📌 Гид по каналу

В канале сотни постов, и многие вполне актуальны вне зависимости от давности. В этом посте я объясню, как ориентироваться в канале.

🔍 Поиск по ключевому слову
Поиск в Telegram не очень развит, но для простых запросов его можно использовать. Например, запрос ISO найдет посты о загрузке дистрибутива, работе с ISO, установке и активации Windows. А запрос защитник выведет на посты по теме безопасности Windows.

Рассказывая о новых возможностях ОС, я использую идентификаторы стабильных сборок, по которым удобно искать значимые фишки выпусков. В частности, я использую:
- MMYY по 1903 включительно
- YYHN начиная с 19H2 (1909)
Если выпуск еще не состоялся, значит, фишка есть только в инсайдерских сборках.

#️⃣ Навигация по хэштегам
Хэштеги работают на основе поиска, и я вставляю их во многие посты, чтобы из любого можно было быстро перейти к записям той же тематики. Вот основные хэштеги канала:
#Windows10
#PowerShell
#OneDrive
#Office
#ADK
#активация
#feedbackhub - подборки отзывов участников чата в Feedback Hub
#классика блога - ссылки на записи блога, дополняющие пост в канале
#рекомендация чего-либо на основе моего опыта (не является рекламой)
#longread - интересные (и длинные) материалы на английском языке с цитатами для затравки
#вело - как и блог, канал немного про 🚴

📣 Вопросы и обсуждения
Каналы в Telegram односторонние, но вы можете задать вопрос по содержимому постов или просто обсудить их в чате https://t.iss.one/winsiders ❤️

💰 Поддержать автора
Вы можете поддержать меня подпиской или донатом https://boosty.to/sterkin/

Приятного чтения! ✌️

​🔒 Засветился ли ваш пароль в скомпрометированных списках

Есть замечательный сайт https://haveibeenpwned.com/ Троя Ханта, где по email можно проверить, были ли украдены ваши учетные данные при взломе сайтов. Один из моих адресов еще в 2013 году слили вместе с паролем при взломе Adobe, но с тех пор в список добавились Bitly и Discqus. Если ваш аккаунт скомпрометирован, логично сменить пароль.

🔓 Еще на сайте есть база слитых паролей https://goo.gl/N154WF Имеющиеся в ней пароли лучше нигде не использовать. 12345 встречается там 2 млн раз :) Я хоть и доверяю сайту, но вводить свои пароли как-то не хотелось.

ℹ️ В конце февраля Трой объявил о запуске второй версии базы паролей. Главная фишка - API для сторонних анонимных запросов. В основе лежит k-Anonymity - математическое свойство, которое здесь применяется к хэшам паролей в форме диапазонных запросов. На эту тему есть двойной #longread в блогах Троя https://goo.gl/1FQUYD и CloudFlare https://goo.gl/qJzNgc

Именно этот API сразу задействовал популярный менеджер паролей 1Password https://goo.gl/HUyeX5 А на GitHub есть скрипт под Linux, при использовании которого пароль тоже не покидает ПК https://goo.gl/51q9Ux

#безопасность ✌️

🔓 Как голландская полиция управляла Hansa, крупнейшим черным рынком дарквеба

На Wired замечательный #longread про тайную операцию "Штык" голландских полицейских, которые взяли под контроль крупную биржу по продаже наркотиков и тайно управляли ей на протяжении 10 месяцев https://www.wired.com/story/hansa-dutch-police-sting-operation/

Там прекрасно все! Цитаты для затравки:

The Dutch police quickly realized that after AlphaBay was shut down, its refugees would go searching for a new marketplace. If their scheme worked, AlphaBay's users would flood to Hansa, which would secretly be under police control.

They rewrote the site's code, they say, to log every user's password, rather than store them as encrypted hashes. They tweaked a feature designed to automatically encrypt messages with users' PGP keys, so that it secretly logged each message's full text before encrypting it, which in many cases allowed them to capture buyers' home addresses as they sent the information to sellers. The site had been set up to automatically removed metadata from photos of products uploaded to the site; they altered that function so that it first recorded a copy of the image with metadata intact.

