wizzard: (Default)


TLDR: Можно удаленно читать память сервера, включая секретные ключи и всё-всё-всё.
У кого не было PFS - тот попал особенно.

Уязвимы билды от 14 марта 2012 до 7 апреля 2014. Да здравствует массовая замена ключей!

Read more: https://heartbleed.com/
wizzard: (Default)
Похоже, нашли способ с помощью active attacker ломать (перенаправлять) транзакции ДО того как они будут проверены майнерами и попадут в block chain.

https://www.mtgox.com/press_release_20140210.html

Напоминает историю с Android'ом, где code signing проверял одно, а лоадер загружал другое (обычно они проверяли одно и то же, но можно было сконструировать кейс, где алгоритмы в итоге шли к разным данным)

Далее транзакция уводится на левый кошелек, атакующий (или жертва) идет в саппорт Гокса и начинает возмущаться "гдебабло?", саппорт идет на blockchain, и видит, что бабла-то и нет! после чего начинает чесать репу.

В принципе, неудивительно, что можно наебать участника P2P сети, сконструировав для него filter bubble и проэмулировав остальную сеть, но за то, что это довели до практической реализации in the wild - очень большой респект.

UPDATE: другое мнение


Просто у мтгокса кривой софт, позволяющий обманывать биржу и тупые саппорты, не понимающие как работает биткоин. Эта «уязвимость» была опубликована на биткоин вики ещё год назад и про неё все знают.

Скорее всего они хотят стырить всё бабло под соусом «плохой биткоин дырявый мы не виноваты». Вот и всё.

Вкратце суть уязвимости. Я запросил вывод с мтгокса. Они сделали транзакцию. Я каким то образом успех перехватить транзакцию и послать главным майнерам подделку. Она подписана сигнатурой мтгокса, но хеш у неё другой (потому что в сигнатуру не входят некоторые поля). Майнеры её включают в цепочку, мтгокс по хешу проверяет и не находит. Я мтгоксу пишу мол денег не получал. Тупой саппорт делает ещё одну транзакцию.

Во-первых что им мешает взять адрес отправителя, адрес получателя и посмотреть, сколько денег было отправлено? Ничего не мешает, адреса генерятся без проблем сколько надо, тупой саппорт на блокчейне хоть сейчас может проверять транзакции.

Во-вторых как вообще можно влезть между ими и майнерами я не представляю, если учитывать, что все крупные биткоин-игроки держат прямой коннект друг между другом.


UPDATE2: чтиво по теме

https://bitcointalk.org/index.php?topic=458129.msg5052671#msg5052671 блин, это не то, это по вопросу "как это на btce случилась сделка по $102"

http://www.cryptocoinsnews.com/2014/02/10/mt-gox-blames-bitcoin-core-developer-greg-maxwell-responds/
wizzard: (Default)
A high-context question was closed as "too broad" while I was writing an answer.

Crazy shit.
wizzard: (Default)
Он, бесспорно, очень няшный и Открытое Свободное ПО, но пока этот ебаный стыд не научится нормально синхронизировать файлы - пользоваться им невозможно, и все его Дополнительные Плюшки тупо бесполезны.

Последней каплей стало то, что на одной машине слетело время в будущее и теперь он похоже навсегда считает серверную версию побеждающей (потому что она была инфицирована файлами которые изменены в будущем)

А жаль. Но придется снести.

Может кто знает еще self-hosted альтернативы? У меня есть своё, но оно пока глючит примерно так же :3
wizzard: (Default)
1. Развернуть PKI
2. Осознать, что Root CA сертификат некоторым людям выдан вместе с приватным ключом
3. ???

aka "сегодня я узнал, почему рекомендуют в продакшене делать offline root ca + signing sub-ca"
wizzard: (Default)
такая классная штука! делаешь KeePass'у "Sync to URL" в туда, и все файлы с OwnCloud удаляются. ну кроме собственно БД KeePass'a. охуенно.

