Tor продолжает быть наполнен вредоносными узлами🤔
В 2020 году я писал вам, о том как неизвестные хакеры в течении 7 месяцев атаковали пользователей криптовалют производивших свои операции внутри сети Tor
И вот согласно последним отчетам экспертам по безопасности, все стало только хуже.🤷🏼♀️ Уже 16 месяцев злоумышленник добавляет вредоносные серверы в сеть Tor, чтобы перехватывать трафик и выполнять атаки с удалением SSL на пользователей, обращающихся к сайтам, связанным с криптовалютой.
Атаки превзошли прошлогодние показатели, на сегодняшний момент 27% узлов сети являются вредоносными😳
Еще в августе 2020 года Tor Project выпустил серию рекомендаций о том, как операторы веб-сайта и пользователи Tor Browser могут защитить себя от подобных атак.
Однако эксперты также отмечают, что злоумышленники не стоят на месте, и пробуют ставить различные собственные эксперименты над трафиком, для поиска нового вектора атак🤨
В 2020 году я писал вам, о том как неизвестные хакеры в течении 7 месяцев атаковали пользователей криптовалют производивших свои операции внутри сети Tor
И вот согласно последним отчетам экспертам по безопасности, все стало только хуже.🤷🏼♀️ Уже 16 месяцев злоумышленник добавляет вредоносные серверы в сеть Tor, чтобы перехватывать трафик и выполнять атаки с удалением SSL на пользователей, обращающихся к сайтам, связанным с криптовалютой.
Атаки превзошли прошлогодние показатели, на сегодняшний момент 27% узлов сети являются вредоносными😳
Еще в августе 2020 года Tor Project выпустил серию рекомендаций о том, как операторы веб-сайта и пользователи Tor Browser могут защитить себя от подобных атак.
Однако эксперты также отмечают, что злоумышленники не стоят на месте, и пробуют ставить различные собственные эксперименты над трафиком, для поиска нового вектора атак🤨
США вводит режим чрезвычайной ситуации из-за атаки хакеров
Из-за атаки вымогателей, о которой я вам рассказывал вчера, правительство США издало закон о чрезвычайном положении🤔
Статус чрезвычайной ситуации ослабляет правила перевозки топлива автомобильным транспортом. Водители в 18 штатах будут работать сверхурочно и по гибкому графику при транспортировке бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки. Топливо также начнут перевозить танкерами и поездами. Но всего этого недостаточно😳
Цены уже начали свой рост прибавив 2-3%. Эксперты говорят, что последствия будут намного хуже, если так будет продолжаться дальше. Спрос - особенно на автомобильное топливо - растет, поскольку потребители возвращаются на дороги, а экономика США пытается избавиться от последствий пандемии.🤨
DarkSide, которая проникла в сеть Colonial и перекрыла нефтепроводы взяла в заложники почти 100 ГБ данных. Выкуп за них хакеры требуют не познее пятницы. Если он не будет оплачен, они грозят выложить все данные в Интернет
Colonial заявила, что работает с правоохранительными органами, экспертами по кибербезопасности и Министерством энергетики и находиться «в процессе восстановления обслуживания»🤷🏼♀️
По утверждению Digital Shadows, лондонской фирме по кибербезопасности, кибератака Colonial Pipeline возникла из-за пандемии коронавируса - увеличения числа инженеров, получающих удаленный доступ к системам управления трубопроводом из дома.
DarkSide смогла получить данные для входа в учетную запись, относящиеся к программному обеспечению удаленного рабочего стола, например TeamViewer и Microsoft Remote Desktop. А точки для входа были найдены с помощью поисковой системы Shodan👁
Из-за атаки вымогателей, о которой я вам рассказывал вчера, правительство США издало закон о чрезвычайном положении🤔
Статус чрезвычайной ситуации ослабляет правила перевозки топлива автомобильным транспортом. Водители в 18 штатах будут работать сверхурочно и по гибкому графику при транспортировке бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки. Топливо также начнут перевозить танкерами и поездами. Но всего этого недостаточно😳
Цены уже начали свой рост прибавив 2-3%. Эксперты говорят, что последствия будут намного хуже, если так будет продолжаться дальше. Спрос - особенно на автомобильное топливо - растет, поскольку потребители возвращаются на дороги, а экономика США пытается избавиться от последствий пандемии.🤨
DarkSide, которая проникла в сеть Colonial и перекрыла нефтепроводы взяла в заложники почти 100 ГБ данных. Выкуп за них хакеры требуют не познее пятницы. Если он не будет оплачен, они грозят выложить все данные в Интернет
Colonial заявила, что работает с правоохранительными органами, экспертами по кибербезопасности и Министерством энергетики и находиться «в процессе восстановления обслуживания»🤷🏼♀️
По утверждению Digital Shadows, лондонской фирме по кибербезопасности, кибератака Colonial Pipeline возникла из-за пандемии коронавируса - увеличения числа инженеров, получающих удаленный доступ к системам управления трубопроводом из дома.
DarkSide смогла получить данные для входа в учетную запись, относящиеся к программному обеспечению удаленного рабочего стола, например TeamViewer и Microsoft Remote Desktop. А точки для входа были найдены с помощью поисковой системы Shodan👁
Google планирует сделать с автомобилями тоже что и со смартфонами🤨
В настоящее время каждый производитель автомобилей должен включать в свои новые модели информационно-развлекательную систему, а это означает разработку операционной системы, создание не ужасного пользовательского интерфейса, создание SDK и экосистемы приложений и выполнение миллиона других вещей, которые производителям автомобилей обычно не нужны.
