@rayslava

Тег security в блоге rayslava

rayslava

Major global technology providers SAP, Symantec and McAfee have allowed Russian authorities to hunt for vulnerabilities in software deeply embedded across the U.S. government, a Reuters investigation has found.

The practice potentially jeopardizes the security of computer networks in at least a dozen federal agencies, U.S. lawmakers and security experts said. It involves more companies and a broader swath of the government than previously reported. In order to sell in the Russian market, the tech companies let a Russian defense agency scour the inner workings, or source code, of some of their products. Russian authorities say the reviews are necessary to detect flaws that could be exploited by hackers.

https://www.reuters.com/art...rnment-idUSL1N1OD2GV

--
Security through obscurity наше всё!
Проклятые русские навысматривают дырищ!

#minfc 8
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Windows 10 face unlock can be tricked using printed headshot

http://www.zdnet.com/articl...th-printed-headshot/

--
/b/иометрическая защита

#ojcta
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

— Засуньте своё IoT себе в жопу!
Сказали инженеры.
— Ок.
Сказали производители секс-игрушек.
— О! Я могу взломать чью-то жопу!
Сказали пентестеры…

https://www.pentestpartners...ng-smart-adult-toys/

#ozepb 3
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Кто-нибудь настраивал sudo+pam_cap?
Почему-то никак не могу заставить его подхватывать capabilities.
Через su всё ок, через sudo ваще никак. Записал auth optional pam_cap.so везде, где только можно, всё равно не подхватывает.

#ootxxi 5
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Today we announced a new addition to the extensive Windows 10 security stack with a revolutionary security improvement to Microsoft Edge.

Unlike other browsers that use software-based sandboxes, which still provide a pathway for malware and vulnerability exploits, Microsoft Edge’s use of Application Guard isolates the browser and employee activity using a hardware-based container to prevent malicious code from impacting the device and moving across the enterprise network. This robust security service helps protect enterprises from malware, viruses, vulnerabilities, and even zero-day attacks.

https://blogs.windows.com/w...oductive-enterprise/

--
Я правильно понимаю, что они изобрели firejail?

#oowszj
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

https://serverfault.com/que...information-he-wants

Блин, вот у нас такой же аудит, только не про безопасность, а про разработку софта.

#ookeso 5
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Шифровальщик Petya объединился с вымогателем Mischa

https://xakep.ru/2016/05/16/petya-and-mischa/

--
Crypto-Gay Pride! World wide!

#oozpgc 3
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

В списке рассылки разработчиков OpenBSD опубликован набор патчей с реализацией новой техники защиты anti-ROP, основанной на случайном перестроении порядка расположения экспортируемых символов в системной библиотеке libc.so, выполняемом при каждой загрузке системы. Перестроение приводит к увеличению времени загрузки примерно на секунду.

http://www.opennet.ru/opennews/art.shtml?num=44320

--
Мы тут, значит, воюем за semantic interposition, за сортировку функций по pgo, располагаем эти символы и функции в нужном порядке, чтобы отвоевать миллисекунды на загрузке, а эти берут — и рандомизируют.
Осталось эту безопасность в линукс втащить -_-

#ialqj 1
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Да-да. Вот именно так всё и работает в корпорациях.
https://medium.com/@ivlad/и...ро-логи-63dbe37fd50c

#ipyra 40
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Котаны, тут поломали libotr!
Report, PoC
Срочно обновляйтесь до 4.1.1, чтобы ваша жена не отснифала переписку с бывшей через pidgin.

#igrjp 14
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Тут вон новость, что вышел firejail 0.9.38.
По описанию выглядит интересно, я так понимаю, что это лайт-версия Qubes OS?
Кто-нибудь пробовал?

// mva, а у тебя в репозитории вообще старая версия, да ещё и в неправильной категории

#ichrx 36
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Portage, сволочь такая, не подписывает модули при сборке.

Руками подписывать согласно мануалу
Чтобы подписать, скажем, virtualbox:

#!/bin/bash

SIGN_SCRIPT="/usr/src/linux/scripts/sign-file"
KEY_PRIV="/usr/src/linux/signing_key.priv"
KEY_X509="/usr/src/linux/signing_key.x509"
MODULES_DIR="/lib64/modules/`uname -r`/misc"

perl $SIGN_SCRIPT sha512 $KEY_PRIV $KEY_X509 $MODULES_DIR/vboxdrv.ko
perl $SIGN_SCRIPT sha512 $KEY_PRIV $KEY_X509 $MODULES_DIR/vboxnetadp.ko
perl $SIGN_SCRIPT sha512 $KEY_PRIV $KEY_X509 $MODULES_DIR/vboxnetflt.ko
perl $SIGN_SCRIPT sha512 $KEY_PRIV $KEY_X509 $MODULES_DIR/vboxpci.ko
#vrirm 8
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Среди операционных систем больше всего уязвимостей по итогам 2014 года найдено в операционной системе OS X. На втором месте по «дырявости» — Apple iOS. Далее следует ядро Linux, и только потом идут разные версии Windows

https://xakep.ru/2015/02/24/os-x-bugs/

--
Вот так вот.
Опасность!

#ovrmhh 4
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

arts ШТОА ТЕБЕ НАДО НА МОЕЙ МАШИНЕ?! ТЫ МНЕ ХОЧЕШЬ ВИРОС ПОДЛОЖИТЬ!

#tuhmm 2
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

И ещё вдогонку тем же сиськам серия вопросов (наверное, даже риторических, но вдруг кто ответит?):
1. Каким идиотом надо быть, чтобы фотографировать на айфон?
Качество картинки — говно и стыдно показывать (по крайней мере у моего 5s так, но о об этом я уже писал)
2. Зачем делать фотки себя с голой жопой, если не собираешься их никому показывать?
3. Зачем вообще фотографировать себя с голой жопой?
4. Зачем вообще фотографировать себя? (но это ладно, все так делают, типа модно)
5. На кой хрен грузить свои данные в облако незашифрованными?
Нет, айфон не делает это по умолчанию (в отличии от ведроида, грузящего всё в г+, лол), нет, недостаточно нажать одну кнопку. Надо явно подтвердить в двух местах.

Ну и ключевой вопрос: если ты всё это сделал и сам виноват, какого хрена теперь жаловаться-то?

#tluem 12
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
rayslava

Я почитал Understanding SELinux, охуел от объемов мануала, осознал, что шаг вправо или влево с проторённой тропы означает чтение мануала на пару тысяч страниц и решил не ставить его на сервер.
Попробую оживить SMACK, благо опыт ебли с ним у меня уже полуторалетний.
Если кому-нибудь это интересно, буду описывать сии развлечения под тегом *smack, например.

#otkv 10
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.