Метод аутентификации с помощью OAUTH от Яндекс не работает в приложении Thunderbird, приблизительно с начала июня 2023. Поддержка Яндекс рекомендует переключить в поле "метод аутентификации" на обычный пароль. По поводу инцидента других комментариев поддержка не даёт. Так же рекомендовано обратиться в поддержку клиента Thunderbird.
Опубликован релиз дистрибутива Whonix 17, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2 ГБ c Xfce и 1.3 ГБ консольный). Образ также может быть сконвертирован для использования с гипервизором KVM.
Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента: Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Оба компонента поставляются внутри одного загрузочного образа. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.
Взлом Whonix-Workstation позволяет атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, работающего на базе Whonix-Gateway, который направляет трафик только через Tor.
Источник: OpenNET.
Состоялся релиз системы анализа трафика и выявления сетевых вторжений Zeek 6.0.0 , ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.
Платформой предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени. Список доработок и изменений в новом выпуске Zeek.
Источник: OpenNET.
Бастион запустил программу стажировок для пентестеров
На прошлой неделе в Музее криптографии в Москве стартовала пилотная программа стажировок, которую организует компания Бастион. В течение полутора месяцев ее участники погрузятся в нюансы тестирования на проникновение.
Мы получили около 100 заявок и по результатам анализа технических анкет отобрали 25 участников. Для них стартовала серия закрытых лекций, в ходе которых специалисты нашей компании расскажут, о тонкостях использования Burp Suite, методологии тестирования мобильных приложений, сборе информации в открытых источниках, тактиках инфраструктурных пентестов и многом другом.
Стажеры отработают полученные знания на тестовых стендах, поучаствуют в лабораторных работах и индивидуальных исследовательских проектах под руководством практикующих пентестеров. Мы рассчитываем, что стажировка поможет начинающим безопасникам почувствовать, что значит работать в команде белых хакеров и найти в ней свое место.
После завершения программы участников ждут сертификаты о прохождении стажировки и подарки от компании. Лучшие из лучших получат офферы, а их работы мы планируем разобрать в блоге на Хабре. Следите за обновлениями.
Неповоротливый Telegram на радость мошенникам
Я очень люблю Telegram и это прекрасный мессенджер. Действительно, за последние несколько лет я понял, что это лучший способ коммуницировать с другими людьми через интернет.
Однако я невероятно возмущен тем, как устроена политика безопасности Telegram. Внутри построено всё таким образом, что если у меня мошенник угоняет аккаунт, то я не могу его вернуть себе по той причине, что мошенник будет разрывать мою сессию. А если я попытаюсь выкинуть сессию, то “посидите сутки и тогда удаляйте сессии”.
Telegram катастрофически не хватает функционала, который бы позволил разорвать все сессии, используя какой-нибудь способ подтверждения по Telegram, телефону или почте. То есть можно было бы взять выкинуть все аккаунты из сети. Если я имею доступ к своему телефону/почте и через нее разорву сессии, то уже я зайду в аккаунт.
До тех пор пока нету такого функционала, у мошенников будет прекрасная возможность разводить других людей на деньги. Меня это катастрофически расстраивает и я, бесплатно, уже несколько месяцев, ежедневно, возвращаю 1-2 аккаунта людям с помощью своего бота (который делает одно — провоцирует Telegram разорвать все сессии, включая сессию бота).
Я конечно надеюсь, что Telegram рано или поздно сделает такой функционал. Я общался с людьми, которые работают волонтёрами на поддержку Telegram — там этот вопрос уже давно обсуждается, но, видимо, Павел Дуров настолько не поворотлив, что что-то с этим менять он не хочет...
Павел Жовнер подтвердил в интервью изданию "Хакер", что работа над Flipper One продолжается.
По его словам, работа над вторым и более продвинутым вариантом хакерского мультитула Flipper One не прекращалась с 2020 года. Старшая модель Flipper One планировалась как более продвинутая версия Flipper Zero для атак на проводные и беспроводные сети. One должен был обладать всей функциональность Zero, а также иметь отдельный ARM-компьютер с Kali Linuх на борту.
«Мы сейчас работаем над Flipper One, но пока не совсем понимаем, каким он должен быть. Мы хотим вообще жирный комбайн с FPGA и SDR, в котором все протоколы можно будет определить программно, но пока есть сомнения, будут ли покупать устройство за 300–500 долларов.
Так что проект в активном R&D, но пока нет понимания по важным частям. Например, не выбрали модуль Wi-Fi, потому что все существующие чипы, пригодные для атак, уже устарели. Возможно, придется спонсировать разработку своего драйвера. В общем, увидим», — сообщил Жовнер.
Доступен выпуск криптографической библиотеки Botan 3.1.0, применяемой в проекте NeoPG, форке GnuPG 2. Библиотека предоставляет большую коллекцию готовых примитивов, используемых в протоколе TLS, сертификатах X.509, шифрах AEAD, модулях TPM, PKCS#11, хэшировании паролей и постквантовой криптографии (подписи на основе хэша и согласование ключей на основе McEliece). Библиотека написана на языке C++ и поставляется под лицензией BSD.
Среди изменений в новом выпуске:
Добавлена поддержка алгоритма для работы с цифровыми подписями SPHINCS+, применяющего методы криптографии на основе хеш-функций, устойчивые к подбору на квантовом компьютере.
Добавлены обвязки для использования инструкций AVX-512. Добавлены реализации алгоритмов ChaCha и Serpent, использующие AVX-512.
Реализация TLS 1.3 переведена на использование интерфейса KEM (Key Encapsulation Mechanism).
Добавлена возможность отключения определённых расширений CPU через выставление переменных окружения.
Добавлены функции FFI, связанные с управлением ключами Kyber.
Проведено переформатирование кода при помощи утилиты clang-format.
Улучшена обработка настроек PBKDF в интерфейсе командной строки.
В утилитах командной строки для работы с TLS добавлена поддержка использования PSK.
Настройки PBKDF в python-модуле изменены с применения 10 тыс. итераций на 100 тыс.
Внесены исправления для улучшения соответствия спецификациям TLS
Проведена оптимизация кодирования методом base64.
Источник: OpenNET.
Картинки в рассылке губернатора Московской области на самом деле лежат на Латвийском сервере.
При исследовании html письма с рассылкой я обнаружил, что ссылки на картинки из шапки и подвала ведут на закрытый сервер, предназначенный для технического использования.
This domain is used for technical purposes. You have probably found it in an email sent by one of our clients. Пишется при переходе в адресной строке.
Каким образом получилось, что картинки для рассылки государственного деятеля лежат именно там, загадка. На мой взгляд, для большей конфиденциальности им следовало бы лежать на серверах России, а не Латвии.
Фото 1 Фото 2 Фото 3 Фото 4
VK повышает вознаграждение этичным хакерам до 7,2 млн рублей💸
Такие выплаты будут ждать исследователей безопасности программы «Почта, Облако и Календарь» с 30 июня по 30 июля 2023 года. Вознаграждение удвоится за все уязвимости, найденные на стороне сервера (server side).
🔥Максимальная награда за баг критического уровня опасности составит 7,2 миллиона рублей!
«Информационная безопасность — один из стратегических приоритетов для VK. Если говорить о выплатах в рамках нашей программы багбаунти, важно охватить всех исследователей, которые готовы искать новые уязвимости и получать вознаграждение. Такой инструмент, как повышение выплат, позволяет сосредоточиться на определенных продуктах и повысить их безопасность», — отметили в компании.
Всего на Standoff 365 Bug Bounty зарегистрировано 5700 исследователей, они сдали 2200 отчетов и получили более 32 млн рублей.
Начать искать баги и делать сервисы VK безопаснее можно прямо сейчас!
Недавно мы узнали, что российский телекоммуникационный гигант "Мегафон" начал блокировать VPN-сервис Wireguard. Это вызвало определённое беспокойство среди пользователей, которые регулярно полагаются на VPN для защиты своей конфиденциальности и сохранения доступа к информации.
Пользователи отметили, что проблемы начались без предупреждения, что может свидетельствовать о том, что "Мегафон" начал целенаправленно блокировать Wireguard.
Но не всё так плохо, как кажется. Для тех, кто столкнулся с этими проблемами, хочется напомнить о методике обхода блокировок Wireguard, о которой я рассказывал в этой статье. Этот способ был изначально разработан для обхода блокировок в Египте, но, судя по информации, полученной от пользователей, он также эффективно работает для "Мегафона".
Компания «ИнфоТеКС» заявила, что программный комплекс ViPNet OSSL получил сертификат ФСБ России. Сертификат подтверждает соответствие программного комплекса ViPNet OSSL требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС1 (для исполнений 1, 4, 7, 8, 9), класса КС2 (для исполнений 2,5), требованиям к средствам электронной подписи, установленным для класса КС1 (для исполнений 1, 4, 7, 8, 9), класса КС2 (для исполнений 2, 5).
Кроме того, «ИнфоТеКС» рассказала, что получение ещё одного сертификата ФСБ России, на соответствие требованиям для класса КС3 (исполнения 3 и 6) ожидается в 3 квартале 2023 года.
20 мая 2023 года в открытый доступ попал SQL‑дамп из CMS Bitrix с частичной базой данных зарегистрированных пользователей сайта infotecs.ru, принадлежащего российской ИБ‑компании «ИнфоТеКС». 22 мая российский разработчик средств защиты информации «ИнфоТеКС» подтвердил утечку данных о пользователях своего сайта.
Запрет GPS в городах
С недавнего времени, во многих городах появились проблемы с GPS. Случилась данная ситуация после атаки дрона на Кремль. И у меня возник вопрос. Как искажение gps может предотвратить будущую атаку? У меня появилось несколько идей, как можно определять местоположение без gps.
Мобильные вышки
Местоположение всех вышек известно заранее. Давайте тогда просто сделаем триангуляцию с помощью дрона и этих вышек.
Камера
У нас есть спутниковые карты. Значит мы можем к примеру прикрутить камеру к дрону и снимать где мы сейчас пролетаем. С помощью opencv мы будем сравнивать карту и сможем найти наше местоположение .
WiFi
Большинство точек wifi статичны, и с помощью той же триангуляции мы так же можем найти свое местоположение.
Вывод
Запрет gps не имеет смысла потому что это очень просто обходится и для иностранных спецслужб это не является проблемой.
Сегодня проскочила новость про задержание владельцев TG каналов. В частности там упоминается интересный момент
Учетные записи админов были зарегистрированы на сим-карты операторов мобильной связи Украины, Черногории, Словении и Испании.
Так делится все таки Telegram данными о пользователях или нет?
Как вытащить данные из Authy
TL;DR спиз сделал краткую версию заметки на GitHub и перевел её на русский язык.
Дисклеймеры
Общий дислеймер • О личности автора • Отказ от ответственности • Об использовании ChatGPT
Аннотация
Данный пост помогает с решением проблемы переэкспорта секретов из приложения для двухфакторной и многофакторной аутентификации Authy.
Pre-requisites
Вам нужно иметь следующие условия для следования инструкции по работе скрипта:
Иметь Windows, ну, либо Windows имеет вас, не особо важно;
Иметь браузер, соответствующий стандарту ECMAScript 2015. То есть, по факту, любой браузер от 2015 года выпуска;
Иметь установленное приложение Authy, в котором вы выполнили вход. Желательно введя пароль от облачной резервной копии.
В любом другом случае вам следует прочесть полную версию инструкции по ссылке.
Собственно, инструкция ниже в комментарии. Простите, но оно не влазит в формат поста.
Заметка для самого себя - как подключиться к ChatGPT или другим сайтам с компьютера, когда Psiphon или Lantern не хотят запускаться прямо сейчас.
Решение - использовать защищённый прокси вместо чего-то другого:
chrome --ignore-certificate-errors --ignore-ssl-errorsrs --proxy-server=167.172.173.210:42775 --user-data-dir="%TEMP%\chrprofile1" "https://chat.openai.com/auth/login" "https://www.whatismyip.com/"
А списки прокси-серверов вместо 167.172.173.210:42775 смотреть здесь:
