Узнал о таком мероприятии, с бесплатным посещением и с таким количеством и качеством докладов, будут известные / грамотные докладчики (да что говорить, некоторых сам лично знаю), все судя по всему должно быть по феншую, сам фестиваль будет на днях в СПБ...
У кого есть возможность рекомендую заглянуть на сайт фестиваля за получением подробностей - https://c-c.ru
Кратко описание - Фестиваль Chaos Constructions 2019 — Санкт-Петербургский компьютерный фестиваль: DemoZone, HackZone, ретро-зона (выставка ретро-компьютеров), выставка IT-компаний и большая конференция для разработчиков и специалистов в 4 потока с самыми актуальными докладами
У кого есть возможность рекомендую заглянуть на сайт фестиваля за получением подробностей - https://c-c.ru
Кратко описание - Фестиваль Chaos Constructions 2019 — Санкт-Петербургский компьютерный фестиваль: DemoZone, HackZone, ретро-зона (выставка ретро-компьютеров), выставка IT-компаний и большая конференция для разработчиков и специалистов в 4 потока с самыми актуальными докладами
Теперь GitHub сканирует, понимает и алертит, если найдёт токены от Atlassian, Dropbox, Discord, Proctorio и Pulumi..
Ищет в пуш реквестах / коммитах / коде:
https://github.blog/2019-08-19-github-token-scanning-one-billion-tokens-identified-and-five-new-partners/
Ищет в пуш реквестах / коммитах / коде:
https://github.blog/2019-08-19-github-token-scanning-one-billion-tokens-identified-and-five-new-partners/
The GitHub Blog
GitHub Token Scanning—one billion tokens identified and five new partners
Token scanning has reached a new milestone: one billion tokens identified. We’ve also added five new partners—Atlassian, Dropbox, Discord, Proctorio, and Pulumi.
Очередной перл - как порно сайты могут быть опасны с точки зрения раскрытия конфиденциальных данных:
- Имя пользователя
- Адреса электронной почты
- Журналы активности пользователей (дата присоединения, последний вход)
- Страна проживания / местоположение
- Пол
Расписаны сценарии, как это можно использовать, понято, что авторы пытаются пропиарить свой сервис, но это не отменяет эпичной простоты исследования 😁
https://www.vpnmentor.com/blog/report-luscious-data-breach/
- Имя пользователя
- Адреса электронной почты
- Журналы активности пользователей (дата присоединения, последний вход)
- Страна проживания / местоположение
- Пол
Расписаны сценарии, как это можно использовать, понято, что авторы пытаются пропиарить свой сервис, но это не отменяет эпичной простоты исследования 😁
https://www.vpnmentor.com/blog/report-luscious-data-breach/
vpnMentor
Report: Data Breach in Adult Site Compromises Privacy of All Users
Led by Noam Rotem and Ran Locar, vpnMentor’s research team discovered a data breach in adult site Luscious.
Luscious is a niche pornographic image site focused primarily on
Luscious is a niche pornographic image site focused primarily on
Интернет гиганты разрабатывают роботов убийц, которые смогут принимать решение (убивать или нет) самостоятельно, без участия человека:
https://www.paxforpeace.nl/newsroom/major-tech-companies-may-be-putting-world-at-risk-from-killer-robots
https://www.paxforpeace.nl/newsroom/major-tech-companies-may-be-putting-world-at-risk-from-killer-robots
Многие используют *band устройства, в виде например, часов... для отслеживания своего здоровья...
Но что отслеживают производители этих часов и ПО работающего с ними?
Небольшая выдержка из политики конфиденциальности одного из производителей:
Автоматический сбор данных.
Мы можем собирать определенную информацию автоматически через наши веб-сайты, продукты, службы или другие методы анализа, в частности IP-адрес, идентификаторы файлов cookie, информацию о мобильном операторе, мобильные рекламные идентификаторы, MAC-адрес и другие идентификаторы устройства, автоматически присваиваемые вашему компьютеру или устройству при доступе в Интернет, тип и язык браузера, информацию о местоположении, типе оборудования, операционной системе, провайдере интернет-услуг, страницах, которые вы посещаете до и после использования служб, дате и времени вашего визита, количестве времени, которое вы проводите на каждой странице, ссылках и страницах, которые вы просматриваете, а также других действий, связанных с использованием услуг, в частности настройках.
....
Мы можем собирать и использовать такие функции, как вход в вашу учетную запись с помощью ваших учетных данных Mi, WeChat, Google или Facebook (с вашего согласия), аватары, пол, адрес электронной почты, статусы в социальных сетях, которыми вы делитесь, псевдонимы, семейные связи, часовые пояса, языки и регионы.
Персональная информация о теле. Активируя Mi Fit, вы указываете дату рождения, рост и вес. См. ниже по поводу информации о несовершеннолетних.
....
