Apple исправила уязвимость, которую злоумышленники могли использовать для развертывания вредоносного ПО на уязвимых устройствах macOS через ненадежные приложения, способные обходить ограничения Gatekeeper.
Gatekeeper — это функция безопасности macOS, которая автоматически проверяет все приложения, загруженные из Интернета, на предмет их заверения подписи разработчика (одобренных Apple), запрашивая у пользователя подтверждение перед запуском.
Реализуется путем проверки расширенного атрибута с именем com.apple.quarantine, который веб-браузеры присваивают всем загруженным файлам, по аналогии с Mark of the Web в Windows.
Обнаруженная еще 27 июля 2022 года и описанная главным исследователем безопасности Microsoft Джонатаном Бар Ором, уязвимость безопасности получила название Achilles и теперь отслеживается как CVE-2022-42821.
Обход гейткипера, подобный этому, может использоваться в качестве вектора для первоначального доступа вредоносных программ и других угроз и может помочь повысить вероятность успеха вредоносных кампаний и атак на macOS.
Achilles позволяет специально созданным полезным нагрузкам злоупотреблять логической проблемой, устанавливая ограничительные разрешения списка управления доступом (ACL), которые блокируют веб-браузеры и загрузчики из Интернета от установки атрибута com.apple.quarantine для загруженных данных в виде ZIP-файлов.
В результате вредоносное приложение в заархивированной вредоносной полезной нагрузке, запускается в целевой системе и не блокируется гейткипером.
При этом, как отмечают ресерчеры Microsoft Security Threat Intelligence, режим блокировки Apple, представленный в macOS Ventura в качестве дополнительной функции защиты, направлен на нейтрализацию RCE-эксплойтов «без щелчка» и, следовательно, не способен защитить пользователей от Achilles.
Apple устранила ошибку в macOS 13 (Ventura), macOS 12.6.2 (Monterey) и macOS 1.7.2 (Big Sur) 13 декабря.
Пользователям не следует временить с обновлениями, ведь поддельные приложения остаются одним из основных векторов проникновения в macOS, а методы обхода гейткипера являются привлекательной и даже необходимой возможностью для злоумышленников в атаках. (SecAtor)
Gatekeeper — это функция безопасности macOS, которая автоматически проверяет все приложения, загруженные из Интернета, на предмет их заверения подписи разработчика (одобренных Apple), запрашивая у пользователя подтверждение перед запуском.
Реализуется путем проверки расширенного атрибута с именем com.apple.quarantine, который веб-браузеры присваивают всем загруженным файлам, по аналогии с Mark of the Web в Windows.
Обнаруженная еще 27 июля 2022 года и описанная главным исследователем безопасности Microsoft Джонатаном Бар Ором, уязвимость безопасности получила название Achilles и теперь отслеживается как CVE-2022-42821.
Обход гейткипера, подобный этому, может использоваться в качестве вектора для первоначального доступа вредоносных программ и других угроз и может помочь повысить вероятность успеха вредоносных кампаний и атак на macOS.
Achilles позволяет специально созданным полезным нагрузкам злоупотреблять логической проблемой, устанавливая ограничительные разрешения списка управления доступом (ACL), которые блокируют веб-браузеры и загрузчики из Интернета от установки атрибута com.apple.quarantine для загруженных данных в виде ZIP-файлов.
В результате вредоносное приложение в заархивированной вредоносной полезной нагрузке, запускается в целевой системе и не блокируется гейткипером.
При этом, как отмечают ресерчеры Microsoft Security Threat Intelligence, режим блокировки Apple, представленный в macOS Ventura в качестве дополнительной функции защиты, направлен на нейтрализацию RCE-эксплойтов «без щелчка» и, следовательно, не способен защитить пользователей от Achilles.
Apple устранила ошибку в macOS 13 (Ventura), macOS 12.6.2 (Monterey) и macOS 1.7.2 (Big Sur) 13 декабря.
Пользователям не следует временить с обновлениями, ведь поддельные приложения остаются одним из основных векторов проникновения в macOS, а методы обхода гейткипера являются привлекательной и даже необходимой возможностью для злоумышленников в атаках. (SecAtor)
Microsoft News
Gatekeeper’s Achilles heel: Unearthing a macOS vulnerability
Microsoft discovered a vulnerability in macOS, referred to as “Achilles”, allowing attackers to bypass application execution restrictions enforced by the Gatekeeper security mechanism.
