Мир, труд, май вам в хату, подписанты! Несмотря на праздники, у меня все равно для вас есть апдейты по теме канала.

В России, я так понимаю, некая активная фаза борьбы с Телеграмом пока что затихла - возможно, стороны изучают свои опции и как делать это более эффективно, не ломая весь интернет при этом. Но зато Телеграм начали блокировать в Иране, и на эту схватку посмотреть будет даже интересней, чем в России (хотя россиянам российские блокировки, разумеется, были ближе к телу). В Иране у Телеграм гораздо больше пользователей - говорят, что более 40 млн, что составляет половину населения страны (в России у Телеграм около 15 млн пользователей).

Интересная концепция софта-вымогателя, который компилирует сам себя и загружает себя в память
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/

Помните Meltdown? Ту самую аццкую уязвимость в процессорах Intel, которую бросились все обсуждать в начале этого года? Так вот, патч для неё для Windows 7 и Server 2008 R2 создал ещё большую уязвимость, которую назвали... Total Meltdown! В её рамках любой процесс может получить доступ на чтение и модификацию любого сегмента памяти. Но это было известно, а теперь исходный для эксплуатации этой уязвимости появился на GitHub, и все, что нужно сделать пользователям и админам пострадавших систем - это установить апдейт для Windows
here

(Кстати, кто-то из читателей несколько дней назад присылал мне ссылку об этом, но я её где-то пролюбил. Если я не отреагировал на ваше сообщение или не поблагодарил за присланную ссылку - заранее извините, слишком много всего происходит одновременно)

АПД Ссылка, которую мне присылали - вот!
http://blog.frizk.net/2018/03/total-meltdown.html

Основатель WhatsApp Ян Кум ушёл из Facebook (в смысле из компании, а не аккаунт закрыл), заявив, что хочет сфокусироваться на коллекционировании редких Porsche с воздушным охлаждением двигателя (завидую такому хобби!). Интересно то, что пишут, что он уходит из ФБ в связи с несогласием с руководством ФБ по поводу отношения к сохранности частных данных и требованию по «ослаблению шифрования», что бы это не значило. ФБ этот конфликт опровергает. Напомню, что второй сооснователь WhatsApp ещё в начале истории с Cambridge Analytica в твиттере писал о том, что пора бы удалить Facebook.
https://www.washingtonpost.com/business/economy/whatsapp-founder-plans-to-leave-after-broad-clashes-with-parent-facebook/2018/04/30/49448dd2-4ca9-11e8-84a0-458a1aa9ac0a_story.html

Кстати, про WhatsApp ещё. Пару дней назад я давал ссылку на то, как можно узнать реальный IP пользователя WhatsApp с помощью превью ссылки, которое генерится прямо на устройстве. Так вот, как написал мне читатель канала, на GitHub уже есть инструкция по этому поводу
https://github.com/moldabekov/whatsipp
Фраза «вычислю по IP» обретает новую жизнь.

Вот ещё интересная ссылка от читателя:

Вот любопытная статья на хабре: https://habr.com/company/ua-hosting/blog/354560/

Там интересно не столько как ловили Селезнева, а как его вычислили. "Регистрация PayPal на почту, предназначенную для продажи карт", "Покупка билетов и цветов жене", пренебрежение шифрованием и пр. Ну и особенно доставляет, как просто оказалось подключаться к компам кафе/ресторанов и воровать карты пользователей. "компьютеры были настроены очень слабо в отношении обеспечения безопасности информации посетителей, так как хранили данные 32 тыс. кредитных банковских карт в виде простых текстовых файлов"

Хакеры, видимо, целились в РосКомНадзор, но попали в РосПриродНадзор
http://rpn.gov.ru/

(к предыдущей новости и картинке - «а все потому, что Drupal надо апдейтить, но апдейты для слабаков!»)

Некоторым пользователям GitHub пришло письмо о том, что пароли некоторых пользователей попали во внутреннюю систему ведения логов:

Hi there,

During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users’ passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.

GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored securely in production. To note, GitHub has not been hacked or compromised in any way.

You can regain access to your account by resetting your password using the link below::

https://github.com/password_reset

If you have any lingering questions or concerns about this, don't hesitate to let us know. You can reach us by emailing support@github.com or by using our contact form:

https://github.com/contact

Пока у вас там продолжаются выходные, расскажу интересную историю про то, как поймали в США маньяка, который в период с 1974 по 1986 год терроризировал Калифорнию, за что получил прозвище Golden State killer (12 убийств и около 50 изнасилование). Поймали его только сейчас, и благодаря сайту с генетической информацией GEDmatch (https://www.gedmatch.com/login1.php). У полиции были некоторые семплы ДНК, но они не могли найти убийцу с помощью традиционных методов много лет. И вот, воспользовавшись сайтом, полиция наконец-то смогла вычислить его и арестовать.

Сайт позволяет исследователям и любителям генеалогии загрузить туда данные ДНК, обнаруженные на местах преступления, и найти таким образом каких-то супердалеких родственников преступника. Это позволило существенно сузить круг потенциальных подозреваемых, и в итоге выйти на самого убийцу.

GEDmatch изначально декларирует, что данные, которые в него загружаются, являются публичными. Подобная ситуация —  не повод перестать пользоваться сервисами типа 23andMe или Ancestry, которые тоже позволяют анализировать ДНК — они утверждают, что они всячески сопротивляются запросам от правоохранительных органов для сохранения приватности своих клиентов (уверен, в России есть и свои похожие сервисы, но не знаю, насколько они устойчивы к запросам из полиции). Но в целом, %username%, помни, что информация может быть опасносте в самых неожиданных местах, причем даже если ты туда её не загружал. (Я также надеюсь, что среди читателей канала нет маньяков и насильников).

Почитать по теме больше можно тут
https://www.mercurynews.com/2018/04/26/ancestry-23andme-deny-assisting-law-enforcement-in-east-area-rapist-case/

Сегодня всемирный день пароля, оказывается
https://www.daysoftheyear.com/days/password-day/
Берегите пароли смолоду! Заводите безопасные пароли! Не используйте одинаковые пароли на разных сайтах! Мойте руки перед использованием пароля! Чаще применяйте менеджеры паролей! Безопасность любит хорошие пароли! Мир, пароли, май! Слава паролям! Нувыпонели!

Кстати, о паролях картинка

И снова о паролях. В этот раз паролях к Твиттеру. Твиттер тут объявил, что некий баг во внутренней системе логов привёл к тому, что некое время пароли пользователей были в открытом тексте во внутренних логах (Твиттер говорит, что вроде как никакой утечки не было). Поэтому Твиттер советует пользователям поменять пароли
https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html

От себя добавлю:
- желательно менять пароли на такие, которые не используются в других сервисах
- раз уж вы пойдёте менять пароль для Твиттера, настройте и двухфакторную авторизацию, чтобы два раза не вставать. Причём желательно не ту, которая через СМС, а через приложение-аутентификатор

Такие дела :)

Тут читатель прислал ссылку, по которой пишут, что ВК запустил поиск пользователей по телефону
https://t.me/popyachsa/12482

(И ведь совсем недавно ФБ заявил, что злоумышленники пользовались годами возможностью с поиском по номеру телефона, чтобы собирать информацию о пользователях, и 5 апреля компания заявила, что ограничила эту возможность. Видимо, в ВК решили восстановить равновесие глупости во Вселенной. Судя по скриншоту, эту опцию можно отрегулировать, так что вы знаете, что делать)

АПД пишут, что фича была давно, а вот возможность её регулировки в настройках появилась как раз недавно

Забавный сайт с функциональностью, которая превращает обычную ссылку во что-то максимально опасно выглядящее. не знаю, зачем это может быть нужно, разве что внутренних пользователей потестировать на предмет того, кто из них умудрится тыкнуть во что-то очевидно такое, во что тыкать не следовало бы

https://verylegit.link

Привет. Интересная статья на Washington Post с рекомендациями о том, какие пароли модно нынче создавать (и под «модно» я имею в виду, что, оказывается, исследования показывают, что делать сложные пароли или вставлять цифры и знаки в слова тоже не айс, а вот делать фразы лучше, потому что угадывать их сложнее, а запоминать проще.) мне понравилось, я планирую свои особо важные пароли на подобную схему перевести - это минимизирует стимулы к реюзу и упрощает запоминаемость). К статье есть и короткое видео, что может кому-то показаться более удобным форматом подачи информации. Статья не новая, но от этого не менее полезная.

https://www.washingtonpost.com/news/the-switch/wp/2016/08/11/theres-a-new-way-to-make-strong-passwords-and-its-way-easier/

Кстати, о паролях. Тут разработчики 1Password выкатили новую версию Watch Tower в своём приложении, которое мониторит используемые сервисы и сообщает об утечках информации в таких сервисах, а также интегрировано с сервисом Have I been Pwned, который знает об уже утёкших паролях. Очень полезная штука для гигиены паролей в целом
https://blog.agilebits.com/2018/05/04/introducing-watchtower-2-0-the-turret-becomes-a-castle/

(Да, у других менеджеров паролей тоже есть похожая интеграция с HIBP, просто я лично много лет уже пользуюсь 1Password, поэтому никак не могу заткнуться по этому поводу)