Хакеры взломали сервер крупного подрядчика российских спецслужб и ведомств, а затем поделились с журналистами описаниями десятков непубличных проектов в области интернета: от деанонимизации пользователей браузера Tor до исследования уязвимости торрентов. Не исключено, что это крупнейшая в истории утечка данных о работе российских спецслужб в интернете. (...)

Проект «Наутилус-С» был создан, чтобы деанонимизировать пользователей браузера Tor. (...)

Более ранняя версия проекта «Наутилус» - без буквы «С» через дефис после названия - была посвящена сбору информации о пользователях соцсетей. (...)

В рамках научно-исследовательской работы «Награда», которая проводилась в 2013-2014 годы, «Сайтэку» предстояло исследовать «возможности разработки комплекса проникновения и скрытого использования ресурсов пиринговых и гибридных сетей», говорится во взломанных документах. (...)

Заказчиком другой работы под названием «Наставник» была войсковая часть № 71330 (предположительно - радиоэлектронная разведка ФСБ России). Цель - мониторинг электронной почты по выбору заказчика. Проект был рассчитан на 2013-2014 годы. (...) Согласно документации, предоставленной хакерами, программу «Наставник» можно настроить так, чтобы она проверяла почту нужных респондентов в заданный промежуток времени или собирала «интеллектуальную группу добычи» по заданным словосочетаниям. (...)

Проект «Надежда» посвящен созданию программы, которая накапливает и визуализирует информацию о том, как российский сегмент интернета связан с глобальной сетью. Заказчиком работы, проводившейся в 2013-2014 годы, стала все та же войсковая часть № 71330. (...)

Программа «Налог-3» позволяет в ручном режиме убирать из информационной системы ФНС данные лиц, находящихся под госохраной или госзащитой.

https://www.bbc.com/russian/features-49050982

https://www.zdnet.com/article/hackers-breach-fsb-contractor-expose-tor-deanon...

Сливали данные о посещаемых страницах, список забаненных:

Web Security

Browser Security

Browser Privacy

Browser Safety

YouTube Download & Adblocker Smarttube

Popup-Blocker

Facebook Bookmark Manager

Facebook Video Downloader

YouTube MP3 Converter & Download

Simply Search

Smarttube - Extreme

Self Destroying Cookies

Popup Blocker Pro

YouTube - Adblock

Auto Destroy Cookies

Amazon Quick Search

YouTube Adblocker

Video Downloader

Google NoTrack

Quick AMZ

Детали: https://www.bleepingcomputer.com/news/security/mozilla-removes-23-firefox-add...

https://bugzilla.mozilla.org/show_bug.cgi?id=1483995

The switch to the new owner of Stylish had massive privacy implications. SimilarWeb is known for its analytics offerings and it appears that the company collects browsing data from Stylish.

Users who install Stylish are automatically opted-in to sending anonymous data to Stylish. Stylish does include an option to opt-out of that in the extension options.

Robert Heaton analyzed Stylish's data collecting recently and discovered that the extension sends a user's complete browsing history back to Stylish servers. The data is linked to a unique identifier so that all of a user's browsing history can be linked together.

It is even worse for users who have an account on userstyles.org, a property owned by SimilarWeb, as Similarweb could link accounts to the browsing history.

https://www.ghacks.net/2018/07/03/it-is-time-to-get-rid-of-stylish/

Enjoy your zond.

general: Don't allow launching binaries or programs in general

For long we used to support that since the desktop was part of Nautilus. Also, back then we didn't have a Software app where you are expected to installs apps. Back then it was common for apps to be delivered in a tarball, nowadays that's out of question.

Now that the desktop is long gone, launching binaries and desktop files from within Nautilus is not as useful. Not only that, but we are moving towards a more sandboxed system, and we should use the standard and system wide support for launching apps based on users choices.

