Кто-то решил придумать магическую кнопку "Заебись" (Спасибо Володимир Кондрашов за наводку) По просьбам, стало быть, обеспокоенной общественности. "Общественности" не приходит в голову, что дядя мусор должен такое объявление найти, попытаться купить поддельный документ и посадить изготовителя подделок в тюрьму? Нет, сука, нужно испортить Интернет и зарыть голову в песок.
Зеленский просто предатель. Даже не очень важно чего в нём больше - бесстыжей глупости или беспросветной подлости.
У меня есть друг, который совсем не программист, не безопасник и уж тем более не хакер, а фотограф, но даже он знает в отличии от кривоногих рукожопов из Київська міська державна адміністрація - КМДА, что так код писать нельзя. #FRD #ContentSpoofing
P.S. В ходе увлекательной дискуссии выяснилось, что #XSS месячной давности (второй скрин) тоже никто не исправил
P.P.S. В комментариях ещё много вкусного и поучительного, включая ещё одну незакрытую дыру и взаимные обещания "позвонить по поводу того чорта"
P.S. В ходе увлекательной дискуссии выяснилось, что #XSS месячной давности (второй скрин) тоже никто не исправил
P.P.S. В комментариях ещё много вкусного и поучительного, включая ещё одну незакрытую дыру и взаимные обещания "позвонить по поводу того чорта"
Красивейший иск Департамента Юстиции против Сноудена https://www.justice.gov/usao-edva/press-release/file/1203231/download Эд недавно опубликовал автобиографическую книжку "Permanent record" и правительство США обвиняет его в нарушении NDA и правил ЦРУ и АНБ (книжку должны были просмотреть компетентные товарищи), но они не собираются останавливать публикацию, о чем говорит Эд в тви https://bit.ly/3598xaJ , ведь первую поправку никто не отменял ("В ходе процесса, Соединенные Штаты не собираются запрещать или ограничивать публикацию или распространение книги Сноудена"), а просто хотят отобрать у Эда все доходы, роялти и права на выступления и публикации. Очень изящно. Книжку можно скачать здесь https://bit.ly/35b0t9e Я считаю, что человек связавший свою судьбу с утечками, не имеет морального права на защиту своих авторских, а особенно смежных прав.
Просматривая избранные блоги за последние несколько недель, наткнулся на чудесный лонгрид Гринберга (почему-то пропустил его, когда он вышел) о Непете, и о том чего атака стоила гиганту грузоперевозок Maersk https://bit.ly/2w6FJjg И статья мне тут же напомнила об очередном столкновении с M.E.Doc Для тех кто пропустил, всё началось со споров по поводу программных РРО у Игоря Дядюры, и представитель Медка Олеся Линник прямо лучилась фантастическими комментариями, о том что виноваты все - Майкрософт, АНБ, ГРУ, сами пользователи, а Линкос невинная жертва https://bit.ly/2OiiX1M под моим довольно хамским постом, фестиваль искрометного юмора продолжился, с обычными в таких случаях подколками и взаимными оскорблениями и приглашениями на экскурсию. Вплоть до угроз судебными исками о защите репутации! (Медок, репутация, sic!) Я долго думал, что ответить Олесе, так чтобы без мата и решил действительно сходить и посмотреть, что там у Медка, через две минуты я нашел уязвимый сервер, и решил для разнообразия попробовать responsible disclosure, и предупредил компанию о наличии уязвимости. Часа три они её искали и после подсказки с моей стороны нашли. А дальше началось интересное. Святослав Крижевич пришел ко мне в личку и спросил сколько они мне должны за работу. Я ему ответил, что они мне ничего не должны и посоветовал вместо этого написать пост о том, где была уязвимость и что они делают для того, чтобы предотвратить атаки подобные Непете (что действительно могло бы немного поправить репутацию). Святослав сказал, что пост они напишут. И предложил пятьсот баксов за найденную уязвимость, а на самом деле, как я вижу, для того, чтобы спустить всё в очередной раз на тормозах. Деньги я не взял, но честно подождал недельку, однако, кроме победных реляций на странице Медка ничего не увидел. И написал пост сам https://bit.ly/332A4J1 Пятьсот лайков конечно не пятьсот баксов, но тоже неплохо. Честно говоря, я редко встречаюсь с настолько упорным сопротивлением реальности. Компания, преступное разгильдяйство которой, позволило россиянам провести одну из самых разрушительных кибер-атак современности, по-прежнему, не сделала для себя никаких выводов и продолжает работать в том же самом неподражаемом стиле. Если даже после Непети их сервер получилось взломать за две трахнутых минуты, то Медок в кассовом аппарате - прямая угроза национальной безопасности. https://internetua.com/m-e-doc-uporno-zamalcsivaet-problemy-uyazvimosti-svoego-servera
Пока наши "субъекты" кибер-безопасности вертят в руках стеклянный шар и пытаются договориться куда бы его засунуть, Франция обновила военную доктрину и дополнила её наступательной частью. И всех предупреждает, что будут рассматривать атаки (в качестве примеров перечислены Эстония, MacronLeaks, TV5, атаки на энергосистемы Украины и Непетю, привет Медку ещё раз), как агрессию, что проводить атрибуцию (то есть назначать виновных) будут самостоятельно и отвечать как обычным оружием так и кибер. Крайне любопытные документы. Почитать о чем там идёт речь (на английском) можно здесь https://blog.lukaszolejnik.com/tag/strategy/ Там же есть ссылки на документы.
Checkpoint и Intezer проанализировали несколько тысяч образцов мальвари российских спец. служб и построили карту заимствованного кода. Основной вывод ГРУ и ФСБ не обмениваются разработками. Исследователи связывают свой вывод с тем, что россияне якобы осознают угрозы централизации и таким образом усиливают безопасность операций, но я скорее поверю в глупость, жадность и клановость российских спец. служб, конкурирующих между собой за власть и сокращающиеся ресурсы. https://research.checkpoint.com/russianaptecosystem/ Почему наше политическое руководство полностью игнорирует (как в политическом, так и в техническом плане) беспредельщиков из РФ для меня просто загадка.
Вышел технический отчет о #Simjacker Надо будет как-нибудь прочитать на досуге, хотя и так всё понятно https://simjacker.com/downloads/technicalpapers/AdaptiveMobile_Security_Simjacker_Technical_Paper.pdf
Дивная история Vice о том как Касперский поймал узбекскую гебню на взломах https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec , черти настолько безбашенные, что грузили свою мальварь на VirusTotal, жгли зеродеи пачками и делали всё это с собственных IP-адресов, зарегистрированных прямо на военную часть. Проверяли мальварь Касперским с включенным KSN. Герои опсека. Но ещё более смешно то, что несмотря на то, что в сентябре в Штатах вступил в силу полный и окончательный запрет на использование продуктов Касперского в гос. секторе (обратите внимание на то, что запрет распространяется только на гос. сектор), подручные дяди Жени ничтоже сумняшеся в очередной раз подтвердили, что используют KSN для того, чтобы рыться в подозрительных компах. За это их в США и запретили, вот ровно за то же самое. Необучаемые.
Один из друзей показал очень интересный подход к паролям в ПриватБанк. Казалось бы с паролями всё более менее понятно уже десятилетия. Хотя вещи вроде PAKE по-прежнему остаются экзотикой, а некоторые даже не смотрят в сторону PBKDF и расчитывают на несолёный MD5. Но я даже не думал, что парольную защиту можно испортить так, даже в голову не приходило.