напомнило
<Шелезяка[work]> подскажите плиз как проверить существует ли таблица в базе mysql
<Есть> if (mysql_query('DROP TABLE таблица')) echo "таблица существовала";

(баш #56753)
wizzard: (Default)
обьясните идиоту, как купить обычный ритейловый ключ?

я облазил весь сайт Майкрософта и фигушки!

если нажимать "апгрейд" мне показывают большой баннер "спасибо что купили! вот вам еще бесплатных загрузок!" - это на том компе где неактивированная 8.1 стоит

а если на том где стоит win8 то меня ведут в аппстор, где тоже нету ключа а есть "апдейт текущего компа"

я все понимаю но блин хотя бы цены где-то показали бы :/

ну или если у кого есть msdn подписка - поделитесь ключиком ;) не имею ничего против покупки лицензии но блин как это сделать? с 7/8 проще было %)

EDIT: дали ключ, спасибо )
wizzard: (Default)
lga1150

Как быстро создать себе важное длинное кропотливое дело?
Например, зацепиться пальцем за сокет LGA1150 (см. фото)

Там 1150 тонюсеньких контактов сложной формы (такой плоский подпружиненный зигзаг), которые от одного *прикосновения* пальцем замечательно сминаются в кашу >_<

Ну и далее берем пинцет, скальпель, яркую лампу, линзу и несколько часов задрачиваем этот сад камней до приведения обратно в состояние как на фото...

Что самое удивительное, хотя контакты все еще выглядят адово исковерканно, комп в итоге включился и вроде даже работает, и бенчмарки нормально жужжат %)

Но в целом пиздец-пиздец, не повторяйте это дома (да и вообще где угодно).
wizzard: (Default)
В общем, вот люди нашли еще одно (возможное) отверстие в криптолибах, на сей раз в Андроиде - просто так взяли и закоммитили другой список дефолтных параметров шифрования, на который есть известные атаки. Или неизвестные ;)

Open Source, да. Три года коммиту.

tl;dr

Android is using the combination of horribly broken RC4 and MD5 as the first default cipher on all SSL connections. This impacts all apps that did not care enough to change the list of enabled ciphers (i.e. almost all existing apps). This post investigates why RC4-MD5 is the default cipher, and why it replaced better ciphers which were in use prior to the Android 2.3 release in December 2010.

read more: http://op-co.de/blog/posts/android_ssl_downgrade/
10x @hedin
wizzard: (Default)
используйте feature detection, они говорят.
используйте стандартные фреймворки и не изобретайте велосипедов, они говорят.
используйте unobtrusive enhancement, они говорят.

А знаете, почему на Windows Phone и виндопланшетах куча сайтов не скроллит нормально всякие элементы типа textarea и списков с overflow:scroll?

потому что Modernizr не считает его touch-capable девайсом! и на них тупо не вешаются хендлеры, не применяются стили, итд итп.

ладно бы еще 7.0 не считать, там был IE7 и соответствующий рак с евентами, но 7.5 (IE9) уже сто лет в обед и всё там работает (fastclick, position:fixed итд итп)!

не говоря уже о WP 7.8, 8.0 и Win8/RT/8.1, где IE10/11 регулярно скроллит отзывчивее того же мобильного хрома на тяжелых страницах.

feature detection my ass. век живи век учись.
wizzard: (Default)
Simran: what the hell? i get out of school and comw to mcdonalds and world goes crazy!
briceperdue: i told you guys that BTC was run by the CIA. Goverment shutdown = BTC crash
и тикеры такие зигзаги рисуют
прям как в старые добрые времена

TLDR: админ Silk Road чисто случайно спалился на совершенно левых мелочах, на биржах паника

http://www.forbes.com/sites/alexkonrad/2013/10/02/feds-shut-down-silk-road-owner-known-as-dread-pirate-roberts-arrested/

http://www1.icsi.berkeley.edu/~nweaver/UlbrichtCriminalComplaint.pdf

UPD:
https://ia601904.us.archive.org/1/items/gov.uscourts.mdd.238311/gov.uscourts.mdd.238311.4.0.pdf

http://www.popehat.com/2013/10/02/the-silk-road-to-federal-prosecution-the-charges-against-ross-ulbricht/

