Постараюсь без долгих рассуждений, сразу к делу. Привет, я mobilz, и в своё время я уже "сливал" некоторые исходники Яндекса в том числе. Предварительно, конечно, предупредив их. К текущим событиям я не имею отношения, но у меня есть мысли, которыми я хочу поделиться.

Во-первых, это звиздец. Это не первый слив, но, наверно, самый крупный. Если бы такое произошло с моими проектами, я бы сел в углу, обняв колени, и долго плакал.
Во-вторых, это лучшее, что произойдёт с русским ИТ в этом году. Такого роста, как в этом году, мы не увидим ещё долго.

https://habr.com/ru/post/713402/?utm_source=habrahabr&utm_medium=rss&utm_campaign=713402

История в двух частях. В первой мы расскажем о первых неудачных попытках болгарского ИТ-специалиста Радослава Герганова взломать свой автомобиль Hyundai Tucson 2020 года выпуска, а во второй — о том, как выполнялся взлом ШГУ автомобиля.

Я купил новенький Hyundai Tucson в 2020 году, а в 2022 году наткнулся на отличную серию постов о том, как можно взломать Hyundai Ioniq 2021 (перевод одной из статей). К сожалению, описанные там способы мне не подошли. В моей машине установлено D-Audio, которое сильно отличается от следующего поколения D-Audio 2V, описанного в блоге greenluigi1.

https://habr.com/ru/post/712264/?utm_source=habrahabr&utm_medium=rss&utm_campaign=712264

Если вы приобретали новый автомобиль в последние несколько лет, то велика вероятность, что в нем есть хотя бы один встроенный модем, который нужен для разных полезных функций вроде удалённого прогрева автомобиля, самодиагностики, которая предупреждает о сбоях до того, как они произойдут, и всевозможных опций безопасности.

Автопроизводители активно используют электронику в своих новых моделях. Но, как показывает исследование охотника за ошибками и штатного инженера по безопасности Yuga Labs Сэма Карри, в электронных системах есть масса уязвимостей, которые позволяют отслеживать и даже контролировать некоторые автомобили, включая машины экстренных служб.

https://habr.com/ru/post/710906/?utm_source=habrahabr&utm_medium=rss&utm_campaign=710906

До нового года осталась всего ничего, а значит, пора подвести итоги и вспомнить самые интересные, важные и странные события последних двенадцати месяцев, о которых мы писали на Xakep.ru. Мы выбрали «призеров» в десяти номинациях и расскажем о наиболее заметных атаках, взломах, утечках, фейлах и других событиях уходящего 2022-го.

https://habr.com/ru/post/708710/?utm_source=habrahabr&utm_medium=rss&utm_campaign=708710

В этой статье я расскажу вам о том, как ровно год назад я связал в цепочку несколько проблем безопасности для достижения Удаленного выполнения кода (RCE) на нескольких серверах компании VK. Я постарался описать свои шаги в подробностях, так как мне самому, как постоянному читателю отчетов по баг-баунти, всегда хочется понять, как исследователь мыслит во время обнаружения необычных уязвимостей. Надеюсь, для вас эта статья будет интересна.

https://habr.com/ru/post/708384/?utm_source=habrahabr&utm_medium=rss&utm_campaign=708384

Меня зовут Максим Кульгин, и моя компания clickfraud занимается защитой от скликивания рекламы в «Яндекс.Директ». Каждый раз, когда мы публикуем статью, и если она вдруг становится более-менее популярной, начинается атаки на наши сайты. Атаки не профессиональные, бессмысленные, но неприятные и мы, на основе опыта, подготовили очень большое руководство для самостоятельно защиты.

upd. от 17.12 - наши сайты снова мучают. Сотня тысяч заявок на сброс пароля WordPress, которые забивают почтовые ящики и почтовый сервер. И где у нас нет рекапчи - сотня тысяч заявок из формы обратной связи.... Автор этого дерьма - скажи, зачем? У нас не банк, не крипта - ЗАЧЕМ? Ты недавно стал половозрелым и хвастаешься соседям по парте в школе? В чем сакральный смысл действий? Если мы платили за тариф по пакету писем, понесли бы финансовый ущерб (у нас свой hmailserver).

https://habr.com/ru/post/706520/?utm_source=habrahabr&utm_medium=rss&utm_campaign=706520

Итак, это то самое время года, друзья. Да, пока мы тут, в декабре, движемся к 2023 году, пришло наконец время посмотреть на крупнейшие (читай: наихудшие, самые плачевные, самые нелепые) случаи взлома в уходящем году.

