Как стать IT-администратором 2.0?
Как прокачать себя как администратора Windows-сетей? Как обеспечить безопасность такой корпоративной сети? Microsoft и онлайн-университет Нетология приглашают всех желающих в Школу Современного IT-администратора.
Ведущие специалисты расскажут, как защищаться от современных угроз малым и средним компаниям, о том, как предотвратить утечки информации, как развернуть своб собственную облачную инфраструтуру и многое-многое другое.
В первую очередь, курсы будут полезны системным администраторам и IT-специалистам, работа которых связана так или иначе с продуктами Microsoft — лучшие специалисты Microsoft MVP расскажут в подробностях обо всех возможностях программного обеспечения и способах применения таких возможностей.
По результатам курса вы получите именной сертификат от Нетологии.
И всё это — бесплатно.
Регистрация на курс:
https://goo.gl/M1quVt
Как прокачать себя как администратора Windows-сетей? Как обеспечить безопасность такой корпоративной сети? Microsoft и онлайн-университет Нетология приглашают всех желающих в Школу Современного IT-администратора.
Ведущие специалисты расскажут, как защищаться от современных угроз малым и средним компаниям, о том, как предотвратить утечки информации, как развернуть своб собственную облачную инфраструтуру и многое-многое другое.
В первую очередь, курсы будут полезны системным администраторам и IT-специалистам, работа которых связана так или иначе с продуктами Microsoft — лучшие специалисты Microsoft MVP расскажут в подробностях обо всех возможностях программного обеспечения и способах применения таких возможностей.
По результатам курса вы получите именной сертификат от Нетологии.
И всё это — бесплатно.
Регистрация на курс:
https://goo.gl/M1quVt
This media is not supported in your browser
VIEW IN TELEGRAM
🤷♂️ Бесполезная капча на сайте «Почты России»
Минутка развлечений. Моя дорогая бывшая коллега сделала пост негодования по поводу капчи на сайте «Почты России». Мало того, что в мобильном приложении такой капчи нет (что делает её абсолютно бессмысленной), так еще, как оказалось, и на самом сайте она не помогает работает. Я немного поэкспериментировал с ней и выяснил, что если в форме восстановления пароля, например, ввести любую строку с пробелом в качестве "символов с картинки", то серверу абсолютно всё равно, правильная капча или нет. От какой мифической угрозы защищаются в «Почте России» в ущерб User Experience или вовсе капчу поставили как оберег от злых духов — не ясно. Я записал короткую GIF'ку с демонстрацией процесса.
Аня до почты достучаться не смогла, поэтому помогаю ей распространением её негодования.
Её исходный пост здесь:
https://tttttt.me/theyforcedme/551
Минутка развлечений. Моя дорогая бывшая коллега сделала пост негодования по поводу капчи на сайте «Почты России». Мало того, что в мобильном приложении такой капчи нет (что делает её абсолютно бессмысленной), так еще, как оказалось, и на самом сайте она не помогает работает. Я немного поэкспериментировал с ней и выяснил, что если в форме восстановления пароля, например, ввести любую строку с пробелом в качестве "символов с картинки", то серверу абсолютно всё равно, правильная капча или нет. От какой мифической угрозы защищаются в «Почте России» в ущерб User Experience или вовсе капчу поставили как оберег от злых духов — не ясно. Я записал короткую GIF'ку с демонстрацией процесса.
Аня до почты достучаться не смогла, поэтому помогаю ей распространением её негодования.
Её исходный пост здесь:
https://tttttt.me/theyforcedme/551
И еще немного полезных курсов Microsoft вам в ленту!
В продолжение темы с обучением администрированию ПО от Microsoft, корпорация из Редмонда предлагает еще один онлайн-курс «Администрирование Microsoft 365. Развертывание Microsoft 365 через веб-интерфейс и PowerShell. Настройка современных средств защиты».
Лучшие специалисты Ability и Microsoft расскажут о best practices в настройке и администрировании Microsoft 365, как обеспечить надёжную защиту корпоративных данных, как управлять всем этим добром через PowerShell и многое другое. Курс ориентирован как на руководителей IT-департаментов, так и в целом, на администраторов корпоративных сетей.
Регистрация на курс:
https://aka.ms/pw7_tg15
В продолжение темы с обучением администрированию ПО от Microsoft, корпорация из Редмонда предлагает еще один онлайн-курс «Администрирование Microsoft 365. Развертывание Microsoft 365 через веб-интерфейс и PowerShell. Настройка современных средств защиты».
Лучшие специалисты Ability и Microsoft расскажут о best practices в настройке и администрировании Microsoft 365, как обеспечить надёжную защиту корпоративных данных, как управлять всем этим добром через PowerShell и многое другое. Курс ориентирован как на руководителей IT-департаментов, так и в целом, на администраторов корпоративных сетей.
Регистрация на курс:
https://aka.ms/pw7_tg15
DNS Leak в Ubuntu Network Manager
К нам на днях обратился человек, который пожаловался на то, что в Ubuntu, при включенном VPN-соединении, не открываются заблокированные Роскомнадзором сайты.
Мы, с моим коллегой Артёмом, начали разбираться в ситуации и выяснили, в чём дело. Как оказалось, вся проблема заключалась в том, что Ubuntu не использует DNS-серверы, предоставленные VPN, а продолжает использовать DNS, полученные от своего основного соединения по DHCP (обычно там IP-адреса DNS-серверов интернет-провайдера, если ничего не менять вручную), что и вызывает недоступность тех или иных сайтов (если провайдер, например, блокирует ресурсы по DNS).
То, что мы только что описали, называется «DNS Leak». Это, на самом деле, довольно серьезное нарушение безопасности. По вашим запросам к DNS можно определить ваше местоположение, даже если вы используете VPN-соединение. Более того, провайдер может собирать информацию о том, какие сайты вы посещаете.
Лирическое отступление №1 — для тех, кто не знает, что такое DNS:
DNS (Domain Name System) — система преобразования доменных имен в IP-адреса. Грубо говоря, есть какой-то ресурс. У него есть домен вида "example.com". К этому доменному имени привязаны определенные IP-адреса конкретных серверов, к которым будет обращаться ваше устройство. За такое преобразование как раз и отвечают DNS-серверы: вы им — домен, они вам — IP-адрес.
Так вот. Владелец DNS-сервера (в данном случае — провайдер) может собирать информацию о посещаемых вами ресурсах и, в общем-то, легко может передать эту информацию спец. службам и прочим государственным органам.
Лирическое отступление №2 — давайте поменяем вам DNS-серверы:
Не важно, используете вы VPN или нет — в любом случае пропишите себе человеческие DNS-серверы. CloudFlare предоставляют отличный DNS 1.1.1.1 и 1.0.0.1, которые не хранят информацию о запросах, да ещё и к тому же, самые быстрые.
Но давайте вернёмся к нашим баранам, кхе-кхе, т.е. к Canonical. После ряда экспериментов и исследования сообщений о подобных проблемах у других пользователей, оказалось, что это баг самой операционной системы Ubuntu, причем в последних версиях, после очередного обновления пакета network-manager. Багу уже год (!!!), он имеет наивысший приоритет (!!!), но всё ещё (!!!) не исправлен. Я в очередной раз удивляюсь халатности Canonical и не понимаю, как можно допускать такие вещи и так долго их не исправлять.
Разумеется, это исправляется некоторыми танцами с бубном (т.е. костылями). Можно отредактировать тот же OpenVPN-профиль дописыванием пары строк — это исправит ситуацию в Ubuntu, но сделает тот же OpenVPN-профиль несовместимым со многими другими операционными системами. Ужас, одним словом — вот пользовался человек VPN, был уверен в безопасности, а потом Ubuntu выпустила минорное обновление пакета и всё, никакой приватности и анонимности. Страшная вещь, конечно же.
Мы, кстати, делаем свой VPN.
Почитать про него подробнее и купить его можно здесь.
К нам на днях обратился человек, который пожаловался на то, что в Ubuntu, при включенном VPN-соединении, не открываются заблокированные Роскомнадзором сайты.
Мы, с моим коллегой Артёмом, начали разбираться в ситуации и выяснили, в чём дело. Как оказалось, вся проблема заключалась в том, что Ubuntu не использует DNS-серверы, предоставленные VPN, а продолжает использовать DNS, полученные от своего основного соединения по DHCP (обычно там IP-адреса DNS-серверов интернет-провайдера, если ничего не менять вручную), что и вызывает недоступность тех или иных сайтов (если провайдер, например, блокирует ресурсы по DNS).
То, что мы только что описали, называется «DNS Leak». Это, на самом деле, довольно серьезное нарушение безопасности. По вашим запросам к DNS можно определить ваше местоположение, даже если вы используете VPN-соединение. Более того, провайдер может собирать информацию о том, какие сайты вы посещаете.
Лирическое отступление №1 — для тех, кто не знает, что такое DNS:
DNS (Domain Name System) — система преобразования доменных имен в IP-адреса. Грубо говоря, есть какой-то ресурс. У него есть домен вида "example.com". К этому доменному имени привязаны определенные IP-адреса конкретных серверов, к которым будет обращаться ваше устройство. За такое преобразование как раз и отвечают DNS-серверы: вы им — домен, они вам — IP-адрес.
Так вот. Владелец DNS-сервера (в данном случае — провайдер) может собирать информацию о посещаемых вами ресурсах и, в общем-то, легко может передать эту информацию спец. службам и прочим государственным органам.
