Google включит двухфакторную аутентификацию по умолчанию
Теперь при регистрации новой учётной записи Google двухфакторная аутентификация будет насаждаться автоматически.
Ее можно будет пройти с помощью Android устройства, SMS или ключа YubiKey. На какое-то время вы все же сможете избежать этой опции, определенным образом сконфигурировав вашу учетную запись🤔
Однако, представители компании прямо заявляют, что все это является частью стремления Google к «будущему, в котором однажды вам вообще не понадобится пароль». То есть рано или поздно вас заставят использовать данную аутентификацию.
С одной стороны это действительно повышает безопасность учетных записей☝🏻
С другой двухфакторная аутентификация по SMS, которая увы остается приоритетным вариантом для большинства лишь больше облегчает работу системам слежения😓
===========
Предоставлять пользователям выбор — было бы более демократичным решением, чем насаждение своих правил🤷🏼♀️
Теперь при регистрации новой учётной записи Google двухфакторная аутентификация будет насаждаться автоматически.
Ее можно будет пройти с помощью Android устройства, SMS или ключа YubiKey. На какое-то время вы все же сможете избежать этой опции, определенным образом сконфигурировав вашу учетную запись🤔
Однако, представители компании прямо заявляют, что все это является частью стремления Google к «будущему, в котором однажды вам вообще не понадобится пароль». То есть рано или поздно вас заставят использовать данную аутентификацию.
С одной стороны это действительно повышает безопасность учетных записей☝🏻
С другой двухфакторная аутентификация по SMS, которая увы остается приоритетным вариантом для большинства лишь больше облегчает работу системам слежения😓
===========
Предоставлять пользователям выбор — было бы более демократичным решением, чем насаждение своих правил🤷🏼♀️
В Audacity внедряют телеметрию от Яндекса и Google🤬
Все начинается с того, что Audacity, популярное свободное программное обеспечение для записи и редактирования звука с открытым исходным кодом, выпущенное в 2000 году, было приобретено коммерческой капиталистической корпорацией зла Muse Group
Audacity это одна из самый популярных программ в мире свободного ПО и была загружена на Fosshub более 100 миллионов раз. Даже я ей пользуюсь для создания видеороликов🤷🏼♀️
Разработчики сообщили, что: «MuseScore планирует значительно улучшить набор функций и упростить использование Audacity, сохраняя при этом свободу и открытый исходный код.»
Но, как всем уже давно очевидно и это глупо отрицать — капитализм и свобода несовместимы☝🏻
Корпорация зла внедрила телеметрию от Яндекса и Google в свободную программу, что конечно же вызвало праведный гнев сообщества
В своих коммитах представители корпорации зла пояснили:
▫️Мы используем Google Analytics и Яндекс Метрику, чтобы правильно оценивать ежедневную активность пользователей.
▫️Для идентификации сеансов мы используем UUID, который создается и сохраняется на клиентской машине.
▫️Благодаря телеметрии отслеживается начало и конец сеанса, ошибки, использование эффектов, генераторов звука, инструментов анализа, использование форматов файлов для импорта и экспорта, версии ОС и Audacity
▫️Обе службы также записывают IP-адрес, с которого исходит запрос.
В лучших традициях маркетологов, жирными шрифтами выделяется пункты о том что телеметрия якобы анонимна, а кнопка отправить свои данные ярко горит на сером фоне🤣
По счастью капиталисты еще не убрали функцию не отдавать свои данные, но уверен это лишь вопрос времени🤷🏼♀️
===========
Печально что свобоные программы, которыми мы пользуемся попадая в руки капиталистов становиться ничем иным, как коммерческими продуктами преследующие цели не помогать людям, а наживаться на пользователях и следить за ними😓
Все начинается с того, что Audacity, популярное свободное программное обеспечение для записи и редактирования звука с открытым исходным кодом, выпущенное в 2000 году, было приобретено коммерческой капиталистической корпорацией зла Muse Group
Audacity это одна из самый популярных программ в мире свободного ПО и была загружена на Fosshub более 100 миллионов раз. Даже я ей пользуюсь для создания видеороликов🤷🏼♀️
Разработчики сообщили, что: «MuseScore планирует значительно улучшить набор функций и упростить использование Audacity, сохраняя при этом свободу и открытый исходный код.»
Но, как всем уже давно очевидно и это глупо отрицать — капитализм и свобода несовместимы☝🏻
Корпорация зла внедрила телеметрию от Яндекса и Google в свободную программу, что конечно же вызвало праведный гнев сообщества
В своих коммитах представители корпорации зла пояснили:
▫️Мы используем Google Analytics и Яндекс Метрику, чтобы правильно оценивать ежедневную активность пользователей.
▫️Для идентификации сеансов мы используем UUID, который создается и сохраняется на клиентской машине.
▫️Благодаря телеметрии отслеживается начало и конец сеанса, ошибки, использование эффектов, генераторов звука, инструментов анализа, использование форматов файлов для импорта и экспорта, версии ОС и Audacity
▫️Обе службы также записывают IP-адрес, с которого исходит запрос.
В лучших традициях маркетологов, жирными шрифтами выделяется пункты о том что телеметрия якобы анонимна, а кнопка отправить свои данные ярко горит на сером фоне🤣
По счастью капиталисты еще не убрали функцию не отдавать свои данные, но уверен это лишь вопрос времени🤷🏼♀️
===========
Печально что свобоные программы, которыми мы пользуемся попадая в руки капиталистов становиться ничем иным, как коммерческими продуктами преследующие цели не помогать людям, а наживаться на пользователях и следить за ними😓
Уязвимость Qualcomm позволяет хакерам получить удалённый доступ к модему телефона, а также сообщениям, звонкам и истории вызовов пользователя, слушать ваши разговоры и многое другое. Под угрозой каждый третий аппарат😱
Израильская охранная компания Check Point Research обнаружила новую дыру в модеме мобильной станции Qualcomm, которая затрагивает миллионы телефонов Android по всему миру.
