До нынешних (так называемых шведских спичек) спичек были известны фосфорные(на белом фосфоре) спички, которые загорались от любого трения и не требовали коробка. Как ни странно, это оказалось минусом, фосфорные спички могли загореться даже от трения друг от друга или об любой предмет, так что их перевозка и переноска были затруднены. Последней каплей в истории фосфорных спичек оказалось то, что пары белого фосфора не имеют запаха, но при этом ядовиты. Поэтому сперва белый фосфор в составе спичечных головок
был заменен на красный, а потом и вообще стали делать головки спичек бесфосфорными. Красный фосфор остался на боковине коробка, именно он и дает при чирканьи искру, от которой загорается головка спички. Но автор видео показывает как можно зажечь спички без коробка за счет трения
Читать запись полностью, смотреть видео и комментировать здесь
Две презентации на хакерской конференции Defcon были посвящены «умным» замкам. Таковыми авторы презентации считают замки, управляемые с помощью смартфона, чаще всего поBluetooth. Общий результат неутешителен, эти замки удобные в использовании (например они могут автоматически отпирать дверь, когда владелец со смартофоном в кармане и грузом в руках подходит к двери), но пока недостаточно надежные. В тестах, проведенных Anthony Rose и Ben Ramsey из 16 исследованных замков устояло перед хакерами 12.
Общая же беда нестойких замков — их производители рассматривают замок как гаджет а не как устройство безопасности и, видимо, просто не имеют опыта работы с замками. Отсюда и прямая трансляция своих данных в эфир, что делает замок уязвимым квардрайвингу и передача паролей по публичной радиочастоте незашифрованными и использование статического пароля (даже если
он зашифрован, достаточно его записать и повторить, чтобы открыть замок (Replay attack)).
Особое беспокойство вызвал замок от Quicklock, который позволяет удаленно сменить пароль администратора и запереть замок так, что владельцу надо вскрыть замок изнутри помещения и вытащить батареи. Если же владелец помещения подвергся такой атаке снаружи, ему придется взламывать дверь.
Прошли тестNoke padlocks (навесной замок), Masterlock padlocks (навесной замок), August Doorlock и Kwikset kevo doorlock (правда последний не устоял перед механическим инструментом, но это был тест на прочность перед хакерами, а не обычными взломщиками ).
Из 12 не прошедших тест замков, только 2 производителя связались с хакерами для уточнения причин взлома и один — August Smart Lock сообщил о решении проблемы.
Читать запись полностью и комментировать здесь
Интересная заметка о применении так называемыхStingRay, устройств для перехвата трафика сотовой телефонной сети, отслеживания местоположения и манипуляции телефонами пользователей(IMSI-Catcher) . ХотяStingRay от компанииHarrisявляется не единственным таким устройством (можно вспомнить Dirtbox от Digital Receiver Technology), но имя StingRay стало нарицательным, как ксерокс для копиров и джип для автомобилей повышенной проходимости.
Конкретные технические характеристика таких устройств могут сильно отличаться, как и их комплектация, поэтому те возможности, о которых здесь упоминается относятся ко всему классу устройств, но могут отсутствовать у конкретногоIMSI-Catcher.
Впервые такие устройства видимо были разработаны и применены в середине 90 годов, но первые публичные сведения о них появились в 2006 вStanford student newspaper (студенческая газета). В 2010 году подобные устройства и их использование правительственными агентствами были упомянуты на хакерской конференцииDefCon.
Основа работы устройств типаStingRay — они выдают себя за вышку сотовой связи.Дело в том, что по умолчанию сотовый телефон подключается к вышке с максимальным сигналом.StingRay может заставить телефон считать, что как раз у него максимальный сигнал (для этого, естественно надо находиться достаточно близко к атакуемому телефону).
StingRay может собирать электронные идентификаторы телефоновIMSI и ESN, отключать телефоны в радиусе своего действия от обслуживания, осуществлять определение местоположения атакуемого телефона, контролировать телефон с конкретным IMSI и анализировать сигналы сотовой вышки, глушить сотовую связь полностью или выборочно (например только высокоскоростной Интернет). Собственно, простые версии просто отключают все сотовые телефоны в радиусе своего действия от обслуживания на время поиска нужного телефона.
Более продвинутые версии StingRay могут реализовывать хакерский прием «человек посередине», организуя транзитный пункт (прокси) между сотовым телефоном и настоящей вышкой сотовой связи. Это позволяет перехватывать SMS , вынуждать атакуемый телефон переходить на стандарт связи 2G(со слабым шифрованием), прослушивать разговоры атакуемого телефона. Хотя в сотовой сети все разговоры, как правило, шифруются StingRay может заставить атакуемый телефон перейти на более слабый протокол шифрования,
дешифровать ключ конкретного устройства и затем прослушивать его уже в режиме обычного шифрования (ключ шифрования один и тот же для разных протоколов шифрования, он хранится на sim-карте телефона и у провайдера)
Отдельно следует остановиться на определении местоположения атакуемого телефона. В принципе можно это сделать и через обычного оператора сотовой связи, но для этого нужно два условия — судебное разрешение и сеть вышек.StingRay обычно применяют, чтобы быстро найти телефон, обойдя судебные процедуры. Так же для определения местоположения нужна несколько телефона вышек (ведь вышки неподвижны). АStingRay можно возить на машине и определить местоположение методом триангуляции, как вохоте на лис.
О ценах наStingRay можно получить представление по этой ссылке. Как видно цены отдельных компонентов являются пятизначными, полный же комплект может стоить более ста тысяч долларов, также недешево и обучение операторов дляStingRay (это понятно, учитывая его
возможности).
Юридически его использование находится в серой зоне. Правозащитник утверждают, что большинство случаев использованияStingRay незаконно, но сами эти случаи не афишируются и закрыты многочисленными соглашениями о неразглашении. По последним данным такими устройствами пользуются, помимо полиции, множество правительственных агентств типа ФБР, АНБ и даже налоговой службы IRS.
Читать запись полностью и комментировать здесь
