Чтобы добавлять сообщения и комментарии, .

@L29Ah:
L29Ah

Какой mandatory access control позволит разграничить мне права для скриптоговнища, которое живёт в виде кучи симлинков с разными именами на один говноскрипт, который по имени понимает что именно запускать, без дополнительных обёрток на каждый симлинк?

@praut:
praut

Почему EMET еще торт -> insights.sei.cmu.edu

@praut:
praut

Очерк из биографии Залевского (он же lcamtuf, он же Michael Zalewski) -> lcamtuf.blogspot.ru

@SolderStain:
SolderStain

Найденный в Telegram вирус запускает некий модуль, который сообщает пользователю о взломе его гаджета, а затем выдвигает требования в обмен на расшифровку данных пользователя, которые к тому моменту уже зашифрованы на устройстве жертвы.
rueconomics.ru

@Dant:
Dant

Lastpass теперь, оказываетцо, можно без премиум-подписки и смс юзать помимо браузера и на неограниченном числе мобильных устройств. Збс — лучше уж поздно, чем нигде... : )

blog.lastpass.com

@provaton:
provaton

Скайп сам по себе разослал какую-то странную ссылку всему контакт листу. Обидно.

@L29Ah:
L29Ah

Куда идеологически правильно контрибутить написанные для стороннего софта mandatory access control profiles?

@Scobar:
Scobar

новая порода сторожевых богомолов идёт в комплекте с сигнализацией

@nomore:
nomore

sigmobile.org

@unfalse:
unfalse

Х — безопасность.
В Windows 10 из Safe mode, запустив control userpasswords2, можно сбросить пароль любого пользователя. Тут что-то не так. Ведь чтобы войти в систему, надо сначала ввести тот самый пароль, не?

@sk555:
sk555

как же я люблю рассейских безопасников!..

@ng358ex-2:
ng358ex-2

Вот что происходит когда пытаешься "на пальцах" объяснить криптографию сраному быдлу — посетителям сраного яплакал yaplakal.com Комментарии лучше всего свидетельствуют об уровне этих тупых животных.

@L29Ah:
L29Ah

К firejail прикрутили xpra, а к xpra — xdummy, и после некоторой обработки напильником теперь можно запускать браузер почти без тормозов в зааналенной прокладке для иксов (не даёт заниматься кейлоггингом, скриншоттингом и позволяет управлять доступом к клипборду), вебки и звука, в дополнение к имевшейся ранее анальной тюрьме для файлов и сети. Единственный наблюдаемый недостаток — не подсасывается DPI материнских иксов, из-за чего размер букв будет неестественный.
Для гентушников написал ебилд для сабвершона:
USE=x11 emerge firejail '=xpra-9999'
firejail --x11=xpra /usr/bin/firefox

@Hawat:
Hawat

opennet.ru
Под впечатлением от серии уязвимостей, о которых сообщалось утром, разработчики OpenBSD приняли решение об удалении функции монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1).Заметив бородавку на пальце отрубают руку целиком. Видимо разработчиков не хватает на иное решение проблем.

@Hawat:
Hawat

geektimes.ru
Сейчас же ученые исследовали возможность похищения данных с помощью кулеров компьютера. ...
программа GSMem, которая передаст данные с зараженного ПК на любой, даже самый древний кнопочный телефон, при этом используя GSM-частоты.Куллер генерирует GSM-частоты...ребята наверное накурились.

@Hawat:
Hawat

geektimes.ru
Очередной девайс для отъема денег у населения.
1. Это черный ящик, так что неизвестно что там внутри поисходит.
2. Функция сос татистиков — игрушка для хипстеров, обычный человек пару раз откроет и забьет.
3. mysku.ru можно спаять безопасный кабель самостоятельно или найти готовый на рынке, который будет стоить заметно дешевле данного девайса.

@Hawat:
Hawat

geektimes.ru В целом пофиг, у меня карточек с RFID пока не наблюдается. Но скоро начнутся Тройку копировать...

@Self-Perfection:
Self-Perfection

[[https://www.opennet.ru/opennews/art.shtml?num=44576|OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems]]. А надо мной ещё смеялись, что я все названия переменных, библиотек и пр. вставляю только копипастингом или автодополнением редактора.

@Dant:
Dant

Одна из причин, по которой крайне нежелательно использовать реальные, но непринадлежащие организации доменные имена 2-го уровня для внутренней инфраструктуры леса АДе: us-cert.gov

@Hawat:
Hawat

geektimes.ru а если я не пью два года и внезапно решу выпить и позвонить бывшей он меня не признает? Ну ок — это наверное к лучшему. А если я выпил и решу вызвать такси или там трезвого водителя?...

@praut:
praut

Firefox v46+ security hardening + some tweaks -> github.com

@Stepper:
Stepper

типичные ошибки в AD
habrahabr.ru

@Stepper:
Stepper

Восстановление пароля/учётные данные из файла hiberfil.sys
habrahabr.ru

@OCTAGRAM:
OCTAGRAM

RT @Flyingmana:
В клиенте и сервере Git нашли удалённое выполнение кода
seclists.org

RT @andreasdotorg:
Сколько ещё таких уязвимостей нужно, чтобы люди перестали писать на Си?

