Теневая прослушка разговоров с телефонов цифровыми гигантами ерунда, зло может быть еще хуже, как на счёт цифрового аватара который является твоим клоном предугадывающим твои поступки?
https://qz.com/1609356/your-phone-is-not-recording-your-conversations/
И еще немного о том, как следят за тем, как мы тратим свое время, что именно реклама стимулирует платформы монетизировать наше внимание, по сути нас заставляют тратить свое время на всякую хрень, отвлекая наше внимание от действительно важных дел, а его у нас не так много по сути:
https://qz.com/1347231/technologys-time-well-spent-movement-has-lost-its-meaning/
https://qz.com/1609356/your-phone-is-not-recording-your-conversations/
И еще немного о том, как следят за тем, как мы тратим свое время, что именно реклама стимулирует платформы монетизировать наше внимание, по сути нас заставляют тратить свое время на всякую хрень, отвлекая наше внимание от действительно важных дел, а его у нас не так много по сути:
https://qz.com/1347231/technologys-time-well-spent-movement-has-lost-its-meaning/
Quartz
Your phone isn’t really spying on your conversations—the truth might be even creepier
A former Google ethicist explains how those super-targeted ads know what you're talking about.
Собственный сканер уязвимостей за несколько минут, встречаем OpenVAS:
https://sys-adm.in/sections/os-nix/868-ustanovka-openvas-gvm-v-centos.html
https://sys-adm.in/sections/os-nix/868-ustanovka-openvas-gvm-v-centos.html
Ну прослушиваешь / подслушиваешь ты данные своих клиентов, ну чего так обсираться то? Понаберут говнарей, потом все страдают, страдают пользователи чьи данные утекли, страдают бдящие компании... И при таких-то бюджетах 🤦♂
https://www.anti-malware.ru/news/2019-08-02-1447/30342
https://www.anti-malware.ru/news/2019-08-02-1447/30342
Anti-Malware
Google приостановил анализ записей Google Assistant после утечки
Google вслед за Apple приостанавливает анализ голосовых записей с виртуальным помощником Google Assistant. На этот шаг интернет-гигант пошел из-за недавней утечки записей общения с Google Assistant,
А ведь я им пользуюсь (не не в винде 🙂 как это следует из статьи об найденной уязвимости)
http://www.opennet.ru/opennews/art.shtml?num=51214
http://www.opennet.ru/opennews/art.shtml?num=51214
www.opennet.ru
Уязвимость в LibreOffice, позволяющая выполнить код при открытии вредоносных документов
В офисном пакете LibreOffice выявлена уязвимость (CVE-2019-9848), которую можно использовать для выполнения произвольного кода при открытии документов, подготовленных злоумышленником.
Раскрытие пароля WPA3. Эксплуатировать не так просто, но она (уязвимость) есть:
https://wpa3.mathyvanhoef.com/#new
https://wpa3.mathyvanhoef.com/#new
Mathyvanhoef
Dragonblood: Analysing WPA3's Dragonfly Handshake
This website presents the Dragonblood Attack. It is a collection of attacks against the WPA3 protocol, which mainly abuse the password element generation algorithm of WPA3's Dragonfly handshake.
Кривой конфиг Jira привел к утечке данных NASA (и много ещё кого):
https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-fortune-500-companies-a70957ef03c7
https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-fortune-500-companies-a70957ef03c7
Medium
One Misconfig (JIRA) to Leak Them All- Including NASA and Hundreds of Fortune 500 Companies!
Hi Guys,
Malwarebytes рассказывают о новом эксплоите обнаруженном в одном из расследований - Lord Expolit Kit:
https://blog.malwarebytes.com/threat-analysis/2019/08/say-hello-to-lord-exploit-kit/
https://blog.malwarebytes.com/threat-analysis/2019/08/say-hello-to-lord-exploit-kit/
Malwarebytes
Say hello to Lord Exploit Kit
Just as we had wrapped up our summer review of exploit kits, a new player entered the scene. Lord EK, as...
RHEL 7.7 увидел свет:
https://www.redhat.com/en/about/press-releases/red-hat-drives-cloud-native-flexibility-enhances-operational-security-latest-version-red-hat-enterprise-linux-7
https://www.redhat.com/en/about/press-releases/red-hat-drives-cloud-native-flexibility-enhances-operational-security-latest-version-red-hat-enterprise-linux-7
Redhat
Red Hat Drives Cloud-Native Flexibility, Enhances Operational Security with Latest Version of Red Hat Enterprise Linux 7
The latest version of Red Hat Enterprise Linux 7 is now generally available with live kernel patching and expanded workstation container tools.
six-pillars-of-devsecops.pdf
417.1 KB
Шесть столпов DevSecOps по версии CSA (cloud security alliance)
......Майкрософт утверждает, что она получает разрешение клиентов перед сбором их голосовых данных и принимает меры предосторожности в отношении конфиденциальности, включая удаление идентифицирующей информации, прежде чем делиться ею с поставщиками, которым поручено помочь ей улучшить программное обеспечение или услуги......
У меня не спрашивали явно разрешения, а у тебя?? То что в оферте мелким шрифтом все написано это понятно, но кто же ее читает? ))
https://www.msn.com/en-us/news/technology/microsoft-says-it-listens-to-conversations-only-with-permission/ar-AAFu1DZ
У меня не спрашивали явно разрешения, а у тебя?? То что в оферте мелким шрифтом все написано это понятно, но кто же ее читает? ))
https://www.msn.com/en-us/news/technology/microsoft-says-it-listens-to-conversations-only-with-permission/ar-AAFu1DZ
Как же достали эти сливы... Слились все, телега еще держится только, ждём день х... 😁
https://xakep.ru/2019/08/08/twitter-leaks/
https://xakep.ru/2019/08/08/twitter-leaks/
XAKEP
Twitter случайно поделился данными пользователей с рекламными партнерами
Представители Twitter сообщили, что с мая 2018 года рекламодателям предоставлялись некоторые данные о пользователях, включая страну проживания и тип используемых ими устройств.
Анализ прошивок на наличие проблем с безопасностью, там же ссылка на GitHub с тулзой:
https://medium.com/cruise/firmware-security-fwanalyzer-dcbd95cef717
https://medium.com/cruise/firmware-security-fwanalyzer-dcbd95cef717
Medium
Automating Firmware Security with FwAnalyzer
Presenting our efforts around continuous firmware security analysis.
Реверс RDP атака на Hyper-V необычное сочетание, но такое тоже бывает... Во всем виновата служба расширенных сеансов, которая предлагает пользователю расширенную функциональность, которая в свою очередь включает синхронизацию буфера обмена между гостем и хостом...
https://research.checkpoint.com/reverse-rdp-the-hyper-v-connection/
https://research.checkpoint.com/reverse-rdp-the-hyper-v-connection/
Check Point Research
Reverse RDP Attack: The Hyper-V Connection - Check Point Research
Research by: Eyal Itkin Overview Earlier this year, we published our research on the Reverse RDP Attack. In our previous blog post, we described how we found numerous critical vulnerabilities in popular Remote Desktop Protocol (RDP) clients. However, our…
Кратко и внятно про Agile, за 15 минут охватывается вся суть)
https://habr.com/ru/company/edison/blog/313410/
https://habr.com/ru/company/edison/blog/313410/
Хабр
Как объяснить бабушке, что такое Agile за 15 минут с картинками
«Любое дело всегда длится дольше, чем ожидается, даже если учесть закон Хофштадтера.» — закон Хофштадтера Самый просматриваемый ролик на YouTube по теме agile. 744 625 просмотров на момент публикации...
EXTERNAL-Get-off-the-kernel-if-you-cant-drive-DEFCON27.pdf
2.2 MB
Та самая преза, про бреши в драйверах:
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba
Сам блог-пост:
https://eclypsium.com/2019/08/10/screwed-drivers-signed-sealed-delivered/
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba
Сам блог-пост:
https://eclypsium.com/2019/08/10/screwed-drivers-signed-sealed-delivered/
Nmap 7.8 released, добавлены новые скрипты, включая Vulners. Winpcap заменён на npcap.
Changelog здесь:
https://nmap.org/changelog.html#7.80
Анонс релиза:
https://seclists.org/nmap-announce/2019/0
Changelog здесь:
https://nmap.org/changelog.html#7.80
Анонс релиза:
https://seclists.org/nmap-announce/2019/0
nmap.org
Nmap Change Log
List of the most recent changes to the free Nmap Security Scanner
Говорят теперь Телеграм еще сложнее будет обнаруживать, так как добавлена возможность маскировки MTProto трафика в HTTPS:
https://www.securitylab.ru/news/500392.php
https://www.securitylab.ru/news/500392.php
SecurityLab.ru
Трафик Telegram теперь может маскироваться под протокол HTTPS
Маскировка нужна для сокрытия факта использования мессенджера.
Приложения для знакомств позволяют определять месторасположение, передвижение пользователей... Исследователи из Англии написали целое приложение, которое объединяет данные из нескольких приложений и трилатерируют положение пользователей из этих приложений. По приблизительным подсчетам, порядка 10 млн пользователей потенциально подвержены возможности раскрытия своего месторасположения
Статья от первого лица:
https://www.pentestpartners.com/security-blog/dating-apps-that-track-users-from-home-to-work-and-everywhere-in-between/
P.S. Что такое трилатерация:
https://ru.m.wikipedia.org/wiki/%D0%A2%D1%80%D0%B8%D0%BB%D0%B0%D1%82%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F
Статья от первого лица:
https://www.pentestpartners.com/security-blog/dating-apps-that-track-users-from-home-to-work-and-everywhere-in-between/
P.S. Что такое трилатерация:
https://ru.m.wikipedia.org/wiki/%D0%A2%D1%80%D0%B8%D0%BB%D0%B0%D1%82%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F
Pentestpartners
Dating apps that track users from home to work and everywhere in-between | Pen Test Partners
TL;DR We were able to precisely locate and track the users of four major dating apps, potentially putting at risk 10 million users This risk level is elevated for the LGBT+ community who may use these apps in countries with poor human rights where they may…
Терминальные звездные войны, целый фильм по телнету))
telnet towel.blinkenlights.nl