В продолжение секурити сабжа. Уже скоро 🙂

Вот та новость, которую мы все так ждали – опубликована программа конференции #ZeroNights 2019: https://zeronights.ru/program/

Скорее берите билеты и друзей - мы ждем вас 12 и 13 ноября в Санкт-Петербурге в клубе A2!

Чуть-чуть но все-же скомпроментированы. NordVPN (оооочень многие пользуются на сколько слышал) и TorGuard говорят что все путем, но при этом сервер(а) все же были скомпроментированы.

Хорошая таблетка для спокойного сна) Успокаивающие посты на тему подтверждения инцидентов и что на самом деле все хорошо в офф блогах

NordVPN
https://nordvpn.com/blog/official-response-datacenter-breach/

TorGuard
https://torguard.net/blog/why-torguards-network-is-secure-after-an-isolated-2017-server-breach/

Вышел новый Tails (дистрибутив созданный для обеспечения приватности и анонимности), основные изменения:
- Исправлены баги связанные с security
- Новый  KeePass
- Улучшена поддержка железа и производительности за счет использования Linux ядра 5.3.2

Полный набор описаний, ссылки на загрузку образов здесь:

https://blog.torproject.org/new-release-tails-40

Avast, AVG и Avira - уязвимости эскалации привилегий через dll + PoC

Avira
https://safebreach.com/Post/Avira-Antivirus-2019-4-Services-DLL-Preloading-and-Potential-Abuses-CVE-2019-17449

Про Avast + AVG
https://safebreach.com/Post/Avast-Antivirus-AVG-Antivirus-DLL-Preloading-into-PPL-and-Potential-Abuses

GitLab телеметрия, здесь. Нужно больше телеметрии. Встречайте новое соглашение об использовании сервиса :)

https://gitlab.com/gitlab-org/gitaly/issues/2113

⁠
Бесплатный онлайн практикум DevOps by REBRAIN: Helm-Ansible
Подойдет Системным Администраторам / Инженерам / Программистам
⁠
Регистрация (количество мест ограничено) - https://clck.ru/JG8vy

Дата / Время
• 29 Октября (Вторник) в 19:00 по МСК

Что будет
• Почему Helm? Зачем Ansible?
• Обзор шаблонов роли и плейбука
• Создание роли и плейбука для своего собственного деплоймента приложения

Ведет
Лиза Постарнак - Senior DevOps engineer AirPush. Senior DevOps engineer Arvato Financial Services. Creator REBRAIN. Estonia, Tallinn
⁠

Минимум несколько раз уже было в этом году (утечки из Сбербанка). Вспоминается как как-то председатель правления Сбербанка сказал,  что "век программистов" закончился... Видимо в чем-то он был прав :)

⁠
Немного Ахтунга. Согласно опросу одной из маркетинговых компаний, эра 5G будет стимулировать волну потокового видео на 70-80% больше, чем это происходит сейчас
⁠
Для примера, с ростом технологий в 2015 году, рост потокового видео составлял 47%, сейчас видео вообще по всюду, в метро, на улицах, телефонах...

Не малую часть от всего этого составляет реклама, маркетинговые материалы, люди УЖЕ ПЛАТЯТ ЗА ТО, ЧТО-БЫ НЕ ВИДЕТЬ РЕКЛАМУ (взять тот-же youtube, который генерирует рекламу тоннами и берет деньги за это и с другой стороны берет деньги тоннами от пользователей, которые не хотят видеть рекламу, это нонсенс, но эта модель работает)

К 2022 году прогнозируется рост потокового видео до 70%, а это тоже рост рекламы и ненужной информации в мозги потребителей. В общем нужно уже сейчас задумываться (кто еще не задумался) о блокировочных механизмах, которые предотвращают загрузку ненужного контента в мозги индивидов и себе в частности)

И тут главный вопрос - кому больше нужен этот ваш 5G? Потребителям, маркетингу, крупным корпорациям?...

