Интернет гиганты разрабатывают роботов убийц, которые смогут принимать решение (убивать или нет) самостоятельно, без участия человека:
https://www.paxforpeace.nl/newsroom/major-tech-companies-may-be-putting-world-at-risk-from-killer-robots
https://www.paxforpeace.nl/newsroom/major-tech-companies-may-be-putting-world-at-risk-from-killer-robots
Многие используют *band устройства, в виде например, часов... для отслеживания своего здоровья...
Но что отслеживают производители этих часов и ПО работающего с ними?
Небольшая выдержка из политики конфиденциальности одного из производителей:
Автоматический сбор данных.
Мы можем собирать определенную информацию автоматически через наши веб-сайты, продукты, службы или другие методы анализа, в частности IP-адрес, идентификаторы файлов cookie, информацию о мобильном операторе, мобильные рекламные идентификаторы, MAC-адрес и другие идентификаторы устройства, автоматически присваиваемые вашему компьютеру или устройству при доступе в Интернет, тип и язык браузера, информацию о местоположении, типе оборудования, операционной системе, провайдере интернет-услуг, страницах, которые вы посещаете до и после использования служб, дате и времени вашего визита, количестве времени, которое вы проводите на каждой странице, ссылках и страницах, которые вы просматриваете, а также других действий, связанных с использованием услуг, в частности настройках.
....
Мы можем собирать и использовать такие функции, как вход в вашу учетную запись с помощью ваших учетных данных Mi, WeChat, Google или Facebook (с вашего согласия), аватары, пол, адрес электронной почты, статусы в социальных сетях, которыми вы делитесь, псевдонимы, семейные связи, часовые пояса, языки и регионы.
Персональная информация о теле. Активируя Mi Fit, вы указываете дату рождения, рост и вес. См. ниже по поводу информации о несовершеннолетних.
....
Далее кому интересно, может найти и почитать как эти данные далее используются у своего производителя, своих часов (там тоже есть на что обратить внимание)
....
Следишь за здоровьем? Не забывай, что могут следить за тобой, собирая вообще все о тебе, включая кровяное давление (помимо кук и прочего) 😉
Но что отслеживают производители этих часов и ПО работающего с ними?
Небольшая выдержка из политики конфиденциальности одного из производителей:
Автоматический сбор данных.
Мы можем собирать определенную информацию автоматически через наши веб-сайты, продукты, службы или другие методы анализа, в частности IP-адрес, идентификаторы файлов cookie, информацию о мобильном операторе, мобильные рекламные идентификаторы, MAC-адрес и другие идентификаторы устройства, автоматически присваиваемые вашему компьютеру или устройству при доступе в Интернет, тип и язык браузера, информацию о местоположении, типе оборудования, операционной системе, провайдере интернет-услуг, страницах, которые вы посещаете до и после использования служб, дате и времени вашего визита, количестве времени, которое вы проводите на каждой странице, ссылках и страницах, которые вы просматриваете, а также других действий, связанных с использованием услуг, в частности настройках.
....
Мы можем собирать и использовать такие функции, как вход в вашу учетную запись с помощью ваших учетных данных Mi, WeChat, Google или Facebook (с вашего согласия), аватары, пол, адрес электронной почты, статусы в социальных сетях, которыми вы делитесь, псевдонимы, семейные связи, часовые пояса, языки и регионы.
Персональная информация о теле. Активируя Mi Fit, вы указываете дату рождения, рост и вес. См. ниже по поводу информации о несовершеннолетних.
....
Далее кому интересно, может найти и почитать как эти данные далее используются у своего производителя, своих часов (там тоже есть на что обратить внимание)
....
Следишь за здоровьем? Не забывай, что могут следить за тобой, собирая вообще все о тебе, включая кровяное давление (помимо кук и прочего) 😉
DLL хайджекинг в бесплатной версии антивируса bitdefender (возможно подгрузить произвольную dll), производители говорят, что устранили уязвимость, так что можно обновляться.
Кто не знает, bitdefender один из топовых облачных антивирусов, работает практически на любых платформах...
https://www.bitdefender.com/support/security-advisories/untrusted-search-path-vulnerability-serviceinstance-dll-bitdefender-antivirus-free-2020/
Про фришный релиз можно прочитать / скачать на офф сайте:
https://www.bitdefender.com/solutions/free.html
Кто не знает, bitdefender один из топовых облачных антивирусов, работает практически на любых платформах...
https://www.bitdefender.com/support/security-advisories/untrusted-search-path-vulnerability-serviceinstance-dll-bitdefender-antivirus-free-2020/
Про фришный релиз можно прочитать / скачать на офф сайте:
https://www.bitdefender.com/solutions/free.html
Bitdefender
Untrusted Search Path vulnerability in ServiceInstance.dll (Bitdefender Antivirus Free 2020) - Bitdefender
An Untrusted Search Path vulnerability in the ServiceInstance.dll library versions 1.0.15.119 and lower, as used in Bitdefender Antivirus Free 2020 versions prior to 1.0.15.138, allows an attacker to load an arbitrary DLL file from the search path.
Sys-Admin InfoSec pinned «Узнал о таком мероприятии, с бесплатным посещением и с таким количеством и качеством докладов, будут известные / грамотные докладчики (да что говорить, некоторых сам лично знаю), все судя по всему должно быть по феншую, сам фестиваль будет на днях в СПБ...…»
Уязвимости Kubernetes могут позволить неавторизованному злоумышленнику вызвать состояние отказа в обслуживании (DoS):
https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/wlHLHit1BqA
https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/wlHLHit1BqA
Хостинговая компания Hostinger стала похоже жертвой атаки, в результате которой через Restful API слили хеши паролей, платежные данные пользователей, имена, IP адреса и тп... Порядка 14 млн учётных записей было скомпрометировано (14 млн, Карл!)
Новость в офф блоге:
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/
Новость в офф блоге:
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/
Hostinger Blog
Security Incident: What We Did to Improve Security of Our Infrastructure
Everything you need to know about the security incident and what was done to make Hostinger and its users more secure.
Недостаточная защищенность пароля Инсты, в результате компроментация данных... Как работает:
Существует миллион вероятностей для 6-значного кода (Device ID-это уникальный идентификатор, используемый сервером Instagram для проверки кодов сброса паролей) доступа (от 000001 до 999999). Когда запрашиваются пароли нескольких пользователей, увеличивается вероятность взлома учетных записей. Например, если вы запросите код pass для 100 тысяч пользователей, использующих один и тот же идентификатор устройства, вы можете иметь 10-процентную вероятность успеха, так как коды 100k выдаются на один и тот же идентификатор устройства. Если мы запросим коды доступа для 1 миллиона пользователей, можно легко взломать весь миллион учетных записей, увеличивая код доступа один за другим. Если успеть за 10 минут, то успех атаки может положительным.
https://thezerohack.com/hack-instagram-again#articlescroll
Существует миллион вероятностей для 6-значного кода (Device ID-это уникальный идентификатор, используемый сервером Instagram для проверки кодов сброса паролей) доступа (от 000001 до 999999). Когда запрашиваются пароли нескольких пользователей, увеличивается вероятность взлома учетных записей. Например, если вы запросите код pass для 100 тысяч пользователей, использующих один и тот же идентификатор устройства, вы можете иметь 10-процентную вероятность успеха, так как коды 100k выдаются на один и тот же идентификатор устройства. Если мы запросим коды доступа для 1 миллиона пользователей, можно легко взломать весь миллион учетных записей, увеличивая код доступа один за другим. Если успеть за 10 минут, то успех атаки может положительным.
https://thezerohack.com/hack-instagram-again#articlescroll
The Zero Hack
How I Hacked Instagram Again - The Zero Hack
This article is about an account takeover vulnerability I found on Instagram that allows anyone to hack Instagram accounts without consent permission. Facebook and Instagram security team fixed the issue and rewarded me $10000 as a part of their bounty program. …
Повышение привилегий до Система при помощи Checkpoint Endpoint Security клиента Windows путем инжекта неподписанной DLL в службу, которая работает с привилегиями NT AUTHORITY\SYSTEM:
https://safebreach.com/Post/Check-Point-Endpoint-Security-Initial-Client-for-Windows-Privilege-Escalation-to-SYSTEM
https://safebreach.com/Post/Check-Point-Endpoint-Security-Initial-Client-for-Windows-Privilege-Escalation-to-SYSTEM
Выполнение произвольного кода в Chrome браузерах, атакующий может собирать информацию, выполнять команды...
