Безопасность

Как известно, современный смартфон мало чем отличается от анального зонда. И хотя разработчики hardware и software клянутся в отсутствии слежки, но кто же им поверит?! Ну, так и что делать тем ценителям приватности, которые не хотя светить свои анусы в интернете?

Citrix — американская контора, главный продукт которой — средства доступа к удаленному рабочему столу. Среди клиентов компании значатся крупные правительственные структуры США, нефте- и газодобывающие компании, технологические конторы. И вот хитрые иранские каккеры из группировки Иридиум ломанули Citrix и вынесли 6 терабайт почтовой переписки, содержащей конфиденциальные данные и коммерческую тайну. Ущерб для безопасности США может оказаться катастрофическим.

Есть такой класс атак — SQL-инъекция. Ошибка хорошо изучена, но на эти грабли каждый раз наступают снова и снова. Вот бы кто придумал, как решить проблему раз и навсегда. Постойте, похоже решение найдено — SQL-файервол.

Как работает SQL-инъеция

Допустим, сайт содержит такой код:

$postId = $_GET['post_id'];
$query = "select title, body from posts where post_id = $postId";

Обычное школоло из Аргентины Сантьяго Лопес в 2015 году присоединился к проекту по поиску багов в обмен на денежное вознаграждение. Юноша наяривал и за 4 года поиска анальных брешей в программном обеспечении заработал свой первый миллион долларов — 65 млн в переводе на деревянные.

Программа поиска дырок называется HackerOne. Никакоо риска или криминала не предполагается. Специалист находит дырку в популярной программе (например, в каком-нибудь Wordpress), сообщает владельцам, те штопают свое глючное ПО, а нашедшему выплачивается денежное вознаграждение.

В WinRAR нашли дырку, существовавшую в проприетарном упаковщике 20 лет. Дырка позволяет взломать хомячковский комп с Windows, прислав по почте специально изготовленный RAR-архив.

Зачем нужен платный WinRAR, когда есть бесплатный и открытый 7-Zip, превосходящий пропретарную поделку по всем показателям эксперты не уточняют. Возможно, среди пользователей Windows немало смельчаков, осознано ищущих острые анальные ощущения. Люди, думающие о своей безопасности, выбирают Linux, а файлы жмут удобнейшим tar + bzip2.

Иногда бывает, что теряешь публичный криптографический ключ. Казалось бы, всё пропало и нужно генерировать новую пару. Оказывается, секретного ключа достаточно, чтобы восстановить по нему публичный ключ. Вот вам криптолайфхак года.

ssh-keygen -y -f privatekey.pem > publickey.pem

Вуаля!

Фирмы Mail.ru и Яндекс поддержали законопроект по анальному ограждению Рунета от остального цивилизованного мира.

Директор по развитию сетевой инфраструктуры компании Яндекс Алексей Соколов:

Обсуждаемый законопроект вовремя направлен на защиту российского сегмента сети интернет.

Технический директор Mail.ru Group Владимир Габриелян:

Удивительный случай произошел на прошлой неделе. В позорной поделке г-на Поттеринга SystemD нашли очередные критические дыры. На этот раз в системе журналирования. Говорили же пацанчику, что не стоит делать из простой системы инициализации целый комбайн а-ля и швец, и жнец, и на дуде игрец.

Но сейчас речь не об этом. Специалисты в области компьютерной безопасности с удивлением обнаружили, что дырявы почти все дистрибутивы, но нашлись и такие, в которых эксплоиты для SystemD попросту не срабатывали:

Какие книги стоит почитать линуксоиду на утомительно долгих новогодних каникулах? Не только, чтобы скоротать время, но чтобы стать умнее и продвинуться по карьерной лестнице. Заценим лучшие книги на начало 2019 года.

Добрые люди запилили и выложили в свободный доступ расширение для Firefox, которое умеет изолировать всю шпионящую дрянь от Google.

Исследователи посмотрели под отладчиком прошивки популярных SSD от Crucial и Samsung и обнаружили, что во многих случаях мастер-пароли на шифрование были либо очень слабыми, либо одинаковыми для всего модельного ряда, либо отсутствовали вовсе.

В Швеции тысячи людей выстраиваются в очереди, чтобы им вшили под кожу чип. Речь идет не о крупном рогатом скоте, а именно о шведах вида Homo sapiens. Зачем им это? Да еще за $180!

Центробанк решил наконец начать борьбу с телефонными мошенниками. Всякие проходимцы рассылают SMS-ки со ссылками на вредоносный софт, чтобы в итоге получить доступ к какому-нибудь Сбербанку Онлайн и похитить у пенса личные сбережения.

Суть предложения Центробанка проста. Надо собирать базу мошенников и расшарить ее между банками, чтобы один жулик, взломав одну отдельно взятую бабку, не имел возможности продолжить свою криминальную карьеру. В базе под каждого мошенника выделяется всего 3 поля:

Гражданина останавливает на улице полицейский и просит предъявить для проверки телефон. Телефон заблокирован паролем. Полицейский требует пароль. Далее страж правопорядка видит установленное приложение Telegram, запускает его и читает переписку. Законны ли действия полицейского и если нет, то с какого шага?

Пока Русь-Матушка запиливает гиперсветовые ракеты на ядерном топливе, американский противник решил зайти с другой стороны — зачем нужны ракеты, если есть комары? Попробуй сбить комара из ПВО!

В «надежном» и «защищенном» Телеграмме вновь нашли забавную фичу — любой желающий может определить IP-адрес любого пользователя. Ай да приватность!

С сегодняшнего дня в России вступает в действие та часть печально известного закона Яровой, которая о сборе и хранении трафика.

На сайте госзакупок опубликован заказ на приобретение компов для военных нужд. Приятным моментом является отказ от услуг фирмы Microsoft.

Компы будут патриотичными — на базе российского процессора Эльбрус-8С. Windows 10 со всеми своими шпионскими модулями тоже не нужен — предполагается использовать Astra Linux. Потратить предполагается 400 млн рублей, а аукцион сделать закрытым.

Хакеры взломали аккаунт Вконтакте девушки из Омска и получили доступ к фотографиям интимного содержания. Негодяи потребовали 10 тыс. рублей за молчание, иначе угрожали разослать сиське по френд-ленте.