёт (аккаунт, с которого этот бот запущен в облаке)
2) Как только наберётся достаточно средств, посредством антиге*а и списка известных облачных провайдеров регистрировать новый аккаунт и запускать там свою копию.

Большая часть «копий» должна приходиться на тот же самый сервис, где запущен бот, меньшая — на произвольные другие.

Такая стратегия позволит выживать тем ботам, которые своей работой способны окупить самих себя и при этом размножаться именно в той среде (провайдере), условия которого наиболее выгодные для выживания (среды, в которых такие боты не выгодны не дадут разможаться и даже существовать, так как боты будут выключены за неуплату).

В рамках концепции «on demand self-service», которая более-менее общепринята для облаков, это всё, что нужно для саморазмножающейся конструкции.

C 26 июня Microsoft будет готова заплатить тем, кто найдет в ее продуктах новые уязвимости и техники эксплоитов определенных видов.

Направлений для творческого поиска будет сразу несколько:

1. Mitigation Bypass Bounty — до $100,000 за нахождение нового способа эксплуатации уязвимостей защиты в последней версии ОС Windows 8.1 Preview.
2. BlueHat Bonus for Defense — до $50,000 в качестве бонуса тем, кто предложит идеи для защиты от проникновений, обнаруженных в первой программе.
3. Internet Explorer 11 Preview Bug Bounty — до $11,000 за найденную критическую уязвимость в Internet Explorer 11 Preview на Windows 8.1. Срок данного предложения — на время беты нового IE (c 26 июня по 26 июля).

В техническом блоге «Спотифая» было опубликовано интересное исследование на тему взлома аккаунтов сервиса путём использования особенностей канонизации вводимых пользователем данных. Это стало возможным благодаря тому, чем спотифаевцы гордятся, — полностью юникодному логину. К примеру, пользователь легко может иметь снеговика ☃ в качестве имени аккаунта, если он того пожелает. Реализация подобного, впрочем, с самого начала доставляла некоторые неудобства.

Несколько лет назад в Великую пятницу на форуме техподдержки было опубликовано сообщение о возможности взлома любого аккаунта на сервисе. Представитель компании попросил продемонстрировать это на примере его собственного аккаунта, и через несколько минут ему был задан новый пароль и создан новый плейлист. Это немедленно привлекло внимание нескольких сотрудников, вынужденных провести Пасху в попытках закрыть «дыру». В связи с особенностями уязвимости регистрация новых аккаунтов была временно закрыта.

Хакер действовал следующим образом: желая взломать аккаунт с именем, скажем, bigbird, он регистрировал аккаунт с именем ᴮᴵᴳᴮᴵᴿᴰ (в Пайтоне эта строчка выглядит как u’\u1d2e\u1d35\u1d33\u1d2e\u1d35\u1d3f\u1d30′). После запроса ссылки на сброс пароля задавался новый пароль, который подходил к аккаунту bigbird.

Большой темой майского номера «Хакера» стал Raspberry Pi. Мы пообщались с создателем «малинки», Эбеном Аптоном и узнали, каковы итоги первого года проекта, и что ждет маленький компьютер в следующем. Также мы описали два концепта на основе Raspberry: незаметную закладку, которая в виду размеров может незаметно собирать данные из сети (принимая команды по SMS и скидывая логи в Evernote), а также систему видеонаблюдения, интегрированную с Google Drive. Один из этих концептов мы предлагаем вашему вниманию.




Идея дропбокса проста: если миниатюрный компьютер снабдить батареей и 3G-модемом, то можно получить шпионскую коробочку, которая незаметно подключается к исследуемой сети и передает собранные данные. Этот концепт вполне реализуем на Raspberry Pi.

Введение

В азиатских языковых культурах существует большое количество символов, которые не всегда помещаются на стандартную раскладку клавиатуры. Для ввода этих символов была разработана специальная технология, которая получила название Input Manager Editor (рус. «Редакторы метода ввода»). Input Method Editor (IME) — это программа или компонент операционной системы, позволяющий пользователям вводить символы, которые физически отсутствую на клавиатуре.
Несмотря на то, что термин «редактор метода ввода» (IME) изначально использовался только в Microsoft Windows, в настоящее время он применяется и в других операционных системах, когда важно отличить сам метод ввода от функциональности программы, обеспечивающей его, и общую поддержку методов ввода операционной системы.
Термин «метод ввода» обычно означает определенный способ ввода с клавиатуры на каком-либо языке, например Цанцзе, ввод с использованием Пиньиня или использование «мёртвых» клавиш".
Термин «редактор метода ввода» же обычно означает конкретную программу, позволяющую использовать метод ввода (например, SCIM или Microsoft IME).

После всех статей, которые я публиковал за последнее время, можно подумать, что основные аресты групп сценеров произошли в середине 2000-х. Но ещё в 1995 году, когда варез перекачивали междугородними звонками по обычной телефонной линии, сценеров уже арестовывали за пиратство продукции Microsoft и Novell. Об этом сами сценеры писали в так называемых «варезных журналах», которые распространялись через те же самые BBS-ки.

Один из таких журналов выпускала группа DoD (Drink or Die), которая долго была командой номер один на мировой варезной сцене. Они занимались взломом и распространением программ. Группа отличалась от других тем, что в далёком 1993 году она была организована не американцами или европейцами, а московским парнем по имени Миша (он же Jimmy Jamez, он же Deviator). В 2001 г. все основные участники группы были арестованы в ходе операции «Buccaneer». Jimmy Jamez к тому времени уже отошел от дел.

Продолжая цикл статей об Hyperboria, в этой статье будут рассмотрены следующие аспекты:
1) Количество IP адресов в Hyperboria, как они генерируются.
2) Коллизии и как с ними бороться.
3) Почему используется служебный (приватный) диапазон IPv6 адресов.
4) Роутеры и Hyperboria.
5) Маршруты и DHT.
6) Защищенность сети.

Многие современные системы ДБО предоставляют для обслуживания клиентов Web-интерфейс. Преимущества «тонкого клиента» перед «толстым клиентом» очевидны. В то же время существуют федеральные законы, приказы регуляторов и требования к системам ДБО от Банка России, многие из которых касаются именно защиты информации в системах ДБО. Как-то их нужно исполнять и обычно применяются криптосредства, реализующие российские криптоалгоритмы (ГОСТы). Эти криптосредства закрывают часть «дыр», но при их внедрении может существенно возрасти сложность пользования системой ДБО для клиента.

В данной статье мы из «кирпичиков» соберем и испытаем на демонстрационном интернет-банке комплексное решение — по сути специальный переносной защищенный браузер, хранящийся на flash-памяти — в котором будут реализованы закрытие канала (TLS), строгая двухфакторная аутентификация на WEB-ресурсе и электронная подпись платежных поручений посредством USB-токена Рутокен ЭЦП или trustscreen-устройства Рутокен PINPad. Фишка решения в том, что оно абсолютно необременительно для конечного пользователя — подключил токен, запустил браузер и сразу же можно начинать тратить деньги.

TLS, аутентификация и подпись реализуются с использованием российской криптографии.

Дальше пойдет мануал с пояснениями.

В пятницу 28 июня 2013 года в 9 часов утра ряд коммерческих и государственных организаций Нью-Йорка, таких как Citygroup, Bank of America, Департамент национальной безопасности, министерство финансов, Федеральная резервная система, — всего более 40 различных учреждений и компаний — по обычным каналам связи начнут получать необычные или нестандартные пакеты данных, которые могут быть интерпретированы как хакерская атака на финансовую инфраструктуру Уолл-Стрит. Так начнутся крупномасштабные учения Quantum Dawn 2, цель которых — выработать систему комплексных действий и мероприятий в случае реальной угрозы со стороны компьютерных злоумышленников. Координацией «атаки» будет заниматься трейдинговая организация SIFMA.