хакеры какой язык изучают
5 лучших языков программирования для хакинга
Перевод статьи Аншита Шармы «5 Best Programming Languages for Hacking».
Какие языки программирования используют хакеры?
Как и программирование, хакинг стал опасно популярным в последнее время. Благодарить за это стоит фильмы-блокбастеры, которые пробудили у молодых людей интерес к хакингу.
Каждый второй подросток мечтает стать хакером, поскольку видит, что его любимые кинозвезды занимаются хакингом на экране. Такие фильмы как «Алгоритм», «Матрица» и «Хакер» очень повлияли на молодежь. Лично я смотрел «Алгоритм» 10 раз и мне по-прежнему нравится та реалистичная манера, в которой все было изображено.
Но в реальном мире стать хакером – непростая задача. Это потребует времени, причем не дней и даже не недель. На достижение уровня, когда можно будет назвать себя хакером, могут уйти месяцы и даже годы.
Хакинг требует много терпения и тяжелого умственного труда. На рынке есть много доступных инструментов, с помощью которых можно выполнять задачи, имеющие отношение к хакингу. Например, тест на проникновение, DDOS и т. п. Однако, если вы действительно хотите стать хакером, вы должны мастерски владеть языками программирования. Некоторые из лучших хакеров мира начинали как программисты. Если вы умеете программировать, вы сможете разобрать код и проанализировать его.
В этой статье мы составили короткий список из нескольких лучших языков программирования, которые вы можете начинать изучать, чтобы начать карьеру в хакинге. Все они играют различные роли и имеют разные преимущества, но вы должны знать их структуру и процесс работы.
1. Python
Этот язык программирования хорошо известен благодаря своей простоте. Кроме того, это один из самых популярных языков, которые изучаются первыми в лучших университетах США.
Python предоставляет великолепную платформу разработки для построения наших собственных инструментов, которые в этичном хакинге называются инструментами атаки.
Python дает вам возможность быстрой разработки и тестирования, что необходимо для этичных хакеров, пентестеров и специалистов по безопасности. Пентестеры (или этичные хакеры) это люди, которые используют уязвимости в безопасности веб-приложений, сетей и систем. Им платят за легальный хакинг.
Подобно JavaScript, Python также является очень гибким. Он широко используется в различных сферах, от создания веб-приложений до биоинформатики. Python это язык хакеров – я прочитал об этом в книге О’Коннора «Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers» и верю в это. Для многих хакеров именно этот язык является первым, поскольку с него легко начинать.
2. Java
Да, Java. Этот язык изначально был выпущен со слоганом «напиши один раз и запускай где угодно». Это должно было подчеркнуть его кросс-платформенные свойства. С помощью Java мы можем делать много всего. Все IT-профессионалы, хоть разработчики, хоть хакеры, ценят этот язык за его гибкость.
Это один из самых широко используемых языков программирования в мире. Благодаря его внушительной пользовательской базе, в последние десятилетия он является языком номер один для разработчиков, а теперь и для хакеров.
Если вы возьметесь искать руководства по Java-хакингу, то найдете их в большом количестве. Причина этому – Android. Большая часть пользователей припадает на системы Android, и это облегчает хакерам доступ к целевой аудитории. С другой стороны, Java дает им возможность испытать свои навыки.
3. Ruby
В сфере исследований безопасности (этичного хакинга) Ruby очень быстро завоевал популярность. На этот язык повлияли Perl, Smalltalk, Eiffel, Ada и Lisp. Подобно Python, он легок для написания и чтения, а также приятен в работе.
Многие компании, такие как Shopify, Twitter, GitHub, ищут специалистов со знанием Ruby. Конечно, вам нужно знать PHP, C++, HTML и т. д., но Ruby – хороший вариант для старта. Это также один из моих любимых языков программирования. Как и в случае с JavaScript, его легко изучить, но навыки сложно довести до совершенства.
4. JavaScript
JavaScript широко используется в веб-разработке. Это один из самых гибких языков, какие мне когда-либо доводилось использовать. Apple сделал JavaScript объектом первого класса в Yosemite, позволив использовать его вместо AppleScript для разнообразных сценариев и кастомизаций на уровне системы.
В связи с этим перед вами открываются тысячи возможностей для использования JavaScript в самых разных областях, в том числе и для хакинга. Этот язык может быть использован как для фронтенда, так и для бэкенда.
Начинающим может быть трудно заниматься отладкой и сложно изучить некоторые концепции вроде асинхронности, прототипов, объектов и т. п. Но со временем каждый может справиться.
Это великолепный пример языка программирования. Именно его первым изучают в школах и колледжах, и для этого есть множество причин. Он очень портативный и может использоваться на разных платформах. Коротко говоря, это мощный, эффективный и быстрый язык, который используется при создании программ для Linux, Windows и т. д.
Также C/C++ используется для написания и разработки эксплойтов.
Хотя C++ является более мощным языком, чем C, и используется во множестве программ, оба эти языка предлагают отличный функционал. Основная особенность C++ – набор предопределенных классов, представляющих собой типы данных, которые могут быть созданы несколько раз. Этот язык также облегчает объявление пользовательских классов и многое другое.
