Здравия всем дамы и господа. Как оказалось, WSR 2 марта, то есть завтра, если вы читаете это в понедельник, а значит, что ничего не собьёт график статей (раньше такой риск был, т.к. я мог банально не успеть). Но теперь, между подготовкой и сном я пишу сию статью, надеюсь, вы живёте поспокойнее. Начнём
Некоторое время назад Дэвид Гивен портировал Fuzix для ESP8266, теперь же он сделал то же самое, но уже для новой Raspberry pi pico. Стоит объяснить, что Fuzix – это база, с помощью которой производится установка ОС Unix, в случае ошибки, не буду против, если меня поправят. Проще говоря этот человек портирует Unix туда, куда, наверное, пока даже Doom не портировали.
Именно под таким заголовком на официальном сайте появилась новость о версии Kali Linux 2021.1. Может возникнуть вопрос, почему такое название? Потому что теперь «найти команду, которая не хочет находиться» стало гораздо проще. Ведь ранее, когда вы писали неправильную команду или пытались использовать пакет, который не установлен вы получали бездушное «command not found», теперь же всё иначе, терминал вам подскажет, что вы«fat fingered» ошиблись или, покажет, как установить программу, которую вы пытаетесь вызвать.
Кроме этого теперь Kali сотрудничает с ещё большим количеством разработчиков, в числе новоприбывших BC Security – создатель powershell-empire и Joohoi, создатель «Fuzz Faster U Full (ffuf)».
Разумеется, добавили новые утилиты, среди которых оказался великий airgeddon и ещё множество программ кроме него.
«Just a quick little thing». Добавлены пакеты с обоями.
Забавно, пока я всё это пишу, по левую сторону от меня обновляется Kali на ноутбуке. Но не об этом. Также обновления получила и Plasma KDE, равно как и Xfce. А вот GNOME обновления не получил, быть может ждут, когда GNOME 40 станет абсолютно стабильным.
Но полный список, как всегда, где-то внизу.
Именно этот вопрос должен возникнуть у любого человека, прочитавшего следующую цитату: «На данном этапе мы нашли существенные (солидные) доказательства, которые указывают на российскую внешнюю разведку. Мы не нашли никаких доказательств, которые привели бы нас куда-либо ещё».
Речь здесь идёт о взломе Solar Winds, а автором сего высказывания явился Брэд Смит, глава Microsoft. Единственные доказательства, которые он предоставил (хотя и это с натяжкой можно назвать доказательствами) — это то, что «использовавшиеся при взломе инструменты не были из тех, которые обычно используют Китай, КНДР или Иран».
Конечно, я не отрицаю возможности причастия РФ к этой атаке, но его слова совершенно не внушают доверия по причине полного отсутствия доказательств.
Глава Microsoft заявил об имеющихся доказательствах причастности России к хакерской атаке на SolarWinds
Вышла новая версия Telegram. Вот список нововведений:
И второй интересный момент. Вообще, всё оформление новости, гласящей об обновлении (взглянуть хотя бы на обложку) шикарно, но особенно порадовала демонстрация улучшенного интерфейса жалоб.
Текст из канала, изображенного на GIF:
WhoseApp:
«Это наш оффициальный канал.
Мы прислушиваемся к вам и обещаем, что никогда не отдадим ваши данные Facespook
»
WhoseApp:
«А ещё мы никогда вас не обманываем».
То, как они простебали WhatsApp – бесподобно. Ой, простите, WhoseApp, разумеется.
Достаточно часто я писал о жалобах в антимонопольные службы в сторону Google, Apple и прочих гигантов индустрии. Но сегодня настало время нашего родного Яндекса и не менее родной ФАС (Федеральной антимонопольной службы). Причиной предупреждения в сторону компании стало излишнее продвижение собственных сервисов компании по сравнению с конкурентами. Этими самыми сервисами явились «Яндекс.Вертикали», «Яндекс.Маркет», «Яндекс.Медиасервисы», «Кинопоиск». Но компании такое обращение не понравилось, и они изволили не согласиться с предупреждением.
«Мы не согласны с предупреждением ФАС. Некоторые требования предписания уже реализованы в поиске, однако отдельные важные его части мы считаем неправильными. Исполнение всех перечисленных требований ухудшит качество поиска для пользователя, а значит — положение поиска Яндекса на рынке по сравнению с конкурентами».
Допустим, с постоянным нахождением Я.Маркета в поисковой выдаче я не согласен (сугубо моё мнение), но вот сервис объектных ответов — очень удобная вещь, а ФАС требует убрать и его. Объектные ответы — это текст, появляющийся в самом начале страницы поисковой выдачи и отвечающий на поставленный вопрос без необходимости дополнительного сёрфинга.
