Сайберсекьюрити и Ко.

alexlitreev_channel Нравится 1

Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизни.
Твиттер: twitter.com/alexlitreev
Пожертвования: rocketbank.ru/alexlitreev
Реклама: [email protected]
Гео и язык канала
Россия, Русский
Категория
Технологии


Написать автору
Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
09.05.2017 23:31
Последнее обновление
25.09.2018 04:08
Telegram Analytics
Самые свежие новости сервиса TGStat. Подписаться →
Channely
Публикуй и удаляй публикации по расписанию. Попробовать →
@TGStat_Bot
Бот для получения статистики каналов не выходя из Telegram
21 888
подписчиков
~17.5k
охват 1 публикации
~6.5k
дневной охват
~3
постов / нед.
79.9%
ERR %
100.89
индекс цитирования
Репосты и упоминания канала
238 упоминаний канала
108 упоминаний публикаций
845 репостов
FSCP
FSCP
United Memes Feed
Попячечная 🌚
Nag.Ru
FSCP
WordPress & WooCommerce
КИИ 187-ФЗ
Караульный
Абсурд в цене
Зрада чи Перемога
ОПЕР Слил
Максимкализм
Зрада чи Перемога
Fuck you That's Why
Зрада чи Перемога
Антискрепа
Ortega
Караульный
Эшер II
Эшер II
vinger
Максимкализм
Абсурд в цене
Попячечная 🌚
ЛПР: Петербург
Уткогорлонос
Караульный
Partisangirl
КСТАТИ
Мухожук
Мухожук
Nag.Ru
Караульный
Караульный
Абсурд в цене
DataArt
Попячечная 🌚
Попячечная 🌚
Каналы, которые цитирует @alexlitreev_channel
Vee Security
Котян рисует
Эшер II
Litreev Says
Vee Security
Комитет по Этике
Павел Дуров
Digital Resistance
RKNSHOWTIME
ЛПР: Петербург
Digital Resistance
Digital Resistance
DataArt
Vee Security
Paris Burns
Vee Security
Vee Security
Vee Security
Vee Security
Абсурд в цене
Vee Security
Павел Чиков
Дежурный DevOps
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
Vee Security
ЗаТелеком
Vee Security
Vee Security
Попячечная 🌚
лжец кучерявый
Караульный
Караульный
Попячечная 🌚
Последние публикации
Пресс-Служба Лаборатории Касперского дала также официальный комментарий по этому поводу:

«В исходном посте приведена выдержка из курса, созданного в 2008 году по продуктам Kaspersky Anti-Virus 6.0 для рабочих станций на Windows и Kaspersky Administratiron Kit 6.0. Версия 6.0 – это продукты десятилетней давности, которые мы начали снимать с поддержки ещё в 2011 году. Курс также был убран из доступа по мере прекращения поддержки продукта. Т.е. это устаревшие сценарии (а не рекомендации) в онлайн-курсах по уже неподдерживаемым продуктам, которые некорректно трактовать как текущие рекомендации «Лаборатории Касперского», и более того, приведённое описание не являлось инструкцией к действию - это вырванное из контекста описание возможных действий администратора в рамках учебного курса»

Страницу с инструкциями поспешили удалить с портала поддержки. Были ли иными рекомендации по безопасности домена в 2008 году? Конечно же нет, не были.
Написал человек, представившийся рядовым сотрудником Лаборатории Касперского. Говорит, выдергиваю из контекста:

«Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным.
Если критикуете, то выскажите аргумент против или предложите свой вариант.
Иначе ваша заметка выглядит глупо Для домашних продуктов достаточно. Но не для корпоративных. Это ведь мануал не для антивируса, а для KSC или KES. И конкретно этот пункт для службы, которая устанавливает пакеты (кроме всего прочего). Это средство администрирования.»


Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия. И сам факт наличия предложения поступить подобным образом на сайте компании, специализирующейся на информационной безопасностью — и есть главная глупость.

«Но ведь это софт как альтернатива средствам администрирования Майкрософт. Он начинает обладать теми же правами, которыми обладает винда. Разница только в том - у кого больше дыр» — продолжает подписчик.

Действительно, альтернатива. Изначально теоретическая компрометация может прийти только со стороны вендор ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.