Если вы хотите заняться хакингом, лично я рекомендую вам эти языки. Они научат вас применять базовые концепции программирования. Вы узнаете «изнутри», как работают циклы и условия, а это очень важно для вас как для будущего хакера.
Изучить эти языки можно по руководствам на YouTube или сайтах, предлагающих глубокие обзоры.
В конце хотелось бы добавить, что изучать все эти языки, конечно, необязательно, но если вы хотите называться крутым хакером, то это необходимо. Чтобы выделяться в сложном мире хакинга, вам нужно постоянно учиться и оттачивать свои навыки программирования.
KVERNER
Matlab Simulink Python Java HELP Работы программиста профессионала
Важные языки программирования для этического хакера
Взлом стал очень популярным среди компьютерных энтузиастов. Фактически, большинство людей преследуют его как полноценную карьеру. Одним из основных требований, которые вам необходимы для того, чтобы быть этическим хакером, являются навыки кодирования. Вы должны хорошо понимать различные языки программирования. Но, какие языки следует использовать?
Языки программирования для этических хакеров
1. Python
Простота Python не имеет себе равных. Вы можете изучать язык и создавать мощные приложения в течение нескольких месяцев после того, как вы закончите обучение. Когда дело доходит до взлома, Python обеспечивает благодатную почву для создания наступательных хакерских инструментов.
Язык идеально подходит для разработки и тестирования различных мер безопасности. Вы можете выполнять базовые хакерские действия, не нарушая закона. Гибкость программирования Python делает его любимцем начинающих этических хакеров. Он может использоваться как в автономных, так и в веб-приложениях. Это также передовой язык для создания биоинформационных приложений. Большинство этических хакеров предпочитают Python как основной язык программирования. Это в основном из-за его простоты и универсальности.
2. Java
Язык программирования Java имеет одну выдающуюся характеристику — он универсален. Это объясняет общую фразу, которая всегда ассоциируется с этим языком: «пишите один раз, бегите везде». Это язык, который может нарушить все барьеры. Он может работать на любой машине или платформе. Будучи многообещающим этическим хакером, это одна из ключевых характеристик, которые вам нужно освоить в процессе изучения программирования.
Гибкость программирования Java совершенно на другом уровне. Являетесь ли вы хакером или просто разработчиком, вы оцените этот язык. Существует высокая вероятность изучения многих приложений, основанных на этом языке программирования. Знание Java можно использовать только для веб-приложений и корпоративных приложений для взлома приложений Android. Поскольку Android является самой популярной операционной системой для мобильных устройств, вы можете быть уверены в наличии надежной клиентской базы. Популярность Java означает, что вы можете получить массу ресурсов для обучения и тестирования этого языка.
3. JavaScript
JavaScript в основном используется для разработки веб-приложений. Он может улучшить функциональность сайта и в то же время сделать его более интерактивным. Помимо сайтов, JavaScript также широко используется в AppleScript.
Если у вас есть намерения стать надежным и универсальным хакером, вы должны серьезно относиться к JavaScript, поскольку это один из обязательных языков для этических хакеров. Вы можете использовать его для изучения интерфейсных и серверных приложений. Как хакер, JavaSript также может дать вам возможность исследовать мобильные приложения.
Существуют различные веские причины, по которым C всегда упоминается как мать всех языков программирования. Большинство школ и колледжей учат его в качестве первого языка программирования. C ++ — универсальный и портативный. Это межплатформенный язык, который может работать на разных платформах. Это означает, что в качестве хакера C ++ поможет вам получить доступ к различным системам.
C ++ — это быстрый и мощный язык программирования. Вы можете использовать его для разработки различных инструментов для взлома. Он также имеет дополнительные ресурсы для разработки и тестирования мер безопасности.
5. Ruby
Ruby создал свое имя в области компьютерной безопасности и взлома в целом. Он построил свою базу на языках Lisp, Perl, Ada и Eiffel и Smalltalk. Существует несколько сходств между Ruby и Python. Один из них — оба языка, которые легко понять и использовать.
Когда дело доходит до взлома, вы можете использовать Ruby для написания мощных и эффективных скриптов. Простой синтаксис Ruby делает его хорошим выбором языка для легкого проникновения в системы и приложения. Существует также довольно широкий спектр инфраструктур безопасности, которые построены на Ruby.
Хотя JavaScript выполняет различные роли в интерфейсе веб-приложения, PHP будет работать на стороне сервера. Ну, как этический хакер, вы должны иметь возможность получить доступ к серверной стороне. Знание PHP будет играть важную роль в достижении этой цели. Вы можете зависеть от PHP, чтобы проникнуть на сайт и даже проверить его уязвимость.
Тот факт, что PHP является широко используемым языком программирования, делает его идеальным выбором для любого хакера. На этом языке работает не менее 80% веб-сайтов. Это просто означает, что этот язык сделает вас более актуальными и доступными в вашей карьере как этический хакер.
7. SQL (Structured Query Language)
SQL является самым популярным языком программирования баз данных. Одной из вещей, которые мотивируют хакерские действия, является необходимость получения данных. Это потому, что мы живем в мире, ориентированном на информацию. Невозможно недооценить важность информации.
Как этический хакер, знание SQL поможет вам понять, как взломаны базы данных и украдены данные. Затем вы сможете придумать пуленепробиваемые меры безопасности, которые могут быть использованы для защиты от взлома базы данных.
8.HTML/XML
Заключение
В заключение, будучи экспертом в вышеуказанных языках программирования, можно заложить прочную основу, которую вы можете использовать, чтобы стать этичным хакером. Взлом — это широкое поле, требующее владения несколькими языками программирования. Это связано с тем, что разные системы построены на разных языках программирования. Будучи экспертом на нескольких языках, вы получите преимущество.
Как говорится, практика делает совершенным. Продолжайте практиковать эти языки, и со временем вы будете совершенны. Из-за надежного характера взлома старайтесь обновить себя новыми разработками на этих языках. Это потому, что в качестве этического хакера вы должны всегда использовать новые лазейки безопасности.
Как стать этичным хакером в 2021 году
Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого администрирования а самого обычного digitial маркетинга, поэтому объяснять все буду достаточно прозрачно даже для людей не в теме.
Часть материала я взял у Codeby здесь и тут, которые я считаю обязательными к изучению, часть позаимствовал из своего личного XMIND, часть из телеграм каналов
Начну с того, что Хакинг делится на следующие области:
Wi-FI Hacking взлом беспроводных сетей
Я боюсь я перечислил здесь далеко не все, но со временем вы поймете какую ветку развития своего персонажа вы выберете и что Вам ближе. Но есть базовые скиллы с которых Вам нужно начать. Просто необходимо и которые нужно отработать в первую очередь.
Также для меня большим удивлением было когда я начал въезжать в тему что специалисты по информационной безопасности занимаются далеко не тестированием а по большому счету бумажной работой. Что отбило у меня интерес идти в классическую информационную безопасность, так как я не увидел там того хакинга в чистом виде которого я жаждал.
Linux. Базовое знание системы
Следующий пункт в нашем списке
Знание сетей, TCP/IP и модели OSI
Английский Язык
Языки программирования
Ресурсы по Python я приводить не буду их море, и это тема отдельной статьи
После освоения данного материала пора выбирать специализацию. На самом деле к моменту изучения всего этого вы уже найдете ресурсы для дальнейшего кача я все таки выложу лучшие ресурсы
Этичный Хакинг
Перевод курса Ermin Kreponic от команды Codeby — отличное погружение в этичный хакинг, всего по чуть-чуть и вы уже в теме
Лучшее видео этого года на тему хакинга. Must see всем начинающим и немного понимающим английский язык
🥒 Важные языки программирования, используемые этичными хакерами
Какие языки программирования важны для взлома?
Хакеры, как правило используют разные диалекты кодирования для разных проектов.
Ранее мы обсуждали лучшие операционные системы для хакеров, сегодня мы здесь, чтобы дать вам некоторую информацию о важных языках программирования хакеров, используемых для этического взлома.
Кодирование необходимо для взлома, потому что хакер – это тот, кто нарушает системный протокол или безопасность приложения, которые запрограммированы на определенном языке программирования.
Чтобы понять работу и найти уязвимости компьютера и приложений, хакер должен выучить пару языков программирования, чтобы выполнить свою задачу.
Так что ознакомьтесь в этой статье с важными языками программирования для хакеров и экспертов по безопасности и где их применять.
Языки программирования хакеров:
Существует много компьютерных языков, но для взлома требуется не все, потому что в большинстве случаев это зависит от цели.
Есть три раздела – веб-хакерство и пентестинг, написание эксплойтов и обратный инжиниринг, и каждый из них требует различного языка или направления.
Языки программирования для Веб взлома и Пентеста
Если вы заинтересованы в веб-хакерстве и пентестинге, вы должны изучать нижеуказанные языки как минимум на базовом и среднем уровнях.
1. HTML
Всегда начинайте с основ, а HTML – язык разметки гипертекста – должен быть первым, который вы должны выучить как новичок.
HTML – это строительные блоки Интернета, и этичный хакер должен хорошо знать его, чтобы понимать действия, реакцию, структуру и логику в Интернете.
Кроме того, изучение HTML не так уж и сложно.
2. JavaScript
JavaScript – JavaScript наиболее часто используется в качестве клиентского программирования, а для веб-разработки также является лучшим языком программирования для взлома веб-приложений.
Фактически, это лучший язык программирования для хакеров и экспертов по безопасности для разработки хакерских программ для межсайтовых скриптов.
Вы должны изучить его в режиме высокого приоритета.
Понимание логики кода JavaScript может помочь вам найти недостатки веб-приложений, и это лучший способ манипулировать как интерфейсными, так и фоновыми веб-компонентами.
3. SQL
SQL – язык структурированных запросов – это язык программирования баз данных, используемый для запроса и извлечения информации из баз данных.
Все большие и маленькие веб-сайты и веб-приложения используют базы данных для хранения данных, таких как учетные данные для входа и другие ценные инвентаризации – это самая чувствительная часть Интернета.
Таким образом, хакер должен научиться SQL, чтобы общаться с базами данных и разрабатывать хакерские программы на основе SQL-инъекций.
4. PHP
PHP – самый популярный язык динамического программирования, используемый в основном веб-сайтами, основанными на популярных CMS, таких как WordPress.
Так что знание PHP поможет вам найти уязвимости в такой системе и уничтожить личный сайт или блог.
Хакеры используют PHP в основном для разработки программ для взлома серверов, так как это язык сценариев на стороне сервера.
Таким образом, если вы занимаетесь веб-хакерством, вам необходимы более глубокие знания PHP.
5. Perl
Perl является важным языком программирования для взлома, чтобы скомпрометировать старые машины, так как многие старые системы все еще используют Perl.
Perl стоит изучать по практическим соображениям – он очень широко используется для активных веб-страниц и системного администрирования, лучшего доступного языка для работы с текстовыми файлами в системах Unix и интеграции с популярными веб-базами данных.
Так что даже если вы никогда не будете писать на Perl, вы должны научиться читать его.
Языки программирования для написания эксплойтов
Написание эксплойтов – это передовая часть взлома.
Это требует языка программирования более высокого уровня.
Эксплойты можно сделать на любом языке программирования, например C, C ++, Ruby, Python и т. д.
Мать всего языка программирования, C – самый важный язык программирования, используемый при создании Linux и Windows.
Таким образом, изучение программирования на С поможет белому хакеру понять, как работают эти системы, например, как процессор и память взаимодействуют друг с другом.
Тем не менее, это лучший язык программирования для написания эксплойтов и разработки.
Низкий уровень C позволяет экспертам по безопасности разрабатывать хакерские программы для доступа к системному оборудованию и управления им, а также для ресурсов более низкого уровня.
C ++ – один из лучших языков программирования для взлома программного обеспечения, которое распространяется по закрытой лицензии и требует платной активации.
Как и C, C ++ также обеспечивает низкоуровневый доступ к системе и помогает анализировать машинный код и обходить такие схемы активации.
Также многие современные хакерские программы построены на C ++.
8. Python
В отличие от любого другого языка программирования, перечисленного здесь, Python является самым простым в изучении.
Это наиболее используемый язык для написания эксплойтов, так как Python является самым простым языком программирования для написания скриптов автоматизации из-за предварительно созданных библиотек с некоторыми мощными функциями.
Настоятельно рекомендуется изучать программирование на Python Socket, потому что оно очень помогает в создании эксплойтов.
9. Ruby
Ruby – это простой, но самодостаточный объектно-ориентированный язык программирования, используемый в веб-разработке.
Ruby очень полезен в написании эксплойтов.
Он используется для скриптов meterpreter, и знаете ли вы, что сам Metasploit Framework запрограммирована на Ruby.
10. Java
Java является наиболее широко используемым языком программирования в сообществе программистов. Изначально Java была выпущена под лозунгом «пиши один раз, запускай где угодно», что должно было подчеркнуть ее кроссплатформенные возможности.
Благодаря этому Java является идеальным языком программирования для взлома ПК, мобильных устройств и веб-серверов.
Как только вы напишите свои хакерские программы на Java, вы сможете запускать их на любой платформе, поддерживающей Java.
11. LISP
Lisp является вторым старейшим языком программирования высокого уровня, широко используемым сегодня.
LISP абсолютно открыт, гибок и полностью независим от машины, что делает его любимым для хакера.
Вы можете определить свой собственный синтаксис и создать любую понравившуюся парадигму программирования и включить ее в свои программы.
Языки программирования для реверс инжиниринга
Реверс инжиниринг, также называемый обратным инжинирингом, представляет собой процессы извлечения знаний или информации о конструкции из всего, что сделано человеком, и воспроизведения чего-либо на основе извлеченной информации.
Реверс-инжиниринг также полезен в предупреждении взлома, когда подозрительное вредоносное ПО подвергается обратному инжинирингу, чтобы понять, что оно делает, как обнаружить и удалить его, а также позволить компьютерам и устройствам работать вместе.
Обратный инжиниринг также можно использовать для «взлома» программного обеспечения и носителей с целью удаления их защиты от копирования.
12. Язык ассемблер
Ассемблер – это язык программирования низкого уровня, но очень сложный.
Можно проинструктировать аппаратное или программное обеспечение машины на языке ассемблера.
Лучшие языки для хакеров
Неудивительно, что Python возглавляет наш список. Известный как язык программирования для взлома, Python действительно сыграл значительную роль в написании сценариев взлома, эксплойтов и вредоносных программ.
C и C ++ известны тем, что создают чрезвычайно быстрые эксплойты, которые выполняются на более низком уровне системы. Программирование на C также известно получением доступа к таким ресурсам, как память и системные процессы, после выполнения атаки и компрометации системы.
Некоторое время Javascript (JS) был языком сценариев на стороне клиента. С выпуском Node.js Javascript теперь поддерживает внутреннюю разработку, что создает жесткую конкуренцию PHP. Для хакеров это означает более широкое поле для использования.
Понимание Javascript дает вам более высокие привилегии в веб-эксплуатации, поскольку едва ли всемогущие веб-приложения используют Javascript или одну из его библиотек.
В течение долгого времени PHP доминирует в серверной части большинства веб-сайтов и веб-приложений. Даже популярные системы управления контентом (CMS), такие как WordPress и Drupal, работают на основе PHP.
Если вы занимаетесь веб-хакингом, то получение PHP было бы большим преимуществом. После последних обновлений до PHP 7.4.5 у нас все еще есть веб-сайты с более старыми версиями. Обладая отличными навыками, вы сможете использовать эти устаревшие библиотеки в большинстве веб-приложений.
Информационная безопасность
1.2K поста 22.7K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.
пишет такое он а стыдно мне.
КГ/АМ. Афтару, убейся об стену.
будто в цистерну с говном дрожжей на новый год кто-то накидал!
Скрытая реклама курсов видимо.
Уязвимость государственных веб-сайтов. Как зайти в администраторскую панель с помощью admin admin?
В декабре 2020 году мною были обнаружены уязвимости на государственных веб-сайтах такие как «Законодательство Российской Федерации» и «Мониторинг государственных веб-сайтов».
На веб-сайте «Законодательство Российской Федерации» было обнаружено, что логин и пароль для авторизации в администраторскую панель присвоен стандартный: admin (логин), admin (пароль). Также на этом веб-сайте была обнаружена отражённая XSS уязвимость.
На веб-сайте «Мониторинг государственных веб-сайтов» была обнаружена хранимая XSS уязвимость, которая позволит злоумышленнику перехватить cookie пользователей (в том числе администраторов, которые имеют функционал администрирования веб-сайтом) и пользоваться аккаунтами в своих личных целях!
Также данные уязвимости существуют и на других государственных веб-сайтах!
Боты FreakOut атакуют Linux-устройства через уязвимости
Новый Linux-зловред FreakOut приобщает зараженное устройство к ботнету, способному проводить DDoS-атаки и добывать Monero за счет мощностей своих жертв. Вредоносная программа проникает в систему посредством эксплуатации критических уязвимостей, для которых уже выпущены патчи.
Первые атаки FreakOut были обнаружены 8 января. За неполную неделю эксперты Check Point Software Technologies насчитали свыше 380 попыток эксплойта у своих клиентов — в основном в США (27%) и странах Западной Европы (24%). Чаще прочих зловред атаковал финансовые организации, госструктуры и медицинские учреждения.
Установлено, что для доставки новых ботов используются три уязвимости, позволяющие удаленно выполнить вредоносный код (все — 9,8 балла по CVSS):
CVE-2020-28188 — возможность внедрения команд в TOS, операционной системе от вендора сетевых накопителей TerraMaster;
CVE-2021-3007 — десериализация недоверенных данных в Zend Framework, популярном наборе библиотек для создания веб-приложений;
CVE-2020-7961 — десериализация недоверенных данных в Liferay Portal, CMS-системе с открытым исходным кодом, используемой для создания сайтов и порталов.
При успешной отработке эксплойта в систему со стороннего сервера загружается Python-скрипт — IRC-бот, обладающий широкими возможностями. Он способен по команде выполнять сканирование портов, собирать информацию, генерировать и отправлять пакеты данных, проводить анализ сети, создавать и нацеливать DDoS-поток типа flood, добывать криптовалюту с помощью майнера XMRig. Зловред также умеет распространяться на другие устройства по сети и атаковать мишени за ее пределами, используя все те же эксплойты.
Адрес командного сервера FreakOut жестко прописан в его коде. На этом сервере эксперты обнаружили записи, свидетельствующие о взломе 185 Linux-устройств.
Компания TerraMaster собиралась пропатчить TOS, выпустив версию 4.2.07 — она вышла в начале прошлого месяца. Обновление для Liferay Portal (7.2.1) тоже уже доступно. Проект Zend Framework больше не поддерживается, пользователям предлагается установить патч, созданный участниками Laminas Project.
Эксперты Check Point также рекомендуют принять дополнительные меры защиты:
Проверить Linux-устройства на наличие других уязвимостей и предельно обновить весь софт.
Использовать систему класса IPS для предотвращения эксплойтов.
Конечные устройства снабдить антивирусами или подписаться на услуги расширенной защиты, работающей на таком уровне.
Найден новый способ взлома кредитных карт VISA с обходом PIN-кода
Коллектив исследователей-хакеров, работающий в сфере безопасности, обнаружил уязвимость в платёжной системе кредитных карт VISA. Найденная уязвимость позволяет злоумышленнику, вооружённому двумя смартфонами с чипами NFC и некоторым специальным программным обеспечением, обходить защитный механизм запроса PIN-кода подтверждения проведения платежа.
Что это значит простыми словами? У каждой кредитной или дебетовой карты VISA есть настройка (параметр), хранящий пороговый размер денежной суммы, позволяющий проводить платёж без ввода пароля (PIN кода). Например, если задать порог как 100 рублей и купить мандаринку за 10 рублей, то платёжный терминал магазина не будет запрашивать у вас PIN код при оплате. Но если купить торт за 500 рублей, то терминал на кассе запросит у вас пароль (PIN код). Хакеры смогли найти лазейку, позволяющую обойти защитный механизм и проводить все платежи без запроса PIN кода. Да-да! Они могут бесконтактным способом, то есть по воздуху, снять любую сумму с карты VISA без запроса пароля PIN. Представляете масштаб бедствия?
Советуем без лишней надобности не доставать кредитные карты VISA из вашей шапочки из фольги. Всем удачи и добра!
Про SIMJacker, вирусы через SMS и это все
Навеяно постом, а еще больше комментариями к нему, где «гуру» высказали свое авторитетное мнение: этой дыре сто лет, она не работает, она вообще не дыра, на симках нет исполняемого кода, КГ/АМ и далее со всеми остановками.
У меня для вас плохие новости: дыра есть и она работает, за что мы все должны отвесить низкий поклон алчным операторам, пихающим на SIM-карты свои «приложения», рукожопым разработчикам SIM Application Toolkit (STK) и Корпорации добра, которая выпустила дырявый «интерпретатор» для поддержки этой дряни.
Если у вас телефон на Android, то на нем есть приложение STK.apk (STK.apk и STK2.apk на двухсимочном). На iPhone тоже есть какое-то приложение, но не знаю как оно называется и как выглядит его иконка. Если его запустить, появится приложение с заголовком «Меню оператора» или что-то в таком ключе, управляющее «дополнительными сервисами» – «Хамелеон», «Живой баланс» и т.п. мусор.
Код для управления этими сервисами записан на SIM (да, Карл, на SIM есть исполняемый код!) и часть этого кода можно исполнить путем отправки на соответствующий смартфон (планшет, систему видеонаблюдения, запирающее устройство, трекер – всюду, куда воткнута SIM-карта) специального SMS-сообщения от оператора. Это был лишь вопрос времени, когда хакеры «подберут ключи» и смогут сами отправлять такие SMS, чтобы с их помощью управлять чужим устройством.
Как обезопасить себя, пока операторы не выпустят новые, исправленные SIM-карты (спойлер: никогда)? Если у вас на устройстве Android и есть рут – удалить, отключить, заморозить приложения STK.apk Это не повлияет на базовый функционал SIM-карты, т.е. вы по-прежнему сможете звонить, принимать звонки, посылать и получать SMS/MMS, а также шастать в Интернете. Не будут работать только «дополнительные сервисы» оператора.
Если же рута нет, это можно сделать через ADB, выполнив 2 команды:
pm disable-user com.android.stk2
Обладателям яблодевайсов, увы, ничего подсказать не могу – у вас идеальная закрытая экосистема, где производитель уже позаботился обо всех возможных потребностях клиентов. Вот своему производителю и задавайте вопросы, как жить дальше.
В SIM-картах найдена самая опасная уязвимость за историю мобильных сетей.
Специалисты в области кибербезопасности обнаружили критическую уязвимость в SIM-картах, позволяющую с помощью SMS взломать практически любой смартфон и следить за его владельцем. В зоне риска находятся обладатели устройств от Apple, ZTE, Motorola, Samsung, Google, HUAWEI и других компаний. Эксперты говорят, что это самый изощрённый тип атаки, из когда-либо существовавших в мобильных сетях.
Уязвимость, получившая название SimJacker, находится в программном обеспечении SIMalliance Toolbox Browser (S@T Browser), встроенном в большинство SIM-карт, которые используются мобильными операторами как минимум в 30 странах мира. Злоумышленники могут прибегнуть к ней независимо от марки устройства жертвы. По словам специалистов, этот эксплойт успешно используется хакерами последние несколько лет. Они зафиксировали реальные атаки на устройства практически всех производителей, включая Apple, Samsung, Google, HUAWEI и других. Взлому подвержены даже гаджеты интернета вещей с SIM-картами.
S@T Browser представляет собой приложение, которое устанавливается на SIM-карты, в том числе и на eSIM, как часть SIM Tool Kit (STK), и предназначено для того, чтобы мобильные операторы могли предоставлять своим клиентам разные базовые услуги. S@T Browser содержит ряд инструкций STK, таких как отправка сообщений, настройка звонков, запуск браузера, предоставление локальных данных, запуск по команде и отправка настроек, которые могут быть активированы сообщением.
Используя GSM-модем за 10 долларов, злоумышленники могут отправить на аппарат жертвы поддельное сообщение, содержащее вредоносный код. Это позволяет им:
• Получить местоположение целевого устройства и его IMEI
• Распространять любую информацию путём отправки поддельных сообщений от имени жертв
• Совершать звонки на платные номера
• Шпионить, приказав устройству позвонить по номеру телефона злоумышленника
• Загружать вредоносные программы, заставляя браузер устройства открывать вредоносные веб-страницы
• Получать информацию о языке на устройстве, заряде аккумулятора и т. д.
Во время атаки пользователь совершенно ничего не подозревает. Отличием SimJacker от других способов получения информации о местонахождении жертвы заключается в возможности выполнения действий, указанных выше. Эта атака также уникальна тем, что её не может определить антивирусное ПО, поскольку она содержит ряд инструкций, которые SIM-карта должна выполнять.
Все технические подробности этой уязвимости будут опубликованы в октябре этого года. По словам исследователей, одной из главных причин её существования сегодня — использование устаревших технологий в SIM-картах, спецификации которых не обновлялись с 2009 года. Специалисты уже сообщили о своём открытии в Ассоциацию GSM.