Да, всяких там хаскеллистов и эрлангистов, у которых, чуть только понадобился натив, куда–то очень быстро улетучивается их прогрессивность, и они начинают писать нативный код на Си, а не на Аде, как положено, это тоже касается.

@Loi:
Loi

Господа и дамы, специалисты и диванные аналитики, что вы можете сказать по поводу System Bus Radio ?

@den-po:
den-po

как всё плохо в ИТ-безопасности youtu.be

@otakuSiD:
otakuSiD

ништяки в новой конфигураци

hanselman.com

@otakuSiD:
otakuSiD

Eliminating Known Vulnerabilities With Snyk


smashingmagazine.com

@den-po:
den-po

а вы доверяете этому издателю?

@Zert:
Zert

А есть ли способ сделать так, чтобы к nginx мог подцепиться только тот клиент, который имеет один конкретный сертификат для SSL? Ну чтобы никто больше даже в принципе не мог установить соединение. Сертификат желательно сапоподписанный, и чтобы его потом можно было в любое время поменять.

@Dant:
Dant

Безопасность всей сети определяется безопасностью ее самого слабого звена. Азбука, конечно, но внимательно прочуйствовать — никогда не помешает.

Вполне себе рабочий сценарий: есть незапатченная икспешечка, которая пробивается эксплойтом. Опа раз — ты уже SYSTEM на ней. Пара волшебных пассов — и раздербанен пароль пользователя, который на ней работает. Опа два — и ты уже доменный пользователь, который может прочитать доменные политики из сисвола, в которых, естестно, задается пароль локального администратора на все сервера и рабочие станции домена, а декодировать тот пароль — абсолютно тривиальная задача.

Опа три — и ты уже локальный администратор всея серверов домена. Несколько часов сканирования под локал-админом — и найден сервер, на котором висит дисконнектнутая домен-админская сессия. Пара волшебных пассов на этом сервере — и из админской сессии вытаскивается токен доступа какого-нить домен-админского процесса, с которым делается подключение к контроллеру. Опа четыре — и ты уже домен-админ, который может создать пользователя CoolHazker с паролем P@ssw0rd и включить его в Domain Admins : ) Опа пять — и ты можешь делать со всем доменом что захочешь, подключаться к чему угодно, вешать кейлоггеры и развлекаться любыми другими способами, ограниченными только безразмерной фантазией.... Такие дела.

Способов борьбы вижу немного: икспи — в хлам и утиль, за административные пороли в групповых политиках — расстрела на месте, ну и пытаться ограничить удаленное использование локальных аккаунтов, что может быть нетривиальной задачей.

Хорошее видео для медитации и мотивации: youtube.com

@Dant:
Dant

При создании пользователя простыми скриптами нагугленными гуглением, пользователь будет создаваться с флагом PASSWD_NOTREQD, который нельзя увидеть/изменить в гуях. На практике это означает, что даже при доменной политике сложных паролей в 256 символов, администратор через Reset Password в консоли ADU&C dsa.msc может сбросить пароль пользователя на любой, втч и пустой, что вполне себе такая чорная дыра в безопасности : ))

Do You Allow Blank Passwords In Your Domain? blogs.technet.com

Controlling the Password Not Required Property Using Update-Password-Not-Required-Bit: windowsitpro.com

support.microsoft.com

@tzirechnoy:
tzirechnoy

10 лет назад expiration time своего CA в 10 лет казалось хорошэй идеей...

@tosh:
tosh

Немного о безопасности.
Так делать нельзя:
github.com

А вот так — вполне:
github.com

@Zert:
Zert

ssh whoami.filippo.io

Описание: blog.filippo.io

@unfalse:
unfalse

GSMem, по сути, изменяет прошивку мультиканальной памяти, заставляя ее передавать данные во вне, в виде электромагнитных сигналов. Конечно, много таким способом не украдешь, но короткие фрагменты данных, вроде паролей и ключей шифрования, вполне возможно. Ученые отмечают, что лучше всего этот трюк работает с четырехканальной памятью RAM.
xakep.ru
Аццкая штука.

@SolderStain:
SolderStain

Выполнение кода по MMS. Завтра надо глянуть код, но выглядит как пиздец blog.zimperium.com

@Dant:
Dant

Windows Server 2008 Networking and Network Access Protection (NAP): microsoft.com

magnet:?xt=urn:btih:23816715e577f753e297085c6706e04409f0b22b

@Dant:
Dant

Поддался кипешу за то, что LastPass сломали, гипс вот-вот снимут, а клиент — уедет... Да и включил в LastPass, а заодно и в Google Account, 2-х факторную аутентификацию через коды Google Authenticator/FreeOTP.

6 секунд — полет норм. Все взлетело и завелось, втч г-талк в миранде и почтовый клиент, стягивающий г-почту попом через специально сгенерированный пороль.

Чувство глубокой паранойи — удовлетворено ))

play.google.com
play.google.com

@fillest:
fillest

а вот эти все люди, которые чморят "curl example.com | bash", они каждый раз читают целиком сорцы скриптов и софта, который ставят, да?