|
Профессиональный научный форум физиков посвященый проблемам физики эфира, астрофизике, геофизике, климатологии, экологии, прогнозу землетрясений, проблемам развития физической науки в современном обществе
|
| Автор | |
---|
Карим_Хайдаров канд.техн.наук, администратор

 
| | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 29.06.2020 в 06:55:45 | #42 |
Черный Треугольник: Коротко о том почему нельзя пользоваться картами скидок
В свободный доступ на один из форумов была выложена база клиентов интернет-магазина электроники и бытовой техники «ЭЛЕКС» (elex.ru).
В файле 9,430 строк, содержащих:
🌵 ФИО 🌵 телефон 🌵 дата рождения 🌵 адрес
Утверждается, что данные получены в январе 2020 года.
Этот случай примечателен тем, что 08.04.2020 ребята с канала Утечки информации https://t.me/dataleak обнаружили в открытом доступе неправильно сконфигурированную MongoDB, оставленную без аутентификации. В базе данных находились коллекции bonusclient и bonusrawelexcards, содержащие как-раз информацию клиентов магазина.
Они сразу оповестили владельцев сервера и даже получили ответ. Однако, поскольку сервер с открытой MongoDB находился в свободном доступе достаточно давно (по данным Shodan он периодически появлялся с мая 2019 г.), его успели “слить” злоумышленники. 😢
На момент обнаружения на сервере было около 65 тыс. записей с данными клиентов магазина. ========================= Думаю очевидная вещь, но каждый раз когда вы оформляете карты скидок вы добровольно предаете все данные о себе как гос органам так и злоумышленникам (впрочем разница не велика)
Кроме того подобные вещи придуманы коварными маркетологами, лишь из корыстных целей заставить тратить Вас больше и больше и продолжать кормить их систему.😡
Я уже молчу про то что эти злодеи стали принуждать своих клиентов устанавливать потенциально вредоносные приложения на телефон, прикрываясь словами об "удобстве"
Вроде очевидные вещи, но приходя в магазин я вижу тысячи людей, которые каждый день продают свою свободу за 20-30 рублей скидки.
Берегите себя и своих близких, не пользуйтесь картами скидок.
| --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 03.07.2020 в 11:16:34 | #43 |
ПРОДАМ РОДИНУ ДЁШЕВО, ТОРГ УМЕСТЕН! Черный Треугольник: Twitter аккаунт Министерства иностранных дел России был взломан и продавал базу данных туристов
Более 12 часов в твиттере МИД РФ красовалось объявление о продаже базы данных туристов, застрявших за рубежом.
А министерство тчетно пыталось восстановить доступ.🤷🏼♀️
Информационная безопастность на гос. уровне? Не, не слышали🤣
Только в 14:48 по МСК у гос. служащих получилось удалить объявления со своего аккаунта
А чуть позже опубликовали твит: «Уважаемые читатели и подписчики, информируем вас об устранении последствий взлома нашего аккаунта злоумышленниками, опубликовавшими утром 2 июля с.г. на ленте ДСКЦ “фейки”, не имеющие к МИД России никакого отношения. Учётная запись функционирует в штатном режиме». ================== Думаю более чем яркая иллюстрация почему нельзя передавать данные о себе в гос. структуры.
Источник: https://t.me/s/black_triangle_tg | --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 04.07.2020 в 18:04:09 | #44 |
Черный Треугольник: Google считает что управлять своим устройством Android — это взлом.😡 Новые козни корпорации зла против получения root-прав
Процесс получения прав суперпользователя на Android-устройстве предполагает эксплуатацию уязвимостей. Для установки кастомизированной прошивки нужно разблокировать загрузчик ОС. Однако последняя версия SafetyNet от Google будет воспринимать подобные действия как взлом. 🙉
SafetyNet представляет собой набор API, позволяющий приложениям проверять устройство на предмет компрометации. В частности без SafetyNet не будут работать многие приложения 2AF, банковского сектора, торговые и даже некоторые игры. В прошлом фреймворки для получения прав суперпользователя на Android-устройстве наподобие Magisk могли использовать те же API, чтобы «убедить» приложения, будто смартфон не получал root. Однако с новой версией SafetyNet они лишились такой возможности.
Как cообщают разработчики из XDA Developers https://www.xda-developers.com/safetynet-hardware-attestation-hide-root-magisk/, SafetyNet стал незаметно удостоверять аппаратное обеспечение с целью проверки целостности устройства. В частности, проверяется статус разблокировки загрузчика, наличие на устройстве ПО для получения прав суперпользователя и подписанных прошивок и пр. Другими словами, с обновленным SafetyNet скрыть от приложений факт взлома устройства практически невозможно.
