Category: компьютерное

Телеграм раскрывает физическое местоположение пользователей.

Вкупе с не вполне продуманной схемой шифрования сообщений (например, вместо HMAC там используется просто хеш-функция SHA, то-есть, целостность сообщения, в принципе, соблюдается, а вот неопровержимость авторства — уже никак не гарантируется) это в очередной раз наводит на мысли о том, что это нарочно так сделано. Что в Телеграм специально встроены дыры с подачи Конторы. Проблема с намеренным внесением дыр, конечно, одна и та же, неизменно много лет — то, что дыры вносились для кого-то, не даёт никакой гарантии того, что ими не воспользуется кто-то другой. Поэтому все эти гнилые заходы со стороны законодателей, что неплохо бы дать спецслужбам спецдоступ к переписке надо гнать поганой метлой. Даём им — даём и злоумышленникам.

Кароч, все, кому по-настоящему надо — используют Сигнал. Но обмениваться котиками, конечно, можно и через Телеграм.

Лаборатория Касперского заявила, что за хак “СоларВиндз” ответственна хакер-группировка Турла (кстати, реально очень, очень крутые ребята). Ньюанс в том, что Турла спонсируется русским правительством. Так что Касперыч напрямую указал на Россию как источник хака.

Впрочем, ничего, конечно, нового. Американские эксперты в сфере безопасности быстро определили, что за Стакснет ответственно американское правительство, и не шибко постеснялись об этом заявить.

Со следующего месяца воцапп будет щедро делиться информацией с Фейсбуком. Нах-нах. У меня и так Сигнал уже давно стоит. Ну, и, разумеется, есть Скайп.

Какая интересная штучка. Сделали крошечную веб-камеру, которую можно вставить внутрь замочной скважины, посмотреть там конфигурацию штифтов, после чего по полученной комбинации (комбинаций, кстати, в этом конкретном замке оказалось немного — 6⁵) вырезать ключ и нормально этот замок открыть.

Всё же электронные замки надёжнее. У них, правда, есть уязвимость в том плане, что можно подсмотреть комбинацию. Установив, например, незаметно камеру. Поэтому круче будут замки двухфакторные, например, отпечаток пальца плюс цифровая комбинация. Такие, кстати, есть, но стоят недёшево — около 200 монет.

Или приложение на телефоне, соединяющееся по блютусу. Или отпечаток пальца плюс RFID брелок. Последний, правда, тоже можно стыбзить банальным RTL-SDR. Но это как в любой безопасности — залётного остановит, а профессионала фигушки.

UPDATE: Я эту запись уже второй день пытаюсь в ЖЖ опубликовать. Извиняюсь за спам. Попробуем ещё разик.

И хер бы с ним. Никогда эту грёбаную Шапку и производные не любил. Если бы не YellowDog, подаривший Шапке yum, установка софта на Шапке до сих пор была бы извращённым сексом с закоулками, потому что rpm не может в автоматическую установку необходимых сопутствующих библиотек.

Уточню. CentOS не совсем “всё”, просто раньше это был, по сути, слегка переделанный RHEL, а теперь это будет называется CentOS Stream, и он будет являться не переделанным RHEL, а его бета-версией. Что автоматически означает, что в производство его ставить нельзя.

Так что с точки зрения сисадминов CentOS — таки “всё”!

Точнее, в OpenSSL пакете.

Бегом обновляться до версии 1.1.1i

Вот вы как думали, что всё, что установлено — видно в панели управлении на Windows? Ага, щас. На самом деле установлено там намного больше, только некоторые вещи в панели управления не отображаются. Принципиально.

Получить весь список можно, пройдя руками в реестр:

HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall (для 64-битного софта)
HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall (для 32-битного софта, ага, надо по-другому)

Можно, например, в шелле сделать так:

$programs = Get-ChildItem -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall; foreach ($program in $programs) { $program }

Узнаете много нового, я гарантирую.

Надо сказать, что rpm -qa или apt list –installed значительно проще в применении (лично мне). Микрософт, правда, не законченные придурки, поэтому быстренько подсуетились и выкатили winget, с которым можно делать очень похожие фокусы. Я его, правда, толком пока не щупал, неизвестно, как оно показывает установленный софт — даёт полный список или кастрированный, как в панели управления.

А вообще забавно, конечно, наблюдать как Windows семимильными шагами идёт к копированию линуксоподобных вещей. Ещё бы установку обновлений привели бы к простоте apt update && apt upgrade и стало бы совсем хорошо. Новое — хорошо забытое старое!

У меня есть некий внутренний говносписок компаний, чьи продукты я не покупаю из-за предыдущего отрицательного опыта. В первую очередь это, конечно, мой любимый “Самсунг”. Пёс его знает, почему так — у толпы народу всё работает, у меня нет. Но фиг с ним, поговорить я хотел не про “Самсунг”. Ещё одним элементом списка была продукция “Нетгир”. Потому что у меня сломалось два маршрутизатора этой фирмы. Причём довольно одинаково сломалось — при большом количестве траффика оно, походу, тупо перегревалось и висло.

А тут купил я домой где-то около двух лет назад ячеистую сеть Netgear Orbi. Сотрудника послушал, блин. А вот не надо было никого слушать — своя башка на плечах есть. И поначалу не было у меня к ней никаких нареканий. А за этот месяц, похоже, репутация этой компании в моём говносписке наконец оправдалась. Виснет, пидарас. Дети же дома, и оба мы из дома работаем. Как подналяжем на сеть — и всё накрывается медным тазом, чинить можно только перезагружанием маршрутизатора.

К тому же были тут недавно нехорошие новости про их продукцию:

https://www.tomsguide.com/news/netgear-router-admin-hack
https://www.pcmag.com/news/79-netgear-routers-vulnerable-to-serious-security-flaw

Это, правда, не про мою модель, но просто показывает, как компания относится к безопасности. И дело даже не в том, что в продукции есть дыры — они в любой продукции есть — а в оперативности их устранения. У той же Циски к тому времени, как опубликована инфа о дырках, уже обычно готово исправление.

Чего буду покупать на замену — пока не знаю. На Циску у меня бюджета нет — там самая дешёвая точка доступа двести долларов стоит. Изучаю вопрос. Если не Циску, то, наверное, Линксис (Циска им владеет). Ну или Юбикуити.