Далее кому интересно, может найти и почитать как эти данные далее используются у своего производителя, своих часов (там тоже есть на что обратить внимание)
....
Следишь за здоровьем? Не забывай, что могут следить за тобой, собирая вообще все о тебе, включая кровяное давление (помимо кук и прочего) 😉
Но что отслеживают производители этих часов и ПО работающего с ними?
Небольшая выдержка из политики конфиденциальности одного из производителей:
Автоматический сбор данных.
Мы можем собирать определенную информацию автоматически через наши веб-сайты, продукты, службы или другие методы анализа, в частности IP-адрес, идентификаторы файлов cookie, информацию о мобильном операторе, мобильные рекламные идентификаторы, MAC-адрес и другие идентификаторы устройства, автоматически присваиваемые вашему компьютеру или устройству при доступе в Интернет, тип и язык браузера, информацию о местоположении, типе оборудования, операционной системе, провайдере интернет-услуг, страницах, которые вы посещаете до и после использования служб, дате и времени вашего визита, количестве времени, которое вы проводите на каждой странице, ссылках и страницах, которые вы просматриваете, а также других действий, связанных с использованием услуг, в частности настройках.
....
Мы можем собирать и использовать такие функции, как вход в вашу учетную запись с помощью ваших учетных данных Mi, WeChat, Google или Facebook (с вашего согласия), аватары, пол, адрес электронной почты, статусы в социальных сетях, которыми вы делитесь, псевдонимы, семейные связи, часовые пояса, языки и регионы.
Персональная информация о теле. Активируя Mi Fit, вы указываете дату рождения, рост и вес. См. ниже по поводу информации о несовершеннолетних.
....
Далее кому интересно, может найти и почитать как эти данные далее используются у своего производителя, своих часов (там тоже есть на что обратить внимание)
....
Следишь за здоровьем? Не забывай, что могут следить за тобой, собирая вообще все о тебе, включая кровяное давление (помимо кук и прочего) 😉
DLL хайджекинг в бесплатной версии антивируса bitdefender (возможно подгрузить произвольную dll), производители говорят, что устранили уязвимость, так что можно обновляться.
Кто не знает, bitdefender один из топовых облачных антивирусов, работает практически на любых платформах...
https://www.bitdefender.com/support/security-advisories/untrusted-search-path-vulnerability-serviceinstance-dll-bitdefender-antivirus-free-2020/
Про фришный релиз можно прочитать / скачать на офф сайте:
https://www.bitdefender.com/solutions/free.html
Кто не знает, bitdefender один из топовых облачных антивирусов, работает практически на любых платформах...
https://www.bitdefender.com/support/security-advisories/untrusted-search-path-vulnerability-serviceinstance-dll-bitdefender-antivirus-free-2020/
Про фришный релиз можно прочитать / скачать на офф сайте:
https://www.bitdefender.com/solutions/free.html
Bitdefender
Untrusted Search Path vulnerability in ServiceInstance.dll (Bitdefender Antivirus Free 2020) - Bitdefender
An Untrusted Search Path vulnerability in the ServiceInstance.dll library versions 1.0.15.119 and lower, as used in Bitdefender Antivirus Free 2020 versions prior to 1.0.15.138, allows an attacker to load an arbitrary DLL file from the search path.
Sys-Admin InfoSec pinned «Узнал о таком мероприятии, с бесплатным посещением и с таким количеством и качеством докладов, будут известные / грамотные докладчики (да что говорить, некоторых сам лично знаю), все судя по всему должно быть по феншую, сам фестиваль будет на днях в СПБ...…»
Уязвимости Kubernetes могут позволить неавторизованному злоумышленнику вызвать состояние отказа в обслуживании (DoS):
https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/wlHLHit1BqA
https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/wlHLHit1BqA
Хостинговая компания Hostinger стала похоже жертвой атаки, в результате которой через Restful API слили хеши паролей, платежные данные пользователей, имена, IP адреса и тп... Порядка 14 млн учётных записей было скомпрометировано (14 млн, Карл!)
Новость в офф блоге:
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/
Новость в офф блоге:
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/
Hostinger Blog
Security Incident: What We Did to Improve Security of Our Infrastructure
Everything you need to know about the security incident and what was done to make Hostinger and its users more secure.