Перед лицом всего этого Google выпускает платформу Android для автомобилей, которая называется «Android Automotive OS»🤔
Производители автомобилей могут сделать его таким, каким захотят, просто с помощью базы кода Android, API-интерфейсов и экосистемы приложений. НО туда будут вшиты вредоносные Play Store, Google Maps, Google Assistant и Google Play Services. А также принудительные автоматические обновления по желанию Google
Root права конечно же у пользователя отнимут, режим разработчика полностью отключен. Вы не сможете загружать приложения в обход Play Store, или запускать ADB. Также существует целый сервис, который управляет ограничениями безопасности пользовательского интерфейса в зависимости от текущего состояния вождения😡
План гугл прост и понятен дать бесплатное ПО со своими проприетарными сервисами, расплачиваться за которые будут пользователи своими конфиденциальными данными.
В настоящее время каждый производитель автомобилей должен включать в свои новые модели информационно-развлекательную систему, а это означает разработку операционной системы, создание не ужасного пользовательского интерфейса, создание SDK и экосистемы приложений и выполнение миллиона других вещей, которые производителям автомобилей обычно не нужны.
Перед лицом всего этого Google выпускает платформу Android для автомобилей, которая называется «Android Automotive OS»🤔
Производители автомобилей могут сделать его таким, каким захотят, просто с помощью базы кода Android, API-интерфейсов и экосистемы приложений. НО туда будут вшиты вредоносные Play Store, Google Maps, Google Assistant и Google Play Services. А также принудительные автоматические обновления по желанию Google
Root права конечно же у пользователя отнимут, режим разработчика полностью отключен. Вы не сможете загружать приложения в обход Play Store, или запускать ADB. Также существует целый сервис, который управляет ограничениями безопасности пользовательского интерфейса в зависимости от текущего состояния вождения😡
План гугл прост и понятен дать бесплатное ПО со своими проприетарными сервисами, расплачиваться за которые будут пользователи своими конфиденциальными данными.
ФБР предотвратило заказное убийство с помощью анализа блокчейна Bitcoin🤔
Житель штата Теннесси Нельсон Реплогл заплатил в BTC киллеру за убийство своей жены Энн.😳 Реплогл отправил потенциальному убийце BTC вместе с описанием машины его жены и временем, когда она должна была отвезти домашнее животное к ветеринару.
К несчастью для Нельсона в среди сообщников киллера был тайный информатор Би-Би-Си, таким образом информация о планируемом убийстве стала доступны ФБР, включая адрес кошелька, на который поступила плата за убийство.
Затем агент ФБР предупредил о покушении Энн Реплогл и ее мужа, которые заявили, что не представляют, кто мог бы причинить ей вред.🤷🏼♀️
Штаб-квартира ФБР предоставила анализ транзакции в блокчейне и смогла определить, что адрес, с которого производилась оплата, был счетом на бирже Coinbase🤔
Затем ФБР направило Coinbase судебный запрос для получения информации о владельце счета. Биржа предоставила немедленный ответ в связи с «угрозой для жизни», который включал не только историю транзакций счета, но также имя Нельсона Реплогла и фотографии, которые он использовал при регистрации😅
ФБР также получило данные IP-адреса, который Реплогл использовал для подключения во время переводов. Затем ФБР направило интернет-провайдеру AT&T судебный запрос и компания подтвердила, что Нельсон Реплогл подключался к сети из своего дома. Информация, предоставленная Coinbase, включала и название банка, который Нельсон Реплогл подключил к своему аккаунту. Банк подтвердил, что Реплогл использовал свой личный сберегательный счет при покупке BTC для киллера🤣
=================
Забавно, Нельсон Реплогл думал что Bitcoin транзакции анонимны🤣
Житель штата Теннесси Нельсон Реплогл заплатил в BTC киллеру за убийство своей жены Энн.😳 Реплогл отправил потенциальному убийце BTC вместе с описанием машины его жены и временем, когда она должна была отвезти домашнее животное к ветеринару.
К несчастью для Нельсона в среди сообщников киллера был тайный информатор Би-Би-Си, таким образом информация о планируемом убийстве стала доступны ФБР, включая адрес кошелька, на который поступила плата за убийство.
Затем агент ФБР предупредил о покушении Энн Реплогл и ее мужа, которые заявили, что не представляют, кто мог бы причинить ей вред.🤷🏼♀️
Штаб-квартира ФБР предоставила анализ транзакции в блокчейне и смогла определить, что адрес, с которого производилась оплата, был счетом на бирже Coinbase🤔
Затем ФБР направило Coinbase судебный запрос для получения информации о владельце счета. Биржа предоставила немедленный ответ в связи с «угрозой для жизни», который включал не только историю транзакций счета, но также имя Нельсона Реплогла и фотографии, которые он использовал при регистрации😅
ФБР также получило данные IP-адреса, который Реплогл использовал для подключения во время переводов. Затем ФБР направило интернет-провайдеру AT&T судебный запрос и компания подтвердила, что Нельсон Реплогл подключался к сети из своего дома. Информация, предоставленная Coinbase, включала и название банка, который Нельсон Реплогл подключил к своему аккаунту. Банк подтвердил, что Реплогл использовал свой личный сберегательный счет при покупке BTC для киллера🤣
=================
Забавно, Нельсон Реплогл думал что Bitcoin транзакции анонимны🤣
FragAttacks — обнаружены новые дыры в WiFi😳
11 мая Wi-Fi Alliance сообщил, что исследователи безопасности выявили новые уязвимости в устройствах Wi-Fi. Уязвимость называется FragAttacks и представляет собой так называемую уязвимость Man-In-The-Middle (MITM), которая связана со способом передачи интернет-трафика между точками доступа Wi-Fi и пользовательскими устройствами.
Обнаруженные уязвимости затрагивают все современные протоколы безопасности Wi-Fi, включая последнюю спецификацию WPA3.😓 Затронут даже исходный протокол безопасности Wi-Fi, называемый WEP.
Это озночает что дыры были частью Wi-Fi с момента его выпуска в 1997 году!😱
Этот набор уязвимостей требует, чтобы потенциальный злоумышленник физически находился в пределах досягаемости сети Wi-Fi (или пользовательского устройства), чтобы воспользоваться им.
