• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Новостной дайджест по ИБ/IT за 9.11 - 16.11

Здравия всем, дамы и господа. То, как вы отреагировали на первую статью, мне приятно, спасибо вам за такой фидбек. Что ж, вам нравится это читать, мне нравится это писать. Идеальная система, не находите?

Новостей, как всегда, очень много, но тут будут только интересные, начнём.

Шифрования не будет?

Евросоюз рассматривает введение запрета на сквозное шифрование. Что это значит? Это значит, что все мессенджеры, которыми чаще всего пользуются - viber, whatsapp(кто и зачем ими пользуется, когда есть телега??), и, собственно, его величество, telegram; Им приётся что-то делать, либо убирать шифрование для ЕС, либо уходить с рынка стран-членов Евросоюза. Насчёт Viber и Whatsapp незнаю, но телега врядли будет убирать шифрование. Господин Дуров что-нибудь придумает. Например создание отдельного приложения без шифрования, какой-нибудь Eugram. Хотя то, что они рассматривают, ещё не факт, что примут. Вобщем, ждём. Кстати, они хотят запретить шифрование не потому что кому-то нечего читать, а в целях борьбы с терроризмом. Где-то я это уже видел.

Газета


Bloomberg


Наворовал подарков и сел
Бывший инженер Microsoft получил 9 лет за кражу подарочных карт на сумму $10 млн. Он конечно молодец, хотел набрать пода… СТОП. Посадили деда мороза! Он набирал подарки к новому году! А если серьёзно, ну вор. А вор должен сидеть в тюрьме, верно? А человечек, к слову, был наш, с Украины. Ну, не воровал бы, не сел бы.

МинЮст США


Антикор


Мы – особенные, как всегда
Стоимость сетей 5G в России будет в два раза больше, чем в странах, где военные не съели все частоты. Если кто-то не знает, частоты 3,4-3,8 Ггц – стандартные для сетей нового поколения. А у нас решили, что мы особенные, запретили использовать эти частоты и выдали другие – 24,25-24,65 Ггц, но подходят они меньше, а значит их развёртывание будет стоить дороже, примерно на 84%.

Вести


Слушай, Алиса! И отовсюду ответит
Производители и продавцы просят отложить обязательную предустановку Российского ПО на все устройства. А я прошу её отменить, меня кто-то послушает? Врядли. Их конечно скорее всего услышат, отложат, а может и на их просьбу отложат. Но дело не в этом. Установка нашего ПО на всё, это, конечно, патриотично, но едва ли это хорошая идея. Я считаю, что производители должны сами решать, что им устанавливать на свои устройства.

Коммерсантъ


P.S. 12.11 Госдума одобрила законопроект об обязательной предустановке российского ПО на все устройства. Но вместо изначального срока 1 января, сдвинула вступление его в силу на 1 марта. Мало того, с 1 июля предлагается предустанавливать ещё и браузер с поисковой системой. Теперь ещё и это решают за нас. Выбор? А что такое выбор?
Boston Dynamics = Hyundai?

SoftBank рассматривает продажу Boston Dynamics компании Hyundai за $1млрд. Теперь по Чернобылю будет гулять робот от Хёндай. Если вдруг не слышали, Boston Dynamics отправит своего робопёсика SPOT в ЧЗО, мерить радиацию.

Про продажу


Про чернобыль


target=”blank”

В Google Chrome появится новая функция, запрещающая открывать новые вкладки с помощью JS. Функция появится не только в этом браузере, но и во всех остальных на базе Chromium. Это означает, что применение аттрибута target=”blank” теперь не будет иметь смысла, т.к. теперь в браузеры будет включён аттрибут ссылки HTML rel=”noopener”. Именно он не будет позволять использовать перенаправление на новой вкладке.


Вас тоже задрали обновления?

Если вы ответили “да”, то спешу вас расстроить. Microsoft заявили о прекращении поддержки Windows 10 1903. И она обновится насильно, даже если вы ОЧЕНЬ этого не желаете. Обновление Windows – это то немногое, чему совершенно неважно мнение абсолютно всех. Компания планировала сделать нечто подобное ещё в июле, но тогда говорили о принудительном обновлении на 2004, сейчас же планируют поднятся до 1909.