Лирическое отступление №2 — давайте поменяем вам DNS-серверы:
Не важно, используете вы VPN или нет — в любом случае пропишите себе человеческие DNS-серверы. CloudFlare предоставляют отличный DNS 1.1.1.1 и 1.0.0.1, которые не хранят информацию о запросах, да ещё и к тому же, самые быстрые.
Но давайте вернёмся к нашим баранам, кхе-кхе, т.е. к Canonical. После ряда экспериментов и исследования сообщений о подобных проблемах у других пользователей, оказалось, что это баг самой операционной системы Ubuntu, причем в последних версиях, после очередного обновления пакета network-manager. Багу уже год (!!!), он имеет наивысший приоритет (!!!), но всё ещё (!!!) не исправлен. Я в очередной раз удивляюсь халатности Canonical и не понимаю, как можно допускать такие вещи и так долго их не исправлять.
Разумеется, это исправляется некоторыми танцами с бубном (т.е. костылями). Можно отредактировать тот же OpenVPN-профиль дописыванием пары строк — это исправит ситуацию в Ubuntu, но сделает тот же OpenVPN-профиль несовместимым со многими другими операционными системами. Ужас, одним словом — вот пользовался человек VPN, был уверен в безопасности, а потом Ubuntu выпустила минорное обновление пакета и всё, никакой приватности и анонимности. Страшная вещь, конечно же.
Мы, кстати, делаем свой VPN.
Почитать про него подробнее и купить его можно здесь.
Marriott сообщила об утечке данных сотен миллионов клиентов, начиная с 2014 года. Среди украденных данных — номера паспортов и данные банковских карт.
Известная сеть отелей Marriott сообщила, что еще с (!!!) 2014 года неизвестные копировали из базы компании личные данные постояльцев отелей Starwood, однако замечена эта утечка была только сейчас. Среди скомпрометированных данных — имена, фамилии, email'ы, банковские карты и данные паспорта.
В рамках утечки были скомпрометированы данные более чем 500 миллионов клиентов.
Останавливался в Marriott (не Starwood), когда был в Копенгагене. Отель — отличный. Жаль по IT не дотянули. Уж с их-то деньгами могли бы и потрудиться.
UPD: Справедливо будет заметить то, что почему-то не заметила ни Медуза, ни остальные СМИ: Starwood в 2014 году еще не был частью Marriott — покупка Starwood была завершена только в 2016 году. Поэтому возлагать ответственность на Marriott в полной мере, как мне кажется, нельзя. Хотя после покупки могли бы и озадачиться вопросами безопасности.
Известная сеть отелей Marriott сообщила, что еще с (!!!) 2014 года неизвестные копировали из базы компании личные данные постояльцев отелей Starwood, однако замечена эта утечка была только сейчас. Среди скомпрометированных данных — имена, фамилии, email'ы, банковские карты и данные паспорта.
В рамках утечки были скомпрометированы данные более чем 500 миллионов клиентов.
Останавливался в Marriott (не Starwood), когда был в Копенгагене. Отель — отличный. Жаль по IT не дотянули. Уж с их-то деньгами могли бы и потрудиться.
UPD: Справедливо будет заметить то, что почему-то не заметила ни Медуза, ни остальные СМИ: Starwood в 2014 году еще не был частью Marriott — покупка Starwood была завершена только в 2016 году. Поэтому возлагать ответственность на Marriott в полной мере, как мне кажется, нельзя. Хотя после покупки могли бы и озадачиться вопросами безопасности.
Forwarded from Меня заставили создать канал
Привет, Siri? Эй, Siri!
Ребята, я всё-таки решила сделать невозможное и попробовать достучаться до Apple по этому вопросу.
Если вы тоже пользуетесь Siri на русском языке, если ждёте русского языка в HomePod и tvOS, и если вас тоже бесит каждый раз "приветкать", когда хочется что-то попросить, давайте вместе обратимся к Apple с этой проблемой.
Я составила петицию на английском языке и хочу попробовать с вашей помощью собрать под ней много подписей.
Вот ссылка: https://www.change.org/p/apple-change-russian-siri-trigger-command-from-privet-siri-to-hey-siri
Есть ещё один важный момент. Нас с вами много, но всё же очень мало для того, чтобы петиция возымела эффект.
Для полного счастья нужно распространение.
Вы автор канала/Twitter-аккаунта/подобного? Можете просто репостнуть это сообщение или самостоятельно опубликовать ссылку на петицию, если не хотите делать мне лишней рекламы.
Вы знаете авторов больших каналов? Попросите их сделать материал о петиции.
Вы простой смертный? Подпишите петицию и расскажите о ней своим друзьям и знакомым.
Сделали всё, но хотите помочь ещё больше?
Пройдите по ссылке apple.com/feedback, выберите своё устройство, в разделе Feedback Type выберите Feature Request или Bug Report, а затем скопируйте в поля заголовок и текст нашей петиции. Можете добавить что-то от себя или написать свой текст, но посыл должен быть единым.
Если у нас получится собрать значимое количество подписей, попробуем массово направить в Apple ссылку на петицию и обратить внимание на проблему.
Давайте сделаем так, чтобы пользоваться функциями было удобно, раз уж мы заплатили за них немало денег.
Напоминаю ссылку на петицию: https://www.change.org/p/apple-change-russian-siri-trigger-command-from-privet-siri-to-hey-siri
Ребята, я всё-таки решила сделать невозможное и попробовать достучаться до Apple по этому вопросу.
Если вы тоже пользуетесь Siri на русском языке, если ждёте русского языка в HomePod и tvOS, и если вас тоже бесит каждый раз "приветкать", когда хочется что-то попросить, давайте вместе обратимся к Apple с этой проблемой.
Я составила петицию на английском языке и хочу попробовать с вашей помощью собрать под ней много подписей.
Вот ссылка: https://www.change.org/p/apple-change-russian-siri-trigger-command-from-privet-siri-to-hey-siri
Есть ещё один важный момент. Нас с вами много, но всё же очень мало для того, чтобы петиция возымела эффект.
Для полного счастья нужно распространение.
Вы автор канала/Twitter-аккаунта/подобного? Можете просто репостнуть это сообщение или самостоятельно опубликовать ссылку на петицию, если не хотите делать мне лишней рекламы.
Вы знаете авторов больших каналов? Попросите их сделать материал о петиции.
Вы простой смертный? Подпишите петицию и расскажите о ней своим друзьям и знакомым.
Сделали всё, но хотите помочь ещё больше?
Пройдите по ссылке apple.com/feedback, выберите своё устройство, в разделе Feedback Type выберите Feature Request или Bug Report, а затем скопируйте в поля заголовок и текст нашей петиции. Можете добавить что-то от себя или написать свой текст, но посыл должен быть единым.
Если у нас получится собрать значимое количество подписей, попробуем массово направить в Apple ссылку на петицию и обратить внимание на проблему.
Давайте сделаем так, чтобы пользоваться функциями было удобно, раз уж мы заплатили за них немало денег.
Напоминаю ссылку на петицию: https://www.change.org/p/apple-change-russian-siri-trigger-command-from-privet-siri-to-hey-siri
Утро начинается с утечек: Quora сообщила о компрометации данных пользователей неизвестными хакерами.
Сервис вопросов и ответов Quora разослал своим пользователям уведомление о компрометации данных пользователей. По словам компании, неизвестные лица получили доступ к базе данных и смогли похитить имена, email’ы, IP-адреса, зашифрованные пароли своих пользователей, а также данные из привязанных социальных сетей, включая токены доступа к последним.
В Quora сообщают, что обратились за помощью в правоохранительные органы и ведут расследование.
Сервис вопросов и ответов Quora разослал своим пользователям уведомление о компрометации данных пользователей. По словам компании, неизвестные лица получили доступ к базе данных и смогли похитить имена, email’ы, IP-адреса, зашифрованные пароли своих пользователей, а также данные из привязанных социальных сетей, включая токены доступа к последним.
В Quora сообщают, что обратились за помощью в правоохранительные органы и ведут расследование.
Продолжаем серию образовательных мероприятий с Сайберсекьюрити™.
На этот раз у нас Python 🐍
10 декабря в 20:00 МСК, в рамках курса ОТУСа для укротителей змей пройдет открытый вебинар на тему «Внутреннее устройство интерпретатора CPython».
Курс позволит, что называется, "окунуться" в разработку "с головой" как в теории, так и на практике. В процессе обучения вы освоите основные моменты проектирования ПО через призму конкретного языка (т.е. Python'а), а также научитесь прагматично подходить к решению сложных задач. Естественно, затронут будет исключительно актуальный пул задач с подходом через, так называемые, best practices.
Перед участием в курсе можно (и нужно) пройти бесплатное онлайн-тестирование, оно поможет вам объективно оценить свои способности и определить свою готовность к прохождению курса.
Пройти его можно здесь:
https://otus.pw/HB3Q/
Регистрация на вебинар:
https://otus.pw/aRRK/
На этот раз у нас Python 🐍
10 декабря в 20:00 МСК, в рамках курса ОТУСа для укротителей змей пройдет открытый вебинар на тему «Внутреннее устройство интерпретатора CPython».
Курс позволит, что называется, "окунуться" в разработку "с головой" как в теории, так и на практике. В процессе обучения вы освоите основные моменты проектирования ПО через призму конкретного языка (т.е. Python'а), а также научитесь прагматично подходить к решению сложных задач. Естественно, затронут будет исключительно актуальный пул задач с подходом через, так называемые, best practices.
Перед участием в курсе можно (и нужно) пройти бесплатное онлайн-тестирование, оно поможет вам объективно оценить свои способности и определить свою готовность к прохождению курса.
Пройти его можно здесь:
https://otus.pw/HB3Q/
Регистрация на вебинар:
https://otus.pw/aRRK/
⚡️Парламент Австралии принял закон об обязательном внедрении правительственных бэкдоров в программное обеспечение
Страшные новости сегодня приходят из страны, где люди ходят кверху ногами: опаснейший прецедент в истории кибербезопасности — власти Австралии приняли новый закон, согласно которому различные IT-компании обязаны содействовать правоохранительным органам. Все бы ничего, но в понятие «содействовать» включили, в том числе, обязанность компаний встраивать в собственные программные продукты вредоносное программное обеспечение, бэкдоры для прослушки, а также предоставлять приватные ключи для расшифровки данных пользователей. Более того, Австралийские парламентарии пошли дальше: теперь компании также обязаны по первому требованию правоохранительных органов вовсе отключать всякое шифрование и помогать во взломе собственного программного обеспечения.
Под этот закон попадают все IT-компании, работающие в Австралии. В том числе, различные сайты и интернет-сервисы. Одной из крупнейших IT-компаний в Австралии является Atlassian — авторы BitBucket, JIRA, HipChat, Zephyr, Bamboo и других известных сервисов. Для неё последствия такого решения законодателей могут быть чудовищными, вполне вероятно, что компания может сменить юрисдикцию под таким давлением со стороны своего государства.
Подобное "законотворчество", маскируясь под благими намерениями вроде борьбы с терроризмом и т.д., никак такой борьбе не помогает. Террористы всегда найдут способ для коммуникаций, какие действия государства бы не предпринимали.
Единственной пострадавшей стороной в такой ситуации станут рядовые пользователи, чей уровень безопасности в киберпространстве существенно снизится из-за внедряемых по требованию силовиков бэкдоров.
Невозможно в 21 веке создать такую потайную дверцу, ключик от которой будет только у хороших парней. Наличие уязвимостей в ПО, предназначенных для использования правоохранительными органами, дает ровно такую же возможность злоумышленникам их использовать. А в борьбе с терроризмом и детской порнографией они производят лишь нулевой, если не отрицательный выхлоп.
Страшные новости сегодня приходят из страны, где люди ходят кверху ногами: опаснейший прецедент в истории кибербезопасности — власти Австралии приняли новый закон, согласно которому различные IT-компании обязаны содействовать правоохранительным органам. Все бы ничего, но в понятие «содействовать» включили, в том числе, обязанность компаний встраивать в собственные программные продукты вредоносное программное обеспечение, бэкдоры для прослушки, а также предоставлять приватные ключи для расшифровки данных пользователей. Более того, Австралийские парламентарии пошли дальше: теперь компании также обязаны по первому требованию правоохранительных органов вовсе отключать всякое шифрование и помогать во взломе собственного программного обеспечения.
Под этот закон попадают все IT-компании, работающие в Австралии. В том числе, различные сайты и интернет-сервисы. Одной из крупнейших IT-компаний в Австралии является Atlassian — авторы BitBucket, JIRA, HipChat, Zephyr, Bamboo и других известных сервисов. Для неё последствия такого решения законодателей могут быть чудовищными, вполне вероятно, что компания может сменить юрисдикцию под таким давлением со стороны своего государства.
Подобное "законотворчество", маскируясь под благими намерениями вроде борьбы с терроризмом и т.д., никак такой борьбе не помогает. Террористы всегда найдут способ для коммуникаций, какие действия государства бы не предпринимали.
Единственной пострадавшей стороной в такой ситуации станут рядовые пользователи, чей уровень безопасности в киберпространстве существенно снизится из-за внедряемых по требованию силовиков бэкдоров.
Невозможно в 21 веке создать такую потайную дверцу, ключик от которой будет только у хороших парней. Наличие уязвимостей в ПО, предназначенных для использования правоохранительными органами, дает ровно такую же возможность злоумышленникам их использовать. А в борьбе с терроризмом и детской порнографией они производят лишь нулевой, если не отрицательный выхлоп.
This media is not supported in your browser
VIEW IN TELEGRAM
Онлайн мастер-класс по Сайберсекьюрити™ — Взломы. Защита. Расследования.
У нас с Майкрософт для вас есть нечто потрясающее: мастер-класс от Паулы Янушкевич по инф. безопасности.
Паула — монстр индустрии, признанный мировой эксперт в области кибербезопасности с 14-летним опытом. Компания CQURE, которую Паула Янушкевич возглавляет, проводит pentesting, консультирует по вопросам архитектуры, организует тренинги и семинары. В портфолио Паулы несколько сотен проектов: как в крупных коммерческих компаниях, так и в государственных организациях. Она выступала на таких конференциях как Microsoft Ignite, RSA, Black Hat, TechEd, CyberCrime и других.
В этом мастер-классе Паула раскажет о современных техниках, используемых в ransomware-шифровальщиках, затронет вопрос мониторинга и расследования кибератак.
В общем, на редкость классное образовательное мероприятие с настоящей рок-звездой Сайберсекьюрити™. Сам поучаствую и вам советую.
Регистрация вот здесь:
https://aka.ms/cqure_tg19
У нас с Майкрософт для вас есть нечто потрясающее: мастер-класс от Паулы Янушкевич по инф. безопасности.
Паула — монстр индустрии, признанный мировой эксперт в области кибербезопасности с 14-летним опытом. Компания CQURE, которую Паула Янушкевич возглавляет, проводит pentesting, консультирует по вопросам архитектуры, организует тренинги и семинары. В портфолио Паулы несколько сотен проектов: как в крупных коммерческих компаниях, так и в государственных организациях. Она выступала на таких конференциях как Microsoft Ignite, RSA, Black Hat, TechEd, CyberCrime и других.
В этом мастер-классе Паула раскажет о современных техниках, используемых в ransomware-шифровальщиках, затронет вопрос мониторинга и расследования кибератак.
В общем, на редкость классное образовательное мероприятие с настоящей рок-звездой Сайберсекьюрити™. Сам поучаствую и вам советую.
Регистрация вот здесь:
https://aka.ms/cqure_tg19
🐛 Баг в Google+ привел к утечке данных более чем 52 миллионов пользователей.
Несколько месяцев назад Google объявила о закрытии собственной социальной сети Google+, рассказав про серьезную брешь в безопасности в октябре этого года, пообещав полностью закрыть продукт в августе 2019-го. И вот вроде бы продукт уже одной ногой в могиле, но вчера Google буквально выпустил новую серию своих «Ходячих Мертвецов».
10 декабря, компания обнародовала информацию о новой дыре в Google+, которая прожила целых шесть дней в течение ноября. Речь идёт об API социальной сети для разработчиков: в результате ошибки инженеров компании, сторонние разработчики могли получать данные (email'ы, место работы, пол, дата рождения, семейное положение) даже если пользователи скрыли эти данные из общего доступа в настройках приватности. В результате этого инцидента, данные более чем 52.5 млн. пользователей оказались доступны сторонним приложениям, однако в компании отмечают, что пока у них нет подтверждений того, что кто-то успел этим воспользоваться.
В Google также сообщили о решении ускорить закрытие собственной соц. сети (видимо, от греха подальше) и перенесли срок отключения Google+ с августа 2019 на апрель того же года.
Несколько месяцев назад Google объявила о закрытии собственной социальной сети Google+, рассказав про серьезную брешь в безопасности в октябре этого года, пообещав полностью закрыть продукт в августе 2019-го. И вот вроде бы продукт уже одной ногой в могиле, но вчера Google буквально выпустил новую серию своих «Ходячих Мертвецов».
10 декабря, компания обнародовала информацию о новой дыре в Google+, которая прожила целых шесть дней в течение ноября. Речь идёт об API социальной сети для разработчиков: в результате ошибки инженеров компании, сторонние разработчики могли получать данные (email'ы, место работы, пол, дата рождения, семейное положение) даже если пользователи скрыли эти данные из общего доступа в настройках приватности. В результате этого инцидента, данные более чем 52.5 млн. пользователей оказались доступны сторонним приложениям, однако в компании отмечают, что пока у них нет подтверждений того, что кто-то успел этим воспользоваться.
В Google также сообщили о решении ускорить закрытие собственной соц. сети (видимо, от греха подальше) и перенесли срок отключения Google+ с августа 2019 на апрель того же года.
🚰 В Facebook сообщили об утечке фотографий более чем 6 миллионов пользователей.
В руководстве популярной социальной сети сегодня признали, что фотографии 6,8 млн. пользователей, скрытые настройками конфиденциальности пользователей, а также неопубликованные, но загруженные на серверы Facebook фотографии были доступны третьим лицам.
Как и в случае с утечками в Google, проблема связана с API сервиса — именно через него сторонние разработчики могли свободно получать доступ ко всем фотографиям пользователей. В Facebook сообщают, что воспользоваться брешью могли до 1500 различных сторонних приложений, не имеющих отношения к социальной сети.
В руководстве популярной социальной сети сегодня признали, что фотографии 6,8 млн. пользователей, скрытые настройками конфиденциальности пользователей, а также неопубликованные, но загруженные на серверы Facebook фотографии были доступны третьим лицам.
Как и в случае с утечками в Google, проблема связана с API сервиса — именно через него сторонние разработчики могли свободно получать доступ ко всем фотографиям пользователей. В Facebook сообщают, что воспользоваться брешью могли до 1500 различных сторонних приложений, не имеющих отношения к социальной сети.
Мастер-класс по оценке информационной безопасности предприятий от «+Альянс».