Атакующий способен перехватить конфиденциальную информацию, удаленно управлять устройствами интернета вещей подключенными к вашей сети, также уязвимости могут использоваться в качестве трамплина для запуска сложных атак.
Подробно об
11 мая Wi-Fi Alliance сообщил, что исследователи безопасности выявили новые уязвимости в устройствах Wi-Fi. Уязвимость называется FragAttacks и представляет собой так называемую уязвимость Man-In-The-Middle (MITM), которая связана со способом передачи интернет-трафика между точками доступа Wi-Fi и пользовательскими устройствами.
Обнаруженные уязвимости затрагивают все современные протоколы безопасности Wi-Fi, включая последнюю спецификацию WPA3.😓 Затронут даже исходный протокол безопасности Wi-Fi, называемый WEP.
Это озночает что дыры были частью Wi-Fi с момента его выпуска в 1997 году!😱
Этот набор уязвимостей требует, чтобы потенциальный злоумышленник физически находился в пределах досягаемости сети Wi-Fi (или пользовательского устройства), чтобы воспользоваться им.
Атакующий способен перехватить конфиденциальную информацию, удаленно управлять устройствами интернета вещей подключенными к вашей сети, также уязвимости могут использоваться в качестве трамплина для запуска сложных атак.
Подробно об
FragAttacks с видео демонстрациями можно ознакомиться на сайте https://www.fragattacks.com/IBM собирает набор данных, чтобы научить программное обеспечение, как создается программное обеспечение🤔
Этот набор, получивший название Project CodeNet, содержит, 14 миллионов примеров кода на общую сумму 500 миллионов строк на более чем 55 языках программирования, от Java, C и Go до COBOL, Pascal и FORTRAN. По правде говоря, более трех четвертей всего написано на C ++ и Python.
Этот исходный код не был взят из производства, ни в процессе развития приложений: она была собрана из записей , представленных в двух конкурсов по программированию, организованных в Японии: Айдз и AtCoder. В этих соревнованиях конкурентам предлагается написать необходимый код, чтобы превратить заданный набор входных данных в набор желаемых выходных данных.
Суть в том, что в идеале искусственный интеллект, обученный на этом наборе сможет определять хорошие программы и отклонять плохие, преобразовывать устаревшие кодовые базы на современные языки, выполнять поиск приложений и источников библиотеки для желаемых подпрограмм, или, возможно, переводить с одного языка на другой🤨
Команда, разработавшая набор данных, разместила все собранные материалы на странице проекта на GitHub
===============
Чтож, не далек тот день, когда программисты станут не нужны🤷🏼♀️
Этот набор, получивший название Project CodeNet, содержит, 14 миллионов примеров кода на общую сумму 500 миллионов строк на более чем 55 языках программирования, от Java, C и Go до COBOL, Pascal и FORTRAN. По правде говоря, более трех четвертей всего написано на C ++ и Python.
Этот исходный код не был взят из производства, ни в процессе развития приложений: она была собрана из записей , представленных в двух конкурсов по программированию, организованных в Японии: Айдз и AtCoder. В этих соревнованиях конкурентам предлагается написать необходимый код, чтобы превратить заданный набор входных данных в набор желаемых выходных данных.
Суть в том, что в идеале искусственный интеллект, обученный на этом наборе сможет определять хорошие программы и отклонять плохие, преобразовывать устаревшие кодовые базы на современные языки, выполнять поиск приложений и источников библиотеки для желаемых подпрограмм, или, возможно, переводить с одного языка на другой🤨
Команда, разработавшая набор данных, разместила все собранные материалы на странице проекта на GitHub
===============
Чтож, не далек тот день, когда программисты станут не нужны🤷🏼♀️
Итальянцы оштрафовали Google на 102 000 000 евро💰
В Италии регулятор оштрафовал корпорацию зла Google на 102 миллиона евро за злоупотребление монопольным положением - корпорация в течение двух лет ограничивала конкуренцию в пользу Google Maps.
Итальянский регулятор заявил, что Google имеет доминантную позицию на рынке через установленный на смартфоны с операционной системой Android маркетплейс Google Play.
Благодаря ему пользователи могут загружать другие приложения на свои смартфоны. В то же время, Google имеет возможность контролировать, сколько людей увидят отдельное приложение - то есть, влиять на охват.
Кроме того, около трех четвертых населения страны используют именно смартфоны на операционной системе от Google, добавил регулятор🤔
Благодоря своему доминирующему положению Google не позволил приложению для электромобилей JuicePass работать на Android Auto. Благодаря JuicePass пользователи могли бы найти на карте зарядные станции для электрокаров и просматривать информацию о них.
Но хитрый Google ограничивала работу JuicePass в пользу собственного Google Maps в течение двух лет, в результате чего поставил под угрозу способность компании-разработчика Enel X😡
Как добавил регулятор, такое поведение может негативно повлиять на развитие рынка электромобилей и их использование в определяющий для этого момент.
Кроме штрафа, Google обязали разрешить работу JuicePass на Android Auto.
========
С — справедливость👏🏻
В Италии регулятор оштрафовал корпорацию зла Google на 102 миллиона евро за злоупотребление монопольным положением - корпорация в течение двух лет ограничивала конкуренцию в пользу Google Maps.
Итальянский регулятор заявил, что Google имеет доминантную позицию на рынке через установленный на смартфоны с операционной системой Android маркетплейс Google Play.
Благодаря ему пользователи могут загружать другие приложения на свои смартфоны. В то же время, Google имеет возможность контролировать, сколько людей увидят отдельное приложение - то есть, влиять на охват.
Кроме того, около трех четвертых населения страны используют именно смартфоны на операционной системе от Google, добавил регулятор🤔
Благодоря своему доминирующему положению Google не позволил приложению для электромобилей JuicePass работать на Android Auto. Благодаря JuicePass пользователи могли бы найти на карте зарядные станции для электрокаров и просматривать информацию о них.
