Kir @dober@infosec.exchange

Two noteworthy proposals for a comprehensive federal data privacy law, debate in U.S. Congress continues. Consumer Online Privacy Rights Act (#COPRA) is introduced by the Republican Party and U.S. Consumer Data Privacy Act (#CDPA) by the Democratic Party https://gsc-rc.net/blog/copra-vs-cdpa/

FAQ (ЧаВо) по инициативе цифрового контроля за соблюдением карантина,

или #майорвсмартфоне

Вопрос: Правда, что заставят установить приложение, которое будет передавать координаты?
Ответ: Нет, не правда. Заставить не возможно. Ну т.е. можно насильно забрать смартфон (в полицию берут сильных людей), сбросить пароль, установить приложение - кто вам мешает его тут же удалить?
В: А как может быть?
О: Могут предложить сделку. Если кому-то придет в голову, что вам место в каких-нибудь Сверхновых Санжарах, а вы слезно попроситесь домой под обещания и носа не показывать на улицу - могут предложить установить это приложение в обмен на домашний уют.
В: И вот за ними-то и будут следить?
О: Зависит от владельцев смартфонов. Никто не мешает приложение удалить. Что вы, настолько безответственны, что наверняка зная об угрозе, намеренно подвергните риску окружающих? А приложение? Оно глючное, оно само удалилось.
В: Так за это оштрафуют или чего хуже - посадят.
О: Нет. Пока наличие приложения не вписано в санитарные правила (согласованные с ВОЗ, например) - отсутствие оного никак не правонарушение. Как и отсутствие смартфона вообще.
В: Нет, ну все равно страшно. Да и не удобно как-то удалять... Да и не собираюсь я ни с кем встречаться, мне бы только собаку выгулять...
О: Ну так положите смартфон в ящик стола. И не мучайте уже собаку, идите. Если боитесь остаться без связи - возьмите другой телефон. Хоть смарт, хоть кнопочный за 100 грн.
В: А говорят, приложение еще камерой все снимает?
О: Глупо снимать камерой все в темном ящике стола. Теоретически, оно будет просить сделать селфи. Что бы убедится, что вы рядом с телефоном. Но эти просьбы будут абсолютно ненавязчивыми, если вы не поставите это приложение.
В: Бессмыслица какая-то. А зачем же тогда Федоров этим занимается?
О: У Минцифры задача уставная - цифровизация. Если этого не делать - денег не будет. Чуть где можно - там нужно цифровизировать. Ну или изучить возможность и обнаружить, что нельзя. А лучше сразу попробовать и обнаружить (как-нибудь потом), что нельзя - так больше денег (не будет, но уже в бюджете).
В: А вдруг оно у меня уже стоит? Говорят, в ДІЮ добавят функционал.
О: Это глупое решение исходя из архитектуры ДІЇ, но все может быть. Ну что ж, мы вам кричали - не спешите ее ставить. Да, я тоже кричал.
В: Но говорят в Британии уже такое сделали...
О: Да. Потому, что студия может, вот и запилила. Все советы выше - действительны и для Британии. просто там люди чуть умнее и приложение позиционируется как добровольный мотиватор - напоминалка. Про приезд полиции - это фейк.
В: Но Геращенко сказал...
О: Ну, Геращенко сказал. У него вообще свойство такое - говорить. Даже Аваков его как-то сравнил с Воздушным Шаром, который иногда уносит. Конечно, не в те моменты, когда Геращенко озвучивает те мысли Авакова, которые он сам стесняется произнести.
В: Так что тогда, это все пустые разговоры и никто за нами следить через телефоны не будет?
О: Не совсем. Строить граф связей с помощью метаданных, получаемых от оператора умеют давно. Собственно, им нужно не столько ваше местоположение, сколько СОВМЕСТНОЕ (с другими абонентами) местоположение. Насколько большой объем информации реально обрабатывать в Украине - я не знаю. Некоторые страны начали практиковать, но они не сообщают подробностей о своем успехе. Поживем - увидим.
В: О, я слышал, это Киевстар предложил.
О: У Киевстара это предложение родилось на стыке одного из директоров и PR-отдела. Ну, предложил, ну об этом написала пресса. Насколько это был удачный ход - зависит от вас. Согласитесь, что в эту трудную минуту, вся страна как один... и директор получит бонус. Промолчите - тоже получит, но не такой крупный. Возмутитесь, насуете Киевстару - и директор получит в конус. На самом деле Киевстар просто родил инфоповод, юрдепартамет у них злой и заточен под очень формализованное общение с государством. При желании, бюрократию можно развести такую, что на согласование взаимодействия уйдет год.
В: Так что, и на это можно не обращать внимание?
О: А вот тут стоит быть внимательным. Потому что это взаимодействие предполагает возможность без судебного решения получить у оператора метаданные на любое количество номеров абонентов. И поверьте, если это заработает - после полной безоговорочной победы над #COVID19, новый повод найдется тут же.