✴️#крипто #биржи #cex #регулирование #мнение
CEO Pantera Capital в своем письме инвесторам говорит, что сейчас и вообще нужно доверять только в значительной степени регулируемым криптобиржам. Среди них выделяет Coinbase, Bitstamp. Deloiite аудитор у Coinbase, Bitstamp привлекала Ernst & Young.
CEO Pantera Capital также отмечает резистентность сектора DeFi, особенно децентрализованных крипто-бирж (DEX) таких как Uniswap, 0x, 1inch, Balancer и DODO. (markettwits)
CEO Pantera Capital в своем письме инвесторам говорит, что сейчас и вообще нужно доверять только в значительной степени регулируемым криптобиржам. Среди них выделяет Coinbase, Bitstamp. Deloiite аудитор у Coinbase, Bitstamp привлекала Ernst & Young.
CEO Pantera Capital также отмечает резистентность сектора DeFi, особенно децентрализованных крипто-бирж (DEX) таких как Uniswap, 0x, 1inch, Balancer и DODO. (markettwits)
Роботы-пылесосы фотографируют своих хозяев в туалете🤔
Пылесос iRobot Roomba серии J7 переодически делает фотографии во время уборки.
Проприетарное программное обеспечение умного гаджета с упорством достойным лучшего применения через интернет отправляет их на сервера корпорации.😐
Корпорация iRobot в свою очередь использует фотографии вашей квартиры для обучения ИИ различать отдельные вещи в помещении.
В процессе данной обработки iRobot передает ваши фотографии сторонней корпорации Scale AI, где их просматривают реальные люди и маркируют предметы для составления датасета.
Одному из сотрудников Scale AI показалось забавным то что умный пылесос сфотографировал свою хозяйку верхом на унитазе и он решил поделится этим фото в Facebook😓
Спустя какое-то время фото посмотрели все больше и больше людей, дойдя и до хозяйки робота и до журналистов.
☝🏻Будьте осторожны с гаджетами корпораций и их проприетарным ПО. (чёрный треугольник)
Пылесос iRobot Roomba серии J7 переодически делает фотографии во время уборки.
Проприетарное программное обеспечение умного гаджета с упорством достойным лучшего применения через интернет отправляет их на сервера корпорации.😐
Корпорация iRobot в свою очередь использует фотографии вашей квартиры для обучения ИИ различать отдельные вещи в помещении.
В процессе данной обработки iRobot передает ваши фотографии сторонней корпорации Scale AI, где их просматривают реальные люди и маркируют предметы для составления датасета.
Одному из сотрудников Scale AI показалось забавным то что умный пылесос сфотографировал свою хозяйку верхом на унитазе и он решил поделится этим фото в Facebook😓
Спустя какое-то время фото посмотрели все больше и больше людей, дойдя и до хозяйки робота и до журналистов.
☝🏻Будьте осторожны с гаджетами корпораций и их проприетарным ПО. (чёрный треугольник)
The Verge пишет о закате стриминговых сервисов. Долгие годы они создавали крутой контент, но скоро это закончится. Теперь для Netflix, HBO Max, Disney Plus и других топов пришло время делать деньги.
Стриминги совершили революцию в киноиндустрии. Сериалы собственного производства становились популярнее топовых блокбастеров. Контента стало столько, что для просмотра всех топовых премьер нужно иметь как минимум 5 подписок. Теперь, cтриминги перейдут на модель экстремальной монетизации.
В первую очередь, уйдёт в прошлое заработок только на подписке. Зрителям начнут показывать рекламу, что уже начал делать Netflix. Не хочешь смотреть рекламу — покупай премиум. Во-вторых, контента станет меньше и он станет более слабым. Сервисы вложили достаточно денег в эксперименты, выпуская сотни сериалов для проверки, какие из них зайдут, а какие нет. Теперь стриминги начнут брать количеством, а не качеством — в эфире будут показывать даже самый тупой контент, если у него хорошие цифры.
Гендиректор Netflix Рид прямо намекает, что будет транслировать любой контент, если шоу показывает хорошую статистику просмотры.
Другие сервисы, например HBO, начнут больше экономить. Владелец компании Дэвид Заслав недавно дал понять, что пожертвует большим количеством шоу и фильмов, если это поможет ему сэкономить хоть доллар. Никаких больше элитарных сериалов для узкой аудитории, только популярная жвачка.
