Please open Telegram to view this post
VIEW IN TELEGRAM
https://github.com/EbookFoundation/free-programming-books/blob/main/books/free-programming-books-ru.md
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Microsoft сообщила о новой атаке Dirty Stream, которая затрагивает приложения Android с миллиардами установок.
Проблема связана с механизмом обмена данными и файлами в Android, в частности с компонентом поставщика контента и классом FileProvider, который обеспечивает общий доступ к файлам между установленными приложениями.
Он обеспечивает изоляцию данных, разрешения URI и меры безопасности проверки пути для предотвращения несанкционированного доступа, утечек данных и атак с обходом пути.
Неправильная реализация этого механизма может привести к потенциально серьезным уязвимостям.
Microsoft обнаружила, что вредоносные приложения могут использовать Dirty Stream для перезаписи файлов в домашнем каталоге целевого приложения, что может привести к выполнению произвольного кода и краже токенов.
Компания раскрыла подробности Dirty Stream, акцентируясь на уязвимые приложения Xiaomi File Manager и WPS Office, которые в совокупности имеют более 1,5 миллиардов установок из Google Play.
Исследователи выявили и другие уязвимые приложения в Google Play Store с совокупным числом установок в более четырех миллиардов.
Но в Microsoft полагают, что эта уязвимость может присутствовать и в других приложениях Android, открывая достаточно широкую поверхность для атак.
В связи с чем рассчитывают, что после публикации результатов исследования, в том числе в статье на сайте Android Developers, авторы проверят свои приложения на наличие аналогичных проблем и предотвратят их в будущих сборках.
Google также обновила руководство по безопасности приложений, чтобы выделить распространенные ошибки реализации в системе поставщика контента, которые позволяют обойти безопасность.
Что же касается конечных пользователей, то для них рекомендации остаются все теми же: поддерживать актуальность используемых ими приложений и избегать загрузки APK-файлов из неофициальных источников.
Проблема связана с механизмом обмена данными и файлами в Android, в частности с компонентом поставщика контента и классом FileProvider, который обеспечивает общий доступ к файлам между установленными приложениями.
Он обеспечивает изоляцию данных, разрешения URI и меры безопасности проверки пути для предотвращения несанкционированного доступа, утечек данных и атак с обходом пути.
Неправильная реализация этого механизма может привести к потенциально серьезным уязвимостям.
Microsoft обнаружила, что вредоносные приложения могут использовать Dirty Stream для перезаписи файлов в домашнем каталоге целевого приложения, что может привести к выполнению произвольного кода и краже токенов.
Компания раскрыла подробности Dirty Stream, акцентируясь на уязвимые приложения Xiaomi File Manager и WPS Office, которые в совокупности имеют более 1,5 миллиардов установок из Google Play.
Исследователи выявили и другие уязвимые приложения в Google Play Store с совокупным числом установок в более четырех миллиардов.
Но в Microsoft полагают, что эта уязвимость может присутствовать и в других приложениях Android, открывая достаточно широкую поверхность для атак.
В связи с чем рассчитывают, что после публикации результатов исследования, в том числе в статье на сайте Android Developers, авторы проверят свои приложения на наличие аналогичных проблем и предотвратят их в будущих сборках.
Google также обновила руководство по безопасности приложений, чтобы выделить распространенные ошибки реализации в системе поставщика контента, которые позволяют обойти безопасность.
Что же касается конечных пользователей, то для них рекомендации остаются все теми же: поддерживать актуальность используемых ими приложений и избегать загрузки APK-файлов из неофициальных источников.
Microsoft News
“Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps
Microsoft discovered a vulnerability pattern in multiple popular Android applications that could enable a malicious application to overwrite files in the vulnerable application’s internal data storage directory, which could lead to arbitrary code execution…
📝Перевод текстов
https://translate.google.com - перевод Google Translate.
https://www.deepl.com/translator - перевод от Deepl (AI).
https://www.deepl.com/translator/files - перевод файлов.
https://translate.yandex.ru - Яндекс.Переводчик.
https://translate.yandex.ru/doc - перевод документов Яндекс.
https://context.reverso.net - перевод с контекстом.
https://www.translate.ru - перевод PROMPT.
📝Рерайт текста / улучшить качество текста
https://retext.ai - AI-платформа для коррекции и улучшения текстов. Рерайт.
https://www.deepl.com/write - улучшает текст с помощью ИИ (англ).
https://killer-antiplagiat.ru/rerajt-teksta-onlajn - онлайн-сервис для рерайта текстов и уникализации контента.
https://text-humanizer.com - делает текст похожим на человеческий.
https://robotext.io/write/synonymizer - cинонимайзер текста онлайн.
https://app.writesonic.com/ru - ИИ помогает писать посты/тексты.
https://bypassgpt.net - делает ИИ-текст "человеческим".
https://aihumanize.ai - делает ИИ-текст "человеческим".
https://aithor.com - делает ИИ-текст "человеческим".
https://300.ya.ru - нейросеть YandexGPT кратко перескажет видео на YouTube, статьи и тексты.
