Операторы Tor2Web прокси подменяют адреса Bitcoin-кошельков
https://goo.gl/yuHCxf
https://goo.gl/yuHCxf
#pentest #exploit
PRET - Printer Exploitation Toolkit
Size: a a a
2018 January 30
Нелегально ввезенные в Россию мобильные устройства — планшеты и телефоны — предлагают заносить в черный список и блокировать их работу.
Соответствующее предложение содержится в концепции регулирования рынка мобильных устройств, которую подготовила и направила в правительство Ассоциация компаний интернет-торговли (АКИТ).
Документ, с которым ознакомился "Коммерсант", предполагает создание базы данных IMEI-кодов мобильных устройств с разделением на белый, серый и черный списки. В черный список предлагается включать похищенные или ввезенные незаконно мобильные устройства и блокировать их.
Авторы концепции предлагают гражданам, ввозящим мобильные устройства из-за рубежа для личного использования, регистрировать их в реестре. При этом будет действовать квота беспошлинного ввоза — не более одного устройства в год, при превышении которой планируется взимать сбор с каждого устройства.
В Россвязи считают базовые положения концепции АКИТ «корректными и обоснованными». Концепция национального реестра, содержащего белый, серый и черный списки, широко применяется в мире и показывает положительные результаты, отметили в ведомстве. «Но для корректной реализации системы требуется более глубокая проработка со всеми игроками рынка», — добавили в Россвязи.
Соответствующее предложение содержится в концепции регулирования рынка мобильных устройств, которую подготовила и направила в правительство Ассоциация компаний интернет-торговли (АКИТ).
Документ, с которым ознакомился "Коммерсант", предполагает создание базы данных IMEI-кодов мобильных устройств с разделением на белый, серый и черный списки. В черный список предлагается включать похищенные или ввезенные незаконно мобильные устройства и блокировать их.
Авторы концепции предлагают гражданам, ввозящим мобильные устройства из-за рубежа для личного использования, регистрировать их в реестре. При этом будет действовать квота беспошлинного ввоза — не более одного устройства в год, при превышении которой планируется взимать сбор с каждого устройства.
В Россвязи считают базовые положения концепции АКИТ «корректными и обоснованными». Концепция национального реестра, содержащего белый, серый и черный списки, широко применяется в мире и показывает положительные результаты, отметили в ведомстве. «Но для корректной реализации системы требуется более глубокая проработка со всеми игроками рынка», — добавили в Россвязи.
Ассоциация компаний интернет-торговли объединяет крупных российских ритейлеров, включая Ozon, Lamoda, Media Markt, re:Store, «220 Вольт», «М.Видео», «Связной», «Спортмастер», «Эльдорадо» и «Юлмарт». Это чтобы вы были в курсе, кого "благодарить" рублём за очередные "полезные" инициативы и нововведения.
Комиссия по товарным фьючерсам США решила изучить подробности работы Bitfinex и (частично связанных с ними) валюты Tether. Там появились некоторые косвенные свидетельства того, что с Tether довольно махинаций. И все это моментально заставило биткоин нырнуть ниже 10к, что не удивительно - Bitfinex очень большая биржа. Ждем подробностей, смотрим как ходлеры закупаются.
http://www.bloomberg.com/news/articles/2018-01-30/crypto-exchange-bitfinex-tether-said-to-get-subpoenaed-by-cftc
http://www.bloomberg.com/news/articles/2018-01-30/crypto-exchange-bitfinex-tether-said-to-get-subpoenaed-by-cftc
В продолжение травли криптовалют: фейсбук будет банить все объявления о криптовалютах, ICO и бинарных опционах. Господа криптовалютные фарцовщики, оценили? Вас поставили в один ряд с бинарными опционами.