Новость понравится Евросоюзу!

Zoom не имеет сквозного шифрования! Это заявила Антимонопольная служба США.

Выдержка из заявления FTC:
По крайней мере в 2016 году Zoom вводила пользователей в заблуждение, заявляя, что предлагает сквозное шифрование, хотя на самом деле обеспечивала более низкий уровень безопасности. Фактически Zoom не обеспечивала сквозное шифрование для видеоконференций вне Zoom Connecter. Серверы Zoom, в том числе те из них, которые расположены в Китае, поддерживают криптографические ключи, которые позволят Zoom получать доступ к контенту Zoom Meetings
Также Антимонопольная служба заявила, что компания Zoom обманывала пользователей, говоря, что их записи хранятся на облаке сервиса зашифрованными и шифруются сразу после окончания конференции. Однако, как выяснилось, они хранятся на облаке в чистом виде до двух месяцев.

Zoom уличили в отсутствии сквозного шифрования. Вместо него компания использует TLS

Gitlab 13.5

Состоялся релиз Gitlab версии 13.5. Было добавлено несколько интересных возможностей, так например теперь можно сканировать на безопасность.
Так, если раньше вы могли искать уязвимости в своих программах, то теперь вы можете делать то же самое ещё и с мобильными приложениями.
Вики для групп. Отличное нововведение для тех, кому важно полное понимание задачи коллективом. А если вам неважно, чтобы все поняли, что нужно делать и что вообще происходит, то вы – странный человек. Там ещё немало нововведений, прочесть их вы можете по ссылке ниже.


CVE-Утконос

Почему утконос? Ну назвали так, я-то чем виноват. А назвали, потому что клюв Platypus (Утконоса) чувствителен к электрическим полям. Утконос получил свой идентификатор – CVE-2020-8694. Наверное, это единственный утконос с идентификатором. Атака проводится за счёт интерфейса Running Average Power Limit (далее RAPL) процессоров Intel, позволяющего отслеживать изменения энергопотребления. Данная уязвимость позволяет узнать, что обрабатывает ваш процессор, ориентируясь только на показания RAPL. Это могут быть пароли, ключи шифрования и прочие интересности. Атаке подвержены все популярные ОС, но Linux, к сожалению подвержен ей из коробки, в то время, как на другие системы нужно ещё установить Intel Power Gadget. Если прочитав, что это интерфейс Intel, вы глянули на наклеечку AMD на вашем устройстве и успокоились, то я вас разочарую, красные используют тот же интерфейс. Возможно ARM тоже уязвим, но это пока не доказано. Атаку можно производить удалённо, нужно просто заразить целевой ПК.

Надо же, для одной атаки даже сайт создали


P.S. 11.11 Microsoft выпустила обновление для Windows 10 и Windows Server. В него вошли патчи микрокода от Intel, устраняющие эту уязвимость.


Nokia n 900 (LVL.2)

Узнай я о выходе этого чуда устройства позже на месяцок, возможно взглянул на свой Nokia n900, и взгрустнул бы. Я серьёзно собирался его брать, ну круто, клавиатура и Linux на борту. И что что ему 11 лет? Ладно,мы тут не про Nokia, а про XDA. Да, сообщество XDA-developers выпускает свой телефон. На краудфандинг IndieGoGo вывели новое устройство – Pro 1 X. Представьте идеальный смартфон, заменяющий ноутбук. Сделали? Вот это он и есть. Слайдер с горизонтальной qwerty-клавиатурой, 3 ОС на выбор. Вы можете решить, что вам поставят на него перед отправкой, это может быть Android (фу на такие устройства андроид ставить), Lineage OS и Ubuntu Touch. Единственное, чего я не понял, почему в этом списке не представлена Kde Plasma Mobile. Да даже если изначально вам её не установят, поставите сами, никто вам не собирается запрещать это делать и блокировать загрузчик (Да, Huawei?). На борту у этого красавца стоит флагманский Snapdragon 835 (ну и что, что он был флагманом в 2017?), также есть выбор между 6 и 8 Гб ОЗУ, и 128/256 Гб ПЗУ. Кстати, в количестве постоянной памяти это устройство схоже с вышеупомянутым устройством от Nokia, Но не конкретным количеством, а количеством в сравнении с остальным рынком. В своё время n900 был революционным, не только за счёт linux, но и за счёт ПЗУ. 32 Гб постоянной памяти в 2011, это нечто. А сечас 256 Гб удивит многих (да, я знаю, есть устройства и с 512Гб и с 1Тб, но это всё равно больше среднего).

