В гостях у отца я не был давно, с летних каникул. Семестр выдался напряженный, я приезжал домой лишь один раз. Только переночевал, взял мешок картошки и снова в общагу. Сходить к отцу времени не было. Да и не очень-то хотелось, если честно.

Фраза «в гости к отцу» может показаться странной, но я к ней привык давно – с тех пор, как родители развелись. Мне тогда лет десять было. Но деревня есть деревня – от дома матери до дома отца было минут десять ходу.

Стучать не стал – кто в деревне стучит в ворота, чтобы зайти? Раз открыто – значит, можно заваливаться. Во дворе работал лопатой дядя Вася, брат отца – убирал снег. Разумеется, никакая это была не лопата, а самое настоящее пехло. Или, как говорят в деревне, пяхло.

— Мать честная! – изумленно воскликнул дядя Вася. – Жень! Жень! Ванька приехал! Беги на подстанцию, пусть трансформатор гасят!

У меня были все преимущества. Я уже был внутри сети. Я был вне подозрений. Но они обнаружили мой взлом, выкинули из сети… и выследили физически.

© Кившенко Алексей, 1880

Данная статья содержит обзор пяти вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.

Всем привет, меня зовут Ваагн Варданян (тут нет опечатки, как многие думают :) ), работаю я в DSec исследователем безопасности SAP-систем, и в этой небольшой статье расскажу о связке уязвимостей в SAP, использование которых может привести к компрометации системы и как результат – доступу к критичной бизнес информации.

С каждой новой версией SAP NW, приложения становятся все более защищёнными, и уязвимости не дают скомпрометировать систему полностью. Но бывают ситуации, когда несколько проблем безопасности, используемых вместе, все же позволяют атакующим добиться своих целей. Сегодня мы расскажем о том, как скомпрометировать SAP NW с помощью связки уязвимостей.

В статье сначала мы поговорим о возможности получения информации из системы, об эксплуатации уязвимости, основанной на утечке информации, далее — об эскалации привилегий. Все уязвимости были найдены в последних (на момент исследования) версиях SAP (SAP NW AS JAVA 7.4). Ну что ж, понеслось.

Не задумывались ли вы, почему специалисты/профессионалы в области микроконтроллеров и автоматизации относятся к тем, кто работает с Arduino примерно так, как будто они занимаются чем-то не серьёзным, вроде игры в песочнице?


Примерно так же к ардуино относится и мой кот Вася.

Собственно для этого я и сделал видео, где наглядно, при помощи осциллографа, покажу и расскажу, с моей точки зрения, почему так. Постараюсь высветлить явные плюсы и минусы темы Arduino:

Причина, по которой я сделал систему видеонаблюдения дома, простая. Ребенок подрос, жене невероятно хотелось выйти на работу, пусть ненадолго. Но отдавать ребенка в садик еще рано. Так что мы наняли няню, а одним из инструментов контроля стала система видеонаблюдения.
Начал я с такого отступления, чтобы были понятны задачи, которые система должна решать:

1. Наблюдение за людьми внутри помещения;
2. Выделенное рабочее место оператора отсутствует;
3. Удаленный доступ;
4. Архивирование видео на срок не менее 7 дней;
5. Максимальная экономия бюджета.

Для начала в двух словах опишу цель проекта. Хотелось придумать что-нибудь простое и наглядное для демонстрации коммуникации платы Arduino Uno и ПК по serial соединению. Что-нибудь, что бы вписывалось в регламенты проекта «выходного дня», а именно: делалось за пару часов и легко кодилось.

Решено было создать игру со следующими правилами. Действие происходит на рабочей двухмерной плоскости. Шарик «герой», положением которого управляет игрок, пытается уйти от столкновения с шариками «противниками». Шарик герой движется только по оси абсцисс, противники появляются в произвольном месте рабочей плоскости и движутся прямолинейно по оси ординат. В случае ухода шарика «героя» от столкновения с «противником», значение счетчика очков инкрементируется, в противном случае — счетчик сбрасывается и набранные ранее очки «сгорают».

Я занимаюсь разработкой программ для программируемых логических контроллеров(ПЛК) в промышленных автоматизированных системах управления технологическими процессами(АСУ ТП).

Для тех, кто сталкивается с этим словом впервые, поясню. ПЛК это специальный мини-компьютер, который работает так:
1. Принимает входные дискретные (Di) или аналоговые (Ai) сигналы;
2. Обрабатывает эти сигналы по заданной программистом программе;
3. Выдает управляющий сигнал через дискретные (DO) или аналоговые (AO) выхода.

Дискретный — когда у сигнала может быть только 2 состояния: 0 или 1, «да» или «нет». Например, кнопка нажата или отжата, лампочка включена или выключена.
Аналоговый — когда значение параметра зависит от уровня электрического сигнала. Например, чем выше уровень сигнала (вольт или миллиампер) от датчика температуры, тем больше измеряемая температура.

Применяются ПЛК в основном в промышленности, станках, системах домашней автоматизации «умный дом» и т.д.

Привет, Хабр! Сегодня хочу продолжить тему «скрещивания» arduino и android. В предыдущей публикации я рассказал про bluetooth машинку, а сегодня речь пойдет про DIY bluetooth вольтметр. Еще такой девайс можно назвать смарт вольтметр, «умный» вольтметр или просто умный вольтметр, без кавычек. Последнее название является неправильным с точки зрения грамматики русского языка, тем не менее частенько встречается в СМИ. Голосование на эту тему будет в конце статьи, а начать предлагаю с демонстрации работы устройства, чтобы понять о чем же пойдет речь в статье.

«Отойди от компьютера, сидишь за ним целый день. Иди уроки учи. А то так дураком и останешься на всю жизнь». Сколько раз я в детстве слышал эти слова. И на все мои возражения о полезности своего занятия я всегда получал лишь удивленные глаза и покручивание пальцем у виска.

И вот по прошествии 15 лет, когда на горизонте замаячил вопрос воспитания собственного ребенка, я решил еще раз задуматься над ролью компьютерных (и всего, что можно включить в это понятие) игр в развитии маленького человека.

Не знаю, как вам, но мне в течении дня приходится часто отходить от рабочего места и блокировать мак. Чтобы не совершать несколько кликов мышкой, блокировку своего мака я «повесил» на клавиши «shift + cmd + l», но по приходу к рабочему месту опять же приходилось вводить пароль (который в силу моей параноидальности не так-то прост). И вот, ошибившись в спешке в очередной раз при его вводе, задумался автоматизировать процесс блокировки/разблокировки. Так как все двери нашего офиса открываются по карте, решил повесить на RFID-метку (всё равно всё время болтается на шее) и эту функцию. Итак, задача на словах выглядела так: авторизовавшись единожды в начале рабочего дня иметь возможность блокировки/разблокировки мака по RFID-метке, при этом все функции проверки валидности метки и т.п. должны происходить на стороне мака.

Начало — уже половина дела, да и как раз под рукой освободился стенд на базе Arduino UNO.

В первой нашей публикации про микрокомпьютер размером с монетку, с Wi-Fi и Linux — VoCore, мы объявили конкурс на бесплатное получение микрокомпьютера для развития своего проекта/идеи. Было получено свыше 40 заявок (всем участникам большое спасибо!), из них мы постарались выбрать 15 — для голосования.


Ну что ж, устраивайтесь поудобнее, и выбирайте — какой проект применения VoCore вам будет самым интересным (представьте, что у вас 3 шт. VoCore — и кому бы вы их раздали — голосование после статьи).

Приветствую Хабравчан!

Думаю, данной темой не многих удивишь — достаточно набрать в поисковике фразу arduino bruteforce и сразу станет понятно, насколько распространен перебор паролей при помощи платформы Arduino. Я же хочу рассказать о том, как это быстро организовать с наименьшим наборов компонентов, без разводки/травления плат и пайки. Сразу оговорюсь, что описанные мною действия носят ознакомительный характер и никому не причинили вреда, ни морального, ни физического… разве что мошенникам.

Это моя первая публикация на Хабре и пока сложно предугадать реакцию местной публики на мои действия. Дело вот в чем.

