Февральский патч безопасности для Android, помимо других уязвимостей, исправляет CVE-2021-39675 — критическую уязвимость, которая позволяет эскалировать права без какого-либо взаимодействия с пользователем, стеснительно поясняет Google в своем посте:
https://source.android.com/security/bulletin/2022-02-01
технических деталей мало, потому что, видимо, нужно дать время производителям выкатить апдейт для своих телефонов. Интересно, что изменения в коде затрагивают работу NFC, так что, возможно, что проблема была где-то в этом месте.
https://android.googlesource.com/platform/system/nfc/+/fef77a189022aa7ac53136e582a1444b1d2ef5f0%5E%21/#F0
Кстати, если у вас Pixel 3/3XL, то это последний апдейт, в том числе и безопасности, который получат эти устройства.
https://source.android.com/security/bulletin/2022-02-01
технических деталей мало, потому что, видимо, нужно дать время производителям выкатить апдейт для своих телефонов. Интересно, что изменения в коде затрагивают работу NFC, так что, возможно, что проблема была где-то в этом месте.
https://android.googlesource.com/platform/system/nfc/+/fef77a189022aa7ac53136e582a1444b1d2ef5f0%5E%21/#F0
Кстати, если у вас Pixel 3/3XL, то это последний апдейт, в том числе и безопасности, который получат эти устройства.
👍5😱5🤔2❤1
кстати, раз уж про апдейты. у Microsoft тоже февральский патч! 51 фикс, при этом ни одного критического CVE! Можно расслабиться и не ставить апдейт. Стоп. Нет, всетаки апдейт лучше поставить, чтобы разработчики Microsoft чувствовали себя нужными и восстребованными!
https://msrc.microsoft.com/update-guide/vulnerability
https://msrc.microsoft.com/update-guide/vulnerability
🎉12😁11💩10👏2
Какая-то странная история про швейцарскую компанию Mitto AG, которая предоставляла Твиттеру услугу по обеспечению двухфакторной аутентификации, когда пользователю требовалось текстовое сообщение с кодом. По совместительству эта контора также предоставляла услуги правительствам по слежке и мониторингу мобильных телефонов, включая информацию о местоположении телефона. Предполагается, что компания использовала уязвимости в протоколе SS7, который используется мобильными операторами для передачи информации между их сетями. Твиттер, кстати, не единственный её клиент, но, похоже, самый массовый.
https://www.bloomberg.com/news/articles/2022-02-08/twitter-tells-senator-it-is-cutting-ties-to-swiss-tech-firm
https://www.bloomberg.com/news/articles/2022-02-08/twitter-tells-senator-it-is-cutting-ties-to-swiss-tech-firm
Bloomberg
Twitter Tells U.S. Senator It’s Cutting Ties to Swiss Tech Firm
Twitter Inc. told a U.S. senator it is cutting ties with a European technology company that helped it send sensitive passcodes to its users via text message.
👍19😱7
АЛЯРМА
iOS и iPadOS 15.3.1, macOS Monterey 12.2.1, исправляют уязвимость в WebKit, которая "may have been actively exploited." (Значит, что 100% точно эксплуатировалась)
Так что ставьте апдейты, пока не началось!
https://support.apple.com/en-us/HT213093
iOS и iPadOS 15.3.1, macOS Monterey 12.2.1, исправляют уязвимость в WebKit, которая "may have been actively exploited." (Значит, что 100% точно эксплуатировалась)
Так что ставьте апдейты, пока не началось!
https://support.apple.com/en-us/HT213093
Apple Support
About the security content of iOS 15.3.1 and iPadOS 15.3.1
This document describes the security content of iOS 15.3.1 and iPadOS 15.3.1.
😱31👏6👍5🤬4🎉3🔥2😁2💩2👎1🥰1🤯1
Первый раз слышу о таком: Фейсбук для верификации человека требует залить видео, где будет видно лицо с разных сторон. Обещают потом обязательно видео удалить. Хочется услышать комментарий от ФБ, чтобы понять, не охренели ли они там окончательно
https://reddit.com/r/assholedesign/comments/sq81r0/facebook_asking_me_to_send_them_a_full_video_of/
https://reddit.com/r/assholedesign/comments/sq81r0/facebook_asking_me_to_send_them_a_full_video_of/
Reddit
r/assholedesign on Reddit: Facebook asking me to send them a full video of my entire face.
Posted by u/[Deleted Account] - 29,688 votes and 1,449 comments
😱16👍3😁2👎1
Симпатичный сайт, который можно показывать тем, кто не представляет себе масштабов возможного мониторинга в интернете - страница показывает различные данные, которые можно получить через браузер пользователя. Может быть, сможет кого-то из культа «мне нечего скрывать» убедить.
https://www.deviceinfo.me/
Похожий вариант
https://coveryourtracks.eff.org/
https://www.deviceinfo.me/
Похожий вариант
https://coveryourtracks.eff.org/
www.deviceinfo.me
Device Info - Web browser security, privacy, and troubleshooting tool.
Device Info is a web browser security testing, privacy testing, and troubleshooting tool.
🔥6👍3
=== РЕКЛАМА ====
Использование контейнеров в продуктивных системах растет с каждым днём.
Давайте разберемся, как же их защищать!
Для этого нам может помочь Gartner и его новая концепция - CNAPP - Cloud Native Application Protection Platform. Фактически она описывает концепцию защиты контейнеров как набор функций безопасности (SAST/DAST/IaCSec/KSPM и пр.), которые обеспечивают безопасность приложений на всех этапах их жизненного цикла - от разработки до продуктива.
Ещё есть набор полезных стандартов от CIS. Например CIS kubernetes/Docker/Linux benchmark. Это набор лучших практик по безопасной настройке и минимизации вероятности атаки на инфраструктуру. Показателен тут кейс с Tesla.
Но что делать, если что-то происходит уже внутри контейнеров?
Использовать защиту на уровне runtime! Блокировать вредоносные действия внутри запущенного контейнера и применять к ним политики ИБ.
Об этом и других аспектах защиты контейнеризации, расскажут на серии вебинаров от Aqua Security.
Ближайший вебинар уже в эту среду (16 февраля, 11:00 МСК)
присоединяйтесь -
info.aquasec.com/jump-start-russia
Использование контейнеров в продуктивных системах растет с каждым днём.
Давайте разберемся, как же их защищать!
Для этого нам может помочь Gartner и его новая концепция - CNAPP - Cloud Native Application Protection Platform. Фактически она описывает концепцию защиты контейнеров как набор функций безопасности (SAST/DAST/IaCSec/KSPM и пр.), которые обеспечивают безопасность приложений на всех этапах их жизненного цикла - от разработки до продуктива.
Ещё есть набор полезных стандартов от CIS. Например CIS kubernetes/Docker/Linux benchmark. Это набор лучших практик по безопасной настройке и минимизации вероятности атаки на инфраструктуру. Показателен тут кейс с Tesla.
Но что делать, если что-то происходит уже внутри контейнеров?
Использовать защиту на уровне runtime! Блокировать вредоносные действия внутри запущенного контейнера и применять к ним политики ИБ.
Об этом и других аспектах защиты контейнеризации, расскажут на серии вебинаров от Aqua Security.
Ближайший вебинар уже в эту среду (16 февраля, 11:00 МСК)
присоединяйтесь -
info.aquasec.com/jump-start-russia
👍11
История про губернатора Миссури не отпускает, и вроде бы даже на прошлой неделе у неё было завершение, но нет. Напомню, журналист, просматривая код сайта какого-то образовательного подразделения, обнаружил там номера социального страхования сотрудников этого подразделения (и многих других). О чем он сообщил администраторам сайта, те закрыли уязвимость, издание написало об этом новость. Говноедный губернатор обвинил журналиста в хакерстве, и даже несмотря на то, что ФБР сказали ему, что никакого взлома не было, натравил на журналистов прокуроров штата. Те, порасследовав дело, на прошлой неделе его закрыли - за отсутствием состава преступления. Но губернатор штата в своём заявлении продолжает настаивать, что это был факт взлома:
The hacking of Missouri teachers' personally identifiable information is a clear violation of Section 56.095, RSMo, which the state takes seriously. The state did its part by investigating and presenting its findings to the Cole County Prosecutor, who has elected not to press charges, as is his prerogative.
