Ссылка от читателя про RCE в nginx
https://twitter.com/alisaesage/status/1134400428899127296?s=19
Ещё интересное
Nginx web server security executive summary
- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private
https://twitter.com/alisaesage/status/1134400428899127296?s=19
Ещё интересное
Nginx web server security executive summary
- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private
Twitter
Alisa Esage Шевченко
Got teaser pics, too :P
A lawyer for Facebook argued in court Wednesday that the social media site’s users “have no expectation of privacy.”
According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.
“There is no invasion of privacy at all, because there is no privacy,” Snyder said.
According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.
“There is no invasion of privacy at all, because there is no privacy,” Snyder said.
https://tjournal.ru/news/100080-roskomnadzor-vnes-tinder-v-reestr-rasprostraniteley-informacii
По закону «Об информации, информационных технологиях и о защите информации» регистрация в данном реестре обязывает компанию хранить логи сообщений в течение полугода и предоставлять спецслужбам ключи для расшифровки сообщений.
Берегите свою переписку в тиндере! :)
По закону «Об информации, информационных технологиях и о защите информации» регистрация в данном реестре обязывает компанию хранить логи сообщений в течение полугода и предоставлять спецслужбам ключи для расшифровки сообщений.
Берегите свою переписку в тиндере! :)
ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram
https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b?from=from_main
И комментарий Яндекса по этому поводу
https://vc.ru/legal/70451-yandeks-otvetil-na-novosti-o-trebovanii-fsb-vydat-klyuchi-shifrovaniya-i-prizval-reshit-vopros-bez-narusheniya-privatnosti
https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b?from=from_main
И комментарий Яндекса по этому поводу
https://vc.ru/legal/70451-yandeks-otvetil-na-novosti-o-trebovanii-fsb-vydat-klyuchi-shifrovaniya-i-prizval-reshit-vopros-bez-narusheniya-privatnosti
РБК
ФСБ потребовала ключи шифрования переписки пользователей у «Яндекса»
ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ
Я ещё в конце мая писал о том, что стало известно про взлом Flipboard (https://t.me/alexmakus/2863), но рассылка нотификаций у компании происходит очень медленно. Несколько читателей рисовало мне скриншоты уведомлений, полученных ими. А мне уведомление пришло только что. Не спешат они.
Telegram
Информация опасносте
меня тут читатели пинают уже, что новости о взломе два дня как, а я еще ни разу о ней не написал. Виноват, да. Flipboard, новостной агрегатор и инструмент для шаринга новостей, сбросил всем пользоваелям (десятки миллионов человек) пароли, после того, как…
По наводке читателя - халява! Год бесплатного семейного 1Password, без ввода данных карты https://1password.com/promo/canva/
1Password
This promotion has ended | 1Password
You can still try 1Password free for 14 days. Get the password manager that's trusted by millions.
конференция, поглощающая почти все мое время, вот-вот закончится, и мы перейдем к гораздо более регулярным апдейтам. а пока что вот вам интересный материал Google о Triada - вредоносном ПО для смартфонов Android, создатели которого нашли метод установки своего вируса еще во время разработки и производства телефона. Подрядчики производителя телефона становятся объектом атаки и таким образом Triada попадает в прошивку телефона, который затем уже приобретают счастливые пользователи
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html
Google Online Security Blog
PHA Family Highlights: Triada
Posted by Lukasz Siewierski, Android Security & Privacy Team We continue our PHA family highlights series with the Triada family, whi...
кстати, вот еще она хорошая новость про то, как Microsoft сначала собрала базу фотографий на 10 млн штук (на ней тренировались системы распознавания лиц). Правда, оказалось, что Microsoft забыла спросить у людей, которые в эту базу попали, разрешения на использование их лица в базе. Короче, хорошая новость в том, что Microsoft базу удалила. опасносте везде
https://www.engadget.com/2019/06/06/microsoft-discreetly-wiped-its-massive-facial-recognition-databa/
https://www.engadget.com/2019/06/06/microsoft-discreetly-wiped-its-massive-facial-recognition-databa/
Engadget
Microsoft discreetly wiped its massive facial recognition database | Engadget
Microsoft has been vocal about its desire to properly regulate facial recognition technology.
Даже NSA (да, именно та NSA) призывает патчиться против CVE-2019-0708, она же известная как «BlueKeep». Можно, конечно, заподозрить подвох, но скорее они хотят избежать ещё одного скандала, как с WannaCry, когда используется утёкшая от них уязвимость
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/1865726/nsa-cybersecurity-advisory-patch-remote-desktop-services-on-legacy-versions-of/
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/1865726/nsa-cybersecurity-advisory-patch-remote-desktop-services-on-legacy-versions-of/
www.nsa.gov
News & Features
NSA News and Features
В открытом доступе оказались данные примерно 900 тысяч россиян — клиентов крупных банков РФ. Любой человек, получивший доступ утекшим в интернет базам, сможет узнать имена, телефоны, данные паспортов и места работы пострадавших из-за утечки клиентов банков. Базы были выложены в сети в конце мая, содержащиеся в них данные не новые — им несколько лет, но большое количество информации вполне актуально.
https://www.kommersant.ru/doc/3997757
https://www.kommersant.ru/doc/3997757
Сегодня с утра ездил сдавать кровь на анализы. Чем это примечательно для тематики канала? Я сдавал их в лаборатории компании Quest Diagnostics, которая на прошлой неделе объявила о том, что взлом через инфраструктуру их партнера, принимавшего платежи, привел к утечке почти 12 миллионов пользовательских данных, включая информацию о банковских картах, и других персональных данных. Данные о результатах анализов не попали в утечку.
Подача уведомления в комиссию по ценным бумагам (видимо, в связи с тем, что подобная информация может существенно повлиять на стоимость акций компании) https://www.sec.gov/Archives/edgar/data/1022079/000094787119000415/ss138857_8k.htm?g8oi23jg43g
Показательно, что конкурент Quest Diagnostics, компания LabCorp тоже использовала этого подрядчика, и там тоже утекли данные на 7,7 миллиона пациентов, включая имена, адреса, даты рождения.
https://www.sec.gov/Archives/edgar/data/920148/000119312519165091/d757830d8k.htm
Дополнительная информация тут https://krebsonsecurity.com/2019/06/labcorp-7-7m-consumers-hit-in-collections-firm-breach/
Подача уведомления в комиссию по ценным бумагам (видимо, в связи с тем, что подобная информация может существенно повлиять на стоимость акций компании) https://www.sec.gov/Archives/edgar/data/1022079/000094787119000415/ss138857_8k.htm?g8oi23jg43g
Показательно, что конкурент Quest Diagnostics, компания LabCorp тоже использовала этого подрядчика, и там тоже утекли данные на 7,7 миллиона пациентов, включая имена, адреса, даты рождения.
https://www.sec.gov/Archives/edgar/data/920148/000119312519165091/d757830d8k.htm
Дополнительная информация тут https://krebsonsecurity.com/2019/06/labcorp-7-7m-consumers-hit-in-collections-firm-breach/
И большой привет администраторам. В официальных рекомендациях Microsoft для обеспечения безопаности Windows 10 компания рекомендует избавляться от политики, которая требует периодической замены пароля:
Dropping the password-expiration policies that require periodic password changes.
Мол, люди существа слабые, когда их заставляешь регулярно менять пароли, эти пароли становятся более предсказуемыми и слабыми. Или их записывают на бумажку. или забывают. Смысла в этой политике нет, так как единственная защита, которую обеспечивает такая политика — это против того, что пароль утечет и будет использован исключительно в период его валидности. А если пароль не крадут, то делать его устаревшим нет смысла. Поэтому эта политика уходит из базовых рекомендаций и настроек системы.
Больше информации: https://blogs.technet.microsoft.com/secguide/2019/05/23/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903/
Dropping the password-expiration policies that require periodic password changes.
Мол, люди существа слабые, когда их заставляешь регулярно менять пароли, эти пароли становятся более предсказуемыми и слабыми. Или их записывают на бумажку. или забывают. Смысла в этой политике нет, так как единственная защита, которую обеспечивает такая политика — это против того, что пароль утечет и будет использован исключительно в период его валидности. А если пароль не крадут, то делать его устаревшим нет смысла. Поэтому эта политика уходит из базовых рекомендаций и настроек системы.
Больше информации: https://blogs.technet.microsoft.com/secguide/2019/05/23/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903/
Телеграм потерял куда-то написанный мною вчера драфт, а жаль. Драфт был о том, что взлому подверглась компания Perceptics. О которой вы, скорей всего, никогда не слышали. Зато наверняка слышали о US Customs and Border Protection, таможенно-пограничной службе США. Так вот, вчера CBP опубликовали заявление, что их подрядчик (собственно, компания Perceptics) подверглась компьютерной атаке, в результате которой были украдены “до 100 тысяч” фотографий людей и автомобилей, пересекавших границу США. Якобы речь идет о фотографиях одного конкретного пропускного пункта в одном месте. Ничего святого у этих злодеев, конечно.
забавное еще палево у CBP случилось. Официально агентство не сообщало, у какого именно подрядчика произошел взлом. Но документ, который федеральное агентство рассылало в СМИ, называлось “CBP Perceptics Public Statement”.
https://www.npr.org/2019/06/11/731551123/hackers-grabbed-security-camera-images-taken-at-border-crossing-cbp-says
забавное еще палево у CBP случилось. Официально агентство не сообщало, у какого именно подрядчика произошел взлом. Но документ, который федеральное агентство рассылало в СМИ, называлось “CBP Perceptics Public Statement”.
https://www.npr.org/2019/06/11/731551123/hackers-grabbed-security-camera-images-taken-at-border-crossing-cbp-says
в мае я писал о том, что появились несколько zero-days для Windows, которые обнаружила исследователь под ником SandboxEscaper. Вчера у Microsoft был patch tuesday, и вышли апдейты для системы и приложений компании. в апдейты входят фиксы 88 уязвимостей, 21 из которых — критические, включая 4, обнаруженные SandboxEscaper. Вся информация об апдейтах по ссылке ниже. Вы знаете, что делать
https://portal.msrc.microsoft.com/en-us/security-guidance
https://portal.msrc.microsoft.com/en-us/security-guidance
https://twitter.com/unix_root/status/1138372837486596096
АПД пишут, что уже исправлена уязвимость
https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md
АПД пишут, что уже исправлена уязвимость
https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md
Twitter
Mohit Kumar
Don't you dare try opening any file, even text, on your #Linux using Vim or Neovim. https://t.co/fYonFjKHZG A high-severity flaw (CVE-2019-12735) has been found in the both widely-used editors that could allow a specially crafted file to execute commands…
Пару месяцев назад была история о том, как у Facebook обнаружилась программка для мониторинга пользователей на смартфонах, которую Facebook распространял в случае с iOS мимо App Store. Сама программка была типа исследовательской и предлагала деньги за мониторинг, но а) плохо рассказывала, что именно она мониторила, и б) в основном пользовалась популярностью у подростков, которым. (ну и по мелочи - нарушала правила Apple по использованию сертификата корпоративной разработки). Там было весело, с отзывом этого сертификата, и блокировкой работы всех внутренних приложений Facebook.
Почему внезапно я раскапываю эту стюардессу? У ТекКранча статья на базе письма, которое прислали Фейсбук сенатору по его запросу, в котором ФБ делится тем, что же они этой программой Research собрали. 31 тысяча пользователей из США, включая 4 тыс подростков, остальные более 150 тыс пользователей - из Индии. Данные не должны были включать в себя финансовую информацию и информацию о здоровье, и все, кроме данных по аналитике использования приложений, должно было удаляться. Но осадок остался 🙂
https://techcrunch.com/2019/06/12/facebook-project-atlas-research-apple-banned/
Эта новость в целом была бы не так важна, если бы не анонс ФБ о том, что компания снова запускает исследовательский проект, в этот раз только для Android (связываться с Эпол себе дороже). Приложение Study будет мониторить установленные приложения на телефоне, время, проведенное в приложениях, страну пользователя, и дополнительную информацию из приложений (но не конкретный контент вроде сообщений, посещенных сайтов и логинов-паролей). В отличие от предыдущего эксперимента, компания гораздо более открыто сообщает о сборе данных. Я, правда, не нашел, сколько за это платят в этот раз. Помните, что ваша информация стоит денег 🙂
https://newsroom.fb.com/news/2019/06/study-from-facebook/
Почему внезапно я раскапываю эту стюардессу? У ТекКранча статья на базе письма, которое прислали Фейсбук сенатору по его запросу, в котором ФБ делится тем, что же они этой программой Research собрали. 31 тысяча пользователей из США, включая 4 тыс подростков, остальные более 150 тыс пользователей - из Индии. Данные не должны были включать в себя финансовую информацию и информацию о здоровье, и все, кроме данных по аналитике использования приложений, должно было удаляться. Но осадок остался 🙂
https://techcrunch.com/2019/06/12/facebook-project-atlas-research-apple-banned/
Эта новость в целом была бы не так важна, если бы не анонс ФБ о том, что компания снова запускает исследовательский проект, в этот раз только для Android (связываться с Эпол себе дороже). Приложение Study будет мониторить установленные приложения на телефоне, время, проведенное в приложениях, страну пользователя, и дополнительную информацию из приложений (но не конкретный контент вроде сообщений, посещенных сайтов и логинов-паролей). В отличие от предыдущего эксперимента, компания гораздо более открыто сообщает о сборе данных. Я, правда, не нашел, сколько за это платят в этот раз. Помните, что ваша информация стоит денег 🙂
https://newsroom.fb.com/news/2019/06/study-from-facebook/
TechCrunch
Facebook collected device data on 187,000 users using banned snooping app
Facebook obtained personal and sensitive device data on about 187,000 users of its now-defunct Research app, which Apple banned earlier this year after the app violated its rules. The social media giant said in a letter to Sen. Richard Blumenthal’s office…
В апреле Google объявила о возможности использовать смартфон с Android в качестве физического ключа для двухфакторной аутентификации (https://t.me/alexmakus/2780). Тогда в качестве устройств, с которыми работал смартфон, были устройства на ChromeOS, macOS, Windows. теперь же добавилась поддержка устройств на iOS. Для этого вам требуется устройство с Android 7.0 и выше, и с его помощью вы сможете авторизовать айфоны и айпады для входа в службы Google и Google Cloud
https://gsuiteupdates.googleblog.com/2019/06/android-2step-ios.html
https://gsuiteupdates.googleblog.com/2019/06/android-2step-ios.html
Telegram
Информация опасносте
И хорошие новости! Теперь ваш смартфон с Android, начиная с версии 7.0, может стать физическим ключом безопасности для двухфакторной авторизации. То есть не надо покупать дополнительно отдельный ключ, и можно просто использовать телефон.
https://support.…
https://support.…