HUP cikkturkáló

AAPL -4,4% , telítődik az iPhone piac?

 ( trey | 2018. december 6., csütörtök - 8:37 )

Újabb nagy pofont kapott tegnap az Apple a tőzsdén, napon belül -4,4%. Egyesek arra tippelnek, hogy szaturálódik az iPhone piac. Nemrég még arról jöttek hírek, hogy 1 billiós a vállalat market cap-je, tegnapra ez 867,76 milliárdra esett vissza.

Részletek itt.

Kormányzati megfigyelőközpont létrehozása

 ( toMpEr | 2018. december 2., vasárnap - 13:09 )

35 ezer kamera képfolyamainak folyamatos gyűjtése valósulna meg a Kormányzati Adatközpontban, 25 ezer terrabájtnyi megfigyelési adat folyamatos kezelése, ami központi szinten 50 milliárd forint közpénz elköltését jelentené, és erre még rájönne a településeknél megjelenő, megsaccolhatatlan összegű további költség.

Someone Hacked 50,000 Printers to Promote PewDiePie YouTube Channel

 ( toMpEr | 2018. december 1., szombat - 21:29 )

A hacker yesterday hijacked more than 50,000 internet-connected printers worldwide to print out flyers asking everyone to subscribe to PewDiePie YouTube channel:

PewDiePie, the currently most subscribed to channel on YouTube, is at stake of losing his position as the number one position by an Indian company called T-Series that simply uploads videos of Bollywood trailers and songs.

--- WHAT TO DO ---                         
                                                       

A Linux forráskódjának kommentjei közül törölték a "fuck" szót

 ( pehsa | 2018. december 1., szombat - 19:10 )

Az SJW birkák újabb mérföldkövet értek el. 15 patch-et eszközöltek a Linux forráskódján, ami semmi érdemlegeset nem csinált, csak a kommentekben a "fuck" szót kicserélték "hug"-ra, azaz ölelésre:

https://lists.freedesktop.org/archives/dri-devel/2018-November/198581.html

Legalább ha valaki értelmesebb készítette volna a patch-et és nem csak egy s/fuck/hug -ot nyomtak volna rá.

QEMU Advent Calendar

 ( pehsa | 2018. november 30., péntek - 20:00 )

Az Advent of Code mellett a QEMU-s srácok is készülnek az immáron harmadik alkalommal készülő Adventi naptárjukkal:

https://www.qemu-advent-calendar.org/2018/

A Google dolgozói sem szeretnék, hogy legyen Dragonfly

 ( MrPrise | 2018. november 29., csütörtök - 15:46 )

A Dragonfly a Google cenzúrázott kereső motorja Kína számára amivel még könnyebb lenne az emberek megfigyelése is.

Forrás: https://medium.com/@googlersagainstdragonfly/we-are-google-employees-google-must-drop-dragonfly-4c8a30c5e5eb

Malicious code injected into an NPM package with 2,000,000 weekly downloads

 ( toMpEr | 2018. november 26., hétfő - 21:37 )

https://github.com/dominictarr/event-stream/issues/116

> npm owner ls event-stream
> right9ctrl

> dominictarr: he emailed me and said he wanted to maintain the module, so I gave it to him. I don't get any thing from maintaining this module, and I don't even use it anymore, and havn't for years.

> For the ones wondering what the code does, based on the provided pretiffied code above by @joepie91:
> - Looking for the victim hot wallet profiles (this could have been running in mobile apps as well as your regular browser, regardless the device).

"A rendőrség szerint egy kisülés okozta a nyár legnagyobb raktártüzét"

 ( zitev | 2018. november 24., szombat - 22:25 )

https://444.hu/2018/11/24/a-rendorseg-szerint-egy-kisules-okozta-a-nyar-legnagyobb-raktartuzet

"A szakértői vélemény szerint „a viharos időjárás okozta légköri túlfeszültség és az ebből eredő kisülés következtében kialakult zárlat” miatt égett le a raktár."

Másfélszer annyian jelentkeznek az olyan álláshirdetésekre, ahol nem titkolják a fizetést

 ( Charybdis | 2018. november 20., kedd - 9:23 )

Nyugat-Európában megszokott, itthon még mindig ritka, ha egy cégnél nyilvánosak a fizetések. A munkaerő keresésénél is hasonló a helyzet, a cégeknek csupán 7 százaléka ad fel úgy álláshirdetést, hogy az tartalmazza az adott pozícióra kínált fizetést és jutalékokat. Pedig ezekre átlagosan 47 százalékkal több jelentkezés érkezik.

Az, hogy nem érdemes elhallgatni a fizetést, a top hiányszakmák esetében rajzolódik ki a leginkább.

Free/Open Source iPhone billentyűzet krónikus félreütőknek magyar ékezetekkel

 ( milgra | 2018. november 17., szombat - 9:11 )

Csináltam egy ingyenes, open-source iPhone billentyűzetet ami hasznos lehet nagyujjúaknak, gyakori félreütőknek és magyar ékezeteket használóknak is.

