Здравия всем, дамы и господа. Если вы тут, значит вас интересует, что же всё-таки произошло за прошедшую неделю. А я не знаю. 
Нет, правда, я пишу это во вторник, я не знаю, что произошло, например, в среду потому, что среда ещё не произошла. Вы узнаете об этом совсем скоро, а я – завтра.
Нет, правда, я пишу это во вторник, я не знаю, что произошло, например, в среду потому, что среда ещё не произошла. Вы узнаете об этом совсем скоро, а я – завтра.
Ключ небезопасности
“Лаборатория ниндзя” (NinjaLab) опубликовали исследование, гласящее… Нет, кричащее об уязвимости в, так называемых, “ключах безопасности”, которые, как оказалось, лёгким мановением руки и покупкой спец. устройства за $12 000 можно клонировать, а, значит, безопасность такого устройства начинает слегка пошатываться. Уязвимость CVE-2021-3031 реализуется следующим образом:
- вскрытие ключа (Google Titan, YubiKey или подобный);
- покупка оборудования на 12 тысяч долларов;
- изучение операций, производимых на микроконтроллере NXP A7005. (именно его использует Google Titan);
- клонирование.
Ссылка скрыта от гостей
У стен есть уши
Как и у контроллеров. Испугался? Занервничал? Да - да, ты, с закрытой камерой. Ты лишил “врага” глаз, но забыл, что у него есть ещё и уши. А вот Хейкки Юва не забыл. Ему не понравилось, что в контроллере Google Stadia есть встроенный микрофон, который, как несложно догадаться, не выключается аппаратно. Зато прекрасно высверливается, это подтвердил господин Юва, удалив микрофон дрелью прямо через корпус. Казалось бы, зачем, если можно было разобрать? А вот не можно было. И сейчас не можно . Google сделали контроллер таким, чтобы разборка оного в домашних условиях была невозможна. Все прочие функции продолжали работать, как и должны были, кроме, разумеется, голосового ассистента.
. Google сделали контроллер таким, чтобы разборка оного в домашних условиях была невозможна. Все прочие функции продолжали работать, как и должны были, кроме, разумеется, голосового ассистента.
Ссылка скрыта от гостей
Статистика утечек гласит
По итогам 2020 утекло около 100 миллионов записей с персональными данными и платёжной информации россиян. Я мог бы кинуть эту новость в “Блиц”, но тогда бы нарушилось соседство. Какое? Смотрите дальше.
Ссылка скрыта от гостей
Москва окончательно накрывается колпаком
Мэрия Москвы планирует создание базы данных, содержащих данные москвичей, включающие даже данные о детях и животных. Ну хотя вряд ли это лишь планы, так как уже размещён тендер стоимостью 185 млн рублей. База данных будет включать документы граждан, сведения об их работе и доходах, адреса, информацию о родственниках, успеваемости детей в школе и домашних животных. В БД занесут номера паспортов москвичей, СНИЛС, ИНН, полиса ОМС, транспортные сведения (VIN, ПТС, СТС), данные карт «Тройка». Также заявлена проверка реальных доходов. По задумке властей, это позволит ускорить и упростить получение госуслуг и льгот через личный кабинет на портале mos.ru. Так, система сможет запросить данные Федеральной налоговой службы и других ведомств. А когда-нибудь по недодумке какого-нибудь нехорошего человека произойдёт утечка. Я не говорю “если”, я говорю “когда”. Это не моя спонтанная идея, об этом подумали некие “эксперты”, но даже без экспертного мнения можно понять опасность сего действа. Московская мэрия не оставила этот вопрос безответным и заявила, что будет применена “защита высшей категории”. Сомнения терзают меня, когда слышу подобные заявления. Но я не москвич и не планирую становится таковым, посему могу не волноваться.
Ссылка скрыта от гостей
Не желаете сливу?
