7050
Aleksandr Litreev about cybersecurity, blockchain & other joys of life. litreev.com
А вот наш подписчик воспользовался случаем и несёт Сайберсекьюрити™ в массы!
Читать полностью…
Небольшая заметка про новый год — подвёл итоги уходящего и написал несколько добрых пожеланий к грядущему.
https://blog.litreev.com/?go=all/itogi-2017-pozdravlenie-s-novym-godom/
Защищать российские системы и сети от кибератак — теперь задача ФСБ. Путин подписал соответствующий указ.
https://www.securitylab.ru/news/490498.php
Похоже таки аутентичное приложение. Об этом свидетельствует публикация на Product Hunt: https://www.producthunt.com/posts/telegram-x
Читать полностью…
🔥🔥🔥 Тут на iOS вышел Telegram X "с темной темой" и якобы пониженным энергопотреблением.
https://tjournal.ru/64115-na-ios-vyshel-klient-telegram-x-s-temnoy-temoy
Многие СМИ (достаточно открыть Яндекс.Новости) пишут "спасибо, Дуров!" - но сам Дуров не пишет, что это его приложение. И на сайте Telegram о нем ничего нет. И в канале Дурова.
Зато @go338 сообщает, что раньше на странице разработчика (Telegram LLP, у Дурова же Telegam LLC) раньше были игрушки и комментарии на украинском.
Также "закос" под официальный клиент заметил @bragnsleep
/channel/bragnsleep/1172
@Karaulny связался с @LitreevSays - Литреев сказал, что "хз, обманка это или нет, надо копать". Правда, он сразу же заметил, что приложение "выпущено с того же аккаунта, что и оригинальное приложение под Mac".
Собственно, @Karaulny советует дождаться официального ответа Дурова в @durov о безопасности (или небезопасности) приложения. Чтобы у вас гарантированно не скачали ваши палевные и не очень переписки, номера карт, фотографии, "избранные сохраненные данные" и не узнали, что именно вы ведете @Russica2 :)
Специалист Google Project Zero Tavis Ormandy обнаружил серьезную уязвимость в менеджере паролей
Keeper, который с момента релиза Windows 10 Anniversary Update (версия
1607) входит в состав ОС.
Он объясняет, что обнаруженная им уязвимость чрезвычайно опасна, так
как полностью компрометирует безопасность Keeper, позволяя любому сайту получить любые пароли пользователя.
¯\_(ツ)_/¯
если вы вдруг выдохнули («ну у меня-то Микрософт, я в безопасности»), то у меня для вас тоже плохие новости. По иронии судьбы, в механизме антивирусной защиты Microsoft (Malware Protection Engine) обнаружили уязвимость, приводящую к возможности удаленного исполнения кода (или исполнения удаленного кода?) - короче, Remote Code Execution (RCE), а если человеческим языком, то уязвимость позволяет злоумышленникам получить полный контроль над компьютером. Microsoft уже выпустила срочный апдейт, исправляющий эту уязвимость. Вы знаете, что делать (апдейт!) https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937
Читать полностью…
А еще нагло врут — стою, как идиот, на кассе и не могу расплатиться.
https://www.rbc.ru/rbcfreenews/5a25824e9a794756a2e32a2a
Apple выпустила обновление, которое отменяет патч уязвимости с root-доступом.
При Джобсе такого не было!
https://www.wired.com/story/macos-update-undoes-apple-root-bug-patch/
⚡️Поступают сообщения о том, что упал процессинг Сбербанка. Информация проверяется.
Читать полностью…
Очень приятно читать такие отзывы подписчиков. Прекрасное: /channel/shelnashel/13
Читать полностью…
Если вы пользователь продукции Apple, приходите за моральной поддержкой в чат Сайберсекьюрити и Ко:
t.me/alexlitreev_chat
⚡️СРОЧНО
В операционной системе macOS High Sierra, поставляемой с компьютерами компании Apple, обнаружена серьезная уязвимость, позволяющая выполнить эскалацию прав доступа любого пользователя и получить root-доступ к системе.
Например, при открытии окна настроек и выборе любого раздела, можно нажать на иконку "🔒" в нижнем левом углу, после чего заменить стандартное имя пользователя на "root", а поле для ввода пароля оставить пустым. После нажатия Enter или кнопки "Unlock" пользователь получает максимальный уровень доступа к системе.
Что делать?
Я настоятельно рекомендую установить пароль для root. Сделать это можно с помощью следующей команды терминала:
sudo passwd root
Терминал сначала запросит пароль текущего пользователя, затем дважды попросит ввести новый пароль для пользователя root.
Также можно включить пользователя root, как это предлагает сделать Apple. Подробнее об этом — по ссылке:
https://support.apple.com/ru-ru/HT204012
Если вдруг к вам пристал ваш оператор связи и клянчит "обновите и подтвердите свои персональные данные" и угрожают отключить связь, если вы этого не сделаете — значит в течение 3-х последних дней им пришёл запрос откуда надо.
https://twitter.com/sd0107/status/933073193023221760/photo/1
Постановление Правительства Российской Федерации от 25 октября 2017 года №1295 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам оказания услуг связи" — Российская газета
https://rg.ru/2017/10/27/pravitelstvo-post1295-site-dok.html
За наводку спасибо Сергею Д.
Новый год не успел наступить, а кое-кто уже обделался и допустил утечку E-Mail’ов. Встречайте — Штаб Ксении Собчак. А от себя, как от избирателя, добавлю: если кандидату и его команде свой E-Mail доверить нельзя, то что говорить о государстве :)
/channel/popyachsa/6848
Шифруйте диски, глупцы!
История с набегами на Протестную Москву и кражей их техники напоминает нам, что о безопасности своих данных стоит побеспокоиться уже сегодня. Одна из мер — шифрование дисков. Об этом написал Михаил Пожарский в своём канале @whalesgohigh (подписывайтесь, кстати, годно пишет).
Пост:
/channel/whalesgohigh/3068
Павел Дуров подтвердил каналу: «Да, экспериментальная версия. Наша.»
Читать полностью…
Сайберсекьбрити™ запросил комментарий у Павла Дурова по поводу этого приложения.
Читать полностью…
⚡️BREAKING
Помните историю с кредитным бюро Equifax? На этот раз обосралось второе кредитное бюро, Experian. Снова AWS S3, снова незащищённый Bucket. Никогда такого не было, но вот опять.
https://www.scmagazine.com/open-aws-s3-bucket-exposes-sensitive-experian-and-census-info-on-123-million-us-households/article/720067/
Яндекс! Если среди моих читателей есть сотрудники Яндекса, а ещё лучше те, кто занимается проектом Яндекс.Драйв или вопросами информационной безопасности внутри компании, прошу срочно со мной связаться по адресу alxdrlitreev@protonmail.com.
Читать полностью…
⚡️По некоторым данным, пользователи Telegram испытывают трудности в работе с сервисом.
http://outage.report/telegram
Вы не поверите, но опять: /channel/alexlitreev_channel/688
Читать полностью…
По Сбербанку — процессинг (вроде как) восстановлен, платежи по картам снова проходят. У незначительного числа пользователей могут наблюдаться трудности с использованием карты (оплата не с первого раза, длительное ожидание ответа сервера терминалу и т.д.).
Если вы сотрудник Сбербанка и хотите рассказать что-то интересное о ситуации на условиях анонимности, пишите на alxdrlitreev@protonmail.com.
UPD: Работа процессинга была оперативно восстановлена.
Читать полностью…
Apple, конечно, исправили дыру, но, что называется, "мы исправили существующие ошибки и добавили новые". Приложения теряют свои иконки :/
Читать полностью…
А вот и обновление macOS High Sierra, исправляющее вчерашнее недоразумение.
https://support.apple.com/en-us/HT201222
Для тех, кто сильно обеспокоен вопросами безопасности в macOS, вновь кидаю ссылку на инструкцию по усилению защиты этой ОС. На английском:
https://github.com/alxdrlitreev/macOS-Security-and-Privacy-Guide
Многие спрашивают, почему я не люблю Android? А вот из таких "мелочей" всё складывается: Google собирает информацию о местоположении смартфонов Android, даже если Location Services выключены.
Иначе, как свинством, это называть нельзя.
https://qz.com/1131515/google-collects-android-users-locations-even-when-location-services-are-disabled/
А теперь от вымышленных сценариев к реальности: в течение 4 лет, ключи цифрового SSL-сертификата для сайта китайского производителя дронов DJI находились в открытом доступе. Ключи лежали в открытом Github-репозитории DJI.
Более того, там же нашлись учётные данные для входа в AWS, ключи шифрования прошивки. В самом AWS S3 нашлись логи полётов и некоторая чувствительная конфиденциальная информация пользователей.
DJI отозвала проблемный сертификат и в сентябре нынешнего года выпустила новый.
https://www.securitylab.ru/news/489757.php