#Укрвина, #lang_ru

2020.1b of Kali Linux - updates and fixes.

We have pushed out 2020.1b of #Kali - just a second quick update to the 2020.1(a) release we put out last month. For any of you still experience installer issues this should resolve the last of them. Thanks for the feedback on the various edge conditions, that really helped tracking everything down.

"Hey."
The voice comes from behind me. I turn around, and there is nothing there. Literally nothing.
"It's me, the Void."
"Hi," I say.
"Are you okay? Only, you haven't come to scream for a while."
I gesture helplessly.
"I know," the Void says. "But if you need me..."
"Thanks."
#MicroFiction #TootFic #SmallStories

@SIGINT
But not all of them are beautiful. On coronavirusstatus[.]space/index. php win32 GUI #malware that had weaponized coronavirus map applications with similar graphics and #AZORult stealer inside.
More in Reason Labs threat analysis report

An excellent #GIS-dashboard for review the situation with #COVID19

🚑 BREAKING 🚑

World Health Organization (WHO):
In the past two weeks, the number of cases of #COVID19 outside China has increased 13-fold and the number of affected countries has tripled. #WHO has been assessing this outbreak around the clock and we are deeply concerned both by the alarming levels of spread and severity, and by the alarming levels of inaction. There are now more than 118,000 cases in 114 countries. 4,291 people have lost their lives. In the days and weeks ahead, we expect to see the number of #COVID19 cases, the number of deaths, and the number of affected countries climb even higher.

We have therefore made the assessment that COVID19 can be characterized as a #pandemic

#SARSnCoV2, #CoV2, #Coronavirus

Nothing unexpected. Just a panic.

#Canada, #Australia, #Ukraine, #panic, #COVID19

Structured cabling as is

#Krasnoyarsk, #Russia
https://video.twimg.com/ext_tw_video/1229481181491712007/pu/vid/640x352/hYB7DJvJgPc2FHaI.mp4

I have found a guide to install network icons on libreoffice draw.

http://www.ubuntubuzz.com/2020/01/libreoffice-draw-how-to-install-network-icons-for-diagram.html

Релиз дистрибутива Kali Linux 2020.1

Репост новости Opennet.Ru #lang_ru

Состоялся релиз дистрибутива Kali Linux 2020.1, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлены несколько вариантов iso-образов, размером 285 МБ, 2 ГБ и 2.7 ГБ. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). По умолчанию предлагается рабочий стол Xfce, но опционально поддерживаются KDE, GNOME, MATE, LXDE и Enlightenment e17.

В новом выпуске:

По умолчанию обеспечена работа под непривилегированным пользователем (ранее все операции выполнялись под root). Вместо root/toor теперь предлагается учётная запись kali/kali;

Вместо подготовки разных сборок со своими рабочими столами, предложен единый универсальный установочный образ с возможностью выбора рабочего стола на свой вкус (Xfce, GNOME, KDE и т.п.). Всего теперь предлагается три универсальных образа - полный установочный, Live-сборка и минимальный образ для установки по сети. Изменено оформление графического инсталлятора;

Для GNOME предложена новая тема оформления, доступная в тёмном и светлом вариантах;

Добавлены новые пиктограммы для входящих в состав приложений;

Проведена оптимизация режима "Kali Undercover", симулирующего оформление Windows, чтобы не вызывать подозрений при работе с #Kali в публичных местах;

В состав включены новые утилиты cloud-enum, emailharvester, phpggc, sherlock и splinter;
Удалены утилиты, требующие для своей работы Python 2.

