StrandHogg ievainojamība šķita pietiekami nopietna, lai saņemtos un uzrakstītu par to. Visiem Android lietotājiem tagad vajadzētu reāli iespringt, jo ar šīs ievainojamības palīdzību ir iespējams attālināti darīt ar tavu telefonu vai planšeti visu, ko vien sirds vēlas. Ja vēl nav stresa, tad var noskatīties video, kas visu lieliski nodemonstrē. 😂
Lasīt tālākSadaļas arhīvs: Drošība
Webservera drošības galvenes
Vakar paspēlējos ar Nginx web servera konfigurāciju, lai pievienotu dažus jaunus parametrus, kas tiek padoti galvenē lietotāja pārlūkam līdz ar mājaslapas failiem. Radās nepieciešamība pievienot vienu parametru, tad atradu rotaļlietu SecurityHeaders.com ar kuru var pārbaudīt mājaslapas “drošības” prasības un panesās. Man savajadzējās salikt visus ķeksīšus. 😂
Lasīt tālākMeltdown un Spectre ievainojamības testi
Jaunais gads sākās ar vairākām jautrībām. Šoreiz par lielāko un nopietnāko – Meltdown un Spectre ievainojamībām, kas skar visus modernos datorus, jo ievainojamība ir atrasta procesoros. Arī Pods.lv blogs ir izvietots uz ievainojama servera. Uzliku pagaidu ielāpu, lai Meltdown un Spectre ievainojamības tests izskatītos krāsaināk.
Kā puiši atkoda privāto atslēgu caur aizsmērētu QR kodu
Turpinot tēmu par Bitcoin. Iepatikās rakstiņš, kurā ir parādīts kā strādā īsti hakeri, kas atjaunoja aizsmērētu QR kodu un tajā glabāto privāto atslēgu. Privātā atslēga bija no Bitcoin Cash jeb BCH maciņa, kurā glabājās 3 BCH naudiņas, kas bija līdzvērtīgas $1000 dolāriem.
Vērtīgs materiāls, lai apgūtu QR kodu ģenerēšanas nianses un saprastu kā var atjaunot nepilnīgu kodu. Tā kā QR kods ir neatņemama sastāvdaļa mobilajā ērā, kur informācija tiek nolasīta ar mobilā telefona kameras palīdzību. Tas notiek zibenīgi, ērti lietošanā un ļauj izvairīties no kļūdām.
Otra lieta, ko šis gadījums labi parāda – principu kā strādā kriptovalūtu maciņi, kas ir aizsargāti vien ar šo privāto atslēgu, kuru nevajag pat daļēji rādīt TV ekrānos. 😀
Otrais Linux aplikāciju ugunsmūris – OpenSnitch
Pirms gada es rakstīju par to, ka esmu morāli nobriedis sākt skatīties uz Linux pusi. Zināmā mērā migrēšana uz Mac datoru ar unix veidīgu darbstaciju OS X bija laba pieredze, kas praksē ļāva noskaidrot to, kāda ir tā izslavētā ābolu pasaule. Realitāte izrādījās visnotaļ atskurbinoša. Vīrusi un informācijas zagļi ir ābolu lietotāju ikdiena. Cits jautājums ir tas kā viņi to paši uztver un galvenais – kā to komunicē uz āru.
Kā izrādās, tad šādos – labākas dzīves un vides meklējumos, ir arī daudzi citi Mac lietotāji. Iepriekš pieminētais pirmais sakarīgais Linux aplikāciju ugunsmūris Douane ir tapis pateicoties kādam Mac lietotājam, kurš sāka to izstrādāt tieši tāpēc, ka Linux vidē ir vēl sliktāk nekā Apple vidē.
Initially I wrote Douane because Linux is lacking a good application firewall and because I’m using Little Snitch on macOS (and for Windows, I don’t know if any kind of app like this exists).
Kāda sagadīšanās – arī es lietoju Little Snitch, jo patiesībā jau vairāk nekā cita arī nav. Tiesa gan Linux vidē ir parādījusies alternatīva, kas it kā esot portēta Little Snitch versija – OpenSnitch un attiecīgi Github repositorijs evilsocket/opensnitch. Šo aplikāciju ir uzrakstījis kāds cits bijušais ābolu lietotājs, kurš jau nomigrēja uz Linux. Ņemiet vērā, ka tā ir ļoti zaļa testa versija.
Warning: This is still alpha quality software, don’t rely on it (yet) for your computer security.
Vēl viens trekns plusiņš Linux videi un komūnai par labu. Pēc kāda gada, kad šī un citas aplikācijas būs nobriedušas, tad arī būs pienācis laiks migrēt.
Vēl viens iemesls migrēt ir CIA interese par Little Snitch lietotājiem.
Firefox 53 referer uzlabojumi
Bija vajadzīgi 15 gadi, lai Firefox ieviestu daudz maz normālu referer lauka vērtības pārvaldību. Kopš Firefox 53 versijas ir iespējams bez papildus papildinājumiem nodefinēt kā būtu jāstrādā referer lauka vērtībai dažādās situācijās. Visam savs laiks. Šis jaunievedums ir turpinājums uzsāktai Firefox stratēģijai kļūt par drošāko pārlūku.
Kā vienmēr šādos gadījumos, pie papildus funkcionalitātes var tikt caur maģisko about:config
un meklētāju ar vērtību network.http.referer
. Sīkāk par šo iestatījumu niansēm var palasīt Referrer policy dokumentācijā.
Papildināts
Pēc dienas lietošanas, nonācu pie secinājuma, ka nāksies vien turpināt “mānīties” un izmantot ierasto otro versiju.
Он вам не Димон
Marta sākumā noskatījos interesantu video par Dimonu.
Секретные дворцы, виноградники и яхты Дмитрия Медведева — https://dimon.navalny.com
С гордостью представляем вам самое большое на сегодняшний день расследование Фонда борьбы с коррупцией. Мы нашли и документально описали коррупционную империю премьер-министра, состоящую из сети благотворительных организаций, оформленных на его доверенных лиц.
Tas ir saistībā ar prezidenta vēlēšanām Krievijā. Populārākais opozicionārs izveidojis izklaidējošu video klipiņu par vienu no valdošās elites personām.
Tā kā viss, kas ir parādīts klipiņā, ir saprotams pat mājsaimniecei, kura spaida pogas pa aipada ekrānu, tad gluži loģiski, ka kaut kāda reakcija būs, vismaz no vienkāršo mietpilsoņu puses.
Ar Methbot shēmu izkrāpj 5 miljonus dolāru dienā
Krāpšanās ar reklāmas rādījumiem ir normāla parādība.
Vienīgi, kad runa ir par 5 miljoniem amerikāņu zaļo naudiņu dienā, tad tas izklausās diezgan skarbi.
SAN FRANCISCO — In a twist on the peddling of fake news to real people, researchers say a Russian cyberforgery ring has created more than half a million fake internet users and 250,000 fake websites to trick advertisers into collectively paying as much as $5 million a day for video ads that are never watched.
White Ops said the thieves received high prices for the fake ad views, garnering an average price of $13 per 1,000 video views. Over all, the botnet delivered 200 million to 300 million fake ad views per day and brought in $3 million to $5 million in daily revenue, according to the company’s analysis.
Sīkāk par to kā šī shēma strādā var izlasīt iekš WhiteOps lapas, kurā ir arī PDF ar detalizāciju.
Ar šādiem tīkliem var mierīgi nokaut interneta reklāmas industriju kā tādu. Vai arī aizies līdz tam, ka rādīs reklāmas tikai reģistrētiem lietotājiem, kas nāk no Googles vai Facebook.
Interneta veikalu kredītkaršu datu zagļi arī Latvijā
Iekš HackerNews ir nopublicēts interesants pētījums par “jaunu” skimminga veidu, izmantojot interneta veikalus – interneta skimmings. Domāju, ka visi esam dzirdējuši par bankomātu jeb ATM skimmeriem, Kijevā vai Rēzeknē. Tās plastmasas uzlikas, kas “nosmeļ” vai nolasa tavas kredītkartes datus, kad to mēģina izlaist cauri, lai iebāztu bankomātā un izņemtu naudu.