Собственно исследование с цифрами на сайте той самой компании (IHS Markit)
⁠

Установи или умри :) Или отложи, но потом установи :) Теперь на заблокированном экране тоже 😡

Виновый с ником "Антон 2131" найден.

Информация на офф сайте мвд:
https://xn--b1aew.xn--p1ai/news/item/18722771/

*за ссылку спасибо BORODA(C)

AWS подвергся массированной DDoS атаке, исходя из рекомендаций приведенном в посте, они не совсем осилили свалившийся на них поток :))

https://news.ycombinator.com/item?id=21328285

Шедевральный патч.

Вообще нам MS должно платить за тестинг их бажных продуктов, а не наоборот - мы платим им за то что-бы тестить и отправлять им баг-репорты..

И только подумать - это коммерческий продукт! Который должен работать стабильно (ведь оплата в том числе за это) и если по вине хот-фикса данного продукта, что-то ломается, то где компенсации, Карл?))

Проект Russian Fedora прекращает существование (это сборка Fedora, которая затачивалась энтузиастами специально для русскоязычного населения). Однако печаль, сам не пользовался, но встречал пользователей именно этой сборки:

https://www.opennet.ru/opennews/art.shtml?num=51754

Опять криво настроенный Elastic. 7 млн учётных данных пользователей Adobe Cloud находились в открытом доступе в интернете.

- email
- страна проживания
- дата создания учётной записи
- список используемых Adobe продуктов
- сотрудник Adobe да / нет
- id пользователя
- когда последний раз заходил пользователь
- статусв платежей

https://www.comparitech.com/blog/information-security/7-million-adobe-creative-cloud-accounts-exposed-to-the-public/

WireGuard возвращён в Google Play, посмотрел описание, ссылки на донат нету - все же заставили убрать..

https://play.google.com/store/apps/details?id=com.wireguard.android

Информация к размышлению. Пентагон заключил с MS сделку на $10 млрд долларов (10 миллиардов, Карл!)... Как бы хрен с ними, ну заключили и заключили, но что это может потенциально значить для всех остальных?..

В интернетах этот проект стали сравнивать с "гнусным скайнетом"... Один из сотрудников MS высказал на это - "Многие сотрудники Microsoft не верят, в то, что мы строим, должно использоваться для ведения войны".... А MS высказался - Microsoft защищает свой интерес к военным контрактам, заявив - "все мы, живущие в этой стране, зависим от ее сильной обороны."...

Это как-бы тоже все правильно, НО правильно ли использовать облачные сервисы MS тем, кто использует в своей работе конфиденциальные данные людей? или геоданные или данные о мобильных устройствах и их владельцах или частную, приватную переписку?... И что может произойти, когда Редмонд отключит доступ к своим серверам из неугодных регионов? как может вся собранная информация быть обернута в злонамеренные цели (ведь у MS уже есть официальный искусственный интеллект, пока называемый просто ML, который продается, как сервис)...

А вся эта собираемая телеметрия в Windows?... ) Все льется как бы туда... в облако :)

https://www.bangkokpost.com/world/1780294/pentagon-awards-10-bn-cloud-contract-to-microsoft-snubbing-amazon

Официальное уведомление от банка, на официальном сайте об утечке данных 3 миллионов граждан итальянского региона, все как обычно - имена, города проживания, номера телефонов, адреса электронной почты...

Эпично то, что это официальное признание (не отрицание, как это было недавно в одном из крупнейших банков России)...

https://www.unicreditgroup.eu/en/press-media/press-releases/2019/unicredit-2015-data-incident.html

Фейковые блокировщики рекламы в магазине расширений Google chrome. Код базируется на исходном коде AdGuard что делает фейки довольно качественными продуктами. Что делают эти расширения - подсаживают партнёрские рекламные куки в браузер... В сутки два фейковых блокировщика имеют почти под два миллиона активных пользователей. Будьте внимательны не-любители рекламы:)

Статья от первого лица:

https://adguard.com/en/blog/fake-ad-blockers-part-2.html

Fedora 31, уже официально, уже не бета:

https://fedoramagazine.org/announcing-fedora-31/