34% организаций контролируют геолокацию удалённых сотрудников
«Первая волна» коронавируса заставила работодателей задуматься об организации защищенных сервисов для удаленной работы. Согласно недавнему опросу, организации прежде всего позаботились о безопасности каналов дистанционного взаимодействия: 90% компаний полностью или частично используют VPN для удаленной работы.
Много внимания уделяется контролю доступа к конфиденциальной информации: 52% организаций регулярно проверяют права и перечень ресурсов, доступных для удаленных пользователей. Более 40% работодателей осуществляют мониторинг и записывают действия сотрудников и подрядчиков, удаленно подключающихся к корпоративной инфраструктуре.
Компании следят не только за тем, что сотрудники делают в корпоративной сети, но и за их местоположением и количеством отработанного времени: 34% опрошенных контролируют геолокацию и ведут учет длительности удаленных сессий и интервалов работы.
Организации проверяют устройства, с которых сотрудники подключаются к инфраструктуре. 38% компаний оценивает состояние устройств пользователей в момент их подключения по VPN и отслеживает наличие обновлений безопасности ОС и антивируса, не допуская зараженный компьютер в сеть.
#новость
«Первая волна» коронавируса заставила работодателей задуматься об организации защищенных сервисов для удаленной работы. Согласно недавнему опросу, организации прежде всего позаботились о безопасности каналов дистанционного взаимодействия: 90% компаний полностью или частично используют VPN для удаленной работы.
Много внимания уделяется контролю доступа к конфиденциальной информации: 52% организаций регулярно проверяют права и перечень ресурсов, доступных для удаленных пользователей. Более 40% работодателей осуществляют мониторинг и записывают действия сотрудников и подрядчиков, удаленно подключающихся к корпоративной инфраструктуре.
Компании следят не только за тем, что сотрудники делают в корпоративной сети, но и за их местоположением и количеством отработанного времени: 34% опрошенных контролируют геолокацию и ведут учет длительности удаленных сессий и интервалов работы.
Организации проверяют устройства, с которых сотрудники подключаются к инфраструктуре. 38% компаний оценивает состояние устройств пользователей в момент их подключения по VPN и отслеживает наличие обновлений безопасности ОС и антивируса, не допуская зараженный компьютер в сеть.
#новость
Защита от ARP спуфинга
MITM атака посредством ARP-spoofing довольно проста в реализации и соответственно распространена. Она позволяет злоумышленнику просматривать, изменять и останавливать сетевой трафик на ПК жертвы, что может привести к компрометации паролей и другой важной информации.
Защититься от ARP спуфинга поможет простой скрипт shARP. Он работает в двух режимах: защитный и наступательный. Первый при обнаружении спуфера, отключает систему пользователя от сети и выводит MAC адрес злоумышленника. Второй режим поинтересней, процесс работы у него идентичный защитному, только при обнаружении спуфера скрипт дополнительно начинает посылать ему пакеты деаутентификации, тем самым не давая подключиться к сети вновь.
Установка
Скачиваем репозиторий с github
Помимо режимов в новой версии скрипта при запуске нужно указывать также тип сканирования. Их всего два: активный и пасивный. Первый используется, если систему большую часть времени простаивает и не занята передачей данных по сети. Второй наоборот лучше использовать если система взаимодействует с сетью.
Соответственно команда запуска защитного режима с активным сканирование выглядит так
MITM атака посредством ARP-spoofing довольно проста в реализации и соответственно распространена. Она позволяет злоумышленнику просматривать, изменять и останавливать сетевой трафик на ПК жертвы, что может привести к компрометации паролей и другой важной информации.
Защититься от ARP спуфинга поможет простой скрипт shARP. Он работает в двух режимах: защитный и наступательный. Первый при обнаружении спуфера, отключает систему пользователя от сети и выводит MAC адрес злоумышленника. Второй режим поинтересней, процесс работы у него идентичный защитному, только при обнаружении спуфера скрипт дополнительно начинает посылать ему пакеты деаутентификации, тем самым не давая подключиться к сети вновь.
Установка
Скачиваем репозиторий с github
clone https://github.com/europa502/shARPПереходим в директорию со скриптом и ставим на него права
sharpИспользование
◽️chmod +x shARP.sh
Помимо режимов в новой версии скрипта при запуске нужно указывать также тип сканирования. Их всего два: активный и пасивный. Первый используется, если систему большую часть времени простаивает и не занята передачей данных по сети. Второй наоборот лучше использовать если система взаимодействует с сетью.
Соответственно команда запуска защитного режима с активным сканирование выглядит так
./shARP.sh -d -a <сетевой интерфейс eth0 или wlan0>Защитный режим с пассивным сканированием
./shARP.sh -d -p wlan0Наступательный режим с активным сканированием
./shARP.sh -o -a wlan0И наконец наступательный режим с пассивным сканированием
◽️bash ./shARP.sh -o -p wlan0
Навигационное приложение Waze от Google позволяет следить за пользователями
Исследователь безопасности Питер Гаспер (Peter Gasper) из компании DevOps обнаружил уязвимость в популярном навигационном приложении Waze от Google. Проблема позволяет точно отслеживать передвижение ближайших водителей в режиме реального времени и идентифицировать их.
Waze использует собранную из краудсорсинга информацию, предназначенную для предупреждения водителей о препятствиях, которые могут мешать им легко добираться на работу, например, заторы на дорогах, строительные работы, аварии и пр., а затем предлагает альтернативные и более быстрые маршруты для обхода этих препятствий. Приложение также отображает местоположение других водителей в непосредственной близости по GPS.
Гаспер обнаружил, что Waze не только отправляет пользователю координаты других ближайших водителей, но также не меняет со временем идентификационные номера, связанные с иконками других пользователей. Создав редактор кода и разработав расширение для Chromium для сбора ответов JSON из API, эксперту удалось визуализировать перемещение пользователей между районами города и даже самими городами.
Специалист сообщил о своей находке Google в декабре прошлого года. Компания исправила проблему и выплатила специалисту 1337 долларов США.
#новость
Исследователь безопасности Питер Гаспер (Peter Gasper) из компании DevOps обнаружил уязвимость в популярном навигационном приложении Waze от Google. Проблема позволяет точно отслеживать передвижение ближайших водителей в режиме реального времени и идентифицировать их.
Waze использует собранную из краудсорсинга информацию, предназначенную для предупреждения водителей о препятствиях, которые могут мешать им легко добираться на работу, например, заторы на дорогах, строительные работы, аварии и пр., а затем предлагает альтернативные и более быстрые маршруты для обхода этих препятствий. Приложение также отображает местоположение других водителей в непосредственной близости по GPS.
Гаспер обнаружил, что Waze не только отправляет пользователю координаты других ближайших водителей, но также не меняет со временем идентификационные номера, связанные с иконками других пользователей. Создав редактор кода и разработав расширение для Chromium для сбора ответов JSON из API, эксперту удалось визуализировать перемещение пользователей между районами города и даже самими городами.
Специалист сообщил о своей находке Google в декабре прошлого года. Компания исправила проблему и выплатила специалисту 1337 долларов США.
#новость
ZeroNet. Пиринговый интернет
Децентрализованная сеть ZeroNet созданная в 2015 обрела особую популярность в Китае. С её помощью стало возможным обходить "Золотой щит" - систему фильтрации содержимого интернета в КНР. Написанное полностью на Python, ПО ZeroNet использует протокол BitTorrent для обмена файлами и ЭЦП для подтверждения авторства сообщений.
Установка
Установить Kali Linux.
Перед установкой ПО ZeroNet потребуется скачать несколько пакетов для python
Перейдя в созданную папку открываем ZeroNet командой
Оказавшись на главной странице, можно перейти к списку сайтов. Помимо китайских ресурсов, есть также английские и русские. Из главных стоит отметить новостной агрегатор Zero News, видеохостинг ZeroTube и даже p2p почту Zero Mail.
Децентрализованная сеть ZeroNet созданная в 2015 обрела особую популярность в Китае. С её помощью стало возможным обходить "Золотой щит" - систему фильтрации содержимого интернета в КНР. Написанное полностью на Python, ПО ZeroNet использует протокол BitTorrent для обмена файлами и ЭЦП для подтверждения авторства сообщений.
Установка
Установить Kali Linux.
Перед установкой ПО ZeroNet потребуется скачать несколько пакетов для python
apt-get updateДалее скачиваем архив с клиентом и распаковываем
◽️sudo apt-get install msgpack-python python-gevent
https://github.com/HelloZeroNet/ZeroNet/archive/master.tar.gzИспользование
◽️tar xvpfz master.tar.gz
Перейдя в созданную папку открываем ZeroNet командой
zeronet.pyГотово, мы подключились к сети. Теперь нужно перейти в браузер и вписать в поисковую строку
Оказавшись на главной странице, можно перейти к списку сайтов. Помимо китайских ресурсов, есть также английские и русские. Из главных стоит отметить новостной агрегатор Zero News, видеохостинг ZeroTube и даже p2p почту Zero Mail.
Хакер подобрал пароль к твиттеру Дональда Трампа с пятой попытки
Эксперт по кибербезопасности, хакер из Нидерландов Виктор Геверс уверяет, что снова смог войти в твиттер президента США. В прошлый раз у него это получилось в 2016-м. Об успехе хакера 22 октября пишет Volkskrant.
По данным издания, Геверс подобрал пароль с пятой попытки — оказалось, что это «maga2020!” - лозунг предвыборной кампании Трампа (Make America Great Again). Причем хакер говорит, что система не запросила подтверждения после четырех попыток ввода пароля. На аккаунте не была установлена двухфакторная аутентификация. Геверс сообщил о своем успехе в ЦРУ, ФБР и сам Twitter. Спустя день у аккаунта появились дополнительные меры безопасности, а через два дня ему принесли благодарность спецслужбы, уверяет хакер.
При этом в мировых СМИ сомневаются, что аккаунт президента США был так слабо защищен. Хотя в 2016-м подобранный пароль также не отличался оригинальностью - «yourefired» («ты уволен»).
Официальный представитель Twitter заявил, что у него нет свидетельств, которые подтверждают публикацию Volkskrant.
#новость
Эксперт по кибербезопасности, хакер из Нидерландов Виктор Геверс уверяет, что снова смог войти в твиттер президента США. В прошлый раз у него это получилось в 2016-м. Об успехе хакера 22 октября пишет Volkskrant.
По данным издания, Геверс подобрал пароль с пятой попытки — оказалось, что это «maga2020!” - лозунг предвыборной кампании Трампа (Make America Great Again). Причем хакер говорит, что система не запросила подтверждения после четырех попыток ввода пароля. На аккаунте не была установлена двухфакторная аутентификация. Геверс сообщил о своем успехе в ЦРУ, ФБР и сам Twitter. Спустя день у аккаунта появились дополнительные меры безопасности, а через два дня ему принесли благодарность спецслужбы, уверяет хакер.
При этом в мировых СМИ сомневаются, что аккаунт президента США был так слабо защищен. Хотя в 2016-м подобранный пароль также не отличался оригинальностью - «yourefired» («ты уволен»).
Официальный представитель Twitter заявил, что у него нет свидетельств, которые подтверждают публикацию Volkskrant.
#новость
Обход Cloudflare
Cloudflare - это сервис для ускорения работы сайта и защиты его от DDOS атак. Получил широкое распространение благодаря своей условной бесплатности.
Cloudflare заменяет основной ip адрес сайта, тем самым не давая провести DDOS атаку, ведь если атаковать маскировочный ip система начнет отражать весь подозрительный трафик. Однако Cloudflare не является панацеей, и есть огромное количество способов получить коренной ip: через поддомены, историю домена или DNS и т.д. Автоматизирует все эти способы инструмент HatCloud.
Установка
Устанавливаем Kali Linux.
Скачиваем репозиторий с github
Запускаем проверку командой
Cloudflare - это сервис для ускорения работы сайта и защиты его от DDOS атак. Получил широкое распространение благодаря своей условной бесплатности.
Cloudflare заменяет основной ip адрес сайта, тем самым не давая провести DDOS атаку, ведь если атаковать маскировочный ip система начнет отражать весь подозрительный трафик. Однако Cloudflare не является панацеей, и есть огромное количество способов получить коренной ip: через поддомены, историю домена или DNS и т.д. Автоматизирует все эти способы инструмент HatCloud.
Установка
Устанавливаем Kali Linux.
Скачиваем репозиторий с github
clone https://github.com/HatBashBR/HatCloudПереходим в созданную директорию и ставим права на исполняемый файл
HatCloud/Использование
chmod +x hatcloud.rb
Запускаем проверку командой
hatcloud.rb –b <домен сайта>Спустя некоторое время программа выведет всю полученную информацию. Помимо основного ip, может также быть получена локация сервера, название хостинга, название организации и т.д.
