Search for:
Ahududu Pi Kötü Amaçlı Yazılım Madenleri Bitcoin

Rus Güvenliği ve Güvenlik Sitesine göre [Dr.Web], Linux.muldrop.14 Striking Raspberry Pi bilgisayarlarına göre yeni bir kötü amaçlı yazılım var. Ayrı bir ilan içerisinde, saha Linux.Muldrop.14 dahil olmak üzere iki farklı PI tabanlı trojanı inceler. Trojan’ın PI’nizi Mayın Bitcoins’e bir çeşit kriptokurrenlik için kullandığını. Diğer Trojan bir proxy sunucusu kurar.

Siteye göre:

Linux Trojan, GZIP ile sıkıştırılmış ve baz64 ile şifrelenen bir madencilik programı dahil bir bash betiğidir. Bir kez başlatıldığında, komut dosyası birkaç işlemi kapar ve çalışması için gerekli kitaplıkları yükler. Ayrıca Zmap ve SSHPass’ı da yükler.

“Pi” to “\ $ \ $ U1NU9QCP \ $ fHPUO8S5PSQLH6LWUDTWFCAUPNZMR0PWCDNJJ.P6L4MZI8S867YLMC7BSPMEH95POVPQPQ3PZP029YT1L3Yİ6K1’e” \ $ U1NU9PSCCSP6LWUDTWFCAUTS86SMRYMC7BSPMEH95L3YISE6K1’e kadar olan kullanıcının şifresini değiştirir.

Ek olarak, kötü amaçlı yazılım, 22 açık bağlantı noktasına sahip ağ makineleri arar ve kendisini yaymak için varsayılan ahududu PI kimlik bilgilerini kullanarak giriş yapmayı denerler.

Gömülü sistemler, bilgisayar korsanları için özellikle davetkar bir hedeftir. Bazı durumlarda, izleyecekleri veya kontrol ettikleri fiziksel sistemin değeri içindir. Diğerlerinde, diğerlerine, spam veya – Bitcoin madenciliği için hizmet saldırılarının reddedilmesi için kullanılabilecek hesaplama gücüdür. Ahududu Pi Botnet’inizin madencilik alanında ne kadar büyük olması gerektiğini merak ediyoruz?

Umarız PI’nizde varsayılan şifreleri saklamamıştır. Aslında, önceki rehberliklerimizi aldığınızı ve iki eleman kimlik doğrulamasını başlatmanızı umuyoruz. SSH portunu değiştirmek, Fail2ban’ı çalıştırın veya bağlantı noktası çalmayı çalıştırın gibi başka şeyler de yapabilirsiniz. Tabii ki, Windows dosyalarını ve yazıcıları paylaşmak için SAMBA kullanıyorsanız, bu güvenlik açığını da okumalısınız.

FUBARINO Yarışması: Vizyon Saatinin Kalıcılığı

Bu yarışmaların en iyi kısmı, insanların üzerinde çalıştıklarını gerçekten gösteremeyeceğimizdir! [Taciuc] tarafından gönderilen POV saatini inceleyin. Bunun için bir web sitesi yok, ancak mola sonrası görebileceğiniz bir video gönderdi.

İş, uzun bir satır veya yüzey kurulum LED’lerine sahip bir ev-kazınmış PCB’dir. Tahta, stabilize ederken biraz süren bir step motor tarafından bükülür. Ancak ne zaman bu bir twirling awesomeness bir paket. Bir resim 16F628, aygıtları zaman tutmak için ayrı bir RTC yongasıyla sürer. Bireysel kontrolü kolaylaştırmak için aynı şekilde bir IR alıcı var. URL’miz, her zaman gösterdiğine inanıyoruz. Ancak, kodun kendisinde bir Paskalya yortusu var. Firmware’i çipten terk etmeye çalışırsanız, Web adresimizi HEX çıkışında göreceksiniz. İşte on altıgen, ASM’nin yanı sıra diptrace şemasını istiyorsanız iş arşivi.

Bu, Mikroçip’in ödüller olarak ortaya çıktığı 20 FUBARINO SD panolarından birinde bir olasılık için FUBARINO yarışmasında bir giriş!