Фирма утверждает, что хакеры могут использовать уязвимость и получить доступ к вашим текстовым сообщениям, телефонным звонкам и, а в некоторых случаях, загрузить вредоносное ПО на устройство без обнаружения его системой безопасности😓
Ошибка CVE-2020-11292 была найдена в интерфейсе модема мобильной станции MSM, также известного как QMI — это проприетарный протокол🤬, который позволяет программным компонентам модема и другим подсистемам взаимодействовать друг с другом. По данным Counterpoint Research, QMI используется примерно в 30% смартфонов во всём мире🤦🏼♀️
Qualcomm знает об уязвимости, и компания уже выпустила исправление. Однако множество устройств все еще подвержены угрозе, так как внедрение этих исправлений требует времени🤷🏼♀️
Если вы используете устройство на базе Qualcomm Snapdragon, которое не получало обновления безопасности с ноября 2020 года, ваше устройство, скорее всего, все еще уязвимо👀
===============
Вред проприетарщины — он самый☝🏻
Израильская охранная компания Check Point Research обнаружила новую дыру в модеме мобильной станции Qualcomm, которая затрагивает миллионы телефонов Android по всему миру.
Фирма утверждает, что хакеры могут использовать уязвимость и получить доступ к вашим текстовым сообщениям, телефонным звонкам и, а в некоторых случаях, загрузить вредоносное ПО на устройство без обнаружения его системой безопасности😓
Ошибка CVE-2020-11292 была найдена в интерфейсе модема мобильной станции MSM, также известного как QMI — это проприетарный протокол🤬, который позволяет программным компонентам модема и другим подсистемам взаимодействовать друг с другом. По данным Counterpoint Research, QMI используется примерно в 30% смартфонов во всём мире🤦🏼♀️
Qualcomm знает об уязвимости, и компания уже выпустила исправление. Однако множество устройств все еще подвержены угрозе, так как внедрение этих исправлений требует времени🤷🏼♀️
Если вы используете устройство на базе Qualcomm Snapdragon, которое не получало обновления безопасности с ноября 2020 года, ваше устройство, скорее всего, все еще уязвимо👀
===============
Вред проприетарщины — он самый☝🏻
WhatsApp вместо угроз займется спамом.
Надеюсь вы помните, как злодей Цукерберг планировал отключить всех пользователей WhatsApp, которые не захотят принять новые политики конфиденциальности, сливающие их личные данные
Теперь, осознав что стратегия угроз и запугиваний не помогла, команда корпорации зла WhatsApp объявила о том, что не станет отключать несогласных. Однако через несколько недель сервис начнёт регулярно массово присылать пользователям уведомления с напоминанием об изменениях🤬
По словам представителей WhatsApp, большинство приняли новые правила конфиденциальности. Если остальные не согласятся, то в будущем они могут столкнуться с ограничением функциональности. На данный момент не уточняется, какими именно возможностями не смогут пользоваться несогласные.
=================
Эти капиталисты все больше напоминают навязчивых коллекторов🤷🏼♀️
Жаль осознавать что многие все равно продолжают пользоваться WhatsApp, даже при таком отношении этой корпорации к своим пользователям😓
Надеюсь вы помните, как злодей Цукерберг планировал отключить всех пользователей WhatsApp, которые не захотят принять новые политики конфиденциальности, сливающие их личные данные
Теперь, осознав что стратегия угроз и запугиваний не помогла, команда корпорации зла WhatsApp объявила о том, что не станет отключать несогласных. Однако через несколько недель сервис начнёт регулярно массово присылать пользователям уведомления с напоминанием об изменениях🤬
По словам представителей WhatsApp, большинство приняли новые правила конфиденциальности. Если остальные не согласятся, то в будущем они могут столкнуться с ограничением функциональности. На данный момент не уточняется, какими именно возможностями не смогут пользоваться несогласные.
=================
Эти капиталисты все больше напоминают навязчивых коллекторов🤷🏼♀️
Жаль осознавать что многие все равно продолжают пользоваться WhatsApp, даже при таком отношении этой корпорации к своим пользователям😓
Media is too big
VIEW IN TELEGRAM
Минутка юмора, от одного из подписчиков🤣
Кибератака закрывает топливный трубопровод США😳
Вымогатели зашифровали все сервера крупнейшей в США топливной компании Colonial Pipeline, являющуюся источником почти половины поставок топлива на Восточное побережье США
Этот инцидент является одной из самых разрушительных хакерских операций, о которых когда-либо сообщалось🤔
Длительное отключение линии вызовет резкий скачок цен на бензин перед пиковым летним сезоном📈, что может нанести удар по экономике США.
Colonial транспортирует 2,5 миллиона баррелей бензина и других видов топлива в день по трубопроводам длиной 5 500 миль (8 850 км), соединяющих нефтеперерабатывающие заводы побережья Мексиканского залива с восточными и южными районами США. Он также обслуживает некоторые из крупнейших аэропортов страны, в том числе аэропорт Хартсфилд Джексон в Атланте, который является самым загруженным в мире по пассажиропотоку.
По версии следствия вымогатели — некая группировка
Представитель Белого дома сообщил, что президент Джо Байден был проинформирован об инциденте в субботу утром, добавив, что правительство пытается помочь компании восстановить операции и предотвратить перебои в поставках.
Вымогатели зашифровали все сервера крупнейшей в США топливной компании Colonial Pipeline, являющуюся источником почти половины поставок топлива на Восточное побережье США
Этот инцидент является одной из самых разрушительных хакерских операций, о которых когда-либо сообщалось🤔
Длительное отключение линии вызовет резкий скачок цен на бензин перед пиковым летним сезоном📈, что может нанести удар по экономике США.
Colonial транспортирует 2,5 миллиона баррелей бензина и других видов топлива в день по трубопроводам длиной 5 500 миль (8 850 км), соединяющих нефтеперерабатывающие заводы побережья Мексиканского залива с восточными и южными районами США. Он также обслуживает некоторые из крупнейших аэропортов страны, в том числе аэропорт Хартсфилд Джексон в Атланте, который является самым загруженным в мире по пассажиропотоку.
По версии следствия вымогатели — некая группировка
«DarkSide», которая известна тем, что использует программы-вымогатели, избегая при этом целей в постсоветских государствах.🤷🏼♀️Представитель Белого дома сообщил, что президент Джо Байден был проинформирован об инциденте в субботу утром, добавив, что правительство пытается помочь компании восстановить операции и предотвратить перебои в поставках.
Tor продолжает быть наполнен вредоносными узлами🤔
В 2020 году я писал вам, о том как неизвестные хакеры в течении 7 месяцев атаковали пользователей криптовалют производивших свои операции внутри сети Tor
И вот согласно последним отчетам экспертам по безопасности, все стало только хуже.🤷🏼♀️ Уже 16 месяцев злоумышленник добавляет вредоносные серверы в сеть Tor, чтобы перехватывать трафик и выполнять атаки с удалением SSL на пользователей, обращающихся к сайтам, связанным с криптовалютой.
Атаки превзошли прошлогодние показатели, на сегодняшний момент 27% узлов сети являются вредоносными😳
Еще в августе 2020 года Tor Project выпустил серию рекомендаций о том, как операторы веб-сайта и пользователи Tor Browser могут защитить себя от подобных атак.
Однако эксперты также отмечают, что злоумышленники не стоят на месте, и пробуют ставить различные собственные эксперименты над трафиком, для поиска нового вектора атак🤨
В 2020 году я писал вам, о том как неизвестные хакеры в течении 7 месяцев атаковали пользователей криптовалют производивших свои операции внутри сети Tor
И вот согласно последним отчетам экспертам по безопасности, все стало только хуже.🤷🏼♀️ Уже 16 месяцев злоумышленник добавляет вредоносные серверы в сеть Tor, чтобы перехватывать трафик и выполнять атаки с удалением SSL на пользователей, обращающихся к сайтам, связанным с криптовалютой.
Атаки превзошли прошлогодние показатели, на сегодняшний момент 27% узлов сети являются вредоносными😳
Еще в августе 2020 года Tor Project выпустил серию рекомендаций о том, как операторы веб-сайта и пользователи Tor Browser могут защитить себя от подобных атак.
Однако эксперты также отмечают, что злоумышленники не стоят на месте, и пробуют ставить различные собственные эксперименты над трафиком, для поиска нового вектора атак🤨
США вводит режим чрезвычайной ситуации из-за атаки хакеров
Из-за атаки вымогателей, о которой я вам рассказывал вчера, правительство США издало закон о чрезвычайном положении🤔
Статус чрезвычайной ситуации ослабляет правила перевозки топлива автомобильным транспортом. Водители в 18 штатах будут работать сверхурочно и по гибкому графику при транспортировке бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки. Топливо также начнут перевозить танкерами и поездами. Но всего этого недостаточно😳
Цены уже начали свой рост прибавив 2-3%. Эксперты говорят, что последствия будут намного хуже, если так будет продолжаться дальше. Спрос - особенно на автомобильное топливо - растет, поскольку потребители возвращаются на дороги, а экономика США пытается избавиться от последствий пандемии.🤨
DarkSide, которая проникла в сеть Colonial и перекрыла нефтепроводы взяла в заложники почти 100 ГБ данных. Выкуп за них хакеры требуют не познее пятницы. Если он не будет оплачен, они грозят выложить все данные в Интернет
Colonial заявила, что работает с правоохранительными органами, экспертами по кибербезопасности и Министерством энергетики и находиться «в процессе восстановления обслуживания»🤷🏼♀️
По утверждению Digital Shadows, лондонской фирме по кибербезопасности, кибератака Colonial Pipeline возникла из-за пандемии коронавируса - увеличения числа инженеров, получающих удаленный доступ к системам управления трубопроводом из дома.
DarkSide смогла получить данные для входа в учетную запись, относящиеся к программному обеспечению удаленного рабочего стола, например TeamViewer и Microsoft Remote Desktop. А точки для входа были найдены с помощью поисковой системы Shodan👁
Из-за атаки вымогателей, о которой я вам рассказывал вчера, правительство США издало закон о чрезвычайном положении🤔
Статус чрезвычайной ситуации ослабляет правила перевозки топлива автомобильным транспортом. Водители в 18 штатах будут работать сверхурочно и по гибкому графику при транспортировке бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки. Топливо также начнут перевозить танкерами и поездами. Но всего этого недостаточно😳
Цены уже начали свой рост прибавив 2-3%. Эксперты говорят, что последствия будут намного хуже, если так будет продолжаться дальше. Спрос - особенно на автомобильное топливо - растет, поскольку потребители возвращаются на дороги, а экономика США пытается избавиться от последствий пандемии.🤨
DarkSide, которая проникла в сеть Colonial и перекрыла нефтепроводы взяла в заложники почти 100 ГБ данных. Выкуп за них хакеры требуют не познее пятницы. Если он не будет оплачен, они грозят выложить все данные в Интернет
Colonial заявила, что работает с правоохранительными органами, экспертами по кибербезопасности и Министерством энергетики и находиться «в процессе восстановления обслуживания»🤷🏼♀️
По утверждению Digital Shadows, лондонской фирме по кибербезопасности, кибератака Colonial Pipeline возникла из-за пандемии коронавируса - увеличения числа инженеров, получающих удаленный доступ к системам управления трубопроводом из дома.