Как подобрать пароль к зашифрованному архиву
Потребность в получении пароля к архиву достаточно распространена не только у злоумышленников, но и у обычных пользователей. Поскольку в стандартных алгоритмах архивации rar и zip до сих пор не было найдено уязвимостей, единственный верный способ получить пароль - подобрать его.
Для этого предназначена утилита ZIP-Password-BruteForcer. Она написана на Python, поэтому может работать как на Windows, так и на Linux.
Установка
Рассмотрим установку на Kali Linux, который в свою очередь можно скачать по ссылке.
Клонируем репозиторий командой
Переходим в созданную директорию и запускаем скрипт
#хакинг
Потребность в получении пароля к архиву достаточно распространена не только у злоумышленников, но и у обычных пользователей. Поскольку в стандартных алгоритмах архивации rar и zip до сих пор не было найдено уязвимостей, единственный верный способ получить пароль - подобрать его.
Для этого предназначена утилита ZIP-Password-BruteForcer. Она написана на Python, поэтому может работать как на Windows, так и на Linux.
Установка
Рассмотрим установку на Kali Linux, который в свою очередь можно скачать по ссылке.
Клонируем репозиторий командой
clone https://github.com/The404Hacking/ZIP-Password-BruteForcerИспользование
Переходим в созданную директорию и запускаем скрипт
ZIP-Password-BruteForcerПеред нами появится консольное меню. Для запуска атаки перебором нужно прописать 1. Далее вводим путь к зашифрованному zip архиву и словарю, нажимаем Enter. Процесс будет запущен, и в зависимости от мощности процессора скорость может достигать 150 вариаций в секунду. При успешном подборе пароль отобразится в терминале.
◽️python ZIP-Password-BruteForcer.py
#хакинг
США задействует ИИ технологии Google для отслеживания мигрантов
В августе 2020 года Служба таможенного и пограничного контроля США приняла предложение об использовании технологии Google Cloud. Она облегчает работу искусственного интеллекта, разработанного INVNT. Среди других проектов INVNT работает над технологиями для новой «виртуальной» стены вдоль южной границы, которая объединяет вышки наблюдения и дроны, покрывая территорию датчиками для обнаружения несанкционированного проникновения в страну.
В контракте указано, что сотрудничество СВР (служба военной разведки) и Google осуществляется с помощью фирмы Thundercat Technology — торгового посредника, позиционирующего себя как ведущего поставщика информационных технологий для федеральных контрактов. Документы показывают, что технология Google для CBP будет использоваться в сочетании с работой, проделанной Anduril Industries, стартапом в области оборонных технологий.
Подход Anduril Industries резко контрастирует с подходом Google. В 2018 году компания опубликовала список «Принципов ИИ», в котором провозглашалась социальная польза Google, разработка методов защиты и безопасности. В этом документе руководство Google обозначило, что не собирается применять искусственный интеллект для создания оружия, организации наблюдения, нарушающего международные признанные нормы, технологий, которые могут принести вред.
«Этот отчет показывает, что Google устраивает, что Anduril и CBP следят за мигрантами с помощью их облачного ИИ, несмотря на то, что их Принципы ИИ утверждают, что не причиняют вреда и не нарушают права человека», — сказал Джек Поулсон, основатель Tech Inquiry и бывший научный сотрудник Google, который покинул компанию из-за этических соображений.
#новость
В августе 2020 года Служба таможенного и пограничного контроля США приняла предложение об использовании технологии Google Cloud. Она облегчает работу искусственного интеллекта, разработанного INVNT. Среди других проектов INVNT работает над технологиями для новой «виртуальной» стены вдоль южной границы, которая объединяет вышки наблюдения и дроны, покрывая территорию датчиками для обнаружения несанкционированного проникновения в страну.
В контракте указано, что сотрудничество СВР (служба военной разведки) и Google осуществляется с помощью фирмы Thundercat Technology — торгового посредника, позиционирующего себя как ведущего поставщика информационных технологий для федеральных контрактов. Документы показывают, что технология Google для CBP будет использоваться в сочетании с работой, проделанной Anduril Industries, стартапом в области оборонных технологий.
Подход Anduril Industries резко контрастирует с подходом Google. В 2018 году компания опубликовала список «Принципов ИИ», в котором провозглашалась социальная польза Google, разработка методов защиты и безопасности. В этом документе руководство Google обозначило, что не собирается применять искусственный интеллект для создания оружия, организации наблюдения, нарушающего международные признанные нормы, технологий, которые могут принести вред.
«Этот отчет показывает, что Google устраивает, что Anduril и CBP следят за мигрантами с помощью их облачного ИИ, несмотря на то, что их Принципы ИИ утверждают, что не причиняют вреда и не нарушают права человека», — сказал Джек Поулсон, основатель Tech Inquiry и бывший научный сотрудник Google, который покинул компанию из-за этических соображений.
#новость
Угон сертификата подписи Microsoft
Code Signing сертификат - это фактически подпись разработчика программного обеспечения, которая подтверждает, что с момента её наложения код никоим образом не изменялся. Наличие Code Signing сертификата у определенной программы повышает доверие к ней со стороны Windows.
Если же цифровой подписи у приложения нет, то при его запуске начиная с Windows XP будет выводиться предупреждение. Зная этот факт злоумышленники начали копировать сертификаты с безопасных программ на вредоносные. Широкую популярность этот способ получил благодаря группировке C@T, которая в марте 2015 года запустила на форуме Antichat продажу сертификатов Microsoft Authenticode. По их заявлениям подпись вируса таким сертификатом повышает количество установок на 30-40%.
Как это все реализуется на практике? Существует инструмент SigThief, который копирует подпись с одного исполняемого файла на другой. Рассмотрим его поподробней.
Установка
Данный эксплоит работает на Windows.
Скачиваем репозиторий по ссылке и разархивируем.
Использование
Для подписания вредоносного файла потребуется файл-донор. Им может выступать любая системная программа Windows с сертификатом, наличие которого можно проверить в "Свойствах", вкладка "Цифровые подписи".
Для копирования подписи вводим команду
#хакинг
Code Signing сертификат - это фактически подпись разработчика программного обеспечения, которая подтверждает, что с момента её наложения код никоим образом не изменялся. Наличие Code Signing сертификата у определенной программы повышает доверие к ней со стороны Windows.