Источник: http://4pda.ru/2019/09/14/361610
Как удалить из Google информацию о себе
Google следит за нами, и это уже давно ни для кого не секрет. Следит как за нашим местоположением, так и за всеми действиями в интернете. Вы наверняка могли заметить, что стоит поискать в Сети информацию о каком-либо продукте или прочитать о нём статью, как вам тут же покажут соответствующую рекламу на YouTube. Если бы Google не собирала данные о своих пользователях, реклама не была бы персонализированной и, следовательно, просто не работала.
С одной стороны, кажется, что ничего плохого во всём этом нет. Ну собирает Google данные о нас, что же теперь, не пользоваться сервисами компании? Ведь благодаря этому ваше нахождение в интернете становится интереснее и полезнее: вам советуют то, что, скорее всего, вас заинтересует. Но если вспомнить недавний инцидент с индексацией Google Docs, закрадываются сомнения: а не сможет ли кто-то кроме Google получить данные о том, где вы живёте и чем увлекаетесь? Гарантий нет, так что стоит самостоятельно позаботиться о себе.
Что Google известно о вас
Первое и самое важное – это ваша геолокация. С помощью неё Google может отслеживать и записывать ваше местоположение, а уже на основе этих данных предлагать вам персонализированную рекламу. Вы можете перейти по ссылке и убедиться, что Google помнит даже те места, о которых вы, возможно, уже и сами забыли. В левом верхнем углу можно выбрать любую дату, и на карте будет показано, где вы были, во сколько и даже на каком транспорте передвигались.
Google хранит не только ваши поисковые запросы, но и список статей, что вы прочитали, профили людей в социальных сетях, страницы которых вы посещали. Убедитесь сами, перейдя по этой ссылке.
Данные о ваших контактах, ваши планы в календаре, будильники, приложения, которыми вы пользуетесь, ваши музыкальные предпочтения и даже уровень заряда аккумулятора – ещё один перечень данных о вас, которые Google собирает для показа более релевантной рекламы. Список всех данных можно посмотреть здесь.
Если вам знакома фраза «Окей, Google», поздравляем: ваши голосовые команды для управления смартфоном, а также голосовые поисковые запросы сохранены на серверах Google. Вы можете их прослушать, пройдя по этой ссылке. А если случится утечка данных, то, возможно, не только вы.
Для Google основная цель сбора данных о пользователях – персонализация рекламы, ведь именно на этом компания зарабатывает деньги. Вы можете узнать, что о ваших интересах и предпочтениях известно рекламодателям, и наконец избавиться от назойливой рекламы продукта, который вы когда-то по нелепой случайности решили найти в интернете.
Если вы пользуетесь смартфоном на Android, возможно, ваши фотографии и видео уже хранятся в облачном хранилище Google, а вы об этом даже не знаете, потому что автозагрузка могла быть включена по умолчанию. Не спешите удалять приложение Google Photo – это не исправит ситуацию. Все ваши фотографии продолжат улетать в облако и в случае утечки данных могут оказаться в открытом доступе. Google сама написала инструкцию о том, как отключить автозагрузку фотографий и видео на разных устройствах.
Вы замечали, как много ресурсов вашего компьютера съедает Google Chrome? Браузер собирает о вас данные и работает фоном даже после полного закрытия, а также хранит ваши файлы cookie. Как и для чего Google использует эти файлы, вы можете узнать здесь. Если вы не хотите, чтобы вкладки продолжали работу в фоновом режиме, перейдите в настройки браузера Chrome и в пункте «Система» уберите галочку напротив «Не отключать работающие в фоновом режиме сервисы при закрытии браузера». Это доступно только для Windows-версии, у пользователей macOS такого пункта в Chrome нет. Если вам нужно отключить сбор данных о вас и использование файлов cookie, внизу страницы нажмите на кнопку «Дополнительные настройки», перейдите в «Настройки контента» и отключите всё то, что не хотели бы рассказывать о себе и своих действиях.
Как удалить все данные о себе и запретить их дальнейший сбор
Для начала вам следует перейти по этой ссылке и отключить сбор тех данных, которые вы не хотите передавать Google и рекламодателям. Все пункты собраны в одном месте, что очень удобно.
Затем нужно удалить те данные о вас, которые ранее уже были собраны. Для этого перейдите по следующей ссылке, укажите период (для удаления сразу всех данных можно выбрать пункт «Всё время»), выберите сервисы по одному или сразу все сервисы Google и смело нажимайте на кнопку удаления.
Изменить ваше имя, дату рождения и другие личные данные вы можете здесь.
Также, если вы не используете Google Pay для бесконтактной оплаты покупок и не покупаете приложения в Google Play, проверьте, не хранится ли в Google ваша платёжная информация, которую тоже можно удалить.
PS4 Взломана версия 5.05
Хакер под ником Spectre выпустил исходный код программы взлома PlayStation 4 с прошивкой версии 5.05. Об этом он заявил в Twitter.
Отмечается, что взлом полностью открывает доступ к файловой системе консоли. Также он позволит запускать на ней сторонние приложения, вроде эмуляторов консолей прошлого поколения. Это также позволяет обойти антипиратскую защиту и запускать пиратские игры.
Взлом основан на уязвимости ядра системы, найденной хакером Qwertyoruiopz.
На данный момент актуальная версия ОС PS4 — 5.55.