📝Проверка грамматики и орфографии
https://orfogrammka.ru - умная проверка пунктуации, грамматики и стилистики на основе машинного обучения.
https://languagetool.org - онлайн-сервис для проверки орфографии и грамматики в текстах.
https://glvrd.ru - помогает очистить текст от словесного мусора, проверяет на соответствие информационному стилю.
📝Посчитать количество символов, слов в тексте онлайн
https://apihost.ru/textcalc
📝Распознаёт название шрифта
https://www.myfonts.com/pages/whatthefont
https://github.com/Storia-AI/font-classify
📝Удобное ПО для ведения заметок
https://www.giuspen.com/cherrytree
https://standardnotes.com
📝Calligrapher имитация рукописного текста (английский язык)
https://www.calligrapher.ai - создания надписи с помощью рукописи.
⚡️ Больше полезной информации для исследователей на Boosty
https://translate.google.com - перевод Google Translate.
https://www.deepl.com/translator - перевод от Deepl (AI).
https://www.deepl.com/translator/files - перевод файлов.
https://translate.yandex.ru - Яндекс.Переводчик.
https://translate.yandex.ru/doc - перевод документов Яндекс.
https://context.reverso.net - перевод с контекстом.
https://www.translate.ru - перевод PROMPT.
📝Рерайт текста / улучшить качество текста
https://retext.ai - AI-платформа для коррекции и улучшения текстов. Рерайт.
https://www.deepl.com/write - улучшает текст с помощью ИИ (англ).
https://killer-antiplagiat.ru/rerajt-teksta-onlajn - онлайн-сервис для рерайта текстов и уникализации контента.
https://text-humanizer.com - делает текст похожим на человеческий.
https://robotext.io/write/synonymizer - cинонимайзер текста онлайн.
https://app.writesonic.com/ru - ИИ помогает писать посты/тексты.
https://bypassgpt.net - делает ИИ-текст "человеческим".
https://aihumanize.ai - делает ИИ-текст "человеческим".
https://aithor.com - делает ИИ-текст "человеческим".
https://300.ya.ru - нейросеть YandexGPT кратко перескажет видео на YouTube, статьи и тексты.
📝Проверка грамматики и орфографии
https://orfogrammka.ru - умная проверка пунктуации, грамматики и стилистики на основе машинного обучения.
https://languagetool.org - онлайн-сервис для проверки орфографии и грамматики в текстах.
https://glvrd.ru - помогает очистить текст от словесного мусора, проверяет на соответствие информационному стилю.
📝Посчитать количество символов, слов в тексте онлайн
https://apihost.ru/textcalc
📝Распознаёт название шрифта
https://www.myfonts.com/pages/whatthefont
https://github.com/Storia-AI/font-classify
📝Удобное ПО для ведения заметок
https://www.giuspen.com/cherrytree
https://standardnotes.com
📝Calligrapher имитация рукописного текста (английский язык)
https://www.calligrapher.ai - создания надписи с помощью рукописи.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Известный "пуленепробиваемый и анонимный" почтовый сервис Proton Mail в рамках одного из уголовных дел выдал правоохранителям данные на возможного члена каталонской организации за независимость 🌊Democratic Tsunami.
Компании Proton Mail пришел запрос [вероятно, по линии Европола], инициированный изначально испанской полицией, в рамках дела по терроризму с просьбой предоставить данные электронной почты на пользователя с псевдонимом "Xuxu Rondinaire". По версии следствия, подозреваемый может являться офицером полиции Mossos d'Esquadra (полицейские силы Каталонии) и использовать инсайдерскую информацию для помощи движению Democratic Tsunami. Испанский судья потребовал разобраться в данном вопросе.
Полиция в рамках сложного расследования сделала целую серию запросов в самые разные компании с разной юрисдикцией. Например, получив обратную связь с важной информацией от Proton Mail, испанская полиция потребовала от Apple "предоставить дополнительные данные, которые связаны с интересующим её почтовым ящиком, что впоследствии привело к установлению личности человека".
Запросы были сделаны под прикрытием антитеррористических мер, хотя деятельность "Демократического цунами" заключается всего лишь в протестах и перекрытии дорог, что ставит под сомнение соразмерность и оправданность таких жестких мер, считает Алекс Лекандер из Restore Privacy.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Как сообщает Газета.ру, депутат Госдумы Виталий Милонов предложил создать на «Госуслугах» специальный раздел для поиска партнера.
