6578
Aleksandr Litreev about cybersecurity, blockchain & other joys of life. litreev.com
⚡️СРОЧНО
В операционной системе macOS High Sierra, поставляемой с компьютерами компании Apple, обнаружена серьезная уязвимость, позволяющая выполнить эскалацию прав доступа любого пользователя и получить root-доступ к системе.
Например, при открытии окна настроек и выборе любого раздела, можно нажать на иконку "🔒" в нижнем левом углу, после чего заменить стандартное имя пользователя на "root", а поле для ввода пароля оставить пустым. После нажатия Enter или кнопки "Unlock" пользователь получает максимальный уровень доступа к системе.
Что делать?
Я настоятельно рекомендую установить пароль для root. Сделать это можно с помощью следующей команды терминала:
sudo passwd root
Терминал сначала запросит пароль текущего пользователя, затем дважды попросит ввести новый пароль для пользователя root.
Также можно включить пользователя root, как это предлагает сделать Apple. Подробнее об этом — по ссылке:
https://support.apple.com/ru-ru/HT204012
Если вдруг к вам пристал ваш оператор связи и клянчит "обновите и подтвердите свои персональные данные" и угрожают отключить связь, если вы этого не сделаете — значит в течение 3-х последних дней им пришёл запрос откуда надо.
https://twitter.com/sd0107/status/933073193023221760/photo/1
Постановление Правительства Российской Федерации от 25 октября 2017 года №1295 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам оказания услуг связи" — Российская газета
https://rg.ru/2017/10/27/pravitelstvo-post1295-site-dok.html
За наводку спасибо Сергею Д.
Автономное оружие, управляемое искусственным интеллектом уже очень близко. Уже сейчас активно разрабатываются всё более совершенные способы уничтожения людей в условиях войны. Посмотрите ролик о том, чем нам грозят подобные технологии по мнению движения против автономного летального оружия:
https://youtu.be/9CO6M2HsoIA
Войны в киберпространстве вовсе не ограничиваются взломами, кражами персональных данных, и так далее. Одно из широко распространенных сегодня направлений — манипуляция общественным мнением в сети, такая своеобразная массовая социальная инженерия. О том, как работает одна из крупнейших группировок таких "манипуляторов" общественным мнением — в видео по ссылке:
https://www.youtube.com/watch?v=b_kfww6ldrE
Прокомментировал Эху Москвы ситуацию с "ответными мерами", направленными против иностранных социальных сетей.
https://echo.msk.ru/news/2090104-echo.html
На след. выходных выйдет пост по мотивам интервью с Вячеславом Закоржевским — руководителем отдела антивирусных исследований Kaspersky Lab. О том, как работает KSN, о секретных документах & more.
Читать полностью…
Присоединяйтесь к нашему чату в Telegram (@alexlitreev_chat) — там можно обсуждать новости канала «Сайберсекьюрити и Ко» и пообщаться с толковыми ребятами на интересующие вас околосайберсекьюрити темы.
Также подписывайтесь на мой личный канал (@litreevsays), если вам интересно следить за моими приключениями. Или не подписывайтесь. Полная свобода действий.
Куда сегодня едет Литреев с Сайберсекьюрити и Ко?
Лаборатория Касперского – 70
👍👍👍👍👍👍👍 35%
Тинькофф Банк – 58
👍👍👍👍👍👍 29%
Mail.Ru – 20
👍👍 10%
Яндекс – 15
👍👍 8%
Google – 14
👍 7%
ВКонтакте – 8
👍 4%
Microsoft – 7
👍 4%
Dr. Web – 7
👍 4%
👥 199 people voted so far.
В Эстонии отключили более 750 тысяч электронных удостоверений личности из-за угрозы взлома. По словам представителей правительства, решение об остановке действия сертификатов было принято в связи с информацией о ряде уязвимостей, позволяющих взломать ID-карту и похитить персональные данные владельца.
http://www.securitylab.ru/news/489539.php
Всем владельцам сайтов на WordPress — срочно обновить движок.