Pro 1x.jpg


Официальная его страница на XDA


IndieGoGo


Обновлены KDE Apps

Пользователям KDE прилетело новое обновление для встроенных программ. Из основных нововведений можно назвать digiKam 7.1.0, LabPlot 2.8, Kdevelop 5.6. В состав KDE Apps также теперь включен Calindori, обновившийся до версии 1.2. Обновления на этом не заканчиваются, полный список можно найти по ссылке ниже.



Вам слово, господин Рогозин!

“Хм. Я – директор космической компании. Хочу движуху. Космос, движуха. Эврика! Музыкальный конкурс!”. Мне кажется, как-то так думал глава Роскосмоса в этот день. Да вы, господин Рогозин, поэт? И швец, и жнец, и на дуде...Кхм, извините. Так вот, о чём это я. Не так давно на сайте РосКосмоса появился раздел с музыкой. Там, кроме классических песен на космическую тематику, таких как “Трава у дома” и “Байконур”, имеются песни господ Рогозиных - Дмитрия и Татьяны. Музыка, конечно – просто космос! Дмитрий Олегович решил сделать её ещё более прекрасной, заявив, что после завершения пандемии будет объявлен музыкальный конкурс.


Mozilla Опубликовала список небезопасных устройств

Комментарии здесь излишни. Скажу лишь, что 3 устройства из этого списка принадлежат компании Amazon, ещё 2 – Facebook.



IT политике Евросоюза угрожают!

И снова упомянем ЕС. Представители компаний Mozilla, Stripe, Transferwise, Etsy, Dropbox и Spotify создали так называемую “Challenger Group”. Они организовались, чтобы повлиять на политику ЕС в вопросах интернета. Будем надеяться, что “обеденное нытьё” к чему нибудь приведёт. Я не зря поставил эти слова в кавычки, т.к. это прямая цитата. Так политический директор Mozilla назвал встречи менеджеров вышеупомянутых компаний, на которых они делились опытом.
Mozilla, Dropbox, Spotify и другие сформировали Challenger Group для влияния на политику Евросоюза

Ес, минус две. CVE

Google убрала две 0day уязвимости, а именно CVE-2020-16013 и CVE-2020-16017. 11 ноября уже выпущено обновление, убирающее эти уязвимости.
  1. 16013 - уязвимость описывается как «некорректная имплементация в V8»
  2. 16017 - ошибка нарушения целостности информации в памяти типа use after free, обнаруженная в составе компонента Site Isolation.


“EDRi”ная новость


Организация “Европейские цифровые права” (далее ЕЦП или EDRi) запустила компанию, призывающую запретить повсеместное использование камер, а точнее, непосредственно систему распознавания лиц, компания, как не странно, называется “Reclaim your face”(Верни своё лицо). Они считают, что люди также не согласны с постоянным нарушением права на конфиденциальность данных. «Никому бы не понравилось, если бы кто-то следил за ним и контролировал все действия и передвижения. Не только потому, что наше поведение автоматически меняется, если мы знаем, что за нами наблюдают. Алгоритмы могут неверно оценить жест или выражение лица. Некоторые граждане могут попасть под подозрение в совершении преступления из-за того, как они одеты, из-за цвета кожи или потому, что они присутствовали на акции протеста. Что еще хуже, люди не могут узнать, кто за ними наблюдает и как долго. Распознавание лиц и другие биометрические технологии действуют именно так — превращая каждого из нас в потенциального подозреваемого; наблюдая и анализируя нас все время; серьезно нарушая наши права на конфиденциальность и защиту данных” – сказано в докладе EDRi. Возможно, всему виной пресловутая боязнь новизны, вспомним хоть вышку 5G, которую решили публично криммировать, будто какую ведьму, сейчас, конечно, не 16 век, но у вышки были рыжие волосы и зелёные глаза.

