Страница телеграм канала Сайберсекьюрити и Ко.

alexlitreev_channel logo

Сайберсекьюрити и Ко.

23019 подписчиков

Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизни. Твиттер: twitter.com/alexlitreev Пожертвования: rocketbank.ru/alexlitreev Реклама: media@litreev.com


Входит в категории:
Сайберсекьюрити и Ко.
15.03.2019 15:03
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
10.03.2019 21:03
Простая уязвимость в автомобильной сигнализации грозила угоном 3 млн машин в мире https://3dnews.ru/983983 Специалисты по кибербезопасности британской компании Pen Test Partners обнаружили весьма опасную, хотя и досадную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых компаний российской Pandora и американской Viper (в Англии Clifford). Выявленная уязвимость в системе работы сигнализации, установленной на автомобили, позволила исследователям получить удалённый доступ к системам автомобиля и к данным, которые он мог выдавать. Поскольку уязвимость выявлена на этапе независимого закрытого тестирования, о ней сразу же сообщили компаниям-производителям сигнализации. К настоящему дню уязвимость, которая затрагивала порядка 3 млн автомобилей в мире, закрыта и не представляет угрозы. С помощью выявленной уязвимости любой мог получить доступ к удалённому кабинету авторизованного владельца транспортного средства. Недоработки в пользовательском интерфейсе на серверах поддержки позволяли подменить почтовый адрес пользователя любым другим адресом без авторизации и провести операцию сброса пароля с последующей отправкой пароля на адрес злоумышленника. Это оказалось сделать настолько легко, что исследователи назвали свой доклад «Угнать за 6 секунд».
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
10.03.2019 21:03
Завтра в моей жизни начинается новая страница. А этот плейлист будет как никогда кстати: https://music.yandex.ru/users/alxdrlitreev/playlists/1003
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
10.03.2019 13:03
Если вы не в Москве или по каким-то очень уважительным причинам не можете прийти на митинг, то включайте Настоящее Время. Где-то в 14:45-15:00 я буду в эфире, дам несколько коротких комментариев по поводу происходящего. Сам эфир начнётся в 13:45, за 15 минут до начала митинга на Проспекте Сахарова в Москве. Прямой эфир: https://www.currenttime.tv/live/video/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
10.03.2019 13:03
Трансляция происходящего на Сахарова:

Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
10.03.2019 13:03
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
10.03.2019 13:03
Друзья. Уже через 50 минут начнётся митинг против цифрового железного занавеса в России. Если Вы в Москве — бросайте все дела и приезжайте. Проспект Сахарова, 14:00. За свободный интернет.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
01.03.2019 18:03
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
01.03.2019 18:03
Митинг против изоляции российского интернета В апреле прошлого года власть ускорила темпы наступления на свободный интернет: безосновательные уголовные дела, введение штрафов за VPN, полномасштабная война против права тайны частной жизни и защищённого мессенджера Telegram. Уже тогда мы показали, на что мы способны вместе. Мы с командой Vee Security и десятки других ребят обеспечили инструментами для обхода блокировок всех людей в нашей стране и даже за её пределами. Митинги за свободный интернет, организованные при поддержке Павла Дурова, собрали сотни тысяч людей вместе, в очередной раз доказав, что нам не всё равно. Власть была унижена, попытка блокировки Telegram с треском провалилась, а интернет-цензор рвёт на голове волосы и бьется в истерике. Теперь власть хочет отомстить. Если раньше они хотели заблокировать Telegram, то теперь их аппетиты выросли до размеров всего свободного российского интернета. Лживые ублюдки, требующие к себе уважения, пишут законопроекты, которые дадут власти возможность отрезать Россию от всемирной сети. Мы не можем этого позволить. Я призываю всех выходить на митинг против изоляции рунета 10 марта в 14:00 на проспект Сахарова в Москве. Никто не защитит вашу свободу кроме вас самих. http://freeru.net
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
01.03.2019 13:03
Начались занятия на курсе «Руководитель разработки», но в группу еще можно успеть: https://otus.pw/18oE/ Всем желающим погрузиться в приемы эффективного менеджмента на примере сферы IT – советуем поторопиться. Никакого кода - только best practice управления командой от Станислава Михальского – директора по разработке в компании Biglion, который умеет организовывать эффективную командную работу групп от 3 до 50+ человек. Скорее сдавайте вступительное тестирование и присоединяйтесь к группе!
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
01.03.2019 12:03
Интернет-банки, MTProto и Роскомнадзор — эксперименты с DPI? Пост обновлен 1 марта 2019 г. в 12:36 Вчера многие клиенты крупных российских банков, таких как ВТБ, «Открытие» и Россельхозбанк, жаловались на недоступность мобильных приложений для дистанционного банковского обслуживания. Многие медиаресурсы сообщили о причастности Роскомнадзора к этому инциденту. Они также сообщили, что сбой может быть связан с попыткой Роскомнадзора блокировать Telegram по-новому — через DPI. Мол, выявлять пакеты шифрованного протокола MTProto по сигнатурам и блокировать весь обмен трафика по такому протоколу. Большинство их них ссылались на публикацию Reuters, которой не было. В Роскомнадзоре, разумеется, отвергли все обвинения, сообщив, что они "не включали IP-адреса приложений ВТБ, Открытия и Россельхозбанка в реестр заблокированных ресурсов". В пресс-службах банков тоже от такой версии открестились, объяснив недоступность своих сервисов "плановым обновлением программного обеспечения". Зато вчера, ближе к ночи мне написал сотрудник одного из упомянутых банков и сообщил, что "удивительно, что об обновлениях нашего ПО я узнаю от пресс-службы и СМИ". Он также добавил, что "ни один уважающий себя банк не будет обновлять программное обеспечение с каким-то downtime утром рабочего дня, когда все этим приложением пользуются". Более того, судя по всему, SMM-менеджеры того же ВТБ не были в курсе проходящего "обновления программного обеспечения" — в ответ на множество жалоб клиентов в Твиттере на недоступность мобильного банка они не сообщали о каких-либо проводимых технических работах и пытались решить проблемы каждого пользователя индивидуально. Мы помним эксперимент, проводимый РКН в августе 2018-го года. Тогда, в ходе эксперимента по блокировке MTProto и SOCKS5 с помощью DPI, под раздачу попал (внезапно) Сбербанк Онлайн. В этот же раз всё куда прозаичнее. Изначально, честно признаться, я тоже предположил, что РКН действительно может быть причастен к произошедшему, ведь факт недоступности ДБО у банков действительно был. Более того, после беседы с моим подписчиком из упомянутого выше банка стало ясно, что никакого планового обновления ПО, о котором заявили пресс-службы, похоже, на вовсе не было. И здесь я охуел — еще веселее становится, если посмотреть на хронологию распространения информации в канале, прости господи, «Официальный Жаров». Как можно заметить, вброс про Reuters разошелся о-о-очень быстро. И самое забавное, что очень многие сразу это подхватили — Царьград, The Bell, Finanz и многие другие. Вот что выходит: РКН ни при делах, а банки сообщают о сбоях из-за плановых обновлений ПО о которых не знают даже сами сотрудники IT-департамента банка. Ситуацией удобно пользуются в медиапространстве, паразитируя на инфоповоде — потом эти шедевры будут читать тысячи их подписчиков (срань господня, даже меня угораздило наступить в это дерьмо). Складывается ощущение, что кто-то в очередной раз обосрался в банке и без всяких обновлений, уронив какую-то часть собственной инфраструктуры, а потом попытался дать этому какое-то внятное оправдание, пока, тем временем другие — сочиняли новости на несуществующем инфоповоде. Мораль. Вроде как всегда понимаешь, что никогда нельзя никому верить, а бдительность всё равно подводит в самый неожиданный момент. Всегда проверяйте информацию вне зависимости от того, откуда она поступила. «РКН мудаки, но давайте им давать * за то, что они действительно делали» (С)
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
28.02.2019 18:02
Я напишу сегодня про банки, Telegram и австралопитеков из РКН. Честно. Просто позже.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
14.02.2019 20:02
О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy). Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
14.02.2019 20:02
А это вообще полный смех и издёвка со стороны социальной сети. Либо там работают конченные имбецилы, либо троли. На вредоносной странице исполнялся (!!!) произвольный (!!!) JavaScript-код. Опубликовать пост на странице — не самое страшное, что могло произойти. С помощью этой уязвимости можно было получить прямой и неограниченный доступ к любым данным аккаунта — от личной переписки до скрытых фотографий. Никому не известно, как была (и была ли) эксплуатирована эта дыра ранее — вполне допускаю, что злоумышленники могли, например, скомпрометировать переписку сотен пользователей и долго оставаться незамеченными.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Сайберсекьюрити и Ко.
14.02.2019 20:02
Уязвимость ВКонтакте Сегодняшняя новость номер один посвящена социальной сети номер два — во ВКонтакте во всю эксплуатируется серьезная уязвимость. На сотнях страниц различных организаций появились странные посты. Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше. Уязвимость до сих пор не исправлена. Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила. Сам скрипт: https://github.com/rzhaka/prikol/blob/master/yrap.js
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме