Телеграм канал Про... Безопасность
Канал проекта ProSecurity.Info. Полезные статьи и размышления о том, что происходит и куда движется кибермир.
Сайт: https://ProSecurity.info
Написать: prosecurity@prosecurity .info
Поделиться с друзьями:
статистика поднять канал
О чём пишут в канале @ProSecurityInfo
История неприкосновенности частной жизни (Приватности/Privacy)
Можно выделить несколько этапов в жизни человечества, которые привели к современному понятию неприкосновенности частной жизни (Privacy).
1. Внутренние стены ? (1500 г до нашей эры)
Все начиналось во времена когда в домах не было внутренних стен. Необходимость в них появились с появлением дымоходов, которым нужны были поддерживающие балки -стены.
2. Чтение про себя ?(1215 год)
Чтение про себя не было популярно до момента пока церковь не ввела исповеди для своих прихожан. Концепция спасения в религии привила новую привычку, привычку безмолвного созерцания. Чтение про себя становится популярным среди обычных людей спустя 500 лет, в это время книги стали настолько дешевыми, что их могло позволить большинство.
3. Раздельные кровати ?(1700 год)
В эти времена, свою отдельную кровать могли позволить себе только очень богатые люди. Во многих домах была только одна большая кровать, на ней спали все и хозяева дома и гости. Секс в общей комнате, в присутствии других в то время был обычным делом.
4. Информации о частной жизни✉️ (1900 годы)
Информация о гражданах часто становится публичной, включая результаты первой американской переписи населения. В еще в 19 веке появляются первые требования по обеспечению конфиденциальности, вводит их почта, в те время очень популярны были открытки без конвертов со всеми вытекающими проблемами конфиденциальности переписки. В 1890 было придумано Право на неприкосновенность частной жизни.
5. Отслеживание активности в интернет ?(2015 год)
Американской оператор связи AT&T предложил платный сервис, в рамках которого пользователь мог отказаться от сбора информации о его веб активности в рекламных целях. Несколько пользователей купили этот сервис. Этот прецедент говорит о том, что в будущем большинство людей будет готово дать доступ к своей личной информации в обмен на деньги, помощь со здоровьем или других благ.
2017-08-11 10:52:25
Срочная новость! Adobe к концу 2020 года перестанет выпускать Adobe Flash и обновления к нему. Как мы знаем многие заражения при посещении сайтов в Web происходят из-за уязвимостей в этом пакете.
http://www.securityweek.com/adobe-kill-flash-player-end-support-2020
2017-07-25 23:04:58
Активисты, ратующие за право приватности, вновь потерпели поражение в деле, решение по которому коллегия судей апелляционного суда Калифорнии вынесла в понедельник. Согласно этому решению, ФБР может продолжать отправлять секретные запросы с требованием раскрытия персональных данных абонента (National Security Letters, NSL) телекоммуникационным компаниям.Дело связанно с требованиями о неразглашении в отношении NSL-запросамов ФБР в адрес крупнейшего CDN-провайдера Cloudflare и оператора сотовой связи Credo Mobile. По единогласному решению Апелляционного суда девятого округа США в Сан-Франциско было уставлено, что требование о неразглашении NSL-запросов не нарушает Первую поправку.Обе компании подали иск, оспаривающий наложение запрета на разглашение информации и требующий ограничить возможности правительства на последующий выпуск NSL-запросов и введение дополнительных требований о неразглашении».«Мы разочарованы решением Апелляционного суда девятого округа США и ищем варианты для дальнейших действий, – сообщает исполнительный директор Credo Рэй Моррис (Ray Morris) в подготовленном заявлении. – Нам хорошо известно, насколько напряженной и тяжелой может быть борьба в попытке оспорить решение о неразглашении, и мы считаем, что суд упустил возможность защитить права компаний, которые хотели бы иметь возможность быть открытыми по отношению к своим клиентам в будущем».«NSL-запросы не позволяют телекоммуникационным компаниям, таким как Credo Mobile и Cloudflare, быть честными и открытыми со своими клиентами и общественностью в вопросах государственной слежки, и мы восхищаемся твердостью их убеждений в борьбе против ограничения свободы слова, — говорит Эндрю Крокер (Andrew Crocker), юрист Electronic Frontier Foundation. — К сожалению, Апелляционный суд девятого округа США не пожелал разрешить проблемы, связанные с противоречием NSL и Первой поправки, в частности тот факт, что запрет на разглашение часто не снимается».Компании, получая NSL-письма, обычно получают и требование о неразглашении. Cloudflare потребовалось почти четыре года, чтобы в январе этого года раскрыть NSL-запрос, который компания получила в феврале 2013-го. Credo утверждает, что в период с 2011 по 2013 год получила еще три NSL-уведомления.Использование правительством NSL-запросов как инструмента для слежки давно находится под пристальным вниманием активистов по защите приватности, с одной стороны, и технологических компаний – с другой. Так, например, Apple и Yahoo сообщили о NSL-запросах в отчетах о доступности сервисов и данных. Google только после победы в деле о разглашении информации в декабре прошлого года раскрыла содержание восьми NSL-запросов, полученных с 2010 по 2015 год.В похожем судебном процессе в июне этого года Electronic Frontier Foundation подала иск против Министерства юстиции с требованием выяснить, следует ли оно правилам, которые обязывают периодически проводить пересмотр сроков действия требований о неразглашении.Так, в иске, поданном в Окружной суд США в Северном округе штата Калифорния, ставится под сомнение, что ФБР следует регламенту Конгресса 2015 года, предписывающему периодически пересматривать требования о раскрытии информации в отношении тех NSL, которые больше не востребованы.
2017-07-19 20:25:38
Вы можете проверить наличие кода на сайте Госуслуг самостоятельно, с помощью поискового запроса: site:gosuslugi.ru «A1996667054»
2017-07-13 23:03:33
Это о том как к нашей информации относится государство
https://mobile.twitter.com/epgu/status/885546848978685953
2017-07-13 20:12:02
Вот такие новости. Сайт Госуслуг скомпроментирован https://news.drweb.ru/show/?i=11373&lng=ru&c=14
2017-07-13 18:44:44
Вчера Microsoft опубликовала патчи для 19 критических уязвимостей, одна из которых была известна еще до обновления.Всего в этот «Вторник патчей» было закрыто 54 уязвимости в Windows, Edge, Internet Explorer, Office и Exchange. Из них 32 были отмечены как важные и еще 3 – как проблемы среднего уровня опасности.Уязвимости самые разные – от удаленного исполнения кода и межсайтового скриптинга, до повышения уровня привелегий в системе. Из критических уязвимостей шесть позволяли удаленно исполнять код, и одна из них, кстати, была известна ранее (CVE-2017-8584) – она относится к устройству дополненной реальности Microsoft HoloLens.По данным Zero Day Initiative (ZDI), этот патч закрывает возможность удаленного исполнения кода, которая появлялась, когда HoloLens неправильно обрабатывал объекты в памяти из-за полученных специальным образом сконструированных Wi-Fi-пакетов. Получается, что устройство можно скомпрометировать, просто отправляя на него Wi-Fi-пакеты, вообще без какой-либо аутентификации.Другая критическая уязвимость, дававшая возможность удаленно выполнять код на машине, относится к функции Windows Search Remote, которая позволяет пользователю искать что-либо на нескольких компьютерах одновременно. Эта уязвимость может быть активирована удаленно через протокол Server Message Block (SMB), и атакующему даже не придется проходить процесс аутентификации.«Уязвимость с возможностью удаленного исполнения кода (CVE-2017-8589) проявляется, когда Windows Search обрабатывает объекты в памяти. В случае успешной эксплуатации этой уязвимости, атакующий может получить контроль над уязвимой системой. Затем он получает возможность устанавливать программы, просматривать, менять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами», — сообщает Microsoft.Этой уязвимости подвержены Windows Server 2016, 2012, 2008 R2, 2008, а также десктопные системы, такие как Windows 10, 7 and 8.1.»Несмотря на то, что эта уязвимость может использовать SMB в качестве вектора атаки, это не уязвимость в самом SMB, и она никак не связана с недавними уязвимостями в SMB, которые эксплуатируют EternalBlue, WannaCry и Petya», — комментирует Джимми Грэм (Jimmy Graham), глава Qualys Vulnerability Labs, в своем посте.