5 $ Ahududu Pi Sıfır

yeni bir Ahududu PI hakkında söylentiler, son hafta boyunca web üzerinden dolaşıyor. KONJE, yükseltilmiş bir tasarıma sahip bir tasarımdan, Gigabit Ethernet, USB 3.0, SATA’nın yanı sıra, henüz üretimde bile olmayan bir CPU ile bir Canavar Kurulu’ndan bir canavar tahtasına kadar değişti. Zaman şimdi ve orijinal haberlerin yanı sıra daha da ilginçtir: 5 dolarlık ahududu pi sıfır. Henüz en küçük PI, hala çekirdek deneyimi tutarken.

Son aylarda, küçük Linux Kurulları, yenilikçenin yürüyüşüne ve daha az pahalı olduğu kadar daha yetenekli olmaya başlamıştı. Bunun en saf ifadesi, tam olarak ne kadar uygun olduğu için dalgaları yapan 9 dolarlık tek kurulu Linux bilgisayar. Ahududu pi sıfır bile daha ucuzdur, yanı sıra özellik sayfasına bakarak daha da yeteneklidir.

Ahududu Pi sıfırının çekirdeği BADCOM BCM2835’dir – orijinal ahududu PI’da keşfedilen çipte aynı sistemdir. Bu sefer, 1GHz’de koşuyor, – Raspberry PI’dan% 40 daha hızlı bir şekilde.

Magpi’nin Aralık sorunu, kapakta bir pi sıfır içerir.
Böyle küçük bir tahtaya inşa etmek, Raspberry Pi Vakfı’nın sıfırdan birkaç bağlantıdan kesilmesi gerektiğini kastediyordu. Ethernet ve PI Design B +’da keşfedilen USB bağlantı noktalarının dörtlüsü de gitti; Onları koymak için hiçbir yerde var. Bunun yerine, PI SISH, bir mini-HDMI soketinin yanı sıra iki mikro USB bağlantı noktası, biri güç için yanı sıra USB OTG için bir tane daha içerir. Kompozit video popüler olmayan bir başlıkta kalır, ayrıca depolama bir microSD kart yuvası ile birliktedir.

Ahududu PI’nin serbest bırakılmasından bu yana, DeFacto Small Linux bilgisayar olarak sona erdi. Tahtına birkaç yarışmacı, en büyüleyici olan en küçük olanı ile göstermiştir. Ahududu Pi Compute modülü başarılı olmasa da, Odroid-W gibi çok sayıda küçük tahta gördük ve ayrıca Carambola’nın yöntemlerini en havalı projelere keşfetti. Bunun bir kısmı, bu modüllerin boyutudur, bu modüllerin bir şey haline gelebilmesi büyük bir bonusdur. Sadece 5 dolarlık bir maliyetle – yanı sıra 20 ABD doları olmayan, C.H.i.p. için eleştirildi – pi sıfır çok, çok belirgin bir tahta olacak.

Ahududu Pi sıfır, normal satıcılardan – Element14, PI HUT, Pimoroni, Adafruit ve Micro Center’dan sunulmalıdır – bugüne kadar. Magpi’ye bir üyeliğiniz varsa, Resmi Raspberry Pi Dergisi, Şansındasınız: Aralık problemi, kapağın üzerinde bir pi sıfır içerecektir.

ESP32 Küçük Robot Paketleri Sensörler ve 4WD

[Stefan] ‘ın Küçük WiFi / BLE 4WD Robot Platformu (Yukarıdaki bir kibrit kutusunun yanında görülür), küçük bir rover içine ödenmemiş bir yetenek sunar. Projenize kablosuz kontrolü eklemenin çok kompakt bir yolu olan Sparkfun ESP32 şeyine dayanır. Bunu bir WiFi kalkanı ile büyük eski uno ile karşılaştırın, bu panolar, küçük ama güçlü ve Arduino hayranları için kolay bir evlat edinmedir.

[STEFAN] Robotu, oryantasyonu, bir APDS-9930 yakınlık sensörünün yanı sıra alttaki dört CNY70 IR yakınlık sensörünü tanımlamak için bir BNO055 modülü ile be edilir. Bir çift 6 V motoru robotu yeniden yerleştirme, bir DC-DC adım yukarı dönüştürücü ile Lipo’nun 3.7 V’unu arttırır. Hepsi orada rahatça doludur.

Robotun arkasındaki konsept, gerektiği gibi özelleştirilebilecek genel bir platform olması ve [Stefan] bir kameranın yanı sıra bir lego dart silahı olan sürümleri var. Robotun kodu GitHub’da bulunur ve özel 3D baskılı şasi işte yanıyor.

ESP32 projelerini seviyorsanız, Canavar Kurulu’na ve son zamanlarda gönderdiğimiz Hamster Tracker’ı kontrol ettiğinizden emin olmalısınız.

VGA mesaj panosu bir bilgisayar olmadan SMS görüntüler

[ACHU WILSON’S] En son oluşturma, SMS metin mesajları aracılığıyla yazılan bir VGA mesaj panosudur. Bu, ilk başta çok ilginç gelmiyor, bunu bir PC’den ziyade bir mikrodenetleyici ile yaptığını öğrenene kadar. Karmaşıklıkların tümü VGA’yı kullanan kodda. 8 bitlik bir mikrodenetleyici kullanırken herhangi bir jitter olmadan yapmayı başardı.

Ama önce, şeylerin hücresel tarafı. Bir GSM modemi bağlantı ile ilgilenir. Modem [ACHU] ile iletişim kurmak için bir ATMEGA8 kullandı. O, çok daha küçük bir UC’yi kullanabilecekleri, bir dışkı gibi, ama bu dolaştığı şey budur. Bir mesaj alındığında, ATMEGA8 karakterleri VGA monitörünü kullanan bir ATMEGA16’ya besler. Bir renk gösterimi çalıştırmak için gereken analog voltajlarla uğraşmak yerine, üç renk çizgisini bir araya getirir ve bunları mikrodenetleyici pimlerinden birinden geçirir. Bu, voltaja veya voltaja karşılık gelen beyaz ve siyahla sonuçlanır.

Mola sonrası sistemin sistemden çıktığını görebilirsiniz.

Tersine Mühendislik Monoprice Yazıcı

MPOM MP Mini 3D yazıcıyı seçtiğinde, geçen yıl serbest bırakıldığında, bir oyun değiştiriciydi. Bu, 200 $ ‘lık bir yazıcıydı, evet, ancak aynı şekilde o kadar açık olmayan bir sır tuttu: Bir 3B yazıcı denetleyicisi kurulu, UI’yi kullanan bir ESP8266 ile 32 bit bir kol mikrodenetleyiciyle güçlendirilmeden önce hiç kimse görmedi. Bu, 3D baskı dünyasında bir oyun değişen elektronik setidir ve şimdi, sonunda birileri tersine mühendisliktir.

[Robin], bir osiloskopun lidünü birincil denetleyici ile arasındaki seri çizginin yanı sıra ekran kontrolörü de ekleyerek tersine başladı. Baud oranı garip (500 kHz), ancak bunun dışında, komutlar insanoğlu metinde kolayca görünür. MP Mini Yazıcıda geliştirilen bir web sunucusu var ve ayrıca bu yazıcının servis ettiği web sayfasını kontrol ettikten sonra, [Robin], doğrudan denetleyici kartından G-Kodu göndermenin mümkün olduğunu keşfetti, veri listesi alın SD kartta, bir 3D yazıcı ile ne yapmak isterseniz yapın.

Ekran kartındaki devreyi çıkarmadan sonra, [Robin], böyle bir basit karttan beklediğiniz şeyleri kesin olarak keşfetti: bir ESP tarafından sürülen bir SPI ekranı yanı sıra yana oturan büyük bir flaş çipi. [Robin] Ekranın tasarımını keşfetti ve ayrıca LCD’ye metin çekmek için Platform.io’da bir iş geliştirdi. Bu işin sonu değil – bu yazıcı özel ürün yazılımı olan parçaları fışkırtma işleminden önce yapılması gereken çok şey var.

Bu, MP mini içindeki sürücü kartının bir hack değilken, bu gerçekten bir sorun değil. Bu yazıcın motor sürücü kartı, bu yazıcının geçen yıl serbest bırakıldığı zamanın önünde olduğu gibi, her türlü değişikliği gerçekten zorunlu değildir. Tıpkı çoğu şey gibi, UI zayıf noktadır, ayrıca üretici yazılımını yükseltmenin yanı sıra bu yazıcı için yerleşik web sunucusu yanı sıra öne en iyi yöntemdir.