Недостаточная защищенность пароля Инсты, в результате компроментация данных... Как работает:
Существует миллион вероятностей для 6-значного кода (Device ID-это уникальный идентификатор, используемый сервером Instagram для проверки кодов сброса паролей) доступа (от 000001 до 999999). Когда запрашиваются пароли нескольких пользователей, увеличивается вероятность взлома учетных записей. Например, если вы запросите код pass для 100 тысяч пользователей, использующих один и тот же идентификатор устройства, вы можете иметь 10-процентную вероятность успеха, так как коды 100k выдаются на один и тот же идентификатор устройства. Если мы запросим коды доступа для 1 миллиона пользователей, можно легко взломать весь миллион учетных записей, увеличивая код доступа один за другим. Если успеть за 10 минут, то успех атаки может положительным.
https://thezerohack.com/hack-instagram-again#articlescroll
Существует миллион вероятностей для 6-значного кода (Device ID-это уникальный идентификатор, используемый сервером Instagram для проверки кодов сброса паролей) доступа (от 000001 до 999999). Когда запрашиваются пароли нескольких пользователей, увеличивается вероятность взлома учетных записей. Например, если вы запросите код pass для 100 тысяч пользователей, использующих один и тот же идентификатор устройства, вы можете иметь 10-процентную вероятность успеха, так как коды 100k выдаются на один и тот же идентификатор устройства. Если мы запросим коды доступа для 1 миллиона пользователей, можно легко взломать весь миллион учетных записей, увеличивая код доступа один за другим. Если успеть за 10 минут, то успех атаки может положительным.
https://thezerohack.com/hack-instagram-again#articlescroll
The Zero Hack
How I Hacked Instagram Again - The Zero Hack
This article is about an account takeover vulnerability I found on Instagram that allows anyone to hack Instagram accounts without consent permission. Facebook and Instagram security team fixed the issue and rewarded me $10000 as a part of their bounty program. …
Повышение привилегий до Система при помощи Checkpoint Endpoint Security клиента Windows путем инжекта неподписанной DLL в службу, которая работает с привилегиями NT AUTHORITY\SYSTEM:
https://safebreach.com/Post/Check-Point-Endpoint-Security-Initial-Client-for-Windows-Privilege-Escalation-to-SYSTEM
https://safebreach.com/Post/Check-Point-Endpoint-Security-Initial-Client-for-Windows-Privilege-Escalation-to-SYSTEM
Выполнение произвольного кода в Chrome браузерах, атакующий может собирать информацию, выполнять команды...
В зависимости от прав доступа, связанных с приложением, злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя
https://www.cisecurity.org/advisory/a-vulnerability-in-google-chrome-could-allow-for-arbitrary-code-execution_2019-086/
В зависимости от прав доступа, связанных с приложением, злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя
https://www.cisecurity.org/advisory/a-vulnerability-in-google-chrome-could-allow-for-arbitrary-code-execution_2019-086/
Сервера многих компаний, включая компании, которые занимаются предоставлением VPN услуг, до сих пор подвержены CVE-2019-11510 (это когда удаленный злоумышленник, не прошедший проверку подлинности, может отправить специально созданный URI для выполнения произвольного чтения файлов)
Дальнейшее использование серверов, которые живут с этой уязвимостью, может позволить удаленное выполнение кода (RCE) на клиентах, подключающихся например к скомпрометированному VPN-серверу (что напрмер очень эффективно можно использовать для распространения вымогателей / любых других типов вредоносных программ)
https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
Дальнейшее использование серверов, которые живут с этой уязвимостью, может позволить удаленное выполнение кода (RCE) на клиентах, подключающихся например к скомпрометированному VPN-серверу (что напрмер очень эффективно можно использовать для распространения вымогателей / любых других типов вредоносных программ)
https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
Создать свою первую модель машинного обучения на Python, за три дня бесплатного интенсива, вполне осуществимо)
Детали интенсива - https://clc.to/9LGXPQ
- Настройка рабочего окружения
- Экспресс-введение в Python
- Построение модели от начала до конца
- Оценка полученной модели
- Ревью работ участников
🎁 Лучшие получат грант на 30 000 рублей для обучения в Skillbox
Детали интенсива - https://clc.to/9LGXPQ
- Настройка рабочего окружения
- Экспресс-введение в Python
- Построение модели от начала до конца
- Оценка полученной модели
- Ревью работ участников
🎁 Лучшие получат грант на 30 000 рублей для обучения в Skillbox
iPhone Remote Code Execution от GPZ, статья очень большая, с примерами и описанием:
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-1.html?m=1
Deep Dive in to iOS Expolit...
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-1.html?m=1
Deep Dive in to iOS Expolit...
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1
Blogspot
In-the-wild iOS Exploit Chain 1
Posted by Ian Beer, Project Zero TL;DR This exploit provides evidence that these exploit chains were likely written contemporaneously ...
Скриншот просто огонь. Ну и безопасность конечно на уровне...
https://tjournal.ru/news/114024-neizvestnye-vzlomali-tvitter-akkaunt-gendirektora-twitter-dzheka-dorsi
https://tjournal.ru/news/114024-neizvestnye-vzlomali-tvitter-akkaunt-gendirektora-twitter-dzheka-dorsi
Интересующимся, свежак:
http://www.linuxfromscratch.org/lfs/view/9.0/
http://www.linuxfromscratch.org/lfs/view/9.0/