Расширение для Chrome, воровато данные кредитных карт...
Это все Flash виноват и желание людей его использовать :)
https://blog.en.elevenpaths.com/2019/01/chrome-extension-card-cybersecurity.html?m=1
Это все Flash виноват и желание людей его использовать :)
https://blog.en.elevenpaths.com/2019/01/chrome-extension-card-cybersecurity.html?m=1
В сеть выложили 773 миллиона учётных данных пользователей - email адреса, пароли...
Детали здесь:
https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
Детали здесь:
https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
Troy Hunt
The 773 Million Record "Collection #1" Data Breach
Many people will land on this page after learning that their email address has appeared in a data breach I've called "Collection #1". Most of them won't have a tech background or be familiar with the concept of credential stuffing so I'm going to write this…
Разрабы AstraLinux стремятся к импортозамещению.
Вот и Wine прикрутили. Но опять же не совсем сами...
https://astralinux.ru/news/category-news/2019/operaczionnaya-sistema-astralinux-stanovitsya-igrovoj-platformoj/
Вот и Wine прикрутили. Но опять же не совсем сами...
https://astralinux.ru/news/category-news/2019/operaczionnaya-sistema-astralinux-stanovitsya-igrovoj-platformoj/
Внешние конфигурационные файлы для bash скриптов? Легко и даже в json :)
https://sys-adm.in/programming/813-json-konfig-dlya-bash-skripta.html
https://sys-adm.in/programming/813-json-konfig-dlya-bash-skripta.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Опяяять?! РКН Амазон заблокировал, потом разблокировал (чуть больше 2.5 млн адресов)
https://info24.ru/news/roskomnadzor-razblokiroval-2-7-mln-ip-adresov-amazon.html
https://info24.ru/news/roskomnadzor-razblokiroval-2-7-mln-ip-adresov-amazon.html
Инфо24
Роскомнадзор разблокировал 2,7 млн IP-адресов Amazon
Роскомнадзор разблокировал 2,7 млн IP-адресов, принадлежащих американской компании Amazon. Их заблокировали весной 2018 года, пытаясь ограничить доступ к мессенджеру Telegram.
Сейчас идёт активно в социалках флешмоб "10 лет назад", как видится это хорошая база возрастных фото в плане изменения черт лица, что очень кстати для машинного обучения и алгоритмов распознавания лиц ... Просто напоминаю - не вписывайся в это дорогой товарищ.
P.S. Ссылок на это УГ не будет :)
P.S. Ссылок на это УГ не будет :)
Кто пишет bash скрипты, многие, если не каждый использует или использовал date в своем скрипте, небольшой челледж на тему акутальности используемых дат в bash скриптах:
https://sys-adm.in/programming/814-aktualnye-daty-v-bash-skripte.html
https://sys-adm.in/programming/814-aktualnye-daty-v-bash-skripte.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Sys-Admin InfoSec
Выполнение удаленного кода в apt / apt-get: https://justi.cz/security/2019/01/22/apt-rce.html
Заплатка уже есть:
apt (1.4.9) stretch-security; urgency=medium
* SECURITY UPDATE: content injection in http method (CVE-2019-3462)
(LP: #1812353)
$ sudo apt-get update && apt-get upgrade
apt (1.4.9) stretch-security; urgency=medium
* SECURITY UPDATE: content injection in http method (CVE-2019-3462)
(LP: #1812353)
$ sudo apt-get update && apt-get upgrade
В результате выпущен корректирующий релиз Debian 9.7 где уже в установочном образе закрыта эта уязвимость.