Компания Framework представила модульный ноутбук. Идея его состоит в том, чтобы не выбрасывать устаревшие устройства, а заменять их части. Так, например, в этом ноутбуке будет 4 слота расширения, с помощь которых можно будет добавлять порты USB-C, USB-A, HDMI, Display Port, Micro SD и это ещё не весь список. То есть нужда в адаптерах исчезает. Материнская плата будет полностью заменяемая, а платы на новых процессорах планируется выпускать регулярно, то есть таким образом мы получаем модульность системного блока при компактности ноутбука. Корпус всегда будет оставаться один (наконец-то не придётся грустить о потерянных стикерах, остающихся на ноутбуках, которые продаёшь). К слову, это выгоднее ещё и для компании, ведь не нужно придумывать и запускать в производство новый корпус, нужно лишь обновлять внутренности для него. Уже сейчас известны некоторые характеристики.
Да, вот так вот в наш недельный дайджест 2021 года попала новость охватывающая весь 2020. Изначально было представлено 54 кандидата на попадание в список, далее, голосованием сообщества были отсеяны лишние, осталось всего 15 вариантов. Следующим шагом эксперты выбрали 10 лучших и вот они здесь.
За информацию благодарю Группу Компаний «Анлим»
IT-гигант начал выделять средства на поддержку двух штатных сотрудников, работающих над улучшением безопасности ядра. Инженер Google также заметил, что в компании безопасность стоит на первом месте и заявил:
«Проблема в том, что ядро Linux огромно... И мы находим ошибки намного быстрее, чем можем их исправить. Следующая проблема — найти способы ускорить этот процесс».
Видимо господин Торвальдс настолько быстро выпускает новые версии ядра, что в Google не успевают приводить их безопасность к подобающему уровню. Linux Foundation поблагодарили Google за такой акт поддержки.
Помните, как в сериале, когда f-society уронили все сервера и уничтожили все резервы Evil Corp. Так вот, нечто подобное произошло в реальности, но вот только за этим никто не стоитили об этом ещё не узнали, а причиной тому, что ФРС (Федеральная Резервная Система, выполняет функции центрального банка) лежала 3,5 часа, стал технический сбой. Во время «отдыха» ФРС не было доступа к некоторым сервисам выплат задолженностей, кредитов и прочим финансовым службам.
Из-за технического сбоя Федеральная резервная система США «лежала» несколько часов
Нет, правда, крайне плохая тенденция. В каждом дайджесте появляется новость о законе, который отдаёт ещё какую-то информацию в государственные структуры. Так случилось и в этот раз. Центральный научно-исследовательский институт связи исследует возможность введения системы, идентифицирующей пользователя сети по номеру телефона. Стоимость исследований составит 32.7 млн рублей. Хм, исследования. Звучит безобидно, не так ли? Только звучит, на самом деле всё весьма серьёзно, ведь одна из целей исследования - подготовка предложений поправок в законодательство для внедрения технологии — протокола переноса телефонных номеров на систему доменных имен в интернете ENUM (Electronic Number Mapping System). Система ENUM работает за счёт преобразования телефонного номера в домен. Операторы понимают, что это может привести к тотальному контролю. Вот что пишет по этому поводу МегаФон: «Внедрение технологии возможно, все операторы будут заинтересованы».
Ростелеком не разделяет уверенности МегаФона: «Это будет во многом зависеть от технической реализации, в том числе возможности государства создать единый центр авторизации».
Вообще, смысл этого нововведения не слишком ясен, ведь «Для идентификации пользователей государственных сервисов уже используется Единая система идентификации и аутентификации (ЕСИА), а в остальных случаях — электронная почта, тот же номер телефона или аккаунты в социальных сетях».
ЦНИИС изучит возможность внедрения в России системы идентификации пользователей интернета с привязкой к номеру телефона
Unix пробивает очередную стену
Некоторое время назад Дэвид Гивен портировал Fuzix для ESP8266, теперь же он сделал то же самое, но уже для новой Raspberry pi pico. Стоит объяснить, что Fuzix – это база, с помощью которой производится установка ОС Unix, в случае ошибки, не буду против, если меня поправят. Проще говоря этот человек портирует Unix туда, куда, наверное, пока даже Doom не портировали.
Ссылка скрыта от гостей
Command-Not-Found
Именно под таким заголовком на официальном сайте появилась новость о версии Kali Linux 2021.1. Может возникнуть вопрос, почему такое название? Потому что теперь «найти команду, которая не хочет находиться» стало гораздо проще. Ведь ранее, когда вы писали неправильную команду или пытались использовать пакет, который не установлен вы получали бездушное «command not found», теперь же всё иначе, терминал вам подскажет, что вы
Кроме этого теперь Kali сотрудничает с ещё большим количеством разработчиков, в числе новоприбывших BC Security – создатель powershell-empire и Joohoi, создатель «Fuzz Faster U Full (ffuf)».
Разумеется, добавили новые утилиты, среди которых оказался великий airgeddon и ещё множество программ кроме него.
«Just a quick little thing». Добавлены пакеты с обоями.
Забавно, пока я всё это пишу, по левую сторону от меня обновляется Kali на ноутбуке. Но не об этом. Также обновления получила и Plasma KDE, равно как и Xfce. А вот GNOME обновления не получил, быть может ждут, когда GNOME 40 станет абсолютно стабильным.
Но полный список, как всегда, где-то внизу.
Ссылка скрыта от гостей
А где доказательства?
Именно этот вопрос должен возникнуть у любого человека, прочитавшего следующую цитату: «На данном этапе мы нашли существенные (солидные) доказательства, которые указывают на российскую внешнюю разведку. Мы не нашли никаких доказательств, которые привели бы нас куда-либо ещё».
Речь здесь идёт о взломе Solar Winds, а автором сего высказывания явился Брэд Смит, глава Microsoft. Единственные доказательства, которые он предоставил (хотя и это с натяжкой можно назвать доказательствами) — это то, что «использовавшиеся при взломе инструменты не были из тех, которые обычно используют Китай, КНДР или Иран».
Конечно, я не отрицаю возможности причастия РФ к этой атаке, но его слова совершенно не внушают доверия по причине полного отсутствия доказательств.
Глава Microsoft заявил об имеющихся доказательствах причастности России к хакерской атаке на SolarWinds
Вам сообщение
Вышла новая версия Telegram. Вот список нововведений:
- Автоматическое удаление сообщений в любом чате;
- Два виджета на домашний экран: «Чаты» и «Ярлыки»;
- Временные ссылки-приглашения в группу;
- QR-коды-приглашения в группу;
- Группы для трансляций;
- Улучшенный импорт чатов;
- Обновления в интерфейсе жалоб;
- Новые анимированные стикеры.
И второй интересный момент. Вообще, всё оформление новости, гласящей об обновлении (взглянуть хотя бы на обложку) шикарно, но особенно порадовала демонстрация улучшенного интерфейса жалоб.
Текст из канала, изображенного на GIF:
WhoseApp:
«Это наш оффициальный канал.
Мы прислушиваемся к вам и обещаем, что никогда не отдадим ваши данные Facespook
»WhoseApp:
«А ещё мы никогда вас не обманываем».
То, как они простебали WhatsApp – бесподобно. Ой, простите, WhoseApp, разумеется.
Ссылка скрыта от гостей
А мы чем хуже?
Достаточно часто я писал о жалобах в антимонопольные службы в сторону Google, Apple и прочих гигантов индустрии. Но сегодня настало время нашего родного Яндекса и не менее родной ФАС (Федеральной антимонопольной службы). Причиной предупреждения в сторону компании стало излишнее продвижение собственных сервисов компании по сравнению с конкурентами. Этими самыми сервисами явились «Яндекс.Вертикали», «Яндекс.Маркет», «Яндекс.Медиасервисы», «Кинопоиск». Но компании такое обращение не понравилось, и они изволили не согласиться с предупреждением.
«Мы не согласны с предупреждением ФАС. Некоторые требования предписания уже реализованы в поиске, однако отдельные важные его части мы считаем неправильными. Исполнение всех перечисленных требований ухудшит качество поиска для пользователя, а значит — положение поиска Яндекса на рынке по сравнению с конкурентами».
Допустим, с постоянным нахождением Я.Маркета в поисковой выдаче я не согласен (сугубо моё мнение), но вот сервис объектных ответов — очень удобная вещь, а ФАС требует убрать и его. Объектные ответы — это текст, появляющийся в самом начале страницы поисковой выдачи и отвечающий на поставленный вопрос без необходимости дополнительного сёрфинга.
Ссылка скрыта от гостей
Теперь ещё и на него копить
Компания Framework представила модульный ноутбук. Идея его состоит в том, чтобы не выбрасывать устаревшие устройства, а заменять их части. Так, например, в этом ноутбуке будет 4 слота расширения, с помощь которых можно будет добавлять порты USB-C, USB-A, HDMI, Display Port, Micro SD и это ещё не весь список. То есть нужда в адаптерах исчезает. Материнская плата будет полностью заменяемая, а платы на новых процессорах планируется выпускать регулярно, то есть таким образом мы получаем модульность системного блока при компактности ноутбука. Корпус всегда будет оставаться один (наконец-то не придётся грустить о потерянных стикерах, остающихся на ноутбуках, которые продаёшь). К слову, это выгоднее ещё и для компании, ведь не нужно придумывать и запускать в производство новый корпус, нужно лишь обновлять внутренности для него. Уже сейчас известны некоторые характеристики.
