Для того, чтобы оно сработало при автоматическом воспроизведении нужно найти уязвимость в библиотеке, которая используется для воспроизведения. А в данном случае представлен вариант исполняемого файла, который запускается - такое в клиенте телеграм происходит только если кликнуть по файлу.
Что интересно, в клиенте последней версии (4.16.6) баг воспроизводится. Но работает только для того, кто отправил файл, требует клика по файлу, ну и естественно установленного питона. Для остальных файл загружается с расширением .untrusted, и соответственно код не исполняется.
С веб-версией есть фича-баг: в десктопном\мобильном клиенте отправляете самому себе ссылку web.telegram.org, переходите по ней, клиент добавляет к ссылке токен, и по этому токену веб-версия создаёт новую сессию без запроса второго фактора. Но при этом в мобильный клиент прилетает уведомление о новой сессии, поэтому совсем незаметно сделать не получится, если нет доступа к устройству
Блеклист вместо вайтлиста для исполнения файлов это конечно капец какое смелое решение; но что интересно, в оригинальном видео консоль открывается ещё до наведения мышки (и теоретически клика) на загруженный файл. То есть это либо другой баг, либо видео фейк
Вспоминая как однажды какой-то школяр, который почему-то подписался агентом поддержки webmoney, в довольно грубой форме написал о том, что мой кошелёк заблокирован, а для разблокировки необходимо явиться лично в московский офис этой шараги (или просто забрать свои деньги и больше никогда к ним не приходить) - ничуть не удивлён тому, что они не договорились с ЦБ. И кстати блокировка случилась не смотря на то, что аккаунту наверное уже лет 10 было, и на него был получен персональный аттестат (идентификация личности с личным присутствует у доверенного аттестатора, скан паспорта и всё такое). Как-то так совпало, что был в Москве по делам, и заскочил к ним в офис, и там сотрудник службы безопасности с очень важным видом задал два вопроса: знаю ли я что-нибудь про криптовалюты и почему у меня такой длинный пароль установлен на аккаунте, но при этом там лежат какие-то копейки. Получив ответы на вопрос аккаунт разблокировали.
Просто второй раз отмазка про слив сотрудника смотрелась бы совсем глупо. Особенно после данной статьи, в которой автор показал, что никаких зиродеев или иных технически сложных атак не потребовалось для того, чтобы украсть тот самый ключ от mailgun, который якобы знает ограниченный круг лиц. Во время апрельской "утечки" для получение данного ключа так же не требовалось ничего, кроме простого браузера.
Из всех доказательств в публикации есть только скриншоты, а времени, прошедшего с заявленной даты обнаружения уязвимости оказалось достаточно для исчезновения всех кешей, которые могли бы подтвердить её существование.
Попробуйте загуглить site:rus.vote
На момент написания комментария 73 страницы доступны для просмотра через "Сохранённую копию".
Пишу так, будто бы ещё в апреле отправил в ФБК информацию об открытых служебных ресурсах в .fbk.info (docker registry, k8s, cAdvisor, etc), на что получил ответ в духе "нам об этом известно, скоро напишем про это статью". Но почему-то в статье оказалось написано не про админов ФБК, а про одного из разработчиков, который пилил интеграцию с mailgun. Выглядит так, будто бы на SMMщиков денег хватило, а на админов нет.
Никто там особо не прятался. На IP одного из доменов, которые рекламировали по всем углам, висела база с логином по умолчанию и без пароля, причём настолько долго, что её успел найти и проиндексировать shodan, а затем через него нашли другие люди, слили и удалили содержимое (теоретически там ещё было возможно удалённое выполнение кода). Да и достаточно было посмотреть поддомены условного fbk.info и ужаснуться количеству того, что без всякой авторизации (либо с дефолтными кредами) общедоступно. Неизвестно сколько бы ещё это всё провисело в таком состоянии, если бы не какой-то случайный товарищ, опубликовавший слитые данные.
Ага, видел эту историю, но там пытались привлечь за продажу, а не за покупку. К сожалению, не смог найти чем закончилась история, надеюсь что просто "перегибы на местах".
