Как выйти из айти

2022-09-04 16:59:56 Умер Питер Экерсли, один из основателей Let's Encrypt

Не стало Питера Экерсли (Peter Eckersley), одного из основателей некоммерческого удостоверяющего центра Let's Encrypt, позволяющий бесплатно получить SSL сертификат.

Источник: https://www.opennet.ru/opennews/art.shtml?num=57726 (ну и https://community.letsencrypt.org/t/peter-eckersley-may-his-memory-be-a-blessing/183854)

Спасибо, Питер! То, что многим казалось невозможным - бесплатная и автоматизированная выдача SSL сертификатов, было реализовано с твоей помощью.

Pressing F to pay respects. Открыть/Комментировать

2022-08-30 09:30:55 На десятикратное снижение масштабов телефонного мошенничества предлагают потратить 150 миллионов рублей в рамках нацпрограммы

Source: https://www.rbc.ru/technology_and_media/21/07/2021/60f6f0ef9a79471573e829bf

Все наверняка хотя бы раз получали звонок от «службы безопасности Сбербанка» или «местного УБЭП», некоторые даже на эту дичь велись. Эта проблема является достаточно крупной — миллиарды рублей ежегодно отдаются россиянами в руки мошенников в рамках такой «деятельности».

В нацпрограмму «Цифровая экономика» участниками IT-отрасли и государственными ведомствами предложено добавить цель — снижение в десять раз масштабов телефонного мошенничества к 2024 году. Кроме того, предлагается создать SOC (Security operations center) — распределённую систему безопасности для государственной облачной инфраструктуры.

Рабочая группа «Информационная безопасность» при АНО «Цифровая экономика» до 1 октября должна представить вице-премьеру Дмитрию Чернышенко результат своей работы в виде списка предложений, позволяющих достигнуть указанных выше целей.

В качестве мер предлагаются:

* регулирование IP-телефонии (без конкретики), ограничение или контролирование звонков с её использованием (админы Asterisk напряглись);
* блокировка звонков с подменой номера, мошенического трафика на уровне оператора;
* ограничения на транзит мошеннического трафика;

Как трафик будет делиться на мошеннический и не мошеннический — непонятно. Почему для принятия решения о том, что звонки с подменных номеров — дичь, и должны быть запрещены, нужна целая нацпрограмма — непонятно тем более.

Кстати, с началом СВО в феврале-апреле 2022 года было зафиксировано резкое снижение количества мошеннических звонков. Это объяснялось тем, что достаточно большое количество колл-центров злоумышленников расположено на территории соседней страны. Just sayin'... Открыть/Комментировать

2022-08-25 09:31:12 Plex pwnd: если у вас есть аккаунт, немедленно смените пароль

Source: https://www.malwarebytes.com/blog/news/2022/08/reset-your-password-now-plex-suffers-data-breach

Plex — эдакий локальный Netflix: сервер предназначен для установки на серверную машину или NAS пользователя, где расположены файлы с фильмами, музыкой и телешоу, которые абсолютно легально принадлежат пользователю. Для работы Plex требует зарегистрироваться в собственной системе учётных записей.

Вчера Plex разослал своим пользователям рассылку, в которой сообщил, что злоумышленники получили доступ к одной из баз данных на стороне сервиса. В результате были похищены адреса электронной почты, юзернеймы и пароли пользователей.

Если у вас есть аккаунт Plex, немедленно смените пароль. Если этот пароль использовался где-то ещё — меняйте его везде (и приучитесь уже иметь уникальные пароли для каждого сервиса). Опционально при смене пароля можно разлогиниться из всех существующих сессий Plex, правда, эта функциональность работает с перебоями.

Если вы хотите установить альтернативу Plex, не имеющую привязки к аккаунту на не контролируемом вами сервисе, посмотрите в сторону Jellyfin — простой, менее навороченный (что, как по мне, плюс) и не требующий никакой авторизации вовне сервер для медиаконтента. Открыть/Комментировать

2022-08-22 19:50:49 Согласно сообщениям в телеграм-чатах, Алиэкспресс прекратил приём заказов с доставкой в Европу, но начал принимать заказы с доставкой в Донецк. И скорее всего это даже не фейк.

