Помните Meltdown/Spectre? Вот и RedHat помнит, но пока что откатили патчи, потому что сильно повлияло на стабильность системы https://access.redhat.com/solutions/3315431
интересная история про расширение для Хрома, которое кликает за юзеров по видео, и которое практически невозможно удалить с компьютера пользователя. Было доступно из Google Chrome extensions store, и заняло Гугл почти 3 недели, чтобы его убрать из магазина
https://arstechnica.com/information-technology/2018/01/malicious-chrome-extension-is-next-to-impossible-to-manually-remove/
https://arstechnica.com/information-technology/2018/01/malicious-chrome-extension-is-next-to-impossible-to-manually-remove/
Ars Technica
Malicious Chrome extension is next to impossible to manually remove
Extensions remain the Achilles heel for an otherwise highly secure browser.
не совсем по теме "опасносте", но по теме IoT, которую я тоже очень люблю. У Nokia (известного производителя телефонов эпохи раннего айфона) есть теперь еще "умные" весы, которые в том числе умели замерять скорость, с которой кровь течет по венам. Чем быстрее течет — тем, якобы, лучше здоровье. Так вот, Nokia собралась эту фичу отключить, потому что регуляционные органы не уверены в корректности подобных утверждений без дополнительного тестирования. И отключение будет без выбора — всем накатят автоматически апдейт завтра и фича тютю. Помните об этом, когда в следующий раз будете покупать очередной "умный" гаджет, что производитель может прокинуть вас через... ну, скажем, колено, только так, и мнения вашего особо не спросит — а фичи как не бывало. а то и устройство превратится в что-то, чем можно только гвозди забивать. (это в добавок к приветам от IoT с потерей персональных данных или участием в бот-сетях)
https://www.engadget.com/2018/01/22/nokia-disables-pulse-wave-velocity-body-cardio/
https://www.engadget.com/2018/01/22/nokia-disables-pulse-wave-velocity-body-cardio/
Engadget
Nokia will disable the key feature of its priciest scale
The Body Cardio scale will stop tracking Pulse Wave Velocity on January 24th.
Кстати, тут еще и HP откатила патчи, минимизирующие эффект Meltdown/Spectre, в связи с проблемами стабильности, возникающими после установки апдейта. проблема в микрокоде, который предоставила Intel в виде решения уязвимости Spectre
https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00039784en_us&hprpt_id=HPGL_ALERTS_1997698&jumpid=em_alerts_us-us_Jan18_xbu_all_all_1427307_1997698_ServersMoonshotSystemsSynergy_critical__/
при этом Intel подтвердила наличие этой проблемы, сообщив, что они её идентифицировали, уже вроде как исправили, и начали тестирование с партнерами, а как закончат тестирование — выпустят всем
https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/
пользователям Apple, говорят, можно не беспокоиться, потому что Apple не использует микрокод Intel
https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00039784en_us&hprpt_id=HPGL_ALERTS_1997698&jumpid=em_alerts_us-us_Jan18_xbu_all_all_1427307_1997698_ServersMoonshotSystemsSynergy_critical__/
при этом Intel подтвердила наличие этой проблемы, сообщив, что они её идентифицировали, уже вроде как исправили, и начали тестирование с партнерами, а как закончат тестирование — выпустят всем
https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/
пользователям Apple, говорят, можно не беспокоиться, потому что Apple не использует микрокод Intel
Intel Newsroom
Root Cause of Reboot Issue Identified; Updated Guidance for Customers and Partners
Intel Corporation provides an update on the reboot issues reported Jan. 11: Intel has identified the root cause for Broadwell and Haswell platforms, and made good progress in developing a solution to address it.
чипокалипсис не отпускает. теперь патчи решила придержать VMware
https://kb.vmware.com/s/article/52345
а Intel выложила список процессоров, которые не рекомендует обновлять: Broadwell, Haswell, Coffee Lake, Kaby Lake, Skylake и Ivy Bridge. Серверам с Xeon и Ivy Bridge тоже лучше пока не спешить
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf
короче, с этими уязвимостями стало понятно, что а) кластерфак еще тот, б) лучшая иллюстрация, что поспешишь — багов наплодишь.
https://kb.vmware.com/s/article/52345
а Intel выложила список процессоров, которые не рекомендует обновлять: Broadwell, Haswell, Coffee Lake, Kaby Lake, Skylake и Ivy Bridge. Серверам с Xeon и Ivy Bridge тоже лучше пока не спешить
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf
короче, с этими уязвимостями стало понятно, что а) кластерфак еще тот, б) лучшая иллюстрация, что поспешишь — багов наплодишь.
тут интересная история из твиттера подъехала. некий перец, вроде как живущий в Китае, рассказал прохладную былину о том, что его друг пользовался VPN в Китае, местные власти это определили и теперь iPhone больше не айфон. Более того, якобы этот друган пошел в Apple Store, сказал, что он пользовался VPN в Китае, и там сотрудник Apple сказал "ну вот тебе и причина, теперь тебе нужен новый телефон". Мол, китайские власти умеют удаленно что-то такое делать с телефоном, после чего он выходит из строя. Звучит, конечно, как конкретное гонево, но я не удивлюсь, если в какой-то момент вся эта история вылезет в качестве новостей во всех СМИ — с них станется.
13922016573636224846.jpg
760.8 KB
Разработчик Google поделился интересной статистикой, что менее 10% активных учетных записей Google пользуются двухфакторной авторизацией
у меня, если честно, речь после такой статистики отнимает. Почта в современном мире — это то, на что завязаны все остальные сервисы, чаще всего. в почте хранится огромное количество персональных данных. в почте, в конце концов, хранятся контакты других людей, которых после взлома тоже будут либо взламывать, либо спамить. если на что-то и настраивать 2FA, то это в первую очередь на почту. Да, в этом есть неудобства, я сам матерюсь каждый раз, когда надо идти в приложение с кодами доступа, но это тот дискомфорт, на который я согласен ради безопасности своих данных. Эх :(
18316621788131782935.jpg
715.2 KB
анатомия взлома почты. 14 минут на логин, удаление почты с нотификацией, экспорт контактов, рассылку почты с фишинговыми линками и логаут.
а вот, кажется, грядет отмена сетевого нейтралитета в российском интернете
https://www.rbc.ru/technology_and_media/23/01/2018/5a66091f9a79473f3441723c
Они, конечно, будут называть это красивыми словами про "мягкую сетевую нейтральность" и "разумными ограничениями", но вы-то знаете, как это будет на самом деле.
https://www.rbc.ru/technology_and_media/23/01/2018/5a66091f9a79473f3441723c
Они, конечно, будут называть это красивыми словами про "мягкую сетевую нейтральность" и "разумными ограничениями", но вы-то знаете, как это будет на самом деле.
РБК
Провайдеры попросили право самостоятельно ограничивать трафик сайтов
Российские провайдеры могут получить право ограничивать трафик отдельных сайтов. Переход к «мягкой сетевой нейтральности» с «разумным ограничением и контролем трафика» может быть предусмотрен в
кстати, интересный момент (спасибо, Никита, что натолкнул на мысль это поисследовать). В России, в общем-то, считается, что сетевого нейтралитета и так нет, а, значит, и отменять нечего 🙂
Вот, например, цитата:
В России есть сетевой нейтралитет?
Нет, причём сами власти содействуют этому. 25 февраля Минкомсвязь опубликовала список сайтов рунета, к которым у жителей страны должен быть бесплатный доступ в рамках универсальной услуги связи. Среди них — портал «Госуслуги» и серверы ЦБ и Центризбиркома. В то же время из СМИ в этот список попали, к примеру, «Русская служба новостей» и телеканал НТВ.
Против сетевого нейтралитета в России по факту выступают и провайдеры. Они вводят разные тарифы для доступа физических и юридических лиц. Кроме того, они меняют скорость трафика в зависимости от сайта, на который заходит пользователь. Некоторые операторы, например МТС и «Вымпелком» («Билайн»), вводят специальные «нулевые зоны» — адреса, при заходе на которые трафик не тарифицируется. Так, можно бесплатно зайти в облегчённые версии страниц Facebook, «ВКонтакте», «Одноклассники», Livejournal.com, «Яндекс.Карты». При этом Федеральная антимонопольная служба ещё в 2012 году заявила, что в таком случае, даже если у неё возникнут вопросы к оператору, это ещё не означает автоматически судебное разбирательство.
https://apparat.cc/world/about-net-neutrality/
или вот еще
Что в России?