Крупная и быстрорастущая китайская компания по управлению социальными сетями Socialarks пострадала от огромной утечки данных, в результате которой было раскрыто более 400 ГБ личных данных, включая информацию нескольких влиятельных людей. Уязвимая база данных содержала «огромный клад» конфиденциальной личной информации объемом 408 ГБ и в общей сложности более 318 миллионов записей. Как же так вышло? А всё очень просто, кто-то снова облажался, оставив сервер с доступом в интернет без какой бы то ни было защиты. 318 млн пользователей пострадало в результате этой утечки. Это невероятно большое число, по факту, как две России. Интересно, как себя чувствуют люди, понимающие, что это произошло по их вине?
За предоставленную информацию благодарю специалистов Группы компаний «Анлим»
22 вкладки… 22 чёртовых вкладки, именно столько у меня открыто в браузере прямо сейчас, а сегодня лишь среда. Ох, и насыщенная же неделя.
Ссылка скрыта от гостей
За предоставленную информацию благодарю специалистов Группы компаний «Анлим»
Ссылка скрыта от гостей
22 вкладки… 22 чёртовых вкладки, именно столько у меня открыто в браузере прямо сейчас, а сегодня лишь среда. Ох, и насыщенная же неделя.
Бедный Parler
Господин Матце сейчас находится под огромным давлением, как, в прочем, и его компания. То, что их отключили от хостинга — ни для кого не секрет, но это ещё не всё. Позже с ними отказался работать сервис двухфакторной аутентификации, после чего данные весело уплыли. Кроме того, с Parler не стало работать большинство хостинговых сервисов. Видимо, кому-то придётся ставить сервер у себя дома. Джон Матце подал на Amazon в суд. В иске заявлено, что действия Amazon «эквивалентны отключению пациента больницы от системы жизнеобеспечения». Матце просит суд обязать AWS вернуть сервис в онлайн. Вдобавок Parler обвиняет облачный сервис в нарушении антимонопольного законодательства и участии в скоординированной атаке технологических гигантов с целью уничтожить конкуренцию на рынке. Представитель Amazon заявил, что они ничего не нарушали, а вот Parler отказались блокировать нежелательный контент, тем самым нарушив правила обслуживания, и, видимо, подписав себе смертный приговор.
За предоставленную информацию благодарю специалистов Группы компаний «Анлим»
Джон Матце подал на Amazon в суд. В иске заявлено, что действия Amazon «эквивалентны отключению пациента больницы от системы жизнеобеспечения». Матце просит суд обязать AWS вернуть сервис в онлайн. Вдобавок Parler обвиняет облачный сервис в нарушении антимонопольного законодательства и участии в скоординированной атаке технологических гигантов с целью уничтожить конкуренцию на рынке. Представитель Amazon заявил, что они ничего не нарушали, а вот Parler отказались блокировать нежелательный контент, тем самым нарушив правила обслуживания, и, видимо, подписав себе смертный приговор.
Ссылка скрыта от гостей
Ссылка скрыта от гостей
За предоставленную информацию благодарю специалистов Группы компаний «Анлим»
Ссылка скрыта от гостей
Опять корпоративные разборки
Турция начала антимонопольное расследование против мессенджера Whatsapp и компании Facebook. Антимонопольный орган Турции увидел в недавней деятельности Facebook угрозу безопасности и конфиденциальности турецких граждан. Представитель Whatsapp отверг все претензии, заявив, что это делается как раз для усиления контроля безопасности пользователей. Выглядит так, будто какой-то торговец из абстрактной деревни вышел на собрание и сказал
Много неточностей и допущений в моём сравнении, однако примерно так я вижу эту ситуацию.
Ссылка скрыта от гостей
Квантовая телефония? Что?