[Robin], tam olarak bu ekran denetleyicisini tam olarak nasıl tersine çevirdiğini tam olarak olağanüstü bir video koyun. Bunu aşağıda inceleyebilirsiniz.

IMAGINARY AC CIRCUITS AREN’T really complex

If you have ever read advanced textbooks or papers about electronics, you may have been amazed to see the use of complex numbers used in the analysis of AC circuits. A complex number has two parts: a real part and an imaginary part. I’ve often thought that a lot of books and classes just kind of gloss over what this really means. What part of electrical power is imaginary? Why do we do this?

The short answer is phase angle: the time delay between a voltage and a current in a circuit. how can an angle be a time? That’s part of what I’ll need to explain.

First, consider a resistor. If you apply a voltage to it, a certain current will flow that you can identify by Ohm’s law. If you know the immediate voltage across the resistor, you can derive the current and you can find the power–how much work that electrical power will do. That’s fine for DC current through resistors. but components like capacitors and inductors with an AC current don’t obey Ohm’s law. Take a capacitor. current only flows when  the capacitor is charging or discharging, so the current through it relates to the rate of change of the voltage, not the immediate voltage level.

That implies that if you plot the sine wave voltage against the current, the top of the voltage will be where the current is minimal, and the top current will be where the voltage is at zero. You can see that in this image, where the yellow wave is voltage (V) and the green wave is current (I). See how the green top is where the yellow curve crosses zero? and the yellow top is where the green curve crosses zero?

These linked sine and cosine waves might remind you of something — the X and Y coordinates of a point being swept around a circle at a constant rate, and that’s our connection to complex numbers. By the end of the post, you’ll see it isn’t all that complicated and the “imaginary” quantity isn’t imaginary at all.

Simplifying Assumptions

Start with an audio signal of someone speaking and feed that into your circuit. It is awash with different frequencies that change constantly. If you had a circuit with only resistors in it, you could pick a point in time, find all the frequency components present or the immediate amplitude, derive the immediate currents, and you could use conventional techniques on it. You’d just have to do it over and over and over again. If the circuit involves inductors or capacitors, whose behavior depends on much more than just the voltage across them, this becomes very challenging very quickly.

Instead, it is simpler to start with a sine wave at a single frequency and assume that a complex signal of numerous different frequencies is just the sum of numerous single sines. One way to think of a capacitor is to consider it a resistor that has higher resistance at lower frequencies. An inductor acts like a resistor that gets larger at higher frequencies. because we are only considering a single frequency, we can convert any capacitance and inductance values to an impedance: a resistance that is only good at the frequency of interest. What’s much more is that we can represent impedance as a complex number so that we can track the phase angle of the circuit, which directly relates to a particular time delay between voltage and current.

For a true resistor, the imaginary part is 0. That makes sense because the voltage and current are in phase and for that reason there is no time delay at all. For a pure capacitor or inductor, the real part is zero. real circuits will have combinations and thus will have a combination of real and imaginary parts. Numbers like that are complex numbers and you can write them in several different ways.

Complex Review

The first thing to remember is that the word imaginary is just an arbitrary term. maybe it is better to forget the normal implying of the word imaginary. These imaginary quantities are not some kind of magic electricity or resistance. We use imaginary numbers to represent time delays in circuits. Bu kadar.

There is a long story about what imaginary numbers imply in pure math and why they are called imaginary. You can look that up if you are a math-head, but you ought to know that math books use the symbol i for the imaginary part of a complex number. However, because electrical engineers use i for current, we use j instead. You just have to remember when reading math books, you’ll see i and it isn’t a current, and it is the same as j in electrical books.

There are several ways to represent a complex number. The simplest way is to write the real part and the imaginary part as being added together along with j. So consider this:

5 + 3j

We say the real part is 5 and the imaginary part is 3. Numbers written in this form are in rectangular format. You can plot it on the number lines like this:

That leads to the second way to write a complex number: polar notation. If the point on the graph is 5 + 3j, you can note that a vector can represent the saMe point. Uzunluğu veya büyüklüğü ve bir açı olacaktır (grafiğin x ekseni ile yaptığı açı). Bu durumda, büyüklük 5.83 (yaklaşık) ve açı, 31 derecenin biraz altında.

