Change the root password
Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
Click lock icon, then enter an administrator name and password.
Click Login Options.
Click Join (or Edit).
Click Open Directory Utility.
Click lock icon in the Directory Utility window, then enter an administrator name and password.
From the menu bar in Directory Utility, choose Edit > Change Root Password…
Enter a root password when prompted.
Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
Click lock icon, then enter an administrator name and password.
Click Login Options.
Click Join (or Edit).
Click Open Directory Utility.
Click lock icon in the Directory Utility window, then enter an administrator name and password.
From the menu bar in Directory Utility, choose Edit > Change Root Password…
Enter a root password when prompted.
Для любителей терминала (совет от читателя Игоря):
Spotlight -> Terminal -> sudo passwd
enter you password
enter new password for root user
confirm new password
Spotlight -> Terminal -> sudo passwd
enter you password
enter new password for root user
confirm new password
Если интересно, то вот по ссылке есть подробное объяснение, почему баг с рутом вообще происходит (за ссылку спасибо читателю)
https://objective-see.com/blog/blog_0x24.html
https://objective-see.com/blog/blog_0x24.html
objective-see.org
Why _blank_ Gets You Root
tracking down the cause of a serious authentication flaw
Не рутом единым! Специалисты «Лаборатории Касперского» обнаружили в Google Play 85 вредоносных приложений, которые воровали данные пользователей, необходимые для входа во «ВКонтакте».
https://securelist.ru/ugony-prodolzhayutsya/88118/
https://securelist.ru/ugony-prodolzhayutsya/88118/
securelist.ru
“Угоны” продолжаются
Два года назад мы рассказали о зловреде, который распространялся через магазин приложений Google Play. Всего за два месяца этого года (октябрь и ноябрь) мы нашли 85 новых приложений, с помощью которых злоумышленники похищали учетные данные социальной сети…
Тут в очередной раз поднялась тема о том, что дроны DJI шпионят за Америкой в пользу Китая. Новость проиллюстрирована моей любимой картинкой https://gizmodo.com/homeland-security-thinks-dji-is-using-its-drones-to-spy-1820875601
Gizmodo
Homeland Security Thinks DJI Is Using Its Drones to Spy on America
Various members of the Trump administration, including the president himself, are famous for buying into crazy conspiracy theories. Now, the Los Angeles office of Homeland Security’s Immigration and Customs Enforcement (ICE) has come up with a whopper of…
Как сайты криптомайнят втихаря от пользователей даже после того, как пользователь закрыл сайт в браузере https://arstechnica.com/information-technology/2017/11/sneakier-more-persistent-drive-by-cryptomining-comes-to-a-browser-near-you/
Ars Technica
Websites use your CPU to mine cryptocurrency even when you close your browser
Resource-draining code hides in pop-under windows that can remain open indefinitely.
Как нам тут пишут, вчера в мире отмечался день этого канала! «Международный день защиты информации В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации.» с чем вас всех и поздравляю!
А если вы снимаете квартиру по AirBnB и там видите датчик движения - не расслабляйтесь, в нем может быть встроена камера
Времена Нового Йорка пишут о подрядчике Агентства Национальной Безопасности, с компьютера которого были украдены инструменты Агентства и в последствии опубликованы в Интернете группировкой Shadow Brokers
https://www.nytimes.com/2017/12/01/us/politics/nsa-nghia-pho-classified-information-stolen-guilty.html
https://www.nytimes.com/2017/12/01/us/politics/nsa-nghia-pho-classified-information-stolen-guilty.html
NY Times
Former N.S.A. Employee Pleads Guilty to Taking Classified Information (Published 2017)
Nghia H. Pho, a software developer for the intelligence agency, admitted taking secrets that Russian hackers then stole from his home computer.
а вот тут все как я люблю. автор рассказывает о приложении, которое использует детский сад, в который ходит его дочь. Приложение позволяет следить за активностями детей, загружать фотографии, и связываться с воспитателем. Автор просниффил трафик приложения и через 5 минут он мог просмотреть информацию по любому садику, получить данные по 150 тысячам родителей, включая адрес, номер телефона, имена, фотографии и тд. Более того, мог создать левый "садик" и пригласить туда других детей. НУЖНО БОЛЬШЕ БЕЗОПАСНОСТИ!
У издания Bell (признаться, до этого дня я о них не слышал ни разу, но эту ссылку мне прислали уже неоднократно) вышло интересное расследование о российских хакерах, которые причастны к атакам на сервера Демократической партии США (и, подозреваю, не только на них). Не знаю, насколько этой информации можно доверять, но в целом увлекательный материал. Чего только стоит тот факт, что материал о хакерах в США передали высокопоставленные сотрудники ФСБ.
https://thebell.io/kak-amerika-uznala-o-russkih-hakerah/
https://thebell.io/kak-amerika-uznala-o-russkih-hakerah/
The Bell
/* Cover Decoration */ .sidebar, .post__excerpt { display: none;}
Задержанный по делу о госизмене полковник ФСБ Сергей Михайлов и трое его товарищей причастны к утечке информации об атаках на сервера Демпартии США — по крайней мере, так утверждают знакомые с арестованными источники The Bell. С этих хакерских атак...
Есть такая приложунька — AI.type, модная клавиатура, у которой, по словам её разработчиков, около 40 млн пользователей. Так вот, на сервере этого приложения обнаружили базу данных с информацией о пользователях, которую, судя по всему, передавала клавиатура с телефонов пользователей. 577 гигабайт данных, среди которых почти 11 млн адресов электронной почты и 374 (ТРИСТА СЕМЬДЕСЯТ ЧЕТЫРЕ) миллиона номеров телефонов. Также, например, там были обнаружены списки приложений, установленных на телефонах пользователей, IP адреса пользователей, имена пользователей, даты рождения и фото. А также различную информацию об устройстве (IMEI, IMSI, производитель и модель, разрешение экрана, версия Android). Мало того, что какого хрена эта информация вообще собиралась, так еще и база данных не была зашифрована. Вот почему я не люблю все эти сторонние клавиатуры и всячески их избегаю (и вам рекомендую).
А, да, и что важно — похоже, что утекла информация только пользователей устройств с Android. Никогда такого не было, и вот опять.
http://www.zdnet.com/article/popular-virtual-keyboard-leaks-31-million-user-data/
А, да, и что важно — похоже, что утекла информация только пользователей устройств с Android. Никогда такого не было, и вот опять.
http://www.zdnet.com/article/popular-virtual-keyboard-leaks-31-million-user-data/
ZDNET
A popular virtual keyboard app leaks 31 million users' personal data
The app maker's database wasn't protected with a password, leaving exposed its users' most private information.
MailSploit — набор уязвимостей в 30 популярных почтовых клиентах (Apple Mail (macOS, iOS и watchOS), Mozilla Thunderbird, несколько почтовых клиентов Microsoft, Yahoo Mail, ProtonMail), который позволяет обмануть встроенные механизмы и подставить любой почтовый адрес
https://thehackernews.com/2017/12/email-spoofing-client.html
https://thehackernews.com/2017/12/email-spoofing-client.html
The Hacker News
MailSploit — Email Spoofing Flaw Affects Over 30 Popular Email Clients
A set of vulnerabilities, dubbed MailSploit, discovered in more than 30 popular email client applications that could allow anyone to send spoofed emails bypassing anti-spoofing mechanisms.