Тринадцать из пропатченных критический уязвимостей связаны с нарушением целостности памяти в скриптовом движке браузера Microsoft Edge. Причиной одной из них (CVE-2017-8595), согласно сообщению Microsoft, является то, как Microsoft Edge обрабатывает объекты в памяти, а ее эксплуатация может привести к тому, что атакующий получит те же права, что и залогиненный в систему пользователь.«Атакующий может создать специальный сайт, который способен эксплуатировать эту узявимость в Edge, а затем попытаться завлечь пользователя на этот сайт. Также атакующий может встроить ActiveX-комонент, отмеченный как «безопасный для исполнения» и содержащий браузерный движок для рендеринга, в приложение или в документ Microsoft Office», – сообщает Microsoft.«Среди уязвимостей в Edge и IE несколько отмечены просто как «уязвимости с нарушением целостности памяти в скриптовом двжике (Scripting Engine Memory Corruption Vulnerability). Некоторые из них являются демонстрацией нового класса угроз, связанных с JavaScript: уязвимостей в самом исполняющем движке», – пишет ZDI.В рамках «Вторника патчей» Microsoft поблагодарила исследователей из Google Project Zero, которые обнаружили две критические уязвимости и одну важную. Обе критические узявимости (CVE-2017-8594 and CVE-2017-8598) как раз были связаны с нарушением целостности памяти Microsoft Edge.Исследователи Ярон Зинар (Yaron Zinar), Эйал Карни( Eyal Karni) и Роман Блахман (Roman Blachman) из Preempt Security помогли обнаружить важную уязвимость с повышением привилегий в Windows (CVE-2017-8563), которую можно проэксплуатировать, когда в качестве протокола аутентификации по умолчанию вместо Kerberos используется NT LAN Manager (NTLM).
2017-07-12 17:41:29
В минувший «вторник патчей» Adobe совокупно устранила шесть уязвимостей в двух продуктах. Июльский набор плановых заплат от компании – один из самых скромных в текущем году.Обновление для Flash Player закрывает три бреши в этом продукте, в том числе критическую CVE-2017-3099, чреватую удаленным исполнением кода. Релиз 26.0.0.137 для всех платформ также устраняет баги раскрытия информации и адреса памяти.Уязвимость RCE обнаружил Цзи Хуэй Лу (Jihui Lu) из подразделения KeenLab компании Tencent, раскрытие адреса памяти – bo13oy, участник проекта Zero Day Initiative ИБ-компании Trend Micro. Детали уязвимостей в бюллетене Adobe не раскрыты.Еще три уязвимости устранены в Adobe Connect для Windows, основанном на Flash продукте, который используется для проведения онлайн-встреч, презентаций и создания учебных программ. Две ныне закрываемые бреши возникли из-за некорректной валидации входных данных; их можно использовать для проведения XSS-атак, как отраженных, так и хранимых. Третий баг (CVE-2017- 3101), по свидетельству разработчика, грозит изменениями в UI или clickjacking-атакой.Подробности CVE-2017-3101 не разглашаются; Mitre характеризует эту уязвимость как искажение пользовательским интерфейсом критически важной информации. Данная брешь открывает возможность для сокрытия или подмены информации с целью фишинга. Пользователям Adobe Connect 9.6.1 и ниже рекомендуется перейти на версию 9.6.2.Данных об активном использовании какой-либо из устраняемых уязвимостей у Adobe нет, хотя некоторые подробности CVE-2017-3080 во Flash (раскрытие информации) стали достоянием гласности 3 июля.По количеству патчей июльский выпуск Adobe оказался меньше майского, который содержал восемь заплат для Flash и Adobe Experience Manager.
2017-07-12 15:04:55
Он задумчив всегда в себе,
Он высок и хорош собой,
Твой куратор из ФСБ/АНБ/ФБР,
Незаметный нигде герой.
Не смыкая усталых глаз
Он курирует каждый пост,
Чтобы ты не ушел от нас
Раньше времени на погост.
Зря не веришь мне, может быть,
Мой куратор с твоим знаком,
Они даже пивка попить
Могут в пятницу вечерком.
Вот придут они вечером в паб
И ноутбук каждый вынет свой,
Ты-то будешь смотреть на баб,
Ну а он следить за тобой.
Ты – простой интернет-баран,
Нет просветов в твоей судьбе,
А он минимум капитан,
Твой куратор из ФСБ/АНБ/ФБР.
Он как ангел-хранитель твой,
И пускай, он не видим тебе,
Он везде и всегда с тобой,
Твой куратор из ФСБ/АНБ/ФБР.
2017-07-12 14:12:56