Інтернет →  Зберігати паролі в Firefox небезпечно?

Що ми бачимо кожного разу коли завантажуємо переглядач тенет й починаємо працювати/подорожувати по звичним нам інтернетам? Правильно, вікно вводу майстер-пароля, для розблокування збережених ключів від десятків, чи й сотень веб-сайтів. Mozilla Firefox
Якщо ні, то цей допис не для вас, усім іншим варто ознайомитись...

Інтернет →  Підробні SSL-сертифікати Google та CA

Виявлене нещодавно реальне використання підробних сертифікатів Google демонструє фатальну слабкість інфраструктури центрів сертифікації. Один з іранських користувачів Google виявив, що сертифікат, який надсилався до його браузера при встановленні безпечного (SSL) під'єднання до сервісів Google, є підробним. Таким чином, вся інформація, що передавалася, кимось перехоплювалась, найбільш імовірно, ISP-провайдером або спецслужбами. Подальше розслідування показало, що підробний сертифікат використовувався протягом двох місяців, і це залишалося непоміченим.

Технології →  Миші атакують!

Компанія Netragard, що спеціалізується на комп'ютерній безпеці, описала новий спосіб атаки на комп'ютери через USB, за допомогою якого їй вдалося обійти систему безпеки однієї корпорації та проникнути до комп'ютерної мережі. Особливістю атаки є те, що її було здійснено не через autorun на USB-storage пристрої, а за допомогою спеціально модифікованої та запрограмованої USB-миші.

У мишу було встановлено контролер Atmel з підтримкою USB Teensy Board, запрограмований так, що миша розпізнавалася операційною системою не тільки як миша, а й як клавіатура і таким чином могла емулювати натиснення будь-яких клавіш. Це дало змогу встановити на комп'ютер "потерпілого" хакерське програмне забезбечення Metasploit. Атака проводилася для тестування системи безпеки корпорації, мишу було надіслано під виглядом рекламного подарунка одному з її співробітників, який нічого не підозрював, його адресу дізналися з соціальних мереж.

Встановлення вірусів та троянів за допомогою USB флеш-карток не є новим, тому багато користувачів обізнані з загрозою і не запускають програми з підозрілих флешок, а також відключають autorun. А от мишка не викликала жодної підозри.

Зазначається також, що прикидатися клавіатурою можуть і модифіковані телефони під керуванням Android.

безпека →  Статистика 62 000 паролів

Пропоную вам вільний переклад цікавої аналітичної статті, про часто вживані паролі серед англомовних користувачів інтернету.

Декілька днів тому, LulzSec опублікували 62 000 випадкових пар паролів/логінів(емейлів). Спочатку я скачав їх щоб впевнитись що мій пароль, та паролі моїх знайомих не було відкрито. Далі я вирішив провести невиличкий аналіз цих рідкісних даних. Нижче - декілька цікавих фактів.

Довжина паролю
Середня довжина паролю - 7.63. Я був здивований, тому що вважав що більшість користувачів будуть використовувати паролі довжиною з 4 символи. Проте, багато сайтів зараз ставлять мінімальний ліміт на пароль - 6 чи 8 символів, так що все логічно.

Ось графік розподілу довжини паролю (майте на увазі, крайні групи включають менше десяти паролів, тому їх не помітно на графіку).

Інтернет →  Деанонімізація при одночасному використанні торентів та Tor

Французські дослідники встановили, що сумісне використання клієнтів BitTorrent та Tor'у може призвести до розкриття IP-адреси користувача.

Інтернет →  CrashIE.com лякає користувачів


Сайт CrashIE.com пропонує цікавий, але не зовсім легальний спосіб боротьби зі злом браузером Internet Explorer. При спробі зайти за цією адресою, ІЕ просто вилетить. Діє включно і для версії 9. Навіть, якщо IE вистоїть, то він все-одно залишається жахливим браузером, жартома стверджують автори проекту.

Така поведінка стандартного браузеру Windows™ за ідеєю, повинна показати його незахищеність, і стимулювати використовувати кращі аналоги.

За їх словами, для цього використовується такий код:
<script>for(x in document.write){document.write(x);}</script>
а для старіших версій: <input type crash>

Якщо ж зайти на сайт іншими браузерами: Chrome, Opera чи Firefox, — то все буде працювати. Правда у мене Opera 11.10 beta(2064) видає попередження про не бажаний вміст.

Саме тому не став давати пряме посилання у першому рядку. Дам його тут: Internet Explorer Sucks :)

Що цікаво, якщо змінити ідентифікацію браузера на ІЕ, то цей трюк теж діятиме. Цікаво виходить, чи не так?

Технології →  перший безкоштовний Internet Security Suite

Outpost Security Suite Logo Компанія Agnitum випустила перший в історії індустрії безкоштовний комплекс безпеки, що включає в себе повноцінні модулі антивірусу, антишпигуна, брандмауера, проактивного захисту, антиспаму - Outpost Security Suite Free. Тим самим, першими представивши нову концепцію мережевої безпеки — базовий всебічний захист повинен бути доступним кожному користувачеві і при цьому безкоштовним.

Цифрова безпека →  Комп’ютерра: Привіт, XSS!

Дивно, але на відомому російському сайті Комп’ютерра.ru відвідувачів зараз зустрічає загальновідомий салют "XSS". Демо-ін’єкція зустрічається в коді головної сторінки двічі:

<script>alert("xss")</script>

То ж треба було дійти до життя такого...

P.S. Запасаємося попкорном і чекаємо на деталі про подвиги кулхацкерів.
P.P.S Що таке XSS і його можливі наслідки українською можна прочитати тут.

Цифрова безпека →  Затишний інтернет з запахом цибульки, або: налаштування TOR для Windows та Unix


Привіт, мабуть всі вже скучили за цибульковим інтернетом, а скоро є шанси скучити і за свободою слова.
Тож продовжимо наш цикл статей: раз, два
В цій статті я коротко, на базі офіційної документації опишу процес встановлення та конфігурації TOR в режимі клієнта для операційних систем сімейства Windows та Unix-подібних.

Почнемо.

Цифрова безпека →  Хакнуто TechCrunch

Щойно при заході на TechCrunch несподівано зустріла приблизно така заглушка:

WHAT A F***ING USELESS HACK ISN'T IT? BLEH.

Що ж, ця новина вже починає крокувати широкими просторами інтернету: TechCrunch Hacked!

Для довідки: Течкранч є одним з найвідоміших світових IT-блогів, має понад 3 мільйони RSS-передплатників (мене в тому числі) та входить до п’ятірки найбільш популярних блогів за версією Technorati.

Мораль: Комп’ютерної безпеки ніколи не буває забагато… ~:) Будьте уважні!