На самом деле всё очень просто: существует два Алиэкспресса. Они работают с одного домена, у них одинаково называются приложения, но — в российском сегменте (и скачанное из российского Аппстора/Гуглплея/Рустора...) Алиэкспресс работает под руководством бывшей Mail.ru Group (ныне — VK Group), и их совместного предприятия с Alibaba.

Приложения AliExpress в России и за рубежом — это два разных приложения с одинаковым интерфейсом, но разными управляющими компаниями. Проще всего это объяснить на примере Uber, который в России уже давно является алиасом к Яндекс-такси, и для которого давно уже есть приложение Uber Russia, отдельное от глобального.

Соответственно, Алиэкспресс в России может делать, на самом деле, что угодно — убирать доставку в Европу (логично, так как VK Group находится под европейскими санкциями), ставить какой угодно курс доллара на сайте (а вы думали, это китайские «братушки» делают, кек?) и далее в том же духе. Не удивлюсь, если Алиэкспресс в России реально начнёт (или уже начал) организовывать доставку товаров на освобождённые территории, ЛНР и ДНР. Открыть/Комментировать

2022-08-22 17:01:02 Девичья фамилия матери и прочие способы завладеть вашими данными (и деньгами)

В качестве подтверждения личности во многих сервисах (включая банковские) используются контрольные вопросы. Чаще всего — с предустановленным списком вопросов, который иногда содержит пункт «написать свой вопрос» (а чаще — нет). К контрольным вопросам такого рода можно отнести и кодовые слова, которые так любят банки.

А сейчас остановитесь и посчитайте, в скольких сервисах вы выбрали предустановленный контрольный вопрос и ответили на него. Больше нуля? Немедленно меняйте ответ (желательно, вместе с вопросом). Почему?

О том, что такое «социальная инженерия» слышали, наверное, все. Правда, многие думают, что для проведения работ по получению злоумышленником контроля над каким-нибудь вашим аккаунтом в рамках социальной инженерии требуется прямое взаимодействие с конечным пользователем и утешают себя тем, что «я же не дурак, называть важные данные всем подряд?»

А потом на форуме собаководов вы рассказываете, что у вас в детстве была собачка Жучка, вы её очень любили, и помните до сих пор. А в каком-нибудь «Банке номер 40» у вас кодовое слово — «Жучка». Вы его, конечно, никому не скажете, но однажды проснётесь без денег и без доступа к интернет-банку «Банка номер 40».

Разберём на примере среднестатистического банка: чтобы получить доступ к вашему счёту, нужны: симка с вашим номером (можно получить дубликат через коррумпированного сотрудника салона сотовой связи), паспортные данные (валяются в переходе у Васяна на диске) и кодовое слово (нужно, чтобы снять блокировку операций со свежеустановленного приложения в некоторых банках). Какова вероятность, что злоумышленник найдёт ответ на контрольный вопрос или кодовое слово, если вы честно ответили на него или выбрали то, что действительно к вам относится?

Практически 100%.

Контрольные вопросы и кодовые слова — это последний бастион безопасности там, где все другие меры уже сломаны. Никогда не относитесь к ним, как к праздным формальностям, никогда не отвечайте на них честно. Девичью фамилию вашей матери найдут на Одноклассниках, Жучку вы выложите сами, а имя первого лучшего друга подсмотрят на вашей же странице в соцсети. Правильное отношение к контрольному вопросу — как к ещё одному паролю: ответ должен быть уникален, нигде не упоминаться и не использоваться.

Использование уникального, собственного контрольного вопроса, кстати, чаще всего упрощает жизнь злоумышленнику, так как становится понятней, что пытаться искать. А вот ответить на «Девичью фамилию матери» что-то типа «mumble-anything-perdole» — гораздо надёжнее, так как позволяет сбить взломщика со следа.

«Но что делать, если я забуду кодовое слово или ответ на контрольый вопрос?»

* Пока у вас есть доступ к аккаунту — всегда есть возможность поменять их, используя для подтверждения другие факторы (пароль, код из SMS, паспорт...)
* Если доступа нет и вы не пользовались менеджером паролей — ня, пока. Вспоминайте. Если это банк — можно сходить в отделение и сбросить все доступы.
* Если вы пользовались менеджером паролей — скорее всего, такая проблема перед вами не стоит.

Отдельно надо проговорить стратегию, на случай, если кирпич упал на голову и теперь вы вообще ничего не помните. Но это история для следующего раза. Открыть/Комментировать

2022-08-20 19:09:15 Уровень цифровой гигиены: узнал об этом VPN из поста выше.

Если какой-то продукт бесплатен, то монетизируется он за счёт вас и ваших данных. Которые могут стоить очень дорого, особенно в условиях военного и геополитического противостояния.

Впрочем, платность того или иного сервиса не гарантирует априори его безопасность. Это необходимое условие, но не достаточное. Открыть/Комментировать

2022-08-20 19:07:14 Бесплатный VPN-сервис создан для шпионажа за пользователями.

7 июля исследователь Cybernews Арас Назаровас обнаружил открытый экземпляр ElasticSearch, содержащий 626 ГБ журналов VPN-подключений с 5,7 млрд. записей пользователей бесплатного VPN-приложения Airplane Accelerates, включающих:

- Идентификаторы пользователей;
- IP-адреса пользователей;
- IP-адреса, к которым они подключались;
- Доменные имена;
- Временные метки.

Источник: https://www.securitylab.ru/news/533447.php

Если после прочтения вот этого вас все еще пытаются убедить, что "бесплатный VPN не могут перехватывать трафик" (Кхъ, лично делаю это для http(s) в своей сети), "бесплатный VPN не будут продавать ваши данные налево" (а, простите, как бесплатные VPN тогда живут?), и прочее, что начинается с "бесплатный VPN не" или таковое подразумевается - бегите оттуда. Вас нагло обманывают. Открыть/Комментировать

2022-08-18 16:31:24 Astra Linux Special Edition обзавелась поддержкой портативных устройств и приложений на Android

Source: https://astralinux.ru/news/category-news/2022/mobilnaya-astra-predstavlena-na-forume-armiya-2022/

На форуме «Армия-2022» госкорпорация «Астра» представила релиз Astra Linux SE, направленный на поддержку мобильных устройств с сенсорным экраном (в частности, планшетов).

В качестве основных изменений отмечаются следующие — интерфейс ОС адаптирован для работы с сенсорным экраном планшета, есть возможность переключаться между мобильным и стационарным режимом десктопа, а так же заявлена поддержка немодифицированных приложений на Android.

Скриншотов в новости и интернете я, к сожалению, пока не нашел. Потыкать самостоятельно, к сожалению, также вряд ли получится — Astra Linux SE это система особого назначения, без подписанного NDA её не получить.

Заявляется также расширенная поддержка устройств типа сенсорных экранов, NFC-чипов, камер и всего прочего, но, полагаю, это всё-таки просто заслуга свежего ядра Linux, а не команды ГК «Астра».

Отдельно было бы интересно посмотреть на то, стали ли они писать эмулятор для Android Runtime самостоятельно, или взяли готовый. К сожалению, из-за специфики ОС, если она не станет распространяться более широко или не появятся устройства с ней в продаже, мы так и не узнаем технических подробностей. Открыть/Комментировать

2022-08-16 20:06:12 (начало — здесь)

Практически все считают, что Apple построила свою программу самостоятельного ремонта таким образом, чтобы ей воспользовалось минимальное количество людей, а когда в Конгрессе США начнутся прения по поводу «right to repair», Apple сможет выступить со статистикой использования данного решения, и если не остановить принятие законодательства, направленного на самостоятельный ремонт, то сильно осложнить его принятие.

Насколько удовлетворены законодательные власти США решением Apple в области «right to repair», пока неизвестно. Открыть/Комментировать

2022-08-16 20:06:08 Как наебать систему, краткий курс от Apple. Пример 2.

(пример 1 — здесь)

Source: https://selfservicerepair.com/home
Source: https://support.apple.com/self-service-repair
Source: https://www.theverge.com/2022/5/21/23079058/apple-self-service-iphone-repair-kit-hands-on

В последние несколько лет в Соединённых Штатах набрало популярность движение «right to repair» (право на ремонт) — инициатива, которая призвана заставить Big Tech (в первую очередь Apple, Google и других производителей смартфонов и портативной электроники) разрешить самостоятельный ремонт устройств конечными пользователями и независимыми ремонтными центрами, предоставить необходимые запчасти и инструкции для ремонта устройств.

Движение основали Луис Энтони Россман, владелец нью-йоркской ремонтной компании Rossman Repair Group, а также компания iFixit — продавец запчастей и инструментов для самостоятельного ремонта техники. iFixit также являются авторами «манифеста Right to Repair», в котором описываются проблемы с современным состоянием закрытости ремонта сложных технологических устройств, и предлагаются решения — конечным пользователям должно быть законодательно разрешено вскрывать свои устройства для ремонта, изучать их внутреннюю структуру, покупать запчасти у производителя и производить самостоятельный ремонт.

Под данным манифестом и его идеями подписались формально или неформально многие специалисты и инфлюенсеры американской IT-индустрии, включая Линуса Себастиана из Linus Tech Tips, Стива из Gamers Nexus, и других. На волне растущей популярности даже начали появляться первые стартапы, использующие «right to repair» как маркетинговую фишку. Так, Framework Laptops уже более года производят ноутбуки, в которых можно заменить самостоятельно вообще любую деталь — включая материнскую плату, обновление для которой они недавно представили.

В последние годы инициатива набрала необходимую популярность и вес, чтобы с ней начали считаться американские законодатели. Луиса Россмана уже приглашали в Конгресс США, чтобы там он рассказал об инициативе «right to repair», чтобы у конгрессменов было представление, о чём речь, и возможность принять необходимые законы. Предполагается, что данная инициатива получит необходимое движение, чтобы стать законом, к 2023-2024 году.

Apple, зная, что будет главной целью для данного законопроекта, решила пойти на опережение и запустила Self Repair Service — сайт и процедуры для ремонта техники. И сделана эта программа ремонта... абсолютно в типичном духе компании из Купертино.

* Естественно, программа запущена только в США.
* Сам сайт, где надо покупать запчасти и инструмент для работы, расположен за пределами apple.com, не содержит в себе дизайн-элементов сайта Apple, и, если не знать, что это официальный сайт, можно подумать, что это очередной серый поставщик палёных запчастей из Китая.
* Из всего спектра техники, выпускаемой Apple, пока что можно отремонтировать только iPhone 12 всех модификаций и новее.
* Поддерживается замена экрана, лотка SIM, батареи, ещё пары внутренних компонентов. Недоступна, к примеру, замена заднего стекла в случае, если разбил его.
* К каждому случаю ремонта можно купить или взять в аренду инструменты для работы. Использовать уже существующие инструменты нельзя.
* По умолчанию с карты пользователя списывается сумма за полную покупку инструментария для работы, для возврата части суммы обратно необходимо вернуть почтой в установленный срок инструменты и заменённую запчасть обратно.
* Нельзя купить запчасти «про запас»: каждый заказ должен быть на конкретный iPhone, который будет ремонтироваться.
* После ремонта требуется позвонить в Apple, чтобы подтвердить, что установленная деталь была установлена законным путём. В противном случае функциональность устройства будет ограничена.
* Ну и вишенка на торте: экономия по сравнению с обращением в Apple Store за ремонтом напрямую составляет от 16 до 30 долларов в зависимости от устройства.

(продолжение — здесь) Открыть/Комментировать