Bu ilginç çünkü bir vektör ve vektörleri manipüle etmek için çok iyi matematik araçları var. Bir dakikada gerçekten çok önemli olacak çünkü açı bir devrede bir faz açısına karşılık gelebilir ve büyüklüğün de doğrudan bir fiziksel ilişkiye sahip olmasıdır.

Faz açısı

Tek bir frekansta bir AC analizi yaptığımızı söylediğimi unutmayın. AC voltajını ve akımın bir frekansta bir dirençten geçtiğini ve akımın tamamını çizerseniz, iki sinüs dalgası tam olarak sıraya girer. Çünkü bir direnç zamanın hiçbir şeyi geciktirmemesidir. Direnç boyunca faz açısının sıfır derecesi olduğunu söylerdik.

Bununla birlikte, bir kapasitör için, akımın bir miktar süre boyunca voltajdan önce yükseleceği görülecektir. Bu, DC’deki kapasitörler hakkındaki sezgilerinizi düşünürseniz mantıklı. Bir kapasitör boşaldığında, bunun içindeki voltaj yoktur, ancak çok fazla akım tüketir – geçici olarak kısa devre gibi görünüyor. Şarj inşa ederken, voltaj, kapasitör tamamen şarj olana kadar akım damlaları yükselir. Bu noktada voltaj maksimumda, ancak akım sıfır veya neredeyse yani.

İndüktörler zıt düzenlemeye sahiptir: voltaj akımı akımı sağlar, bu nedenle eğriler aynı görünecektir ancak V eğrisi şimdi I ve I eğrisi artık V.’dir. tıpkı Ohm kanununda olduğu gibi voltaj. Bir devrede faz kayması hakkında konuşurken, geçerli bir frekansta voltajın ne kadar çıktığını veya geciktiğini gerçekten ima eder. Bu önemli bir fikirdir: faz kayması veya açısı, akımın yol açtığı veya voltajı geciktirir. İki farklı voltaj kaynağı gibi diğer şeyler arasındaki aşamayı da ölçebilirsiniz, ancak tipik olarak “bu devre 22 derecelik bir faz kaymasına sahip” derken, geçerli zaman gecikmesini voltajı ima eder.

Aklınızda tutun Bir sinüs dalgası, bir çizgiye uyacak şekilde bükülmüş bir daire gibidir. Öyleyse sinüs dalgasının başlangıcı 0 derece ise, pozitif üstün üst kısmı 90 derecedir. İkinci 0 geçiş 180 derecedir ve negatif üst, sadece bir daire üzerindeki noktalar gibi 270 derecedir. Sinüs dalgası sabit bir frekansta olduğu için, belirli bir dereceye kadar bir şey koymak, bir zaman ifade etmekle aynıdır.

Bir direnç durumunda, vardiya 0 derecedir. Böylece karmaşık gösterimde, 100 Ohm direnç 100 + 0J’dir. Ayrıca 100∠0 olabilir. Bir kapasitör için, akım voltajdan önce 90 derece yükselir, böylece bir kapasitörün -90 faz kaymasına sahiptir. Ama büyüklük nedir?

Muhtemelen, kapasitif reaktansın F’nin Hz’deki frekans olduğu 1 / (2πfc) eşit olduğunu öğrendiniz. Kutup formunun büyüklüğü budur. Tabii ki, -90 derece doğrudan sayı çizgisinin aşağı doğru olduğu için, aynı zamanda dikdörtgen formun hayali bir parçasıdır (ve gerçek kısım sıfırdır). Kapasitif reaktanse (XC) 50’ye eşitse, örneğin, 0-50J veya 50∠-90 yazabilirsiniz. İndüktörler aynı çalışır, ancak reaktans (XL) 2πfl’dir ve faz açısı 90 derecedir. Yani aynı reaktanlığa sahip bir indüktör 0 + 50J veya 50∠90 olacaktır.

Gücü bulma

Bu faz açılarının nasıl iyi olduğuna dair hızlı bir örneğe bakalım: Gücü hesaplama. Gücün voltaj zaman akımı olduğunu biliyorsunuz. Öyleyse, bir kapasitörün (zirve) 1 V’u varsa (zirve) ve 1 A’dan 1’i çizerse (tepe), güç 1 watt mı? Hayır, çünkü aynı anda 1 A’da 1 V çizmez.

