Сайберсекьюрити и Ко.

@alexlitreev_channel Нравится 2

Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизни.
www.litreev.com
VPN: https://veesecurity.com
Реклама: alexander@litreev.com
TG: @alexlitreev
Донат: litreev.com/donate
Гео и язык канала
Россия, Русский
Категория
Технологии


Написать автору
Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
09.05.2017 23:31
Последнее обновление
16.02.2019 13:54
Telegram Analytics
Самые свежие новости сервиса TGStat. Подписаться →
Searchee Bot
Ваш незаменимый помощник в поиске Telеgram-каналов.
@TGStat_Bot
Бот для получения статистики каналов не выходя из Telegram
20 699
подписчиков
~14.4k
охват 1 публикации
~8.3k
дневной охват
~5
постов / нед.
69.6%
ERR %
107.52
индекс цитирования
Репосты и упоминания канала
305 упоминаний канала
134 упоминаний публикаций
888 репостов
Social Engineering
Social Engineering
FSCP
ANTICHAT Channel
FSCP
United Memes Feed
Попячечная 🌚
Litreev Says
42
FSCP
Gershik Tyt
Litreev Says
Repomem
Gershik Tyt
global_chan
global_chan
global_chan
global_chan
Katzen und Politik
FSCP
toby3d.ru
RosKomSvoboda
ЗаТелеком
Большой брат
China with trump
Эшер II
Digital Rights Center
global_chan
global_chan
Хроника
FSCP
FSCP
NoNaMe Club
Мои закладки 📑
Хит Леджер
Зрада чи Перемога
Мюсли вслух
ГазМяс
Каналы, которые цитирует @alexlitreev_channel
Чайный Клуб
Артём и его MacBook
小猫は勇者である
Chipollino Onion Club
Binary District
Vee Security
Яндекс.Облако
Vee Security
Litreev Says
Артём и его MacBook
Vee Security
ITpro News & Reviews
r/етранслятор
r/етранслятор
Vee Security
Котян рисует
Эшер II
Litreev Says
Vee Security
Комитет по Этике
Digital Resistance
Павел Дуров
RKNSHOWTIME
Чайный Клуб
ЛПР Петербург
Digital Resistance
DataArt
Vee Security
Litreev Says
Paris Burns
Шевч
Vee Security
Vee Security
Vee Security
Абсурд в цене
Vee Security
Павел Чиков
Дежурный DevOps
Последние публикации
Удалённые
С упоминаниями
Репосты
О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy).

Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.
А это вообще полный смех и издёвка со стороны социальной сети. Либо там работают конченные имбецилы, либо троли. На вредоносной странице исполнялся (!!!) произвольный (!!!) JavaScript-код. Опубликовать пост на странице — не самое страшное, что могло произойти. С помощью этой уязвимости можно было получить прямой и неограниченный доступ к любым данным аккаунта — от личной переписки до скрытых фотографий. Никому не известно, как была (и была ли) эксплуатирована эта дыра ранее — вполне допускаю, что злоумышленники могли, например, скомпрометировать переписку сотен пользователей и долго оставаться незамеченными.
⚡️Уязвимость ВКонтакте

Сегодняшняя новость номер один посвящена социальной сети номер два — во ВКонтакте во всю эксплуатируется серьезная уязвимость. На сотнях страниц различных организаций появились странные посты. Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше. Уязвимость до сих пор не исправлена.

Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.

Сам скрипт:
https://github.com/rzhaka/prikol/blob/master/yrap.js
Репост из: Чайный Клуб
Проанализировали принятый в первом чтении законопроект «о суверенности российского интернета». Чего хочет добиться власть и с кого она берёт пример? Возможно ли это технически? Рассказываем в новом лонгриде:

https://medium.com/@libteaclub/dont-tread-on-runet-91b8e35141c0
Прямой эфир: https://www.youtube.com/watch?v=c4yzwpGyyoA
⚡️ Через три минуты на Эхе Петербурга — технический директор Vee Security Артём Тамоян (@iloveartem) о "перспективах" интернет-суверенитета. Присоединяйтесь!
🧠 Продолжаем нашу образовательную тематику — теперь для тимлидов.

📆 12 февраля в 20:00 (мск) состоится практический вебинар для тимлидов и IT-менеджеров: https://otus.pw/u2E4/

Вы узнаете о том:
- что считать своей работой?
- как быть с «не своей работой», чтобы не претерпели изменений собственные показатели?
- и как поступить с чужой деятельностью, если все равно заинтересованы в итоговом результате?

Вебинар пройдет в рамках курса «Руководитель разработки».

Регистрируйтесь на трансляцию и проходите вступительный тест в новую группу:
https://otus.pw/05ik/
🚨 Об очередной "критической уязвимости" в macOS Mojave и журналистах.

