LINUX.ORG.RU

109
Всего сообщений: 1556

Мозилла и сертификаты

Зашёл на http://www.seamonkey-project.org/releases/, а там:

•If you are using NoScript you might encounter a certificate error when trying to download SeaMonkey from this site. NoScript tries to force an https connection for an http only site. It is not a NoScript problem but how the Mozilla server, from which downloads are delivered, is configured.
In this case please add download.cdn.mozilla.net to the NoScript «Never force secure (HTTPS) connections» options or turn off NoScript for this download only. The settings are located in the NoScript options under «Advanced->HTTPS».

А я давно говорил что мода на повальное шифрование всего и вся среди вебмакак и прочих неосиляторов ничем хорошим не кончится, теперь вот и браузер без пердолинга не скачаешь.

 , , , ,

h578b1bde ()

Злобные хацкеры такие злобные

Получил смешное письмо, первая часть:

Subject: Important information about your account: мой_аккаунт@gmail.com
Hello! 

This is important information for you!

Some months ago I hacked your OS and got full access to your account мой_аккаунт@gmail.com
On day of hack your account мой_аккаунт@gmail.com has password:

В данном случае свидетельств компрометации нет — пароль пустой.

Вторая часть — социальный инжиниринг, наслаждайтесь:

So, you can change the password, yes.. Or already changed... But my malware intercepts it every time.

How I made it:
In the software of the router, through which you went online, was a vulnerability. I used it...
If you interested you can read about it: CVE-2019-1663 - a vulnerability in the web-based management interface of the Cisco routers.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS of your device.

After that, I made a full backup of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the normal course!

And I got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

I'm know that you would not like to show these screenshots to your friends, relatives or colleagues.
I think $743 is a very, very small amount for my silence.
Besides, I have been spying on you for so long, having spent a lot of time!

Pay ONLY in Bitcoins!
My BTC wallet: 1GLvEgpHZxBMhkcoUXP69owPTbHs51mHGe

You do not know how to use bitcoins?
Enter a query in any search engine: "how to replenish btc wallet".
It's extremely easy

For this payment I give you two days (48 hours).
As soon as this letter is opened, the timer will work.

After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically.
If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your "enjoys".

I hope you understand your situation.
- Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server)
- Do not try to contact me (you yourself will see that this is impossible, the sender address is automatically generated)
- Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server.

P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment!
 This is the word of honor hacker

I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation.

Do not hold evil! I just good do my job.
Good luck.

Вопрос: как это работает? Как они узнают пароль, если вообще? Почему при рассылке пароль не проверяется?

P.S.: Никогда не менял пароль (даже после Heartbleed) — видимо и не нужно ;-)

 

Evenik ()

Как прийти к разумному компромиссу по безопасности системы

Навеяно темой о безопасности десктопного линукса и вообще…

Несмотря на то, что ЛОР это комьюнити в первую очередь линуксоидов, а это специфичные (хотел написать «особенные», но подумал, что не так поймут) люди, я надеюсь, что тут есть те, кому не все равно на происходящую дичь в мире ОС и ПО в целом и (или) кто этим занимается по долгу службы/работы. Мне интересно мнение таких людей в отношении того, что можно назвать сегодня в мире ГНУ/Линукс правильным поведением для снижения вероятности скомпрометировать свои данные (персональные данные, данные счетов и проч.) простому пользователю, который не проверяет лично все исходники и бинарники, который не имеет специфических знаний по безопасности (хотя стоило бы), но имеет общее представление о допустимости и недопустимости каких-либо действий (не качать без регистрации и смс, не ставить везде права 777, не открывать все порты, не оставлять ssh доступным для рут-логина, не использовать пароль 123 и т.д).

Если приходить к какому-то компромиссу между уровнем безопасности, уровнем удобства использования и уровнем знаний, который необходим простому пользователю для обеспечения этого уровня безопасности, что бы вы предложили? Может быть даже стоит разработать всем ЛОРом небольшую методичку для помощи пользователям? Уверен, тут есть спецы в ИБ, которые могут поделится простыми мудростями.

P.S. Я сюда не включаю вопрос аппаратной части по понятной причине - вряд ли среднестатистический пользователь будет жертвовать производительностью (она для меня входит в понятие «удобства использования») ради получения железа 10летний давности (синкпады от РМС) или покупать втридорого одобренное ФСФ железо.

 , ,

Lithium ()

Какой Linux лучше для учреждений?

Доброго времени суток. Вообщем в техникуме нужно перевести компы с Windows на Linux, собственно c линуксом я никогда не работал и какую именно выбрать для изучения пока что незнаю. Нужен ваш совет какую именно выбрать, чтобы была максимально понятна, удобна в установке и для работы студентов. На выбор дали: Astra Linux CE, ROSA ENTERPRISE LINUX DESKTOP, Calculate Linux, ЛОТОС Linux, Astra Linux Special Editon, ROSA DX «Никель»

 , ,

Dmitryy1994 ()

Улучшение формата ссылки на ролик для встраивания PeerTube в новостную ленту или сообщение форума

Ссылка на соответствующий запрос в репозитории PeerTube на GitHab https://github.com/Chocobozzz/PeerTube/issues/1763

Нормальное название темы «Улучшение формата ссылки на ролик для встраивания PeerTube в новостную ленту или сообщение форума» заменил на текущее так как с нормальным названием тему читать никто не хочет.

Существующий формат ссылки для встраивания ролика PeerTube в новостную ленту является потенциально небезопасным, так как предполагает загрузку исполняемого кода с распространяющего ролик сервера.

https://framatube.org/videos/watch/9c9de5e8-0a1e-484a-b099-e80766180a6d
Это может быть использовано недобросовестными людьми для распространения вирусов, майнеров и прочих действий которые дискредитируют разместивший у себя PeerTube ролик ресурс перед его пользователями.
Это приведёт к запрету администрацией соц сетей и форумов размещения роликов по протоколу PeerTube и отключению соответствующего функционала если он будет предусмотрен в форумном движке.

Для того чтобы этого избежать я предлагаю разделить ссылку на PeerTube ролик на две части.
Первая часть это ссылка на страницу содержащею приложение плеера которая может быть заменена на любую другую страницу плеера с сайта, которому размещающий ролик ресурс доверяет.
Например ресурс размещающий у себя ролик может разместить страницу с плеером у себя.
Вторая часть адреса это передаваемые в параметрах страницы магнет ссылка на размещаемый ролик.
Например для ролика выше такая ссылка будет выглядеть так:
https://framatube.org/peertube/player?xs=https%3A%2F%2Fframatube.org%2Fstatic%2Ftorrents%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.torrent&xt=urn:btih:dc84b692c4002fec0cae873df0dc7f5d67fc09db&dn=What+is+PeerTube%3F&tr=wss%3A%2F%2Fframatube.org%3A443%2Ftracker%2Fsocket&tr=https%3A%2F%2Fframatube.org%2Ftracker%2Fannounce&ws=https%3A%2F%2Fframatube.org%2Fstatic%2Fwebseed%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.mp4
При этом если кто либо захочет разместить этот ролик на фейсбуке то фейсбук сможет переделать ссылку так:
https://www.facebook.com/peertube/player?xs=https%3A%2F%2Fframatube.org%2Fstatic%2Ftorrents%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.torrent&xt=urn:btih:dc84b692c4002fec0cae873df0dc7f5d67fc09db&dn=What+is+PeerTube%3F&tr=wss%3A%2F%2Fframatube.org%3A443%2Ftracker%2Fsocket&tr=https%3A%2F%2Fframatube.org%2Ftracker%2Fannounce&ws=https%3A%2F%2Fframatube.org%2Fstatic%2Fwebseed%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.mp4
При этом как можно видеть плеер будет грузится с фейсбука, ну и понятно что фейсбук сам себе доверяет.

С другой стороны так как плеер принимает магнет ссылку на файлы то будет возможно дополнительное сидирование с помощью обычных торрент клиентов, что облегчит создание сидирующей инфраструктуры.

