Nitter — это свободный фронтенд для Twitter, ориентированный на сохранение конфиденциальности пользоватей. Написан на языке Nim, и находится в стадии активной разработки (ни одного релиза пока не было). Аналогом для YouTube является Invidious, который и вдохновил автора на создание проекта.
Рубрика «паранойя»
Security Week 33: по ком осциллирует монитор?
2018-09-03 в 16:31, admin, рубрики: акустические утечки, Блог компании «Лаборатория Касперского», боковые каналы, информационная безопасность, паранойя, синестезия, эманацииВ книге Нила Стивенсона «Криптономикон», про которую у нас в блоге был пост, описываются разные виды утечек информации по сторонним каналам. Есть практические, вроде перехвата ван Эйка, и чисто теоретические, для красного словца: отслеживание перемещений человека по пляжу на другой стороне океана, построение карты города по тому, как его жители преодолевают бордюрный камень на перекрестках (вот это сейчас можно реализовать акселерометрами, только бордюры везде спилили
и переименовали в поребрики). Перехват Ван Эйка, впрочем, тоже сложная штука — реконструировать картинку на экране по электромагнитному излучению монитора непросто, особенно если не упрощать атакующему жизнь и не печатать в ворде огромные буквы.
21 августа ученые из университетов США и Израиля опубликовали работу, которая реализует похожую идею: как реконструировать картинку, отслеживая излучение монитора. Только в качестве побочного канала утечки данных они использовали довольно простой в обращении звук. С вами такое наверняка тоже случалось: стоит неаккуратно положить провода или же попадется неудачная комбинация из монитора и колонок — и вы начинаете слышать противный писк, который еще и меняется в зависимости от направления прокрутки текста мышью. Работа посвящена анализу такого звукового излучения. Ученым удалось «увидеть» на атакуемой системе крупный текст, идентифицировать посещаемый сайт и даже подсмотреть пароль, набираемый на экранной клавиатуре.
Учитывая другие открытия в сфере атак по боковым каналам, возможно, мы уверенно движемся к тому моменту, когда это направление исследований перевернет не только qdɐɓнǝvɐʞ, но и все наши представления о цифровой приватности.
Читать полностью »
Paraquire, или Перестаньте доверять библиотекам
2017-08-24 в 17:40, admin, рубрики: javascript, node.js, npm, open source, require, безопасность, децентрализация, здесь нет схемы шапочки из фольги, информационная безопасность, паранойя, параноя, права доступа, Программирование, разграничение прав доступаTL; DR
Использование npm — пакетного менеджера NodeJS — сопряжено с проблемами безопасности. Штатными средствами невозможно контролировать права доступа, предоставляемые библиотекам. Вкупе с обилием микромодулей это может привести к непредсказуемым последствиям, часть из уже случившегося описана здесь, и в лучших традициях экосистемы npm я на неё сошлюсь.
Под катом описывается proof-of-concept библиотеки, реализующей механизм загрузки npm-модулей с возможностью установить права подобно тому, как на Android можно выдавать приложению конкретные разрешения.
Вместо
var lib = require('untrusted-lib');
предлагается писать где-нибудь
var paraquire = require('paraquire')(module);
и затем
var lib = paraquire('untrusted-lib');
или же
var lib = paraquire('untrusted-lib', {builtin:{https:true}});
Исходный код доступен на гитхабе под LGPLv3.
Кроме того я, не будучи достаточно опытным NodeJS-разработчиком, прошу у сообщества советов и обсуждения.
Читать полностью »
Идеальная домашняя сеть или «сам себе злобный перфекционист»
2017-07-28 в 10:38, admin, рубрики: Беспроводные технологии, Блог компании Qrator Labs, домашняя сеть, паранойя, перфекционизм, Сетевые технологии, системный администраторДинеш, единственная польза от твоих жалких и вульгарных телодвижений в постели с кибертеррористкой, это то, что я наконец-то занялся нашей защитой.
