Level Up — я иду в Ген. Прокуратуру

Направил письмо в Генеральную Прокуратуру с требованием инициировать проверку в отношении А. А. Жарова и Роскомнадзора по факту нарушения законодательства об обращениях граждан, потребовал привлечь Роскомнадзор к ответственности и обязать предоставить ответ на отправленное мной ранее обращение. Если и это не поможет (ха-ха) — пойдем еще дальше.

Вполне вероятно, что эта ситуация будет доведена до судебны разбирательств, ибо иллюзий по поводу того, как охотно работают с обращениями граждан наши органы, я не питаю.

Поддержать этот кейс можно здесь:
https://litreev.com/donate

⚡️ Миллионы беспроводных чипов Wi-Fi оказались критически уязвимыми

Эксперты американской компании из Беркли Embedi, специализирующейся на информационной безопасности сообщили о ряде критических уязвимостей в операционной системе реального времени (RTOS) ThreadX. ThreadX является одним из самых распространенных вариантов прошивки для беспроводных чипов, широко используется в продуктах компаний Broadcom, Marvell, Realtek и многих других.

Как выяснилось, ПО содержит уязвимости связанные с повреждением памяти (Memory Corruption Vulnerability), одна из таких уявзимостей не требует никаких действий пользователя для эксплуатации и может быть использована во время сканирования доступных сетей для получения контроля над устройству жертвы. Злоумышленнику достаточно сформировать вредоносный пакет и отправить его на устройство пользователя — при следующем сканировании Wi-Fi сетей устройство будет скомпрометировано.

Наглядно эксплуатацию уязвимости продемонстрировали на основе чипа Marvell Avastar 88W8897, что используется в современных игровых консолях Microsoft и Sony, многочисленных ноутбуках, смартфонах и планшетах.

Более подробно в блоге самой Embedi:
https://embedi.org/blog/remotely-compromise-devices-by-using-bugs-in-marvell-avastar-wi-fi-from-zero-knowledge-to-zero-click-rce/

🤷‍♂️ Рубрика #поорать:

Чтобы вы понимали, кто нам законы пишет: на официальном сайте Яровой (автора того самого пакета законов, что якобы "про безопасность в интернетах" и "защиту от терроризма") абсолютно детсадовские XSS-уязвимости. Уже не говорю о том, что сам сайт просто истекает сообщениями об ошибках из всех щелей.

🚨 Об очередной "критической уязвимости" в macOS Mojave и журналистах.

Мир рухнул, Apple снова облажалась. Очередной 18-летний сверхразум нашел ужасающую уязвимость в операционной системе macOS Mojave и украл все пароли. Акции упали до исторического минимума и стоят теперь дешевле грязи, Тим Кук вырывает оставшиеся волосы, а датацентры компании в Купертино перешли на резервные источники питания — вращающегося в гробу Джобса.

Если вам тоже кажется это сомнительным, то предлагаю вам прочитать мою заметку по поводу последних новостей — там коротко о том, почему журналисты скатились и обленились в край, а подавляющее большинство читателей жрут всё, чем их кормят.

https://goo.gl/5diFZ2

⚡️ Через три минуты на Эхе Петербурга — технический директор Vee Security Артём Тамоян (@iloveartem) о "перспективах" интернет-суверенитета. Присоединяйтесь!

Прямой эфир: https://www.youtube.com/watch?v=c4yzwpGyyoA

⚡️Уязвимость ВКонтакте

Сегодняшняя новость номер один посвящена социальной сети номер два — во ВКонтакте во всю эксплуатируется серьезная уязвимость. На сотнях страниц различных организаций появились странные посты. Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше. Уязвимость до сих пор не исправлена.

Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.

Сам скрипт:
https://github.com/rzhaka/prikol/blob/master/yrap.js

А это вообще полный смех и издёвка со стороны социальной сети. Либо там работают конченные имбецилы, либо троли. На вредоносной странице исполнялся (!!!) произвольный (!!!) JavaScript-код. Опубликовать пост на странице — не самое страшное, что могло произойти. С помощью этой уязвимости можно было получить прямой и неограниченный доступ к любым данным аккаунта — от личной переписки до скрытых фотографий. Никому не известно, как была (и была ли) эксплуатирована эта дыра ранее — вполне допускаю, что злоумышленники могли, например, скомпрометировать переписку сотен пользователей и долго оставаться незамеченными.

О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy).

Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.

Интернет-банки, MTProto и Роскомнадзор — эксперименты с DPI?

Пост обновлен 1 марта 2019 г. в 12:36

Вчера многие клиенты крупных российских банков, таких как ВТБ, «Открытие» и Россельхозбанк, жаловались на недоступность мобильных приложений для дистанционного банковского обслуживания. Многие медиаресурсы сообщили о причастности Роскомнадзора к этому инциденту. Они также сообщили, что сбой может быть связан с попыткой Роскомнадзора блокировать Telegram по-новому — через DPI. Мол, выявлять пакеты шифрованного протокола MTProto по сигнатурам и блокировать весь обмен трафика по такому протоколу. Большинство их них ссылались на публикацию Reuters, которой не было.

В Роскомнадзоре, разумеется, отвергли все обвинения, сообщив, что они "не включали IP-адреса приложений ВТБ, Открытия и Россельхозбанка в реестр заблокированных ресурсов".
В пресс-службах банков тоже от такой версии открестились, объяснив недоступность своих сервисов "плановым обновлением программного обеспечения". Зато вчера, ближе к ночи мне написал сотрудник одного из упомянутых банков и сообщил, что "удивительно, что об обновлениях нашего ПО я узнаю от пресс-службы и СМИ". Он также добавил, что "ни один уважающий себя банк не будет обновлять программное обеспечение с каким-то downtime утром рабочего дня, когда все этим приложением пользуются". Более того, судя по всему, SMM-менеджеры того же ВТБ не были в курсе проходящего "обновления программного обеспечения" — в ответ на множество жалоб клиентов в Твиттере на недоступность мобильного банка они не сообщали о каких-либо проводимых технических работах и пытались решить проблемы каждого пользователя индивидуально.