- Материал корпуса — алюминий
- Толщина 15.85 мм
- Вес 1.3кг
- Дисплей 13.5 дюймов, разрешение 2256*1504, соотношение сторон 3:2
- Веб-камера 1080p60fps
- Ёмкость батареи — 55Втч
- В первой редакции планируется выпуск с чипом Intel 11 поколения, ОЗУ до 64Гб, SSD до 4Тб.
Ссылка скрыта от гостей
Топ 10 методик web-хакинга за 2020
Да, вот так вот в наш недельный дайджест 2021 года попала новость охватывающая весь 2020. Изначально было представлено 54 кандидата на попадание в список, далее, голосованием сообщества были отсеяны лишние, осталось всего 15 вариантов. Следующим шагом эксперты выбрали 10 лучших и вот они здесь.
- Обход WAF. Обход файрволла веб-приложений широко известный, достаточно простой и надёжный вектор атаки. Поэтому он и попал в список.
- Атака на web-интерфейсы MS Exchange. Глубина проникновения в систему ошеломила всех, ведь то, чего позволяет достичь этот способ просто бесценно, так как открывает безграничный простор для дальнейших исследований.
- ImageMagick, remote code exception через PDF. Правда нужно объяснять, почему это тут оказалось?
- RCE без аутентификации на MobileIron MDM. О том, насколько это мощно, говорит то, что по итогу исследования была получена rce на Facebook.
- Взлом проверки подлинности SSL – не так уж и сложно.
- Открытие вашего NAT. И для этого лишь требуется знание структуры уровней сети, протоколов и ещё немного.
- Когда TLS взламывает вас.
- Воспользуйся хаосом в структуре web-сайта.
- Снова PDF, но на этот раз XSS.
- Протокол H2C. Забыли? А он напомнит!
Ссылка скрыта от гостей
За информацию благодарю Группу Компаний «Анлим»
Ссылка скрыта от гостей
Google будет слегка спонсировать Linux
IT-гигант начал выделять средства на поддержку двух штатных сотрудников, работающих над улучшением безопасности ядра. Инженер Google также заметил, что в компании безопасность стоит на первом месте и заявил:
«Проблема в том, что ядро Linux огромно... И мы находим ошибки намного быстрее, чем можем их исправить. Следующая проблема — найти способы ускорить этот процесс».
Видимо господин Торвальдс настолько быстро выпускает новые версии ядра, что в Google не успевают приводить их безопасность к подобающему уровню. Linux Foundation поблагодарили Google за такой акт поддержки.
Ссылка скрыта от гостей
Кто-то пытается избавить людей от долгов?
Помните, как в сериале, когда f-society уронили все сервера и уничтожили все резервы Evil Corp. Так вот, нечто подобное произошло в реальности, но вот только за этим никто не стоит
Из-за технического сбоя Федеральная резервная система США «лежала» несколько часов
Очень плохая тенденция
Нет, правда, крайне плохая тенденция. В каждом дайджесте появляется новость о законе, который отдаёт ещё какую-то информацию в государственные структуры. Так случилось и в этот раз. Центральный научно-исследовательский институт связи исследует возможность введения системы, идентифицирующей пользователя сети по номеру телефона. Стоимость исследований составит 32.7 млн рублей. Хм, исследования. Звучит безобидно, не так ли? Только звучит, на самом деле всё весьма серьёзно, ведь одна из целей исследования - подготовка предложений поправок в законодательство для внедрения технологии — протокола переноса телефонных номеров на систему доменных имен в интернете ENUM (Electronic Number Mapping System). Система ENUM работает за счёт преобразования телефонного номера в домен. Операторы понимают, что это может привести к тотальному контролю. Вот что пишет по этому поводу МегаФон: «Внедрение технологии возможно, все операторы будут заинтересованы».
Ростелеком не разделяет уверенности МегаФона: «Это будет во многом зависеть от технической реализации, в том числе возможности государства создать единый центр авторизации».
Вообще, смысл этого нововведения не слишком ясен, ведь «Для идентификации пользователей государственных сервисов уже используется Единая система идентификации и аутентификации (ЕСИА), а в остальных случаях — электронная почта, тот же номер телефона или аккаунты в социальных сетях».
ЦНИИС изучит возможность внедрения в России системы идентификации пользователей интернета с привязкой к номеру телефона
Блиц
- Взлом CD Project Red подорвал работу над обновлениями для Cyberpunk 2077 (кстати, по неизвестной причине у Bloomberg своя версия игры — Cyberpunk 207)
Ссылка скрыта от гостей - this code does not exist
Программисты создали проект «Этот код не существует» - Магической превращение умного телевизора в обычный!
Функция базового Google TV превратит умный телевизор в обычный - Замусоривание вашей телефонной книги теперь сильно упрощено
BillDietrich/fake_contacts
Последнее редактирование:
