В США рассекретили документ от ноября 2020 года о том, какой доступ к каким мессенджерам имеет ФБР. iMessage и Whatsapp выдают больше всего, причем iMessage выдает расшифрованные бэкапы сообщений из iCloud (если они там есть), зато Whatsapp делится информацией о новых действиях в нужных аккаунтах почти в реальном времени.

▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.

Еще в таблице есть информация про Line, Threema, Wechat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.

https://propertyofthepeople.org/document-detail/?doc-id=21114562

#prog #rust #js #article #successstory

Статья о том, как переписали с нуля плеер asciinema на Rust (с компиляцией в WASM) и Solid.js и получили прирост производительности в 50 раз.

Цитаты:

"At first I planned to implement the terminal emulation part in Rust without any optimizations, just write idiomatic Rust code, then revisit the tricks from the old implementation. The initial benchmarks blew my mind though, showing that spending additional time on optimizing the emulation part is absolutely unnecessary."

"I still thought I may need to implement some form of terminal state snapshot/restore to support the “seeking” feature. This feature requires feeding the terminal emulator with the whole text stream between the current position and the desired position, or in the worst case when you’re seeking back, feeding the emulator with the whole text from the very beginning of the recording up to the desired position. Optimizing this could be done, for example, by keeping snapshot of the terminal emulator state at multiple time points, sort of like having key-frames every couple of seconds. In ClojureScript implementation this came for free, thanks to the immutable data structures. In the new JS+Rust implementation this would have required extra work, but it turned out, that’s not needed either - clicking on the progress bar in the new player, to jump to the desired time in the recording, results in instantaneous jump, even when it has to feed the emulator with megabytes of data to parse and interpret."

Вот это поворот

> Peter ZAITSEV
> Founder

https://www.ferretdb.io/about-1/

Итак, куда же я ушёл? Что может быть лучше такого прекрасного стартапа?

Только свой (потенциально ещё более прекрасный) стартап.

Я тут писал выше про MangoDB. Так вот – это мы делаем. Реакция на анонс месяц назад была настолько большой и позитивной, что мы решили заняться этим более серьёзно и пошли делать проект фул-тайм, попутно пытаясь понять, как на этом заработать. Сегодня мы анонсировали новое имя и наши имена.

Когда вы прочитаете это сообщение, зайдите, пожалуйста, на https://news.ycombinator.com/newest, найдите там "MangoDB has a new name" (через More внизу, не поиском), и плюсаните.

P. S. И если вы ждали подвоха с Sidero Labs / Talos Systems – так его нет. 😃 Подавайтесь на вакансию.

Производители умных ТВ зарабатывают на слежке за пользователями больше, чем на самих телевизорах
https://habr.com/ru/company/globalsign/blog/592407/

Спасибо за ссылку @ldviolet

Большой и подробный пост о том как разломали GoCD

Agent 008: Chaining Vulnerabilities to Compromise GoCD
https://blog.sonarsource.com/gocd-vulnerability-chain

Предыдущий пост
Agent 007: Pre-Auth Takeover of Build Pipelines in GoCD
https://blog.sonarsource.com/gocd-pre-auth-pipeline-takeover

Умелец подключил к своему ПК б/у клавиатуру с трекболом от системы управления пуском ядерных ракет
https://habr.com/ru/news/t/593383/

9 декабря 10:00 MSK (Online) состоится VK Kubernetes Conference!

И там мне посчастливилось в очень крутой компании выступить с докладом "Kubernetes Resource Model (KRM): Everything-as-Code". Буду про YAML рассказывать и то как на него Dev, Ops и Sec командам нужно правильно смотреть в Kubernetes =)

Регистрация открыта ;)

Rust потихоньку едет в ядро

https://lore.kernel.org/lkml/20211206140313.5653-1-ojeda@kernel.org/

Flipper ищет техписа https://xn--r1a.website/zhovner_hub/1507

От себя добавлю, потому что кто-то знает, а кто-то нет.

Я успел поработать с ребятами около года и это абсолютно классная, технически сильная, увлечённая проектом и результатом команда. Если вы подходите под описание вакансии и хотите попробовать свои силы, то всячески рекомендую.

Вот это абсолютная правда =)
> Дружный коллектив и дух стартапа (в хорошем смысле!)

У GitLab'а в GitLab есть замечательная репа в которой собираются CVE связанные с ним

https://gitlab.com/gitlab-org/cves

Там удобно можно следить чего новенького появляется и изменяется
Вот, например, обновление описания для CVE-2021-39923
https://gitlab.com/gitlab-org/cves/-/commit/cd66080376206983db21d30b545670290119daed

Или добавление информации о CVE-2021-39890
https://gitlab.com/gitlab-org/cves/-/commit/81afc741b4b2db7379b6dd0bd1ab0e88c57f95fb

Последняя, кстати, является критичной и затрагивает последние версии GitLab

It was possible to bypass 2FA for LDAP users and access some specific pages with Basic Authentication in GitLab 14.1.1 and above.

https://www.cve.org/CVERecord?id=CVE-2021-39890
https://vulmon.com/vulnerabilitydetails?qid=CVE-2021-39890

В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация.

С 7 декабря 2021 года по 4 января 2022 года будет произведён перевод всех мэйнтейнеров, имеющих право публикации NPM-пакетов, но не использующих двухфакторную аутентификацию, на использование расширенной верификации учётных записей. Расширенная верификация подразумевает необходимость ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm.

GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
https://www.opennet.ru/opennews/art.shtml?num=56304

Про безопасность разработки в большой организации

Не так давно ребята из Мимокрокодил позвали меня записать подкаст про современный DevSecOps в крупных организациях. Помимо главной темы, мы подняли концепцию AppSec/DevSecOps-платформ, путь моего развития в индустрии, влияние медийности на карьеру, а также подноготную ведения телеграм-каналов. Получилось весьма интересно:)

Предлагаю послушать:
https://podcast.ru/1505781025

#talks

Конференция в разгаре, ссылка на прямую трансляцию

https://www.youtube.com/watch?v=AQzjHRlk7AY

Трансляция с комментариями
https://facecast.net/w/xi2r3j

Программа
https://mcs.mail.ru/events/vk-kubernetes-conf

В Apache Log4j 2, популярном фреймворке для организации ведения логов в Java-приложениях, выявлена критическая уязвимость, позволяющая выполнить произвольный код при записи в лог специально оформленного значения в формате "{jndi:URL}". Атака может быть проведена на Java-приложения, записывающие в лог значения, полученные из внешних источников, например, при выводе проблемных значений в сообщениях об ошибках.

Отмечается, что проблеме подвержены почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая Steam, Apple iCloud, клиенты и серверы игры Minecraft. Ожидается, что уязвимость может привести к волне массовых атак на корпоративные приложения, повторив историю критических уязвимостей во фреймворке Apache Struts, который по приблизительной оценке применяется в web-приложениях 65% компаний из списка Fortune 100. В том числе уже зафиксированы попытки сканирования сети на предмет уязвимых систем.

Проблема усугубляется тем, что уже опубликован рабочий эксплоит, но исправления для стабильных веток на данный момент не сформированы. СVE-идентификатор пока не присвоен. Исправление включено только в тестовую ветку log4j-2.15.0-rc1. В качестве обходного пути блокирования уязвимости рекомендуется выставить параметр Log4j2.formatMsgNoLookups в значение true.

Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты
https://www.opennet.ru/opennews/art.shtml?num=56319
+
https://github.com/tangxiaofeng7/apache-log4j-poc

ну что ж 😅

Пятница