В России нет особого законодательства, регулирующего сетевой нейтралитет, однако в теории провайдеры, злоупотребляющие навязыванием пользователю услуг, могут нарушать закон о связи.
Как показывает практика, подобная деятельность нередко заканчивается медийным скандалом.
"Провайдеры совершенно спокойно вмешиваются в канал связи между пользователем и сайтом, это сплошь и рядом бывает. Например, "Билайн" в мобильном интернете добавлял свое меню. Можно вспомнить сервис очень забавный в питерском Ростелекоме - "Космобонус", [в котором] компании платили за привлечение клиентов. Например, вы заходили на сайт aviasales.ru, а Ростелеком делал вид, что вы пришли через "Космобонус". Или санкт-петербургский провайдер "Веб Плас" блокировал более дешевые услуги, и требовал переходить на услугу на пять долларов дороже", - рассказал Русской службе Би-би-си создатель сайта Roem.ru Юрий Синодов.
При этом перспективы тяжбы и привлечения операторов к суду за подобные действия выглядят в российских реалиях весьма туманно.
"Больше всего операторы боятся нарушения закона о связи. Внедрение в передаваемый трафик своего кода - это нарушение конфиденциальности, но юристы операторов, конечно, стараются подстелить все соломки. Пока хватало скандалов, но если бы я юридически решал вопрос, я бы нашел зубастого юриста, который бы прицепился именно к нарушению тайны связи", - считает Синодов.
http://www.bbc.com/russian/features-40557357
А отменять то, чего нет — очень сложно.
Вот, например, цитата:
В России есть сетевой нейтралитет?
Нет, причём сами власти содействуют этому. 25 февраля Минкомсвязь опубликовала список сайтов рунета, к которым у жителей страны должен быть бесплатный доступ в рамках универсальной услуги связи. Среди них — портал «Госуслуги» и серверы ЦБ и Центризбиркома. В то же время из СМИ в этот список попали, к примеру, «Русская служба новостей» и телеканал НТВ.
Против сетевого нейтралитета в России по факту выступают и провайдеры. Они вводят разные тарифы для доступа физических и юридических лиц. Кроме того, они меняют скорость трафика в зависимости от сайта, на который заходит пользователь. Некоторые операторы, например МТС и «Вымпелком» («Билайн»), вводят специальные «нулевые зоны» — адреса, при заходе на которые трафик не тарифицируется. Так, можно бесплатно зайти в облегчённые версии страниц Facebook, «ВКонтакте», «Одноклассники», Livejournal.com, «Яндекс.Карты». При этом Федеральная антимонопольная служба ещё в 2012 году заявила, что в таком случае, даже если у неё возникнут вопросы к оператору, это ещё не означает автоматически судебное разбирательство.
https://apparat.cc/world/about-net-neutrality/
или вот еще
Что в России?
В России нет особого законодательства, регулирующего сетевой нейтралитет, однако в теории провайдеры, злоупотребляющие навязыванием пользователю услуг, могут нарушать закон о связи.
Как показывает практика, подобная деятельность нередко заканчивается медийным скандалом.
"Провайдеры совершенно спокойно вмешиваются в канал связи между пользователем и сайтом, это сплошь и рядом бывает. Например, "Билайн" в мобильном интернете добавлял свое меню. Можно вспомнить сервис очень забавный в питерском Ростелекоме - "Космобонус", [в котором] компании платили за привлечение клиентов. Например, вы заходили на сайт aviasales.ru, а Ростелеком делал вид, что вы пришли через "Космобонус". Или санкт-петербургский провайдер "Веб Плас" блокировал более дешевые услуги, и требовал переходить на услугу на пять долларов дороже", - рассказал Русской службе Би-би-си создатель сайта Roem.ru Юрий Синодов.
При этом перспективы тяжбы и привлечения операторов к суду за подобные действия выглядят в российских реалиях весьма туманно.