DarkSide смогла получить данные для входа в учетную запись, относящиеся к программному обеспечению удаленного рабочего стола, например TeamViewer и Microsoft Remote Desktop. А точки для входа были найдены с помощью поисковой системы Shodan👁
Google планирует сделать с автомобилями тоже что и со смартфонами🤨
В настоящее время каждый производитель автомобилей должен включать в свои новые модели информационно-развлекательную систему, а это означает разработку операционной системы, создание не ужасного пользовательского интерфейса, создание SDK и экосистемы приложений и выполнение миллиона других вещей, которые производителям автомобилей обычно не нужны.
Перед лицом всего этого Google выпускает платформу Android для автомобилей, которая называется «Android Automotive OS»🤔
Производители автомобилей могут сделать его таким, каким захотят, просто с помощью базы кода Android, API-интерфейсов и экосистемы приложений. НО туда будут вшиты вредоносные Play Store, Google Maps, Google Assistant и Google Play Services. А также принудительные автоматические обновления по желанию Google
Root права конечно же у пользователя отнимут, режим разработчика полностью отключен. Вы не сможете загружать приложения в обход Play Store, или запускать ADB. Также существует целый сервис, который управляет ограничениями безопасности пользовательского интерфейса в зависимости от текущего состояния вождения😡
План гугл прост и понятен дать бесплатное ПО со своими проприетарными сервисами, расплачиваться за которые будут пользователи своими конфиденциальными данными.
В настоящее время каждый производитель автомобилей должен включать в свои новые модели информационно-развлекательную систему, а это означает разработку операционной системы, создание не ужасного пользовательского интерфейса, создание SDK и экосистемы приложений и выполнение миллиона других вещей, которые производителям автомобилей обычно не нужны.
Перед лицом всего этого Google выпускает платформу Android для автомобилей, которая называется «Android Automotive OS»🤔
Производители автомобилей могут сделать его таким, каким захотят, просто с помощью базы кода Android, API-интерфейсов и экосистемы приложений. НО туда будут вшиты вредоносные Play Store, Google Maps, Google Assistant и Google Play Services. А также принудительные автоматические обновления по желанию Google
Root права конечно же у пользователя отнимут, режим разработчика полностью отключен. Вы не сможете загружать приложения в обход Play Store, или запускать ADB. Также существует целый сервис, который управляет ограничениями безопасности пользовательского интерфейса в зависимости от текущего состояния вождения😡
План гугл прост и понятен дать бесплатное ПО со своими проприетарными сервисами, расплачиваться за которые будут пользователи своими конфиденциальными данными.
ФБР предотвратило заказное убийство с помощью анализа блокчейна Bitcoin🤔
Житель штата Теннесси Нельсон Реплогл заплатил в BTC киллеру за убийство своей жены Энн.😳 Реплогл отправил потенциальному убийце BTC вместе с описанием машины его жены и временем, когда она должна была отвезти домашнее животное к ветеринару.
К несчастью для Нельсона в среди сообщников киллера был тайный информатор Би-Би-Си, таким образом информация о планируемом убийстве стала доступны ФБР, включая адрес кошелька, на который поступила плата за убийство.
Затем агент ФБР предупредил о покушении Энн Реплогл и ее мужа, которые заявили, что не представляют, кто мог бы причинить ей вред.🤷🏼♀️
Штаб-квартира ФБР предоставила анализ транзакции в блокчейне и смогла определить, что адрес, с которого производилась оплата, был счетом на бирже Coinbase🤔
Затем ФБР направило Coinbase судебный запрос для получения информации о владельце счета. Биржа предоставила немедленный ответ в связи с «угрозой для жизни», который включал не только историю транзакций счета, но также имя Нельсона Реплогла и фотографии, которые он использовал при регистрации😅
ФБР также получило данные IP-адреса, который Реплогл использовал для подключения во время переводов. Затем ФБР направило интернет-провайдеру AT&T судебный запрос и компания подтвердила, что Нельсон Реплогл подключался к сети из своего дома. Информация, предоставленная Coinbase, включала и название банка, который Нельсон Реплогл подключил к своему аккаунту. Банк подтвердил, что Реплогл использовал свой личный сберегательный счет при покупке BTC для киллера🤣
=================
Забавно, Нельсон Реплогл думал что Bitcoin транзакции анонимны🤣
Житель штата Теннесси Нельсон Реплогл заплатил в BTC киллеру за убийство своей жены Энн.😳 Реплогл отправил потенциальному убийце BTC вместе с описанием машины его жены и временем, когда она должна была отвезти домашнее животное к ветеринару.
К несчастью для Нельсона в среди сообщников киллера был тайный информатор Би-Би-Си, таким образом информация о планируемом убийстве стала доступны ФБР, включая адрес кошелька, на который поступила плата за убийство.
Затем агент ФБР предупредил о покушении Энн Реплогл и ее мужа, которые заявили, что не представляют, кто мог бы причинить ей вред.🤷🏼♀️
Штаб-квартира ФБР предоставила анализ транзакции в блокчейне и смогла определить, что адрес, с которого производилась оплата, был счетом на бирже Coinbase🤔
Затем ФБР направило Coinbase судебный запрос для получения информации о владельце счета. Биржа предоставила немедленный ответ в связи с «угрозой для жизни», который включал не только историю транзакций счета, но также имя Нельсона Реплогла и фотографии, которые он использовал при регистрации😅
ФБР также получило данные IP-адреса, который Реплогл использовал для подключения во время переводов. Затем ФБР направило интернет-провайдеру AT&T судебный запрос и компания подтвердила, что Нельсон Реплогл подключался к сети из своего дома. Информация, предоставленная Coinbase, включала и название банка, который Нельсон Реплогл подключил к своему аккаунту. Банк подтвердил, что Реплогл использовал свой личный сберегательный счет при покупке BTC для киллера🤣
=================
Забавно, Нельсон Реплогл думал что Bitcoin транзакции анонимны🤣
FragAttacks — обнаружены новые дыры в WiFi😳
11 мая Wi-Fi Alliance сообщил, что исследователи безопасности выявили новые уязвимости в устройствах Wi-Fi. Уязвимость называется FragAttacks и представляет собой так называемую уязвимость Man-In-The-Middle (MITM), которая связана со способом передачи интернет-трафика между точками доступа Wi-Fi и пользовательскими устройствами.
Обнаруженные уязвимости затрагивают все современные протоколы безопасности Wi-Fi, включая последнюю спецификацию WPA3.😓 Затронут даже исходный протокол безопасности Wi-Fi, называемый WEP.
Это озночает что дыры были частью Wi-Fi с момента его выпуска в 1997 году!😱
Этот набор уязвимостей требует, чтобы потенциальный злоумышленник физически находился в пределах досягаемости сети Wi-Fi (или пользовательского устройства), чтобы воспользоваться им.
Атакующий способен перехватить конфиденциальную информацию, удаленно управлять устройствами интернета вещей подключенными к вашей сети, также уязвимости могут использоваться в качестве трамплина для запуска сложных атак.
Подробно об
11 мая Wi-Fi Alliance сообщил, что исследователи безопасности выявили новые уязвимости в устройствах Wi-Fi. Уязвимость называется FragAttacks и представляет собой так называемую уязвимость Man-In-The-Middle (MITM), которая связана со способом передачи интернет-трафика между точками доступа Wi-Fi и пользовательскими устройствами.
Обнаруженные уязвимости затрагивают все современные протоколы безопасности Wi-Fi, включая последнюю спецификацию WPA3.😓 Затронут даже исходный протокол безопасности Wi-Fi, называемый WEP.
Это озночает что дыры были частью Wi-Fi с момента его выпуска в 1997 году!😱
Этот набор уязвимостей требует, чтобы потенциальный злоумышленник физически находился в пределах досягаемости сети Wi-Fi (или пользовательского устройства), чтобы воспользоваться им.
Атакующий способен перехватить конфиденциальную информацию, удаленно управлять устройствами интернета вещей подключенными к вашей сети, также уязвимости могут использоваться в качестве трамплина для запуска сложных атак.
Подробно об
FragAttacks с видео демонстрациями можно ознакомиться на сайте https://www.fragattacks.com/IBM собирает набор данных, чтобы научить программное обеспечение, как создается программное обеспечение🤔
Этот набор, получивший название Project CodeNet, содержит, 14 миллионов примеров кода на общую сумму 500 миллионов строк на более чем 55 языках программирования, от Java, C и Go до COBOL, Pascal и FORTRAN. По правде говоря, более трех четвертей всего написано на C ++ и Python.
Этот исходный код не был взят из производства, ни в процессе развития приложений: она была собрана из записей , представленных в двух конкурсов по программированию, организованных в Японии: Айдз и AtCoder. В этих соревнованиях конкурентам предлагается написать необходимый код, чтобы превратить заданный набор входных данных в набор желаемых выходных данных.
Суть в том, что в идеале искусственный интеллект, обученный на этом наборе сможет определять хорошие программы и отклонять плохие, преобразовывать устаревшие кодовые базы на современные языки, выполнять поиск приложений и источников библиотеки для желаемых подпрограмм, или, возможно, переводить с одного языка на другой🤨
Команда, разработавшая набор данных, разместила все собранные материалы на странице проекта на GitHub
===============
Чтож, не далек тот день, когда программисты станут не нужны🤷🏼♀️
Этот набор, получивший название Project CodeNet, содержит, 14 миллионов примеров кода на общую сумму 500 миллионов строк на более чем 55 языках программирования, от Java, C и Go до COBOL, Pascal и FORTRAN. По правде говоря, более трех четвертей всего написано на C ++ и Python.
Этот исходный код не был взят из производства, ни в процессе развития приложений: она была собрана из записей , представленных в двух конкурсов по программированию, организованных в Японии: Айдз и AtCoder. В этих соревнованиях конкурентам предлагается написать необходимый код, чтобы превратить заданный набор входных данных в набор желаемых выходных данных.
Суть в том, что в идеале искусственный интеллект, обученный на этом наборе сможет определять хорошие программы и отклонять плохие, преобразовывать устаревшие кодовые базы на современные языки, выполнять поиск приложений и источников библиотеки для желаемых подпрограмм, или, возможно, переводить с одного языка на другой🤨
Команда, разработавшая набор данных, разместила все собранные материалы на странице проекта на GitHub
===============
Чтож, не далек тот день, когда программисты станут не нужны🤷🏼♀️
Итальянцы оштрафовали Google на 102 000 000 евро💰
В Италии регулятор оштрафовал корпорацию зла Google на 102 миллиона евро за злоупотребление монопольным положением - корпорация в течение двух лет ограничивала конкуренцию в пользу Google Maps.
Итальянский регулятор заявил, что Google имеет доминантную позицию на рынке через установленный на смартфоны с операционной системой Android маркетплейс Google Play.
Благодаря ему пользователи могут загружать другие приложения на свои смартфоны. В то же время, Google имеет возможность контролировать, сколько людей увидят отдельное приложение - то есть, влиять на охват.
Кроме того, около трех четвертых населения страны используют именно смартфоны на операционной системе от Google, добавил регулятор🤔
Благодоря своему доминирующему положению Google не позволил приложению для электромобилей JuicePass работать на Android Auto. Благодаря JuicePass пользователи могли бы найти на карте зарядные станции для электрокаров и просматривать информацию о них.
Но хитрый Google ограничивала работу JuicePass в пользу собственного Google Maps в течение двух лет, в результате чего поставил под угрозу способность компании-разработчика Enel X😡
Как добавил регулятор, такое поведение может негативно повлиять на развитие рынка электромобилей и их использование в определяющий для этого момент.
Кроме штрафа, Google обязали разрешить работу JuicePass на Android Auto.
========
С — справедливость👏🏻
В Италии регулятор оштрафовал корпорацию зла Google на 102 миллиона евро за злоупотребление монопольным положением - корпорация в течение двух лет ограничивала конкуренцию в пользу Google Maps.
Итальянский регулятор заявил, что Google имеет доминантную позицию на рынке через установленный на смартфоны с операционной системой Android маркетплейс Google Play.
Благодаря ему пользователи могут загружать другие приложения на свои смартфоны. В то же время, Google имеет возможность контролировать, сколько людей увидят отдельное приложение - то есть, влиять на охват.
Кроме того, около трех четвертых населения страны используют именно смартфоны на операционной системе от Google, добавил регулятор🤔
Благодоря своему доминирующему положению Google не позволил приложению для электромобилей JuicePass работать на Android Auto. Благодаря JuicePass пользователи могли бы найти на карте зарядные станции для электрокаров и просматривать информацию о них.
Но хитрый Google ограничивала работу JuicePass в пользу собственного Google Maps в течение двух лет, в результате чего поставил под угрозу способность компании-разработчика Enel X😡
Как добавил регулятор, такое поведение может негативно повлиять на развитие рынка электромобилей и их использование в определяющий для этого момент.
Кроме штрафа, Google обязали разрешить работу JuicePass на Android Auto.
========
С — справедливость👏🏻
У пользователей интернета SpaceX провайдером будет Google🤔
.
В четверг Google объявил, что его облачное подразделение выиграло сделку на поставку вычислительных и сетевых ресурсов для SpaceX, частной компании Илона Маска, занимающейся космическими разработками, для оказания интернет-услуг через ее спутники Starlink.
В случае SpaceX нет необходимости в вышках сотовой связи. Вместо этого устройства клиентов будут связываться со спутниками, а затем спутники будут подключаться к центрам обработки данных Google.
Внутри этих центров обработки данных клиенты будут запускать приложения с помощью облачных сервисов Google или отправлять информацию в сервисы других компаний но Google будет посредником😳
Сделка может продлиться семь лет
В 2015 году Google инвестировал 900 миллионов долларов в SpaceX. И только благодаря деньгам корпорации зла, SpaceX запустила на орбиту более 1500 спутников Starlink🤷🏼♀️
.
В четверг Google объявил, что его облачное подразделение выиграло сделку на поставку вычислительных и сетевых ресурсов для SpaceX, частной компании Илона Маска, занимающейся космическими разработками, для оказания интернет-услуг через ее спутники Starlink.
В случае SpaceX нет необходимости в вышках сотовой связи. Вместо этого устройства клиентов будут связываться со спутниками, а затем спутники будут подключаться к центрам обработки данных Google.
Внутри этих центров обработки данных клиенты будут запускать приложения с помощью облачных сервисов Google или отправлять информацию в сервисы других компаний но Google будет посредником😳
Сделка может продлиться семь лет
В 2015 году Google инвестировал 900 миллионов долларов в SpaceX. И только благодаря деньгам корпорации зла, SpaceX запустила на орбиту более 1500 спутников Starlink🤷🏼♀️
Пользователи Tor, будьте осторожны: метод «Scheme flooding» может быть использован для деанонимизации вас.🤔
FingerprintJS, создатель библиотеки отпечатков пальцев браузера для предотвращения мошенничества, в четверг заявил, что обнаружил новый метод снятия отпечатков браузера, способный генерировать согласованный идентификатор в различных браузерах для настольных компьютеров, включая браузер Tor.
Это означает, например, что если вы просматриваете Интернет с помощью Safari, Firefox или Chrome для некоторых веб-сайтов и используете браузер Tor для анонимного просмотра других, есть вероятность, что кто-то может связать истории вашего браузера во всех этих сеансах с использованием уникального идентификатора, что полностью деанонимизирует вас.🤨
Уязвимость сводится к злоупотреблению пользовательскими схемами URL-адресов , которые представляют веб-ссылки, такие как «skype: //», «telegram: //», «irc: //» и т. п., которые предлагают браузеру открыть соответствующее приложение.
«Уязвимость «Scheme flooding» позволяет злоумышленнику определить, какие приложения вы установили» — объясняют разработчики — «Чтобы сгенерировать 32-битный кроссбраузерный идентификатор устройства, веб-сайт может протестировать список из 32 популярных приложений и проверить, установлено ли каждое из них или нет».😓
Уязвимость не исправлена, пользователи Tor, Safari, Chrome and Firefox на настольных ПК по настоящий момент могут быть деанонимизированы.
FingerprintJS, создатель библиотеки отпечатков пальцев браузера для предотвращения мошенничества, в четверг заявил, что обнаружил новый метод снятия отпечатков браузера, способный генерировать согласованный идентификатор в различных браузерах для настольных компьютеров, включая браузер Tor.
Это означает, например, что если вы просматриваете Интернет с помощью Safari, Firefox или Chrome для некоторых веб-сайтов и используете браузер Tor для анонимного просмотра других, есть вероятность, что кто-то может связать истории вашего браузера во всех этих сеансах с использованием уникального идентификатора, что полностью деанонимизирует вас.🤨
Уязвимость сводится к злоупотреблению пользовательскими схемами URL-адресов , которые представляют веб-ссылки, такие как «skype: //», «telegram: //», «irc: //» и т. п., которые предлагают браузеру открыть соответствующее приложение.
«Уязвимость «Scheme flooding» позволяет злоумышленнику определить, какие приложения вы установили» — объясняют разработчики — «Чтобы сгенерировать 32-битный кроссбраузерный идентификатор устройства, веб-сайт может протестировать список из 32 популярных приложений и проверить, установлено ли каждое из них или нет».😓
Уязвимость не исправлена, пользователи Tor, Safari, Chrome and Firefox на настольных ПК по настоящий момент могут быть деанонимизированы.
