Архив метки: DIY

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

Первый выпуск в новом году, накопилось много новостей. 🙂

00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно большому количеству просмотров прошлого выпуска
03:10 Внезапно про обновление Heroes III с новыми замками
05:15 Несколько минут здорового самопиара. Говорим про видео-проекты: Ответь за 5 секундпоследнем я участвовал), ИИ несёт бред, Собираем карьеру
09:20 Закладка в прошивке светодиодной гирлянды
13:04 NVD включили заднюю в вопросе отключения СVЕ-фидов
15:39 Итоги 2023 года от Qualys Threat Research Unit
21:47 Январский Microsoft Patch Tuesday и MitM
29:14 Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации; конкурс: на что заменить Sharepoint?
32:15 Cisco исправили критичную Arbitrary File Upload / RCE уязвимость в Unity Connection (CVE-2024-20272); конкурс: на что заменить CUC?
37:45 Атаки на Ivanti Connect Secure / lvanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023-46805, CVE-2024-21887)
41:06 Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028); конкурс стихов 😅
44:10 ИС Антифишинг от Минцифры
45:38 Всемирный совет церквей (WCC) был атакован вымогателями
48:50 МВД России предупреждает о новых способах мошенничества
50:24 Цукерберг берет деньги за отказ от сбора и использования личных данных под целевую рекламу
51:29 Почти 170 случаев утечек персональных данных россиян зафиксированы в 2023 году
54:41 Прощание от Mr.X про Оземпик

Закладка в прошивке светодиодной гирлянды

Закладка в прошивке светодиодной гирлянды

Закладка в прошивке светодиодной гирлянды. Некоторые любители прекрасного любят выставлять у себя из окна светодиодные DIY-гирлянды, на которых можно отображать разнообразные эффекты и надписи. Довольно эффектная штука. Но оказалось, что в прошивке для популярного проекта такой гирлянды была закладка. В полночь 1 января поверх всех эффектов начал отображаться запрещённый в России лозунг. На хозяев одной из украшенных квартир составили протокол о дискредитации ВС РФ.

Как закладка попала в код? Автор проекта пишет на форуме "я не являюсь автором данной прошивки". 🤷‍♂️ Настоящим автором прошивки является человек из сопредельного враждебного государства. Код на наличие закладок толком не проверяли. 🤦‍♂️

Это к слову о контроле над open source кодом и принципе "тысячи глаз". Используя open source код, за которым НЕ стоит внушающая доверие репутация организации или человека, задавайте себе вопрос "а что будет, если туда всё-таки заложили что-то зловредное?"