А вот так, в МГУ теперь здания университета соединены между собой защищённой квантовой телефонной линией. Число «телефонных будок» составляет 20 штук. Между некоторыми объектами расстояние достигает 50 километров. Сейчас сеть тестируется, однако, к концу 2021 года её обещают полностью ввести в эксплуатацию. Что самое интересное — линия зашифрована. И не каким-нибудь SSL, а физикой. При появлении стороннего наблюдателя квант из суперпозиции переходит в одно из возможных состояний, то есть перехват сделает квантовый ключ непригодным для работы. Проект призван протестировать и изучить. Подумать только, такими темпами через десяток лет мне придётся переучиваться на «Системное и сетевое администрирование для квантовых сетей». Ежели кто очень разбирается в квантовых сетях или, быть может, вам самим довелось ими попользоваться, исправляйте, дополняйте.
Центр квантовых технологий МГУ запустил линию защищённой квантовой телефонии
Центр квантовых технологий МГУ запустил линию защищённой квантовой телефонии
Опять «Единая система хранения ...»?
Вам не кажется, что всё призванное хранить какие-то данные в одном месте — это плохая идея? Но сейчас не о мнениях, а о фактах. А факты следующие. Центральный научно-исследовательский институт связи предлагает создать единую платформу для хранения информации о профилях сим-карт (eSIM). Сейчас операторы пользуются услугами разных поставщиков. В ЦНИИС считают, что единый поставщик обеспечит лучший контроль и защиту информации. Инициатива звучит не так плохо, однако «единый поставщик» - это отсутствие конкуренции, а в системе без конкуренции качество «контроля и защиты информации» ориентируется лишь на самого себя, что, в лучшем случае, замедляет развитие, в худшем — останавливает его. Опять же, не у меня одного подобное мнение. Вот что по этому поводу говорит представитель «Вымпелком»:
МТС также не одобряет подобную централизацию.
Ссылка скрыта от гостей
РЖД прокомментировала ситуацию
Какую? Ах, если вы задали этот вопрос, значит по какой-то причине вы каким-то образом пребывали в неведении о том, что пользователь хабра влез в сеть РЖД и ужаснулся. Если казалось вам, что не так всё плохо — мне вас жаль, потому что сейчас мне придётся открыть вам глаза.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?»
Далее было проведено сканирование на предмет порта 8080, и обнаружен роутер с прокси и доступом во внутреннюю сеть.
«А вот сканирование vpn выдало более 20 000 устройств…
Причём более 1 000 штук — микротики. Огромное количество устройств с заводскими паролями.»
«Это здец. Сеть просто в решето. Причём это устройства по всей РФ.
Развёрнута профессиональная система видеонаблюдения.»
Вот, я ввёл вас в курс дела, теперь можно и посмотреть, что по этому поводу думают сами РЖД.
Далее было проведено сканирование на предмет порта 8080, и обнаружен роутер с прокси и доступом во внутреннюю сеть.
«А вот сканирование vpn выдало более 20 000 устройств…
Причём более 1 000 штук — микротики. Огромное количество устройств с заводскими паролями.»
«Это здец. Сеть просто в решето. Причём это устройства по всей РФ.
Развёрнута профессиональная система видеонаблюдения.»
Вот, я ввёл вас в курс дела, теперь можно и посмотреть, что по этому поводу думают сами РЖД.
Тут есть несколько вариантов. Либо они слишком уж медленно «совершенствуют», либо просто обманывают.
Честно, я очень надеюсь, что этот случай — исключение. Потому как если подобная ситуация аналогичная и на других гос.предприятиях, то всё крайне плачевно.
Разбор
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Отзыв РЖД
Честно, я очень надеюсь, что этот случай — исключение. Потому как если подобная ситуация аналогичная и на других гос.предприятиях, то всё крайне плачевно.
Разбор
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Отзыв РЖД
Ссылка скрыта от гостей
В недавнем обновлении Windows исправлены следующие уязвимости
- CVE-2021-1647 0day в Windows defender. Выполнение произвольного кода.
- CVE-2021-1648 Последствия неудачного исправления 0day в июне 2020. Повышение привилегий.
- CVE-2021-1658 Эта и несколько последующих без описания — дыры в RPC. Выполнение произвольного кода.