Будущее стриминга — конвейерность, мейнстрим и бесконечная реклама. Однако когда Netflix только создавался они делали списки фильмов для просмотра куда пользователи складывали высокоинтеллектуальное и авторское кино, однако никто никогда не смотрел эти фильмы, - большинство людей хочет смотреть конвейерные мейнстримовые сериалы и в этом нет ничего плохого, кино и сериалы это формат отдыха и мало кто хочет после тяжелого трудого дня думать еще и во время просмотра контента. Поэтому считаю нападку на стриминги несостоятельной, так как они изначально делают проходной контент для массового зрителя. (expensivemarketing; fscp)
Стриминги совершили революцию в киноиндустрии. Сериалы собственного производства становились популярнее топовых блокбастеров. Контента стало столько, что для просмотра всех топовых премьер нужно иметь как минимум 5 подписок. Теперь, cтриминги перейдут на модель экстремальной монетизации.
В первую очередь, уйдёт в прошлое заработок только на подписке. Зрителям начнут показывать рекламу, что уже начал делать Netflix. Не хочешь смотреть рекламу — покупай премиум. Во-вторых, контента станет меньше и он станет более слабым. Сервисы вложили достаточно денег в эксперименты, выпуская сотни сериалов для проверки, какие из них зайдут, а какие нет. Теперь стриминги начнут брать количеством, а не качеством — в эфире будут показывать даже самый тупой контент, если у него хорошие цифры.
Гендиректор Netflix Рид прямо намекает, что будет транслировать любой контент, если шоу показывает хорошую статистику просмотры.
Другие сервисы, например HBO, начнут больше экономить. Владелец компании Дэвид Заслав недавно дал понять, что пожертвует большим количеством шоу и фильмов, если это поможет ему сэкономить хоть доллар. Никаких больше элитарных сериалов для узкой аудитории, только популярная жвачка.
Будущее стриминга — конвейерность, мейнстрим и бесконечная реклама. Однако когда Netflix только создавался они делали списки фильмов для просмотра куда пользователи складывали высокоинтеллектуальное и авторское кино, однако никто никогда не смотрел эти фильмы, - большинство людей хочет смотреть конвейерные мейнстримовые сериалы и в этом нет ничего плохого, кино и сериалы это формат отдыха и мало кто хочет после тяжелого трудого дня думать еще и во время просмотра контента. Поэтому считаю нападку на стриминги несостоятельной, так как они изначально делают проходной контент для массового зрителя. (expensivemarketing; fscp)
The Verge
The golden age of the streaming wars has ended
The most fun phase of the streaming wars has ended.
🔸Важное обновление в Условиях обслуживания Райффайзенбанка - вступает в силу с 21 декабря 2022 года:
В случае выявления смены валютного резидентства без соответствующего уведомления банка, Райф имеет право заблокировать карту, отказать в проведении операций. По условиям ДКБО клиент обязан уведомить банк в течение 15 календарных дней о смене резидентства. Для удобства весь функционал подачи заявлений встроен в интернет-банк и мобильное приложение.
Банк также убрал пункт об одностороннем расторжении договора в случаях, когда в течение года два или более раза он отказывал клиенту в проведении операций по зачислению или переводу из-за непредоставления по запросу в срок документов и информации для обновления идентификации Клиента/ представителя Клиента/ Выгодоприобретателя/Бенефициарного владельца.
UPD: За выявленное несоответствие налогового резидентства Райф может сразу (с первого раза) в одностороннем порядке блокировать карту, закрыть счета, расторгнуть договор, отказать в совершении операции и больше не открывать новые счета и договоры. (MarketOverview; fscp)
В случае выявления смены валютного резидентства без соответствующего уведомления банка, Райф имеет право заблокировать карту, отказать в проведении операций. По условиям ДКБО клиент обязан уведомить банк в течение 15 календарных дней о смене резидентства. Для удобства весь функционал подачи заявлений встроен в интернет-банк и мобильное приложение.
Банк также убрал пункт об одностороннем расторжении договора в случаях, когда в течение года два или более раза он отказывал клиенту в проведении операций по зачислению или переводу из-за непредоставления по запросу в срок документов и информации для обновления идентификации Клиента/ представителя Клиента/ Выгодоприобретателя/Бенефициарного владельца.
UPD: За выявленное несоответствие налогового резидентства Райф может сразу (с первого раза) в одностороннем порядке блокировать карту, закрыть счета, расторгнуть договор, отказать в совершении операции и больше не открывать новые счета и договоры. (MarketOverview; fscp)
CEO Pantera Capital: то, что сейчас наблюдается в криптоиндустрии в США, прямо противоположно ситуации с внедрением интернета в США в свое время:
Правительство США буквально создало Интернет и затем предоставило ранним интернет-компаниям множество финансовых (и не только) преимуществ. В результате все крупнейшие интернет-компании мира находятся в США .
с криптой же подход США диаметрально противоположный. Регуляторы давят, что привело к тому, что 95% торгов криптой переместились в офшоры. Точно так же 95% рыночной капитализации протоколов блокчейна приходится на проекты, зарегистрированные за пределами США. (markettwits)
Правительство США буквально создало Интернет и затем предоставило ранним интернет-компаниям множество финансовых (и не только) преимуществ. В результате все крупнейшие интернет-компании мира находятся в США .
с криптой же подход США диаметрально противоположный. Регуляторы давят, что привело к тому, что 95% торгов криптой переместились в офшоры. Точно так же 95% рыночной капитализации протоколов блокчейна приходится на проекты, зарегистрированные за пределами США. (markettwits)
Binance запустит курс по блокчейну в ВУЗах Казахстана.
Эдвард Сноуден предложил свою кандидатуру на пост нового CEO Twitter🤔
☝🏻Пользователи требуют отставки Илона Маска с поста главы Twitter — следует из недавнего опроса на странице миллиардера в социальной сети.
В ответ на это Маск, опубликовал новые многозначительный пост гласивший «Вопрос не в том, чтобы найти генерального директора, вопрос в том, чтобы найти генерального директора, который сможет сохранить Twitter.»
🔻Следом за этим бывший сотрудник АНБ и ЦРУ США — Эдвард Сноуден предложил свою кандидатуру на этот пост.
«Я принимаю оплату в биткоине», — написал Сноуден в ответе. 😎
(black triangle)
☝🏻Пользователи требуют отставки Илона Маска с поста главы Twitter — следует из недавнего опроса на странице миллиардера в социальной сети.
В ответ на это Маск, опубликовал новые многозначительный пост гласивший «Вопрос не в том, чтобы найти генерального директора, вопрос в том, чтобы найти генерального директора, который сможет сохранить Twitter.»
🔻Следом за этим бывший сотрудник АНБ и ЦРУ США — Эдвард Сноуден предложил свою кандидатуру на этот пост.
«Я принимаю оплату в биткоине», — написал Сноуден в ответе. 😎
(black triangle)
Смотрю на этот рынок. Какое конченное недоразумение. Цена может стоять минуты или десятки минут на одном уровне вплоть до центов 🤦🏼♂️ движения не органичные рыночные а тупо флет и потом фейк памп / дамп. Такое ощущение что осталось пара инвалидов и жулик маркет Мейкер на рынке
Уже золотое правило, если скам памп большой, то значит вначале скам дамп маленький и наоборот. Это не рынок а какой напёрсточник против тебя играет
Клавиатуры пишут всё, что вы набрали в досье на вас.
This media is not supported in your browser
VIEW IN TELEGRAM
США - главный террорист по всему миру во все времена.
США пытаются стать главным мировым оценщиком и назначать цены на ресурсы во всем мире.
Оценка нефти и газа и прочих ресурсов в любой валюте, кроме BTC или хотя бы RUB - является преступлением.
Forwarded from Obval Obnal
Качественный треугол и поразительная рукожопость обменника с клиентом. Довольно известный обменник в сити, клиент Анна, которая уже проводили с ним несколько сделок, списывается на обмен 87к usdt и отправляет сына. Сын приезжает в сити,сотрудники обменника расчехляют лапатник,пересчитывают перед лицом бабки. Анна отправляет всю сумму сразу, без тестового перевода. Дальше начинается драмма, т.к, деньги не пришли. Анна в ахуе, понимает что попала в скам и начинает прессовать обменник. В течении часа, в сити подлетает оперативная группа разъярённых чеченцев, охранники начинают махать стволами, чеченцы начинают махать стволами, всё друг друга винят, но по-прежнему нихуя не понятно. Ну и дальше, в импровизированном арбитраже, криптаны выясняют ряд наитупейших деталей. Первое - обменник @BSchange имел ранее операторский аккаунт @Currency_Agent (с которого долгое время вел всю свою деятельность, набирал отзывы и клиентов) - внезапно переезжает на другой акк @BSCashOperator, созданный в конце лета. Переезд случился 29го ноября, о чем обменник оповестил в личку некоторое количество клиентов. При этом, обменник оставляет ник Currency_Agent свободным и его тут же занимает скамер. Но и это ещё не самая большая тупость. Обменник, в описании нового профиля BSCashOperator, оставляет ссылку на свой старый аккаунт Currency_Agent ! Ссылку на фейк, которым управляет скамер. Что замечают криптаны по ходу арбитража, в чате. Ну и естественно,обменик осознав как именно обосрался, начинает все удалять и чистить. Казалось бы, вина очевидна, обменник скамнул и начинает вилять жопой. Но дальше криптаны натыкаются на ряд тупейших действий со стороны клиента Анна. Начать надо с того, что в одну из прошлых встреч, люди Анны забыли в прихожей этого же обменника только что купленные 50к usd. Просто забыли и уехали. Обменник позвонил и любезно предложил вернуться её людям за деньгами. Далее, сама Анна, как оказалось, еще с лета, ведёт переписку по сделкам именно с новым аккаунтом BSCashOperator. Есть видео пруф. Как, зачем и почему вдруг она решила вести переписку с Currency_Agent, с которым ранее она сделок никогда не проводила, да ещё и отправила неизвестному акку деньги - не понятно. Будь Анна чуть умнее, гнула бы линию обвинения за факт размещения фейк ссылки в профиле обменника. Ведь на её месте мог оказаться любой клиент. Но она сама же, по ходу разбирательства, даёт всем понять, что отправила деньги аккаунту, с которым раньше дел не имела. Ну и далее уже мы выяснили, что скамер, завладевший акком устроил качественный треугольник. С фейк акка Currency_Agent , скамер вел переписку с Анной и договорился о встрече. Далее, он сделал клон страницы Анны и с него, вёл переписку с официальным акком обменника BSCashOperator. Таким образом он организовал их встречу и в нужный момент, прислал свой кошелёк, а получив деньги - почистил переписку с Анной, оставив тем самым её практически без доказательств. Были версии что фейк акк мог управляться и Обменником, и Анной. Но т.к оба в ходе арбитража, были уличены в неприкрытой тупости (первый не удалил ссылку на фейк, вторая спалилась что вела переписку с незнакомыми контактом), а это никак не соответствует интересам человека который скамит, чат пришёл к выводу что кидок был третьим залетным лицом, граммотно воспользовавшимся ситуацией. Ситуация осложнена тем, что от обоих участников конфликта не добиться вменяемых ответов, оба юлят и игнорируют добрую половину вопросов. А анна, как подобает темпераментой женщине, частенько пишет полный сумбур, который вообще не понятен и только сбивает всех с толку. Так же, в деле осталось белые пятна - например не понятно как скамер узнал во что был одет сын Анны, когда обменник его встречал или как он узнал конкретный промежуток времени, с точностью до минуты, когда нужно выслать свой кошелёк. По логике вещей, скамер должен был находиться в этот момент, в офисе. Или где-то рядом. Обменник писал, что в этот момент у него менялся второй клиент. Это мог быть например он или кто-то из сотрудников, или кто-то из людей Анны. Достоверно не определить.
Forwarded from Obval Obnal
По итогу арбитража вина за потерю средств была возложена на клиента Анну, т.к вела переписку с фейком
Forwarded from Obval Obnal
P.S От себя добавлю, что вопреки мнению чата, с итоговым решением не согласен. Почему именно Анна решила переписываться с фейком, действительно не понятно, но т.к ссылка на него указана в официальном аккаунте обменника, ответственность это с них не снимает. У скамеров есть такое понятие, как Социальная Инженерия. Списаться и договориться о сделке с нового аккаунта, контакты которого указаны у обменника - дело не хитрое. Методов СИ для этого достаточно. Просто от Анны вменяемых ответов не добиться, переписывался с ней лично,но и сам обменника погорел ровно на том же. Обменник так же вел переписку с фейком Анны, новым акком, где отсутствовала история чата. Хотя клиента он знал. Но тоже не заметил наеба. Виноваты в этом оба, в равной степени. Но вот оставить у себя в профиле ссылку на фейк акк мошенника - это пиздецкий проеб. Такое не замнешь. И одному крипто богу известно, сколько могло бы быть пострадавших, если бы не этот случай.
Считаю, что обменник больше виновен в этой ситуации и должен возместить ущерб. Ну как минимум половину. Либо решиться своей репутации, ибо нахуй такие блять обменники нужны. Идите стричь бороды в барбершопы
Считаю, что обменник больше виновен в этой ситуации и должен возместить ущерб. Ну как минимум половину. Либо решиться своей репутации, ибо нахуй такие блять обменники нужны. Идите стричь бороды в барбершопы