7397
Aleksandr Litreev about cybersecurity, blockchain & other joys of life. litreev.com
⚡️ BREAKING
Apple сказочно обосралась с шифрованием дисков в High Sierra, и подсказки к паролям дисков, форматированных в APFS Encrypted, работают не так, как ожидалось. В общем, вместо Password Hint (подсказки пароля), система показывает сам пароль. ¯\_(ツ)_/¯
На Telegraph — картинки и ссылка на фикс.
https://goo.gl/gkKcVA
Обсудить взлом секс-игрушек и другие темы, касающиеся
К И Б Е Р Б Е З О П А С Н О С Т И
приходите в мой уютный чат: @alexlitreev_chat
Также, напоминаю, что уже вот-вот в Москве стартует конференция CyberCrimeCon 2017, билеты на которую вы можете купить с 25% скидкой по промокоду litreev. Купить билетики можно вот тут: https://2017.group-ib.ru
Из новостей Сайберсекьюрити в суровых российских реалиях — светило, гений мысли, директор ФСБ Александр Бортников придумал способ, как можно избавить мир от вредоносных программ. Он предложил законодательно запретить вирусы!
Вслед за Александром Васильевичем, предлагаю законодательно закрепить запрет на раковые опухоли, смерть и ВИЧ.
http://www.rbc.ru/politics/04/10/2017/59d4aeef9a7947b83bf93330
Минуточку внимания, дорогие читатели.
Мои коллеги из Group-IB скоро проведут ежегодную конференцию CyberCrimeCon 2017. Это, пожалуй, главная конференция года о тенденциях развития киберпреступлений. Спикеры — огонь. Например, Нобору Накатани — исполнительный директор Interpol IGCI. Это подразделение в Интерполе отвечает за расследование киберпреступлений по всему миру.
Конференция пройдет 10 октября, по адресу г. Москва, ул. Восточная, д. 4, ст. 1
🎂🎂🎂
А теперь самое вкусное. Билет для простых смертных стоит 15000 рублей. Но не для моих подписчиков. Специально для читателей «Сайберсекьюрити и Ко.» скидка 25% по промокоду litreev. Просто укажите его при оформлении билета. Тогда он обойдётся вам всего в 11250 рублей.
Подробнее о конференции:
https://2017.group-ib.ru
Сайберсекьюрити и Ко.
Недоступны все сервисы банка Тинькофф.
https://tjournal.ru/59981-sayt-tinkoff-banka-okazalsya-nedostupen
@
Сайберсекьюрити и Ко.
Про новую macOS High Sierra.
Как оказалось, дело в конвертации файловой системы с HFS+ 20-летней давности в новую AFS.
Одним словом, недоработочка у Apple. Лучше ставить чистую систему, чем обновляться.
/channel/litreevsays/661
@
Сайберсекьюрити и Ко.
И напоследок. Вот эта "телега" ФСБ Дурову — абсолютно неправомерна и незаконна. Есть Конституция РФ и её 23 статья. Всё остальное — это чушь, муть и компот.
@
Сайберсекьюрити и Ко.
О письме ФСБ Павлу Дурову.
На самом деле, не меняется, ровным счётом, ничего. Телеграм как не выдавал переписку пользователей властям каких-либо стран, так и, очевидно, не будет этого делать.
@
⚡️BREAKING
Роскомнадзор угрожает блокировкой Facebook в 2018-ом году.
«Закон обязателен для всех. В любом случае мы или добьемся того, чтобы закон был исполнен, или компания прекратит работать на территории Российской Федерации, как, к сожалению, произошло с Linkedin. Тут исключений нет» — говорит Жаров.
Хотелось бы напомнить господину Жарову про его лицемерное «нет исключений». Напомнить о существовании таких сервисов, как Telegram, который не хранит персональные данные на территории РФ, о YouTube, где некоторые видеоролики, внесённые в реестр запрещённых материалов, все равно доступны для просмотра. Я уже молчу про то, что даже сам РКН писал о том, что закон соблюдает выборочно (см. https://m.facebook.com/phil.kulin/posts/1348857601834634)
В Роскомнадзоре, похоже, снова совсем страх потеряли.
https://tvrain.ru/news/roskomnadzor-445857/
Кстати, об этом. Откликнулось большое количество разработчиков, готовых ответить на мои вопросы и они продолжают писать дальше! Даже официальные представители ЛК связались — это я особо оценил. Здорово, когда компании идут на контакт с комьюнити.
В общем, что я хочу сказать — всё что я хотел узнать, я узнал, всем спасибо, горшочек не вари.
Рубрика #НуБывает: Компания Verizon
разместила конфиденциальную информацию на AWS S3 и забыла отключить публичный доступ к хранилищу. Забыла.
Verizon — один из крупнейших операторов связи в США.
http://www.securitylab.ru/news/488698.php
#оффтоп
Также напоминаю, что российский YouTube превращается в ссаное позорище, помогающее становлению цензуры в сети. Взяли и отцензурировали видео BellingCat по запросу РКН.
Очень важное из новой iOS 11: пятикратное нажатие кнопки включения запускает вот это меню и ОТКЛЮЧАЕТ АВТОРИЗАЦИЮ ПО TOUCH ID, обязательно обновляйтесь перед следующими митингами (:
Читать полностью…
Всем доброго утра!
Меня много спрашивают, как бы я мог прокомментировать пост Антона Розенберга на Medium о конфликте с Павлом Дуровым.
Я считаю, что Павел Валерьевич более чем достаточно прокомментировал эту ситуацию самостоятельно.
Интервью с Павлом Дуровым читайте на Медузе:
https://meduza.io/feature/2017/09/18/byvshiy-top-menedzher-vkontakte-suditsya-s-bratyami-durovymi
Если вы как я, до сих пор не легли спать, то рад поделиться с вами своими соображениями по поводу новой технологии Face ID в IPhone X.
Кто-то уже успел обвинить Apple в попытке собрать базу данных лиц для правительства США, напридумывали кучу теорий заговора, забыв важную деталь — все данные о 3D-карте точек вашего лица хранятся в Apple Security Enclave (ровно так, как это было с математическими предоставлениями отпечатков пальцев у Touch ID). Таким образом, с приватностью у Apple все, как всегда, хорошо.
Вопрос здесь в другом — если с Touch ID нужно было заморочиться, чтобы украсть ваши отпечатки/заставить вас приложить палец и разблокировать смартфон, то с Face ID проблема — лицо отсканировать гораздо проще, нежели палец. Более того, в случае насильственной попытки заставить вас разблокировать ваш смартфон злоумышленникам даже не потребуется выворачивать вам руки или отрезать пальцы. Зачем, если ваше лицо и так всегда видно.
Пока не ясно, как Apple реализовала Face ID — нет никаких технических подробностей. Может быть, такие моменты были как-то учтены? Что ж, увидим. А пока ни Touch ID, ни Face ID я доверять не советую.
Кстати, всем, кто был там забанен — у нас амнистия, возвращайтесь к нам.
Читать полностью…
Новая рубрика #PussiesCybersecurity (хе-хе-хе).
IT-тестировщик одной английской компании обнаружил, что некоторые секс-игрушки с дистанционным управлением по Bluetooth легко взломать. Устройства не защищены пин-кодом, и подключиться к ним может, по сути, кто угодно.
Подробнее на Ноже:
https://knife.media/huck-toys/
Протестная Москва организует трансляцию «МЫ ИНТЕРНЕТ #1», открывающую серию новых просветительских проектов, связанных с историей и будущим российского интернета.
Начало меньше, чем через 20 минут 🙂
Анонс: /channel/nedimonmskinf/866
Трансляция: https://www.youtube.com/watch?v=AlFUXHLamYg
Сайберсекьюрити и Ко.
UPD: Все заработало. Быстро поднялись.
@
Сайберсекьюрити и Ко.
Невероятно, но спустя два года после обнаружения исправлена уязвимость в Linux, позволяющая эскалировать привелегии пользователя до уровня root.
http://www.securitylab.ru/news/488766.php
@
Сайберсекьюрити и Ко.
О, Oracle исправил уязвимость CVE-2017-9805 в Apache Struts 2, из-за которой недавно пострадало бюро кредитных историй Equifax.
http://www.securitylab.ru/news/488740.php
@
Сайберсекьюрити и Ко.
Расценивать подобные бумажки, как нечто большее, чем просто тщетные попытки выклянчить у Дурова инструментарий для расшифровки сообщений, считаю, не стоит.
Вообще, последнее время, ФСБ и РКН ведут себя, как маленькие дети. Сказали один раз "нет", а понимания, что хоть 1000 бумажек отправьте и ничего не изменится, так и не появилось.
Повторюсь: ничего не меняется. Ну попробуют он заблокировать Telegram, ну можно им только удачи и крепких нервов пожелать, ведь нет таких блокировок, которые нельзя обойти. Следовательно, опять сядут в лужу со своими блокировками. Что за желание такое, регулярно садиться в лужу — я не понимаю.
В общем, keep calm & etc.
@
Кто-то в курсе, сколько человек, теоретически, вмещает в себя приемная Александра Жарова?
—
Приходите обсуждать новости к нам в чат. Милости прошу — @alexlitreev_chat. И вы, Александр Александрович, не стесняйтесь.
Теперь, продолжая своё маленькое расследование, я ищу разработчиков в компании InfoWatch Натальи Касперской, готовых пообщаться на условиях анонимности.
Если вы, по счастливой случайности, там работаете и не боитесь, пишите — alexander@litreev.com.
Всем, кто пользуется VMware (продуктами ESXi, Workstation, Fusion и др.) стоит обновиться — критическая уязвимость исправлена в последнем обновлении.
Уязвимость позволяла программному обеспечению, запущенному в виртуальной машине «выйти» за её пределы и получить доступ к родительскому хосту (уязвимость типа out-of-bounds).
https://nakedsecurity.sophos.com/2017/09/21/critical-vmware-vulnerability-patch-and-update-now/
Для обсуждения новостей, у нашего канала есть чатик @alexlitreev_chat. Присоединяйтесь!
Также подписывайтесь на мой личный канал, если хотите. А не хотите — не подписывайтесь. Вот: t.me/litreevsays
⚡️BREAKING
Компания Adobe (а вернее — A-d'oh!-be) сказочно облажалась и выкинула приватный PGP ключ в сеть.
https://arstechnica.com/information-technology/2017/09/in-spectacular-fail-adobe-security
Министерство обороны Швейцарии подверглось кибератаке с использованием известного зловреда Turla, используемого в кибершпионаже.
http://www.securitylab.ru/news/488529.php