Одновременно подготовлен релиз #NetHunter 2020.1, окружения для мобильных устройств на базе платформы Android с подборкой инструментов для тестирования систем на наличие уязвимостей. При помощи NetHunter возможна проверка осуществления атак, специфичных для мобильных устройств, например, через эмуляцию работы USB-устройств (BadUSB и HID Keyboard - эмуляция сетевого USB-адаптера, который может использоваться для MITM-атак, или USB-клавиатуры, выполняющей подстановку символов) и создание подставных точек доступа (MANA Evil Access Point). NetHunter устанавливается в штатное окружение платформы Android в форме chroot-образа, в котором выполняется специально адаптированный вариант Kali Linux. Ключевым улучшением выпуска NetHunter 2020.1 является подготовка редакции Rootless, не требующей наличия root-доступа на устройстве.

Подробнее - в англоязычном посте.

Kali Linux 2020.1 Release

The following is a brief feature summary for this release:

Non-Root by default Kali single installer image Kali NetHunter Rootless Improvements to theme & kali-undercover New tools

Non-Root

Throughout the history of Kali (and its predecessors BackTrack, WHAX, and Whoppix), the default credentials have been root/toor. This is no more. We are no longer using the superuser account, root, as default in Kali 2020.1. The default user account is now a standard, unprivileged, user.

For more of the reasons behind this switch, please see our blog post. As you can imagine, this is a very large change, with years of history behind it. As a result, if you notice any issues with this, please do let us know on the bug tracker.

root/tooris dead. Long live kali/kali.

Kali Single Installer Image

We took a good hard look at the usage of Kali, what images are actually downloaded, how they are put to use, and so on. With this information in hand, we decided to completely restructure and simplify the images we release. Going forward, we will have an installer image, a live image, and a network installer image.

These changes should allow for easier selection of the right image for you to download, while increasing flexibility on installation and further reducing download sizes.

Our Installer Image

This is what we recommend for most users that want to install Kali on their system Doesn’t require a network connection (aka offline install) for the default package selection Able to select desktop environment to install (Previously there was a separate image for each DE: XFCE, GNOME, KDE, etc.) Able to select tools to install at install time Can’t be used to boot a live system. This is just an installer image.

Filename: kali-linux-2020.1-installer-<amd64|i386>.iso
We are no longer offering separate images for every desktop environment (DE). Instead, we now have a single image with the option to pick your DE during installation. This means there isn’t a download link for Xfce (which is our default option since 2019.4), GNOME, KDE, MATE or LXDE DEs. Just one image to rule them all.

At install time, you may select the tools included with Kali (or none at all)! This gives you more control over what you what. We understand that Kali comes with more tools than some people use, or they have their own select tools they use. Now they can install Kali without any metapackages, giving them a bare Kali installation, so they can individually select what tools they want (rather than groups).

The default image contains the kali-desktop-xfce and kali-tools-default packages, allowing for an offline installation of Kali (as it always has been). Selecting any non-default tools will require a network connection.

Note: “Kali Live” is not included in this image. If you wish to use live mode, you’ll need the live image.

Network Install Image

Smallest image to download This requires a network connection to install During setup, it will download the latest packages every time it’s used Able to select desktop environment to install Able to select tools to install Can’t be used to boot a live system. This is just an installer image.

Filename: kali-linux-2020.1-installer-netinst-<amd64|i386>.iso

It’s a very small image, containing only enough to install the base system, but behaving exactly like the full installer image, allowing you to install everything that Kali offers, provided that you have enabled network connectivity.

Live Image

Its primary use is to be able to run Kali, without installing it But it also contains an installer, behaving like the “Network Install Image” described above

Filename: kali-linux-2020.1-live-<amd64|i386>.iso

“Kali Live” hasn’t been forgotten about – it’s just moved to its own image. This allows you to try Kali without installing it and is perfect for running off a USB stick. You can install from this image, however, it will require a network connection (this is why we suggest the stand-alone install image for most users).

Alternatively, you can generate your own image, in particular if you want to use another desktop environment instead of our default Xfce. It’s not as hard as it sounds!.

ARM Images

You will probably notice a bit of a change in the ARM images starting with our 2020.1 release. There are fewer images available for download, due to both manpower and hardware constraints, some images won’t be posted without community assistance. The scripts are still updated, so if an image doesn’t exist for a machine you use, you will have to create it by running the build script on a Kali machine.

ARM images for 2020.1 will still run as root by default.

The sad news that a lot of people didn’t want to hear… an image for the Pinebook Pro isn’t included in the 2020.1 release. We are still working on getting it added, and as soon as it is ready we will post it.

NetHunter Images

Our mobile pen-testing platform, Kali NetHunter, has also had some new improvements. You are now no longer required to root your phone in order to run Kali NetHunter, but that does come with some limitations.