Hansa offered sellers a file to serve as a backup key, designed to let them recover bitcoin sent to them after 90 days even if the sites were to go down. The cops replaced that harmless text document with a carefully crafted Excel file, says Boekelo. When a seller opened it, their device would connect to a unique url, revealing the seller's IP address to the police. Boekelo says that 64 sellers fell for that trap.

Приятного чтения! ✌️

​На The Verge отличный эксклюзивный #longread про очередную и самую амбициозную попытку Google на поприще мессенджеров: Chat is Google’s next big fix for Android’s messaging mess https://www.theverge.com/2018/4/19/17252486/

Chat - это не приложение, а сервис операторов мобильной связи на основе стандарта Universal Profile for Rich Communication Services, в разработке которого Google играет лидирующую роль. С точки зрения потребителей, это SMS на стероидах с фичами мессенджеров. В контексте приложений Google ставит на Android Messages, поскольку оно предустановлено на большинстве смартфонов с Android.

Цитаты для затравки:

every carrier’s Chat services will be interoperable. But, like SMS, Chat won’t be end-to-end encrypted, and it will follow the same legal intercept standards. In other words: it won’t be as secure as iMessage or Signal.

The two operating system providers that have signed on to the Universal Profile: Google and, interestingly, Microsoft. That doesn’t necessarily mean that you can expect a native Chat app in Windows 10, but it does mean it’s possible.

So expect a couple things to happen on the app front. First, Google will finally make a desktop web interface for texting. At least in the initial version, you’ll authorize it with a QR code, much as you do with WhatsApp. [...] Second, expect the Android Messages app to rapidly acquire more features.

🔎 Интересный и не длинный #longread про анализ соответствия фотографии хранящимся в ней данным EXIF https://goo.gl/1ETSDT

Журналисту прислали фото исчезнувшего человека. Оно якобы было сделано в цюрихском офисе адвоката не раньше определенной даты (видна газета на столе). Журналист обратился в твиттер за помощью в проверке данных EXIF.

Поскольку EXIF полностью подделывается, однозначно определить аутентичность фото невозможно. Но расхождение в параметрах EXIF тем или иным данным порождает подозрения в манипуляции.

Вы, конечно, сразу подумали про геолокационные координаты - да, они совпадали с адресом офиса. А как насчет проверить, какая в день съемки была погода в том месте и сопоставить с освещением за окном?

Другие тонкие моменты тоже должны как минимум не расходиться с реальностью:
• версия iOS - дате съемки
• количество мегапикселей - модели смартфона
• сочетание ISO, затвора и выдержки - съемке в помещении на этой модели

Бонус - сайт для экспорта EXIF https://exif.regex.info/
✌️

👍 Отличный #longread про Windows Core OS (WCOS) на Windows Central
https://www.windowscentral.com/windows-core-os

WCOS:
• это универсальная база для будущих Windows
• позволяет Microsoft быстро и эффективно создавать версии Windows для различных типов и форм-факторов устройств
• обладает новой системой обновления - такой же быстрой как в мобильных ОС
• не является заменой классической Windows, по крайней мере в среднесрочной перспективе

📑 Отличный #longread о различиях в культуре Microsoft под руководством трех CEO. Автор - James Whittaker, работавший в компании в различное время.

https://medium.com/@docjamesw/speaking-truth-to-power-reflections-on-a-career-at-microsoft-90f80a449e36

Цитаты для затравки:

- The Microsoft of the 90s, with Bill Gates calling the shots, was a technology-forward company, fast-paced, ambitious and unapologetically capitalistic. It was a beast, number one in nearly every genre that mattered, dreaded by its partners, feared by its competitors, and alternately loved and hated by its users.

- under Steve Ballmer ... inattention to anything resembling the imaginative or innovative caused it to hemorrhage talent, flatline its stock, bore its customers and miss (or at least be very late to) the next three technology megatrends — web, cloud, and mobile — on the trot.

- Satya’s expectations have been made clear to everyone. Mandatory training has seen to that. He exhorts Microsoft to be a “learn it all” culture instead of a “know it all” culture.

