7050
Aleksandr Litreev about cybersecurity, blockchain & other joys of life. litreev.com
Также в Apple прокомментировали последние утечки на WikiLeaks и заявили, что большинство уязвимостей уже были закрыты и не актуальны. Некоторые открытые уязвимости будут исправлены в ближайшей новой версии iOS.
Читать полностью…
Для всех маководов — потрясающая инструкция по усилению защиты вашего Mac. Убираем ключи расшифровки FileVault из оперативной памяти компьютера при сне, настраиваем фаерволл, отключаем системные сервисы, настраиваем недоверие к выпущенным государством SSL-сертификатам, отключаем SSH, устанавливаем usbkill (штука для противодействия экспертизам) и многое другое. Пользуйтесь!
https://github.com/drduh/macOS-Security-and-Privacy-Guide
Тем временем я направил письмо Крейгу Федериги — вице-президенту Apple по разработке программного обеспечения для получения комментариев по последним новостям. Как получу ответ — обязательно опубликую здесь.
Читать полностью…
Ух, WikiLeaks выкинул в паблик очень много интересного материала по уязвимостям. Требуется тщательный анализ информации. На неделе будет большой пост обо всём этом.
Читать полностью…
Предварительно: DerStarke можно удалить с Mac с помощью перезаписи EFI. Скачать прошивку EFI можно на сайте Apple: https://support.apple.com/ru-ru/HT201518
Основная проблема DerStarke — нельзя понять, есть ли он в системе или нет.
Уже ТРИ месяца Microsoft не может закрыть очень серьёзную дыру с исполнением произвольного кода в своих браузерах Edge и IE. Радует, что ими никто не пользуется.
https://threatpost.ru/google-discloses-another-high-severity-microsoft-bug/20754/
Это вообще мясо и ужас. Оставлю без комментариев — Медуза всё рассказала до меня: https://meduza.io/feature/2017/02/24/servis-cloudflare-dolzhen-zaschischat-sayty-no-on-mesyatsami-slival-dannye-polzovateley-v-otkrytyy-dostup
Читать полностью…
Снова опасная действующая дырень (zero day) в Windows раскрыта Google’ом: https://geektimes.ru/post/286118/
Читать полностью…
Усатая шляпа не может в двухфакторку. Не надо так. Используйте двухэтапную аутентификацию везде, где можно и нельзя.
https://twitter.com/ernestmakarenko/status/829059478549049344
Сегодня был тихонько исправлен серьезный баг, связанный с повышением привелегий в WordPress. Кто до сих пор использует WP и всё еще не на 4.7.2 — обновляйтесь скорее! https://threatpost.ru/wordpress-silently-fixed-privilege-escalation-vulnerability-in-4-72-update/20455/
Читать полностью…
Очень забавно, ведь HTTPS в Спутнике нет от слова "совсем".
Читать полностью…
https://twitter.com/alexlitreev/status/820265745997250560
Читать полностью…
А вот это вот требования Сбербанка к паролям в Сбербанк Онлайн. Регистр не учитывается. ¯\_(ツ)_/¯
Читать полностью…
Кому лень читать, помните, что математика на страже вашей конфиденциальности, и спецам из ФСБ это ещё долго будет не по зубам :)
Читать полностью…
Новогодние праздники подходят к концу, а это значит, что скоро будет много интересных постов. Оставайтесь на связи!
Читать полностью…
UPD: Apple сообщила, что уязвимость, связанная с Siri будет закрыта в ближайшем обновлении ОС.
Проблема заключалась в следующем:
Пользователь iOS в настройках уведомлений может запретить показ превью сообщений на заблокированном iPhone, дабы избежать получения кодов, например, для оплаты в интернете (3DSecure) третьим лицом, в руках которого оказался ваш смартфон. Siri позволяла обойти это ограничение, и, фактически, делала эту функцию бесполезной. Достаточно произнести фразу "Read My Message" и Siri прочитает все недавние сообщения не смотря на запрет, установленный в настройках системы.
Уязвимости присвоен приоритет "высокий", проблема уже исправлена в последней Beta-версии iOS, которая станет доступна в ближайшее время.
Только что обнаружил серьезную уязвимость в iOS. До момента исправления ошибки подробностей не будет, но рекомендую полностью отключить Siri.
Читать полностью…
Интересно, зачем CIA собрались список японских ASCII смайликов? https://wikileaks.org/ciav7p1/cms/page_17760284.html
Читать полностью…
В связи с этим, публикую фото самого защищенного ноутбука по моему мнению.
Читать полностью…
Стало известно о проекте Vault 7 — средствах взлома разведки США. Среди них есть средство для атаки компьютеров Apple — DerStarke. Это вредоносное программное обеспечение записывает себя в низкоуровневую прошивку компьютеров Mac (EFI) и работает оттуда. Удалить вредоносную подпрограмму из EFI _гораздо_ сложнее, чем из самой операционной системы. EFI имеет доступ ко всей машине, и, страшно представить, как могут воспользоваться данной уязвимостью. В планах CIA — добавить возможность инъекций в файерволл Little Snitch и многое другое.
Подробнее на WikiLeaks (на англ.)
https://wikileaks.org/ciav7p1/cms/page_3375125.html
[СРОЧНО]
Напишу отдельным сообщением, что нужно срочно сменить пароли от сервисов, использовавших Cloudflare. Среди них — Uber, 1Password, Avito, 4PDA, OkCupid, Medium и The Pirate Bay.
Примечание: пользователи некорпоративной версии 1Password в безопасности.
Бабах! Ужас всех разработчиков и сайберсекьюрити специалистов!
Google научились в коллизию SHA-1 с гарантированным успехом! Переходите на SHA-256, например! https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
Очередные 13 критических дырищ были закрыты в обновлении Flash Player. Не используйте Flash Player, пожалуйста.
https://threatpost.ru/adobe-patches-13-code-execution-vulnerabilities-in-flash/20604/
Ого! Вас уже 500!
А совсем недавно было около 80-ти. Спасибо, что вы со мной! Буду стараться и дальше обращать внимание на важные аспекты информационной безопасности. Будет нас 1000 — может разыграю что-нибудь :)
Подписывайтесь, кстати, на меня в Твиттере, а то чего вы как эти самые: twitter.com/alexlitreev
Вместе мы сильнее!
Ваш @alexlitreev.
Всем привет! Недавно наткнулся на такое чудо: https://pravzhizn.ru/downloadmessenger
Православный месседжер на базе Telegram. Естественно, возникают вопросы безопасности. Один из участников чата, где обсуждалось это чудо сообщил, что после входа в это приложение, Telegram прислал сообщение с другим типом устройства, хотя вход осуществлялся через веб-версию.
Сразу же возникли подозрения на закладку для атаки Man-In-The-Middle. Мы проверили — нет, “Правжизнь Телеграмм” отправляет данные напрямую на серверы Telegram, но при этом данные профиля при регистрации дублируются на православный сервер. Никакие из передаваемых на сторонний сервер данных не позволяют получить доступ к переписке пользователя.
Тем не менее, использовать данный сервис не рекомендую — разработчик не внушает доверия. Более того, пытается выдать себя за официальный продукт команды Telegram.
Хм, оказывается об этом известно уже как 690 дней: https://news.ycombinator.com/item?id=9097361
Ииииииииии, видимо, всем плевать!
Есть определенные подозрения в отношении CNN. На HTTPS версии их основного сайта cnn.com недействительный SSL сертификат.
Читать полностью…
Это всё, что вам нужно знать о безопасности серверной (!!!) версии Windows.
Читать полностью…
Немножечко написал, что думаю про активно распространяющиеся слухи о взломе Telegram: http://telegra.ph/FSB-vzlomalo-Telegram-na-samom-dele-net-01-11
Читать полностью…
Есть ли среди моих подписчиков любители Hello Kitty? Ну всякое бывает ведь!
Вчера, 9 января, стало известно об утечке персональных данных 3.3 млн. пользователей компании Sanrio — владельца бренда Hello Kitty. Если вдруг вы использовали какие-либо развлекательные сервисы, связанные с Hello Kitty, и до сих пор используете один пароль на всех сайтах (надеюсь, тут таких нет), то пора менять пароли!