Освоить docker за 10 минут🐳
===============
https://www.youtube.com/watch?v=ZhNYfN6M9o0
===============
Установка: https://docs.docker.com/engine/install/
10 полезных команд для Docker: https://tproger.ru/translations/top-10-docker-commands/
Docker hub: https://hub.docker.com/search?type=image
Дюжина инструкций Dockerfile: https://habr.com/ru/company/ruvds/blog/439980/
Noisy: https://news.1rj.ru/str/open_source_friend/95
===============
===============
Если есть возможность,
Спасти мир: Можно тутЬ🙏🏻
===============
https://www.youtube.com/watch?v=ZhNYfN6M9o0
===============
Установка: https://docs.docker.com/engine/install/
10 полезных команд для Docker: https://tproger.ru/translations/top-10-docker-commands/
Docker hub: https://hub.docker.com/search?type=image
Дюжина инструкций Dockerfile: https://habr.com/ru/company/ruvds/blog/439980/
Noisy: https://news.1rj.ru/str/open_source_friend/95
===============
===============
Если есть возможность,
Спасти мир: Можно тутЬ🙏🏻
YouTube
Освоить docker за 10 минут
Стань DevOps инженером туть: https://go.yodo.im/blacktriangle_may21
=======
My Telegram: https://news.1rj.ru/str/black_triangle_tg/1426
=======
"Спасти мир" и поддержать канал можно тутЬ:
https://notabug.org/Black_Triangle/safe_world
=====
https://news.1rj.ru/str/aliexpress_hacker…
=======
My Telegram: https://news.1rj.ru/str/black_triangle_tg/1426
=======
"Спасти мир" и поддержать канал можно тутЬ:
https://notabug.org/Black_Triangle/safe_world
=====
https://news.1rj.ru/str/aliexpress_hacker…
Чёрный Треугольник pinned «Освоить docker за 10 минут🐳 =============== https://www.youtube.com/watch?v=ZhNYfN6M9o0 =============== Установка: https://docs.docker.com/engine/install/ 10 полезных команд для Docker: https://tproger.ru/translations/top-10-docker-commands/ Docker hub:…»
Просто открыв исходный код в редакторе можно стать жертвой злоумышленников👀
Продемонстрирован метод атаки на редактор кода VSCode, позволяющий передать произвольные файлы при открытии в редакторе специально оформленного исходного кода.
В предложенной демонстрации при открытии кода на языке Rust, в котором используется процедурный макрос, выполняется установка соединения с хостом 127.0.0.1:8080 и отправка содержимого файла "~/.ssh/id_rsa" с SSH-ключами пользователя.
Для компрометации достаточно просто открыть файл с кодом, без выполнения каких-либо других действий с проектом.😱 Для работы примера требуется наличие в VSCode плагина rust-analyzer и наличие в системе инструментария для работы с кодом на языке Rust. Проблема связана с раскрытием процедурных макросов во время начального анализа кода. Аналогичного эффекта также можно добиться во время компиляции с использованием команды "cargo build".
Отмечается, что проблема может затрагивать другие редакторы кода и языки программирования.😱 VSCode и rust-analyze использованы лишь для демонстрации вектора атаки.
Теоретически проблеме подвержен любой редактор кода, раскрывающий процедурные макросы, позволяющие создавать расширения синтаксиса и выполнять код на этапе компиляции😓
Изначально исследователь изучал возможность совершения вредоносных действий во время компиляции кода, но обнаружил, что процедурные макросы раскрываются при обработке исходных текстов в редакторах кода. Вероятно атака может затрагивать и другие языки программирования, например, в Java похожим образом можно манипулировать с обработкой аннотаций.
Видео демонстрацию атаки можно посмотреть туть
Продемонстрирован метод атаки на редактор кода VSCode, позволяющий передать произвольные файлы при открытии в редакторе специально оформленного исходного кода.
В предложенной демонстрации при открытии кода на языке Rust, в котором используется процедурный макрос, выполняется установка соединения с хостом 127.0.0.1:8080 и отправка содержимого файла "~/.ssh/id_rsa" с SSH-ключами пользователя.
Для компрометации достаточно просто открыть файл с кодом, без выполнения каких-либо других действий с проектом.😱 Для работы примера требуется наличие в VSCode плагина rust-analyzer и наличие в системе инструментария для работы с кодом на языке Rust. Проблема связана с раскрытием процедурных макросов во время начального анализа кода. Аналогичного эффекта также можно добиться во время компиляции с использованием команды "cargo build".
Отмечается, что проблема может затрагивать другие редакторы кода и языки программирования.😱 VSCode и rust-analyze использованы лишь для демонстрации вектора атаки.
Теоретически проблеме подвержен любой редактор кода, раскрывающий процедурные макросы, позволяющие создавать расширения синтаксиса и выполнять код на этапе компиляции😓
Изначально исследователь изучал возможность совершения вредоносных действий во время компиляции кода, но обнаружил, что процедурные макросы раскрываются при обработке исходных текстов в редакторах кода. Вероятно атака может затрагивать и другие языки программирования, например, в Java похожим образом можно манипулировать с обработкой аннотаций.
Видео демонстрацию атаки можно посмотреть туть
Сообщество заставило Audacity отказался от телеметрии Google и Яндекс✊🏻
В начале мая писал вам, о том как новое руководство редактора Audacity рассказало о планах по внедрению в продукт телеметрии от Google и Яндекс, что само собой вызвало праведный гнев сообщества🔥
Пользователи Github стали оставлять эмодзи с опущенным большим пальцем в знак протеста против внедрения телеметрии. Всего сообщество собрало около 3,5 тысяч отрицательных голосов.
