A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.
lol
sec.cloudapps.cisco.com
________________________
и у Atlassian там все тоже не очень. даже очень не очень — a maximum severity zero-day vulnerability
confluence.atlassian.com
https://jira.atlassian.com/browse/CONFSERVER-92475
___________________________
цитирую читателя:
“ЕЩЁ И КУРЛ ГОСПОДИ github.com”
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
lol
sec.cloudapps.cisco.com
________________________
и у Atlassian там все тоже не очень. даже очень не очень — a maximum severity zero-day vulnerability
confluence.atlassian.com
https://jira.atlassian.com/browse/CONFSERVER-92475
___________________________
цитирую читателя:
“ЕЩЁ И КУРЛ ГОСПОДИ github.com”
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Cisco
Cisco Security Advisory: Cisco Emergency Responder Static Credentials Vulnerability
A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.
This vulnerability is due to the…
This vulnerability is due to the…
отчет о том, как различные правоохранительные ветки в США (миграционная служба, пограничная служба, Секретная служба) скупают данные о геолоакции, собранные различными приложениями на смартфонах пользователей. Отчет подготовлен офисом генерального инспектора АНБ
www.documentcloud.org
https://www.404media.co/ice-cbp-secret-service-all-broke-law-with-smartphone-location-data/
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
www.documentcloud.org
https://www.404media.co/ice-cbp-secret-service-all-broke-law-with-smartphone-location-data/
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Не новое, но хорошее, и я, кажется, это когда-то пропустил, да и полезное напоминание, что ТГ продолжает раскрывать IP адрес пользователя благодаря настройке использования peer to peer для звонков
n0a.pw
“Сравниваем адреса с нашим публичным адресом и получаем IP адрес удаленного клиента (по пути сравнивая IP на принадлежность к AS Telegram). Бонусом скрипт делает запрос для получения информации об IP адресе, так как не обязательно IP клиента будет принадлежать сотовому оператору. Это может быть и корпоративная сетка тоже.”
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
n0a.pw
“Сравниваем адреса с нашим публичным адресом и получаем IP адрес удаленного клиента (по пути сравнивая IP на принадлежность к AS Telegram). Бонусом скрипт делает запрос для получения информации об IP адресе, так как не обязательно IP клиента будет принадлежать сотовому оператору. Это может быть и корпоративная сетка тоже.”
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
n0a // Denis Simonov // Cybersecurity specialist // Researcher
Telegram: получаем IP адрес собеседника
Рассказываю о том, как мне удалось определить IP адрес своего собеседника в Telegram при помощи аудио вызова в мессенджере. Плюс написал bash-скрипт для автоматизации.
тут какаято история про то, Евросоюз хочет обязать браузеры, доступные в европе, доверять ключам и сертификатам, выбранным европейским правительством. Что позволит им перехватывать трафик, разумеется.
last-chance-for-eidas.org
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
last-chance-for-eidas.org
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
last-chance-for-eidas.org
Last Chance for eIDAS
13 days before the first eIDAS vote, still no public text
да что вы знаете о кибербезопасности. ФБ нашел пост 10-летней давности про шутку о совпадении чисел 11 декабря 2013 года — в определенное время могла получиться длинная последовательность последовательных чисел. причем это даже был репост из твиттера с комментарием. И решил, что это имеет какоето отношение к кибербезопасности.
И так у них все.
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
И так у них все.
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился
arstechnica.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
arstechnica.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Ars Technica
Nothing’s iMessage app was a security catastrophe, taken down in 24 hours
Nothing promised end-to-end encryption, then stored texts publicly in plaintext.
кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.
blackwinghq.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
blackwinghq.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Blackwinghq
A Touch of Pwn - Part I
Blackwing Intelligence provides high-end security engineering, analysis, and research services for engineering focused organizations
очень интересная история, которая сегодня перешла в публичное обсуждение. Офис американского сенатора Роя Вайдена получил информацию о том, что существует программа, в рамках которой правительство США запрашивает у Google и Apple информацию о пуш-уведомлениях, которые компании рассылают пользователям. в рамках офиса они провели расследование, и призвали правительство разрешить компаниям информировать пользователей об этой программе.
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
www.documentcloud.org
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
www.documentcloud.org
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
www.documentcloud.org
Wyden letter to Department of Justice regarding smartphone push notification surveillance
This is a Dec. 6, 2023 letter from Oregon Senator Ron Wyden asking the Department of Justice to lift any existing restrictions around discussions of push notification surveillance.
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность использовать 5G. Иногда - ребут модема.
asset-group.github.io
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
asset-group.github.io
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Telegram
Информация опасносте
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность…