Кстати, пару дней уже забываю. Если у вас есть с сайт с Drupal, то вам будет полезно почитать это - критическая уязвимость, срочно апдейтиться, вот это все
https://www.drupal.org/sa-core-2018-002
https://www.drupal.org/sa-core-2018-002
Вчера Apple выложила обновления всех своих операционных систем. Всегда интересно просматривать информацию не только о новых фидах обновлений, но и о новых исправлениях безопасности:
iOS 11.3 https://support.apple.com/en-us/HT208693
macOS 10.13.4 https://support.apple.com/kb/HT208692 (тут же и информация о фиксах для 10.11 и 10.12)
watchOS 4.3 https://support.apple.com/kb/HT208696
tvOS 11.3 https://support.apple.com/kb/HT208698
Фиксы в Сафари https://support.apple.com/kb/HT208695
И даже фиксы в iTunes для Windows https://support.apple.com/kb/HT208694
iOS 11.3 https://support.apple.com/en-us/HT208693
macOS 10.13.4 https://support.apple.com/kb/HT208692 (тут же и информация о фиксах для 10.11 и 10.12)
watchOS 4.3 https://support.apple.com/kb/HT208696
tvOS 11.3 https://support.apple.com/kb/HT208698
Фиксы в Сафари https://support.apple.com/kb/HT208695
И даже фиксы в iTunes для Windows https://support.apple.com/kb/HT208694
Apple Support
About the security content of iOS 11.3
This document describes the security content of iOS 11.3.
А вот в Иране собрались заблокировать Телеграм и заменить его на свой православный... (зачеркнуто) кошерный... (зачеркнуто) халяльный! мессенджер Soroush
https://en.mehrnews.com/news/133064/Telegram-to-be-replaced-with-Iranian-app-within-weeks
https://en.mehrnews.com/news/133064/Telegram-to-be-replaced-with-Iranian-app-within-weeks
Mehr News Agency
Senior MP: Telegram to be replaced with Iranian app within weeks
TEHRAN, Mar. 31 (MNA) – Chairman of Iran’s Parliament National Security and Foreign Policy Commission said Sat. an Iranian alternative to Telegram will launch operation at the end of the current Iranian month.
И снова здравствуйте! Наступают трудо выебудни, а вместе с ними и новые новости об опасностях для информации. Например, стало известно, что магазины Saks Fifth Avenue/Lord&Taylor - популярные премиальные рителейлеры в США - стали жертвами злоумышленников, которые взломали платежную систему магазинов и собрали около 5 миллионов данных банковских карт клиентов этих магазинов. А это очень качественный улов, поскольку в этих магазинах шоппятся весьма состоятельные покупатели. Так что, технически, жертвами стали, конечно, покупатели, а не сами магазины. Детальной информации о технологии взлома нет, зато понятен период - с мая 2017 года. Пока что доступны к продаже 125 тыс карт, но говорят, о 5 миллионах, так что улов хороший. По ссылке немножко больше деталей
https://geminiadvisory.io/fin7-syndicate-hacks-saks-fifth-avenue-and-lord-taylor/
https://geminiadvisory.io/fin7-syndicate-hacks-saks-fifth-avenue-and-lord-taylor/
Fraud Intelligence - Gemini Advisory - Stop fraud before it happens with fraud intelligence. Harness the power of dark web fraud intelligence to remain a step ahead of cybercriminals.
Fin7 Syndicate Hacks Saks Fifth Avenue and Lord & Taylor
On March 28, 2018, a notorious hacking JokerStash syndicate, also known as Fin7 announced the latest breach of yet another major corporation.
Это я к тому, что можно сколько угодно говорить про очевидные сервисы типа ФБ или Гугл, собирающие о нас информацию, но таких “собирателей” при дальнейшей “оцифровке” нашей жизни будет все больше и больше. Нужен глаз да глаз
Вчера все воспринимали это за первоапрельскую шутку, но это не шутка
https://blog.cloudflare.com/announcing-1111/
https://blog.cloudflare.com/announcing-1111/
The Cloudflare Blog
Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service
Cloudflare's mission is to help build a better Internet. We're excited today to take another step toward that mission with the launch of 1.1.1.1 — the Internet's fastest, privacy-first consumer DNS service. This post will talk a little about what that is…
закрытый альбом во ВК? Не вопрос http://agora.legal/news/2018.04.03/V-Krasnoyarske-15-goda-kolonii-poseleniya-prosit-prokuror-po-delu-ob-ekstremizme/696
Привет. Чтобы не утомлять вас уведомлениями о множественных сообщениях, сегодня выпуск в виде дайджеста со ссылками:
1. В Саудовской Аравии(!) законодательно запретили следить за супругами с помощью шпионского программного обеспечения на смартфонах. Запрет относится как к мужьям, так и к жёнам. Наказание - до года заключения и/или штраф до 133 тыс долларов. Потому что информация опасносте!