WordPress выпустили новую версию CMS 4.8.3, содержащую исправления уязвимости, грозящей захватом контроля над сайтами. Все предыдущие версии WordPress подвержены уязвимости внедрения SQL-кода.
https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/
Спустя несколько лет, до министра Никифорова дошло то, что изначально говорили примерно все представители индустрии. «Население устанавливает программные продукты, получающие запрещенную информацию с помощью серверов, находящихся вне юрисдикции РФ» — говорит Николай Никифоров. Удивительное рядом. Информация имеет свойство просачиваться и обходить любые преграды. Элементарные законы 21 века не нарушить никак.
https://www.securitylab.ru/news/489192.php
Пара слов про дело ФСБ против Телеграма.
1. Работать будет команда. Состав ее озвучим чуть позже.
2. Работаем на результат. Никаких оценок шансов, "а что после апелляции" и пр. После будет после, пока задача максимум - добиться прекращения административного дела. Если этого не произойдет, работа юристов на этом не завершится, наоборот.
3. Телеграм не будет заблокирован сразу после апелляции при любом ее исходе. Это отдельная процедура, она может вытекать из этого дела. Цель инициатора, очевидно, не в том, чтобы получить с компании 800К в бюджет. Это тоже понятно.
4. На данный момент работа концентрируется вокруг обжалования постановления мирового судьи от 16 октября. У компании, признанной виновной в нарушении ч. 2.1 ст.13.31 КоАП РФ, есть 10 дней на подачу жалобы. Рассмотрение будет в Мещанском районном суде Москвы.
5. Весь процесс будет максимально прозрачным и публичным, насколько будут позволять обстоятельства.
6. Это не дело Павла Дурова, не дело компании Telegram Messenger LLP. Это дело 100 млн пользователей Телеграма в России и остальном мире, и шире всех интернет-пользователей, в чью переписку, личные данные, почту, чаты, то есть в частную жизнь стремятся влезть представители спецслужб. Дело ровно об этом.
⚡️BREAKING
Обнаружена критическая уязвимость в протоколе WPA2, использующегося сейчас в большинстве "защищенных" Wi-Fi сетей. Дырень позволяет обойти защиту и перехватывать Wi-Fi-трафик между роутером и пользовательским устройством.
Таким образом, «запароленные» Wi-Fi сети, как оказалось, теперь не особо безопаснее публичных открытых сетей. Единственный выход на данный момент — использовать туннелирование трафика через VPN. Так передаваемые данные останутся в безопасности.
http://www.independent.co.uk/life-style/gadgets-and-tech/news/wifi-wpa-2-krack-security-hacking-cyber-crime-device-smartphone-ipad-break-internet-us-government-a8002446.html
Привет всем, кто еще (или уже) не спит.
Регулярно получаю фидбэк по своему Telegram-каналу в личные сообщения и и на электронную почту. Одним из самых частых предложений и советов — попробовать снимать видеоролики с новостями по теме канала.
Ну и почему бы и нет. Взял некоторые новости за прошедшую неделю, о которых не писал ничего в канале и снял короткий ролик.
https://www.youtube.com/watch?v=OU4iJy12dvc&feature=youtu.be
Известные смартфоны OnePlus, на которых установлена модификация Android под названием Oxygen OS, отслеживают действия пользователей и отправляют телеметрию без обезличивания данных.
Сам производитель OnePlus получает подробную информацию о номере телефона, номерах IMEI и IMSI, серийном номере устройства, MAC-адресах, состоянии батареи, длительности работы приложений, а также данные о блокировке/разблокировке, отключении экрана и пр.
А что самое грустное — сбор данных не может быть отключен через настройки телефона.
Подробнее:
http://www.securitylab.ru/news/489022.php
Многие спрашивают, почему я не люблю Android? А вот из таких "мелочей" всё складывается: Google собирает информацию о местоположении смартфонов Android, даже если Location Services выключены.
Иначе, как свинством, это называть нельзя.
https://qz.com/1131515/google-collects-android-users-locations-even-when-location-services-are-disabled/
А теперь от вымышленных сценариев к реальности: в течение 4 лет, ключи цифрового SSL-сертификата для сайта китайского производителя дронов DJI находились в открытом доступе. Ключи лежали в открытом Github-репозитории DJI.
Более того, там же нашлись учётные данные для входа в AWS, ключи шифрования прошивки. В самом AWS S3 нашлись логи полётов и некоторая чувствительная конфиденциальная информация пользователей.
DJI отозвала проблемный сертификат и в сентябре нынешнего года выпустила новый.
https://www.securitylab.ru/news/489757.php
Никогда не пользуйтесь OZON.
Администрация этого магазина — люди, которым вообще плевать на безопасность персональных данных своих пользователей. Мало того, что мне уже более года известно, что OZON хранит пароли в открытом виде (что недопустимо), так еще и это:
/channel/dvachannel/15135
Как член экспертной группы ОЗИ (Общества Защиты Интернета), публикую октябрьский "Индекс Свободы Интернета". Что происходит с рунетом и не только, читайте по ссылке:
http://ozi-ru.org/i/2017/itogi_oktyabrya_2017/
Марисса Майер — отвратительный менеджер Yahoo. Как вы помните, за последние несколько лет количество утечек паролей пользователей этого сервиса превысило число пальцев одной руки. Мало того, что Yahoo! сами виноваты в произошедшем, так как хранили пароли в базе не в хешированном (читай — открытом) виде, так ещё и решили переложить свою ответственность на русских хакеров™. Не, ну а чего, это сейчас в тренде, это сейчас модно.
Не пользуйтесь сервисами Yahoo! никогда и ни при каких обстоятельствах.
http://www.securitylab.ru/news/489588.php
Александр Жаров проехался по биометрическим сенсорам в iPhone и Samsung, заявив, что «необходимо полностью исключить биометрическую идентификацию детей и подростков до достижения ими дееспособного возраста». Очень печально, что глава такого серьезного ведомства, перед тем, как делать подобные громкие заявления, даже не удосужился просто погуглить, как работает тот же Touch ID и Face ID. Так вот, ни первая, ни вторая технология не сохраняют саму биометрическую информацию, а лишь хранят её математическое представление (по типу hash’а). Таким образом, из хранимых Touch ID и Face ID невозможно воссоздать оригинальный отпечаток пальца или цифровой скальп лица пользователя.
https://tjournal.ru/61896
Всё верно, ребята. Сегодня мы были в гостях у Лаборатории Касперского. Чуть позже — интервью о KSN и том, как всё внутри устроено.
Читать полностью…
Тем временем, Google выпустил патч, закрывающий уязвимость в протоколе WPA2 Wi-Fi (KRACK) для Android.
https://www.bleepingcomputer.com/news/security/google-patches-krack-wpa2-vulnerability-in-android/
На днях в Google Play появилось приложение под названием "Update WhatsApp Messenger". Мимикрируя под популярный мессенджер, приложение распространяло вредоносные рекламные баннеры. Что самое обидное/забавное/интересное — приложение-фальшивку скачало больше 1 миллиона пользователей!
http://www.securitylab.ru/news/489533.php
РАЭК высказался по теме требований РКН. Правы, конечно, но будет гораздо хуже.
https://tvrain.ru/news/blokirovka-448888/
Евгений Касперский разразился публикацией по поводу последних новостей относительно Лаборатории Касперского и США.
Публикую ссылку и комментирую. Евгений, если Ваша компания правда не имеет никакого отношения к кибершпионажу и т.д. и т.п., то почему бы вам не предоставить исходный код своего ПО для анализа властям США или независимым специалистам под условиями NDA? Что, объективно, мешает Лаборатории Касперского предоставить доступ к исходным кодам продукта для расследования, представляющего общественный интерес? (Подчёркиваю, сделать это можно под NDA, что защитит исходный код от кражи и разглашения коммерческой тайны)
При всём моём уважении к Лаборатории, мне не ясно, почему этого до сих пор не было сделано.
https://e-kaspersky.livejournal.com/440152.html
Наши замечательные друзья из Агоры будут отвоевывать Telegram и наши конституционные права. Пожелаем им удачи.
Читать полностью…
Президент Microsoft Бред Смитт публично обвинил КНДР в организации атак WannaCry по всему миру. По его словам, для проведения кибератак, КНДР использовали похищенный у АНБ США инструментарий.
https://www.securitylab.ru/news/489093.php
Мы последовательно со всеми мошенниками разберёмся, рано или поздно, не переживайте.
https://republic.ru/posts/86951
Крупнейшую консалтинговую компанию Forrester подвергли атаке. Хакеры смогли похитить маркетинговые исследования, заказанные клиентами компании.
Подробнее:
http://www.securitylab.ru/news/488960.php