а еще bitcointalk внезапно сколлапсировал, послав прощальное письмо "нас взломали федералы" (у кого были аккаунты - вам пришло), вслед за lavabit (подробности тут - http://www.wired.com/threatlevel/2013/10/lavabit_unsealed/ )

короче, inbound popcorn strike imminent
wizzard: (Default)
Помните, когда Skype форвардил сообщения рандомным контактам?

Ну вот, Google Talk тоже - http://www.ibtimes.com/gchat-privacy-error-google-inc-goog-hangouts-sent-private-messages-wrong-people-1411440
wizzard: (Default)
Он сломался. Жопа :)

Ну т.е. с очередным апдейтом просто перестал коннектиться на домашние компы. Изнутри локалки коннектится. Снаружи - нет :/

RDP надо бы пробросить, но лень...
wizzard: (Default)
"In reality, Apple's sensor has just a higher resolution compared to the sensors so far. So we only needed to ramp up the resolution of our fake", said the hacker with the nickname Starbug, who performed the critical experiments that led to the successful circumvention of the fingerprint locking. "As we have said now for more than years, fingerprints should not be used to secure anything. You leave them everywhere, and it is far too easy to make fake fingers out of lifted prints."

The iPhone TouchID defeat has been documented in a short video:



The method follows the steps outlined in this how-to with materials that can be found in almost every household: First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet. After it cures, the thin latex sheet is lifted from the sheet, breathed on to make it a tiny bit moist and then placed onto the sensor to unlock the phone. This process has been used with minor refinements and variations against the vast majority of fingerprint sensors on the market.


"We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token", said Frank Rieger, spokesperson of the CCC. "The public should no longer be fooled by the biometrics industry with false security claims. Biometrics is fundamentally a technology designed for oppression and control, not for securing everyday device access." Fingerprint biometrics in passports has been introduced in many countries despite the fact that by this global roll-out no security gain can be shown.

iPhone users should avoid protecting sensitive data with their precious biometric fingerprint not only because it can be easily faked, as demonstrated by the CCC team. Also, you can easily be forced to unlock your phone against your will when being arrested. Forcing you to give up your (hopefully long) passcode is much harder under most jurisdictions than just casually swiping your phone over your handcuffed hands.

Source: http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid

#fail

Sep. 21st, 2013 07:12 pm
wizzard: (Default)
Не пытайтесь отклеить защитную пленку с экрана Xperia Z Ultra (вроде бы, с Z, Z1 и Tablet Z ситуация аналогичная)

С задней стенки отклеивать можно.

(Да, она отклеивается. Но со спецэффектами. Короче, не пытайтесь)

В самом начале задача выглядит как "снять пленку". Это быстро изменяется в "снять пленку целой".. потом, не менее быстро, в "снять всю пленку..."

Через какой-то час-другой то, что было пленкой, оказывается на столе, и ты понимаешь, что на экране клей. Нет, КЛЕЙ.

Стекло под этим клеем крепкое. Его можно, например, скоблить ножом, ему ничего не будет (стальным - керамическими, пожалуй, не стоит).
Но у клея а) совершенно безумная адгезия б) он твердеет на воздухе в) продолжает при этом липнуть к жирному и мокрому стеклу г) не скатывается в комочки. В итоге, если скоблить - это напоминает размазывание шпателем штукатурки, в миниатюре...

Напомню, сабжевый телефон можно мыть. Однако мыло клей не берет. Щавелевая кислота (мистер мускул и т.д.) тоже. Поливать чем-то более едким стремно - вдруг уплотнители не выдержат?

EDIT: В общем, с помощью 96% спирта, и куска хб ткани, намотанной на отвертку как-то оттер. Ткань об клей изрядно истрепалась при этом.

Короче, фэйл =)

про NFC

Sep. 16th, 2013 06:26 pm
wizzard: (Default)
Время от времени пишут разные аналитики, дескать, киллер апп не хватает, девайсов не хватает, а вот как будут так сразу все взлетит. Щазз.

Как можно рассчитывать на то, что технологией будут пользоваться, если она тупо не работает?

Вот у меня нфц умеет ноутбук, два мобильника, роутер и даже тегов уже несколько есть.

Передать файл через эту хуйню мне так и не удалось. Ни разу. Девайсы при прикладывании друг к другу делают "тырдык!" и молчат. Еще иконка, бывает появляется. Или нотификейшен. Все.

А, да. К ноутбуку, чтобы сработало, надо прикладывать СНИЗУ. Один из мобильников надо прикладывать ЭКРАНОМ. Как при этом предполагается взаимодействовать с мобильником - мне крайне любопытно. Держа на весу ноутбук другой рукой.

Кто-то явно решил претворить мечту о сексе в гамаке на лыжах в реальность.

Ну и вот. Купил я роутер, собственно. Он вроде как поддерживает супер-дупер-изи-сетап "прикоснитесь моблом к роутеру и наступит щастье". Хуй. Прикладывал к нему всё. Все тырдыкает и говорит "йоба тут есть что-то нфцшное". На этом счастье почему-то заканчивается.

Тэги вот тоже можно прикладывать. Тоже всё говорит "тырдык!" и молчит как рыба. Никакого UI, никакого хелпа, ничего.

Чувствую себя идиотом. Как этим пользоваться?

UPD: подумал и вставил ссылку на википедию, а то ругаюсь непонятно на что :)
wizzard: (Default)
http://secupost.net/

TL;DR: как и в Bitcoin, в Bitmessage адреса публичны. Человек взял видеокарточек, сгенерил proof-of-work и за 4 часа броадкастнул сообщения всем юзерам BitMessage.

В сообщении была уникальная ссылка с кодированным адресом (т.е. брутфорснуть ссылки было довольно тяжело), и текстом "в BitMessage есть проблемы, см. по адресу".

IP/UserAgent всех, кто сходил по ссылке, сдамплены на сабжевой странице %)

Hilarity ensues, как говорится. Ибо Problem Exists Between Keyboard And Chair.
wizzard: (Default)
Google confirms critical Android crypto flaw used in $5,700 Bitcoin heist

Java Crypto weakness could affect security in hundreds of thousands of apps.

http://arstechnica.com/security/2013/08/google-confirms-critical-android-crypto-flaw-used-in-5700-bitcoin-heist/

1. Еще одно подтверждение тому, что генератор случайных чисел - критически важная штука
2. Используешь самописное? С высокой вероятностью всё плохо. Используешь стандартное? Доверяй, но проверяй.

К счастью, в случае с энтропией "доверять, но проверять" просто - берем энтропию из системного генератора, подмешиваем туда какой-нибудь своей, хуже не станет. Гм... Подмешивать, конечно, тоже надо правильно. Ну да ладно ;)

Я, правда не смотрел, еще может быть что в JCE нельзя подмешать свою энтропию при генерации ключей - тогда ужасно, конечно. У остальных вроде можно)
wizzard: (Default)
это.. просто.. у меня нет слов.

короче, упаковываете classes.dex в APK два раза. проверяется одно, грузится другое.

that's it. PoC: https://github.com/Fuzion24/AndroidMasterKeys/

заведу тэг epic fail.
wizzard: (Default)
2012.11.30: на счетах госказначейства 11 млрд грн

2013.07.07: на счетах госказначейства 0.0008 млрд (800 тыс) грн

Знакомые говорят, что платежи от государства таки да, внезапно перестали поступать. Запасаемся попкорном...

Profile

wizzard: (Default)
wizzard

August 2017

S M T W T F S
  12345
6789 101112
1314 1516171819
2021222324 2526
2728 293031  

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 22nd, 2017 11:40 am
Powered by Dreamwidth Studios