Három nagy problémám van a gyári billentyűzettel illetve az összes többi külsős billentyűzettel is:

14 éves a World Community Grid

 ( hunti | 2018. november 13., kedd - 20:35 )

14 éves a World Community Grid project. A project célja a világ legnagyobb nyilvános számítógéphálózatának létrehozása az emberiség javát szolgáló kutatási projektek elvégzéséhez. Jelenleg több mint 750 ezer tag több mint 1,703,241 évnyi CPU időt adományozott többet között olyan kutatások támogatására, amelyek segíthetnek legyőzni gyermekrákot, AIDS-t, Zika vírus-t, tuberkulózist vagy az ebolát.

Helyzet van a román warez közösségnél

 ( fezo | 2018. november 6., kedd - 18:34 )

Egy bírói döntés a nagy internet szolgáltatókat kötelezi pár tucat warez oldal DNS szinten való tiltására. Morálisan egyet értenék ezzel ha:

1. lenne az embernek lehetősége a tartalmat a moziban megnézni (mozi csak a nagyvárosokban van),
2. a mozi ára az amerikaihoz hasonló lenne (lást itt mennyibe kerül egy havi mozibérlet a tengeren túl: https://www.moviepass.com/ ),

Jolla Sailifish OS 3.0.0.5

 ( tomio | 2018. november 3., szombat - 14:21 )

Megjelent a Sailfish 3 korai hozzásférésű felhasználásra (Jolla eszközök tulajdonosainak és Xperia X tulajoknak).

[release notes] 3.0.0 Lemmenjoki
November 8.-tól “Sailfish X“-ként pedig a szélesebb közönség számára is elérhetővé válik: https://blog.jolla.com/sailfish3/

A WWW atyja feldarabolná a tech-multikat

 ( hajbazer | 2018. november 2., péntek - 21:32 )

A különféle adatvédelmi bortányok közepette újra és újra elgondolkodik az ember, helyén van-e a jelenlegi globalo-centralizált adattárolás, illetve a személyes adataink kezelésével olyan nagyvállalatok naiv megbízása, melyek különféle, számunkra ismeretlen algoritmusokat futtatva elemezgetik ki magánéletünket, hogy azok alapján, a személyiségünkből profilt felépítve, még jobban manipulálhassanak, reklámfelületként árusíthassanak minket.

Itt a várt áttörés az önjáró autózásban ...

 ( Nickname | 2018. október 31., szerda - 9:23 )

https://index.hu/techtud/2018/10/31/itt_a_vart_attores_az_onjaro_autozasban/

"A Waymo valószínűleg óriási összeget megspórol azzal, hogy ebbe a pár tucat autóba nem kell sofőrt ültetni, ez még magyar fizetésekkel is éves szinten százmillió forintos kiadás lehet, a kaliforniai bérek pedig jóval magasabbak.

az autók Legfeljebb 105 kilométer per órával száguldhatnak"

MRI disables every iOS device in facility

 ( toMpEr | 2018. október 31., szerda - 0:18 )

A new MRI was being installed in one of our multi-practice facilities, during the installation everybody's iphones and apple watches stopped working. The issue only impacted iOS devices. We have plenty of other sensitive equipment out there including desktops, laptops, general healthcare equipment, and a datacenter. None of these devices were effected in any way (as of the writing of this post). There were also a lot of Android phones in the facility at the time, none of which were impacted.

https://www.reddit.com/r/sysadmin/comments/9si6r9/postmortem_mri_disables_every_ios_device_in/

IBM megveszi a Red Hatot

 ( kanyi | 2018. október 28., vasárnap - 22:00 )

IBM megveszti a Red Hatot, 33.4 millió dollárért. A Red Hat felhő alapú technológiái miatt. 116,68$ záróárhoz képest, 190$ részvényenkénti áron.

https://www.bloomberg.com/news/articles/2018-10-28/ibm-is-said-to-near-deal-to-acquire-software-maker-red-hat?srnd=deals

https://www.theverge.com/2018/10/28/18035086/ibm-red-hat-acquisition-open-source-cloud-software-company

Az Apple ismét feltörhetetlenné tette az iPhone-t

 ( bobesz | 2018. október 27., szombat - 7:15 )

AZ APPLE MEGOLDOTTA, HOGY MÉG A VILÁG LEGSIKERESEBB IPHONE-HEKKEREI SE TUDJÁK FELTÖRNI A KÉSZÜLÉKEIKET.

Az atlantai Grayshift korábban a saját fejlesztésű GrayKey technológiájával feltörhetővé tette a legújabb iOS eszközöket, egészen az iPhone X-ig bezárólag. Az Apple ezután további lépésekkel próbálta megakadályozni, hogy a Grayshift feltörje a telefonjaikat.

A Grayshift viszont felvette a kesztyűt, hogy teljesíthessék a telefon feltörésére irányuló megbízásokat. Tehették: olyan megrendelőik voltak, mint az amerikai bevándorlási hivatal és az amerikai titkosszolgálat.

MOST VISZONT ÚGY TŰNIK, HOGY AZ APPLE MEGKERÜLHETETLEN AKADÁLYT ÁLLÍTOTT A GRAYSHIFT ELÉ.

A Forbes azt írja – a GrayKey technológiát jól ismerő forrásokra hivatkozva –, hogy az eljárás az iOS 12-t futtató eszközökön már nem alkalmazható. A GrayKey ezeken csak az úgynevezett részleges kinyerést (partial extraction) alkalmazhatja. Ez azt jelenti, hogy csak a titkosítatlan fájlokat és némi metaadatot lehet kinyerni a telefonról.

A GrayKey korábban a brute force technikát alkalmazta; ez azt jelenti, hogy az eszköz milliónyi jelszó-kombinációt próbált végig, megkerülve az Apple saját rendszerét, ami néhány próbálkozás után automatikusan letiltja az ilyen kísérleteket. Ez a technika mostantól nem működik. És ha az a cég sem tudja feltörni az iPhone-t, amit többek között az Apple egy korábbi biztonsági szakértője alapított, akkor valószínűleg senki másnak nem fog sikerülni.

A biztonsági szakértőket megdöbbentette a dolog, ugyanis senki nem tudja, hogy az Apple milyen trükköt alkalmazott. Vlagyimir Katalov, az Elcomsoft szakértője, aki korábban több sebezhetőséget is talált az Apple technológiájában, szintén értetlenül áll a jelenség előtt.

Nincs ötletem. Bármi lehet a jobb kernelvédelemtől a konfigurációs profilok erősebb telepítései korlátozásaiig.

Az Apple és a Grayshift nem kommentálták a Forbes értesüléseit.

https://index.hu/techtud/2018/10/25/az_apple_ismet_feltorhetetlenne_tette_az_iphone-t/?fbclid=IwAR3RwQnRwzFhCrOniiY83YQtiVrxwJ3Rmwnarom2BxeX8OO0U5MOwFCK6_E

https://www.forbes.com/sites/thomasbrewster/2018/10/24/apple-just-killed-the-graykey-iphone-passcode-hack/#db030953184e

Android appok vásárlása -> felhasználók megfigyelése -> kattintgató botok programozása -> botok ráeresztése az appokra -> profit

 ( Charybdis | 2018. október 24., szerda - 14:28 )

Hogyan lehet ellopni hirdetői pénzeket? Egy bűnszervezet azzal keresett pénzt, hogy Android appokat vásárolt fel, amelyeknek ténylegesen van felhasználói bázisa. Ezután megfigyelte, eltárolta a felhasználók viselkedését, hogy mire kattintanak, hogyan használják az appot. Ebből aztán programoztak botokat, amelyek pont olyanok, mintha igazi felhasználók lennének. Majd ezeket a botokat ráeresztették az appokra, de együtt az igazi felhasználókkal, így több millió dollár hamis hirdetési bevételt generáltak a botok általi kattintásokból.

Apple és a szaúdiak - el kellene-e határolódnia az Apple-nek a gyilkossági sztoriba keveredettektől

 ( trey | 2018. október 24., szerda - 14:25 )

Az AppleInsider cikke itt.

Nginx off-by-slash vulnerability

 ( toMpEr | 2018. október 19., péntek - 19:44 )

location /static {
    alias /home/app/static/
}

esetén http://127.0.0.1/static../config.py lekéréssel olvasható a /home/app/config.py fájl.

(Teszteltem a jelenleg aktuális 1.15.5 verzióval)

location /static/ {-ra javítva elkerülhető a "hiba"

Elvileg by-design ilyen (bár nem látok erre valós use-case-t), emiatt nem lesz javítva, szóval mindenki csekkolja a configjait :)

Forrás: https://twitter.com/x0rz/status/1052899891624710145

FreeRTOS TCP/IP Stack RCE, DOS

 ( toMpEr | 2018. október 19., péntek - 11:03 )

FreeRTOS is a market leading, de-facto standard for embedded systems that has been ported to over 40 microcontrollers, which are being used in IoT, aerospace, medical, automotive industries, and more.

In November 2017, Amazon Web Services (AWS) took stewardship for the FreeRTOS kernel and its components.

Ori Karliner, a security researcher at Zimperium Security Labs (zLabs), discovered a total of 13 vulnerabilities in FreeRTOS's TCP/IP stack that also affect its variants maintained by Amazon and WHIS.

Libssh authentication bypass

 ( toMpEr | 2018. október 16., kedd - 22:27 )

CVE-2018-10933 Base Score 9.8

By presenting the server an SSH2_MSG_USERAUTH_SUCCESS message in place of the SSH2_MSG_USERAUTH_REQUEST message which the server would expect to initiate authentication, the attacker could successfully authentciate without any credentials.

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Szívesen megnéztem volna a fejlesztők arcát, amikor megkapják a bug reportot...

Sulinet admin panel elérhetetlen

 ( csontika | 2018. október 10., szerda - 8:16 )

Oops! An Error Occurred
The server returned a "500 Internal Server Error".
Something is broken. Please let us know what you were doing when this error occurred. We will fix it as soon as possible. Sorry for any inconvenience caused.