Причины, по которым «уводят» электронные адреса или аккаунты социальных сетей, совершенно разные. Но, когда близкие люди узнали мою причину, я получил осуждения. В какой-то мере всегда понимал, что цель получения доступа к социальным сетям жертвы для получения определенной переписки очень безнравственна. С другой стороны, я себя утешал мыслью, что если уж товарищи попались на такой крючок — значит, так им и надо.

Это были две жертвы, которые обладали нужной мне информацией. Оба — мужчины. Узнать эту информацию я мог только от них, но с одним я почти не знаком, а второй был моим заклятым врагом. Их частая активность в социальных сетях давала надежды, что с кем-то в переписке они обсуждали то, что мне было нужно.

Я не буду рассказывать, что такое и как писать скетчи.
Я не буду объяснять, каким концом надо держать паяльник.
Я не буду излагать доводы за и против существования электронного конструктора на одежных кнопках.

Я расскажу вам историю об успешном опыте скрещивания конструктора «Знаток» и Arduino в отдельно взятом домохозяйстве.

Предыстория

Как-то вечером, собираем с ребенком схему из конструктора «Знаток». Включаем. Я чувствую запах горелого пластика. Выключаем. Анализирую схему и вижу, что в моем издании схем многоуважаемого А.А.Бахметьева транзистор безуспешно модулирует химический источник напряжения, выдавая своё искреннее возмущение температурой.

Часто сталкиваюсь с тем, что представляя сложный продукт по ИТ-безопасности, многие не помнят с чего все начиналось, как развивалось и т.д. В этом обзоре я хочу напомнить, что у всех процессов есть своя логика, что реактивная модель ИТ-безопасности проигрывает проактивной модели и т.д.

Сразу скажу, что TippingPoint может жить по и сам по себе — как отдельный домен, и как часть облачных технологий НР.

Реактивная модель ИТ-безопасности: поставили антивирус и файрволл – и мы считаем себя защищенными

Если мы посмотрим на развитие рынка, мы увидим что рынок почти все время прямо «зависел» от уязвимостей. Пройдемся по истории этих багов:

На текущий момент, как это ни прискорбно, информационная безопасность для нашей страны — это чаще всего модная вещь, с не совсем понятным назначением. Для руководства, в основном, это бездонная дыра для финансирования, от которой нет отдачи, кроме слов: всё под контролем. Для сотрудников — какие-то странные люди, запрещающие пароли на бумажках записывать.

Исходя из этого непонимания складывается и все проблемы ИБ в организациях и, собственно, организации самой информационной безопасности.

Доброго времени суток, уважаемые!
Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста.

Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план.
К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).

Как вы думаете, стоит ли признать 6 августа днём хакера?
(или днем социальной инженерии)

Кевин является выдающимся хакером и социальным инженером по следующей причине.
Он «хакнул систему» на метауровне. С точки зрения ТРИЗ он добился идеального конечного результата.
Кевин организовал все так, что если раньше за то, чем он занимался его преследовали, то теперь за то, чем он занимается стоят в очередь и платят деньги.

(на фото: Стив Возняк дарит Митнику компьютер Apple)

Еще один примечательный факт, что Кевин не поступал в университет, а учился по настоящим учебникам мануалам, которые скачивал с хакнутых компов.

Хронология ранних хаков Митника

12 лет

— первые мошенничества с телефоном;

15 лет

— подделка автобусных билетов;

16 лет

— взлом школьной компьютерной сети;
— взлом радиосвязи Макдональдса;

17 лет

— первое незаконное проникновение на территорию Pacific Telephone;
— «диссертация по взлому RSTS/E»;
— «подруга» Кевина совершила взлом, воспользовавшись данными Митника, а обвинили его;
— проникновение в здание COSMOS;
— первый условный срок;

18 лет

— взлом Университета Южной калифорнии, арест;

25 лет

— первый тюремный срок — 12 месяцев, запрет пользоваться телефоном, под предлогом того, что Митник может взломать NORAD;

28 лет

— взлом телефона Novatel (с использованием соц. инженерии), что позволяло менять Митнику ESN.

Под катом несколько видео-интервью Митника, история о взломе радиосвязи Макдональдса и ссылки на интересные статьи.