Tā kā esam tehnoloģiju laikmetā, tad arī jārēķinās, ka zagļi arī šajā vidē šivērē, jo šeit ir vieglāk, kā arī nemanāmāk apzagt cilvēkus internetā. Tie laiki, kad puikas zaga Draugiem lietotāju paroles, ir pagājuši, jo tagad ir daudz izdevīgāk nozagt šo lietotāju kredītkaršu datus.
Darbojas interneta skimmings diezgan eleganti un vienkārši. Uzlaužam mājaslapu, ieliekam tajā savus JavaScript kodus un vēsā mierā kopējam visus datus, ko ievada lietotājs uz saviem mākoņiem. Lietotājs mierīgi veic pirkumu, kamēr zaglis tikpat mierīgi savāc visus datus. Nedz interneta veikala īpašnieks, nedz lietotājs neko par to pat nezina, jo nekur un nekas neliecina par draudiem. Eleganti.
Aplikāciju ugunsmūris Linux videi – Douane
Esmu piefiksējis pirmās domas par to, ka esmu beidzot nobriedis sākt skatīties uz Linux pusi. Šīs domas un sajūtas ir citādākas nekā pirms daudziem gadiem, kad es ar cerībām skatījos kā uz Linux, tā uz OS X pusi. Tagad, kad esmu pārvarējis pirmos gadus, lietojot Macu, varu teikt, ka esmu palicis pieticīgāks savās prasībās pret operētājsistēmu. Iespējams, ka pie vainas ir arī tas, ka lielākā daļa aktivitāšu teikt veiktas programmās, kuras jau strādā visās vidēs.
Protams, jaunā macOS kurā sēdēs Siri, kam varēs uzbļaut, pavērs lieliskas iespējas. Vienīgi man šis virziens kaut kā vairāk liek aizdomāties par to, ka tas velk uz Dauņu pusi. Visticamāk, ka es jau palieku vecs un līdz galam neizprotu šīs iespējas priekšrocības. Lai arī kā tur būtu ar manu spriestspēju, es nejauši pamanīju pirmo aplikāciju ugunsmūri Linux videi – Douane. Varbūt, ka eksistē vēl kāds šāda tipa aplikāciju ugunsmūris, bet šis ir pirmais, kuru es pamanīju un galvenais – tā izstrādātāji rok pareizā virzienā. Viena bilde izsaka vairāk par 100 vārdiem.
Tas izskatās ļoti primitīvs, bet dara tieši to, ko ārsts tam izrakstījis. Tā kā neesmu Linux darbstacijas lietotājs, tad arī nevaru notestēt. Pirmos gadus uz OS X es arī lietoju dīvainus aplikāciju ugunsmūrus, kas diemžēl šobrīd jau vairs neeksistē. Tagad lietoju maksas produktu, bet tas jau saknē strādā līdzīgi kā visi Apple produkti – ierobežo lietotāju. Tas mani neapmierina.
Jo vairāk šādas un līdzīgas lietas es pamanīšu Linux videi, jo drošāk skatīšos uz migrācijas iespējām. Starp citu, Douane ir arī Github lapa. Tiesa gan tur ir tikai kļūdu pieteikumi. Domāju, ka ar laiku tas mainīsies. Jā, Microsoft produkti mani vispār vairs neuzrunā, Apple produkti arvien vairāk sāk kaitināt. Atliek Linux. Domāju, ka vizuālā ziņā Linux piedzīt daudz maz sakarīgu var jau šobrīd, atliek tikai noskaidrot kā ir ar tādām lietām kā Mac piedāvāto dzelžu atbalsts Linuxā. Jā, man ļoti patīk MagicMouse. 🙂
Starp citu, te būs kāds bloga apskats, kurā ir detalizētāk aprakstītas šīs programmas iespējas.