Bu simülasyonu düşünün (bkz. Sağdaki Şekil). Soldaki izlerin, 90 derece faz kaymasını çok net bir şekilde görebiliyorsunuz (yeşil iz voltajdır ve sarı olanı mevcut). Üst voltaj 1.85 V ve akım zirveleri yaklaşık 4.65 mA’dır. Gerilim sürelerinin ürünü, akımın 8.6 MW’dır. Ama bu en iyi cevap değil. Güç aslında 4.29 MW’dır (sağdaki grafiğe bakınız). İdeal bir kapasitörde, güç tüketilmez. Depolanır ve serbest bırakılır, bu yüzden güç negatif geçer. Elbette, gerçek kapasitörler, biraz kayıp sergileyin.

Güç kaynağının 4.29 MW teklif etmediğini ancak çok daha az olduğunu unutmayın. Çünkü direnç tüketen tek şey tek şeydir. Gerilim ve akım, bunun için fazda ve dağıttığı güçlerin bir kısmı kapasitörün depolanan şarjından geliyor.

Devreler

Vektörin büyüklüğü Ohm yasalarında kullanılabilir. Örneğin, 40 Hz’de, örnek devrenin XC’nin sadece 400’in altındadır. Böylece RC devresi için toplam karmaşık empedans 1000 – 400J’dir.

Vektörler ile ustasanız, 1000∠0 + 400∠-90 yazarak polar yapabilirsiniz. Bununla birlikte, genellikle dikdörtgen versiyonu yazmak ve kutuplara dönüştürmek daha basittir (Wolfram Alpha bu konuda iyidir; sadece J yerine i kullanmayı unutmayın). Büyüklük sadece Pisagor teoremidir ve açı kolay trig. Buna girmeyeceğim, ama burada R ve J’nin sırasıyla gerçek ve hayali parçalar olduğu formül.

mag = sqrt (r^ 2 + j ^ 2)
Faz = Arctan (J / R)

Örneğimiz, daha sonra, 1077∠-21.8’dir.

Peki, voltaj kaynağından çıkan güç nedir? Güç, e ^ 2 / r (veya aslında, e ~ 2 / z, bu durumda). Yani 25/1077 = 23 MW zirvesi. Simülasyon 22.29 gösterir ve çünkü birkaç değeri yuvarlarım, bu yeterince yakın.

Bu kadar?

Tabii ki bu değil, ama çok amaçlı bilmeniz gereken tek şey bu. Sayısız hobi düzeyinde elektronik metinler ayrıntılara yakındır ve sadece büyüklüklerle çalışır. Kolay devreler için, bu işe yarayabilir, ancak karmaşık bir şey için (amaçlanan punta yok), hızlı bir şekilde tutuyor.

Bu arada, bu örnek serideki öğelere gösterdi. Ancak, paralel olarak paralel olarak reaktanlar ekleyebilirsiniz.

Hatırlamanız gereken temel kavramlar:

Bir AC devresinin analizi çoğunlukla sinüs dalga girişi olan tek bir frekansta meydana gelir.

Hayali sayılar hayali değil.

Polar formlardaki karmaşık sayıların büyüklükleri bir direnç gibi davranılabilir.

Faz açısı, voltaj ve akım dalga formu arasındaki zaman gecikmesidir.

Parlatıldığım çok fazla ayrıntı var. Muhtemelen gerçekten negatif olanın karekökü olduğumu bilmenize gerek yok. Ya da Euler’in numarası bunun içine nasıl oynuyor ve bir genlik ve faz açısı ile yazılmış sinüs dalgalarını entegre etme ve farklılaştırma sadeliği. Matematik tarihi ile ilgileniyorsanız, hayali sayıların arkasında oldukça bir hikaye var. Çok daha pratik bir şey istiyorsanız, Khan Academy’nin bazı yararlı videoları var. Ancak, burada kapsanan, AC devreleriyle çalışmayı bilmeniz gereken tek şey olmalı.

Sorumlu açıklama yeterli değil

Moonpig, İngiltere’de tanınmış bir tebrik kartı şirketidir. Hizmetlerini arkadaşlarınıza ve ailenize kişiselleştirilmiş tebrik kartları göndermek için kullanabilirsiniz. [Paul] Bazı kazma yapmaya karar verdi ve Moonpig Android uygulaması ile API’su arasında birkaç güvenlik açığı keşfetti.

Her şeyden önce, [Paul] sistemin temel kimlik doğrulaması kullandığını fark etti. Bu ideal değil, ancak şirket en azından müşteri kimlik bilgilerini korumak için SSL şifrelemesi kullanıyordu. Kimlik doğrulama başlığının kodunu çözdükten sonra, [Paul] garip bir şey fark etti. Her isteği ile gönderilen kullanıcı adı ve şifre kendi kimlik bilgileri değildi. Müşteri kimliği oradaydı, ancak gerçek kimlik bilgileri yanlıştı.

[Paul] yeni bir hesap oluşturdu ve kimlik bilgilerinin aynı olduğunu buldu. Müşteri kimliğini ikinci hesabının HTTP talebinde değiştirerek, web sitesini, ilk hesabının kaydedilmiş adres bilgilerini tüketerek kandırmayı başardı. Bu, esasen hiç kimlik doğrulaması olmadığı anlamına geliyordu. Herhangi bir kullanıcı başka bir kullanıcıyı taklit edebilir. Adres bilgileri çekmek büyük bir anlaşma gibi gelebilir, ancak [Paul] her API isteğinin böyle olduğunu iddia ediyor. Bu, rızası olmadan diğer müşteri hesaplarında sipariş vermek kadar ileri gidebileceğiniz anlamına geliyordu.

[Paul] Moonpig’in API yardım dosyalarını daha ilginç yöntemler bulmak için kullandı. Ona göze çarpan biri GetCredItCardDetails yöntemi idi. [Paul] bir atış yaptı ve sistemin kartın son dört hanesi, son kullanma tarihi ve kartla ilişkilendirilen adı dahil olmak üzere sistemin kredi kartı ayrıntılarını çıkardığını kesin. Tam kart numarası olmayabilir, ancak bu hala belli ki hemen düzeltilecek oldukça büyük bir sorun … değil mi?

[Paul] Ağustos 2013’te MoonPig’e karşı sorumlu bir şekilde savunmasızlığını açıkladı. Moonpig, sorunun eski kodundan kaynaklandığını ve derhal düzeltileceğini söyleyerek yanıt verdi. Bir yıl sonra, [Paul] Moonpig ile takip edildi. Noel’den önce çözülmesi gerektiği söylendi. 5 Ocak 2015 tarihinde, kırılganlık hala çözülmedi. [Paul] Yeterince yeterince yeterince karar verdi ve bu da soruna basmasına yardımcı olmak için bulgularını çevrimiçi olarak yayınlayabilir. İşe yaradı gibi görünüyor. Moonpig, API’sini devre dışı bıraktı ve “Tüm şifre ve ödeme bilgilerinin her zaman güvenli olmadığını” iddia ettiğini iddia eden Twitter üzerinden bir açıklama yayınladı. Bu harika ve hepsi, ancak eğer şifreler önemli ise biraz daha fazla anlamına gelir.

Arduino ve Değiştirilmemiş Cuecat

ile okuma çubuğu kodları [Damcave], bazı barkod okuyucu projeleri denemeye karar verdi. Ellerini yıllar önce bir Cuecat’a soktu. Sorun, açık bir metin dizesi yerine şifreli karakter kümelerini çıkarmasıdır. Bunu dolaşmak için, Arduino’nun Cuecat’ın veri çıktısının şifresini çözmesi için kullandı.

Başlangıçta sizi ücretsiz bir Cuecat’a ellerini alabilirsiniz. QR kodları gibi çalışmak için çalışması gerekiyordu – bir barkod görüyorsunuz, bir web adresine ulaşmak için tarar. Asla gerçekten çıkmadı ama yine de on iki istiridye için bir tanesine ellerini alabilirsiniz. Şifrelemeyi devre dışı bırakmak için işlemciye bir pimi klipsleyen projeler gördük. Ancak [Damcave] donanımla uğraşmak istemiyordu. Bunun yerine, Arduino’yu PS / 2 konnektörü üzerinden bağladı ve verileri çevirmek için kullanılan yazılım. Şifreleme formatı uzun zamandır biliyor, bu yüzden adımları bir Arduino fonksiyonuna çevirme meselesiydi.