The Prosecutor believes the matter has been properly address and resolved through non-legal means.
The state will continue to work to ensure safeguards are in place to protect state data and prevent unauthorized hacks.
Говноед года, вот уж на самом деле.
https://www.techdirt.com/articles/20220212/19454448457/missouris-governor-still-insists-reporter-is-hacker-even-as-prosecutors-decline-to-press-charges.shtml
The hacking of Missouri teachers' personally identifiable information is a clear violation of Section 56.095, RSMo, which the state takes seriously. The state did its part by investigating and presenting its findings to the Cole County Prosecutor, who has elected not to press charges, as is his prerogative.
The Prosecutor believes the matter has been properly address and resolved through non-legal means.
The state will continue to work to ensure safeguards are in place to protect state data and prevent unauthorized hacks.
Говноед года, вот уж на самом деле.
https://www.techdirt.com/articles/20220212/19454448457/missouris-governor-still-insists-reporter-is-hacker-even-as-prosecutors-decline-to-press-charges.shtml
Techdirt
Missouri's Governor Still Insists Reporter Is A Hacker, Even As Prosecutors Decline To Press Charges
Last autumn, you may recall, the St. Louis Post-Dispatch published an article revealing that the Missouri Department of Elementary and...
💩61👍9😁7❤2👎2🔥2
Google вся такая в белом рассказывает, как она собирается обеспечить блокировку слежки за пользователям на смартфонах между приложениями. Все говорят, как это похоже на то, что сделала Apple (и что привело к потере 200 млрд долларов капитализации Facebook), но, как обычно, дьявол в деталях: не совсем то, не совсем так, и в анонсе только разговор о том, что они разработают план для разработки плана. Молодцы!
https://blog.google/products/android/introducing-privacy-sandbox-android/
https://blog.google/products/android/introducing-privacy-sandbox-android/
Google
Introducing the Privacy Sandbox on Android
We are expanding the Privacy Sandbox initiative to Android to introduce new, more private advertising solutions to mobile.
💩13🤔6👍4👏1
В январе я писал о взломе организации Красного Креста, и там было много неизвестных (примерно все)
https://t.me/alexmakus/4514
теперь появились детали:
- взломали их через Zoho (онлайн-набор софта для бизнеса)
- уязвимость CVE-2021-40539 https://nvd.nist.gov/vuln/detail/CVE-2021-40539
- 70 дней взлома без обнаружения
- предполагается, что виновники — группировка APT27 (китайские хакеры)
https://therecord.media/red-cross-blames-hack-on-zoho-vulnerability-suspects-apt-attack/
https://t.me/alexmakus/4514
теперь появились детали:
- взломали их через Zoho (онлайн-набор софта для бизнеса)
- уязвимость CVE-2021-40539 https://nvd.nist.gov/vuln/detail/CVE-2021-40539
- 70 дней взлома без обнаружения
- предполагается, что виновники — группировка APT27 (китайские хакеры)
https://therecord.media/red-cross-blames-hack-on-zoho-vulnerability-suspects-apt-attack/
Telegram
Информация опасносте
Непонятно кто непонятно как взломал инфраструктуру организации Красный Крест и похитил данные на 515 тысяч человек, которым помогает организация. Данные чувствительные, поэтому организация просит хакеров не распространять эту информацию, чтобы не нанести…
👍15🔥8
в последнее время нет сил писать еще комментарии к новостям, но у меня тут накопилось несколько интересных ссылок по теме
1. хакер обнаружил возможность создавать криптовалюту Ether в неограниченном количестве и получил вознаграждение в 2 млн долларова
https://protos.com/ether-hacker-optimism-ethereum-layer2-scaling-bug-bounty/
1. хакер обнаружил возможность создавать криптовалюту Ether в неограниченном количестве и получил вознаграждение в 2 млн долларова
https://protos.com/ether-hacker-optimism-ethereum-layer2-scaling-bug-bounty/
Protos
Hacker could've printed unlimited 'Ether' but chose $2M bug bounty instead
A hacker recently discovered an infinite Ether bug in scaling solution Optimism which could've wreaked havoc across the crypto ecosystem.