В Сети уже можно найти несколько реализаций взлома и получения образа игры с диска. Судя по комментариям, не все из них работают должным образом, но положительный результат наблюдается часто.
В январе этого года хакеры заявили об успешном взломе PS4 с прошивкой версии 4.05, а также смогли запустить удаленную из магазина Sony игру P.T. Также на взломанной приставке удалось запустить Horizon: Zero Dawn, которая требует более поздней версии системы. До этого взломать удавалось лишь PS4 с версией 1.76.
Подросток заработал 36 тысяч долларов благодаря уязвимости в Google
Уругваец Эсекьель Перейра получит от Google более 36 тысяч долларов в награду за найденную уязвимость, которая могла ставить под угрозу внутренние системы компании
Это уже пятая и самая «прибыльная» уязвимость, найденная подростком в рамках инициативы компании по выявлению ошибок в ее ПО.
Перейра начал программировать в 11 лет, он самостоятельно выучил несколько языков программирования и участвовал в нескольких соревнованиях по программированию. В одном из них подросток выиграл поездку в штаб-квартиру Google в Калифорнии. Первый найденный баг принес ему 500 долларов, после чего он вошел в азарт и решил продолжить поиски, которые в итоге увенчались успехом.
Последнюю уязвимость Перейра нашел в начале этого года, но рассказать о ней остальному миру компания разрешила только недавно — после того как устранила опасность. На полученные деньги он планирует окончить один из американских вузов и получить степень магистра информатики, а также помочь матери оплатить счета.
Помимо Google, аналогичные программы денежного поощрения за найденные уязвимости имеют другие технологические гиганты и компании-разработчики видеоигр. Считается, что хакерам будет выгоднее сообщать о багах, а не использовать их для вредоносных атак.
Про взлом сайта
Вспомнил историю, хочу поделиться. Может кому то интересно, что значит «взлом сайта» и как это делают.
Однажды мне позвонил какой-то паренек.. 17 лет ему было. И представился как человек, взломавший мой сайт.
И действительно, парень вывел на свой кошелек все деньги с кошелька сайта. Он их мне вернул и рассказал про уязвимость.
К тому времени я уже забросил этот сайт.. Больше года им не занимался, и решил просто отдать его тому парню. Он согласился, но видимо ему сайт быстро надоел и уже через пару месяцев он перестал существовать.
Google развивает открытую замену прошивкам UEFI
Рональд Минних (Ronald Minnich), основатель проекта CoreBoot, выступил на конференции LinuxCon с докладом, в котором рассказал о развиваемом компанией Google открытом проекте NERF (Non-Extensible Reduced Firmware). В рамках NERF предпринята попытка разработки прозрачной и открытой замены прошивкам UEFI, в основе которой использовано ядро Linux и урезанное программное окружение. Конечной целью является предоставление средств для замены или отключения всех прослоек, выполняемых вне основной операционной системы, и блокирование любой связанной с UEFI, SMM и Intel ME фоновой активности.
NERF также рассчитан на снижение векторов возможных атак, расширение возможностей по контролю за активностью прошивок, исключение излишней функциональности (например, TCP-стек и web-сервер), удаление встроенных механизмов обновления в пользу обновления из базового Linux-окружения. В состав NERF входит избавленный от блобов упрощённый вариант прошивки для Intel ME (Management Engine), урезанная прошивка для UEFI, код для отключения SMM, ядро Linux, образ initramfs c системой инициализации и инструментарием u-root, написанными на языке Go.
В прошивке для Intel ME оставлены только компоненты для начальной инициализации CPU, все остальные модули удалены при помощи инструментария me_cleaner (прошивка сокращена с 5 Мб до 300 Кб). Код обработчиков SMM (System Management Mode) также отключен и переведён на обработку прерываний SMI через ядро Linux. Прошивка для UEFI переведена на использование ядра Linux, наработок CoreBoot и инструментария u-root.
Таким образом, в u-root все утилиты предлагаются в исходных текстах, а для адаптации инструментария требуется лишь настройка компилятора. Компиляция занимает доли секунды и не приводит к ощутимым задержкам при вызове. Подобный подход позволяет сделать образ u-root универсальным и распространять единый образ корневой ФС для всех платформ, поддерживаемых компилятором языка Go (для каждой новой архитектуры требуется лишь подготовить 4 исполняемых файла, в одном образе могут содержаться сборки компилятора для разных архитектур). Дополнительно предусмотрены варианты c компиляцией всех утилит во время загрузки или поставки готовых сборок (для минимизации размера прошивки все утилиты могут быть собраны в один исполняемый файл, по аналогии с busybox).
В частности, ресурс WikiLeaks в этом году раскрыл сведения о разработке в ЦРУ имплантов для контроля за системой, внедряемых в прошивки UEFI. Современные прошивки сильно усложнены и включают многие атрибуты обычных ОС, включая TCP-стек, http-сервер, DHCP, драйверы, файловые системы и web-интерфейс. С учётом значительного размера кодовой базы прошивок UEFI, которая составляет около 2 млн строк кода, и недоступностью кода прошивок для независимого аудита, также возникают опасения о наличии в прошивках большого количества неисправленных уязвимостей.