«Поскольку мы говорим о знакомствах, тем самым мы соединяем разных людей. И здесь очень важно не допустить огромную армию мошенников, эскортниц, проституток и прочих негодяев в эту сферу. «Госуслуги» — это ресурс, который не будет выдавать ваши данные в органы госвласти о том, с кем вы знакомитесь, нет. Просто «Госуслуги» позволяют четко идентифицировать человека, что это живой человек, настоящий. По сути дела «Госуслуги» используются как ресурс верификации данных человека, что это действительно человек, а не бот и не агентство», — сказал он.
Депутат cчитает, что надо блокировать профили не только «негодяев», но и 💍женатых людей.
«Это будет ресурс, свободный от профурсеток и альфонсов», — прокомментировал депутат.
Please open Telegram to view this post
VIEW IN TELEGRAM
В сети нашел интересные кадры того, как предположительно в
В зале стоят
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.sberbank.ru/ru/person/cybersecurity/antifraud
https://www.sberbank.com/ru/person/cybersecurity/report
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft усиливает своё присутствие в военном секторе США за счёт внедрения новых ИИ-решений для нужд Пентагона. Корпорация продолжает тихо и размеренно подсаживать на иглу оборонные ведомства. Пользователи сверхсекретных ИТ-систем, включая спецслужбистов и военных, в скором времени получат доступ к генеративным инструментам искусственного интеллекта для составления документов, написания кода и анализа большого объема информации в изолированной среде. Это будет защищенный кастомизированный GPT-4, сделанный специальным образом для силовых ведомств.
«Когда вы подключены к Интернету, то вам постоянно приходится защищаться от людей, которые пытаются проникнуть в систему и посеять хаос. А теперь у вас будет🌦 изолированная и защищенная среда ..... Такие возможности в сверхсекретной среде у нас впервые", - сказал Уильям Чаппелл, главный технический директор по стратегическим миссиям и технологиям Microsoft в интервью DefenseScoop.
По его словам, ИИ-технология в защищенной среде облегчит работу сотрудникам
«OpenAI, на мой взгляд, является лучшей в своем классе. А затем мы создали Security Copilot и M 365 Copilot...", - сказал он в интервью DefenseScoop.
"Я не хочу называть точную дату, потому что правительство имеет право голоса. Верно? Мы работаем рука об руку с правительством"
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
В Mullvad VPN обнаружили интересную особенность в Android, которую даже ошибкой то сложно назвать.
Во всяком случае в Google о ней знают, но исправлений пока планируют.
Дело в том, что даже при активированной функции Always-on VPN в Android все равно происходит утечка DNS-запросов, несмотря на блокировку любого сетевого графика вне VPN-туннеля.
Проблема была обнаружена 22 апреля и присутствовала в последней версии ОС, Android 14.
Как выяснилось, Android пропускает DNS-трафик, когда VPN активен (но DNS-сервер не настроен) или когда приложение VPN перенастраивает туннель, выходит из строя или принудительно останавливается.
Подобное поведение возникает при использовании приложений, которые напрямую вызывают функцию getaddrinfo, которая обеспечивает независимый от протокола перевод текстового имени хоста в IP-адрес.
Как в случае с браузером Chrome, который напрямую использует getaddrinfo.
При этом исслкедователи из Mullvad VPN не обнаружили никаких утечек из приложений, которые используют только Android API, такие как DnsResolver.
Вообще же задействование getaddrinfo для разрешения доменных имен вполне приемлемо, проблемы следует решать на стороне самой ОС, как считают в Mullvad VPN.
В качестве мер по смягчению и для снижения риска таких утечек Mullvad VPN рекомендуют временно отказаться от Android-устройств, пока Google не устранит ошибку и не перенесет исправление на более старые версии Android.
В Google пока не особо комментируют результаты исследования, ссылаясь на осведомленность и изучение проблемы.
В АНБ, по всей видимости, тоже пока думают и еще не спускали директив.
Во всяком случае в Google о ней знают, но исправлений пока планируют.
Дело в том, что даже при активированной функции Always-on VPN в Android все равно происходит утечка DNS-запросов, несмотря на блокировку любого сетевого графика вне VPN-туннеля.
Проблема была обнаружена 22 апреля и присутствовала в последней версии ОС, Android 14.
Как выяснилось, Android пропускает DNS-трафик, когда VPN активен (но DNS-сервер не настроен) или когда приложение VPN перенастраивает туннель, выходит из строя или принудительно останавливается.
Подобное поведение возникает при использовании приложений, которые напрямую вызывают функцию getaddrinfo, которая обеспечивает независимый от протокола перевод текстового имени хоста в IP-адрес.
Как в случае с браузером Chrome, который напрямую использует getaddrinfo.
При этом исслкедователи из Mullvad VPN не обнаружили никаких утечек из приложений, которые используют только Android API, такие как DnsResolver.
Вообще же задействование getaddrinfo для разрешения доменных имен вполне приемлемо, проблемы следует решать на стороне самой ОС, как считают в Mullvad VPN.
В качестве мер по смягчению и для снижения риска таких утечек Mullvad VPN рекомендуют временно отказаться от Android-устройств, пока Google не устранит ошибку и не перенесет исправление на более старые версии Android.
В Google пока не особо комментируют результаты исследования, ссылаясь на осведомленность и изучение проблемы.
В АНБ, по всей видимости, тоже пока думают и еще не спускали директив.
Mullvad VPN
DNS traffic can leak outside the VPN tunnel on Android | Mullvad VPN
We were recently made aware of multiple potential DNS leaks on Android. They stem from bugs in Android itself, and only affect certain apps.
Сотрудник HR-отдела не захотел ставить под сомнение умения и навыки кандидата при приёме на работу🙃
✋ @Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
https://product.supertone.ai/shift
Please open Telegram to view this post
VIEW IN TELEGRAM
🕵️ https://www.blocklayer.com/scale-fixereng - позволяет определить 📐реальные размеры объектов на фотографии.
📲 Инструкция.
✋ @Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
NCSIP-Version-2-FINAL-May-2024.pdf
929.8 KB
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.nperf.com/en/map/AD/-/2019562.Andorra-Mobile/signal/?ll=42.542104075789716&lg=1.5985000000000007&zoom=11
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Многие наслышаны о том, что популярный во всем мире мессенджер Signal является чуть не ли эталоном "безопасных мессенджеров", однако недавно опубликованная статья cтаршего научного сотрудника Манхэттенского института Кристофера Руфо ставит под сомнение сей факт.
Изначально Signal задумывался как безопасный инструмент для коммуникации для политических диссидентов, правозащитников, адвокатов, которые могут конфиденциально общаться друг с другом, не опасаясь слежки со стороны правительств.
Инсайдерская история Signal заставляет задуматься о происхождении приложения и его отношениях с правительством, в частности с американским👮 разведывательным аппаратом.
- пишет Кристофера Руфо.
Инсайдеры утверждают, что связь между OTF и американской разведкой глубже, чем это кажется на первый взгляд. Один человек, много работавший с OTF, но пожелавший остаться анонимным ради своей безопасности, сказал мне, что со временем становилось понятно, " проект [Signal] на самом деле был инициативой, связанной с Госдепартаментом CША. Планировалось изначально использовать интернет-проекты с🎩 открытым кодом, созданные хакерскими сообществами, в качестве инструментов для достижения американских внешнеполитических целей". Это утверждение - если оно правдиво - свидетельствует о причастности правительства к Signal, которая заслуживает более тщательного изучения.
Дальше ещё интереснее...Руфо насторожила ещё одна очень странная вещь о которой мало, кто говорит в публичном пространстве:
Нынешний председатель правления в фонде Signal Кэтрин Махер, которая начала свою карьеру в качестве поддерживаемого США агента по смене режимов, то есть революций. Например, в период "арабской весны" Махер руководила и занималась инициативами в области цифровых коммуникаций на Ближнем Востоке и в Северной Африке для Национального демократического института - организации, финансируемой в основном правительством и работающей в сотрудничестве с американскими
Она помогла Викимедиа преодолеть кризис дезинформации конца 2010-х годов и привела Википедию к наивысшему уровню доверия к бренду с момента ее основания, удвоила возможности Фонда по сбору средств и собрала первый целевой капитал Викимедиа.
- cообщается на сайте Atlantic Council.
По словам инсайдера, ставшая президентом фонда Signal в 2022 году Мередит Уиттакер пригласила Кэтрин Махер на пост председателя совета директоров благодаря их общим связям с OTF.
"Присутствие Махер в совете директоров Signal вызывает тревогу", - говорит аналитик по вопросам национальной безопасности Джей Майкл Уоллер. "Логично, что такая цветная революционерка, как Майхер, заинтересовалась бы Signal, как безопасным средством общения. Её прошлая поддержка в пользу цензуры и очевидные связи с разведкой вызывают сомнения в надежности Signal".
Более того, Махер придерживается идеи "управляемого мнения" в обществе, где используется цензура и точечный контроль в зависимости от контекста для достижений целей. Один раз она пожаловалась, что довольно тяжело подвергать цензуре американцев.
Please open Telegram to view this post
VIEW IN TELEGRAM