Мир рухнул, Apple снова облажалась. Очередной 18-летний сверхразум нашел ужасающую уязвимость в операционной системе macOS Mojave и украл все пароли. Акции упали до исторического минимума и стоят теперь дешевле грязи, Тим Кук вырывает оставшиеся волосы, а датацентры компании в Купертино перешли на резервные источники питания — вращающегося в гробу Джобса.

Если вам тоже кажется это сомнительным, то предлагаю вам прочитать мою заметку по поводу последних новостей — там коротко о том, почему журналисты скатились и обленились в край, а подавляющее большинство читателей жрут всё, чем их кормят.

https://goo.gl/5diFZ2
Об очередной "критической уязвимости" в macOS Mojave и журналистах.
За пару дней сотни СМИ (в том числе и зарубежных) растиражировали публикации в духе "18-летний хакер обнаружил уязвимость в macOS, позволяющую воровать пароли". Публикации сопровождаются видеороликом сомнительного содержания, где демонстрируется сделанная юношей утилита KeySteal, которая якобы вытаскивает из системной связки ключей пароли без подтверждения доступа, мастер-пароля и так далее. 
Репост из: 小猫は勇者である
> https://t.me/chipollin0nion/1961

Ыксперты по безопасности не знают разницу между браузером и поисковым движком.
🤷‍♂️ Рубрика #поорать:

Чтобы вы понимали, кто нам законы пишет: на официальном сайте Яровой (автора того самого пакета законов, что якобы "про безопасность в интернетах" и "защиту от терроризма") абсолютно детсадовские XSS-уязвимости. Уже не говорю о том, что сам сайт просто истекает сообщениями об ошибках из всех щелей.
🧠 Продолжаем тему образования в «Сайберсекьюрити и Ко» — теперь для тестировщиков.

Сегодня, 29 января в 20:00 (мск) онлайн День открытых дверей курса «QA-специалист». Регистрируемся: https://otus.pw/f4lb/

А пока есть время до встречи – знакомьтесь с программой и проверяйте свои знания вступительным тестированием: https://otus.pw/HaZJ/

Мы:

🖍Познакомим вас с преподавателем курса, Ниной Деваевой – Senior тестировщиком с ISTQB-сертификацией по стандарту 2018 года, специалистом в области построения и управления QA-командами до 150 человек и просто интересной девушкой, у которой есть чему поучиться.
🖍Расскажем в деталях о курсе, формате обучения, программе трудоустройства и карьерных перспективах выпускников.

Ждем QA-тестировщиков с опытом организации функционального тестирования ПО от 1 года и всех неравнодушных к Quality Assurance.
Готовьте интересующие вас вопросы и задайте их лично преподавателю во время трансляции!
16–17 февраля на площадке Digital October в Москве пройдут два интенсива от @binarydistrict_ru и Академии кибербезопасности BI.ZONE.

А для подписчиков канала действует скидка 10% по промокоду alexlitreev

Безопасность веб-приложений
Практический интенсив по безопасности веб-приложений с экспертами из BI.ZONE при поддержке Академии кибербезопасности. Вы узнаете:

- Актуальные киберугрозы для веб-приложений и виды уязвимостей
- Подход к анализу защищенности веб-приложений от А до Я
- Как выявлять уязвимости в веб-приложениях
- Как исправлять уязвимости и разрабатывать безопасные веб-приложения

На интенсиве будет много практики и разбор кейсов из опыта спикеров.
Регистрируйтесь: https://goo.gl/utsuis

Расследование кибератак для бизнеса
Интенсив по компьютерной криминалистике от эксперта Академии кибербезопасности BI.ZONE.
Вы узнаете, какие атаки совершают на корпоративный и частный секторы и научитесь создавать криминалистические образы накопителей и оперативной памяти, восстанавливать и извлекать артефакты работы вредоносного ПО, представлять сценарий проведения атаки и предоставлять рекомендации после расследования.

Помимо этого:
- На курсе будет возможность охватить весь процесс криминалистического анализа инцидента для ОС Windows
- Для прохождения практики будет предоставлен специально подготовленный флеш-накопитель с требуемым ПО
- Вы разберете кейсы из опыта спикера и сможете обсудить собственные
Регистрируйтесь: https://goo.gl/ySwQpr
Банк ВТБ запатентовал систему проведения платежей на блокчейне.

Всё-таки он пришёл — блокчейн в российский финтех. Буквально вчера ВТБ получил патент на мультиэмитентную систему расчётов на основе блокчейна.

Что это вообще такое и зачем? Запатентованная новинка позволит ВТБ создавать инструменты для решения задач учета взаиморасчетов между неограниченным количеством участников системы. Позднее, технология станет доступна как физическим, так и юр. лицам, например, банкам и микрокредитным организациям.