http://www.recode.net/2018/1/30/16950926/facebook-mark-zuckerberg-bans-crypto-advertising-bitcoin-james-altucher
http://www.recode.net/2018/1/30/16950926/facebook-mark-zuckerberg-bans-crypto-advertising-bitcoin-james-altucher
2018 January 31
SMB-эксплойт адаптирован для версий Windows 2000 — Windows Server 2016
https://goo.gl/sBh5wN
https://goo.gl/sBh5wN
#Событие #ПДн #СоцСети #Боты
Infowatch делится скандальчиком вокруг компании Devumi (США), которая занимается продвижением страничек клиентов в социальных сетях. Прокуратора США завела дело, на основании использования Devumi ботов с ПДн реальных граждан. Ситуация интересная, с учетом того что мы видим в отечественном "Вконтактике". По-видимому скоро, если уже не сейчас, мы сможем говорить о новом виде мошенничества. Представьте что можно будет сделать с использованием фейковых аккаунтов в будущем, если удасться прикрутить к ботам вменяемого робота, который сможет вести разумный диалог на заданную тему и осуществлять различные осмысленные операции через API соцсети (оставлять комментарии, делать репосты, ставить лайки или жаловаться на нехорошее поведение). Дальше больше: если возникновение полноценных андроидов с человеческой мимикой и координацией станет реальностью (гуглите "Sophia robot"), любители социальной инженерии получат отличный инструмент реализации влажных желаний. Вообщем, чем дальше в лес, тем шире скоуп, который охватывает любимая аббревиатура "ИБ", и тем больше шансов, что в будущем мы услышим ещё больше интересных новостей. ☺️
Источник: https://www.infowatch.ru/analytics/leaks_monitoring/19758?utm_source=twitter&utm_medium=social&utm_content=devumi_using_bots_to_promote_on_social_media&utm_campaign=analytics
Infowatch делится скандальчиком вокруг компании Devumi (США), которая занимается продвижением страничек клиентов в социальных сетях. Прокуратора США завела дело, на основании использования Devumi ботов с ПДн реальных граждан. Ситуация интересная, с учетом того что мы видим в отечественном "Вконтактике". По-видимому скоро, если уже не сейчас, мы сможем говорить о новом виде мошенничества. Представьте что можно будет сделать с использованием фейковых аккаунтов в будущем, если удасться прикрутить к ботам вменяемого робота, который сможет вести разумный диалог на заданную тему и осуществлять различные осмысленные операции через API соцсети (оставлять комментарии, делать репосты, ставить лайки или жаловаться на нехорошее поведение). Дальше больше: если возникновение полноценных андроидов с человеческой мимикой и координацией станет реальностью (гуглите "Sophia robot"), любители социальной инженерии получат отличный инструмент реализации влажных желаний. Вообщем, чем дальше в лес, тем шире скоуп, который охватывает любимая аббревиатура "ИБ", и тем больше шансов, что в будущем мы услышим ещё больше интересных новостей. ☺️
Источник: https://www.infowatch.ru/analytics/leaks_monitoring/19758?utm_source=twitter&utm_medium=social&utm_content=devumi_using_bots_to_promote_on_social_media&utm_campaign=analytics
На волне негативных отношений к криптовалютной теме, Line (создатель самого популярного в Японии мессенджера) собирается встраивать в себя сервисы по торговле криптой, страховки, банки и другие финансовые сервисы. Красивая и понятная история, называется “как заскочить в поезд впереди Телеграма” 🙂 https://www.bloomberg.com/news/articles/2018-01-30/line-is-said-to-plan-expansion-into-crypto-trading-and-insurance
Киберпреступников планируют наказывать принудительными работами
https://goo.gl/KuWECG
https://goo.gl/KuWECG
Знакомые тебе форматы Microsoft Office: docx, xlsx, это zip архив, содержащий данные в виде XML (они так и называются - Office Open XML и подобны OpenDocument Format). А это значит, что если сайт обрабатывает (парсит, конвентирует) подобные файлы - есть вероятность атаки XXE (https://xakep.ru/2012/12/11/xml-apps-attacks-manual/), как следствие, чтение произвольных файлов, SSRF, DoS, в идеале - выполнение произвольного кода.
Если веб-приложение пытается работать с метаданными в изображении (jpg, png, gif, да-да), такими как XMP - то можно попробовать выполнить атаку с помощью них! Чего уж говорить об изображении формата SVG (это вообще XML в чистом виде)!
