Страница телеграм канала Информация опасносте

несмотря на отпуск, у меня припекло достаточно, чтобы родить небольшой тред в Твиттере, и, я думаю, будет тут нелишним перепостить: По поводу удаления приложения Навального из App Store хочу сказать вот что. Формально это ничем не отличается от удаления клиентов VPN из китайского АппСтора - мол, противозаконно, должны слушаться (не считая угроз уголовками, конечно - что отдельный пиздец вообще) И поведение госорганов — вот где корень проблемы. Но удаление одного приложения на самом деле вскрывает совершенно другую проблему, о которой Apple, думаю, пока что предпочитает не говорить, но она еще дождётся своего момента, чтобы ужалить компанию в жопу Когда Apple представила технологию сканирования CSAM на пользовательских телефонах, её основным аргументом за безопасность этого решения было утверждение, что компания сможет противостоять государствам, которые захотят сканировать что-то, кроме детского порно Это как раз то, за что Apple больше всего критиковали после анонса решения о сканировании CSAM — завтра Китай или Россия скажут «а вместо базы CSAM давайте использовать ВОТ ЭТО», и как поведёт себя в таком случае компания? Все, что смогла в этом случае выдавить из себя Apple за это — «мы будем противостоять таким попыткам! А еще мы просто не будем использовать такую технологию в таких плохих странах». Что оказывается вообще мимо аргумента. Потому что а) как показала практика с Россией и приложением Навального, «противостояние» заканчивается, когда сотрудникам угрожают, и компания, вместо демонстрации принципиальности (и, видимо, ухода с рынка), идёт на поводу у шантажистов PS к пункту а) а я говорил о принципиальности, еще когда Apple прогнулась, пусть и относительно безобидным образом, под требование установки приложений. Когда принципы гибкие, то еще неизвестно кто и до какого уровня попытается согнуть их (Не говоря уже о том, что даже условно демократичные страны тоже могут прийти и сказать «так, давайте вы тут с нами будете сотрудничать так, как нам надо, иначе сделаем вам ататат») И пункт б) касательно «мы не будем использовать технологию в плохих странах». Вообще не имеет значения, даже если Apple выкатит официально скан CSAM только в демократичных странах, обойдя стороной другие, более авторитарные режимы Сам факт наличия технологии сканирования на устройствах пользователей позволит странам типа Китая или России сделать охотничью стойку. «Так-так-так, а что это там у вас? А нам? Почему это вы нас игнорируете?». Что помешает авторитарному режиму сказать «либо вы выкатываете это сканирование на нашем рынке, либо же весь офис Apple <подставь страну> в полном составе отправляется на Колыму»? Ну а дальше развитие сценария с заменой базы, поиском другого контента и тд. Поэтому эта принципиальность так важна в подобных ситуациях. Если вы говорите «мы не прогнемся» — так не прогибайтесь и в других вопросах. Да, уход с рынка ударит больно по большому количеству пользователей, которые вроде как и не виноваты, и даже в текущих условиях получают много всяких преимуществ и фич от устройств и сервисов компании. Но эти «колебания вместе с линией партии» только подчёркивают, что обещания компании в серьёзных вопросах противостоять требованиям правительств, которые прикрываются своими «законами», как-то резко обесцениваются. Джобсом клянусь, я не хочу, чтобы сотрудники Apple или Google сидели в тюрьме за принципиальность компании. Но принципы на то и принципы, чтобы не двигать их туда-сюда, и их обесценивание только вредит репутации компании А такое поведение вышибает аргументы для внедрения полезной, в общем-то, функции, и вряд ли теперь, когда Apple вернётся со сканированием CSAM через несколько месяцев, кто-либо поверит в обещания компании «сопротивляться» подобным запросам.

Пока редакция канала в небольшом, но заслуженном отпуске, она может постить только мемасики. Не сломайте там интернет пока что

не только информация опасносте. но это даже и не новости https://www.rbc.ru/technology_and_media/17/09/2021/61435e479a7947afbfd08f9e

Утро: встреча представителей Apple и Google с сенаторами Совфеда из-за неудаления приложения «Навальный» из App Store и Google Play. Вечер: Apple отключает в России функцию private relay (частный узел), которая позволяет скрывать свой IP-адрес и на какие сайты ты заходишь — даже от своего провайдера. Теперь и мы в одном списке с Китаем, Беларусью, Саудовской Аравией, Туркменистаном и Угандой.

