Ещё немного о безопасности холодильников

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Итак, более трёх месяцев прошло с момента, когда информация об уязвимостях, обнаруженных в ходе дружеского аудита информационных систем крупного дистрибьютора продуктов питания, была передана лично генеральному директору компании.

Подробнее об этом можно почитать в предыдущей статье данной дилогии.

Читать далее Ещё немного о безопасности холодильников

Приехал с ZeroNights 2015

День 1.

Пока ждал открытия конференции, обратил внимание на то, что робот, который катался в фойе, раздаёт вай-фай. Взломав сеть, наверняка можно было получить над ним контроль. Выяснил, что сеть уязвима к атаке Pixie Dust, но с пары попыток пробиться не удалось, точка отвечала, что попыток перебора слишком много и надо подождать. Посмотрел, сколько пробилось народу — подключено было человек 5. Не стал никого деаутентифицировать, потому что добрый. Решил, что взломаю сеть после открытия, но робота выключили, а потом и вообще убрали. Возможно, кто-то сделал нечто непредусмотренное.

Читать далее Приехал с ZeroNights 2015

Еду на ZeroNights 2015

Собственно, это всё. Из конференций такого рода, эта — вторая, которую я посещу. Первой была Positive Hack Days V и произвела на меня впечатление, которое невозможно переоценить. Но о своём особом отношении к PHD я опишусь когда-нибудь позже, а пока нахожусь в предвкушении ещё одной крутой хакерской тусовки. Больше всего ожиданий от знаменитой Harware Village.

В блоге впечатления, наверное, появятся скопом по результатам обоих дней конференции. Как раз будет чем заняться на обратном пути домой. Постараюсь делать заметки и, возможно, фотографии, по ходу дела. Из всего этого в конце концов надеюсь собрать некий отчёт.

Безопасность холодильников

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

На самом деле, несмотря на несерьёзный заголовок, в сегодняшнем посте речь пойдёт о результатах аудита одной крупной компании, занятой в области поставки продуктов питания. Аудит был выполнен «по знакомству» и поначалу я не ожидал увидеть ничего особенного, пока на радаре не появились действительно любопытные цели.

Особенностью данной компании является то, что у неё довольно развитая собственная информационная система. Собственный пул IP-адресов, сайт на собственном веб-сервере, собственная же CRM-система, FTP-сервер и многое другое. Словом, как в лаборатории, в сферических идеальных условиях, но вот только не лаборатории.

Читать далее Безопасность холодильников

Новый чип в RTL-SDR и небольшой тюнинг охлаждения

Практически сразу после того, как я впервые познакомился с SDR в лице китайского донгла, построенного на основе RTL2832U и R820T, я узнал, что китайцы уже выкатили обновлённую версию. Обновился R820T, теперь это R820T2. В Сети есть сравнительные тесты и вердикт таков, что критической разницы в качестве приёма нет, но R820T2 всё-таки предпочтительнее. Решил заказать второй, чтобы в случае чего не ждать замену две недели.

Читать далее Новый чип в RTL-SDR и небольшой тюнинг охлаждения

Погода в Белизе

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Белиз — центральноамериканское государство с населением в треть миллиона человек, что в нём может быть примечательного, помимо красивых пляжей, рифов и дешёвых морепродуктов? Например, отсутствие законов, регулирующих мощность беспроводных устройств. Теперь-то Вы точно захотите туда поехать.

Читать далее Погода в Белизе

Знакомство с миром SDR

О том, что такое SDR (Software Defined Radio или программно-определяемое радио) я узнал, читая о HackRF. Однако всё и закончилось чтением, потому что цена у этой штуки не располагает к тому, чтобы купить её просто для того чтобы попробовать. Да и обилие терминологии не располагает к быстрому освоению области.

Некоторое время спустя, во время просмотра доклада «All your RFz are belong to me» с DefCon 21, я услышал, что спикер упомянул некий ТВ-тюнер на базе Realtek. Несложный запрос «realtek sdr» и привёл меня в чарующий мир программно-определяемых радио. Не стану здесь углубляться в концепцию SDR, потому что и сам пока в этом понимаю немного. Для себя SDR я определил как радио, которое во многом полагается на компьютер, а значит не нужна какая-то невероятная спецаппаратура, чтобы послушать эфир. В посте же речь и вообще пойдёт об устройстве за 10$. Идеально для начала.

Читать далее Знакомство с миром SDR

Массовый отъём WPA/WPA2-хендшейков у населения

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

В Сети огромное количество гайдов о том, как ловить хендшейки беспроводных сетей. Некоторые статьи даже изобилуют качественной и чрезвычайно подробной теорией. Получив понимание сути происходящих при аутентификации процессов, можно самостоятельно попробовать перехватить хендшейк, воспользовавшись airodump’ом и aireplay’ем. Всё это полезно несколько раз проделать вручную, чтобы понимать, как всё устроено изнутри и не считать себя скрипт-кидди.

Читать далее Массовый отъём WPA/WPA2-хендшейков у населения

Что здесь происходит?

Меня зовут Дмитрий и это мой профессиональный блог. В нём я буду освещать все интересующие меня вопросы, которые так или иначе касаются информационной безопасности и в целом информационных технологий.

Я работаю в сфере защиты информации, а потому основной направленностью блога будет именно информационная безопасность. Скорее всего, поначалу посты будут похожи на рестрансляцию известных фактов и новостей, но, надеюсь, со временем моя экспертиза в данной области возрастет и в блоге начнёт появляться действительно интересный и уникальный контент.

В ближайшее время я обзаведусь классическим постом «О себе», где более развёрнуто опишу себя и свои планы на данный блог. А пока — можно располагаться поудобнее.