Как говорит технический директор Qrator Labs Артём ximaera Гавриченков, DDoS-mitigation начинается там, где заканчиваются силы и время одного хорошего системного администратора.
В день системного администратора, который в Qrator Labs считают профессиональным праздником даже больше, чем день программиста, мы задумались — о чём таком можно было б рассказать на Хабре, с чем точно сталкивался каждый?..
Решение было найдено быстро, ведь есть такое место, где каждый человек может побыть системным администратором в любой удобный, а порой и неудачно-вынужденный, момент времени — дома.
Читать полностью »
Сможем ли мы понять инопланетян?
2017-06-07 в 19:47, admin, рубрики: будущее здесь, вторжение, инопланетяне, Научно-популярное, паранойяЗнания об инопланетянах могут оказаться такими же опасными, как сами инопланетяне
Представьте, что вы всю жизнь прожили в небольшой деревне, находящейся в дебрях континентальной глуши. Это сообщество столетиями было изолировано от мира. Однажды вы отправляетесь изучать окружающий мир, обходя границы изведанной территории. Внезапно и неожиданно вы натыкаетесь на столб с вывеской. Шрифт на нём кажется вам незнакомым, чужим, но текст вполне ясен. На нём написано: «Мы здесь».
Что дальше?
Счастье и праздник по поводу конца изоляции? Простое пожатие плечами? Но человеческая природа предполагает, что с наибольшей вероятностью эта встреча вызовет цепь событий, приводящую к катастрофе.
Читать полностью »
Эдвард Сноуден: правительства хотят опустить наше чувство собственного достоинства до уровня чипованных животных
2016-05-04 в 15:27, admin, рубрики: Даниэль Эллсберг, Документы Пентагона, информационная безопасность, паранойя, регулирование интернета, свобода информации, тотальная слежка, чипованные животные, Эдвард Сноуден, метки: Документы Пентагона«C той лишь разницей, что мы сами платим за следящие устройства, которые лежат у нас в карманах»
Эдвард Сноуден написал вступительное слово для новой книги The Assasination Complex от Гленна Гринвальда и активистов проекта The Intercept. Книга на основе секретных документов рассказывает о беспилотных летательных аппаратах ЦРУ, которые рутинно уничтожают сотни террористов и мирных граждан в разных странах мира в дистанционном режиме. Документы о дронах предоставил неизвестный осведомитель.
Эдвард Сноуден объясняет, почему слив секретной информации о правонарушениях является жизненно важным актом сопротивления и защиты демократии. Статья опубликована в газете The Guardian.
Читать полностью »
Как внедряется система безопасной печати на ближайшее к пользователю устройство (follow-me printing)
2016-04-18 в 7:09, admin, рубрики: Equitrac, follow me, followme, HP, IPSC, MyQ, nuance, personal printing, Ringdale, SafeCom, ThinPrint, Ysoft, Арти, АСУПиМ, безопасная печать, Блог компании КРОК, информационная безопасность, инфраструктура, ит-инфраструктура, паранойя, печать, рептилоиды, системное администрирование, уборщицы
Предположим, вы банк, нефтяная компания или просто параноик. Вам хочется, чтобы:
- Уборщицы, враги и рептилоиды не забирали документы из принтеров.
- Память принтера надёжно очищалась после печати.
- Нецелевая печать отсутствовала.
- Большие задания автоматически перенаправлялись на устройства с дешёвым отпечатком.
- При отправке на печать задания 50 раз (как часто делает паникующий пользователь) выползало только одно.
- Чтобы тексты фильтровались по стоп-словам, а картинки — распознавались и тоже не печатались, если содержат конфиденциальные данные (есть не у всех решений).
- В редких случаях — ну и ещё чтобы в документах на лету слово «направо» заменялось на «налево» для введения потенциального противника в заблуждение.