Если же цифровой подписи у приложения нет, то при его запуске начиная с Windows XP будет выводиться предупреждение. Зная этот факт злоумышленники начали копировать сертификаты с безопасных программ на вредоносные. Широкую популярность этот способ получил благодаря группировке C@T, которая в марте 2015 года запустила на форуме Antichat продажу сертификатов Microsoft Authenticode. По их заявлениям подпись вируса таким сертификатом повышает количество установок на 30-40%.
Как это все реализуется на практике? Существует инструмент SigThief, который копирует подпись с одного исполняемого файла на другой. Рассмотрим его поподробней.
Установка
Данный эксплоит работает на Windows.
Скачиваем репозиторий по ссылке и разархивируем.
Использование
Для подписания вредоносного файла потребуется файл-донор. Им может выступать любая системная программа Windows с сертификатом, наличие которого можно проверить в "Свойствах", вкладка "Цифровые подписи".
Для копирования подписи вводим команду
sigthief.py -i <файл с подписью> -t <вирус> -o <куда и под каким названием сохранить подписанный файл>Для примера подпишем RAT
sigthief.py -i C:\Windows\System32\consent.exe -t rat.exe -o notrat.exeГотово! Наличие подписи можно проверить в свойства созданного файла.
#хакинг
Facebook возглавила рейтинг компаний, собирающих максимум данных о пользователях
Британский производитель антивирусных решений Clario составил рейтинг компаний, собирающих данные пользователей. Речь идет не о стандартных трекинговых технологиях, таких как cookie-файлы, использующиеся для отслеживания посещаемых пользователями сайтов и покупаемых ими товаров с целью таргетинга. Clario создала подробную инфографику, демонстрирующую, какую в точности информацию о пользователях собирают соцсети, online-магазины, стриминговые сервисы и т.д. либо сразу после того, как пользователь на них подписался, либо с течением времени.
Специалисты Clario определили 32 критерия для персональных данных, интересующих компании. Сюда входят электронные адреса, полные имена, сведения о здоровье и близких родственниках, девичью фамилию матери и место рождения. Некоторым компаниям также интересен рост и вес пользователя. Как правило, такие данные запрашивают фитнес-приложения, но есть как минимум один финансовый сервис, тоже запрашивающий подобные сведения. Некоторым приложениям также нужны данные о работе, в том числе о зарплате и прошлых местах работы.
Больше всего данных о пользователях собирает компания Facebook и ее «дочка» Instagram. Из всех 32 критериев данных Facebook собирает 70,59%. Конечно, они нужны компании не только для того, чтобы улучшить опыт пользователей соцсети, но и для таргетированной рекламы. Instagram собирает 58,82% данных, и в отличие от Facebook ее не интересуют данные о расе, семейном положении и сексуальной ориентации.
За Facebook и Instagram следуют приложения для знакомств Tinder и Grindr. Их не интересует столько подробностей о пользователях, как Facebook, зато им нужно знать их рост и подробности о банковских счетах.
#новость
Британский производитель антивирусных решений Clario составил рейтинг компаний, собирающих данные пользователей. Речь идет не о стандартных трекинговых технологиях, таких как cookie-файлы, использующиеся для отслеживания посещаемых пользователями сайтов и покупаемых ими товаров с целью таргетинга. Clario создала подробную инфографику, демонстрирующую, какую в точности информацию о пользователях собирают соцсети, online-магазины, стриминговые сервисы и т.д. либо сразу после того, как пользователь на них подписался, либо с течением времени.
Специалисты Clario определили 32 критерия для персональных данных, интересующих компании. Сюда входят электронные адреса, полные имена, сведения о здоровье и близких родственниках, девичью фамилию матери и место рождения. Некоторым компаниям также интересен рост и вес пользователя. Как правило, такие данные запрашивают фитнес-приложения, но есть как минимум один финансовый сервис, тоже запрашивающий подобные сведения. Некоторым приложениям также нужны данные о работе, в том числе о зарплате и прошлых местах работы.
Больше всего данных о пользователях собирает компания Facebook и ее «дочка» Instagram. Из всех 32 критериев данных Facebook собирает 70,59%. Конечно, они нужны компании не только для того, чтобы улучшить опыт пользователей соцсети, но и для таргетированной рекламы. Instagram собирает 58,82% данных, и в отличие от Facebook ее не интересуют данные о расе, семейном положении и сексуальной ориентации.
За Facebook и Instagram следуют приложения для знакомств Tinder и Grindr. Их не интересует столько подробностей о пользователях, как Facebook, зато им нужно знать их рост и подробности о банковских счетах.
#новость
Хозяйка Tesla издевалась над угонщиками через приложение на смартфоне
Этот случай - пример того, как технологии удалённого доступа могут помочь отыскать и немного поиздеваться над угонщиками электрокара Tesla.
Tesla Model 3 просигнализировала владелице Аннабель Бретт о том, что в салон её машины проникли. Бретт не растерялась и отправилась в погоню за злоумышленниками, по пути издеваясь над ними через приложение на смартфоне.
После того, как Аннабель получила уведомление через приложение Tesla Mobile, она отправилась в гараж, где не обнаружила своего электрокара. Приложение также позволяет отследить местоположение машины, чем и воспользовалась потерпевшая, поехав на автомобиле знакомого вместе с ним за угонщиками.
Опять же через Tesla Mobile Аннабель активировала режим "Valet Mode", который позволяет ограничить максимальную скорость на отметке 112 км/ч, а также включать и выключать свет, управлять электростеклоподъёмниками, клаксоном.
Такой психологической атаки преступники не выдержали, остановились и покинули Tesla Model 3. Они так спешили, что один из них оставил в электрокаре водительское удостоверение. Доказать, что оно принадлежит злоумышленнику, не составит труда, ведь у машин Tesla есть режим "Sentry Mode", который включает запись окружающей обстановки в случае угрозы совершения неправомерных действий со стороны окружающих.
#новость
Этот случай - пример того, как технологии удалённого доступа могут помочь отыскать и немного поиздеваться над угонщиками электрокара Tesla.
Tesla Model 3 просигнализировала владелице Аннабель Бретт о том, что в салон её машины проникли. Бретт не растерялась и отправилась в погоню за злоумышленниками, по пути издеваясь над ними через приложение на смартфоне.
После того, как Аннабель получила уведомление через приложение Tesla Mobile, она отправилась в гараж, где не обнаружила своего электрокара. Приложение также позволяет отследить местоположение машины, чем и воспользовалась потерпевшая, поехав на автомобиле знакомого вместе с ним за угонщиками.
Опять же через Tesla Mobile Аннабель активировала режим "Valet Mode", который позволяет ограничить максимальную скорость на отметке 112 км/ч, а также включать и выключать свет, управлять электростеклоподъёмниками, клаксоном.
Такой психологической атаки преступники не выдержали, остановились и покинули Tesla Model 3. Они так спешили, что один из них оставил в электрокаре водительское удостоверение. Доказать, что оно принадлежит злоумышленнику, не составит труда, ведь у машин Tesla есть режим "Sentry Mode", который включает запись окружающей обстановки в случае угрозы совершения неправомерных действий со стороны окружающих.
#новость
В Москве могут быть взломаны 15000 камер видеонаблюдения
В Москве есть как минимум 15 тыс. скомпрометированных частных камер, сообщил «Известиям» источник в хакерских кругах. Это устройства в квартирах, магазинах, банках, торговых центрах и других частных организациях. О городской системе видеонаблюдения, об утечках из которой ранее сообщал ряд федеральных СМИ, речи не идет.
Доступ к 15 тыс. камер злоумышленники планируют использовать, чтобы создать альтернативную систему распознавания лиц, рассказал источник из хакерских кругов. Уязвимые частные камеры позволяет найти поисковик Shodan. Хакер, используя наводку поисковика, может получить доступ к камерам, пояснил независимый исследователь даркнета Олег Бахтадзе-Карнаухов.
Поток видео с камер можно провести через программы по идентификации лиц, доступные и в обычном интернете, рассказал он.
На записанные видео «натравливается» FindFace или другая технология подобного типа, а результат обработки записывается с каждой камеры в базу данных. Одновременно можно привязать людей к локации. Таким образом накапливаются отметки о гражданах. После того как база данных станет наполненной, хакеру нужно будет лишь загрузить туда для поиска фото искомого человека.
«Таким образом, есть возможность создать аналог ЕЦХД (единый центр хранения и обработки данных, куда попадают записи московской системы видеонаблюдения. — «Известия»)», — подытожил эксперт.
#новость
В Москве есть как минимум 15 тыс. скомпрометированных частных камер, сообщил «Известиям» источник в хакерских кругах. Это устройства в квартирах, магазинах, банках, торговых центрах и других частных организациях. О городской системе видеонаблюдения, об утечках из которой ранее сообщал ряд федеральных СМИ, речи не идет.
Доступ к 15 тыс. камер злоумышленники планируют использовать, чтобы создать альтернативную систему распознавания лиц, рассказал источник из хакерских кругов. Уязвимые частные камеры позволяет найти поисковик Shodan. Хакер, используя наводку поисковика, может получить доступ к камерам, пояснил независимый исследователь даркнета Олег Бахтадзе-Карнаухов.
Поток видео с камер можно провести через программы по идентификации лиц, доступные и в обычном интернете, рассказал он.
На записанные видео «натравливается» FindFace или другая технология подобного типа, а результат обработки записывается с каждой камеры в базу данных. Одновременно можно привязать людей к локации. Таким образом накапливаются отметки о гражданах. После того как база данных станет наполненной, хакеру нужно будет лишь загрузить туда для поиска фото искомого человека.
«Таким образом, есть возможность создать аналог ЕЦХД (единый центр хранения и обработки данных, куда попадают записи московской системы видеонаблюдения. — «Известия»)», — подытожил эксперт.
#новость
Бесплатный интернет при отрицательном балансе
В данном посте пойдет речь о уязвимости операторов, которая позволяет бесплатно использовать интернет при отрицательном балансе, с задействованием новых технологий перенаправления трафика.
А именно, мы воспользуемся приложением «TLS Tunne», которое позволяет генерировать уникальный внутренний IP-адрес для каждого подключенного пользователя, тем самым устанавливая связь между пользователями на одном сервере.
Стоит отметить, что исправить данную уязвимость удалось лишь МТС и Tele2. Ситуация с другими операторами потерпела немногие изменения, но они так и не научились фильтровать HTTP/2.
Настройка
1. Первым делом, требуется сменить APN, как это сделать, можно запросто найти в интернете.
2. Затем, устанавливаем на свой смартфон приложение «TLS Tunne».
3. Выбираем настройки под своего оператора и открываем их в приложении.
4. Нажимаем кнопку «Начать».
Спустя некоторое время, приложение автоматически выберет лучший сервер и подключиться к нему. Понять это можно по появившемуся ключику в строке состояния.
Если соединение не удается установить, то можно попробовать сменить порт. Так же, возможно стоит попробовать сменить сервер, благо их достаточное количество. Главное, в случае не удачи, просто экспериментировать.
📌https://4pda.ru/forum/index.php?showtopic=967323
#приложения #android
В данном посте пойдет речь о уязвимости операторов, которая позволяет бесплатно использовать интернет при отрицательном балансе, с задействованием новых технологий перенаправления трафика.
А именно, мы воспользуемся приложением «TLS Tunne», которое позволяет генерировать уникальный внутренний IP-адрес для каждого подключенного пользователя, тем самым устанавливая связь между пользователями на одном сервере.
Стоит отметить, что исправить данную уязвимость удалось лишь МТС и Tele2. Ситуация с другими операторами потерпела немногие изменения, но они так и не научились фильтровать HTTP/2.
Настройка
1. Первым делом, требуется сменить APN, как это сделать, можно запросто найти в интернете.
2. Затем, устанавливаем на свой смартфон приложение «TLS Tunne».
3. Выбираем настройки под своего оператора и открываем их в приложении.
4. Нажимаем кнопку «Начать».
Спустя некоторое время, приложение автоматически выберет лучший сервер и подключиться к нему. Понять это можно по появившемуся ключику в строке состояния.
Если соединение не удается установить, то можно попробовать сменить порт. Так же, возможно стоит попробовать сменить сервер, благо их достаточное количество. Главное, в случае не удачи, просто экспериментировать.
📌https://4pda.ru/forum/index.php?showtopic=967323
#приложения #android
Trape. Фишинг и слежка за пользователем
С эксплоитами для автоматизации фишинга, получения местонахождения по ссылке и так далее, знакомы многие. Но было бы удобно совместить всех их в один. Trape соответствует этой идее. Он создан для слежки за пользователем в браузере. Механика работы заключается в создании фейковой вебстраницы, при переходе пользователя на которую злоумышленник получает определенные данные(ip, локацию, ОС и т.д.) и может запускать удаленно JS скрипты, загружать файлы на целевой ПК и проводить фишинговые атаки. Рассмотрим Trape на практике.
Установка
Устанавливаем Kali Linux.
Скачиваем репозиторий с github
Для запуска Trape потребуется одна команда
При переходе пользователя по ссылке откроется сессия, которую можно будет просматривать в панели управления. Помимо информации о локации и устройстве, интересной фичей также является список сервисов, где зарегистрирован пользователь. Это можно использовать для проведения фишинговых атак. Благодаря возможности выполнять скрипты, которая находится во вкладке "Attacks Hook", можно посылать пользователю в режиме реального времени различные банеры, рекламу, реализовать кейлогер и т.д. Также можно перенаправить его на фишинговый сайт, указав ссылку на форму авторизации для автоматизированного копирования в поле перед кнопкой "Attack".
С эксплоитами для автоматизации фишинга, получения местонахождения по ссылке и так далее, знакомы многие. Но было бы удобно совместить всех их в один. Trape соответствует этой идее. Он создан для слежки за пользователем в браузере. Механика работы заключается в создании фейковой вебстраницы, при переходе пользователя на которую злоумышленник получает определенные данные(ip, локацию, ОС и т.д.) и может запускать удаленно JS скрипты, загружать файлы на целевой ПК и проводить фишинговые атаки. Рассмотрим Trape на практике.
Установка
Устанавливаем Kali Linux.
Скачиваем репозиторий с github
clone https://github.com/jofpin/trape.gitПереходим в созданную директорию и устанавливаем необходимые python библиотеки
-m pip install -r requirements.txtИспользование
Для запуска Trape потребуется одна команда
trape.py --url <ссылка на вебстраницу> --port <открытый порт>После переменной url можно ввести абсолютно любую вебстраницу, которая сможет удержать целевого пользователя. Скрипт автоматически сделает копию этой страницы и в итоге в терминале появятся две ссылки. Первая на фейковую вебстраницу, она отправляется жертве. Вторая - это админ панель, куда и будет приходить вся информация. Третье значение - это ключ доступа к админ панели.
При переходе пользователя по ссылке откроется сессия, которую можно будет просматривать в панели управления. Помимо информации о локации и устройстве, интересной фичей также является список сервисов, где зарегистрирован пользователь. Это можно использовать для проведения фишинговых атак. Благодаря возможности выполнять скрипты, которая находится во вкладке "Attacks Hook", можно посылать пользователю в режиме реального времени различные банеры, рекламу, реализовать кейлогер и т.д. Также можно перенаправить его на фишинговый сайт, указав ссылку на форму авторизации для автоматизированного копирования в поле перед кнопкой "Attack".
Google обнародовала данные об уязвимости нулевого дня в Windows до выхода её исправления
Исследователи из команды Google Project Zero, которые работают в сфере информационной безопасности, опубликовали данные об опасной уязвимости нулевого дня в Windows. Уязвимость может использоваться для выхода за пределы песочницы или повышения привилегий внутри системы. Примечательно, что Microsoft планирует устранить проблему только в следующем месяце, когда будет выпущено плановое обновление безопасности.
Речь идёт об уязвимости CVE-2020-17087, которая связана с работой одной из функций Windows Kernel Cryptography Driver (cng.sys) и относится к категории багов переполнения буфера. Исследователи также отмечают, что данная уязвимость активно используется злоумышленниками на практике. Подробности касательно данной уязвимости пока не раскрываются, но исследователи говорят о том, что выявленные случаи её эксплуатации никак не связаны с предстоящими выборами президента США.
Согласно имеющимся данным, уязвимость нулевого дня в Windows эксплуатировалась вместе с уязвимостью CVE-2020-15999 в браузере Google Chrome, которую несколько дней назад обнаружили специалисты Project Zero. Уязвимость Chrome применяется хакерами для выполнения вредоносного кода внутри браузера, тогда как уязвимость Windows делает возможным выход за пределы песочницы Chrome с последующим выполнением кода на уровне системы.
Проблема затрагивает разные версии программной платформы, начиная с Windows 7 и заканчивая недавними стабильными сборками Windows 10. Исправление для CVE-2020-17087 должно быть выпущено Microsoft 10 ноября вместе с плановым обновлением безопасности, выходящим в рамках программы Patch Tuesday. Что касается уязвимости Chrome, то она уже была устранена в последней версии обозревателя.
#новость
Исследователи из команды Google Project Zero, которые работают в сфере информационной безопасности, опубликовали данные об опасной уязвимости нулевого дня в Windows. Уязвимость может использоваться для выхода за пределы песочницы или повышения привилегий внутри системы. Примечательно, что Microsoft планирует устранить проблему только в следующем месяце, когда будет выпущено плановое обновление безопасности.
Речь идёт об уязвимости CVE-2020-17087, которая связана с работой одной из функций Windows Kernel Cryptography Driver (cng.sys) и относится к категории багов переполнения буфера. Исследователи также отмечают, что данная уязвимость активно используется злоумышленниками на практике. Подробности касательно данной уязвимости пока не раскрываются, но исследователи говорят о том, что выявленные случаи её эксплуатации никак не связаны с предстоящими выборами президента США.
Согласно имеющимся данным, уязвимость нулевого дня в Windows эксплуатировалась вместе с уязвимостью CVE-2020-15999 в браузере Google Chrome, которую несколько дней назад обнаружили специалисты Project Zero. Уязвимость Chrome применяется хакерами для выполнения вредоносного кода внутри браузера, тогда как уязвимость Windows делает возможным выход за пределы песочницы Chrome с последующим выполнением кода на уровне системы.
Проблема затрагивает разные версии программной платформы, начиная с Windows 7 и заканчивая недавними стабильными сборками Windows 10. Исправление для CVE-2020-17087 должно быть выпущено Microsoft 10 ноября вместе с плановым обновлением безопасности, выходящим в рамках программы Patch Tuesday. Что касается уязвимости Chrome, то она уже была устранена в последней версии обозревателя.
#новость
Как создать изолированное пространство в смартфоне?
Для пользователей, что ставят свою конфиденциальность превыше всего, разработали полезное приложение, с открытым исходным кодом, которое носит название «Shelter».
Его основной особенностью, является запуска приложения в отдельной, изолированной от всех других программ и ваших данных «песочнице», что равносильно запуску на стороннем устройстве.
Следовательно, пользователь сможет уберечь себя от приложений с вредоносным кодом, которые пытаются следить и воровать данные, а также от «закладок» в самой операционной системе или кастомной прошивке, которая используется.
В дополнении, при помощи Shelter, можно замораживать работоспособность приложений, или клонировать их, в случае, если вам необходимо сразу несколько активных аккаунтов в социальных сетях или сервисах.
📌https://4pda.ru/forum/index.php?showtopic=917380
#приложения #android #безопасность
Для пользователей, что ставят свою конфиденциальность превыше всего, разработали полезное приложение, с открытым исходным кодом, которое носит название «Shelter».
Его основной особенностью, является запуска приложения в отдельной, изолированной от всех других программ и ваших данных «песочнице», что равносильно запуску на стороннем устройстве.
Следовательно, пользователь сможет уберечь себя от приложений с вредоносным кодом, которые пытаются следить и воровать данные, а также от «закладок» в самой операционной системе или кастомной прошивке, которая используется.
В дополнении, при помощи Shelter, можно замораживать работоспособность приложений, или клонировать их, в случае, если вам необходимо сразу несколько активных аккаунтов в социальных сетях или сервисах.
📌https://4pda.ru/forum/index.php?showtopic=917380
#приложения #android #безопасность
Киберкомандование США усилило поиск иностранных хакеров перед выборами
Кибернетическое командование США расширило свои зарубежные операции, направленные на поиск иностранных хакерских группировок с целью выявить и предотвратить возможные кибератаки со стороны других правительств.
«С 2018 года мы расширили нашу охоту на всех основных противников. Мы хотим найти плохих парней во вражеском киберпространстве, в их собственной операционной среде. Мы хотим убить лучника, а не уклоняться от стрел», — сообщил в интервью The New York Times заместитель главы киберкомандования Чарльз Л. Мур-младший (Charles L. Moore Jr.).
В прошлом операции Киберкомандования были сосредоточены в основном на России. Но перед выборами в нынешнем году сотрудники разведки рассказали об усилиях не только России, но также Ирана и Китая с целью потенциально повлиять на выборы.
Напомним, в январе нынешнего года Киберкомандование оказалось не готовым к большим объемам данных, полученным в результате взлома информационной инфраструктуры террористической организации ДАИШ (является запрещенной в РФ). Хотя операция по взлому учетных записей и серверов ДАИШ прошла успешно, у Киберкомандования не хватило места для хранения извлеченных материалов.
#новость
Кибернетическое командование США расширило свои зарубежные операции, направленные на поиск иностранных хакерских группировок с целью выявить и предотвратить возможные кибератаки со стороны других правительств.
«С 2018 года мы расширили нашу охоту на всех основных противников. Мы хотим найти плохих парней во вражеском киберпространстве, в их собственной операционной среде. Мы хотим убить лучника, а не уклоняться от стрел», — сообщил в интервью The New York Times заместитель главы киберкомандования Чарльз Л. Мур-младший (Charles L. Moore Jr.).
В прошлом операции Киберкомандования были сосредоточены в основном на России. Но перед выборами в нынешнем году сотрудники разведки рассказали об усилиях не только России, но также Ирана и Китая с целью потенциально повлиять на выборы.
Напомним, в январе нынешнего года Киберкомандование оказалось не готовым к большим объемам данных, полученным в результате взлома информационной инфраструктуры террористической организации ДАИШ (является запрещенной в РФ). Хотя операция по взлому учетных записей и серверов ДАИШ прошла успешно, у Киберкомандования не хватило места для хранения извлеченных материалов.
#новость
Вирус вымогатель для Linux
После пережитых массовых атак шифровальщиками в 2017 году, пользователи и предприятия стали тщательней подходить к защите собственных устройств. Эталоном защищенной операционной системы от вымогателей стал Linux.
Переход на эту ОС частично является выходом, от основных вирусов шифровальщиков WannaCry, Petya или BadRabbit она действительно спасает, но разве не существует подобных для Linux? Существуют, просто не распространены, как и сама операционная система. Делать вирусы вымогатели под Linux не выгодно, поскольку данная ОС работает всего лишь на 1.8% устройств против 88% преподающих на Windows. Так или иначе давайте рассмотрим и убедимся в работе подобного шифровальщика.
Установка и сборка
Тестировать работу вируса нужно на виртуальной машине, в противном случае он может уничтожить важную информацию с основного устройства. Скачаем VirtualBox и установим на неё Kali Linux.
Скачиваем репозиторий с github
#хакинг #kali
После пережитых массовых атак шифровальщиками в 2017 году, пользователи и предприятия стали тщательней подходить к защите собственных устройств. Эталоном защищенной операционной системы от вымогателей стал Linux.
Переход на эту ОС частично является выходом, от основных вирусов шифровальщиков WannaCry, Petya или BadRabbit она действительно спасает, но разве не существует подобных для Linux? Существуют, просто не распространены, как и сама операционная система. Делать вирусы вымогатели под Linux не выгодно, поскольку данная ОС работает всего лишь на 1.8% устройств против 88% преподающих на Windows. Так или иначе давайте рассмотрим и убедимся в работе подобного шифровальщика.
Установка и сборка
Тестировать работу вируса нужно на виртуальной машине, в противном случае он может уничтожить важную информацию с основного устройства. Скачаем VirtualBox и установим на неё Kali Linux.
Скачиваем репозиторий с github
clone https: //github.com/tarcisio-marinho/GonnaCry.gitПереходим в созданную директорию и устанавливаем необходимые библиотеки
GonnaCryТеперь остается собрать вирус. Для этого понадобится Pyinstaller
◽️sudo pip install -r requeriments.txt
pip install pyinstallerПереходим в папку и начинаем сборку
GonnaCryСоздастся файл gonnacry, запустив который все файлы до которых дотянется вирус будут зашифрованы, а обои по традиции заменены на текст с разъяснением произошедшего.
◽️pyinstaller -F --clean main.py -n gonnacry
#хакинг #kali
Атака deface
Deface переводится с английского, как "искажать" или "уродовать". Соответственно одноименная атака направлена на подмену информации расположенной на целевой вебстранице. Она может быть проведена скрытно, как к примеру подмена платежных данных в статье, или с оглаской, то есть изменение заголовков, интеграция банеров с рекламой, замена картинок и т.д.
Реализуется данная атака различными методами. Начиная от уязвимостей в CMS и заканчивая заменами подгружаемых картинок на серверах. Рассмотрим для примера второй вариант. Один пользователь загружает на свой сайт статью. Второй её успешно копирует оставляя подгрузку картинок с хостинга первого. Это вполне логично, ведь зачем тратить место на своем хостинге, если картинки расположены на чужом. Однако это открывает возможность первому пользователю заменить старую картинку на новую сохранив название. Поскольку тег img подгружает картинки по определенному пути, и неважно, что в один момент там находится изображение с котом, а в другой политическая пропаганда. Данный способ использовался для борьбы с копипастерами ещё в начале нулевых.
Однако и сейчас атака deface является не менее популярной. К примеру, 27 октября был взломан сайт предвыборной компании Дональда Трампа. Злоумышленники оставили только одну страницу, которая была схожа с уведомлением об изъятии домена спецслужбами. Как следует из сообщения, сайт был "захвачен", поскольку "мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом". Сообщение продержалось 30 минут, после чего ресурс возобновил работу.
Также стоит вспомнить о массовом дефейсе в 2017 году. Когда в Wordpress обнаружили уязвимость, которая позволяла изменять содержимое статей путем отправки специальных запросов на сайт. По данной уязвимости действовали тогда примерно 20 хакерских группировок, а общее количество взломанных статей оценивалось в 1.5 млн.
Deface переводится с английского, как "искажать" или "уродовать". Соответственно одноименная атака направлена на подмену информации расположенной на целевой вебстранице. Она может быть проведена скрытно, как к примеру подмена платежных данных в статье, или с оглаской, то есть изменение заголовков, интеграция банеров с рекламой, замена картинок и т.д.
Реализуется данная атака различными методами. Начиная от уязвимостей в CMS и заканчивая заменами подгружаемых картинок на серверах. Рассмотрим для примера второй вариант. Один пользователь загружает на свой сайт статью. Второй её успешно копирует оставляя подгрузку картинок с хостинга первого. Это вполне логично, ведь зачем тратить место на своем хостинге, если картинки расположены на чужом. Однако это открывает возможность первому пользователю заменить старую картинку на новую сохранив название. Поскольку тег img подгружает картинки по определенному пути, и неважно, что в один момент там находится изображение с котом, а в другой политическая пропаганда. Данный способ использовался для борьбы с копипастерами ещё в начале нулевых.
Однако и сейчас атака deface является не менее популярной. К примеру, 27 октября был взломан сайт предвыборной компании Дональда Трампа. Злоумышленники оставили только одну страницу, которая была схожа с уведомлением об изъятии домена спецслужбами. Как следует из сообщения, сайт был "захвачен", поскольку "мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом". Сообщение продержалось 30 минут, после чего ресурс возобновил работу.
Также стоит вспомнить о массовом дефейсе в 2017 году. Когда в Wordpress обнаружили уязвимость, которая позволяла изменять содержимое статей путем отправки специальных запросов на сайт. По данной уязвимости действовали тогда примерно 20 хакерских группировок, а общее количество взломанных статей оценивалось в 1.5 млн.
Исходники GitHub выложили на GitHub. В компании отрицают взлом
Администрация сервиса для хостинга IT-проектов и их совместной разработки GitHub вынуждена убеждать своих пользователей в том, что слухи о взломе сервиса не имеют под собой оснований.
Все началось с публикации неизвестным пользователем некоего кода, который, по его словам, является исходным кодом порталов GitHub.com и GitHub Enterprise. Код был добавлен в качестве коммита в раздел GitHub DMCA, причем коммит был сделан так, будто его добавил глава GitHub Нат Фридман (Nat Friedman). Однако, согласно сообщению Фридмана на портале YCombinator Hacker News, он не публиковал код, и GitHub взломан не был.
По словам Фридмана, «утекший исходный код» – это не весь код, а только его часть, относящаяся к продукту GitHub Enterprise Server – локальной версии GitHub.com для команд разработчиков корпоративного ПО. Компании могут развертывать GitHub Enterprise Server на своих серверах для локального хранения своего кода из соображений безопасности и при этом пользоваться всеми функциями полноценного GitHub.
Как пояснил Фридман, утечка исходника GitHub Enterprise Server произошла еще несколько месяцев назад по вине инженеров GitHub, случайно «отправивших некоторым клиентам необработанный/обфусцированный тарбол исходного кода GitHub Enterprise Server». Глава сервиса также пообещал исправить две уязвимости, проэксплуатированные пользователем, опубликовавшим исходный код, которые позволяют неавторизованным сторонам добавлять свой код в чужие проекты под чужим именем.
«Подытожу: все хорошо, ситуация в норме. Птица летит, улитка ползет – и в порядке мир», – написал Фридман.
#новость
Администрация сервиса для хостинга IT-проектов и их совместной разработки GitHub вынуждена убеждать своих пользователей в том, что слухи о взломе сервиса не имеют под собой оснований.
Все началось с публикации неизвестным пользователем некоего кода, который, по его словам, является исходным кодом порталов GitHub.com и GitHub Enterprise. Код был добавлен в качестве коммита в раздел GitHub DMCA, причем коммит был сделан так, будто его добавил глава GitHub Нат Фридман (Nat Friedman). Однако, согласно сообщению Фридмана на портале YCombinator Hacker News, он не публиковал код, и GitHub взломан не был.
По словам Фридмана, «утекший исходный код» – это не весь код, а только его часть, относящаяся к продукту GitHub Enterprise Server – локальной версии GitHub.com для команд разработчиков корпоративного ПО. Компании могут развертывать GitHub Enterprise Server на своих серверах для локального хранения своего кода из соображений безопасности и при этом пользоваться всеми функциями полноценного GitHub.
Как пояснил Фридман, утечка исходника GitHub Enterprise Server произошла еще несколько месяцев назад по вине инженеров GitHub, случайно «отправивших некоторым клиентам необработанный/обфусцированный тарбол исходного кода GitHub Enterprise Server». Глава сервиса также пообещал исправить две уязвимости, проэксплуатированные пользователем, опубликовавшим исходный код, которые позволяют неавторизованным сторонам добавлять свой код в чужие проекты под чужим именем.
«Подытожу: все хорошо, ситуация в норме. Птица летит, улитка ползет – и в порядке мир», – написал Фридман.
#новость