Но хитрый Google ограничивала работу JuicePass в пользу собственного Google Maps в течение двух лет, в результате чего поставил под угрозу способность компании-разработчика Enel X😡
Как добавил регулятор, такое поведение может негативно повлиять на развитие рынка электромобилей и их использование в определяющий для этого момент.
Кроме штрафа, Google обязали разрешить работу JuicePass на Android Auto.
========
С — справедливость👏🏻
У пользователей интернета SpaceX провайдером будет Google🤔
.
В четверг Google объявил, что его облачное подразделение выиграло сделку на поставку вычислительных и сетевых ресурсов для SpaceX, частной компании Илона Маска, занимающейся космическими разработками, для оказания интернет-услуг через ее спутники Starlink.
В случае SpaceX нет необходимости в вышках сотовой связи. Вместо этого устройства клиентов будут связываться со спутниками, а затем спутники будут подключаться к центрам обработки данных Google.
Внутри этих центров обработки данных клиенты будут запускать приложения с помощью облачных сервисов Google или отправлять информацию в сервисы других компаний но Google будет посредником😳
Сделка может продлиться семь лет
В 2015 году Google инвестировал 900 миллионов долларов в SpaceX. И только благодаря деньгам корпорации зла, SpaceX запустила на орбиту более 1500 спутников Starlink🤷🏼♀️
.
В четверг Google объявил, что его облачное подразделение выиграло сделку на поставку вычислительных и сетевых ресурсов для SpaceX, частной компании Илона Маска, занимающейся космическими разработками, для оказания интернет-услуг через ее спутники Starlink.
В случае SpaceX нет необходимости в вышках сотовой связи. Вместо этого устройства клиентов будут связываться со спутниками, а затем спутники будут подключаться к центрам обработки данных Google.
Внутри этих центров обработки данных клиенты будут запускать приложения с помощью облачных сервисов Google или отправлять информацию в сервисы других компаний но Google будет посредником😳
Сделка может продлиться семь лет
В 2015 году Google инвестировал 900 миллионов долларов в SpaceX. И только благодаря деньгам корпорации зла, SpaceX запустила на орбиту более 1500 спутников Starlink🤷🏼♀️
Пользователи Tor, будьте осторожны: метод «Scheme flooding» может быть использован для деанонимизации вас.🤔
FingerprintJS, создатель библиотеки отпечатков пальцев браузера для предотвращения мошенничества, в четверг заявил, что обнаружил новый метод снятия отпечатков браузера, способный генерировать согласованный идентификатор в различных браузерах для настольных компьютеров, включая браузер Tor.
Это означает, например, что если вы просматриваете Интернет с помощью Safari, Firefox или Chrome для некоторых веб-сайтов и используете браузер Tor для анонимного просмотра других, есть вероятность, что кто-то может связать истории вашего браузера во всех этих сеансах с использованием уникального идентификатора, что полностью деанонимизирует вас.🤨
Уязвимость сводится к злоупотреблению пользовательскими схемами URL-адресов , которые представляют веб-ссылки, такие как «skype: //», «telegram: //», «irc: //» и т. п., которые предлагают браузеру открыть соответствующее приложение.
«Уязвимость «Scheme flooding» позволяет злоумышленнику определить, какие приложения вы установили» — объясняют разработчики — «Чтобы сгенерировать 32-битный кроссбраузерный идентификатор устройства, веб-сайт может протестировать список из 32 популярных приложений и проверить, установлено ли каждое из них или нет».😓
Уязвимость не исправлена, пользователи Tor, Safari, Chrome and Firefox на настольных ПК по настоящий момент могут быть деанонимизированы.
FingerprintJS, создатель библиотеки отпечатков пальцев браузера для предотвращения мошенничества, в четверг заявил, что обнаружил новый метод снятия отпечатков браузера, способный генерировать согласованный идентификатор в различных браузерах для настольных компьютеров, включая браузер Tor.
Это означает, например, что если вы просматриваете Интернет с помощью Safari, Firefox или Chrome для некоторых веб-сайтов и используете браузер Tor для анонимного просмотра других, есть вероятность, что кто-то может связать истории вашего браузера во всех этих сеансах с использованием уникального идентификатора, что полностью деанонимизирует вас.🤨
Уязвимость сводится к злоупотреблению пользовательскими схемами URL-адресов , которые представляют веб-ссылки, такие как «skype: //», «telegram: //», «irc: //» и т. п., которые предлагают браузеру открыть соответствующее приложение.
«Уязвимость «Scheme flooding» позволяет злоумышленнику определить, какие приложения вы установили» — объясняют разработчики — «Чтобы сгенерировать 32-битный кроссбраузерный идентификатор устройства, веб-сайт может протестировать список из 32 популярных приложений и проверить, установлено ли каждое из них или нет».😓
Уязвимость не исправлена, пользователи Tor, Safari, Chrome and Firefox на настольных ПК по настоящий момент могут быть деанонимизированы.