https://habr.com/ru/post/706154/?utm_source=habrahabr&utm_medium=rss&utm_campaign=706154

Хакеры взломали архив главы Генштаба ВСУ с данными о пропавших без вести украинских военных







Самое страшное для президента Украины Владимира Зеленского и его команды – это даже не наступление российских войск, а информация. Которая не искажена его штатными "ртами вранья" Арестовичем и Подоляком, а настоящая, честная и правдивая. Не зря же Банковая запретила не только фото- и видеосъемку прилетов российских крылатых ракет, а сейчас отчитывается об очередных перемогах украинской ПВО – все равно не проверят. Как, например, сегодня в Киеве, где прогремели, минимум, 4 взрыва, а Зеленский доложил, что "все "герани" были сбиты доблестными захисниками".



Но еще большая торпеда в тонущий корабль Зеленского – информация о количестве этих самых погибших "захисников". Как же Киев взлетел под потолок, когда Урсула фон дер Ляйен случайно рассказала про 100 тысяч погибших. Буквально начали брызгать слюной во все стороны.



- Неправда! – визжал Миша Подоляк, дескать, погибли всего около 13 тысяч "военов света"



- Неправда!, - ярился Зеленский, мол цифра погибших с украинской стороны едва превышает 9 тысяч человек. Натиск был столь яростен, что Урсула немедленно сдалась, а ее помощники мало того, что сообщили об использовании их шефиней некорректных данных, так еще и извинились за нее. Кстати, сама она извиняться не стала.



И невозможно с ними не согласиться хотя бы в одном – конечно, неправда, потому что реальное количество погибших солдат и офицеров ВСУ гораздо выше озвученной главой Еврокомиссии цифры.

Всем привет! С уходом осени по традиции подводим итоги ноября в подборке самых ярких инфобез-новостей прошлого месяца. Сегодня у нас в программе пара сервисов с многолетней историей, по чью цифровую душу нагрянуло ФБР, громкие аресты видных фигур двух крупных киберпреступных группировок, а также, само собой, наиболее примечательные взломы из финального аккорда осеннего сезона. За подробностями добро пожаловать под кат!

https://habr.com/ru/post/703840/?utm_source=habrahabr&utm_medium=rss&utm_campaign=703840

История о том, как школьники нашли глупейшую ошибку в production версии электронного журнала г. Москвы и построили на этом бизнес.

https://habr.com/ru/post/702104/?utm_source=habrahabr&utm_medium=rss&utm_campaign=702104

Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской сцены, включая ключевого разработчика Racoon Stealer, чудесным образом всплывшего в Нидерландах после новостей весной о его преждевременной гибели. За подробностями добро пожаловать под кат!

https://habr.com/ru/post/697786/?utm_source=habrahabr&utm_medium=rss&utm_campaign=697786

А вы знали что пароль из шестнадцати букв считается не взламываемым? И что дороже: сервер или информация, которая хранится на нём (или хранилась)? Поэтому я решил написать короткую, но возможно, очень полезную для многих статью, особенно если Вы только начинаете работать как системный администратор. Потому что когда речь идёт про выход из строя компьютерного оборудования чаще всего наибольшие потери связаны не с потерей самого оборудования, а именно с потерей хранимой информации, но даже в случае налаженного резервного копирования нарушение работы компьютерных систем в любом случае означает простой минимум один день пока проходит восстановление работы оборудования. Совет изменить стандартный порт RDP 3389 на какой-нибудь другой уже не актуален несколько лет: различные программы, те же zmap/nmap позволяют просканировать все IP адреса в сети Интернет в течение суток и выяснить какие порты открыты на вашем устройстве. Дальше запускается стандартный перебор паролей, так называемый брут-форс. В случае использования стандартного логина Администратор – это лишь вопрос времени когда начало рабочего дня начнется с чтения сообщения «Ваши данные зашифрованы, переведите на криптокошелек 500$» (в отдельных случаях это сообщение можно увидеть в течение месяца).

https://habr.com/ru/post/694776/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694776

В 2020 году наша школа пользовалась для онлайн-обучения несколькими платформами. Профессора и учителя давали домашние задания с её помощью. А я, ленивый разраб, очень хотел проводить больше времени за играми и программированием, особенно когда все сидели по домам из-за локдауна. Я начал писать этот пост в январе 2022 года, но долго откладывал публикацию. С тех пор прошло много времени, так что, пожалуйста, откиньтесь в кресле и наслаждайтесь — к старту курса SkillFactory «Белый хакер».

https://habr.com/ru/post/693328/?utm_source=habrahabr&utm_medium=rss&utm_campaign=693328