Васяяяяп! Под угрозой! Если кратко - злоумышленники могут перехватывать, подменять сообщения. Для особых гиков даже выпущен и выложен экстеншн для Burp suite.
Собственно ресерч:
https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/
Burp extension:
https://github.com/romanzaikin/BurpExtension-WhatsApp-Decryption-CheckPoint
Собственно ресерч:
https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/
Burp extension:
https://github.com/romanzaikin/BurpExtension-WhatsApp-Decryption-CheckPoint
Check Point Research
FakesApp: A Vulnerability in WhatsApp - Check Point Research
Research By: Dikla Barda, Roman Zaikin and Oded Vanunu As of early 2018, the Facebook-owned messaging application, WhatsApp, has over 1.5 billion users with over one billion groups and 65 billion messages sent every day. With so much chatter, the potential…
В Windows 10 появится функция InPrivate Desktop, это позволит запускать подозрительные приложения в изолированной среде.
Идея похожа на песочницу, главное чтобы это не было похоже на "режим совместимости windows xp" где приложение тупо запускалось в виртуальной HV машине с ОС Windows XP, куда кстати MS рекомендовал ставить антивирус, если это будет так, то это будет похоже на очередной MS'овский костыль, выдаваемый за инновационную фичу :)
https://www.neowin.net/news/microsoft-adding-sandbox-security-feature-to-windows-10-called-inprivate-desktop
Идея похожа на песочницу, главное чтобы это не было похоже на "режим совместимости windows xp" где приложение тупо запускалось в виртуальной HV машине с ОС Windows XP, куда кстати MS рекомендовал ставить антивирус, если это будет так, то это будет похоже на очередной MS'овский костыль, выдаваемый за инновационную фичу :)
https://www.neowin.net/news/microsoft-adding-sandbox-security-feature-to-windows-10-called-inprivate-desktop
Neowin
Microsoft adding sandbox security feature to Windows 10 called 'InPrivate Desktop'
InPrivate Desktop for Windows will work to help administrators run software programs from untrusted sources in a sandbox so that any risk and changes to the host operating system may be prevented.
Тулза может распознавать лица в соцсетях, отслеживать темы, к которым эти лица причастны, очень может быть полезно в нашем деле... Поддерживает кучу известных соцсетей, таких, как FB, VK, LinkedIn и т.п:
https://github.com/SpiderLabs/social_mapper/blob/master/README.md
https://github.com/SpiderLabs/social_mapper/blob/master/README.md
GitHub
social_mapper/README.md at master · Greenwolf/social_mapper
A Social Media Enumeration & Correlation Tool by Jacob Wilkin(Greenwolf) - Greenwolf/social_mapper
И чего это интересно многие компании стремятся получить паспорт от своих пользователей?
https://life.ru/t/технологии/1142196/apple_priedlozhila_zamienit_pasporta_aifonami
https://life.ru/t/технологии/1142196/apple_priedlozhila_zamienit_pasporta_aifonami
Life.ru
Apple предложила заменить паспорта айфонами
В скором будущем с помощью айфонов можно будет не только платить, но и подтверждать свою личность.
Персональный дашбоард для терминала Linux под названием WTF:
https://wtfutil.com
https://wtfutil.com
Я сам не использую Dropbox, но знаю что многие админы и просто многие его используют. Так вот - Dropbox изменил политику в отношении системных требований, в частности это касается пользователей Linux, теперь DB будет поддерживать только файловую систему ext4, все остальные идут "лесом", как например xfs, btrfs и т.п.:
https://www.dropbox.com/help/desktop-web/system-requirements#desktop
https://www.dropbox.com/help/desktop-web/system-requirements#desktop
Dropbox
Dropbox system requirements: an overview
Find out Dropbox's system requirements for desktop and mobile, which systems support the Dropbox requirements, and how to install it on your device.
Новая техника атаки на wpa2 от создателя hashcat:
http://www.opennet.ru/opennews/art.shtml?num=49120
http://www.opennet.ru/opennews/art.shtml?num=49120
www.opennet.ru
Новая техника атаки на беспроводные сети с WPA2
Йенс Штойбе (Jens "atom" Steube), создатель программы для подбора паролей hashcat, представил новую технику атаки на беспроводные сети с аутентификацией на базе механизмов WPA или WPA2. Предложенный метод существенно упрощает получение идентификатора, который…
Опят Бразилия, опять роутеры, теперь это D-Link (некоторое время назад это были мкротики). Подделывая DNS запросы, злоумышленники отправляют пользователей на фишинговые ресурсы:
https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/dns-hijacking-brazil-banks/
https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/dns-hijacking-brazil-banks/
Подборка из 20ти бесплатных курсов от топовых площадок и университетов,
(несколько проверил, действительно бесплатные), среди списка есть весьма интересные и актуальные, типа Machine Learning или BlockChain Basics. Средняя продолжительность курсов ~5 недель. Не реклама:
http://www.takethiscourse.net/free-training-courses-online-with-certificates/
(несколько проверил, действительно бесплатные), среди списка есть весьма интересные и актуальные, типа Machine Learning или BlockChain Basics. Средняя продолжительность курсов ~5 недель. Не реклама:
http://www.takethiscourse.net/free-training-courses-online-with-certificates/
Итак готов RFC для TLS v1.3. Немного информации про новый TLS от Cloudflare:
https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
Собственно сам RFC:
https://tools.ietf.org/html/rfc8446
Как включить TLS 1.3 в nginx (из коробки не везде работает):
https://blobfolio.com/2018/07/enable-tls-1-3-in-nginx-on-debian-stretch/
P.S. Полагаю стоит немного подождать и nginx с поддержкой TLS 1.3 подтянется из стандартных реп... ;)
https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
Собственно сам RFC:
https://tools.ietf.org/html/rfc8446
Как включить TLS 1.3 в nginx (из коробки не везде работает):
https://blobfolio.com/2018/07/enable-tls-1-3-in-nginx-on-debian-stretch/
P.S. Полагаю стоит немного подождать и nginx с поддержкой TLS 1.3 подтянется из стандартных реп... ;)
The Cloudflare Blog
A Detailed Look at RFC 8446 (a.k.a. TLS 1.3)
TLS 1.3 (RFC 8446) was published today. This article provides a deep dive into the changes introduced in TLS 1.3 and its impact on the future of internet security.
Кто сказал, что в Excel нельзя хранить данные о своей инфраструктуре или инфраструктуре компании? :))
https://xakep.ru/2018/08/13/godaddy-leak/
https://xakep.ru/2018/08/13/godaddy-leak/
XAKEP
Ошибка в настройках Amazon S3 привела к утечке внутренних данных хостера GoDaddy
Аналитики компании UpGuard обнаружили в свободном доступе неправильно настроенный бакет Amazon S3, содержащий закрытую информацию об облачной инфраструктуре хостера и регистратора GoDaddy.
И опять обход механизмов защиты в macOS в один клик:
https://www.defcon.org/html/defcon-26/dc-26-speakers.html#Wardle2
https://www.defcon.org/html/defcon-26/dc-26-speakers.html#Wardle2
Вообще отлично, знаю 1С админы любят выпаливать COM объекты в Windows ОС, как бы там ни было нужно обновляться, так как уровень уязвимости является с высоким приоритетом:
https://support.microsoft.com/en-za/help/4340937/security-update-for-the-microsoft-com-vulnerabilities-in-windows
Вообще эта проблема касается практически всех серверных и клиентских версий ОС Windows, еще немного деталей здесь:
https://securitytracker.com/id/1041466
https://support.microsoft.com/en-za/help/4340937/security-update-for-the-microsoft-com-vulnerabilities-in-windows
Вообще эта проблема касается практически всех серверных и клиентских версий ОС Windows, еще немного деталей здесь:
https://securitytracker.com/id/1041466
Microsoft
Denoscription of the security update for the remote code execution vulnerability in Windows Server 2008, Windows Embedded POSReady…
Resolves a vulnerability in Windows Server 2008.
Новый тип атаки однако:
https://www.google.com/amp/s/tproger.ru/news/android-man-in-the-disk-attack/amp/
https://www.google.com/amp/s/tproger.ru/news/android-man-in-the-disk-attack/amp/
Tproger
Исследователи обнаружили Android-атаку Man-in-the-Disk, которой подвержены приложения от Google и Yandex
Уязвимость эксплуатирует способ взаимодействия приложений с внешней памятью устройства. Ей подвержены решения от Google, Yandex и Xiaomi.
Google drive уходит в небытие, на его смену приходит Google one:
https://www.google.com/amp/s/techcrunch.com/2018/08/15/google-one-is-now-open-to-all/amp/
Об этом в блоге Google:
https://www.google.com/amp/s/www.blog.google/products/google-one/upgrade-google-one-get-more-out-google/amp/
Есть пару новых плюшек, об этом и о вышесказанном по русски:
https://hitech.vesti.ru/article/906806
https://www.google.com/amp/s/techcrunch.com/2018/08/15/google-one-is-now-open-to-all/amp/
Об этом в блоге Google:
https://www.google.com/amp/s/www.blog.google/products/google-one/upgrade-google-one-get-more-out-google/amp/
Есть пару новых плюшек, об этом и о вышесказанном по русски:
https://hitech.vesti.ru/article/906806
TechCrunch
Google One is now open to all | TechCrunch
A few months ago, Google announced Google One, its new subnoscription program for getting more Google Drive storage and other perks. Over the course of the
Debian исполнилось 25 лет, с чем всех, кто использует Debian - поздравляю :)
http://www.opennet.ru/opennews/art.shtml?num=49141
http://www.opennet.ru/opennews/art.shtml?num=49141
www.opennet.ru
Debian GNU/Linux исполнилось 25 лет
Проект Debian празднует своё двадцатипятилетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdock) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии…
Итак дополнение Firefox Web Security оказался не таким уже и Security в полной мере этого слова и сливал данные о всех посещённых страницах на стороний сервер + сливаемые данные связывались с идентификатором пользователя браузера.
Это дополнение крайне рекомендовано к установке Mozilla и представлено как дополнение, которое обеспечивает тайну личной жизни пользователей.
Любителям Firefox - полагаю стоит призадуматься за предмет нездравых тенденций от производителя в отношении неотключаемых фич по сбору статистики и их рекомендаций по "безопасности" в отношении дополнений...
https://www.ghacks.net/2018/08/15/mozilla-recommended-privacy-extension-had-phone-home-feature/
Это дополнение крайне рекомендовано к установке Mozilla и представлено как дополнение, которое обеспечивает тайну личной жизни пользователей.
Любителям Firefox - полагаю стоит призадуматься за предмет нездравых тенденций от производителя в отношении неотключаемых фич по сбору статистики и их рекомендаций по "безопасности" в отношении дополнений...
https://www.ghacks.net/2018/08/15/mozilla-recommended-privacy-extension-had-phone-home-feature/
ghacks.net
Mozilla recommended privacy extension had "phone-home" feature
A browser extension recommended by Mozilla on a list of 14 privacy improving add-ons for Firefox was found to transfer sensitive data.
В Chrome* браузерах закрыта уязвимость которая позволяет получить информацию о пользователе при помощи html тегов, как это происходило можно прочитать здесь:
https://www.bleepingcomputer.com/news/security/chrome-bug-lets-attackers-steal-web-secrets-via-audio-or-video-html-tags/
https://www.bleepingcomputer.com/news/security/chrome-bug-lets-attackers-steal-web-secrets-via-audio-or-video-html-tags/
BleepingComputer
Chrome Bug Lets Attackers Steal Web Secrets via Audio or Video HTML Tags
Google has patched a vulnerability in the Chrome browser that allows an attacker to retrieve sensitive information from other sites via audio or video HTML tags.