Тот самый доклад ЕЦП


Standoff

Я помню про Standoff, я знаю про Standoff, я люблю Standoff. Объясню, почему не уделил ему достаточно внимания. Это событие, безусловно. Однако, у моего дайджеста низкая периодичность, и я просто не смогу дать вам достаточно новые данные.

standoff.jpg


Оставлю лишь ссылку на доску лидеров, при этом добавив, что команда нашего любимого форума, на данный момент, на 1-ом месте с 15121 очком.
https://standoff365.com/scoreboard
Блиц
Всем спасибо, за прочтение, за уделённое время, а за сим я предпочту откланятся, не забыв добавить “приходите в следующий понедельник, статья будет вас ждать где-то здесь”.
 
Последнее редактирование:

Camaro1970

Green Team
23.02.2019
13
11
BIT
0
На счет Pro 1 X, я бы сравнил его не с Nokia N900, а с E7-00. Да, по софтверной части Pro 1 X работает на Linux, как и N900. Но по корпусу и по механизму "слайдера" это прям копия E7-00. Механизм раскрытия думаю будет крепкий и спустя много лет будет нормально работать, как и шлейф.

P.S. даже клавиатура похожая как у E7-00
 
  • Нравится
Реакции: dieZel

dieZel

Green Team
08.04.2018
227
597
BIT
0
На счет Pro 1 X, я бы сравнил его не с Nokia N900, а с E7-00. Да, по софтверной части Pro 1 X работает на Linux, как и N900. Но по корпусу и по механизму "слайдера" это прям копия E7-00. Механизм раскрытия думаю будет крепкий и спустя много лет будет нормально работать, как и шлейф.

P.S. даже клавиатура похожая как у E7-00
Да, согласен. Механически он больше похож не на n900. Но основным аспектом сравнения была именно программная часть. А телефон со слайдером по типу E7-00 у меня самого имеется, и не смотря на 11лет жизни, аппарат, как и механизм оного, функционирует безупречно
 
  • Нравится
Реакции: Camaro1970

Camaro1970

Green Team
23.02.2019
13
11
BIT
0
Да, согласен. Механически он больше похож не на n900. Но основным аспектом сравнения была именно программная часть. А телефон со слайдером по типу E7-00 у меня самого имеется, и не смотря на 11лет жизни, аппарат, как и механизм оного, функционирует безупречно
Дайджест в принципе неплох, продолжайте дальше в том же духе (y)
 
  • Нравится
Реакции: dieZel

dieZel

Green Team
08.04.2018
227
597
BIT
0
Дайджест в принципе неплох, продолжайте дальше в том же духе (y)
Спасибо, буду продолжать. Не то что бы без вашего отзыва я не продолжил бы, но всё равно, спасибо. Отчасти, ради таких отзывов я и пишу)
 
  • Нравится
Реакции: Camaro1970

yamakasy

Green Team
30.10.2020
158
113
BIT
0
Огромное спасибо и низкий поклон за вашу статью и проделанную работу. Читается быстро, интересно и непринуждённо)
 

RtZ

One Level
20.11.2020
4
1
BIT
0
P.S. 12.11 Госдума одобрила законопроект об обязательной предустановке российского ПО на все устройства. Но вместо изначального срока 1 января, сдвинула вступление его в силу на 1 марта. Мало того, с 1 июля предлагается предустанавливать ещё и браузер с поисковой системой. Теперь ещё и это решают за нас. Выбор? А что такое выбор?
А тот факт, что производитель тоже лишает вас выбора, решая за вас, автора видимо не смущает.
 

dieZel

Green Team
08.04.2018
227
597
BIT
0
А тот факт, что производитель тоже лишает вас выбора, решая за вас, автора видимо не смущает.
Производитель может делать, что ему заблагорассудится, на правах создателя. Это его игрушка, играет, как хочет
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!