• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа, уже вторая статья за июль, что ознаменовывает почти середину месяца сего. Я надеюсь, что вы проводите летнюю пору с пользой. Мои дайджесты тоже весьма полезны, так что их прочтение не уменьшит концентрацию пользы в ваших буднях. Приятного чтения.

IBIT.jpg


Госуслугам трудно?

Я не могу сделать иного вывода из следующей новости, уж извините. Минцифры разработало инициативу, в соответствии с которой граждане смогут получить госуслуги через коммерческие приложения. Предполагается, что сервис будет, в первую очередь, интересен банкам и мобильным операторам. Один из операторов, опрошенных изданием Коммерсантъ сказал следующее:
«Ресурсы потребуются заметные, а широко востребован сервис не будет».
Кроме расширения функционала, подобная инициатива, скорее всего преследует ещё цель снижения нагрузки на основной портал Госуслуг.​


Хотите Windows 11?

Будьте добры соблюсти требования, о которых я писал в одном из предыдущих дайджестов. Но вы всё же не проходите по этим требованиям? Решение есть и для вас.
Если у вас на данный момент установлена Windows 10, выполните следующие действия:​
  • сделать бэкап реестра;​
  • зайти в меню Settings -> далее в Update & Security -> далее в Windows Insider Program;​
  • выбрать «Get Started» и подключить свой аккаунт Microsoft к участию в программе предварительной оценки Windows;​
  • выбрать в качестве доступного канала Release preview;​
  • перезагрузить ПК путем клика в меню в настройках;​
  • зайти в меню программы Windows Insider и проверить доступность опции Dev Channel;​
  • если она недоступна, то зайти в редактор реестра по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsSelfHost\UI\Selection»;​
  • поменять значение параметра UIBranch с ReleasePreview на Dev;​
  • поменять значение параметра UIContentType на Mainline;​
  • поменять значение параметра UIRing на External;​
  • зайти в ветку реестра «HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\WindowsSelfHost\Applicability»;​
  • поменять значение параметра BranchName на Dev;​
  • убедиться, что значение параметра ContentType — Mainline, а Ring — External;​
  • закрыть редактор реестра;​
  • перезагрузить ПК;​
  • зайти в меню программы Windows Insider и проверить доступность опции Dev Channel;​
  • зайти в меню Windows Update, где появится возможность установить Windows 11 Insider Preview build 22000.51.​
(чтобы всё это проходило автоматически и без необходимости в аккаунте Microsoft, можно использовать скрипт)
Необходимость наличия модуля TPM 2.0 становится не такой уж необходимой после следующих манипуляций:​
  • дойти до пункта в меню установки с ошибкой «This PC can't run Windows 11»;​
  • нажать в этом окне «Shift+F10», чтобы запустить командную строку, где можно запустить редактор реестра с помощью команды regedit;​
  • зайти в ветку реестра «HKEY_LOCAL_MACHINE\SYSTEM\Setup»;​
  • создать там новый раздел “LabConfig”;​
  • в ней создать параметры DWORD (32-bit) «BypassTPMCheck», «BypassRAMCheck» и «BypassSecureBootCheck» со значением «1»;​
  • закрыть редактор реестра и нажать стрелочку назад в верхнем левом угле страницы установки, система вернется к окну с галочкой лицензионного соглашения и продолжит нормальную установку.​
Разумеется, никто не обещает, что всё это будет работать на релизной версии ОС, но на данный момент всё функционирует.

Releases · abbodi1406/offlineinsiderenroll

Audacity – шпионское ПО?

2 июля сего года на официальном сайте аудиоредактора обновилось уведомление о конфиденциальности сервиса. Там добавили много интересных вещей, например, написали, что обрабатывать данные телеметрии и хранить информацию о пользователях теперь будут на серверах в Евросоюзе. Также эти данные могут быть переданы для обработки в центральные офисы компании, расположенные в России и США. Помимо этого, Audacity теперь может передавать данные пользователей любому, кого они классифицируют как «третьих лиц», «консультантов» или «потенциальных покупателей». Самое интересное, что разработчики запретили использовать приложение лицам младше 13 лет, что противоречит условиям лицензии GPLv3, под которой выпускается программа.
Разумеется, такое изменение никого не обрадовало, более того, спровоцировало комьюнити приверженцев свободного ПО призвать удалить программу из репозиториев Linux, потому что теперь это шпионское ПО. Также встал вопрос о создании форка программы.
Дэниел Рэй, Руководитель отдела стратегии компании Muse Group (которая в начале года купила проект Audacity) говорит, что опасения пользователей «вызваны в значительной степени нечеткими формулировками в политике конфиденциальности, которые её специалисты совместно с юристами сейчас исправляют и собираются в ближайшее время их более четко изложить и обозначить ясно свои намерения». Но в комментариях ему явно дали понять, что доверие к компании уже утеряно, а форки готовятся. Компания поздно поняла свою ошибку.
Хотя господин Рэй также написал, что будет поддерживаться автономный режим, в котором ничего никуда отправляться не будет.

Clarification of Privacy Policy · Discussion #1225 · audacity/audacity

Ваша умная колонка

А если вы захотите её продать? Продадите. Но вот незадача, она сохранит огромное количество данных о вас, и их при достаточном умении можно вытащить. К счастью, это относится только для колонок Amazon Echo Dot, ведь она даже после сброса настроек может сохранить множество информации о вас, в том числе токен аутентификации Amazon, который позволит получить доступ к вашей учётной записи, а последствия, думаю, понятны. Виной всему тип памяти, используемой в устройстве, а также желание компании продлить срок службы колонки. Ведь вместо того, чтобы затирать все секторы в ноль, они просто их отключали, однако, при некоторых манипуляциях, данные можно извлечь.
P.S. Пишут, что это касается многих IoT устройств, так что будьте осторожны при их продаже.

Вы пользуетесь Касперским?

А его генератором пароля? Если оба ответа оказались положительными, то спешу вас уведомить, что вам очень сильно повезло. Ведь в течение двух лет генератор пароля, встроенный в KPM (Kaspersky Password Manager) был уязвим. Наиболее критичным являлось использование ГПСЧ (генератора псевдослучайных чисел), не подходящего для криптографических целей. Его единственным источником энтропии было текущее время. Все созданные пароли можно было подобрать за секунды.
Кроме того, Kaspersky Password Manager использует сложный метод генерации паролей. Этот метод был нацелен на создание паролей, которые трудно взломать стандартными взломщиками паролей. Однако такой метод снижает стойкость сгенерированных паролей по отношению к специализированным инструментам. Генерация, по предположению исследователей, заключается в том, что был реализован метод обмана стандартных инструментов для взлома паролей. Взломщики паролей, такие как Hashcat или John the Ripper, пытаются взломать первый вероятный пароль, например, пароли, созданные людьми. Их метод взлома паролей основан на том факте, что, вероятно, в пароле, созданном человеком, есть буквы «e» и «a», чем «x» или «j», или что биграммы «th» и «he» будут отображаться гораздо чаще, чем «qx» или «zr».

За информацию благодарю специалистов (в т.ч. бывших) группы компаний "Анлим"

Блиц

  • 6 лет за оплату найденной картой!
  • Даже гибридная модель Дом-Офис не устраивает людей. Риск массового бегства сотрудников из Apple растёт!

  • Баг с умерщвлением сетевых функций Wifi на iPhone исправлен в недавнем обновлении.
Вот новости и подошли к концу, в этот раз получилось кратко, будто в противовес прошлому дайджесту. Но размер не имеет значения, особенно в случае новостных статей. За сим откланяюсь.
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!