To suit everybody’s needs, Kali NetHunter now comes in the following three editions:

**NetHunter** – Needs rooted devices with custom recovery and patched kernel. Has no restrictions. Device specific images are [available here](https://www.offensive-security.com/kali-linux-nethunter-download/). **NetHunter Light** – Needs rooted devices with custom recovery but no custom kernel. Has minor restrictions, i.e. no WiFi injection or HID support. Architecture specific images are available here. **NetHunter Rootless** – Installable on all stock standard, unmodified devices using **Termux**. Some limitations, like lack of db support in #Metasploit** and no root permissions. Installation instruction is available here.

The NetHunter documentation page includes a more detailed comparison. Each NetHunter edition comes with both the new “kali” user as well as root. KeX now supports multiple sessions so you can opt to run your #pentest in one whilst writing a report in another.

Please note that due to how Samsung Galaxy devices function, the non-root user might not be able to run sudo but has to use su -c instead.

One of the peculiarities of the new “NetHunter Rootless” edition is that the default non-root user has almost full privileges in the chroot due to how proot containers work.

Theming

With our last release, we made a major change switching from GNOME to Xfce. That wasn’t the end for us; we have kept on going with the design work, and have more updates:

GNOME There is now a new theme for GNOME users and as an additional bonus, there is a light and dark theme!

We are giving the tools that you are very fond of a makeover too! We are slowly working through our collection, refreshing them and adding in new icons.
Eagle-eyed users may also notice the icons used in the menu have also been replaced.

And if you opt to use the graphical installer of Kali, it’s also been updated

Kali-Undercover

We were not expecting the community’s overwhelming response to kali-undercover. So carrying on from Kali 2019.4 release, Kali-undercover now starts to feel even more like Windows to help blend in.

New Packages

Kali Linux is a rolling distribution, so it gets updates as soon as they are available, rather than waiting for “the next release”. So since the last release, we have the normal tool upgrades as well as a few new tools added, such as: cloud-enum, emailharvester, phpggc, sherlock, splinter.

We have a new new (kali-community-wallpapers1) and old (kali-legacy-wallpapers`) wallpapers to offer up if you want to customize or are feeling a little a little nostalgic.

Python 2 End Of Life

As a reminder, Python 2 has reached “end of life” on the 1st of January 2020. What this means is, we are removing tools that depend on Python 2. Why? Because they are no longer being maintained, they are not receiving updates, and they need replacing. The pentesting landscape is a dynamic field that is forever changing. It’s time to keep up. We will be doing our best to find alternatives that are actively worked upon.

Why are you waiting? Start downloading now!

Iran admits to shooting down Ukrainian passenger plane #ps752 "unintentionally"

The general staff of Iran's armed forces said the crash Wednesday was due to human error. Iran targeted the passenger plane unintentionally.

Iranian Foreign Minister Javad Zarif tweet

#ps752, #Ukraine, #Iran

What the fuck is wrong with these people (retarded from Blue Team )?

#CyberSecurity, #infosec, #BlueTeam

Iran APT groups: An overview of the country’s key cyber warfare actors https://www.verdict.co.uk/iran-apt-groups/

Clifford Stoll Mesmerizes at CrowdStrike Conference

If you have not seen, Dr. Clifford Stoll, #infosec pioneer, astronomer, professor, and author of "The Cuckoo's Egg" brings down the house with his mesmerizing keynote at #CrowdStrike's first Fal.Con Unite Conference held in November 2017. He discusses his ground-breaking work in IT security while at Berkeley, where he stumbled on an intrusion by hackers working on behalf of the #KGB. Learn how cybersecurity began from the trailblazing researcher who invented some of the capabilities security professionals still rely on.

You can’t miss it!

The best PR ever!

This is important

Chat with us on #Matrix

We've a #Socialhome room on Matrix (#socialhome:feneas.org), in addition to our IRC channel. These two are bridged together so you can chat via either one to all the participants.

#Django / #VueJS developer?

Want to help build a cool social network site that federates with all the cool kids using the #ActivityPub and #Diaspora protocols? Come talk and join in, help is required!

Here are some buzzwords from our technical stack: #Django, #VueJS, #Channels, #Bootstrap 4, #Masonry, #RQ, #PostgreSQL, #uWSGI, #Circus, #Mocha, #federation, #Haystack, #Whoosh.