Так вот, для экспериментов есть отличная тулза, которая позволяет сгенерировать документы и картинки с подобной полезной нагрузкой.
https://github.com/BuffaloWill/oxml_xxe
Если веб-приложение пытается работать с метаданными в изображении (jpg, png, gif, да-да), такими как XMP - то можно попробовать выполнить атаку с помощью них! Чего уж говорить об изображении формата SVG (это вообще XML в чистом виде)!
Так вот, для экспериментов есть отличная тулза, которая позволяет сгенерировать документы и картинки с подобной полезной нагрузкой.
https://github.com/BuffaloWill/oxml_xxe
Ну и по-настоящему утренняя новость (вчерашней свежести): в калифорнии проходит суд против Тиндера, потому что цена платной подписки Tinder Plus разная в зависимости от возраста. Видите ли если вам больше 30, вы должны платить больше. Я негодую вместе со всеми стариками, хоть и не пользуюсь Tinder Plus никогда https://gizmodo.com/judge-can-t-help-but-make-tinder-joke-while-ruling-app-1822566606
Ройтерс сообщает, что Cбербанк собирается заняться криптовалютной торговлей. Но так как в России со статусом этого дела ничего не понятно - делать они это будут зарубежом, на всякий случай.
https://www.reuters.com/article/russia-sberbank-cryptocurrencies/sberbank-plans-to-trade-cryptocurrencies-outside-russia-idUSL8N1PP5SL
https://www.reuters.com/article/russia-sberbank-cryptocurrencies/sberbank-plans-to-trade-cryptocurrencies-outside-russia-idUSL8N1PP5SL
2 дня назад вышел новый отчет об улучшениях в безопасности Chromium'а, которые были сделаны в Q4 2017 года
Что там интересного:
- начиная с версии 63, у Chromium работает блокировка Cross-Site документов (HTML, XML и JSON), если включен режим site-isolation (http://www.chromium.org/developers/design-documents/blocking-cross-site-documents);
- также с 63 версии https://accounts.google.com теперь работает в выделенном рендререре;
- в Google начали разрабатывать Mac Sandbox V2, в котором так называемая warmup phase в macOS, которая сейчас будет работать уже в sandbox'е (https://chromium.googlesource.com/chromium/src.git/+/master/sandbox/mac/seatbelt_sandbox_design.md);
- c 23 ноября на 100% пользователей выкатили новый Chrome Cleanup Tool, улучшенный антивирусными технологиями ESET.
Полный отчет можно прочитать тут: https://dev.chromium.org/Home/chromium-security/quarterly-updates#TOC-Q4-2017
Что там интересного:
- начиная с версии 63, у Chromium работает блокировка Cross-Site документов (HTML, XML и JSON), если включен режим site-isolation (http://www.chromium.org/developers/design-documents/blocking-cross-site-documents);
- также с 63 версии https://accounts.google.com теперь работает в выделенном рендререре;
- в Google начали разрабатывать Mac Sandbox V2, в котором так называемая warmup phase в macOS, которая сейчас будет работать уже в sandbox'е (https://chromium.googlesource.com/chromium/src.git/+/master/sandbox/mac/seatbelt_sandbox_design.md);
- c 23 ноября на 100% пользователей выкатили новый Chrome Cleanup Tool, улучшенный антивирусными технологиями ESET.
Полный отчет можно прочитать тут: https://dev.chromium.org/Home/chromium-security/quarterly-updates#TOC-Q4-2017
Google официально анонсировала поддержку русского языка в Google Assistant в ближайшие месяцы. Пока только на смартфонах.
Компания призвала российских разработчиков к созданию диалогов с GA. Для этого предлагается воспользоваться Actions on Google. Ну а речи о продажах смарт-колонок Google Home пока не идёт.
Компания призвала российских разработчиков к созданию диалогов с GA. Для этого предлагается воспользоваться Actions on Google. Ну а речи о продажах смарт-колонок Google Home пока не идёт.
Безопасность сторонних зависимостей — проверяем при помощи snyk
https://goo.gl/d4YHMB
https://goo.gl/d4YHMB
[Перевод] Рассказ о том, как не дать мне украсть номера кредиток и пароли у посетителей ваших сайтов
https://goo.gl/WqW6Qe
https://goo.gl/WqW6Qe