- CVE-2021-1160
- CVE-2021-1666
- CVE-2021-1667
- CVE-2021-1673
Как пишет Павел Зыков, имеется также и уязвимость в PsExec в версиях от 1.72 до 2.2, то есть во всех существующих версиях. Есть лишь одно исправление, но применимо оно лишь к последней версии. Официально ни единого слова о ней в последних обновлениях не было.
Обновляемся: Microsoft закрыла ряд критических уязвимостей
Обновляемся: Microsoft закрыла ряд критических уязвимостей
Со стула встал — с работы ушёл
Я мог бы использовать оригинальную формулировку данного выражения, но счёл её слишком уж грубой. Так вот, новость. Компания Health Boost IoT Technology создала подушки, с помощью которых будет отслеживать не только присутствие работников на месте, но и осанку и пульс. Некоторым записавшимся на тестирование не понравилось, что работодатель узнал об их отлыниваниях, хотя не должен был, ведь, как заявлялось, данные конфиденциальны и обезличены, но люди, следящие за правильностью данных, видели их в полностью открытом виде.
Так вот, новость. Компания Health Boost IoT Technology создала подушки, с помощью которых будет отслеживать не только присутствие работников на месте, но и осанку и пульс. Некоторым записавшимся на тестирование не понравилось, что работодатель узнал об их отлыниваниях, хотя не должен был, ведь, как заявлялось, данные конфиденциальны и обезличены, но люди, следящие за правильностью данных, видели их в полностью открытом виде.
Ссылка скрыта от гостей
Solarleaks
Всё слитое во время взлома solarwinds теперь продаётся, в том числе утилиты, используемые FireEYE. Вряд ли их покупка законна, поэтому на всякий случай скажу, не покупайте. И исключительно в целях введения в ситуацию скажу, что создан сторонний фейковый сайт.
Оригинальный
Фейковый
«Бабе цветы, детям мороженное, смотри, не перепутай».
Дополняю. Тулзы FireEye слили бесплатно.
За предоставленную информацию благодарю специалистов Группы компаний «Анлим»Оригинальный
Ссылка скрыта от гостей
Фейковый
Ссылка скрыта от гостей
«
Дополняю. Тулзы FireEye слили бесплатно.
Ссылка скрыта от гостей
У вас тут хард умер
Никто не знает почему, но это факт. Команда C:\:$i30:$bitmap повреждает файловую систему Windows. ОС, замечая это, предлагает перезагрузиться, после чего уже не оживает. Я настоятельно не рекомендую вам проверять это на своём основном устройстве. На чужом — можно. Кроме того, оно, по-видимому, работает и гиперссылкой, и, что уже точно известно, ярлыком. Мало того, не придётся даже открывать ярлык, чтобы сломать NTFS, так как Windows в фоновом режиме проверяет расположение ярлыков (читать: в фоновом режиме уничтожает сама себя). Работает на всех версия Win10, на момент написания не устранено.
За предоставленную информацию благодарю специалистов Группы компаний «Анлим»
Ссылка скрыта от гостей
За предоставленную информацию благодарю специалистов Группы компаний «Анлим»
Ссылка скрыта от гостей
Я не мог такое не вставить
На днях @Strife мне скинул этот снимок. Ну я не мог это пропустить, ведь все остальные новости меркнут по сравнению с этой. А почему не в «Блиц»? Потому что туда я фотки не вставляю, однажды как-то ткнул фото в «Блиц», выглядит не очень, да и разрывает единообразие раздела.
Можно ли закрыть закрытое?
Запросто, отвечает Apple, потихоньку вводя новую систему «защиты». Если сейчас любой пользователь может запросто установить стороннее приложение на свой Mac, то вскоре лафа может закончиться. Это, конечно, ещё не факт, но, как пишет издание 9to5Mac, в недавнем обновлении MacOs Big Sur найдены зачатки системы, которая помешает пользователям устанавливать сторонние приложения. Этот запрет не коснётся приложений из Mac App Store, однако установка через файлы IPA может стать невозможной. Как считает издание: «возможен сценарий, когда Apple включит блокировку удаленно, как только обновление станет доступным для пользователей».
Ну что же, маководы, держитесь за поручни, вагон свободного ПО уезжает в небытие.
Ну что же, маководы, держитесь за поручни, вагон свободного ПО уезжает в небытие.
Ссылка скрыта от гостей
Iphone’ы убивают?
Так ли правдив этот заголовок? Hearth Rhythm Journal говорит, что да. Не напрямую, разумеется, а лишь через своё исследование, но это ничуть не умаляет серьёзности всей ситуации. А что, собственно, произошло. А произошла статья, гласящая об опасности магнитов Iphone 12 и MagSafe. Угроза существует лишь для людей с кардиостимуляторами и дефибриляторами. Apple знает об опасности и предупреждает пользователей с вышеупомянутыми мед. девайсами. Однако компания утверждает, что, даже учитывая магниты, новые устройства ничуть не опаснее предыдущих. Если в этом высказывании довериться яблочным, то встаёт вопрос, либо сейчас опасность переоценили, либо всё время до этого недооценивали? Издание Medical Xpress придерживается первого варианта, однако не отрицают, что магниты угрожают чутким устройствам (как раз таким, как кардиостимуляторы и дефибриляторы) перебоями. Итого, если у вас проблемы кардиологическего характера, не принимайте ничего близко к сердцу, особенно новые Iphone 12.
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Блиц
- Adata начала производство модулей оперативной памяти DDR5 со скоростью 8400 МТ/с.
Adata начала производство модулей памяти DDR5 со скоростью работы 8400 МТ/с - Википедии 20 лет.
«Википедии» — 20 лет - Гознак переходит на Postgres Pro.
«Гознак» переходит на российскую СУБД Postgres Pro - В Firefox 86 добавят поддержку формата AVIF.
Ссылка скрыта от гостей - В сеть Ubiquiti проникли, но ничего не сделали? Или сделали? Всё-равно смените пароль.
Ссылка скрыта от гостей - В колумбийском университете в робота встроили основы эмпатии
и маленький пластиковый пакет.
Исследователи Колумбийского университета встроили в робота основы эмпатии - Что? Данные о кредитах? Зачем? А, окей. Китайские регуляторы хотят получать от ИТ-гигантов данные о потребительских кредитах
- Один из провайдеров заблокровал Twitter и Facebook за цензуру. В США провайдер заблокировал Twitter и Facebook за цензуру
- Не носите одежду с символикой Facebook, это небезопасно.
Ссылка скрыта от гостей - Signal взлетел, Telegram подрос, а Whatsapp плачет в углу.
После изменения политики WhatsApp популярность Signal взлетела на 4200%, а Telegram вышел на второе место в США - В Индии и Китае растёт популярность ipv6.
Ссылка скрыта от гостей - Разработка Linux для старых процессоров закончится?
Разработчики Linux рассматривают отказ от поддержки старых процессоров - Две попытки, Томас, две! А иначе плакали твои 7002 биткоина.
Ссылка скрыта от гостей - Боб Свон уходит с поста ген. директора, его место займёт Патрик Гелсингер.
Ссылка скрыта от гостей - А здесь вы можете почитать оправдания Whatsapp.
Ссылка скрыта от гостей - Теперь застройщики будут обязаны предусматривать инфраструктуру для размещения сетей связи.
Ссылка скрыта от гостей - Обновление Windows 21H2 выйдет в июне, обещают редизайн.
Ссылка скрыта от гостей - Помните Сферум? Так вот, его запустили. Он использует многие технологии Вконтакте, но форком не является.
На базе ВКонтакте создают «Цифровую образовательную среду»
Вот и всё на эту неделю. Не устали читать? Надеюсь, что нет. А я устал писать, ибо таких объёмов информации в единицу времени я ещё не получал. Дабы не затягивать, я откланяюсь, до следующей недели.