- It’s worth noting that cultural transformation didn’t happen in places, like Windows, where Nadella simply rearranged the made-men deck chairs. Instead of following his culture-change playbook, he simply swapped Windows’ made-men with Windows Phone’s made-men. The same people unable, over the course of a decade, to craft a winning strategy for mobile were suddenly tasked with crafting a winning strategy for the desktop.

​​🤦‍♂️ Любителям сторонних бесплатных антивирусов на заметку

Avast спалился во второй раз за полтора месяца на продаже данных о посещениях веб-сайтов. В прошлый раз это было дополнение браузера. На сей раз результаты совместного расследования опубликовали Vice и PCMag. Любой из материалов - хороший #longread на тему приватности.

👉 После скандала и выпиливания дополнения из каталогов компания, конечно, не отказалась от сбора этих сведений, потому что им занимались и продолжают это делать ее антивирусы Avast и AVG (в т.ч. на мобильных устройствах).

Подается это под мутным соусом добровольного процесса и полного согласия пользователей. Но даже из заявления компании следует, что людей вводили в заблуждение.

 Users have always had the ability to opt out of sharing data with Jumpshot. As of July 2019, we had already begun implementing an explicit opt-in choice for all new downloads of our AV (antivirus), and we are now also prompting our existing free users to make an explicit choice, a process which will be completed in February 2020

Что в переводе с купюрами:

 Пользователи всегда могли отказаться от передачи данных... [...] С июля 2019 года мы начали внедрять явный выбор для всех новых загрузок антивирусов [...] Теперь мы показываем уже установившим бесплатные продукты предложение сделать явный выбор.

Непонятно, как много внедрили, но точно получается, что до июля прошлго года не уведомляли нормально или вообще. Да и сейчас при загрузке не написано (надо читать политику конфиденциальности), что данные будут скомбинированы с другой собранной информацией, не исключающей идентификацию пользователя, а также подлежат хранению в течение трех лет и будут проданы на сторону. А деньги там немаленькие, см. расследования 💰

Бесплатные антивирусы преследуют простые цели:
1. Защита устройства.
2. Сбор образцов вредоносного кода.
3. Сбор телеметрии.
4. Реклама своих платных продуктов.
5. Сбор и продажа прочих данных.

Встроенный в #Windows10 защитник Windows попадает только под три первых пункта. Поэтому меня всегда удивляли люди, меняющие его на бесплатный сторонний антивирус, и уж тем более с целью минимизировать сбор телеметрии Microsoft 🤦‍♂️

Microsoft много чего собирает, но очевидно недостаточно, раз ей приходилось покупать данные у Avast 🙈 Политика конфиденциальности защитника Windows тут.

🤦‍♂️ Как уничтожить компанию стоимостью $400 млн одной установкой ПО

Сегодня у меня для вас отличный #longread на тему важности построения процессов развертывания ПО. Рассказу 5 лет, но он вполне актуальный - я гарантирую это :)

История про компанию, которая на тот момент была крупнейшим трейдером на рынке американских ценных бумаг с объемом торгов свыше $21 млрд в день.

Цитаты для затравки:

The update to SMARS was intended to replace old, unused code referred to as “Power Peg” – functionality that Knight hadn’t used in 8-years.

Between July 27, 2012 and July 31, 2012 Knight manually deployed the new software to a limited number of servers per day – eight (8) servers in all.

During the deployment of the new code, however, one of Knight’s technicians did not copy the new code to one of the eight SMARS computer servers. Knight did not have a second technician review this deployment and no one at Knight realized that the Power Peg code had not been removed from the eighth server, nor the new RLP code added. Knight had no written procedures that required such a review.

Вы не поверите, что произошло дальше! ©

🔒 Риски и ограничения двухфакторной аутентификации

Я давно и последовательно рекомендую #2FA в блоге и канале. В статьях я главные грабли расставлял, конечно, но тут мне попался хороший #longread, который методично раскладывает их по полочкам: Before You Turn On Two-Factor Authentication…

Цитаты для затравки (про риски):

You may be unable to recovery your second factor if your security key, or the phone with your authenticator app, is lost, stolen, or broken.