Мы помним эксперимент, проводимый РКН в августе 2018-го года. Тогда, в ходе эксперимента по блокировке MTProto и SOCKS5 с помощью DPI, под раздачу попал (внезапно) Сбербанк Онлайн. В этот же раз всё куда прозаичнее. Изначально, честно признаться, я тоже предположил, что РКН действительно может быть причастен к произошедшему, ведь факт недоступности ДБО у банков действительно был. Более того, после беседы с моим подписчиком из упомянутого выше банка стало ясно, что никакого планового обновления ПО, о котором заявили пресс-службы, похоже, на вовсе не было. И здесь я охуел — еще веселее становится, если посмотреть на хронологию распространения информации в канале, прости господи, «Официальный Жаров». Как можно заметить, вброс про Reuters разошелся о-о-очень быстро. И самое забавное, что очень многие сразу это подхватили — Царьград, The Bell, Finanz и многие другие. Вот что выходит: РКН ни при делах, а банки сообщают о сбоях из-за плановых обновлений ПО о которых не знают даже сами сотрудники IT-департамента банка. Ситуацией удобно пользуются в медиапространстве, паразитируя на инфоповоде — потом эти шедевры будут читать тысячи их подписчиков (срань господня, даже меня угораздило наступить в это дерьмо). Складывается ощущение, что кто-то в очередной раз обосрался в банке и без всяких обновлений, уронив какую-то часть собственной инфраструктуры, а потом попытался дать этому какое-то внятное оправдание, пока, тем временем другие — сочиняли новости на несуществующем инфоповоде.

Мораль. Вроде как всегда понимаешь, что никогда нельзя никому верить, а бдительность всё равно подводит в самый неожиданный момент. Всегда проверяйте информацию вне зависимости от того, откуда она поступила.

«РКН мудаки, но давайте им давать * за то, что они действительно делали» (С)

⚡️ Митинг против изоляции российского интернета

В апреле прошлого года власть ускорила темпы наступления на свободный интернет: безосновательные уголовные дела, введение штрафов за VPN, полномасштабная война против права тайны частной жизни и защищённого мессенджера Telegram.

Уже тогда мы показали, на что мы способны вместе. Мы с командой Vee Security и десятки других ребят обеспечили инструментами для обхода блокировок всех людей в нашей стране и даже за её пределами.

Митинги за свободный интернет, организованные при поддержке Павла Дурова, собрали сотни тысяч людей вместе, в очередной раз доказав, что нам не всё равно.

Власть была унижена, попытка блокировки Telegram с треском провалилась, а интернет-цензор рвёт на голове волосы и бьется в истерике.

Теперь власть хочет отомстить. Если раньше они хотели заблокировать Telegram, то теперь их аппетиты выросли до размеров всего свободного российского интернета. Лживые ублюдки, требующие к себе уважения, пишут законопроекты, которые дадут власти возможность отрезать Россию от всемирной сети.

Мы не можем этого позволить.

Я призываю всех выходить на митинг против изоляции рунета 10 марта в 14:00 на проспект Сахарова в Москве. Никто не защитит вашу свободу кроме вас самих.

http://freeru.net

Друзья. Уже через 50 минут начнётся митинг против цифрового железного занавеса в России.

Если Вы в Москве — бросайте все дела и приезжайте.

Проспект Сахарова, 14:00.
За свободный интернет.

Трансляция происходящего на Сахарова:
https://www.youtube.com/watch?v=UI6pLSDaaZc

Если вы не в Москве или по каким-то очень уважительным причинам не можете прийти на митинг, то включайте Настоящее Время.

Где-то в 14:45-15:00 я буду в эфире, дам несколько коротких комментариев по поводу происходящего.

Сам эфир начнётся в 13:45, за 15 минут до начала митинга на Проспекте Сахарова в Москве.

Прямой эфир:
https://www.currenttime.tv/live/video/

Завтра в моей жизни начинается новая страница.

А этот плейлист будет как никогда кстати:
https://music.yandex.ru/users/alxdrlitreev/playlists/1003

Простая уязвимость в автомобильной сигнализации грозила угоном 3 млн машин в мире
https://3dnews.ru/983983

Специалисты по кибербезопасности британской компании Pen Test Partners обнаружили весьма опасную, хотя и досадную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых компаний ― российской Pandora и американской Viper (в Англии ― Clifford). Выявленная уязвимость в системе работы сигнализации, установленной на автомобили, позволила исследователям получить удалённый доступ к системам автомобиля и к данным, которые он мог выдавать. Поскольку уязвимость выявлена на этапе независимого закрытого тестирования, о ней сразу же сообщили компаниям-производителям сигнализации. К настоящему дню уязвимость, которая затрагивала порядка 3 млн автомобилей в мире, закрыта и не представляет угрозы. С помощью выявленной уязвимости любой мог получить доступ к удалённому кабинету авторизованного владельца транспортного средства. Недоработки в пользовательском интерфейсе на серверах поддержки позволяли подменить почтовый адрес пользователя любым другим адресом без авторизации и провести операцию сброса пароля с последующей отправкой пароля на адрес злоумышленника. Это оказалось сделать настолько легко, что исследователи назвали свой доклад «Угнать за 6 секунд».