http://www.gdnonline.com/Details/345138/Saudi-law-punishes-spousal-spying-on-mobile-phones
2. Как Panera Bread (популярная в США сеть модного, типа здорового фастфуда) сливала данные покупателей, которые заводили аккаунты для заказа еды в онлайне. Данные включали в себя имена, имейл, адрес, и последние 4 цифры номера банковской карты
https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/
3. А вы знали, что Chrome сканирует ваши файлы на компьютере и проверяет их на наличие вредоносного ПО? Вот и многие другие пользователи и эксперты не знали, что в браузер встроены базовые антивирусные функции. Вроде никакого вреда от этой функции нет, но Гугл бы не помешало лучше такие нововведения коммуницировать
https://motherboard.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool
4. А Facebook продолжает банить русских ботов в своей социальной сети. Можно сказать, что борьба со свободой слова ботов!
https://newsroom.fb.com/news/2018/04/authenticity-matters/
1. В Саудовской Аравии(!) законодательно запретили следить за супругами с помощью шпионского программного обеспечения на смартфонах. Запрет относится как к мужьям, так и к жёнам. Наказание - до года заключения и/или штраф до 133 тыс долларов. Потому что информация опасносте!
http://www.gdnonline.com/Details/345138/Saudi-law-punishes-spousal-spying-on-mobile-phones
2. Как Panera Bread (популярная в США сеть модного, типа здорового фастфуда) сливала данные покупателей, которые заводили аккаунты для заказа еды в онлайне. Данные включали в себя имена, имейл, адрес, и последние 4 цифры номера банковской карты
https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/
3. А вы знали, что Chrome сканирует ваши файлы на компьютере и проверяет их на наличие вредоносного ПО? Вот и многие другие пользователи и эксперты не знали, что в браузер встроены базовые антивирусные функции. Вроде никакого вреда от этой функции нет, но Гугл бы не помешало лучше такие нововведения коммуницировать
https://motherboard.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool
4. А Facebook продолжает банить русских ботов в своей социальной сети. Можно сказать, что борьба со свободой слова ботов!
https://newsroom.fb.com/news/2018/04/authenticity-matters/
Хотел об этом написать, но ребята из Завтракаста уже написали, причём в гораздо более приличных выражениях, чем собирался я
Forwarded from Zavtracast (Timur Seyfelmlyukov)
Сенат в США опять работает над законопроектом 2016 года (тогда его даже не вынесли на голосование), который подразумевает встраивание бэкдора для правительственных служб во все электронные устройства и по сути исключение возможности полного шифрования.
В 2016 году этот законопроект предлагали после истории со стрелком из Сан-Бернандиньо. Тогда ФБР не могло получить доступ к данным на его телефоне и всячески пыталась вынудить Apple создать специальную версию iOS, в которой был бы бэкдор. Apple упиралась и отказывалась. В итоге телефон взломали с помощью сторонней компании (якобы израильской Cellebrite).
Зная о постоянных сливах ИНСТРУМЕНТОВ взлома устройств от АНБ и ФБР, можно смело рассчитывать, что ключи для бэкдора попадут в общий доступ со световой скоростью. Жалко, что законодатели в сенате США этого не понимают.
https://www.cyberscoop.com/new-encryption-bill-dianne-feinstein-chuck-grassley-senate-judiciary-comittee/
В 2016 году этот законопроект предлагали после истории со стрелком из Сан-Бернандиньо. Тогда ФБР не могло получить доступ к данным на его телефоне и всячески пыталась вынудить Apple создать специальную версию iOS, в которой был бы бэкдор. Apple упиралась и отказывалась. В итоге телефон взломали с помощью сторонней компании (якобы израильской Cellebrite).