Ссылка на соответствующий запрос в репозитории PeerTube на GitHab
https://github.com/Chocobozzz/PeerTube/issues/1763
Надеюсь что вы сходите на GiHub и проголосуете за этот запрос или иначе окажете ему поддержку.

К тому же у текущего формата ссылки ссылки на ролик Peertube есть ещё один недостаток, по ссылке нельзя определить ни названия, ни каких либо других параметров позволяющих найти файл.
Это очень плохо, так как в случае удаления ролика на форуме который дал его разместить будет пустой фрейм.
Причём фрейм будет пустым даже если ролик присутствует в сети на других серверах.

 , ,

torvn77 ()

соц сети 2: всё пропало

Я только что восстановил свой почтовый ящик с маил.ру по номеру мобилы, почта удалена была в далёком 2012 году, по почте восстановил свой первый акк из ФБ, который был удалён тоже очень давно, там даже диалоги сохранились все.

Если вы вдруг сменили номер то знайте, тот кто получит ваш номер телефона - он получит доступ ко всему чем вы раньше привязывали его, ко всему, капец.

Хоть вообще номер не меняй никогда, пинкод на симку и пароль длинющий на мобилу, ага.

 , ,

eR ()

Интернет получил официальный беспарольный стандарт авторизации

Новость старая отсюда https://dev.by/news/internet-poluchil-oficialnyi-besparolnyi-standart-avtoriz...

Оф.новость тут https://www.w3.org/2019/03/pressrelease-webauthn-rec.html

В связи с этим, вопрос - свои фотки из Интернета все удалили?

 , , ,

sqq ()

Facebook до недавнего времени хранил пароли в plaintext

https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-u...

и официальное подтверждение

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

Для Ъ:

Facebook is probing a series of security failures in which employees built applications that logged unencrypted password data for Facebook users and stored it in plain text on internal company servers. That’s according to a senior Facebook employee who is familiar with the investigation and who spoke on condition of anonymity because they were not authorized to speak to the press.

 , ,

Singularity ()

Проведена проверка полномочий крупнейших VPN-приложений

4 марта 2019 года известное издание Thebestvpn, которое занимается проверкой и сравнением различных VPN-сервисов, провело детальный анализ полномочий, запрашиваемых мобильными приложениями VPN, поставляемыми в магазине Google Play. Из исследования видно, что порядка 90% из проверенных Android-приложений запрашивали полномочия, не имеющие никакого отношения к VPN.

Всего было протестировано 81 приложение. Из низ 50 VPN-приложений запрашивали доступ к пользовательским данным, хотя для работы VPN-приложений из полномочий необходимы только «INTERNET» и «ACCESS_NETWORK_STATE».

Какие же это приложения и чего они от нас хотят:

  • Чтение и запись на внешние носители: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN.
  • Запрос сведений о точной геолокации: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN.
  • Запрос сведений о приблизительной геолокации: (WindScribe, Free VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN).
  • Запрос информации о состоянии смартфона (телефонный номер, сотовый оператор, статус исходящих вызовов): Avira VPN, Free VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN.
  • Возможность изменения системных настроек: Hide.me, Speedify, Yoga VPN.
  • Чтение системных логов (в том числе логов звонков): TigerVPN, oVPNSpider.
  • Чтение пользовательских документов: TigerVPN.
  • Возможность закачки дампа с состоянием системных сервисов: PureVPN.

Рейтинг наиболее опасных VPN-приложений возглавили:

1. Yoga VPN (6).

2. proXPN VPN (5).

3. Hola Free VPN (4), Seed4.Me VPN (4), OvpnSpider (4), SwitchVPN (4) и Zoog VPN (4).

В скобочках - кол-во расширенных API, доступ к которым запрашивает VPN-приложение.

Рейтинг самых безопасных VPN-приложений возглавили приложения, которые не используют расширенные API, а требуют лишь минимальный набор полномочий, без которого функционирование VPN-сервисов невозможно:

ProtonVPN, LiquidVPN, StrongVPN, DotVPN, Hotspot VPN, Buffered VPN, IPVanish, UltraSurf, Torguard (полный список см. по ссылке в таблице исследования).

Список VPN-приложений и запросов полномочий

Полное описание и результаты исследования

Перемещено Shaman007 из security

 , , , ,

anonymous ()

Android

вопрос по поводу приватности андроид в версиях 7 - 9. может ли приложение Facebook получить доступ к личной информации: фото, документы и т.д, которые хранятся на смартфоне, если я ему не давал на это разрешений?

 , ,

aye228 ()

Кто там рассказывал про безопасность банковских карт?

Помнится, несколько лет назад тут с кем-то обсуждал безопасность банковских карт. И указывал, что в текущем виде все это не безопасно, т.к. есть возможность неавторизованного списания. На что мне отвечали, что все это ерунда.

И вот рассказывают историю (да, знаю, что сайт такой себе, но все же этот случай выглядит реалистичным)

https://pikabu.ru/story/ostorozhno_moneyman_6541968

Для того, чтобы у тебя могли списать деньги, достаточно засветить данные, написанные на карточке. Вы понимаете, какой это писец? Это как если бы для того, чтобы зайти в аккаунт достаточно было бы знать логин, ну а пароль, да кому это нужно, пароли это излишняя безопасность, еще запоминать их надо, да ну, и так сложно.

 , ,

cvs-255 ()

Безопасность ОС и игры на Unity. Проясните

Всегда с серьёзностью отношусь к предупреждению в свойствах исполняемого файла: Allowing untrusted programs to run presents a security risk to your system.

Нашла несколько интересных для себя игр на Unity.

Возникли вопросы:
1. Возможно ли используя движок Unity встроить в игру криптовалютный майнер, кейлогер и прочую дрянь?
2. Как узнать какие файлы и папки создаются в системе в момент запуска игры на Unity?

 ,

Joanna ()

Инструкции по безопасному обращению с зондом

аkа лопатофоном. С целью избежать утечки персональной, биометрической и прочей информации. Дополнения приветствуются

1) Распаковывать свежекупленный зонд в темноте

2) Сразу заклеить камеры.

3) Включить

4) Отключить всякую телеметрию, что отключается. Хотя кто им поверит, но тем не менее

5) В процессе настройки не издавать звуков голосом

6) Не вставлять сим-карту

7) Настроить точку доступа, через которую зонд будет ходить в интернет. Поменять SSID, MAC. Настроить файерволл с белым списком. VPN и Tor приветствуются

8) Прошить более свободную от зондов ОСь.

...

N) ?

Линукс тут при том, что андроид. Дискасс :)

 , , , ,

Harald ()

Вопрос о безопасности Tails

Всем привет. Насколько я знаю Tails считается самой безопасной ОС в мире. Но недавно я смог на обычном установленном Debian без проблем смонтировать системный раздел на флешке где была установленна Tails, я мог читать файлы и записывать на этот раздел новые, изменять файлы, удалять и т.д. Это всё наталкивает на мысль что так же просто на флешку с установленной Tails можно впихнуть закладки, кейлогеры, мальварь и т.д. Кто что скажет на этот счет? Может расскажете как вообще происходит загрузка этой ОС, есть ли действительно такая угроза как подбрасывание закладок на флешку, мальвари и т.д.? Или может эта ОС научена проверять ядро перед загрузкой, другие компоненты и т.д.?

 , , ,

Deleted ()

В каких случаях могут пригодится настройки файла /etc/security/limits.conf?

Не на сервере, а дома или на работе в офисе.

 ,

Joanna ()

Файлы без пользователя и группы. Что это? Опасно или нет?

Проверила систему на уязвимости программным аудитором lsat. В логе отобразился список файлов в категории «файлы без пользователя и группы». Что это за файлы и угрожает ли существование подобных файлов безопасности системы?

Большинство — в каталоге /proc.

P. S.

Уважаемый mandala растолковал, что подобные файлы это нормально и переживать по этому поводу не следует.

 , ,

Joanna ()

Используете ли вы аппаратные менеджеры паролей

Собственно, сабж.

Возможно, какие-нибудь другие способы ввода паролей/авторизации(RFID, сканер глаза и т.д.).

Ну кроме отпечатков пальцев - это уже не интересно или не везде применимо.

 , ,

nihirash ()

Kaspersky разоблачил Мартина Harold T. Martin III

Газета Politico со ссылкой на источники в американских спецслужбахсообщала, что Мартина разоблачила вовсе не американская Фемида, а компания из подвергшейся санкциям «враждебной» США страны.

Exclusive: How a Russian firm helped catch an alleged NSA data thief

The U.S. has accused Kaspersky Lab of working with Russian spies. But sources say the company exposed a massive breach that U.S. authorities missed.

https://www.politico.com/story/2019/01/09/russia-kaspersky-lab-nsa-cybersecur...

22 августа 2016 года сотрудник «Лаборатории Касперского» связался с представителем АНБ и передал ему всю собранную на Мартина информацию, а 27 августа 2016-го ФБР совершило в деле «неожиданный» прорыв. Подозреваемый был схвачен.

Подробности: https://regnum.ru/news/innovatio/2552159.html

вот только напрашивается вопрос: ̶а̶ ̶н̶а̶х̶ зачем оно ему было надо?

 , ,

cpanewbie ()

Подводные камни при полнодисковом шифровании SSD

Есть идея поставить Debian на SSD и полностью его зашифровать, даже не оставлять неразмеченного пространства, раздел boot будет на флешке. В плане безопасности насколько это надежно, безопасно или небезопасно полностью шифровать SSD в LUKS+Ext4 при установке Debian? И еще такой нюанс, если использовать Trim при таком шифровании на SSD то в плане безопасности есть моменты которые должны насторожить?

 , , ,

Deleted ()

В UEFI нашли первый руткит

А помните как задвигали про секурность, надежность и как пользователи только выиграют?


UEFI-руткиты могут сохраняться на флэш-памяти материнской платы, что обеспечивает им постоянство и скрытность. В последние несколько лет руткиты UEFI активно исследовались и обсуждались, но не было представлено конкретных доказательств реальных кампаний, активно пытающихся скомпрометировать системы на этом уровне.

Руткит называется LoJax. Название - это дань базовому коду, который является модифицированной версией программного обеспечения Absolute Software LoJack для восстановления ноутбуков. Цель законного программного обеспечения LoJack - помочь жертвам украденного ноутбука получить доступ к своему ПК, не предупреждая плохих парней, которые его украли. Он скрывается в UEFI системы и скрытно передает его местонахождение владельцу для возможного физического восстановления ноутбука.

Уязвимость позволила изменить один несколько байтов, содержащих информацию о домене, к которому должно подключиться законное программное обеспечение для загрузки кода для восстановления системы. В случае LoJax эти байты содержали управляющие команды, которые в конечном итоге доставляли полезную нагрузку руткита.

Цепочка заражения типична: атака начинается с электронного письма, который обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe. Rpcnetp.exe устанавливается и обращается к системному браузеру Internet Explorer, который используется для связи с внешними доменами.

«Получив точку опоры на машине, я смогу использовать этот инструмент для развертывания полноценного руткита UEFI», - пояснил Вахон, добавив, что хакерский инструмент использует преимущества для вендоров, позволяющих удаленную прошивку. «Руткит UEFI будет находиться в области флэш-памяти последовательного периферийного интерфейса (SPI)», - сказал он.

Каждый раз, когда система перезагружается, код выполняется при загрузке, до загрузки ОС и до запуска антивирусного программного обеспечения системы. Это означает, что даже если жесткий диск устройства будет заменен, руткит все равно будет работать.

После установки UEFI-руткита пользователь не может ничего сделать, кроме как перепрошить SPI-память или выкинуть материнскую плату целиком.

https://tech.slashdot.org/story/19/01/01/2148232/first-ever-uefi-rootkit-tied...

Перемещено tailgunner из talks

 , ,

maiden ()