В зависимости от прав доступа, связанных с приложением, злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя
https://www.cisecurity.org/advisory/a-vulnerability-in-google-chrome-could-allow-for-arbitrary-code-execution_2019-086/
В зависимости от прав доступа, связанных с приложением, злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя
https://www.cisecurity.org/advisory/a-vulnerability-in-google-chrome-could-allow-for-arbitrary-code-execution_2019-086/
Сервера многих компаний, включая компании, которые занимаются предоставлением VPN услуг, до сих пор подвержены CVE-2019-11510 (это когда удаленный злоумышленник, не прошедший проверку подлинности, может отправить специально созданный URI для выполнения произвольного чтения файлов)
Дальнейшее использование серверов, которые живут с этой уязвимостью, может позволить удаленное выполнение кода (RCE) на клиентах, подключающихся например к скомпрометированному VPN-серверу (что напрмер очень эффективно можно использовать для распространения вымогателей / любых других типов вредоносных программ)
https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
Дальнейшее использование серверов, которые живут с этой уязвимостью, может позволить удаленное выполнение кода (RCE) на клиентах, подключающихся например к скомпрометированному VPN-серверу (что напрмер очень эффективно можно использовать для распространения вымогателей / любых других типов вредоносных программ)
https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
Создать свою первую модель машинного обучения на Python, за три дня бесплатного интенсива, вполне осуществимо)
Детали интенсива - https://clc.to/9LGXPQ
- Настройка рабочего окружения
- Экспресс-введение в Python
- Построение модели от начала до конца
- Оценка полученной модели
- Ревью работ участников
🎁 Лучшие получат грант на 30 000 рублей для обучения в Skillbox
Детали интенсива - https://clc.to/9LGXPQ
- Настройка рабочего окружения
- Экспресс-введение в Python
- Построение модели от начала до конца
- Оценка полученной модели
- Ревью работ участников
🎁 Лучшие получат грант на 30 000 рублей для обучения в Skillbox
iPhone Remote Code Execution от GPZ, статья очень большая, с примерами и описанием:
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-1.html?m=1
Deep Dive in to iOS Expolit...
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-1.html?m=1
Deep Dive in to iOS Expolit...
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1
Blogspot
In-the-wild iOS Exploit Chain 1
Posted by Ian Beer, Project Zero TL;DR This exploit provides evidence that these exploit chains were likely written contemporaneously ...
Скриншот просто огонь. Ну и безопасность конечно на уровне...
https://tjournal.ru/news/114024-neizvestnye-vzlomali-tvitter-akkaunt-gendirektora-twitter-dzheka-dorsi
https://tjournal.ru/news/114024-neizvestnye-vzlomali-tvitter-akkaunt-gendirektora-twitter-dzheka-dorsi
Интересующимся, свежак:
http://www.linuxfromscratch.org/lfs/view/9.0/
http://www.linuxfromscratch.org/lfs/view/9.0/
Обход механизмов аутентификации Cisco Rest API:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass
Cisco
Cisco Security Advisory: Cisco REST API Container for IOS XE Software Authentication Bypass Vulnerability
A vulnerability in the Cisco REST API virtual service container for Cisco IOS XE Software could allow an unauthenticated, remote attacker to bypass authentication on the managed Cisco IOS XE device.
The vulnerability is due to an improper check performed…
The vulnerability is due to an improper check performed…
Опять Фейсбук и опят слито куча данных.. А они ещё хотят распознавание лица запустить...
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/?guccounter=1
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/?guccounter=1
TechCrunch
A huge database of Facebook users' phone numbers found online | TechCrunch
Hundreds of millions of phone numbers linked to Facebook accounts have been found online. The exposed server contained more than 419 million records over
Всем привет! 27 сентября планируется провести общий движ (онлайн, оффлайн, стрим под вопросом) по обмену опытом между специалистами ИБ, ИТ и просто профильными специалистами
Принять участие может каждый (если успеет попасть в таймлайн докладов) в не зависимости от регионального месторасположения. Все кто хочет поделиться знаниями, послушать что-то полезное, поделиться идеями, мыслями - Welcome... (можно писать в лс)
В общем планируй время на 27 сентября (примерно с 12 дня, до 18 вечера МСК) на общение с профи, где можно будет пообщаться без предвзятости и снобизма, постараемся всем ответить на вопросы, помочь советом
Конференция основана на абсолютно добровольных, не коммерческих началах... бескорыстно, безвозмездно. Все кто в теме идеологически или готов помочь финансово - Welcome!
Будет полезно всем - профильным специалистам, владельцам бизнеса, просто заинтересованным людям, вход будет свободный 🙂
Апдейт по сабжу - каждую неделю, направления докладов планируются следующие - админство, информационная безопасность (хаки, ресерчи, мониторинг), железо
Вход свободный, локация - Алматы.
Принять участие может каждый (если успеет попасть в таймлайн докладов) в не зависимости от регионального месторасположения. Все кто хочет поделиться знаниями, послушать что-то полезное, поделиться идеями, мыслями - Welcome... (можно писать в лс)
В общем планируй время на 27 сентября (примерно с 12 дня, до 18 вечера МСК) на общение с профи, где можно будет пообщаться без предвзятости и снобизма, постараемся всем ответить на вопросы, помочь советом
Конференция основана на абсолютно добровольных, не коммерческих началах... бескорыстно, безвозмездно. Все кто в теме идеологически или готов помочь финансово - Welcome!
Будет полезно всем - профильным специалистам, владельцам бизнеса, просто заинтересованным людям, вход будет свободный 🙂
Апдейт по сабжу - каждую неделю, направления докладов планируются следующие - админство, информационная безопасность (хаки, ресерчи, мониторинг), железо
Вход свободный, локация - Алматы.