Сбор данных планировался о продолжительности рабочих сессий, о возникающих ошибках, использовании эффектов и других инструментах, а также об используемых форматах, версии операционной системы и многом другом
И вот наконец новый директор Audacity Мартин Кири, рассказал об отмене плана по интеграции телеметрии в аудиоредактор👏🏻
"Было принято решение, что телеметрия не будет включена в Audacity и не будет реализована." — огласил руководитель компании
Отчеты об ошибках необходимые для поддержания работоспособности программы пользователи могут отправить при желании самостоятельно, для этого будут задействованы личные серверы Audacity без участия корпораций зла😊
Проверка обновлений также будет добровольной
===============
Еще один пример как сила сообщества ведет мир к лучшему😉
В начале мая писал вам, о том как новое руководство редактора Audacity рассказало о планах по внедрению в продукт телеметрии от Google и Яндекс, что само собой вызвало праведный гнев сообщества🔥
Пользователи Github стали оставлять эмодзи с опущенным большим пальцем в знак протеста против внедрения телеметрии. Всего сообщество собрало около 3,5 тысяч отрицательных голосов.
Сбор данных планировался о продолжительности рабочих сессий, о возникающих ошибках, использовании эффектов и других инструментах, а также об используемых форматах, версии операционной системы и многом другом
И вот наконец новый директор Audacity Мартин Кири, рассказал об отмене плана по интеграции телеметрии в аудиоредактор👏🏻
"Было принято решение, что телеметрия не будет включена в Audacity и не будет реализована." — огласил руководитель компании
Отчеты об ошибках необходимые для поддержания работоспособности программы пользователи могут отправить при желании самостоятельно, для этого будут задействованы личные серверы Audacity без участия корпораций зла😊
Проверка обновлений также будет добровольной
===============
Еще один пример как сила сообщества ведет мир к лучшему😉
Cloudflare создали бесполезную замену каптчи🤣
Поставщик услуг DNS Cloudflare пообещал своим пользователям замену «безумной» каптчи совершенно новой системой «криптографической аттестации личности».
Как подсчитала компания, на решение каптчи у пользователя уходит, в среднем, 32 секунды. В мире насчитывается 4,6 млрд пользователей Интернета, и каждый сталкивается с такими задачами примерно раз за 10 дней. Таким образом, на решение каптчи ежедневно уходит примерно 500 лет.😳
Система которую предлогает Cloudflare на замену — маленькие USB-устройства.😏
Каждое устройство имеет встроенный защищенный модуль, содержащий уникальный секрет, запечатанный производителем. Cloudflare запрашивает у устройства доказательства подлинности, не раскрывая информацию о модуле.
А для прохождения проверки пользователю просто нужно нажать сенсорную кнопку на устройстве.🤔
Однако как выяснилось подобная проверка совершенно не выполняет главную функцию — защиту сервисов от ботов. Потому что нажать на сенсор роботу даже проще чем угадывать картинки🤣
Поставщик услуг DNS Cloudflare пообещал своим пользователям замену «безумной» каптчи совершенно новой системой «криптографической аттестации личности».
Как подсчитала компания, на решение каптчи у пользователя уходит, в среднем, 32 секунды. В мире насчитывается 4,6 млрд пользователей Интернета, и каждый сталкивается с такими задачами примерно раз за 10 дней. Таким образом, на решение каптчи ежедневно уходит примерно 500 лет.😳
Система которую предлогает Cloudflare на замену — маленькие USB-устройства.😏
Каждое устройство имеет встроенный защищенный модуль, содержащий уникальный секрет, запечатанный производителем. Cloudflare запрашивает у устройства доказательства подлинности, не раскрывая информацию о модуле.
А для прохождения проверки пользователю просто нужно нажать сенсорную кнопку на устройстве.🤔
Однако как выяснилось подобная проверка совершенно не выполняет главную функцию — защиту сервисов от ботов. Потому что нажать на сенсор роботу даже проще чем угадывать картинки🤣
Производители выпускают патчи для проблем Frag Attacks👏🏻
.
На прошлой неделе рассказывал вам об уязвимостях Frag Attacks. Баги позволяют злоумышленнику, находящемуся в радиусе действия Wi-Fi, собирать информацию о владельце устройства и выполнять вредоносный код. Хуже того, уязвимости актуальны даже в том случае, если активна защита WEP и WPA.😓
Перед Frag Attacks уязвимы все устройства с поддержкой Wi-Fi (компьютеры, смартфоны и «умные» девайсы), выпущенные после 1997 года.
Тем не менее, работа над исправлением уязвимостей ведется и активно. Заявления и бюллетени безопасности подготовили многие крупные вендоры и разработчики:
▫️Aruba Networks
▫️Arista
▫️Canonical
▫️Cisco
🔥Debian
▫️Dell
▫️Industry Consortium for Advancement of Security on the Internet
▫️Intel
▫️Juniper Networks
▫️Lenovo
▫️Microsoft
▫️NETGEAR
▫️RUCKUS
▫️Sierra Wireless
▫️Synology
▫️SUSE
▫️Wi-Fi Alliance
▫️Zyxel
🔥OpenWRT
.
На прошлой неделе рассказывал вам об уязвимостях Frag Attacks. Баги позволяют злоумышленнику, находящемуся в радиусе действия Wi-Fi, собирать информацию о владельце устройства и выполнять вредоносный код. Хуже того, уязвимости актуальны даже в том случае, если активна защита WEP и WPA.😓
Перед Frag Attacks уязвимы все устройства с поддержкой Wi-Fi (компьютеры, смартфоны и «умные» девайсы), выпущенные после 1997 года.
Тем не менее, работа над исправлением уязвимостей ведется и активно. Заявления и бюллетени безопасности подготовили многие крупные вендоры и разработчики:
▫️Aruba Networks
▫️Arista
▫️Canonical
▫️Cisco
🔥Debian
▫️Dell
▫️Industry Consortium for Advancement of Security on the Internet
▫️Intel
▫️Juniper Networks
▫️Lenovo
▫️Microsoft
▫️NETGEAR
▫️RUCKUS
▫️Sierra Wireless
▫️Synology
▫️SUSE
▫️Wi-Fi Alliance
▫️Zyxel
🔥OpenWRT