Вообще, тема с правами учётных записей ОС — важная тема. Надо запомнить одну простую истину — никогда не давайте ПО прав больше, чем необходимо для работы его задокументированных возможностей.
Очень хорошо прокомментировал это Артём Проничкин: «Обычно это учетная запись с правами администратора домена, и в таком случае все задачи установки представляют удобный вектор атак для компрометации компьютеров, входящих в домен».

Источник: https://twitter.com/pronichkin/status/1042708238972723200
Лаборатория Касперского рекомендует своим корпоративным пользователям запускать свой прикладной софт от учетной записи с правами администратора домена. Мда уж.

https://twitter.com/vaylen_spb/status/1042701489565839360?s=21
❕Друзья, мы приглашаем вас стать частью классной команды организаторов конференции CryptoInstallFest, что пройдет 22 сентября в Москве.
И нет, Vee и Veeam — две разные компании. В @VeeSecurity мы очень серьезно подходим к вопросу хранения данных наших клиентов.
⚡️ Компания Veeam хранила данные о своих клиентах в открытом доступе.


Известный производитель решений для резервного копирования данных хранил информацию о почти половине миллиона учетных записей клиентов компании (ФИО, адреса электронной почты, маркетинговые данные) в открытой для внешнего доступа базе данных MongoDB.

Обосрались так обосрались, ничего не скажешь.

https://techcrunch.com/2018/09/11/veeam-security-lapse-leaked-over-440-million-email-addresses/
Tesla дала добро на взлом ПО своих автомобилей

Компания Илона Маска изменила условия программы Bug Bounty, предусматривающей выплату вознаграждений за поиск уязвимостей. Теперь энтузиасты могут взламывать электрокары Tesla, не боясь отзыва гарантии. Более того, в соответствии с новой политикой компании, автопроизводитель будет перепрошивать автомобили, ПО которых вышло из строя в процессе экспериментов специалистов кибербезопасности.

Изменения в политике компании Telsa очень тепло встретили представители индустрии.

https://techcrunch.com/2018/09/06/teslas-new-bug-bounty-protects-hackers-and-your-warranty/
По просьбам читателей, наши «Корги-Кодеры» теперь стоят почти в 2 раза дешевле!
Осталось совсем немножко, так что поспешите ☺️
А @kotypic нарисовала нашему каналу клёвые стикеры! Их можно пощупать, потрогать, купить и наклеить на свой ноутбук!

Закажите себе здесь:
https://kotypic.fun
⚠️ Мероприятие — Пятая конференция CryptoInstallFest

Уже очень скоро, 22 сентября, в Москве пройдет пятая международная конференция CryptoInstallFest.

Что это такое?
CIF (CryptoInstallFest) - практическая конференция, во время которой IT-специалисты, юристы, общественные деятели, предприниматели и участники обсуждают все самое важное и актуальное, что происходит сейчас в Рунете (и не только). Государственное регулирование интернета и новые законы, общественные кампании и партизанская война за свободу сети, прорывные технологии и разработки, тенденции технологические и социальные, анонимность и защита персональных данных, децентрализация, шифрование — все то, что составляет интернет сегодня, и то, чем он станет завтра. Именно об этом и пойдет речь на CIF.

Где и когда?

🗓 22 сентября в 11.00,
📍 в Центре «Благосфера» (1-ый Боткинский проезд д. 7, стр. 1)

Кто выступит?

Блок «Tech»
— Сергей Матвеев, разработчик, основатель cypherpunks.ru, член FSF, FSFE и EFF — NNCP: помогает строить независимые от Интернета сети
— Филипп Кулин, руководитель хостинга "DiPHOST" — Безопасность DNS. Популярный обзор современной теории и практик
— Леонид Евдокимов, OONI, Tor Project — РКН-тян: болячки и побочки. Как отлаживать проблемы, вызваные существованием интернет-цензуры
— Станислав Полозов, руководитель отдела внедрения EmerDNS — DNS на блокчейне - EmerDNS
— Евгений Гусев, full stack разработчик и инженер Musicoin — Musicoin — революция в музыки с помощью блокчейна
— «4ёрт», участник CIF II, IV — Воркшоп «Альтернативные прошивки для "роутеров" (OpenWRT, pfSense)»
— Александр Грошев — Воркшоп «Повседневное использование Qubes OS»