👍15
2. Интересная история про взломы Маков с процессорами Т2, которые обеспечивают шифрование данных и прочую защиту информации. А вот некоторые Маки с 2018 по 2020 год теперь могут быть взломаны софтом Passware, которое обходит ограничение на попытки подбора пароля (правда, медленно — 15 паролей в секунду)
https://9to5mac.com/2022/02/17/t2-mac-security-vulnerability-passware/
https://9to5mac.com/2022/02/17/t2-mac-security-vulnerability-passware/
9to5Mac
T2 Mac security vulnerability means passwords can now be cracked
A company selling password-cracking tools says that a newly-discovered T2 Mac security vulnerability allows it to crack passwords on the ...
🔥9👍3❤1👎1
3. ФБР призывает не сканировать QR коды где попало, потому что мошенники везде
https://www.ic3.gov/Media/Y2022/PSA220118
https://www.ic3.gov/Media/Y2022/PSA220118
👏13😁5
Пиздец
Пиздец
Пиздец
<вы находитесь здесь>
Пиздец
Пиздец
Пиздец
Россия развязала войну против Украины. Я буду предельно краток с формулировками: Россия - агрессор, и кровь граждан Украины будет на совести Путина и его клики. Любой, кто поддерживает Путина и его действия, ответственен за происходящее.
Дополню. Войну Россия против Украины развязала ещё в 2014 году, сейчас началась её вторая фаза, из которой для Росси нет хорошего выхода.
Пиздец
Пиздец
<вы находитесь здесь>
Пиздец
Пиздец
Пиздец
Россия развязала войну против Украины. Я буду предельно краток с формулировками: Россия - агрессор, и кровь граждан Украины будет на совести Путина и его клики. Любой, кто поддерживает Путина и его действия, ответственен за происходящее.
Дополню. Войну Россия против Украины развязала ещё в 2014 году, сейчас началась её вторая фаза, из которой для Росси нет хорошего выхода.
👍325❤87👎46💩35🤬28😢22🤮6🤔5
Да, любители Путина, вам за это ещё придётся заплатить
👍253💩50👎27❤19🤮2
Всем желающим покритиковать контент канала, рассказывая, что про политику нельзя и надо только профильные новости, хочу сказать следующее: канал мой, я сюда пишу то, о чем считаю важным и нужным. И да, это все равно по теме канала, потому что именно Россия долбила ДДоС атаками Украину в последние несколько дней в предверии наступления. Если кому-то не нравится редакционная политика канала, кнопка выхода из него совсем рядом. Гораздо ближе, чем кнопка выхода из этого экзистенциального кошмара. От себя не убежите, пытаясь наивно считать, что политика вас не затрагивает.
👍468❤107💩46🥰5🤮3👎2
По теме вам? Пожалуйста
https://www.bellingcat.com/news/2022/02/23/attack-on-ukrainian-government-websites-linked-to-russian-gru-hackers/
https://www.bellingcat.com/news/2022/02/23/attack-on-ukrainian-government-websites-linked-to-russian-gru-hackers/
bellingcat
Attack on Ukrainian Government Websites Linked to GRU Hackers - bellingcat
An attack on Ukrainian Government institutions and their websites has been linked to Russian GRU hackers, an investigation by Bellingcat and The Insider has found.
👍82💩11🤮4😢3👎2😁2👏1