Зная о постоянных сливах ИНСТРУМЕНТОВ взлома устройств от АНБ и ФБР, можно смело рассчитывать, что ключи для бэкдора попадут в общий доступ со световой скоростью. Жалко, что законодатели в сенате США этого не понимают.
https://www.cyberscoop.com/new-encryption-bill-dianne-feinstein-chuck-grassley-senate-judiciary-comittee/
Cyberscoop
Here comes the next round of encryption legislation
Another Senate bill that intends to regulate encryption in private devices is in the works. Staffers for the Senate Judiciary Committee have been speaking with representatives of large U.S. technology companies in recent months to receive feedback for potential…
А показатели-то растут (это все ещё про Facebook и Cambridge Analytica). раньше говорили про 50 млн аккаунтов, теперь уже 87 млн. http://money.cnn.com/2018/04/04/technology/facebook-cambridge-analytica-data-87-million/index.html
CNNMoney
Facebook says Cambridge Analytica may have had data on 87 million people
Facebook announced changes to how it shares data and updated the number of people whose info was accessed by Cambridge Analytica.
Привет! Сегодня ритейлер Sears и авиакомпания Delta объявили о том, что клиенты компании пострадали в результате взлома подрядчика компании. Компания [24]7, которая обеспечивает чат-поддержку клиентов для Delta и Sears, оказалась жертвой кибератаки, что привело к утечке данных банковских карт клиентов Delta/Sears. В частности, около 100 тыс данных карточек клиентов Sears и пока неизвестное количество данных карточек клиентов Delta.
новость
https://www.reuters.com/article/us-delta-air-cyber-24-7-ai/sears-holding-delta-air-hit-by-customer-data-breach-at-tech-firm-idUSKCN1HC089
страничка у Delta
https://www.delta.com/content/www/en_US/response.html
страничка у Sears
https://blog.searsholdings.com/shc-updates/statement-on-data-security-incident/
новость
https://www.reuters.com/article/us-delta-air-cyber-24-7-ai/sears-holding-delta-air-hit-by-customer-data-breach-at-tech-firm-idUSKCN1HC089
страничка у Delta
https://www.delta.com/content/www/en_US/response.html
страничка у Sears
https://blog.searsholdings.com/shc-updates/statement-on-data-security-incident/
Delta
Information on [24]7.ai cyber incident
A 3rd party company that provides chat services for Delta and many other companies has been involved in a cyber incident.
Ладно, забанят так забанят. Давайте ещё немного про Фейсбук поговорим (да, мне тоже надоело, а что делать). Приколы с Фейсбуком не заканчиваются на том, что оказалось, что 87 миллионов пользовательских записей оказалось в руках тех, у кого они не должны были оказаться. Например:
1. Фейсбук подтвердил, что сканирует переписку пользователей в Messenger, и если обнаруживается что-то, не соответствующее политике компании (изображения, ссылки), то чат выводится модераторам. Удобно!
https://www.bloomberg.com/news/articles/2018-04-04/facebook-scans-what-you-send-to-other-people-on-messenger-app
2. Facebook вёл переговоры с больницами и медицинскими организациями о том, чтобы получить анонимизированную информацию о пациентах (болезни, предписанные медикаменты), для того, чтобы скрестить это со своей информацией о пользователях с помощью hashing, что, по сути, позволило бы деанонимизировать эти данные. Проект был приостановлен на фоне скандала с Cambridge Analytica. Совершенно не creepy, абсолютно.
https://www.cnbc.com/2018/04/05/facebook-building-8-explored-data-sharing-agreement-with-hospitals.html
3. И ещё про переписку. Facebook втихаря удалил переписку Цукерберга и других топ-менеджеров компании с некоторыми пользователями в системе Фейсбук (я так понимаю, что в Messenger). Facebook утверждает, что это для обеспечения безопасности коммуникаций этих топ-менеджеров, но сам факт такого скрытого удаления без предупреждения, причём из чужих инбоксов вряд ли добавляет репутационных баллов компании
https://techcrunch.com/2018/04/05/zuckerberg-deleted-messages/
Какой из этого всего вывод? Да черт его знает. Но забавно наблюдать, как после стольких лет многие наконец-то начали обращать внимание на поведение Facebook, и оказалось, что куда не копни, а там какие-то аццкие лажи.