Блок «Social»
— Саркис Дарбинян, Центр цифровых прав — Ключи от всея Руси. Битва за Телеграм
— Грегорий Энгельс, Пиратская Партия Германии — Блокировки в Европе: государственное регулирование, общественные кампании, позиция Европейского суда
— Ирина Левова — директор по стратегическим проектам Института исследований интернета — Безопасность VS Право на тайну связи: можно ли найти золотую середину?
— Артём Козлюк, РосКомСвобода — Госатака на информацию: последние тренды
— Александр Исавнин, Пиратская партия России, Общество защиты интернета — Как государство пытается регулировать Интернет и как общество борется с этим. Европейский опыт
— Михаил Климарёв, Общество защиты интернета — Проект «Интернет-Гулаг»
— Антон Ершов, председатель Пиратской партии России — Дискуссия «Анонимность: грань между фанатизмом и адекватностью»
— Дмитрий Галушко руководитель ОрдерКом, независимый эксперт, к.ю.н. — СОРМ и/или Предпринимательство?
— Грегорий Энгельс, Пиратская Партия Германии — Воркшоп «Инструменты электронной демкратии и практики их использования»

Обязательно приходите, ВХОД СВОБОДНЫЙ.

Сайт конференции:
https://cryptofest.ru
CryptoInstallFest 5 | 22 сентября 2018
CIF — это практическая конференция, во время которой IT-специалисты, юристы и общественные деятели расскажут о текущем положении дел со свободой слова и цензурой в сети, о государственном регулировании интернета, о том как сохранить анонимность и защитить свои данные от посторонних глаз и о новых технологиях децентрализации, которые помогают нам защищать интернет сегодня, и о тех которые придут нам на помощь завтра.
¯\_(ツ)_/¯
https://t.me/usher2/293
Такие дела ¯\_(ツ)_/¯
Как российские банки плевать хотели на инф. безопасность

Мой коллега и дорогой БРАТ Артём провёл «маленький рисерч» (С) в отношении российских банков. Как известно, недавно Google и Mozilla признали сертификаты Symantec скомпрометированными и выпущенными, с нарушениями правил безопасности. Вот почему:

1) В Symantec ну просто так, ради теста, выпустили сертификат для google.com, который потом (oops!) утёк. Для тех, кто в танке — сертификат позволил бы злоумышленникам незаметно подменять оригинальный сайт Google любой другой страницей и, при этом, тот самый замочек HTTPS продолжал бы оставаться «зелёненьким».

2) Выпускали сертификаты с SHA-1, после января 2016 года, когда это стало запрещено правилами безопасности.

3) Symantec выпустили кучу сертификатов ВООБЩЕ НЕ ПРОВЕРЯЯ ВЛАДЕНИЕ ДОМЕНОМ. С-О-В-С-Е-М.

Ну и ещё совершили много-много страшных (если не считать того факта, что CEO Trustico приватные ключи по E-Mail’у пересылал) смертельных грехов, описанных здесь:
https://wiki.mozilla.org/CA:Symantec_Issues

Ну и, что вполне логично, Google и Mozilla объявили сертификаты Symantec небезопасными и де-факто скомпрометированными. Вот уже с октября сайты с такими сертификатами перестанут открываться у пользователей Chrome и Firefox.
Все нормальные интернет-ресурсы уже подготовились к этому.

Но есть и особо одаренные. Например, Сбербанк. На справедливое замечание Артёма они предложили ему не пользоваться гуглом:
https://twitter.com/sberbank/status/1031907764858249217

Мы поползали по сайтам различных российских банков и обнаружили, что отличившихся много!

Вот некоторые из них:
https://online.sberbank.ru
https://www.rshb.ru
https://www.open.ru
https://enter.unicredit.ru

Ну и, как бы, не шевелятся.
Артём, конечно, выполнил свой святой долг и всем им написал. Молодец, Артём. И вы будьте молодцом и поменяйте сертификат, если он попадает под эту ситуацию.

Продолжение следует.
РКН забанил 262144 IP-адреса Amazon (целую подсеть /14). А теперь под эту раздачу попал и BitBucket.
Команда Павла Дурова запустила Telegram Passport

Новый продукт Telegram дает возможность загрузить свои документы всего один раз, а затем использовать их в различных интернет-сервисах, где требуется подтверждение личности.

https://telegram.org/blog/passport
Использовать эксплоит может даже 6-летний ребёнок.

https://www.securitylab.ru/news/494293.php
:(
https://snob.ru/news/162977
Репост из: Litreev Says