Интересно то, что этот релиз содержит только корректировки для apt уязвимости:
https://www.debian.org/News/2019/20190123
Интересно то, что этот релиз содержит только корректировки для apt уязвимости:
https://www.debian.org/News/2019/20190123
Тот случай, когда нашел старый Zabbix на виртуалке или когда он (Zabbix) достался от предыдущегго админа... Да мало-ли сколько может быть случаев :)
https://sys-adm.in/systadm/815-kak-sbrosit-parol-dlya-polzovatelya-zabbix-v-mysql-postgresql.html
https://sys-adm.in/systadm/815-kak-sbrosit-parol-dlya-polzovatelya-zabbix-v-mysql-postgresql.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
AWS объявил о запуске Amazon WorkLink, службы, которая позволяет организациям предоставлять сотрудникам простой и безопасный доступ к внутренним веб-сайтам и приложениям со своих мобильных устройств без необходимости использования VPN или специального браузера:
https://aws.amazon.com/worklink/
https://aws.amazon.com/worklink/
Amazon
Secure Web Browser - Amazon WorkSpaces Web - AWS
Amazon WorkSpaces Web is a fully managed, Linux-based service designed to facilitate secure browser access to internal websites and SaaS applications.
Microsoft объявила в своем официально м блоге о покупке компании, которая активно участвует в разработке PostgreSQL...
Объявление вроде серьезное, при этом фотожаба в начале поста явно сделана школьником. Качество MS как всегда на высоте :)
https://blogs.microsoft.com/blog/2019/01/24/microsoft-acquires-citus-data-re-affirming-its-commitment-to-open-source-and-accelerating-azure-postgresql-performance-and-scale/
Объявление вроде серьезное, при этом фотожаба в начале поста явно сделана школьником. Качество MS как всегда на высоте :)
https://blogs.microsoft.com/blog/2019/01/24/microsoft-acquires-citus-data-re-affirming-its-commitment-to-open-source-and-accelerating-azure-postgresql-performance-and-scale/
The Official Microsoft Blog
Microsoft acquires Citus Data, re-affirming its commitment to Open Source and accelerating Azure PostgreSQL performance and scale
Data and analytics are increasingly at the center of digital transformation, with the most leading-edge enterprises leveraging data to drive customer acquisition and satisfaction, long-term strategic planning, and expansion into net new markets. This digital…
Если ты используешь Linux, но еще не знаешь, что такое Flatpak, то это нужно срочно исправить :)
Тем, кто уже использует механизм самодостаточных пакетов - вышло обновление, которое содержит множество новшеств, детали здесь:
https://www.opennet.ru/opennews/art.shtml?num=50040
Тем, кто уже использует механизм самодостаточных пакетов - вышло обновление, которое содержит множество новшеств, детали здесь:
https://www.opennet.ru/opennews/art.shtml?num=50040
www.opennet.ru
Релиз системы самодостаточных пакетов Flatpak 1.2.0. Критика Flatpak
Опубликована новая стабильная ветка инструментария Flatpak 1.2, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемым в специальном контейнере, изолирующем приложение от остальной системы.…
Теперь банковские приложения, больницы и даже 2Gis будут сохранять и передавать данные пользователей "куда надо":
https://roskomsvoboda.org/44595/
https://roskomsvoboda.org/44595/
roskomsvoboda.org
Сбербанк Онлайн, Стихи.Ру, 2gis и ряд других сервисов внесены в реестр по слежке
Эти и другие интернет-ресурсы и сервисы появились в реестре организаторов распространения информации (ОРИ), и теперь по закону должны будут предоставлять данные и переписку пользователей компетентным органам.
Python сегодня занимает плотную нишу в жизни админа, на нем можно писать просто скрипты, а можно полноценные web-приложения, микросервисы и т.п.
SkillFactory приглашают на онлайн-курс "Веб-разработка полного цикла на Python", где можно получить хороший фундамент фулстек разработчика и пойти работать в компании, где такие специалисты довольно востребованы. Курс ведет R&D разработчик, лектор РЭУ им. Плеханова с опытом программирования на Python более 10 лет.
Чему учит курс:
- Основам программирования на Python, познакомитесь с функциями и массивами, научитесь работать с файлами, в частности с форматом JSON, изучите работу с библиотеками и применение коллекции для решения практических задач.