"Больше всего операторы боятся нарушения закона о связи. Внедрение в передаваемый трафик своего кода - это нарушение конфиденциальности, но юристы операторов, конечно, стараются подстелить все соломки. Пока хватало скандалов, но если бы я юридически решал вопрос, я бы нашел зубастого юриста, который бы прицепился именно к нарушению тайны связи", - считает Синодов.
http://www.bbc.com/russian/features-40557357
А отменять то, чего нет — очень сложно.
Apparat
Всё, что нужно знать о сетевом нейтралитете
Федеральная комиссия по коммуникациям США (FCC) решила узаконить сетевой нейтралитет, несмотря на протесты интернет-провайдеров. Тем временем, Республиканцы подготовили законопроект, который может заблокировать решение FCC. Право на равный доступ ко всем…
Хорошие новости для Мак-юзеров на старых системах. Для Sierra и El Capitan вышел Security Update 2018-001, минимизирующий риски для уязвимости Meltdown
https://support.apple.com/en-us/HT208465
https://support.apple.com/en-us/HT208465
Apple Support
About the security content of macOS High Sierra 10.13.3, Security Update 2018-001 Sierra, and Security Update 2018-001 El Capitan
This document describes the security content of macOS High Sierra 10.13.3, Security Update 2018-001 Sierra, and Security Update 2018-001 El Capitan.
Корейское правительство проинспектировало популярные биржи криптовалюты и обнаружило там такое!!! Кликай, чтобы узнать больше!
Привет! в продолжение вчерашней темы о сетевом нейтралитете — интересная статья на geektimes на эту тему от читателя канала
https://geektimes.ru/post/297513/
PS а вообще клевая аудитория у канала! это вам не мемасики постить 🙂
https://geektimes.ru/post/297513/
PS а вообще клевая аудитория у канала! это вам не мемасики постить 🙂
Хабр
Сетевой нейтралитет. Почему важно чтобы каждый понимал о чём идёт речь?
Всем доброго времени суток! Недавно на РБК появилась новость о том, что провайдеры попросили право самостоятельно ограничивать трафик отдельных сайтов. По сути н...
Кстати, тоже в продолжение темы отношений правительств и криптовалю. Министерство финансов России опубликовало законопроект «О цифровых финансовых активах», регулирующий криптовалюты и проведение ICO (initial coin offering, аналог IPO для криптовалют).
В проекте закона даны определения цифровых финансовых активов, к которым отнесены криптовалюта и токен. Оба они не признаются законным средством платежа на территории РФ.
Обмен токенов на другую криптовалюту или рубли может происходить только через специальных операторов. Стать им может только зарегистрированное в России юридическое лицо, соблюдающее федеральные законы «О рынке ценных бумаг» или «Об организованных торгах».
При выпуске токенов должны публиковаться сопроводительные документы, основной из которых – публичная оферта. В ней следует описать все детали сделки по продаже токенов, а также раскрыть бенефициаров проекта. При этом неквалифицированные инвесторы (то есть, например, обычные люди) в рамках одного ICO не смогут приобрести токены более чем на 50 тысяч рублей. Сумма, которую хотел бы привлечь эмитент токенов на ICO, законопроектом не ограничивается.
https://www.minfin.ru/ru/document/?id_4=121810&page_id=2104&popup=Y&area_id=4
В проекте закона даны определения цифровых финансовых активов, к которым отнесены криптовалюта и токен. Оба они не признаются законным средством платежа на территории РФ.
Обмен токенов на другую криптовалюту или рубли может происходить только через специальных операторов. Стать им может только зарегистрированное в России юридическое лицо, соблюдающее федеральные законы «О рынке ценных бумаг» или «Об организованных торгах».
При выпуске токенов должны публиковаться сопроводительные документы, основной из которых – публичная оферта. В ней следует описать все детали сделки по продаже токенов, а также раскрыть бенефициаров проекта. При этом неквалифицированные инвесторы (то есть, например, обычные люди) в рамках одного ICO не смогут приобрести токены более чем на 50 тысяч рублей. Сумма, которую хотел бы привлечь эмитент токенов на ICO, законопроектом не ограничивается.
https://www.minfin.ru/ru/document/?id_4=121810&page_id=2104&popup=Y&area_id=4
Откровения одной журналистки, которая, хоть и сделала себе сложный пароль, но в какой-то момент обнаружила (когда хакнули её банковский счет), что использовать один и тот же пароль в разных местах — чревато. Ну и парочка полезных советов про пароли, все очевидное, но все равно нужно повторять
https://www.inc.com/melissa-thompson/the-phone-call-that-changed-way-i-choose-my-passwords-forever.html
(я себе, кстати, на этот год запланировал задачу разобраться хорошенько с паролями, найти места, где еще применяется reuse паролей — да, мне стыдно — и исправить все, чтобы было правильно. Я даже жену уговорил наконец-то завести себе менеджер паролей, и вам рекомендую, если еще не)
https://www.inc.com/melissa-thompson/the-phone-call-that-changed-way-i-choose-my-passwords-forever.html
(я себе, кстати, на этот год запланировал задачу разобраться хорошенько с паролями, найти места, где еще применяется reuse паролей — да, мне стыдно — и исправить все, чтобы было правильно. Я даже жену уговорил наконец-то завести себе менеджер паролей, и вам рекомендую, если еще не)
многие знают про популярное приложение Tinder (даже я знаю, хотя я им не пользуюсь). Так вот, тут израильская компания Checkmarx продемонстрировала уязвимости в приложении, которые позволяют злоумышленникам, находящимся в одной с пользователем сети, следить за свайпами в приложении, видеть фотографии профилей, подменять их и тд. А все в связи с тем, что для передачи некоторых данных в приложении, не используется HTTPS
https://www.wired.com/story/tinder-lack-of-encryption-lets-strangers-spy-on-swipes/
по ссылке, зарегистрировавшись, можно скачать детальный отчет https://www.checkmarx.com/2018/01/23/tinder-someone-may-watching-swipe-2/
https://www.wired.com/story/tinder-lack-of-encryption-lets-strangers-spy-on-swipes/
по ссылке, зарегистрировавшись, можно скачать детальный отчет https://www.checkmarx.com/2018/01/23/tinder-someone-may-watching-swipe-2/
Wired
Tinder's Lack of Encryption Lets Strangers Spy on Your Swipes
Thanks to Tinder's patchwork use of HTTPS, researchers found they could reconstruct someone's entire experience in the app.
Только недавно я писал об истории, когда обнаружилось, что сайт производителя смартфонов OnePlus взломали и на протяжении нескольких месяцев воровали данные банковских карт покупателей на сайте (если раньше, чтобы подцепить вредоносное ПО, надо было купить смартфон с Android и установить на него какой-то софт, то с помощью OnePlus достаточно было просто купить смартфон, чтобы потерять данные карточки — оптимизация!). Так вот, тут в бете OxygenOS Open Beta 2 (это их форк Андроида для своих телефонов) обнаружилось еще более интересное: у приложения для буфера обмена нашелся странный файл badword.txt, в котором есть очень много интересных слов. файл на китайском, то есть пользователи на других языках вроде как не затронуты, но все же.
По порядку:
1. Там очень много ключевых слов, включая address, email, home, birthday, и проч. проч (я вставлю картинки со скриншотами чуть позже)
2. файлы лежат в шифрованной библиотеке teddymobile
3. teddymobile — компания, идентифицирующая пользователей по SMS-сообщениям
4. похоже, что OnePlus отправяет IMEI и другую информацию на сервера teddymobile
Короче, если у вас телефон OnePLus, то я бы задумался над тем, чтобы в будущем поменять его на телефон другого производителя, а то подход компании к данным пользователя что-то никому не нравится.
По порядку:
1. Там очень много ключевых слов, включая address, email, home, birthday, и проч. проч (я вставлю картинки со скриншотами чуть позже)
2. файлы лежат в шифрованной библиотеке teddymobile
3. teddymobile — компания, идентифицирующая пользователей по SMS-сообщениям
4. похоже, что OnePlus отправяет IMEI и другую информацию на сервера teddymobile
Короче, если у вас телефон OnePLus, то я бы задумался над тем, чтобы в будущем поменять его на телефон другого производителя, а то подход компании к данным пользователя что-то никому не нравится.