Статья Новостной дайджест по ИБ/IT за 21.12-28.12

Всем здравия дамы и господа. Знаменательный факт — первый календарный год моего для вас вещания подходит к концу. Объясню, я не вещаю год. Год, в который я начал свои статьи, заканчивается. Мда, надеюсь доходчиво, а если нет, то забудьте. С наступающим новым годом! :)

NYIBIT.jpg


Старые бумажки != бесполезные бумажки

На этой неделе на аукционе была продана 23-х страничная инструкция к Apple 1 и ранние схемы Apple 2 за авторством Стива Возняка. Кстати, это не пустые слова. Автор сам подтвердил происхождение этих документов.
«Документы можно датировать примерно 1975 годом. Это мои собственные оригинальные схемы прототипа Apple II и инструкции по программированию. Сокровище! На схемах даже видна моя техника макетирования: красным я помечал места соединений после того, как впаивал провода. Тогда я писал в основном фиолетовым фломастером, поэтому интересно смотреть на эти заметки десятки лет спустя. Прототип я собрал вручную, еще во времена работы инженером в подразделении Advanced Product Division компании Hewlett-Packard. Там я занимался разработкой портативных калькуляторов»
Итоговая стоимость данного лота составила $630 тыс. Видимо у яблок болезнь — неоправданно высокая стоимость. И это не упрёк в сторону коллекционеров, а выражение искреннего непонимания.
Схемы Apple II за авторством Стива Возняка продали на аукционе за $630 000

5G в России, можно порадоваться

Нет, ещё не выделили основные частоты. Нет, не одобрили 3,4-3,8. «А чему же тогда радоваться?» - такой вопрос может появиться, и он вполне разумен. Ответ на него — одобрение диапазона 6-7ГГц. Основным он стать не способен, т.к. имеет слишком малую площадь покрытия, но как дополнение к основному — сойдёт. Давайте сразу опустим обсуждения на тему «Дополнительное раньше основного?» и продолжим дальше.
Кстати, забавный факт, возможности Hack RF one заканчиваются на 6 ГГц, по крайней мере, с теми антеннами, что идут в комплекте.

Израильским ПО взломали журналистов

ПО израильской NSO Group использовали для взлома ЯТелефонов журналистов из Al Jazeera. Как заявили исследователи Citizen Lab, данной уязвимости подвержены все IOS старше версии 14. Кроме того, взлом был совершён по заказу Саудовской Аравии и ОАЭ, это не пустые слова, а изречение всё тех же исследователей. Сама NSO Group к взлому не причастна, она лишь продаёт софт. В основном покупателями являются правительства и правоохранительные органы. Они используют купленное ПО для выявления преступников, в основном террористов. Но случаются и прецеденты, когда их софт используется не по назначению. Но если такое случается, то разработчик «предпринимает все необходимые шаги в соответствии с процедурой расследования неправомерного использования продукта». Citizen Lab считают, что на данный момент обнаружена лишь мизерная часть атак на пользователей Iphone.
Было выявлено 36 взломов, проведённых 4-мя группами-операторами. Одна из групп работала по заказу Саудовской Аравии, другая - под эгидой ОАЭ. Обе вышеупомянутые группы следили за смартфонами, первые - за 18-ю, вторая - за 15-ю, и всё бы ничего, но один из смартфонов был у них общий. Разумеется, напрямую это ничего не значит, но косвенно подтверждает их координацию.​

Plsntchkdsk (please not check disk)

grust'.png


Обновление KB4592438 не только принесло нововведения, но и разнообразило жизнь пользователям Окон. Утилита Chkdsk вышла с анекдотом: при проверке SSD накопителя, она ломала файловую систему и, тем самым, вызывала грусть на экране и лице.

На момент написания ошибка уже была исправлена, но всё же, стоило это упомянуть.
Microsoft уже выкатили хотфикс, и вместе с ним инструкцию к починке, если уже всё сломалось.​
  • устройство (ПК или ноутбук) должно автоматически запуститься в консоли восстановления (Recovery Console) после нескольких неудачных попыток запуска;
  • там нужно выбрать пункт «Дополнительные параметры» (Advanced options);
  • в списке действий выбрать «Командная строка» (Command Prompt);
  • когда откроется командная строка, нужно ввести команду: «chkdsk /f»;
  • далее нужно дождаться, пока chkdsk завершит сканирование, это может занять некоторое время. По завершении этой процедуры нужно ввести команду: «exit»;
  • теперь устройство пользователя должно запуститься в штатном режиме. Если оно перезапускается в консоли восстановления, то там нужно выбрать «Выход» и перейдите к запуску Windows 10;
  • после выполнения вышеперечисленных действий устройство может снова автоматически запустить chkdsk при перезапуске. После завершения проверки система должна запуститься в рабочем режиме.
Вот так и закончилась история ошибки chkdsk.