Околонулевой. Тем более, после той истории с фермером, заказавшим GPS трекер для коровы, внесли поправки в законодательство, и с тех пор про подобные истории особо не слышно.
Речь про xray. Первое время на комплектацию с обогревом лобового ставили генераторы 150А и с ним не было никаких проблем даже во время прогрева, на холостых. Но потом начали экономить. Дилер проблемы не нашёл, ни в проводке, ни в генераторе, ни в аккумуляторе. Автоваз ответил что ситуацию изучили и дилеру они доверяют, поэтому тоже не видят никакой проблемы. Разница в пол вольта при измерении в прикуривателе и на клеммах АКБ особо ничего не меняет. Да и было бы странно, если бы 120А генератор выдавал 130А на холостых оборотах двигателя.
Подогрев лобового стекла используется минут 5 или максимум 10 за зимнее утро. Потребление при этом составляет примерно 130А, генератор на номинальных оборотах выдаёт 120А, на холостых в районе 90А. На нормальных машинах ЭБУ догадывается поднять холостые обороты, когда видит возросшую нагрузку на генератор, но не в случае с автовазом. После отключения обогрева напряжение в бортовой сети возвращается в норму, но разрядившаяся за 5 минут свинина всё равно не успевает восполнить заряд за пол часа, а когда это повторяется несколько дней подряд, то ёмкость заканчивается. Литий-титанат же за 5 минут сколько отдал, столько за 5 минут обратно и принял, за два сезона эксплуатации на вазе и четыре на уазе проблем замечено не было.
На новой машине менять генератор? За счёт автоваза/АКОМа можно конечно, да и аккумуляторы за их счёт тусовал бы каждый год, но такой опции не оказалось в наличии. А при цене генератора 12-15 тысяч рублей (231009362R) мне вышло дешевле собрать новый аккумулятор из титаната-лития и забыть про его существование
Ага, в качестве решения собираются перейти от чёрных списков к белым, чтобы без предупреждения запускались только фото/видео/аудио файлы.
Для того, чтобы оно сработало при автоматическом воспроизведении нужно найти уязвимость в библиотеке, которая используется для воспроизведения. А в данном случае представлен вариант исполняемого файла, который запускается - такое в клиенте телеграм происходит только если кликнуть по файлу.
Что интересно, в клиенте последней версии (4.16.6) баг воспроизводится. Но работает только для того, кто отправил файл, требует клика по файлу, ну и естественно установленного питона. Для остальных файл загружается с расширением .untrusted, и соответственно код не исполняется.
С веб-версией есть фича-баг: в десктопном\мобильном клиенте отправляете самому себе ссылку web.telegram.org, переходите по ней, клиент добавляет к ссылке токен, и по этому токену веб-версия создаёт новую сессию без запроса второго фактора. Но при этом в мобильный клиент прилетает уведомление о новой сессии, поэтому совсем незаметно сделать не получится, если нет доступа к устройству
Блеклист вместо вайтлиста для исполнения файлов это конечно капец какое смелое решение; но что интересно, в оригинальном видео консоль открывается ещё до наведения мышки (и теоретически клика) на загруженный файл. То есть это либо другой баг, либо видео фейк
Галя, у нас замена!
>>Опубликован проект Pwnagotchi
>>2019-10-19
кто опять изнасиловал редактора хабра?
На мой вопрос "а вы пароли в открытом виде храните что-ли?" ответа не последовало.
Вспоминая как однажды какой-то школяр, который почему-то подписался агентом поддержки webmoney, в довольно грубой форме написал о том, что мой кошелёк заблокирован, а для разблокировки необходимо явиться лично в московский офис этой шараги (или просто забрать свои деньги и больше никогда к ним не приходить) - ничуть не удивлён тому, что они не договорились с ЦБ. И кстати блокировка случилась не смотря на то, что аккаунту наверное уже лет 10 было, и на него был получен персональный аттестат (идентификация личности с личным присутствует у доверенного аттестатора, скан паспорта и всё такое). Как-то так совпало, что был в Москве по делам, и заскочил к ним в офис, и там сотрудник службы безопасности с очень важным видом задал два вопроса: знаю ли я что-нибудь про криптовалюты и почему у меня такой длинный пароль установлен на аккаунте, но при этом там лежат какие-то копейки. Получив ответы на вопрос аккаунт разблокировали.