... timely access to some services can itself be important to user safety. For example, you may no longer remember the phone numbers of the close friends and family members you would want to contact in a time of crisis.

Researchers have already shown that ... users required to employ a second factor (a fingerprint in their study) chose weaker PINs (numeric passwords) than those who were not.

Attackers might steal your security key when you are in a public place

If you plug an attacker’s lookalike device into your computer and allow it to install a driver, it can take control of your computer

​​🔎 Сегодня у меня для вас не очень длинный #longread об истории поиска в Windows

https://devblogs.microsoft.com/windows-search-platform/the-evolution-of-windows-search/

Рассказ фокусируется, в основном, на истории индекса и его настроек. Например, в Windows 8 впервые стали по умолчанию индексировать содержимое документов в профиле.

Это первый пост из четырех запланированных в серии. Блог платформы поиска совсем новый, и за дальнейшими его публикациями вы можете следить в канале @msftblogs 👍

🔓 Как root-права и альтернативные прошивки делают ваш android смартфон уязвимым
https://habr.com/ru/post/541190/

Отличный #longread на Хабре! Процесс загрузки Android в контексте безопасности описан очень подробно простыми и понятными словами, что редкость, а уж на русском языке - вдвойне.

В моем смартфоне какое-то время был разблокирован загрузчик. На прошивку не приходили обновления, я снял блок для смены, а обратно не заблокировал из-за лени.

Вскорости понадобилось установить на смартфон Office 365 клиента, т.е. корпоративный профиль. В процессе я получил отлуп из-за несоответствия политикам безопасности. Конкретно на загрузчик ошибка не указывала, но догадаться было несложно. Так и победил лень ✌️

А у вас заблокирован загрузчик?
👌 - Да
😎 - Нет
🤷‍♂️ - Не знаю / моего варианта нет

💡 NFT: что на самом деле приобрел за $69 млн покупатель картины художника Beeple

Если только вы не прожили под камнем последние пару месяцев, то не раз видели аббревиатуру NFT, Non-Fungible Token. Возможно, вы читали объяснения разной степени точности. Я тоже, и мне больше всего понравился #longread Deconstructing that $69 million NFT

Автор простым языком с помощью наглядных примеров объясняет:
🔹 смысл слова fungible (взаимозаменяемый)
🔹 можно ли скачать картину и как
🔹 как именно картину продавали на аукционе
🔹 что на самом деле получает покупатель
🔹 что покупатель теперь может сделать с приобретением (спойлер: возможность передать кому-либо MakersTokenV2 #40913 ;)
✌️

🔓 Экономика темной стороны

В контексте хака Colonial Pipeline подкину вам #longread с интересными аспектами экономики DarkSide от Kim Zetter, автора книги про Stuxnet

https://zetter.substack.com/p/anatomy-of-one-of-the-first-darkside

Это история взлома другой компании, заплатившей выкуп в $2 млн. Несколько тезисов для затравки:

🔹 DarkSide - ransomware-as-a-service (RaaS), т.е. взлом их инструментами может осуществить кто угодно. Но не совсем, потому что группировка весьма избирательна - например, не желает общаться с англоязычными товарищами.

🔹 Реклама сервиса началась спустя несколько месяцев после успешного вымогательства у некой холдинговой компании. Своего рода бета-тестирование.

🔹 "Тестировали", конечно, не только на этом холдинге, известна как минимум еще одна компания, но та отказалась платить. А холдинг заплатил, несмотря на наличие бэкапов. Они посчитали, что восстанавливать дольше и дороже для бизнеса, чем заплатить (причем сильно выше среднего по рынку), тем более что имелась страховка от ransomware.

🔹 Компания получила инструменты для расшифровки файлов, но не на всех системах они сработали. Вымогатели ковырялись в проблеме вместе с привлеченными холдингом специалистами, и в итоге все получилось.

P.S. Когда пост уже был запланирован к публикации, появились новости о том, что Colonial Pipeline заплатила выкуп $5 млн.
✌️