Не репресии, а наведение порядка

Мы все знаем, где живём, поэтому словарик новояза ни в коем случае нельзя убирать дальше вытянутой руки, иначе вас зальёт информацией, неприятной для вас, непонятной для вас и неприятно пахнущей для всех. Словари под рукой, готовность к записи номер один, слушаем. Депутаты «Единой России» Александр Хинштейн и Сергей Боярский внесли в госдуму поправку, обязывающую соцсети контролировать размещённый контент и блокировать его при обнаружении противоправного контента. Господин Хинштейн уточнил что это меры не репрессивного характера, они направлены лишь на наведение порядка. Мало того, социальные сети теперь будут обязаны выявлять весь контент «в неприличной форме, которая оскорбляет человеческое достоинство и общественную нравственность, [выражает] явное неуважение к обществу, государству, официальным государственным символам РФ, Конституции РФ». Также в качестве требующего блокировки контента называются призывы к массовым беспорядкам, экстремизму и участию в несогласованных публичных мероприятиях. На habr’е к этой новости был применён очень классный тег - «гайки скрипят». Вопрос только в том, что произойдёт раньше, ключ сломается или грани гайки сорвёт? А может быть вовсе, сломается ось? В любом случае, излишняя затяжка чего угодно приводит к неконтролируемым последствиям, а когда дело касается общественных вопросов, то итог не просто неконтролируем, он совершенно хаотичен.​
Наведение «порядка» в интернете, очередной акт Марлезонского балета

В 2020 году выявили больше уязвимостей, чем когда-либо

В этом, наконец-то, проходящем году было выявлено 17 550 уязвимостей в ПО, это число больше, чем в любой другой год. Это совершенно не удивительно. Но не потому, что вдруг стали выпускать дырявый софт, а потому, что у людей стало больше свободного времени. К тому же, теперь взлом стал иметь больше смысла, ведь в этот год компьютеризация всех предприятий увеличилась из-за удалёнки и, соответственно, влезть в сеть стало проще, а профит с проникновения остался прежним, а в некоторых случаях даже увеличился.​
Антирекорд 2020: в ПО выявили уязвимостей больше, чем в любой другой год

Предустановка

Эта тема всё ещё актуальна, ведь не всё ещё по ней решено. На этот раз утвердили список приложений для smart TV. Вот он.​
  1. Wink
  2. ivi
  3. «Первый»
  4. «Кинопоиск»
  5. Okko
  6. More.tv
  7. Premier
  8. «Смотрим»
  9. НТВ
  10. Start
Я не думаю, что тут нужны дополнительные пояснения.

А почему не qwerty?

Нет, речь не о рыбке Эллиота, а о пароле сервера обновлений, который был защищён паролем solarwinds123. Я не знаю, о чём думал человек, который поставил этот пароль, но мне кажется, что ни о чём потому что нечем.

Telegram начнёт приносить доход разработчику

Господин Дуров пишет: «Со следующего года Telegram начнёт монетизироваться, —написал Павел Дуров. — При этом мы останемся верны нашим ценностям и гарантиям, которые дали в прошлом. Благодаря достигнутому масштабу, мы сможем монетизировать Telegram ненавязчиво — большинство пользователей едва ли заметят какие-либо серьёзные изменения». Уже сейчас известно о некоторых векторах монетизации. Один из них — реклама в каналах: «Мы предложим нашу собственную рекламную платформу для каналов, которая обеспечит пользователям комфорт и конфиденциальность, а нам позволит покрывать расходы на серверы и трафик». Ну, посмотрим. Сомневаюсь, что телега покатится под откос.
Павел Дуров

Чушь?

Помните, как яро Facebook защищала права малого бизнеса? И я не помню. Да и не защищали они ничего, это подтверждает внутренняя переписка между менеджерами, которая прямо нам показывает неспособность Лицокниги обеспечить хороший таргетинг. Технический директор написал, что действия соцсети - «это почти полная чушь», которая «немного вводит рекламодателя в заблуждение». Мало того, один из менеджеров написал доверенному лицу господина Цукерберга письмо с подобным содержанием.
«Точность интереса в США составляет всего 41%, в более чем половине случаев мы показываем рекламу кому-то, но не целевой аудитории рекламодателя. А в международном масштабе всё еще хуже».
Кроме того, менеджеры в своих переписках признают, что таргетинг работает из рук вон плохо, а критерии, лежащие в его основе, «сплошь дерьмо».

-Видишь Большого Брата?

-Нет

-А он есть

Это я к чему? Россия вышла на третье место по количеству телекранов камер видеонаблюдения. Разумеется, это обусловлено большой территорией страны и рассредоточенностью населения, но осадочек-то остался. Надеюсь, наша страна не станет похожа на антиутопию Джорджа Оруэлла, но моя надежда начинает беспокоиться, когда систему школьного видеонаблюдения называют «Оруэлл», но об этом слышали все.
Россия вышла на третье место в мире по числу камер видеонаблюдения

VPN на изготовку!

«Тучи сгущаются» - так высказался о ситуации Александр Широких. А что, собственно за ситуация? А ситуация действительно не самая весёлая, Youtube грозит блокировка на территории России. Записывайте. Если вы хотите, чтобы вас заблокировали на территории РФ, вам нужно:​
  1. Заблокировать на своём сервисе пропагандистское СМИ.​
  2. Заблокировать столь же пропагандистскую документалку.​
После этого есть вероятность, что ваши дни будут сочтены. Это не угроза, а прямая цитата, нечто подобное было сказано уже упомянутым господином Широких - «вероятность, что дни YouTube сочтены».

Amazon, где твоя безопасность?

Видимо, она полностью отсутствует, ведь коллективный иск от более чем 30-ти клиентов и подтверждения уязвимости со стороны специалистов по ИБ не могут обманывать. Было огромное множество инцидентов, но я расскажу лишь о парочке. Один из пользователей Ring заявил, что однажды, когда он смотрел телевизор, его спросили через камеру - «что смотришь?». Безобидно, да? Вроде как ничего страшного, но это может превратиться в настоящий фильм ужасов, как это случилось в одном из домов престарелых, где стояла такая камера. Одной пожилой женщине сказали: «Сегодня вечером ты умрёшь», после чего последовали сексуальные домогательства. Через камеру. Звучит безопасно, но не стоит недооценивать влияние звука на жизнь человека. Так. Например, в том же доме престарелых через камеру можно просто лишить человека тишины, что, несоменно, приведёт к проблемам со здоровьем либо усугубит уже имеющиеся.
Десятки пользователей подали иски к Amazon после взлома камер Ring

Apple разместила заказы на новые чипы

Технологический процесс новых чипов будет равен 3 нм, производство будет начато в 2022 году, а производить их будет компания TSMC. Возможно, эти чипы будут использованы в новых iPad и MacBook. К слову, ранее Apple забронировала 80% производственных мощностей на техпроцессе 5нм.
Apple разместила первый заказ на чипы с 3-нм техпроцессом у TSMC

Найдены 8 0-day антивирусов

  1. Побег из песочницы Avast. Это стало возможным просто из-за того, что у Avast своя кривая особенная песочница.
  2. Повышение привелегий Avast. На этот раз уязвимость пряталась под кнопкой Reapair App.
  3. Повышение привелегий McAfee Total Security
Вообще, я могу попытаться поверхностно объяснить все уязвимости, но мне трудно писать о том, чего я не понимаю, а в вопросах поиска дыр я не разбираюсь совершенно, поэтому предпочту не рисковать. Не понимая темы, я могу случайно ввести вас в заблуждение. Понимающие люди прочтут первоисточник, а для таких, как я, скажу лишь, что среди антивирусов с уязвимостями был и Касперский, а вообще, всё-равно прочтите первоисточник.

За информацию благодарю специалистов группы компаний «Анлим»

Блиц

  • Объявлены победители и лауреаты премии Russian Privacy Awards 2020
  • Sony представила Linux-драйвер для DualSense
    Sony представила Linux-драйвер для DualSense
  • Хакеры угрожают опубликовать 900 Гб фотографий клиентов пластических хирургов
  • Один из специалистов получил $2 млн на Hacker One
  • Данные водителей Яндекс Такси были выложены в сеть
  • 150 миллиардов рублей — именно эту сумму удалось за год собрать телефонным и интернет мошенникам в России
Ещё раз здравия. Концовка сегодня будет немного иная, нежели в других выпусках, новый год всё-таки. :)

Я пишу это 27 декабря, через четыре дня Новый Год, кто бы что ни говорил, это, всё же, событие. Поздравляю! Кого-то - с наступающим, кого-то - с прошедшим. В моей виртуальной серверной, как вы могли заметить, стоит ёлка и лежит снег. Снег в серверной - не лучшее событие, но в праздники можно. Я думаю, неплохая идея начать с нового года отчёт заново, то есть следующий дайджест выйдет 7 января, приходите. :)
 

yamakasy

Green Team
30.10.2020
158
113
BIT
0
оп, а вот и новый дайджест подъехал. а я уж начал за тебя беспокоиться, хотел писать в лс жив ли, здоров ли))
 
  • Нравится
Реакции: Adrian Grum и dieZel

dieZel

Green Team
08.04.2018
227
598
BIT
0
оп, а вот и новый дайджест подъехал. а я уж начал за тебя беспокоиться, хотел писать в лс жив ли, здоров ли))
Редактура задержалась. В следующий раз, если так произойдёт, можешь заглянуть в раздел "Мои статьи на codeby".
До редактуры статьи лежат там. :)
 

AgatCyber

Green Team
12.11.2020
28
26
BIT
0
Ну что же - новости неплохие для уходящего года.
особенно меня, как СЕО "БагБаунтиБай" ( ) порадовал тот статистический факт, что в 2020 все ринулись отыскивать уязвимости в ПО.
Собственно, к чему и было создание нашей Платформы - если у вендоров не хватает собственных ресурсов/мозгов/денег/сотрудников/скиллов - то им давно бы пора размещать заказы на платформах Багбаунти типа нашей.
У кого денег в избытке - конечно на Хакерван пусть идут.
У кого бюджеты ограничены - почему бы и с Платформы помельче не начать. Уж хуже-то не будет точно!
 
  • Нравится
Реакции: dieZel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!