Потому что QIP похоже RIP

Прочитав два предложения из заголовка, некоторые гости Хабра испытают на себе разновидность "эффекта Манделы". Ведь согласно распространенному мнению проект QIP уже давно мертв. А вот и нет! Он вполне себе существовал и даже работал более-менее, до недавнего времени…

Некогда популярный, а теперь растерявший былую славу портал QIP.ru, который на определенном этапе включал в себя агрегатор новостей, форумы, почту, мессенджер, фотохостинг и другие сервисы, окончательно пришел в полный упадок. Приблизительно с 20 августа 2018 года начались постоянные перебои с авторизацией в сервисах, доступом к почтовым ящикам и доставкой писем. По состоянию на 25 сентября 2018 QIP.ru периодически уходит в полную недоступность вплоть до нескольких дней.



В один из моментов «просветления», когда сайт вновь заработал, текущие владельцы вывесили объявление о продаже доменов, формирующих почтовый пулл портала. Объявление провисело пару дней между несколькими даунтаймами, а потом пропало.

Техническая поддержка пользователям не оказывается. Раздел техподдержки недоступен. Никаких предупреждений об EOL (End of Life — завершение обслуживания) или длительных технических работах не рассылалось. Вот такой вот бесславный конец.

UPD В комментариях предложили инструкцию по выживанию.
UPD от 29 сентября 2018 Сейчас портал относительно работоспособен, и на нем появилась надпись:

Проект был продан ООО «Престиж Медиа». Мы обновляем серверное оборудование. С 1 октября 2018 года проект продолжит полноценную работу и развитие. Всё будет хорошо :) Всем мир! :)

UPD от 21 декабря 2018 Почту киповских доменов перенесли на Яндекс!

Комикс xkcd

В популярных домашних сетевых хранилищах My Cloud от компании Western Digital обнаружена уязвимость (CVE-2018-17153), она позволяет атакующему обойти механизм аутентификации и создать административную сессию, привязанную к его IP-адресу.

UPD Опрос показывает, что почти каждый четвертый читатель Хабра находится буквально в шаговой доступности от уязвимого устройства.

Ремко Вермелен, исследователь в области информационной безопасности, обнародовал все детали уязвимости в популярных устройствах Western Digital My Cloud. На этот шаг эксперт пошел тогда, когда компания после нескольких его обращений не устранила брешь и 15 месяцев спустя.

Вермелен проинформировал производителя о проблеме еще в апреле 2017 года, но компания какой-то момент по неизвестной причине в прервала контакты с исследователем. Обычно «белые» хакеры дают компаниям 90 дней на закрытие обнаруженной уязвимости, однако в нашей истории ожидание явно подзатянулось.

К сожалению, пока внимание толп людей было приковано к анонсам таких гигантов индустрии как Apple, релиз одной некоммерческой, но довольно популярной игровой ретро-платформы, прошел почти незаметно. Вышел DOSBox 0.74-2.

Если вы каким-то чудом упустили эту эпоху, то напомню, что DOSBox — эмулятор для PC, создающий DOS-окружение, необходимое для запуска старых игр и программ (с определенными ограничениями) под MS-DOS. Это позволяет играть в такие игры во множестве операционных систем, не поддерживающих или поддерживающих DOS-программы не полностью, и на современных компьютерах, на которых старые программы могут не работать или работать с проблемами.

Безразличие людей можно понять, ведь тут всего лишь минорный релиз с баг-фиксами, а по соседству целых три варианта новейших iPhone презентуют. Однако, не стоит забывать, что этот минорный релиз готовили целых пять лет, а порты эмулятора существуют для полутора десятка операционных систем, среди которых есть MacOS и iOS. И какая другая программа, если не DOSBox, позволит вам в полной мере насладится всем разнообразием классических хитов серебряного века игровой индустрии?

UPD Проблема предположительно устранена на момент времени 12:30 МСК



Крупный сбой в сервисах российского интернет-гиганта. Утром 11 сентября 2018 года интернет-пользователи сообщили о недоступности основной веб-версии Яндекс.Почты и «Почты для домена». Проблема возникает при попытке авторизации через Паспорт «Яндекса» не зависимо от версии браузера.






Техническая поддержка Яндекса рекомендовала использовать облегченную версию почтового сервиса.
В компании никак не прокомментировали причину сбоя, но подтвердили, что есть «некоторые трудности со входом в почту»:

Итог от 30 августа 2018: Яндекс уступил РКН и удалил все ссылки на подозрительные видео.

29 августа 2018 года «Яндекс» отказался выполнять требования Роскомнадзора об удалении ссылок на пиратский контент из поиска по видео и назвал такие требования необоснованными.



«Интерфакс» сообщил, что «Яндекс» собирается обжаловать решение Мосгорсуда об удалении пиратского контента из поисковой выдачи «Яндекс.Видео».

Пресс-служба «Яндекса» распространила заявление, в котором, в частности, говорилось следующее:

В соответствии с законом «Об информации, информационных технологиях и о защите информации» механика такова: пиратский контент блокируется на стороне владельца сайта и на так называемых «зеркалах» этого сайта.

Требования блокировки не распространяются на поисковики. Система работает так уже давно.

Сейчас же, в ответ на обращение телеканалов, Мосгорсудом были вынесены определения, кардинально противоречащие его собственной ранее сложившейся практике по этому вопросу. Что ещё хуже, они не решают проблемы спорного контента, так как ресурсы с таким контентом будут доступны в других поисковых системах, социальных сетях и так далее.

Мы считаем требования в наш адрес необоснованными и не соответствующими законодательству и будем обжаловать определения Московского городского суда.

По словам представителей компании, в целях поиска решения проблемы «Яндекс» надеется на сотрудничество с участниками рынка «в рамках существующего правового поля». Так же было отмечено, что «Яндекс» выступает за качественный легальный контент для пользователей, на котором правообладатели зарабатывают «законные деньги». В компания привела свои сервисы «Яндекс.Музыка» и «Кинопоиск» в качестве доказательства возможности существования такого симбиоза.

Если пиратский контент не будет удален, то сервис «Яндекс.Видео» будет заблокирован, даже в случае если обжалует решение Мосгорсуда, заявил заместитель главы Роскомнадзора Вадим Субботин корреспонденту ТАСС.

Telegram согласился передавать спецслужбам (UPD: кроме российских спец служб) IP-адреса и номера некоторых пользователей по судебным решениям.


Иллюстрация lj-top.ru

На официальном сайте Telegram обновилась страница с Политикой конфиденциальности. Там много занимательных вещей, но наибольший интерес должен вызвать пункт 8.3

8.3. Law Enforcement Authorities
If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant authorities. So far, this has never happened. When it does, we will include it in a semiannual transparency report published at: t.me/transparency.

Согласно новому пункту 8.3, на основании судебного распоряжения управляющая компания мессенджера Telegram сможет передавать властям IP-адрес и номер телефона пользователя, в случае если судебный документ подтвердит, что этого пользователя подозревают в терроризме.

Отмечается, что до сих пор подобных ситуаций не происходило. Если такое будет иметь место, руководство Telegram обещает публиковать информацию об этом в полугодовом отчете на специальном канале Transparency Reports.

Компания Valve представила проект Proton — запуск Windows-игр на Linux.


Иллюстрация wccftech.com

Valve решила не останавливаться на выпуске SteamOS, своей игровой версии Linux, и объявила о выходе бета-версии сервиса Steam Play с модифицированной версией Wine, под кодовым именем Proton. Новая версия программного обеспечения позволяет, ни много ни мало, запускать Windows-игры на Linux прямиком из Steam. В целом, проект Proton ставит перед собой весьма амбициозную цель — обеспечить возможность запуска всех Windows-игр каталога Steam под Linux, что называется «из коробки».



На данный момент объявлено о полной поддержке 26 игр. Кроме того, энтузиасты могут попробовать запустить любую игру, задействовав опцию Enable Steam Play for all titles в настройках. Все результаты попыток запуска игр записываются в google-таблицу.

Привет, Хабр!

После релиза ReactOS версии 0.4.9 прошло уже некоторое время, мы не можем не поделиться с вами обратной связью, которую мы получили. Например, один из фанатов ноутбуков под брендом Thinkpad записал такое красивое видео:


Как хорошо заметно, ReactOS, вопреки распространенным слухам, вполне сносно справляется с работой на реальном железе.

Один из крупнейших социальных хабов интернета, Reddit, в среду заявил о проникновении киберпреступников в свою сеть.

Злоумышленникам удалось получить доступ к различным данным: базе с email-адресами и хешированными паролями пользователей, зарегистрированных с 2005 по 2007 год, электронные письма пользователей, исходные коды, внутренние файлы и «все данные Reddit с 2007 года». Сообщается, что инцидент имел место между 14 и 18 июня 2018 года, и проникновение обнаружили 19 июня. Злоумышленники скомпрометировали нераскрываемое число сотрудников Reddit и проникли в «несколько систем», получив доступ к данным.


Иллюстрация от theguardian.com

Представители Reddit официально признали факт взлома и изложили суть произошедшего в своем блоге:

19 июня нам стало известно, что хакер скомпрометировал несколько учетных записей Reddit с доступом к облаку и исходному коду, перехватив коды проверки двухфакторной аутентификации, которые пришли по SMS

Мы сотрудничаем с правоохранительными органами, делаем необходимое для устранения последствий текущей ситуации, а также постараемся сделать все, чтобы избежать подобных инцидентов в будущем. Пострадало лишь небольшое количество пользователей, которых мы уже успели уведомить

Недостаток в протоколе Bluetooth оставался без внимания более десятилетия, но гром все-таки грянул. Проверьте свои устройства!

Израильские ученые Эли Бихам Лиор и Ньюман обнаружили серьезную криптографическую уязвимость в спецификации стандарта Bluetooth. Брешь позволяет злоумышленнику осуществить атаку "человек посередине" для перехвата и подмены ключей шифрования во время установки соединения между двумя устройствами. Проблема связана с недостаточной проверкой параметров безопасности и затрагивает реализацию протокола в драйверах устройств вендоров таких как Apple, Qualcomm, Intel и Broadcom и многих других.

Уязвимость под номером CVE-2018-5383, о которой объявила Bluetooth SIG, потенциально позволяет злоумышленникам вмешаться в процесс сопряжения двух устройств по Bluetooth.


Изображение digit.in

Привет, Хабр!
Футбольный карнавал закончился, а праздник жизни под названием «Разработка ReactOS» как ни в чем не бывало продолжается! Мы представляем вашему вниманию очередной релиз нашей операционной системы.

В этом выпуске — стабильность, еще раз стабильность и множество новых мелких удобств для потенциального пользователя тестера.

Скачать установочные образы | Пресс–релиз | Список изменений | TL;DR | Тесты и список регрессий

Причина, по которой Блокнот (он же Notepad) постигла участь гадкого утенка, уже давно мало кого интересовала. Пока не произошло неожиданное…

В это трудно поверить, но Блокнот — одно из самых известных, древних и одновременно самых простых приложений Microsoft — ждет весьма объемное обновление. Важно отметить, что эта программа (из комплекта базовой поставки большинства всех версий Windows) почти четверть века кочевала из одного выпуска операционной системы в другой практически без каких-либо изменений.

Сложно сказать, что случилось в Microsoft, сдохли ли волки в личном зоопарке одного из топ-менеджеров или кто-то случайно встал «с той ноги»… Но после недавнего внезапного внедрения поддержки юниксового перевода строки, в корпорации видимо решили не останавливаться на достигнутом…

Все ещё не можете перестать изливать праведный гнев на несчастную бургерную? Ещё помните про индексацию каких-то там полуприватных Гуглдоков поисковиками? Тут нашлось кое-что более впечатляющее!

Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!

Пример поисковой строки.

В эпоху неуправляемых баллистических снарядов возникла поговорка, что «в одну воронку дважды бомба не падает». С тех пор появились боеприпасы, с корректируемой траекторией полета, а поговорка стала символизировать надежду на то, что люди могут учиться на чужих ошибках, и дважды epic fail по одному и тому же сценарию произойти не сможет. Однако, как говорится, «никогда такого не было, и вот опять»…

Не успели все еще как следует позабыть историю из января 2017 года, когда фитнес-сервис Strava раскрыл расположения секретных объектов США, как произошел еще более эпичный провал у другого аналогичного сервиса. Спортивное приложение Polar Flow показало, где живут сотрудники секретных военных баз и других чувствительных объектов особого значения.

Удивительно, что сервис Polar Flow отдавал еще больше данных, чем это было в случае со Strava. К сожалению, жизнь ничему не научила сотрудников, отвечающих за защиту информации в Polar. Теперь можно было не просто ограничиться поиском людей, занимающихся спортом на секретных объектах. Но, что более важно, — узнать полные имена таких людей, а еще как часто и где они тренировались ранее.

5 июля 2018 Европарламент рассмотрел директиву о защите авторского права в интернете и принял решение ее отклонить. «Против» внесения соответствующих изменений проголосовали 318 депутата при 278 голосах депутатов «за», а 31 человек воздержались. Законопроект отправили на доработку перед повторным рассмотрением в сентябре 2018 года…


Изображение theverge.com

Директива об авторском праве предполагала ужесточение регулирования объектов авторского права в интернете, наделав очень много шума и вызвав бурную реакцию интернет-пользователей. Наибольшие опасения у противников директивы вызывали 11-я статья о «налоге на ссылки» и 13-я статья — об ответственности онлайн-платформ за контент, загружаемый пользователями.

В частности активисты опасались, что 13-я статья вынудит сайты массово удалять пользовательский контент — к примеру, мемы на основе кадров из фильмов. Законодательный проект даже получил кличку анти-мемного закона («anti-meme»).

Федеральная служба безопасности вынесла на общественное обсуждение поправки в Уголовный и Административный кодексы Российской Федерации, в которых предлагается определить термин «специальные технические средства, предназначенные для негласного получения информации».

Сейчас определения таких технических средств нет. В новых редакциях УК и КоАП под такие специальные средства в теории будут подпадать и многочисленные приложения для смартфонов с функциями с записи аудио, видео и фото в скрытом или неявном режиме.


Скриншот рекламы приложения для осуществления фото- и видео-записи с имитацией полного выключения смартфона.

В пояснительной записке к законопроектам говорится, что новое значение термина основано на мнении Конституционного суда. Но в постановлении КС отсутствует точное указание на то, что программы следует относить к специальным техническим средствам.

Новое определение специальных технических средств, по мнению ФСБ, позволит четко разграничить шпионские устройства с приборами, которые «рассчитаны лишь на бытовое использование массовым потребителем».

Разработчики сервиса FindFace, с помощью которого можно по фотографии находить людей «ВКонтакте», объявили о прекращении работы над его общедоступной версией и ее поэтапном отключении с 1 июля.

Проект пытались подать публике как «инновационный сервис знакомств с двойниками известных людей» за 150 рублей в месяц, но использовался он не только в «амурных делах», а еще например, пользователями «Двача» для деанонимизации и преследования порноактрис и поиска как преступников, так и просто участников оппозиционных митингов.

28 июня 2018, приблизительно в момент времени 20:20 UTC, неустановленые субьекты заполучили контроль над административными аккаунтами Gentoo на Github и произвели модификации кода в репозиториях и на справочных страницах. Данная информация распространена в официальной рассылке проекта Алеком Уорнером. В данный момент команда разработчиков работает над расследованием событий и устранением нарушений.

Все зеркала проекта Gentoo на Github следует считать скомпрометированными. Если вы что-то скачивали с этих ресурсов после даты взлома — вы находитесь в зоне риска. Сама инфраструктура проекта Gentoo, по имеющейся информации, не затронута.

Алек Уорнер отмечает, что обычно все легитимные коммиты в код Gentoo подписаны цифровой подписью, поэтому их можно верифицировать с помощью утилит git. GitHub не является основным местом разработки Gentoo Linux, а весь код и коммиты просто зеркалируются из репозиториев на серверах обственной инфраструктуры Gentoo.

Сегодня праздник у железячников, ремонтников, сисадминов и эникейщиков!
После долгого забвения был возобновлен выпуск легендарного загрузочного диска Hiren's BootCD.

Hiren's BootCD (также известный как HBCD) представляет собой загрузочный образ с программным обеспечением для записи на CD\DVD\USB-flash, содержащий ряд диагностических утилит, таких как тесты производительности системы, программы для форматирования и разметки, средства клонирования и создания образов диска, инструменты для восстановления данных, инструменты для работы с MBR, инструменты прошивки и модификации BIOS и других средств для исправления различных компьютерных проблем.

На этот раз дистрибутив базируется на 64-разрядной Windows PE 10.0 и содержит только легальные для свободного распространения программы, при условии, что вы будете использовать HBCD исключительно в целях диагностики и устранения компьютерных неисправностей, а не в качестве основного ПО для компьютера.

Выпуском новых официальных версий занимается группа особо преданных фанатов дистрибутива, которым был передан доступ к официальному сайту (старая версия сайта до анонса новых версий), в то время как оригинальный автор давно отошел от дел.

Хочу поделиться с общественностью весьма подозрительными наблюдениями о работе с персональными данными вкладчика в АО «Сбербанк Управление Активами». Если кратко — в анкетные данные нового клиента вносится данные «левого почтового аккаунта» при отсуствии собственного электронного ящика у клиента. Насколько это серьезно, на данный момент сложно сказать, но, очевидно, что в принципах ИБ лучше перебдеть, чем не добдеть.

Организация была мной надлежащим образом уведомлена о ситуации, но ее представители считают, что проблемы не существует. Ниже следует более подробное описание обнаруженного явления.