Освоить docker за 10 минут🐳
===============
https://www.youtube.com/watch?v=ZhNYfN6M9o0
===============
Установка: https://docs.docker.com/engine/install/
10 полезных команд для Docker: https://tproger.ru/translations/top-10-docker-commands/
Docker hub: https://hub.docker.com/search?type=image
Дюжина инструкций Dockerfile: https://habr.com/ru/company/ruvds/blog/439980/
Noisy: https://news.1rj.ru/str/open_source_friend/95
===============
===============
Если есть возможность,
Спасти мир: Можно тутЬ🙏🏻
===============
https://www.youtube.com/watch?v=ZhNYfN6M9o0
===============
Установка: https://docs.docker.com/engine/install/
10 полезных команд для Docker: https://tproger.ru/translations/top-10-docker-commands/
Docker hub: https://hub.docker.com/search?type=image
Дюжина инструкций Dockerfile: https://habr.com/ru/company/ruvds/blog/439980/
Noisy: https://news.1rj.ru/str/open_source_friend/95
===============
===============
Если есть возможность,
Спасти мир: Можно тутЬ🙏🏻
YouTube
Освоить docker за 10 минут
Стань DevOps инженером туть: https://go.yodo.im/blacktriangle_may21
=======
My Telegram: https://news.1rj.ru/str/black_triangle_tg/1426
=======
"Спасти мир" и поддержать канал можно тутЬ:
https://notabug.org/Black_Triangle/safe_world
=====
https://news.1rj.ru/str/aliexpress_hacker…
=======
My Telegram: https://news.1rj.ru/str/black_triangle_tg/1426
=======
"Спасти мир" и поддержать канал можно тутЬ:
https://notabug.org/Black_Triangle/safe_world
=====
https://news.1rj.ru/str/aliexpress_hacker…
Чёрный Треугольник pinned «Освоить docker за 10 минут🐳 =============== https://www.youtube.com/watch?v=ZhNYfN6M9o0 =============== Установка: https://docs.docker.com/engine/install/ 10 полезных команд для Docker: https://tproger.ru/translations/top-10-docker-commands/ Docker hub:…»
Просто открыв исходный код в редакторе можно стать жертвой злоумышленников👀
Продемонстрирован метод атаки на редактор кода VSCode, позволяющий передать произвольные файлы при открытии в редакторе специально оформленного исходного кода.
В предложенной демонстрации при открытии кода на языке Rust, в котором используется процедурный макрос, выполняется установка соединения с хостом 127.0.0.1:8080 и отправка содержимого файла "~/.ssh/id_rsa" с SSH-ключами пользователя.
Для компрометации достаточно просто открыть файл с кодом, без выполнения каких-либо других действий с проектом.😱 Для работы примера требуется наличие в VSCode плагина rust-analyzer и наличие в системе инструментария для работы с кодом на языке Rust. Проблема связана с раскрытием процедурных макросов во время начального анализа кода. Аналогичного эффекта также можно добиться во время компиляции с использованием команды "cargo build".
Отмечается, что проблема может затрагивать другие редакторы кода и языки программирования.😱 VSCode и rust-analyze использованы лишь для демонстрации вектора атаки.
Теоретически проблеме подвержен любой редактор кода, раскрывающий процедурные макросы, позволяющие создавать расширения синтаксиса и выполнять код на этапе компиляции😓
Изначально исследователь изучал возможность совершения вредоносных действий во время компиляции кода, но обнаружил, что процедурные макросы раскрываются при обработке исходных текстов в редакторах кода. Вероятно атака может затрагивать и другие языки программирования, например, в Java похожим образом можно манипулировать с обработкой аннотаций.
Видео демонстрацию атаки можно посмотреть туть
Продемонстрирован метод атаки на редактор кода VSCode, позволяющий передать произвольные файлы при открытии в редакторе специально оформленного исходного кода.
В предложенной демонстрации при открытии кода на языке Rust, в котором используется процедурный макрос, выполняется установка соединения с хостом 127.0.0.1:8080 и отправка содержимого файла "~/.ssh/id_rsa" с SSH-ключами пользователя.
Для компрометации достаточно просто открыть файл с кодом, без выполнения каких-либо других действий с проектом.😱 Для работы примера требуется наличие в VSCode плагина rust-analyzer и наличие в системе инструментария для работы с кодом на языке Rust. Проблема связана с раскрытием процедурных макросов во время начального анализа кода. Аналогичного эффекта также можно добиться во время компиляции с использованием команды "cargo build".
Отмечается, что проблема может затрагивать другие редакторы кода и языки программирования.😱 VSCode и rust-analyze использованы лишь для демонстрации вектора атаки.
Теоретически проблеме подвержен любой редактор кода, раскрывающий процедурные макросы, позволяющие создавать расширения синтаксиса и выполнять код на этапе компиляции😓
Изначально исследователь изучал возможность совершения вредоносных действий во время компиляции кода, но обнаружил, что процедурные макросы раскрываются при обработке исходных текстов в редакторах кода. Вероятно атака может затрагивать и другие языки программирования, например, в Java похожим образом можно манипулировать с обработкой аннотаций.
Видео демонстрацию атаки можно посмотреть туть
Сообщество заставило Audacity отказался от телеметрии Google и Яндекс✊🏻
В начале мая писал вам, о том как новое руководство редактора Audacity рассказало о планах по внедрению в продукт телеметрии от Google и Яндекс, что само собой вызвало праведный гнев сообщества🔥
Пользователи Github стали оставлять эмодзи с опущенным большим пальцем в знак протеста против внедрения телеметрии. Всего сообщество собрало около 3,5 тысяч отрицательных голосов.
Сбор данных планировался о продолжительности рабочих сессий, о возникающих ошибках, использовании эффектов и других инструментах, а также об используемых форматах, версии операционной системы и многом другом
И вот наконец новый директор Audacity Мартин Кири, рассказал об отмене плана по интеграции телеметрии в аудиоредактор👏🏻
"Было принято решение, что телеметрия не будет включена в Audacity и не будет реализована." — огласил руководитель компании
Отчеты об ошибках необходимые для поддержания работоспособности программы пользователи могут отправить при желании самостоятельно, для этого будут задействованы личные серверы Audacity без участия корпораций зла😊
Проверка обновлений также будет добровольной
===============
Еще один пример как сила сообщества ведет мир к лучшему😉
В начале мая писал вам, о том как новое руководство редактора Audacity рассказало о планах по внедрению в продукт телеметрии от Google и Яндекс, что само собой вызвало праведный гнев сообщества🔥
Пользователи Github стали оставлять эмодзи с опущенным большим пальцем в знак протеста против внедрения телеметрии. Всего сообщество собрало около 3,5 тысяч отрицательных голосов.
Сбор данных планировался о продолжительности рабочих сессий, о возникающих ошибках, использовании эффектов и других инструментах, а также об используемых форматах, версии операционной системы и многом другом
И вот наконец новый директор Audacity Мартин Кири, рассказал об отмене плана по интеграции телеметрии в аудиоредактор👏🏻
"Было принято решение, что телеметрия не будет включена в Audacity и не будет реализована." — огласил руководитель компании
Отчеты об ошибках необходимые для поддержания работоспособности программы пользователи могут отправить при желании самостоятельно, для этого будут задействованы личные серверы Audacity без участия корпораций зла😊
Проверка обновлений также будет добровольной
===============
Еще один пример как сила сообщества ведет мир к лучшему😉
Cloudflare создали бесполезную замену каптчи🤣
Поставщик услуг DNS Cloudflare пообещал своим пользователям замену «безумной» каптчи совершенно новой системой «криптографической аттестации личности».
Как подсчитала компания, на решение каптчи у пользователя уходит, в среднем, 32 секунды. В мире насчитывается 4,6 млрд пользователей Интернета, и каждый сталкивается с такими задачами примерно раз за 10 дней. Таким образом, на решение каптчи ежедневно уходит примерно 500 лет.😳
Система которую предлогает Cloudflare на замену — маленькие USB-устройства.😏
Каждое устройство имеет встроенный защищенный модуль, содержащий уникальный секрет, запечатанный производителем. Cloudflare запрашивает у устройства доказательства подлинности, не раскрывая информацию о модуле.
А для прохождения проверки пользователю просто нужно нажать сенсорную кнопку на устройстве.🤔
Однако как выяснилось подобная проверка совершенно не выполняет главную функцию — защиту сервисов от ботов. Потому что нажать на сенсор роботу даже проще чем угадывать картинки🤣
Поставщик услуг DNS Cloudflare пообещал своим пользователям замену «безумной» каптчи совершенно новой системой «криптографической аттестации личности».
Как подсчитала компания, на решение каптчи у пользователя уходит, в среднем, 32 секунды. В мире насчитывается 4,6 млрд пользователей Интернета, и каждый сталкивается с такими задачами примерно раз за 10 дней. Таким образом, на решение каптчи ежедневно уходит примерно 500 лет.😳
Система которую предлогает Cloudflare на замену — маленькие USB-устройства.😏
Каждое устройство имеет встроенный защищенный модуль, содержащий уникальный секрет, запечатанный производителем. Cloudflare запрашивает у устройства доказательства подлинности, не раскрывая информацию о модуле.
А для прохождения проверки пользователю просто нужно нажать сенсорную кнопку на устройстве.🤔
Однако как выяснилось подобная проверка совершенно не выполняет главную функцию — защиту сервисов от ботов. Потому что нажать на сенсор роботу даже проще чем угадывать картинки🤣
Производители выпускают патчи для проблем Frag Attacks👏🏻
.
На прошлой неделе рассказывал вам об уязвимостях Frag Attacks. Баги позволяют злоумышленнику, находящемуся в радиусе действия Wi-Fi, собирать информацию о владельце устройства и выполнять вредоносный код. Хуже того, уязвимости актуальны даже в том случае, если активна защита WEP и WPA.😓
Перед Frag Attacks уязвимы все устройства с поддержкой Wi-Fi (компьютеры, смартфоны и «умные» девайсы), выпущенные после 1997 года.
Тем не менее, работа над исправлением уязвимостей ведется и активно. Заявления и бюллетени безопасности подготовили многие крупные вендоры и разработчики:
▫️Aruba Networks
▫️Arista
▫️Canonical
▫️Cisco
🔥Debian
▫️Dell
▫️Industry Consortium for Advancement of Security on the Internet
▫️Intel
▫️Juniper Networks
▫️Lenovo
▫️Microsoft
▫️NETGEAR
▫️RUCKUS
▫️Sierra Wireless
▫️Synology
▫️SUSE
▫️Wi-Fi Alliance
▫️Zyxel
🔥OpenWRT
.
На прошлой неделе рассказывал вам об уязвимостях Frag Attacks. Баги позволяют злоумышленнику, находящемуся в радиусе действия Wi-Fi, собирать информацию о владельце устройства и выполнять вредоносный код. Хуже того, уязвимости актуальны даже в том случае, если активна защита WEP и WPA.😓
Перед Frag Attacks уязвимы все устройства с поддержкой Wi-Fi (компьютеры, смартфоны и «умные» девайсы), выпущенные после 1997 года.
Тем не менее, работа над исправлением уязвимостей ведется и активно. Заявления и бюллетени безопасности подготовили многие крупные вендоры и разработчики:
▫️Aruba Networks
▫️Arista
▫️Canonical
▫️Cisco
🔥Debian
▫️Dell
▫️Industry Consortium for Advancement of Security on the Internet
▫️Intel
▫️Juniper Networks
▫️Lenovo
▫️Microsoft
▫️NETGEAR
▫️RUCKUS
▫️Sierra Wireless
▫️Synology
▫️SUSE
▫️Wi-Fi Alliance
▫️Zyxel
🔥OpenWRT
Ведущий криптограф считает что свобода перестанет существовать через поколение🤔
Уитфилд Диффи — гуру индустрии криптографии, создатель обмена ключами Диффи-Хеллмана, благодаря которому работает огромная часть сегодняшнего мира, заявил журналистам, что конфиденциальность в том виде, в каком мы ее знаем, исчезнет через поколение.😔
По мнению эксперта приватность закончится навсегда, когда устройства связи, имплантированные в тела людей, станут нормой.
«В течение долгого времени я говорил, что не видел никакого способа, которым человеческая свобода могла бы противостоять улучшению коммуникации», - считает он.
«Не сомневайтесь. Вам не придется заставлять людей получать их, потому что без этого вы не сможете быть конкурентоспособными. Свобода, которой мы сейчас наслаждаемся, перестанет существовать, и мы подумаем: «О, черт возьми, в те дни, когда у нас действительно была конфиденциальность»».😓
Что касается того, что Диффи считает самой большой угрозой безопасности, его ответ был прост: «Корпорации»
================
Уитфилд Диффи — гуру индустрии криптографии, создатель обмена ключами Диффи-Хеллмана, благодаря которому работает огромная часть сегодняшнего мира, заявил журналистам, что конфиденциальность в том виде, в каком мы ее знаем, исчезнет через поколение.😔
По мнению эксперта приватность закончится навсегда, когда устройства связи, имплантированные в тела людей, станут нормой.
«В течение долгого времени я говорил, что не видел никакого способа, которым человеческая свобода могла бы противостоять улучшению коммуникации», - считает он.
«Не сомневайтесь. Вам не придется заставлять людей получать их, потому что без этого вы не сможете быть конкурентоспособными. Свобода, которой мы сейчас наслаждаемся, перестанет существовать, и мы подумаем: «О, черт возьми, в те дни, когда у нас действительно была конфиденциальность»».😓
Что касается того, что Диффи считает самой большой угрозой безопасности, его ответ был прост: «Корпорации»
================
Создатель Magisk теперь работает на корпорацию зла😳
.
Джон Ву, главный разработчик популярного приложения Magisk, стал членом команды Google по безопасности платформы Android.
Иронично, что созданный им инструмент предназначен как раз для обхода защиты мобильной ОС с целью получения прав суперпользователя на смартфонах.😅
О переходе «мастера рутинга» в штат поискового гиганта стало известно благодаря самому Джону Ву. Он поделился этой новостью в своём Twitter-блоге
«Я очень рад сотрудничать с талантливыми людьми, которые раньше были "по ту сторону". Очень жду того, над чем я буду работать в будущем!», — написал разработчик.
Создатель Magisk выпустил популярную утилиту пять лет назад, и на прошлой неделе представил 23 номерную версию своего детища.
Как новое место трудоустройства специалиста скажется на инструменте Magisk, пока неизвестно🤷🏼♀️
========================
UDP: Джон Ву сообщил, что больше не будет учавствовать в разработке Magisk:
"у меня есть новости: очевидно, у меня нет разрешения на продолжение работы над magisk, если вы обратили внимание, я тихо удалил свой твит об этом, кто-то из вышестоящих в Google испугался, когда этот твит стал популярным"
.
Джон Ву, главный разработчик популярного приложения Magisk, стал членом команды Google по безопасности платформы Android.
Иронично, что созданный им инструмент предназначен как раз для обхода защиты мобильной ОС с целью получения прав суперпользователя на смартфонах.😅
О переходе «мастера рутинга» в штат поискового гиганта стало известно благодаря самому Джону Ву. Он поделился этой новостью в своём Twitter-блоге
«Я очень рад сотрудничать с талантливыми людьми, которые раньше были "по ту сторону". Очень жду того, над чем я буду работать в будущем!», — написал разработчик.
Создатель Magisk выпустил популярную утилиту пять лет назад, и на прошлой неделе представил 23 номерную версию своего детища.
Как новое место трудоустройства специалиста скажется на инструменте Magisk, пока неизвестно🤷🏼♀️
========================
UDP: Джон Ву сообщил, что больше не будет учавствовать в разработке Magisk:
"у меня есть новости: очевидно, у меня нет разрешения на продолжение работы над magisk, если вы обратили внимание, я тихо удалил свой твит об этом, кто-то из вышестоящих в Google испугался, когда этот твит стал популярным"
NVIDIA снова попытается ограничить майнинг криптовалюты на новых видеокартах😁
Корпорация NVIDIA объявила, что вдвое снижает хешрейт для майнинга криптовалюты Etehereum на новых видеокартах GeForce RTX 3080, 3070 и 3060 Ti, чтобы сделать их менее востребованными для майнеров.
Компания добавит идентификаторы «Lite Hash Rate» или «LHR» в списки розничных продуктов и коробки для всех этих новых графических карт, отгрузка которых начнется в конце этого месяца.
«Эта пониженная скорость хеширования применяется только к недавно произведенным картам с идентификатором LHR, а не к уже купленным картам» — сказал Мэтт Вубблинг, глава NVIDIA по маркетингу.
По словам Вуэбблинга, это решение было принято, чтобы гарантировать, что больше этих карт будет использоваться геймерами по всему миру, а не складываться на фермах для майнинга криптовалюты.
===============
Стоит напомнить, в прошлом NVIDIA пыталась ограничивать майнеров, и громко заявляла, что "ее защиту обойти невозможно".
По итогу "взлом" занял меньше месяца, с помощью самой NVIDIA, просто скачав драйвер для разработчиков🤣
Чтож очень интересно на сколько ограничений хватит на этот раз😊
Корпорация NVIDIA объявила, что вдвое снижает хешрейт для майнинга криптовалюты Etehereum на новых видеокартах GeForce RTX 3080, 3070 и 3060 Ti, чтобы сделать их менее востребованными для майнеров.
Компания добавит идентификаторы «Lite Hash Rate» или «LHR» в списки розничных продуктов и коробки для всех этих новых графических карт, отгрузка которых начнется в конце этого месяца.
«Эта пониженная скорость хеширования применяется только к недавно произведенным картам с идентификатором LHR, а не к уже купленным картам» — сказал Мэтт Вубблинг, глава NVIDIA по маркетингу.
По словам Вуэбблинга, это решение было принято, чтобы гарантировать, что больше этих карт будет использоваться геймерами по всему миру, а не складываться на фермах для майнинга криптовалюты.
===============
Стоит напомнить, в прошлом NVIDIA пыталась ограничивать майнеров, и громко заявляла, что "ее защиту обойти невозможно".
По итогу "взлом" занял меньше месяца, с помощью самой NVIDIA, просто скачав драйвер для разработчиков🤣
Чтож очень интересно на сколько ограничений хватит на этот раз😊
Firefox тестирует функцию изоляции сайтов, которая помещает каждый сайт в отдельный процесс🤔
Благодаря изоляции сайта каждый из встроенных элементов, не являющихся частью одного и того же сайта, будет иметь свой собственный процесс, а операционная система клиента будет обеспечивать защиту памяти и гарантии безопасности.
Новая архитектура безопасности также поможет бороться с атаками на процессоры, подобными Spectre, и потенциально поможет сайтам загружаться быстрее😊
Кроме того, Firefox будет обрабатывать http и https версии сайта как разные сайты, то есть они будут помещены в отдельные процессы.
«Использование большего количества процессов для загрузки веб-сайтов позволяет нам распределять работу по многим ядрам ЦП и более эффективно использовать базовое оборудование», - написал старший инженер Firefox Анни Гахокидзе
Новая функция уже доступна для пользователей Firefox Nightly и бета-версий Firefox
==================
☝🏻НО теперь появляются новые проблемы:
▫️Некоторые расширения могут работать не полностью
▫️Может наблюдаться проблемы нехватки ресурсов GNU/Linux при большом количестве вкладок
Разработчики работают над решением этих задач🤷🏼♀️
Благодаря изоляции сайта каждый из встроенных элементов, не являющихся частью одного и того же сайта, будет иметь свой собственный процесс, а операционная система клиента будет обеспечивать защиту памяти и гарантии безопасности.
Новая архитектура безопасности также поможет бороться с атаками на процессоры, подобными Spectre, и потенциально поможет сайтам загружаться быстрее😊
Кроме того, Firefox будет обрабатывать http и https версии сайта как разные сайты, то есть они будут помещены в отдельные процессы.
«Использование большего количества процессов для загрузки веб-сайтов позволяет нам распределять работу по многим ядрам ЦП и более эффективно использовать базовое оборудование», - написал старший инженер Firefox Анни Гахокидзе
Новая функция уже доступна для пользователей Firefox Nightly и бета-версий Firefox
==================
☝🏻НО теперь появляются новые проблемы:
▫️Некоторые расширения могут работать не полностью
▫️Может наблюдаться проблемы нехватки ресурсов GNU/Linux при большом количестве вкладок
Разработчики работают над решением этих задач🤷🏼♀️
Контроль над инфраструктурой FreeNode передан корпорации зла. Люди покидают сеть🤨
FreeNode — самая популярная сеть IRC-чатов в мире, существующая с 1994 года и активно используется для обсуждения коллегиальных проектов. FreeNode, управляется командой добровольцев-операторов с использованием серверов, предоставленных спонсорами.
Еще в 2017 году а было объявлено, что FreeNode была продана компании London Trust Media, ведущей бизнес как Private Internet Access. Персонал FreeNode был не особо доволен, но заверил, что Private Internet Access не будет иметь никакого оперативного влияния. И по началу это действительно было так...
Однако теперь в начале 2021 года все изменилось. Во первых без предупреждения сотрудников на сайте FreeNode появилась реклама.
А теперь также стало известно, что контроль над инфраструктурой freenode будет передан Freenode Limited и ее агентам.
Это означает, что данные пользователей скоро будут доступны их персоналу, и скорее всего в последующем проданы.
Большинство сотрудников и операторов приняли решение покинуть сеть Они также составили открытое письмо, подписанное многими лидерами сообщества
=============
FreeNode — самая популярная сеть IRC-чатов в мире, существующая с 1994 года и активно используется для обсуждения коллегиальных проектов. FreeNode, управляется командой добровольцев-операторов с использованием серверов, предоставленных спонсорами.
Еще в 2017 году а было объявлено, что FreeNode была продана компании London Trust Media, ведущей бизнес как Private Internet Access. Персонал FreeNode был не особо доволен, но заверил, что Private Internet Access не будет иметь никакого оперативного влияния. И по началу это действительно было так...
Однако теперь в начале 2021 года все изменилось. Во первых без предупреждения сотрудников на сайте FreeNode появилась реклама.
А теперь также стало известно, что контроль над инфраструктурой freenode будет передан Freenode Limited и ее агентам.
Это означает, что данные пользователей скоро будут доступны их персоналу, и скорее всего в последующем проданы.
Большинство сотрудников и операторов приняли решение покинуть сеть Они также составили открытое письмо, подписанное многими лидерами сообщества
=============
GitLab обязал новых пользователей указывать данные банковских карт💳
Сервис для хостинга IT-проектов GitLab обязал новых пользователей указывать данные банковских карт для бесплатного доступа к инструментам. Такое решение принято якобы из-за многочисленных злоупотреблений со стороны майнеров криптовалют.🤨
Без привязки карты пользователям будут недоступны 400 бесплатных минут работы с конвейером непрерывной интеграции, доставки и развертывания (CI/CD) и общие раннеры на GitLab.com.🤷🏼♀️
В GitLab сообщили, что злоупотребления майнингом создают проблемы с производительностью, приводят к увеличению стоимости сервиса и требуют от инженеров команды круглосуточной работы для поддержания работоспособности портала.
Нововведения не касаются текущих пользователей и клиентов сервиса. Однако если злоупотребления через существующие бесплатные учетные записи продолжатся, GitLab оставляет за собой право ограничить их в доступе к программному обеспечению.🤔
Сервис для хостинга IT-проектов GitLab обязал новых пользователей указывать данные банковских карт для бесплатного доступа к инструментам. Такое решение принято якобы из-за многочисленных злоупотреблений со стороны майнеров криптовалют.🤨
Без привязки карты пользователям будут недоступны 400 бесплатных минут работы с конвейером непрерывной интеграции, доставки и развертывания (CI/CD) и общие раннеры на GitLab.com.🤷🏼♀️
В GitLab сообщили, что злоупотребления майнингом создают проблемы с производительностью, приводят к увеличению стоимости сервиса и требуют от инженеров команды круглосуточной работы для поддержания работоспособности портала.
Нововведения не касаются текущих пользователей и клиентов сервиса. Однако если злоупотребления через существующие бесплатные учетные записи продолжатся, GitLab оставляет за собой право ограничить их в доступе к программному обеспечению.🤔