Компания «+Альянс», серебряный партнёр Microsoft, проводит вебинар, который позволит вам самостоятельно оценить уровень кибербезопасности вашего предприятия.
В мире современных технологий, где ежедневно мы сталкиваемся с новыми вызовами, атаками, уязвимостями и прочими угрозами необходимо знать, как защитить сеть вашей компании, как оценить вашу защищенность и какие методики использовать для обеспечения высокого уровня безопасности.
Присоединяйтесь, чтобы узнать о частых ошибках в построении архитектуры безопасности, которые легко используют злоумышленники и понять, какие действия стоит предпринять вашей организации, чтобы обезопасить вашу инфраструктуру от киберугроз.
Основные темы мероприятия:
- Текущая ситуация в области угроз безопасности;
- Механика проникновения злоумышленника в сеть предприятия;
- История одного пентеста реальной организации сектора малого и среднего бизнеса;
- Варианты защиты информационной системы от угроз.
Мероприятие будет полезным для специалистов в области IT-безопасности, системных администраторов, архитекторов по инфраструктуре, системных инженеров и других специалистов, ответственных за обеспечение безопасности сети и периметра организации.
Подробнее:
https://goo.gl/kTgkds
Компания «+Альянс», серебряный партнёр Microsoft, проводит вебинар, который позволит вам самостоятельно оценить уровень кибербезопасности вашего предприятия.
В мире современных технологий, где ежедневно мы сталкиваемся с новыми вызовами, атаками, уязвимостями и прочими угрозами необходимо знать, как защитить сеть вашей компании, как оценить вашу защищенность и какие методики использовать для обеспечения высокого уровня безопасности.
Присоединяйтесь, чтобы узнать о частых ошибках в построении архитектуры безопасности, которые легко используют злоумышленники и понять, какие действия стоит предпринять вашей организации, чтобы обезопасить вашу инфраструктуру от киберугроз.
Основные темы мероприятия:
- Текущая ситуация в области угроз безопасности;
- Механика проникновения злоумышленника в сеть предприятия;
- История одного пентеста реальной организации сектора малого и среднего бизнеса;
- Варианты защиты информационной системы от угроз.
Мероприятие будет полезным для специалистов в области IT-безопасности, системных администраторов, архитекторов по инфраструктуре, системных инженеров и других специалистов, ответственных за обеспечение безопасности сети и периметра организации.
Подробнее:
https://goo.gl/kTgkds
Forwarded from Говорит Литреев (Alexander Litreev)
🎉 Сегодня у нас маленькая радость — приложение Connecto VPN наконец-то появилось в Mac App Store.
Обладатели компьютеров Apple уже могут загрузить наше приложение и подключиться к VPN всего в пару кликов.
Пробуйте, оценивайте и присылайте нам ваши отзывы на feedback@veesecurity.com или мне в личку — @alexlitreev.
Посмотрим, как пойдет, поправим всё, что не удалось найти нам, но найдёте вы и выпустим обновление.
App Store: https://goo.gl/ZNyWvK
А если вы еще не попробовали наш VPN, то приобрести его можно на нашем сайте.
Обладатели компьютеров Apple уже могут загрузить наше приложение и подключиться к VPN всего в пару кликов.
Пробуйте, оценивайте и присылайте нам ваши отзывы на feedback@veesecurity.com или мне в личку — @alexlitreev.
Посмотрим, как пойдет, поправим всё, что не удалось найти нам, но найдёте вы и выпустим обновление.
App Store: https://goo.gl/ZNyWvK
А если вы еще не попробовали наш VPN, то приобрести его можно на нашем сайте.
💩 Роскомнадзор vs. «Умное Голосование» — эксперимент.
Как вы знаете, недавно Роскомнадзор заблокировал сайт-проект «Умное Голосование» Алексея Навального, где последний предлагал интересную и (!!!) абсолютно легальную стратегию победы над Единой Россией на "выборах" в суровой российской реальности.
Сегодня РКН выпустил разъяснения. Оказывается, сайт проекта был заблокирован, так как он использовал Яндекс.Метрику и Google Analytics, а пользователя о сборе статистики, видите ли, не уведомили. И согласия не спросили. Безобразие.
Я решил провести эксперимент — будет ли РКН последователен в своих действиях? И написал небольшой пост и обращение.
Вуаля:
https://goo.gl/CwJPNr
Как вы знаете, недавно Роскомнадзор заблокировал сайт-проект «Умное Голосование» Алексея Навального, где последний предлагал интересную и (!!!) абсолютно легальную стратегию победы над Единой Россией на "выборах" в суровой российской реальности.
Сегодня РКН выпустил разъяснения. Оказывается, сайт проекта был заблокирован, так как он использовал Яндекс.Метрику и Google Analytics, а пользователя о сборе статистики, видите ли, не уведомили. И согласия не спросили. Безобразие.
Я решил провести эксперимент — будет ли РКН последователен в своих действиях? И написал небольшой пост и обращение.
Вуаля:
https://goo.gl/CwJPNr
Medium
Закон для всех един — Роскомнадзор и сайт «Умное Голосование»
Как вам, возможно, известно, недавно Алексей Навальный и его команда запустили сайт «Умное Голосование» 2019.vote, где подробно изложена…
Ну и про 20 млрд. рублей на блокировку Telegram
Особо нового по этому поводу сказать нечего, поэтому дал коротенький комментарий интернет-журналу Сноб на пару с Аней.
Если коротко: опять распиливание денег, бесполезное выкидывание средств налогоплательщиков на ветер, ведь каким бы хорошим бы не был бы DPI — его всегда можно будет обойти.
https://snob.ru/entry/169892
Особо нового по этому поводу сказать нечего, поэтому дал коротенький комментарий интернет-журналу Сноб на пару с Аней.
Если коротко: опять распиливание денег, бесполезное выкидывание средств налогоплательщиков на ветер, ведь каким бы хорошим бы не был бы DPI — его всегда можно будет обойти.
https://snob.ru/entry/169892
snob.ru
Смотрим и разбираем второй сезон сериала «Роскомнадзор vs Telegram»: чем опасна новая волна блокировок
Во вторник стало известно, что Роскомнадзор потратит 20 миллиардов рублей, чтобы снова попробовать заблокировать Telegram — в очередной раз с 16 апреля. Эта сумма потребуется ведомству, чтобы освоить новую технологию блокировки интернет-ресурсов DPI в рамках…
Ну и тут еще такой кринж вам, на ночь глядя.
Сразу дисклеймер, на всякий случай — канал пародийный (надеюсь) 🙂
https://tttttt.me/zharov_official/29
Сразу дисклеймер, на всякий случай — канал пародийный (надеюсь) 🙂
https://tttttt.me/zharov_official/29
Telegram
Официальный Жаров
Дорогой Александр Литреев!
Разумеется, что Ваша критика в наш адрес оправдана. Поэтому скажу сразу - я тот еще двуличный шакал. Когда надо, даже трехличный. Ничего личного, просто работа такая.
А теперь по существу.
Как я уже писал, мы не можем заблокировать…
Разумеется, что Ваша критика в наш адрес оправдана. Поэтому скажу сразу - я тот еще двуличный шакал. Когда надо, даже трехличный. Ничего личного, просто работа такая.
А теперь по существу.
Как я уже писал, мы не можем заблокировать…
Cybersecurity & Co. 🇺🇦 pinned «💩 Роскомнадзор vs. «Умное Голосование» — эксперимент. Как вы знаете, недавно Роскомнадзор заблокировал сайт-проект «Умное Голосование» Алексея Навального, где последний предлагал интересную и (!!!) абсолютно легальную стратегию победы над Единой Россией на…»
О-о-о-блака, белогривые лошадки!
Не секрет для тех, кто делает что-то грандиозное — относительно недавно запустилось Яндекс.Облако.
Это такая облачная платформа, где можно создавать проекты на тех же технологиях и инфраструктуре, что и у сервисов самого Яндекса. Всё серьезно: виртуалочки, объектное хранилище just like AWS S3, базы данных - PostgreSQL, MongoDB и ClickHouse. До кучи, сюда перекочевали и API Переводчика, и SpeechKit с распознаванием/синтезом речи (привет, Алиса).
Проще говоря — полноценное облако. К тому же, это всё покрыто адекватной документацией, для пущей вязкости. Есть веб-консоль, API и CLI.
При регистрации дают 4000 деревянных (!!!), чтобы можно было попробовать все-все сервисы: https://clck.ru/ExTD8.
Если посмотреть на канал проекта (https://tttttt.me/yandexcloudnews), то можно заметить, что платформа развивается довольно бодро: регулярно появляются новые сервисы и фичи.
Не секрет для тех, кто делает что-то грандиозное — относительно недавно запустилось Яндекс.Облако.
Это такая облачная платформа, где можно создавать проекты на тех же технологиях и инфраструктуре, что и у сервисов самого Яндекса. Всё серьезно: виртуалочки, объектное хранилище just like AWS S3, базы данных - PostgreSQL, MongoDB и ClickHouse. До кучи, сюда перекочевали и API Переводчика, и SpeechKit с распознаванием/синтезом речи (привет, Алиса).
Проще говоря — полноценное облако. К тому же, это всё покрыто адекватной документацией, для пущей вязкости. Есть веб-консоль, API и CLI.
При регистрации дают 4000 деревянных (!!!), чтобы можно было попробовать все-все сервисы: https://clck.ru/ExTD8.
Если посмотреть на канал проекта (https://tttttt.me/yandexcloudnews), то можно заметить, что платформа развивается довольно бодро: регулярно появляются новые сервисы и фичи.