Просто второй раз отмазка про слив сотрудника смотрелась бы совсем глупо. Особенно после данной статьи, в которой автор показал, что никаких зиродеев или иных технически сложных атак не потребовалось для того, чтобы украсть тот самый ключ от mailgun, который якобы знает ограниченный круг лиц. Во время апрельской "утечки" для получение данного ключа так же не требовалось ничего, кроме простого браузера.
Попробуйте загуглить site:rus.vote
На момент написания комментария 73 страницы доступны для просмотра через "Сохранённую копию".
Пишу так, будто бы ещё в апреле отправил в ФБК информацию об открытых служебных ресурсах в .fbk.info (docker registry, k8s, cAdvisor, etc), на что получил ответ в духе "нам об этом известно, скоро напишем про это статью". Но почему-то в статье оказалось написано не про админов ФБК, а про одного из разработчиков, который пилил интеграцию с mailgun. Выглядит так, будто бы на SMMщиков денег хватило, а на админов нет.
Для условного mongodb это может быть пустой логин и пустой пароль.
Никто там особо не прятался. На IP одного из доменов, которые рекламировали по всем углам, висела база с логином по умолчанию и без пароля, причём настолько долго, что её успел найти и проиндексировать shodan, а затем через него нашли другие люди, слили и удалили содержимое (теоретически там ещё было возможно удалённое выполнение кода). Да и достаточно было посмотреть поддомены условного fbk.info и ужаснуться количеству того, что без всякой авторизации (либо с дефолтными кредами) общедоступно. Неизвестно сколько бы ещё это всё провисело в таком состоянии, если бы не какой-то случайный товарищ, опубликовавший слитые данные.
Ага, видел эту историю, но там пытались привлечь за продажу, а не за покупку. К сожалению, не смог найти чем закончилась история, надеюсь что просто "перегибы на местах".
Околонулевой. Тем более, после той истории с фермером, заказавшим GPS трекер для коровы, внесли поправки в законодательство, и с тех пор про подобные истории особо не слышно.
Видимо дело в том, что у вас другой автомобиль, другие условия эксплуатации и другие погодные условия? Даже не знаю, что могло пойти не так.
Речь про xray. Первое время на комплектацию с обогревом лобового ставили генераторы 150А и с ним не было никаких проблем даже во время прогрева, на холостых. Но потом начали экономить. Дилер проблемы не нашёл, ни в проводке, ни в генераторе, ни в аккумуляторе. Автоваз ответил что ситуацию изучили и дилеру они доверяют, поэтому тоже не видят никакой проблемы. Разница в пол вольта при измерении в прикуривателе и на клеммах АКБ особо ничего не меняет. Да и было бы странно, если бы 120А генератор выдавал 130А на холостых оборотах двигателя.
Почему?
Подогрев лобового стекла используется минут 5 или максимум 10 за зимнее утро. Потребление при этом составляет примерно 130А, генератор на номинальных оборотах выдаёт 120А, на холостых в районе 90А. На нормальных машинах ЭБУ догадывается поднять холостые обороты, когда видит возросшую нагрузку на генератор, но не в случае с автовазом. После отключения обогрева напряжение в бортовой сети возвращается в норму, но разрядившаяся за 5 минут свинина всё равно не успевает восполнить заряд за пол часа, а когда это повторяется несколько дней подряд, то ёмкость заканчивается. Литий-титанат же за 5 минут сколько отдал, столько за 5 минут обратно и принял, за два сезона эксплуатации на вазе и четыре на уазе проблем замечено не было.
На новой машине менять генератор? За счёт автоваза/АКОМа можно конечно, да и аккумуляторы за их счёт тусовал бы каждый год, но такой опции не оказалось в наличии. А при цене генератора 12-15 тысяч рублей (231009362R) мне вышло дешевле собрать новый аккумулятор из титаната-лития и забыть про его существование