По счастью получать права суперпользователя и устанавливать кастомизированные прошивки по-прежнему сложно, но реально. Тем не менее, в таком случае обращающиеся к SafetyNet приложения перестанут работать. ================== Готовьтесь к тому, что это лишь начало. Google и ему подобные злодеи-капиталисты будут с каждым днем вставлять палки в колесам пользователям, которые просто хотят управлять своим устройством.
По счастью у нас есть F-Droid https://f-droid.org/, есть компании выпускающие смартфоны на свободных дистрибутивах Linux, вроде Pine64 https://www.pine64.org/, Purism https://puri.sm/ и есть разработчики свободного ПО. А значит война за свободу продолжается✊🏻
Источник: https://t.me/s/black_triangle_tg | --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 04.07.2020 в 18:05:07 | #45 |
Черный Треугольник: В продолжении темы о крипто-смартфонах
Думаю у Вас еще свеж в памяти мой пост https://t.me/black_triangle_tg/786 по поводу возможной компрометации защищенных смартфонов Encrochat.
И вот Евпропол, британское Национальное агентство по борьбе с преступностью (NCA), а также правоохранительные органы Франции, Швеции, Норвегии и Нидерландов официально сообщили https://www.nationalcrimeagency.gov.uk/news/operation-venetic о ликвидации платформы для зашифрованных коммуникаций Encrochat, которой пользовались более 60 000 человек в десятках стран в том числе и в России.
В настоящий момент по всему миру проводятся аресты. Тысячи человек уже задержаны.🤷🏼♀️
Забавно что фирма продающие подобные смартфоны кичилась своими функциями как самоуничтожение сообщений через определённый промежуток времени, «паническая» кнопка для мгновенного удаления всей информации с телефона, автоматическое определение подключения по ADB и «гарантированная анонимность»🤣
Сами телефоны с двойной операционной системой продавались по 1000 евро. Отличная цена за фантик. ================ Многие фирмы в настоящее время продолжают продавать иллюзию анонимности, иллюзию безопасных защищенных систем и мессенджеров, всякие "беспалефоны" и тому подобный SCAM. А некоторые даже еще эту грязь рекламируют.😔
☝🏻Помните что все это лишь коммерческие ходы коварных маркетологов. Не тешьте себя иллюзиями. Не спонсируйте мошенников
Есть множество бесплатных инструментов с открытым кодом в свободном доступе, одобренных фондом свободного ПО, фондом GNU, прошедшие независимый аудит и обеспечивающие намного более высокий уровень безопасности чем коммерческие решения.
Да они сложнее в настройке, но этичная система, система которой управляет сам пользователь должна быть сложной. Однокнопочные решения никогда не дадут вам свободу.
Источник: https://t.me/s/black_triangle_tg | --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 13.07.2020 в 17:23:47 | #46 |
Черный Треугольник: Заклеивать камеру — это правильно☝🏻
По мнению некоторых экспертов, спецслужбы недовольны снижением количества собираемой информации.😊
Специалисты корпорации Apple опубликовали свежий документ в разделе поддержки на официальном сайте продукции. В нем пользователи предупреждаются об опасности закрытия крышки ноутбука, если на камеру установлена специальная защитная накладка – это может повредить экран.
"Если вы установите на камеру накладку и попытаетесь закрыть Mac, это может привести к повреждениям дисплея, так как зазор между дисплеем и клавиатурой ноутбука минимальный. Кроме того, из-за накладки на встроенной камере могут неправильно работать датчик внешней освещенности и другие функции, такие как автоматическая регулировка яркости дисплея и технология True Tone. Кроме того, по этой же причине датчик внешней освещенности и прочие функции, такие как автоматическая регулировка яркости дисплея и технология True Tone, могут работать неправильно."😅
В Apple считают, что поводов для боязни слежки у владельцев MacBook нет, так как ноутбуки снабжены светодиодным индикатором, который загорается всегда, когда камера работает, и активировать FaceTime HD с выключенным светодиодом невозможно. =================== Ага, а то что ФБР с 2013 года умеет включать камеры на нутах без задействования светодиода, это так мелочи😂 То, что в прошлом хакеры уже писали софт для удаленного отключения LED-индикатора веб-камеры MacBook это тоже ерунда 🤣
☝🏻Заклеивайте камеру на ноутбуках и смартфонах, а по возможности удаляйте физически. Тоже могу добавить и о микрофонах. Увы это наша суровая действительность, не существует безопасных систем.
| --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 17.07.2020 в 06:13:45 | #47 |
Черный Треугольник: Крупнейший взлом Twitter в истории
Взлому подверглись аккаунты Билла Гейтса, Убера, Илона Маска, Эппла, Джефа Безоса, а также имеющих отношение к криптовалютам бирж и людей — Binance, Coinbase, Gemini, Crypto•com, Kucoin, Tron Foundation, CZ, Coindesk, Ripple, Джастина Сана и многие другие аккаунты знаменитостей, политиков и корпораций
Злоумышленники оставляли на взломанных аккаунтах записи предлагающие перевести деньги на биткоин адрес и получить эту сумму назад в двойном размере
В большинстве аккаунтов данные записи уже были удалены.
На текущий момент на кошелёк злоумышленников было отправлено больше 12 биткоинов — это больше 100 тысяч долларов.
Которые они уже даже начали выводить!
Аккаунты были защищены двухфакторной авторизацией и использовали сильные пароли.
По сообщениям Twitter Support, с помощью методов социальной инженерии был получен доступ к внутренним учетным записям сотрудников компании, которые и использовались для атаки
Источник: https://t.me/s/black_triangle_tg | --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 19.07.2020 в 08:43:53 | #48 |
Черный Треугольник: Коротко о том почему нельзя пользоваться бесплатным VPN?☝🏻
Все началось с того что один из подобных провайдеров, а именно UFO VPN опубликовал в Интернете базу данных пользовательских журналов и записей доступа к API без пароля или какой-либо другой аутентификации, необходимой для доступа к ней.
894 ГБ данных были сохранены в незащищенном кластере Elasticsearch. UFO VPN утверждает, что данные были «анонимными»
🤣 Типичная отмазка всех датамайнеров
Что же за данные там были: 🔻Пароли учетной записи в текстовом виде 🔻Секреты и токены VPN-сессии 🔻IP-адреса как пользовательских устройств, так и серверов VPN, к которым они подключены 🔻Временные метки подключения 🔻Гео-теги 🔻Характеристики устройства и ОС 🔻URL-адреса, которые выглядят как домены, с которых реклама добавляется в бесплатные веб-браузеры пользователей.
Большая часть этой информации противоречит политике конфиденциальности UFO VPN, которая гласит: «Мы не отслеживаем действия пользователей за пределами нашего Сайта, а также не отслеживаем действия по просмотру и подключению пользователей, использующих наши Услуги»😅
27 июня. Сервер, на котором размещены данные, впервые был проиндексирован поисковой системой Shodan.io
и да вся эта база была доступна для скачивания любому желающему😂
1 июля ребята из Comparitech уведомили UFO VPN что их база торчит в интернет без какой либо защиты
Угадайте что сделал VPN провайдер? Ничего... Она и дальше осталась висеть больше двух недель🤷🏼♀️
14 июля ребята из Comparitech: https://www.comparitech.com/blog/vpn-privacy/ufo-vpn-data-exposure/ обратились уже к хостинг провайдеру где находилась база. И только после этого базу закрыли.
UFO VPN, обвинил коронавирус в том, что он не позволил своим сотрудникам защитить сеть базы данных. 🤣
Думаете это единичный случай? Неее...
Несколько дней спустя, ребята из VPNmentor нашли еще подобные базы в открытом доступе, провайдеров FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN
Несколько миллиардов записей журнала, многие из которых содержат очень конфиденциальную информацию: 🔻записи посещенных веб-сайтов 🔻журналы подключений, имена людей 🔻адреса электронной почты и домашние адреса 🔻текстовые пароли, информацию о платежах в биткойнах и Paypal 🔻сообщения в службу поддержки 🔻спецификации устройств ====================== ☝🏻Думаю более чем красочная иллюстрация почему нельзя пользоваться бесплатными VPN
А как устанавливать свой собственный я уже показывал
Источник: https://t.me/s/black_triangle_tg
| --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 04.08.2020 в 05:30:43 | #49 |
Черный Треугольник: Google продвигает «trust tokens» вместо файлов cookie.😡
Ранее в этом году Google заявила, что запретит сторонним сервисам отслеживать пользователей через cookie-файлы в браузере Chrome. Однако вместо этого команда Google запустила новый способ отслеживания пользователей на сайтах — trust tokens.
Как утверждает корпорация зла и как подхвотили все не сведующие СМИ: В отличие от cookie-файлов trust tokens могут использоваться для аутентификации пользователей без необходимости устанавливать их личность.🤣 Этот инструмент позволит веб-сайту доказать рекламодателю, который размещает на нём объявление, что посетители были не ботами, а настоящими людьми.
Но мы то все знаем коварство и лицемерие компании Google😉
И к слову вот тут я нашел документ: https://github.com/WICG/trust-token-api который подробно объясняет как работает данная технология. Достаточно большая и интересная работа.
И именно в ней изложено пара тонких моментов: https://github.com/WICG/trust-token-api#key-consistency как корпорации будут злоупотреблять новой технологией для трекинга и преступного шпионажа за своими пользователями, как trust token может участвовать в передаче информации между сайтами: https://github.com/WICG/trust-token-api#cross-site-information-transfer а также о новых атаках злоумышленников.
Простыми словами корпорация зла в очередной раз прикрываясь лживой улыбкой выкатывает орудия для слежки🤷🏼♀️ =================== Конечно я и сам понимаю что сайты существуют только благодаря рекламе. И ни один рекламодатель не будет платить за рекламу, если ее смотрят не люди, а боты. Как и реклама в свою очередь порой является единственной дорогой для начинающих стартапов.
Как быть? Не знаю друзья🤷🏻♂️
Все это последствия изначально не верного капиталистического пути развития общества. Уже как-то рассказывал об этом в своем блоге: https://t.me/hi_anon/276 И пока эта система существует война будет продолжаться...
Источник: https://t.me/s/black_triangle_tg | --------- Истинное знание есть знание причин - Френсис Бэкон | | | | Карим_Хайдаров канд.техн.наук, администратор

 
|
Написано: 04.08.2020 в 05:33:01 | #50 |
Черный Треугольник: Найдена не исправляемая уязвимость в устройствах Apple. С помощью нее можно получить все конфиденциальные данные, хранящиеся на устройствах
На протяжении многих лет Apple горделиво рассказывала о своем чипе Secure Enclave.🤓 Secure Enclave - это сопроцессор, включенный почти в каждое устройство Apple для обеспечения дополнительного уровня безопасности. Все данные, хранящиеся на iPhone, iPad, Mac, Apple Watch и других устройствах Apple, зашифрованы случайными закрытыми ключами, доступ к которым возможен только в Secure Enclave. Эти ключи уникальны для вашего устройства и, как утверждает корпорация, никогда не синхронизируются с iCloud.🤣
Помимо шифрования ваших файлов, Secure Enclave также отвечает за хранение ключей, которые управляют конфиденциальными данными, такими как пароли, кредитная карта, Apple Pay, и даже биометрическая идентификация для включения Touch ID и Face ID.
Важно отметить, что хотя чип Secure Enclave встроен в устройство, он работает полностью отдельно от остальной системы. Это гарантирует, что приложения не будут иметь доступа к вашим закрытым ключам, поскольку они могут только отправлять запросы на расшифровку определенных данных, таких как ваш отпечаток пальца, чтобы разблокировать приложение через Secure Enclave.
Даже если у вас есть взломанное устройство с полным доступом к внутренним файлам системы, все, что управляется Secure Enclave, остается защищенным.
Если по простому это целый отдельный компьютер, внутри устройства
В каких устройставх установлен Secure Enclave: 🔻iPhone 5s и позже 🔻iPad (5-го поколения) и позже 🔻iPad Air (1-го поколения) и позже 🔻iPad mini 2 и более поздние версии 🔻iPad Pro 🔻Компьютеры Mac с чипом T1 или T2 🔻Apple TV HD (4-го поколения) и позже 🔻Apple Watch Series 1 и более поздние 🔻HomePod
А теперь самое веселое😊
Китайские хакеры из Pangu Team, обнаружили «не поддающиеся исправлению» уязвимость на чипе Apple Secure Enclave: https://9to5mac.com/2020/08/01/new-unpatchable-exploit-allegedly-found-on-apples-secure-enclave-chip-heres-what-it-could-mean/ которая приводит к взлому шифрования закрытых ключей безопасности!
«Не поддающиеся исправлению» означает, что уязвимость была обнаружена в оборудовании, а не в программном обеспечении, поэтому Apple, ничего не может сделать, чтобы исправить это на устройствах, которые уже были проданы. 😅
А значит все устройства и данные на них, о которых я написал выше, теперь могут быть полностью взломаны.
Ожидаемый сценарий для правительственных учреждений - использовать это нарушение безопасности на конфискованных устройствах.👮🏻♂️ ====================== ☝🏻Еще один повод никогда не пользоваться устройствами этой корпорации зла. И тыкнуть носом всех тех кто твердит о безопасности устройств Apple.
Источник: https://t.me/s/black_triangle_tg | --------- Истинное знание есть знание причин - Френсис Бэкон | | | |
Администратор запретил гостям оставлять сообщения! Зарегистрироваться
|