- Основам работы с Django-приложениями и работы с базами данных при помощи инструментов Django, а также основам языка SQL и работы с MS SQL.
- Основам сбора данных и работы с API и Библиотекой Beautiful Soup.
- Верстке сайта на HTML и CSS, пройдете интенсив для базового понимания фронта и публикации сайта на хостинг.
В конце курса Вы полностью разработает свой собственный проект на Python!
Подробности, полная программа курса доступна по ссылке → https://goo.gl/9N1J3S
SkillFactory приглашают на онлайн-курс "Веб-разработка полного цикла на Python", где можно получить хороший фундамент фулстек разработчика и пойти работать в компании, где такие специалисты довольно востребованы. Курс ведет R&D разработчик, лектор РЭУ им. Плеханова с опытом программирования на Python более 10 лет.
Чему учит курс:
- Основам программирования на Python, познакомитесь с функциями и массивами, научитесь работать с файлами, в частности с форматом JSON, изучите работу с библиотеками и применение коллекции для решения практических задач.
- Основам работы с Django-приложениями и работы с базами данных при помощи инструментов Django, а также основам языка SQL и работы с MS SQL.
- Основам сбора данных и работы с API и Библиотекой Beautiful Soup.
- Верстке сайта на HTML и CSS, пройдете интенсив для базового понимания фронта и публикации сайта на хостинг.
В конце курса Вы полностью разработает свой собственный проект на Python!
Подробности, полная программа курса доступна по ссылке → https://goo.gl/9N1J3S
PoC о том, как поднять привилегии до администратора домена при помощи Exchange:
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
dirkjanm.io
Abusing Exchange: One API call away from Domain Admin
In most organisations using Active Directory and Exchange, Exchange servers have such high privileges that being an Administrator on an Exchange server is enough to escalate to Domain Admin. Recently I came across a blog from the ZDI, in which they detail…
Греф как-то сказал - не нужны IT специалисты, все, точка. Нужны бюджеты :)
Если серьезно, уже который раз у Сбербанка возникают проблемы с безопасностью и конфиденциальностью:
https://www.anti-malware.ru/news/2019-01-30-1447/28700
Если серьезно, уже который раз у Сбербанка возникают проблемы с безопасностью и конфиденциальностью:
https://www.anti-malware.ru/news/2019-01-30-1447/28700
Anti-Malware
Мошенники получили информацию по счетам клиентов Сбербанка
Хорошо подготовленные мошенники атаковали клиентов Сбербанка — многим пользователям поступили звонки с телефонов самой кредитной организации. При этом злоумышленники были крайне осведомлены, в
Прикольно... В Android возможно многие встречали такой файл-менеджер, как ES File Explorer? Наверняка встречали, кто-то пользуется и рекомендует его всем подряд...
Оказывается этот менеджер, имел встроенный, скрытый web сервер, через который, к примеру можно было удаленно скачивать файлы с устройства...
Вот скрипт на GitHub который позволяет использовать эту "уязвимость":
https://github.com/fs0c131y/ESFileExplorerOpenPortVuln
Вот собственно видос:
https://www.youtube.com/watch?v=z6hfgnPNBRE
Оказывается этот менеджер, имел встроенный, скрытый web сервер, через который, к примеру можно было удаленно скачивать файлы с устройства...
Вот скрипт на GitHub который позволяет использовать эту "уязвимость":
https://github.com/fs0c131y/ESFileExplorerOpenPortVuln
Вот собственно видос:
https://www.youtube.com/watch?v=z6hfgnPNBRE
GitHub
GitHub - fs0c131y/ESFileExplorerOpenPortVuln: ES File Explorer Open Port Vulnerability - CVE-2019-6447
ES File Explorer Open Port Vulnerability - CVE-2019-6447 - fs0c131y/ESFileExplorerOpenPortVuln