Так, на следующей неделе мы узнаем, как Билайн не защитил данные своих пользователей — подписчиков на услуги домашнего интернета, как я понимаю. Паспорта, адреса проживания, адреса электронной почты и много внутренней информации. Боб Дьяченко, который неоднократно уже встречался на страницах этого канала, теперь нашел что-то у Билайна — как это обычно бывает, плохо сконфигурированную базу, которая торчит голой жопой в интернет. Интересно, что Боб жалуется, что ему из Билайна при этом никто не отвечает на его попытки сообщить о проблеме https://twitter.com/MayhemDayOne/status/1437402835155574789

Anonymous взломали инфраструктуру компании Epik, предоставлявшей услуги хостинга, DNS и прочего различным порталам консервативного направления - социальные сети Gab и Parler, 8chan и тд. 180ГБ данных о клиентах компании за десятилетия её деятельности - включая данные аккаунтов пользователей. В plain text, дада https://arstechnica.com/information-technology/2021/09/anonymous-leaks-gigabytes-of-data-from-epik-web-host-of-gab-and-parler/

OH NO! Anyway… https://zona.media/news/2021/09/15/docs

Тут ещё какая-то весёлая история про компанию Dark Matter из трёх бывших сотрудников разведывательных органов США, которые продали в ОАЭ информацию об уязвимости нулевого дня. Они также помогли интегрировать эту уязвимость в инструменты взлома компанию которая была также замечена в своих атаках на граждан США. Там нарушение правил международной торговли оружием, хакерство и прочие нарушения. Интересно вот что ещё, если я правильно понял: один из участников этой группы - бывший CIO известного провайдера ExpressVPN но это не точно). Интересное как там у них дела и что они на самом деле делают. https://www.nytimes.com/2021/09/14/us/politics/darkmatter-uae-hacks.html

Кстати, там еще и у Google апдейт к Chrome сразу с 9 фиксами уязвимостей, две из которых - в эксплуатации: https://chromereleases.googleblog.com/2021/09/stable-channel--for-desktop.html

Так, что ли, только Apple апдейты с фиксами выкатывать? Вчера patch Tuesday у Microsoft, куча фиксов, включая такие, которые активно эксплуатируются: https://msrc.microsoft.com/-guide/vulnerability/CVE-2021-40444 https://msrc.microsoft.com/-guide/en-US/vulnerability/CVE-2021-36965 https://msrc.microsoft.com/-guide/vulnerability/CVE-2021-38639 https://msrc.microsoft.com/-guide/vulnerability/CVE-2021-36975 Вы знаете, вот это всё.

=== РЕКЛАМА ==== Хотите использовать реверс-инжиниринг в работе? Начните 21-22 сентября с открытого интенсива «Типовые алгоритмы работы файловых инфекторов». За два дня вы разберете структуры РЕ формата и пройдетесь в них в HEX редакторе. Добьетесь необходимых изменений для внедрения кода. Автоматизируете действия, проделанные на первом дне, реализовав алгоритм на языке С. Остальные практические навыки будут ждать вас на онлайн-курсе «Reverse-Engineering» от OTUS. Для регистрации на интенсив пройдите вступительный тест https://otus.pw/GoZh/

=== РАБОТА === Вакансия, бомба, пушка: Whoami: компания "AntiBot" Формат работы: офис/удаленка Город и адрес офиса: Москва, Митинская 16 Занятость: полная Зарплатная вилка: от 3000$ до 4500$ на руки Контакты: @sergeevnaxoxo_hr О нас: Наш продукт смесь ИБ и аналитики. Он выявляет и блокирует автоматизированную активность. От вас хотим увидеть: Умение писать на нативном JavaScript без фреймворков Знания DOM, Web API, WebSocket, WebRTC, Service Workers Опыт работы с Linux, Git, GitHub Будет также плюсом: Умение работать с WebAssembly, Babel API Глубокие знания особенностей языка и браузеров Задачи можно обозначить таким образом: Написание средств для сбора данных о браузере и его окружении Применение в продакшене разных Web API и браузерных фишек Участие в исследовании и разработке новых методов обнаружения автоматизированных браузеров (Chrome Headless, PhantomJS, ZennoPoster, etc) Подробности: https://bit.ly/AntiBot_NativeJS

Ок, детали о фиксах во вчерашнем апдейте для операционок Apple, где исправили zero-day, используемый NSO для взлома iPhone. вжух! Devices affected by CVE-2021-30860 per Apple: All iPhones with iOS versions prior to 14.8, All Mac computers with operating system versions prior to OSX Big Sur 11.6, Security 2021-005 Catalina, and all Apple Watches prior to watchOS 7.6.2. https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/

https://tjournal.ru/tech/434934-velikiy-rossiyskiy-fayrvol-kak-rossiya-dvizhetsya-k-kitayskoy-modeli-kontrolya-interneta

вышли апдейты безопасности: iOS 14.8 iPadOS 14.8 watchOS 7.6.2 macOS Big Sur 11.6 исправлены две уязвимости: CVE-2021-30860 CVE-2021-30858 как это часто бывает в последнее время, «Apple is aware of a report that this issue may have been actively exploited.» поскольку одну из уязвимостей отрепортили Citizen Lab, то, похоже, это наконец-то полноценный фикс дыры, которую эксплуатировала NSO, и которая обходила Blastdoor защиту в Messages