Это дорого, но уже давно используется в финансовых учреждениях. Там печать выглядит так: вы отправляете задание на принт-сервер, он обрабатывает файл (если надо — посылает безопаснику на ручное согласование, но такая фича также есть не у всех решений), а потом отдаёт на определённый принтер только тогда, когда вы введёте пин и покажете свой отпечаток пальца непосредственно на устройстве, чтобы документ выпал вам лично в руки. Или не приложите свою смарт-карту вроде личного пропуска в здание.
Расскажу детальнее.Читать полностью »
Разработчики из Google предложили консорциуму WWW черновик WebUSB — протокола для работы USB-устройств с веб-страницами
2016-04-12 в 10:14, admin, рубрики: usb-устройства, WebUSB, Блог компании Inoventica Services, информационная безопасность, ит-инфраструктура, Камеры, паранойя, периферия, персональные данные, разработка, Разработка веб-сайтов, стандарты, метки: WebUSB Два разработчика Google, Рейли Грант и Кен Рокот, представили международному консорциуму WWW (World Wide Web) черновик проекта WebUSB — протокола для работы USB-устройств в интернете, в котором описывается взаимодействие USB-совместимых устройств и веб-страниц.
Проект WebUSB был опубликован еще 21 марта и описывает API, с помощью которого будет обеспечиваться безопасное соединение USB-устройств и веб-служб. Данный протокол не будет затрагивать работу USB-накопителей, но по задумке авторов регламентирует взаимодействие с сетью всей прочей USB-периферии, такой как мыши, клавиатуры, камеры etc.
Читать полностью »
Вы не того параноите! (пред-пятничный пост)
2016-02-09 в 11:11, admin, рубрики: вскрытие покажет, давайте жить дружно, закладки, Занимательные задачки, импортозамещение, Интернет вещей, информационная безопасность, инфраструктура, ит-инфраструктура, паранойя, рабы-герои, сарказм, снежный мост над пропастью, хрупкий мир, энергетика, юмор, метки: Юмор — А прикинь — сказал наш админ весело — если во вторник в московский полдень вся винда по стране одновременно выполнит команду «UNINSTALL»? Типа «ваш регион больше не поддерживается, доллар неустойки за серийник и подпись на еуле получите лично в нашем оофисе в Риге»… Ну закладка была не в свежем апдейте, а ещё в новогоднем — его не столь сурово тестили.
Я прикинул — число бухгалтерий, банков и касс — и понял, что отмена товарно-денежных в одной отдельно взятой может случиться «са-а-авсэм нэ так», как мечтали классики…
— Не-е-е, уже успели — линуксы развернуть. Хоть ~как-то ~где-то. Это отрефлексированная угроза.
Лучше вот смотри: силовой контактор солидной фирмы. В любом большом щите таких — рядами. Для электрика это атомарная вещь — простая и надёжная.
Устроен, думаете, элементарно? – от малой кнопки катушка соленоида тянет якорь — замыкает контакты с большими токами и напряжениями:
Читать полностью »
Kill switch для OpenVPN на основе iptables
2016-01-02 в 21:17, admin, рубрики: cgroups, iptables, linux, openvpn, информационная безопасность, Настройка Linux, паранойя, Сетевые технологииИзвестно, что при подключении к открытым Wi-Fi сетям ваш трафик может быть легко прослушан. Конечно, сейчас всё больше и больше сайтов используют HTTPS. Тем не менее, это ещё далеко не 100%. Возникает естественное желание обезопасить свой трафик при подключении к таким открытым Wi-Fi сетям.
Популярное решение этой проблемы — подключение через VPN. В таком случае ваш трафик передается в зашифрованном виде до VPN-сервера, и уже оттуда идет в интернет.
У такого решения есть небольшой недостаток: пока VPN-подключение ещё не установлено, все приложения на вашем компьютере (включая открытые вкладки браузера) получают доступ в интернет в обход VPN-подключения.
В этой статье я расскажу, как можно этого избежать.