We also are not able to be secure enough to handle this, as we saw in the past we allowed untrusted binaries to be launched, and therefore we had a CVE (CVE-2017-14604) for Nautilus. We are not being audited (afaik) and we are not in a position that we can let this issues slip.

With that altogether, this prevents launching binaries or programs from Nautilus.

https://gitlab.gnome.org/GNOME/nautilus/commit/3a22ed5b8e3bbc1c59ff3069ee7975...

Все помнят про нашумевшую интеловскую багу Meltdown? Почему я об этом написал на этом ресурсе про линукс? Потому шо лулзы, мелкософт в январе пофиксил Meltdown, и представил намного более улучшенную версию знаменитого бага, о котором мы узнали только сейчас, после трех месяцев дырищи:

A vulnerability introduced in Windows 7 by Microsoft as part of their attempts to patch the much-publicized Meltdown vulnerability was recently disclosed by Swedish security researcher Ulf Frisk in a blog post. In contrast to Meltdown, which was measured by the original researchers as being able to read kernel memory at around 120 KB/s, the newly-disclosed «Total Meltdown» vulnerability allows malicious programs to read complete system memory at speeds of gigabytes per second.

To make matters worse, it also gives complete write access to hackers, whereas the original Meltdown vulnerability was read-only, the post said. This vulnerability exists due to a programming oversight in the handling of memory mirroring for the virtual memory address space assigned when a program runs. The PML4 page table permission bit was incorrectly set to «user» instead of «supervisor.» As a result, memory that should only be accessible to the kernel was automatically mapped for every process running at user-level privileges.

In Windows 7, and Windows Server 2008 R2 (which shares the same version of the Windows kernel,) PML4 is always mapped to the address 0xFFFFF6FB7DBED000 in virtual memory, whereas Windows 10 randomizes the location of this data, the post noted. With the address known, and capable of being manipulated normally without with the use of a particular programming trick, exploiting this oversight is trivial."

https://www.techrepublic.com/article/total-meltdown-how-microsofts-spectre-pa...

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-1038

https://support.microsoft.com/en-us/help/4100480

https://support.microsoft.com/en-us/help/4088878/windows-7-update-kb4088878

Напишу одну очень прохладную историю про TN панели и вот это всё, довольно давно подключал два 19" самсунга одного поколения, но разных моделей, оба с TN.

Первый - желтизна, второй - холоднота, настройки дефолтные по сути, т.е. какие там цвета - шаман его знает и это очень даже плохо после божественных CRT (а в дешевых ноутах даже не трэшак, а большой такой poop).

А потом меня поплохело окончательно после прочтения на одном форуме, оказывается невидия и амб ВТИХАРЯ при подключении 1920х1080 по HDMI выбирают ОБРЕЗАННУЮ цветопередачу по дефолту (меня с DVI это обошло), вот где ШОК и СКРЫВАЮТ. Оказывается в глубокие настройки нужно лезть и ставить полную цветопередачу, иначе там овно какое-то, а если у тебя TN - то совсем овно.

Два вопроса:

+ 16:10 (16:9), хотя бы 85Гц, реальные цвета, реальный черный цвет, не тормоз, не сильно дорого, ЕСТЬ?

+ Память отшибло, так какая TN-говнопанель была права (или никакая), классическая вин2000 тема имеет желтый цвет приложений, или голубоватый? Вопрос века просто

Дано:

Samsung 931с (1280х1024х60Hz) с DVI кабелем - 10+ лет активной службы

AMD HD6870 - 4+ лет службы

С некоторого времени пошло дребезжание цветов в режиме 75Hz, пофиксилось переходом в стандартный режим 60Hz.

Но недавно началась фигня по хуже, один раз намертво пропала картинка, переподключил кабель и проблема решилась.

Но теперь полезло еще хуже: спонтанный значительный сдвиг картинки в сторону (до центра), иногда несколько раз до полной стабилизации, как будто синхронизация слетела и появление через весь экран тонких периодических серых линий с точками и дребезжанием как будто в эквалайзере. Все три случая возникали во время игор в игрушки и затрагивали и 3D и 2D (фото: https://i.imgur.com/bNqgIlo.jpg). Артефактов у видеокарты не замечал (снега - нет, проблем с текстурами - нет), вентиляторы работают, температуры вроде бы в норме. Проблема либо в мониторе, либо в кабеле, либо в видеокарте (либо комбинации)

Скриншотилки делают нормальный скрин, перезапуск монитора не помогает, запуск через VGA не помогает, перезагрузка _помогает_.

Никто не сталкивался?

В последние года у меня появилось ощущение несрабатывания Enter в различных полях ввода и окнах под вендой, из последнего фирефокс, сайт открывает форму «Создать», ввожу название, Enter - ничего, Tab Enter - переход по левой ссылке.

Это я криворукой, или софт и вебговно перестает нормально дружить с клавой?

ЗЫ. Кнопка не залипает. Ощущение, шо окно фокус теряет часто.

Посмотрел на http://lor.click/ - не только бубунтокапец но и лорокапец. Опустился до уровня 2008-го года уже.

Решил разбавить пост Бирди вендозрадою. Есть у меня обновленная без телеметрии спермерка (одна только папка/директория \Windows уже под 30 гиг), но не в этом дело, бут там дичайше долгий - 2 минуты до юзабельности. На однопластинном терабайтнике, Карл!.

Запилил мелкософтный xbootmgr+xperf из их SDK для анализа бута, посмотрел «Disk Utilization» и охренел: напыщенный Avast забрал на себя 100 секунд, говноскайп под 2 минуты любил винт (в среднем 10% винта, 12 секунд на себя). Пока Аваст занят винтом вся система стоит раком, типа как при 12309.

Сам бут заканчивается где-то под 300 секунду (после загрузки utorrent 2.2.1, quiterss, skype).

После 300 секунд бута у венды начинается припадок поиска обновлений, который выжирает целое первое ядро на 30-60-... минут (минут, Карл! это после фиксов, до фиксов он жрет часами!).

Если захотелось проанализировать скорость загрузки драйверов, получи бан^Wзацикленный BSOD (убирается возвращением на предыдущую конфигурацию), багу пофиксили только в Вын8, юзерам вын7 - дуля, хотя багу уже 7 лет где-то.

И тут мы подходим к преимуществу основных дистрибутивов GNU/Linux: ненужность антивируса и сравнительно быстрый бут, диск i/o менее засран (в отличие от венды, которая каждый бут читает ХХХ мбайтные базы всякой хероты).

Всякие *голики, которые утверждают, шо под вендой брат жив и всё круто нагло лгут, вроде 7-ка последняя из адекватных венд была, но даже она тормоз (даже без антивируса) и имеет многолетние баги типа пропажи иконок из систрея, позор просто. XP-шка бы летала на таком железе.

Ну и говнософт, ведь мы в основном используем софт, а не ОС, а он как раз жирное говно, куда не глянь - днище и UI для дебилов где непонятно где кликать (да мне при Win 3.11 было понятней где кликать), вот скажите, зачем этому ненавистному Скайпу столько disk I/O (тысячи мелких файлов?)? QuiteRSS и тот грузя 300мб базу намного быстрей и не давит на винт.

Куда это всё катится? Вот у линуксоидов Qt vs GTK, GTK - говно, Qt - говно, но есть шанс... а читая вендоновости ощущаю дно и «дальше будет только хуже» (всякие кортаны и дх12 не сглаживают).

Цитата в переводе не нуждается:

When you install TrendMicro Antivirus on Windows, by default a component called Password Manager is also installed and automatically launched on startup.

http://www.trendmicro.com/us/home/products/software/password-manager/index.html

This product is primarily written in JavaScript with node.js, and opens multiple HTTP RPC ports for handling API requests.

It took about 30 seconds to spot one that permits arbitrary command execution, openUrlInDefaultBrowser, which eventually maps to ShellExecute().