В качестве прототипа в ВТБ показали так называемый «Цифровой расчетный сервис» – систему, реализующую P2P-переводы на блокчейне. В соответствии с самой идеей блокчейна, система имеет распределенный реестр, обеспечивающий целостность данных аккаунтов клиентов, а также информации кредитных учреждений (для клиринга и взаимных расчетов).

Расчёты не предполагают использования криптовалют — все транзакции производятся только в фиате (рублях).

Это однозначно важная новость для российского финтех-сектора экономики. Внедрение таких современных технологий как блокчейн в работу крупных финансовых учреждений, коим тот же ВТБ является — хороший признак того, что компании начинают разворачиваться к инновациям. Опыт внедрения блокчейна уже есть у западных соседей. Например, в Эстонии блокчейн используют уже больше 10 лет в масштабах целого государства, внедряя его в самые разные сферы деятельности — от финансовых до медицинских услуг. Здорово, что подобный опыт начинают применять и у нас.

Подробнее:
https://www.kommersant.ru/doc/3861308
⚡️ Миллионы беспроводных чипов Wi-Fi оказались критически уязвимыми

Эксперты американской компании из Беркли Embedi, специализирующейся на информационной безопасности сообщили о ряде критических уязвимостей в операционной системе реального времени (RTOS) ThreadX. ThreadX является одним из самых распространенных вариантов прошивки для беспроводных чипов, широко используется в продуктах компаний Broadcom, Marvell, Realtek и многих других.

Как выяснилось, ПО содержит уязвимости связанные с повреждением памяти (Memory Corruption Vulnerability), одна из таких уявзимостей не требует никаких действий пользователя для эксплуатации и может быть использована во время сканирования доступных сетей для получения контроля над устройству жертвы. Злоумышленнику достаточно сформировать вредоносный пакет и отправить его на устройство пользователя — при следующем сканировании Wi-Fi сетей устройство будет скомпрометировано.

Наглядно эксплуатацию уязвимости продемонстрировали на основе чипа Marvell Avastar 88W8897, что используется в современных игровых консолях Microsoft и Sony, многочисленных ноутбуках, смартфонах и планшетах.

Более подробно в блоге самой Embedi:
https://embedi.org/blog/remotely-compromise-devices-by-using-bugs-in-marvell-avastar-wi-fi-from-zero-knowledge-to-zero-click-rce/
Level Up — я иду в Ген. Прокуратуру

Направил письмо в Генеральную Прокуратуру с требованием инициировать проверку в отношении А. А. Жарова и Роскомнадзора по факту нарушения законодательства об обращениях граждан, потребовал привлечь Роскомнадзор к ответственности и обязать предоставить ответ на отправленное мной ранее обращение. Если и это не поможет (ха-ха) — пойдем еще дальше.

Вполне вероятно, что эта ситуация будет доведена до судебны разбирательств, ибо иллюзий по поводу того, как охотно работают с обращениями граждан наши органы, я не питаю.

Поддержать этот кейс можно здесь:
https://litreev.com/donate
Часики тик-так, г-н Жаров

Завтра, 18 января, истекает срок рассмотрения моего обращения в Роскомнадзоре. Не испытываю никакого оптимизма касательно скорости работы (да и вообще, работы в прицнипе) РКН и составляю обращение в Генпрокуратуру РФ. О подробностях сообщу дополнительно чуть позднее.
Сайберсекьюрити и Ко.
💩 Роскомнадзор vs. «Умное Голосование» — эксперимент. Как вы знаете, недавно Роскомнадзор заблокировал сайт-проект «Умное Голосование» Алексея Навального, где последний предлагал интересную и (!!!) абсолютно легальную стратегию победы над Единой Россией на "выборах" в суровой российской реальности. Сегодня РКН выпустил разъяснения. Оказывается, сайт проекта был заблокирован, так как он использовал Яндекс.Метрику и Google Analytics, а пользователя о сборе статистики, видите ли, не уведомили. И согласия не спросили. Безобразие. Я решил провести эксперимент — будет ли РКН последователен в своих действиях? И написал небольшой пост и обращение. Вуаля: https://goo.gl/CwJPNr
В сети опубликовали крупнейшую базу скомпрометированных аккаунтов.

На файловый хостинг MEGA была загружена база данных email-адресов и паролей, состоящая из более чем миллиарда записей. Трой Хант, владелец ресурса "Have I Been Pwned" сообщил об этом сегодня в своём блоге. Эта крупнейшая база скомпрометированных аккаунтов содержит в себе более двух тысяч ранее публиковавшихся утечек. Хороший повод в очередной раз проверить себя на haveibeenpwned.com и поменять пароли.