1. Фейсбук подтвердил, что сканирует переписку пользователей в Messenger, и если обнаруживается что-то, не соответствующее политике компании (изображения, ссылки), то чат выводится модераторам. Удобно!
https://www.bloomberg.com/news/articles/2018-04-04/facebook-scans-what-you-send-to-other-people-on-messenger-app
2. Facebook вёл переговоры с больницами и медицинскими организациями о том, чтобы получить анонимизированную информацию о пациентах (болезни, предписанные медикаменты), для того, чтобы скрестить это со своей информацией о пользователях с помощью hashing, что, по сути, позволило бы деанонимизировать эти данные. Проект был приостановлен на фоне скандала с Cambridge Analytica. Совершенно не creepy, абсолютно.
https://www.cnbc.com/2018/04/05/facebook-building-8-explored-data-sharing-agreement-with-hospitals.html
3. И ещё про переписку. Facebook втихаря удалил переписку Цукерберга и других топ-менеджеров компании с некоторыми пользователями в системе Фейсбук (я так понимаю, что в Messenger). Facebook утверждает, что это для обеспечения безопасности коммуникаций этих топ-менеджеров, но сам факт такого скрытого удаления без предупреждения, причём из чужих инбоксов вряд ли добавляет репутационных баллов компании
https://techcrunch.com/2018/04/05/zuckerberg-deleted-messages/
Какой из этого всего вывод? Да черт его знает. Но забавно наблюдать, как после стольких лет многие наконец-то начали обращать внимание на поведение Facebook, и оказалось, что куда не копни, а там какие-то аццкие лажи.
Bloomberg.com
Facebook Scans the Photos and Links You Send on Messenger
Facebook Inc. scans the links and images that people send each other on Facebook Messenger, and reads chats when they’re flagged to moderators, making sure the content abides by the company’s rules. If it doesn’t, it gets blocked or taken down.
Несколько полезных и интересных ссылок от читателей (за что им традиционно спасибо):
1. Вот может быть полезная ссылочка для твоего канала - скрипт быстрого разворачивания на сервере Open-VPN. Я вот на Хецнере развернул за 3 евро в мес и рад =) https://github.com/Nyr/openvpn-install
(Потому что никогда не знаешь, что там с вашими данными делает ваш провайдер VPN)
2. Как популярная сеть для геев позволяет утекать части данных о пользователях
https://mashable.com/2018/04/02/grindr-user-privacy-hiv-status/
3.
«Могу рассказать, как СПбГУ ЛЭТИ облажался с личными данными участников олимпиады ДМиТИ. Они все доступны для закачки, вся база почт открыта
http://dmti.ipo.spb.ru/files/db/*
В любом случае, при подстановке числа от 30 до примерно 300 получаешь загруженные участниками соглашения»
1. Вот может быть полезная ссылочка для твоего канала - скрипт быстрого разворачивания на сервере Open-VPN. Я вот на Хецнере развернул за 3 евро в мес и рад =) https://github.com/Nyr/openvpn-install
(Потому что никогда не знаешь, что там с вашими данными делает ваш провайдер VPN)
2. Как популярная сеть для геев позволяет утекать части данных о пользователях
https://mashable.com/2018/04/02/grindr-user-privacy-hiv-status/
3.
«Могу рассказать, как СПбГУ ЛЭТИ облажался с личными данными участников олимпиады ДМиТИ. Они все доступны для закачки, вся база почт открыта
http://dmti.ipo.spb.ru/files/db/*
В любом случае, при подстановке числа от 30 до примерно 300 получаешь загруженные участниками соглашения»
GitHub
GitHub - Nyr/openvpn-install: OpenVPN road warrior installer for Ubuntu, Debian, AlmaLinux, Rocky Linux, CentOS and Fedora
OpenVPN road warrior installer for Ubuntu, Debian, AlmaLinux, Rocky Linux, CentOS and Fedora - Nyr/openvpn-install
Алярма!!! Если у вас свитч Cisco, нужен срочный патч! https://www.zdnet.com/article/cisco-critical-flaw-at-least-8-5-million-switches-open-to-attack-so-patch-now/
ZDNet
Cisco critical flaw: At least 8.5 million switches open to attack, so patch now
Cisco patches a severe flaw in switch deployment software that can be attacked with crafted messages sent to a port that's open by default.