This means any website can launch arbitrary commands, like this:

x = new XMLHttpRequest() x.open(«GET», "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/c... true); try { x.send(); } catch (e) {};

Ты такой поставил Вин10 @ свистим, пердим, сливаем данные @ ставим антивирус @ безопасно-модно-молодежно %)

Оказывается, уже несколько лет в *ных телевизорах Panasonic стоит реклама по-дефолту, когда изменяешь звук, типа такого: https://i.imgur.com/WyOvuiF.jpg

Есть GPL-ный проект Free Download Manager с очень неплохим функционалом, стабильная ветка имеет вот такой интерфейс: https://i.imgur.com/sFEA0Cs.png

А вот нестабильная ветка, с пафосом «Менеджеры закачок будущего»: http://cdn.ghacks.net/wp-content/uploads/2015/12/free-download-manager.jpg

Вопрос... ЗА ЧТО!? ЗАЧЕМ ТАКАЯ КАРА!? Хочеться просто взять и *....

СПАСИ И СОХРАНИ ОТ ЭТОГО УЖАСА

Какое оно, есть ли альтернативы кроме QT? Движение GTK идет в странном направлении, центровка на редхате и гноме. Остальным куда? Релевантно ли оно на никсах и вендах, или отживает свое? Призываю экспертов!

Цитата:

While the Catalyst Control Center was written in the aging and bloated .Net coding ecosystem, Radeon Software is designed on QT. The first and most immediate advantage will be startup speed. AMD says that Radeon Software will open in 0.6 seconds compared to 8.0 seconds for Catalyst on a modestly configured system.

8 секунд на старт настройщика драйвера ATI, Карл!

Разрабатывается любителями OS/2 из организации «Arca Noae» по лицензии от IBM.

Планируют обновить/добавить:

• поддержка новых версий ACPI
• USB 1.1/2
• поддержка AHCI
• дисплейный драйвер Panorama
• набор драйверов Multimac для сетевых карт (поддержка беспроводных сетей тоже планируется)
• Uniaud - ALSA-совместимый звуковой драйвер
• переработанный установщик (установка через USB, сеть, закачка обновлений)
• улучшение поддержки SMP

Запланировано на 3 квартал 2016 года

Технопарк «Университетский» стоимостью 1,35 млрд рублей, который был запущен на окраине Екатеринбурга в декабре 2014 года, спустя почти год после открытия так и не смог привлечь резидентов. Руководство организации ищет возможность заселить хотя бы 15 компаний, чтобы не пришлось возвращать в бюджет более 600 млн рублей.

https://vc.ru/n/dark-places

Карго-культ прямо. Осторожно, по ссылке иконы.

Вырезка из журнала: https://imgur.com/a/JtfYy

Для Ъ: «Пользователи в роли подопытных крыс»

Забылись былые времена битв троллей на ЛОР? КДЕ - говно, гном - говно, всё - говно? Линукс - не готов, Венда - говно, БСД - труп? Нечего делать? Откройте любую комментируемую новость про венду/линукс/гугол/яббл на http://betanews.com/ и вам полегчает :) Я думал такой упоротой клоунады чем на ЛОР больше нигде нет, я был не прав.

Вендоэкосистема продолжает морально деградировать ускоренными темпами (после фиаско с Вин10), теперь AVG и Avast для улучшенной заботы о пользователях обновили свои EULA, и да, они хотят продавать твою браузерную историю и не только. Т.е. антивирус превращается в зловред.

WTF??? Это не просто наглость, а наглое сексуальное издевательство!

Ссылки: http://www.wired.co.uk/news/archive/2015-09/17/avg-privacy-policy-browser-sea...

http://appcookiedev.com/cookies/avast-and-avg-anti-virus-products-collect-per...

http://no-adware.com/blog/avast-selling-browsing-data/

https://www.reddit.com/r/technology/comments/3lass7/avasts_privacy_policy_als...