Павел Дуров у себя на канале рассказал о начале второго конкурса шаблонов Instant View

Список участвующих сайтов на данный момент — instantview.telegram.org/contest#target-domains

Целью конкурса является создание шаблонов, которые используются для создания красивых быстрых просмотров «Instant View». Все желающие, знающие HTML/CSS могут участвовать в конкурсе. Участники получают $100 за каждый корректный шаблон. Двое лучших участников получат $10 000 и $5 000 соответственно.

Правила находятся по ссылке — instantview.telegram.org/contest

Кроме этого, Дуров пообещал, что в скором времени будут запущены похожие конкурсы для разработчиков. В конце концов, будут запущены всевозможные конкурсы (для Android разработчиков, C++ разработчиков, разработчиков голосовых звонков и др). Победителей ждут отличные призы и шанс попасть в команду Telegram.

Следующий конкурс будет анонсирован в течение 10 дней, будьте готовы.

1. Огромный материал от Motherboard об отрасли "разблокировки" ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из "Связки Ключей" в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.



3. Google запустила свой собственный сервис проверки утекших паролей, и для этого опубликовала свое расширение для Chrome:
https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
Google утверждает, что передача всех данных зашифрована, и Google не видит ваши данные, которые передает расширение. А пароли в самой базе данных Google хешированы и зашифрованы.

4. Военно-морским силам США нужна помощь в удалении данных. У них там скопилось 2 тонны оборудования, которые нужно сжечь в пыль, чтобы убедиться, что секретная информация, хранящаяся на устройствах, была полностью уничтожена. Вот это, я понимаю, OpSec.
https://www.nextgov.com/cybersecurity/2019/02/navy-needs-2-tons-storage-devices-burned-ash/154629/

5. Одной строкой
ADV190007 | Guidance for "PrivExchange" Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv190007

Google Patches Critical .PNG Image Bug
https://threatpost.com/google-patches-critical-png-image-bug/141524/

Reverse RDP Attack: Code Execution on RDP Clients
https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

Popular South Korean Bus App Series in Google Play Found Dropping Malware After 5 Years of Development
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malbus-popular-south-korean-bus-app-series-in-google-play-found-dropping-malware-after-5-years-of-development/

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Джек Дорси, создатель Твиттера, изгнанный из него и приглашённый вновь (а в промежутке основавший Square, так что теперь он руководит сразу двумя многомиллиардными компаниями с очень разными сервисами), личность вполне легендарная и харизматичная для Долины и не только. Хотя от стереотипа успешного стартапера он сильно далёк ;)
Его свежее большое интервью интересно прочитать целиком, потому что в нем он спокойно отвечает на все претензии, которые нынче очень эмоционально предъявляют всем большим технологическим компаниям. Он по-прежнему уверен, что в целом все правильно и ни в какой техно-пессимизм впадать не склонен. Он считает, что главное достижение Твиттера в том, что стали слышны голоса тех, кого никогда не допускали до трибун и микрофонов. Эти голоса не всем нравятся? Ну так это не повод затыкать их, а повод пересмотреть свои модели мира. I think we need to face the things that are unpleasant.
В тексте немало личного. I love activists. I love protest. I’m a punk. My music when I was growing up was punk. Hackers are punk.
Очень приятное и хорошее чтение, очень про сильного человека, уверенного в себе и в своём деле.
https://www.rollingstone.com/culture/culture-features/twitter-ceo-jack-dorsey-rolling-stone-interview-782298/

Многие не понимают, что на самом деле из себя представляют современные деньги, то есть ничем не обеспеченные государственные ноты. По сути это просто единица измерения, давно уже лишь электронная, которую государство тебе продает, чтобы ты мог в конце года заплатить налоги. Да, это дериватив налогов, которым ты рано или поздно должен будешь воспользоваться, потому что являешься налоговым резидентом той или иной страны.

Ровно потому, что все платят налоги, и возникает этот байволл/спрос на них. Проверить мой тезис легко – в массе своей вам плевать на валюты тех стран, где вы не платите налоги. Вам нужен доллар или евро лишь потому, что за них вы можете в моменте получить определенные товары и услуги тех стран, где производят/продают их. В этом случае вы просто хеджируетесь от изменений курса.

Блокчейн-системы с разными видами социально-экономических моделей могут как повторять привычные нам деньги, так и строить что-то новое, экспериментировать.

Мой долгосрочный прогноз, то есть с замахом на 10-20 лет, что мы увидим новые автономные экономики вне государственных систем, и прежде всего в среде искусственного интеллекта, где алгоритмы будут между собой взаиморассчитываться, чтобы обеспечивать свою работу. Продавать одно, чтобы купить другое. Делать что-то лучше всех, используя достижения других. И вот тут уже не сработает привычное нам налогообложение по принципу гражданства и юридического адреса, потому что ИИ будет размещен в тумане (это такой вид облаков, но децентрализованный), не имея ни директоров, ни акционеров.

Сейчас же мы пока еще на том уровене, как сотню лет назад наши предки – мы смотрим на прогресс, на автомобиль, и не верим, что он станет повсеместным, потому что не находим ответа "Чем же тогда займутся все эти кучеры?"