20313
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
в фильмах, где террористы захватывают мир, часто применяется прием, когда злодеи (впрочем, это могут быть и инопланетяне, например), каким-то образом перехватывают сигнал телеэфира и транслируют на все телевизоры в мире свой месседж. Так вот, с появлением smart TV такая тема становится куда реальней, чем кажется. Тут исследователи продемонстрировали эксперимент, при котором в транслируемый телесигнал с помощью специального устройства "подмешивается" специальный зловредный шум. А дальше, путем эксплуатации известных уязвимостей в СмартТВ Самсунг злоумышленник может получить полный удаленный контроль над телевизором, включая доступ к микрофону и камере телевизора. причем исследователи допускают, что подобные уязвимости могут присутствовать и в телевизорах других производителей. чето чем дальше, тем страшнее жить. Там по ссылке есть часовое видео с техническими деталями презентации https://arstechnica.com/security/2017/03/smart-tv-hack-embeds-attack-code-into-broadcast-signal-no-access-required/
Читать полностью…
и моя любимая рубрика — прелести Internet of Things. Некто купил гаджет для управления гаражной дверью. Что-то у него пошло не так, пульт сразу не заработал, покупатель пошел и написал на Амазоне отзыв с одной звездой и комментарием "нифига не работает". Помните, когда в Google Play появилась возможность разработчикам отвечать пользователям, по сети ходили скриншоты, как разработчики пользователей посылают подальше в ответ на жалобы? Разработчик этого гаджета пошел дальше, они просто на сервере заблокировали возможность этого гаджета работать с сервисом. Еще и радостно в ответе написали "нефиг было дергаться сразу с отзывом, теперь у тебя опция — только вернуть обратно наш гаджет, у тебя он работать не будет". Отличный подход, я считаю
Читать полностью…
Хорошие новости для пользователей менеджера пароля LastPass — уязвимость, которая позволяла перехватывать пароли в браузере из LP, наконец-то исправлена. Апдейт должен, по идее, встать автоматически. по ссылке — пост в блоге LP с информацией об апдейте и о самой уязвимости (довольно таки техническое описание произошедшего) https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/
Читать полностью…
так, а сейчас надо убрать несовершеннолетних, беременных и людей со слабой психикой от мониторов. тут появилась информация об очередном "достижении" Internet of Things, и в этот раз оно относительно отвратительное. во-первых, речь идет о дилдо. во-вторых, речь идет о дилдо во встроенной камерой (!!!) — кто вообще, блядь, придумал, камеру в дилдо, чтобы транслировать, скажем так, этот контент??? Ну и в третьих, у дилдо пароль по умолчанию к вайваю — 88888888, так что злоумышленник, будучи в радиусе действия вайфая дилдо (черт, у меня в голове не укладывается словосочетание "дилдо с вайфаем"), может подключиться к нему удаленно и смотреть поток видео с него (ЗАЧЕМ??????) внутри в ссылке — достаточно отвратительное видео внутренностей чьей-то вагины, так что берегите там свою психику. блядь, у меня просто слов нет. https://motherboard.vice.com/en_us/article/camera-dildo-svakom-siime-eye-hacked-livestream
Читать полностью…
Почему всегда надо проверять банкоматы на скиммеры https://krebsonsecurity.com/2017/03/why-i-always-tug-on-the-atm/
Читать полностью…
ахахаха, меня тут поправляют, что у меня уже почему-то наступило 1 апреля. извините, это обезболивающие лекарства, наверно, так на меня действуют и превращают мозг в кашу
Читать полностью…
а еще читатель Артем прислал ссылку на какое-то очень странное исследование уязвимостей в популярных мессенджерах на iOS и Android от компании SolarSecurity (о которой я, например, никогда не слышал). Короче, по результатам их исследований мессенджеры на Android гораздо безопасней, чем на iOS. я, конечно, необъективен, но мне что-то с трудом верится, что в Signal, который экспертами считается одним из самых надежных и безопасных мессенджеров, на iOS есть 20 критических уязвимостей. Короче, моя внутренняя собака-подозревака что-то не верит этому отчету. http://solarsecurity.ru/upload/iblock/263/Otchet_messanger_Solar_inCode.pdf
Читать полностью…
Тут пишут (ссылку прислал читатель Марк, за что ему спасибо!), что власти Великобритании арестовали одного из возможных участников той самой группы "турецкой семьи", шантажирующей Apple удалением аккаунтов пользователей iCloud https://xakep.ru/2017/03/30/turkish-crime-family-arrest/
Читать полностью…
и снова здравствуйте. Сегодня у меня для вас не очень плохие новости и очень плохие новости! начнем с не очень плохих (но все же плохих).
1. Я почти каждый день пишу уже об этих дурацких турецких хакерах, которые шантажируют Apple массовым вайпом устройств. Насколько я помню, этот Эплокалипсис они обещают 7 апреля, если Apple им не заплатить сколько-то там денег. Apple, конечно, ничего платить не собирается, и отбивается, что "нашу инфраструктуру никто не взламывал". Проблема не в инфраструктуре Apple, а в юзерах, как обычно. Так вот, журналисты ZDNet продолжают копать эту тему, и получили у хакеров выборку из 70 тысяч аккаунтов, из которых они случайным образом выбрали 100 человек, и попытались с ними связаться. в итоге 12 человек из этой сотни подтвердили, что их пароль был или на данный момент совпадает с тем, что есть в базе у хакеров. Журналисты подключили к исследованию записей также Троя Ханта, автора haveibeenpwned.com, и судя по их анализу, база хакеров на самом деле — компиляция из сотен миллионов записей утечек аккаунтов с разных сайтов. Из 750-800 млн активных iCloud-записей уж точно несколько миллионов найдется таких, у кого пароль наверняка использовался в других сервисах. Поэтому, если вы думаете, что давно не меняли пароль на iCloud, или же он у вас использовался еще где-то, ЛУЧШЕ ПОМЕНЯЙТЕ ПАРОЛЬ. Двухфакторная авторизация на icloud тоже не помешает — лучше перебдеть, чем потом страдать над вайпнутым какими-то подростками телефоном. http://www.zdnet.com/article/icloud-accounts-breach-gets-bigger-here-is-what-we-know/
А тут еще ссылка от читателя Евгения о том, как Вконтакте налажали со своей сетью и на протяжении определенного времени пользователям сети были видны админские инструменты сети. так то, вообще, неудивительно, что админы ВК имеют доступ к частным фотографиям и сообщениям пользователей, но, вдруг, вы думали, что ваша информация там доступна только вам... https://vc.ru/n/vk-bug-tracker
Читать полностью…
Вчера Apple выпустила обновления для своих операционных систем. Кроме новых фич (например, новая файловая система в iOS, уиииии!!!! и поддержки результатов матчей по крикету в индийской премьер-лиге (наконец-то!)), обновления систем традиционно включают в себя массу исправлений в плане информационной безопасности. Вот список исправлений для iOS https://support.apple.com/en-us/HT207617, но такие же списки есть и для macOS https://support.apple.com/kb/HT207615, tvOS https://support.apple.com/kb/HT207601 и watchOS https://support.apple.com/kb/HT207602 если почитать, там есть интересные "приколы" типа подмены адреса в окне браузера или подмены интерфейса браузера после захода на "вредный" сайт. Поскольку информация об этих уязвимостях теперь публично доступна, то лучше все-таки апдейтиться на последние версии систем, там безопасней!
Читать полностью…
новая реальность, в которой мы живем — баг в веб-сервере в ПОСУДОМОЕЧНОЙ машине http://seclists.org/fulldisclosure/2017/Mar/63 Ладно, Miele не IT-компания, поэтому наличие бага допустимо, но что веб-сервер делает вообще в посудомойке? Кстати, то, что Miele не IT-компания, имеет еще один неприятный побочный эффект — до них хрен достучишься с информацией о баге, потому что у них как бы и нет такого процесса, как репортинг багов по безопасности. Когда же это закончится, что любую хрень пытаются подключать к интернету? мало им ботнетов из видеокамер и термостатов, теперь еще туда и посудомойки подключатся...
Читать полностью…
Фишеры уже совсем разленились. зачем присылать сложные формы, веб-страницы, маскироваться под Gmail, если можно вот так? Интересно, работает ли оно на ком-то?
Читать полностью…
есть еще и продолжение истории с хакерами, шантажирующими Apple и угрожающими удалить сразу много миллионов iCloud-аккаунтов. Там, я напомню, некие турецкие хакеры обещают вайпнуть от 200 до 600 миллионов iCloud-аккаунтов и iPhone, которые к ним подключены. Apple утверждает, что никакого взлома их системы не было, и юзеры в безопасности. Однако, все не так однозначно. Журналисты ZDNet связались с хакерами и получили от них в качестве примера 54 набора логин-пароль. Все 54 аккаунта действительно существовали или существуют. После этого журналисты попробовали связаться с этим людьми, и до некоторых из них получилось достучаться. Более того, 10 человек подтвердили, что связка логин-пароль действительно верная (после чего они сменили пароль). Они же подтвердили, что этот пароль у них давно и не менялся. Основное подозрение было на то, что в данном случае речь идет о некоем "подборе" логина-пароля из других утечек, и несколько человек подтвердили, что эти же логин-пароль они использовали на других сайтах. Однако, три человека утверждают, что у них – уникальный пароль на iCloud, который нигде больше не используется. Журналисты еще пишут, что, по ощущениям, хакеры — какие-то наивные бестолочи и любители, но все равно некий риск сохраняется. Поэтому совет традиционный: если давно не меняли пароль на iCloud, лучше его сменить. Также если вы ждали знака, чтобы все-таки активировать двух-факторную авторизацию, то это он, самое время это сделать. http://www.zdnet.com/article/apple-icloud-ransom-what-you-need-to-know/
Читать полностью…
а если вы пользуетесь LastPass, то лучше проапдейтиться до последней версии, потому что у них там обнаружили уязвимость, которая позволяла злоумышленникам перехватывать пароли в расширении для браузера https://bugs.chromium.org/p/project-zero/issues/detail?id=1209
Читать полностью…
Читатель Илья прислал ссылку на статью об законопроекте, который предлагает строгий порядок допуска и регистрации в социальных сетях. Надо сказать, что в кои-то веки я с ним (законопроектом) согласен — "В проекте закона указано, что пользоваться соцсетями сможет только лицо, достигшее 14-летнего возраста.". А то от школоты в интернете уже не протолкнуться :) https://hi-tech.mail.ru/news/kids-shouldnt-go-to-social-networks/
Читать полностью…
и не очень хорошие новости для пользователей техники Samsung, в которой используется операционная система Tizen. Если ориентироваться чисто на рынок смартфонов, то там вроде как Tizen не очень известен, однако, Samsung, в своих попытках избавиться от зависимости от Android, успела засунуть Tizen не только в 10 миллионов смарфонов, но и в 30 миллионов телевизоров, а также в часы, а еще в холодильники и даже планировал в стиральные машины. короче, там один хакер хорошенько проанализировал весь этот Tizen, ужаснулся, нашел несколько десятков критичнейших уязвимостей и назвал Tizen "худшим кодом, который он когда-либо видел". Большинство уязвимостей в Tizen позволяет получить удаленный контроль над устройствами, в которых установлена эта операционная система (представьте себе SmartTV со встроенной камерой и микрофоном, через который за вами наблюдает не только ЦРУ, но и просто какой-то извращенец). Ошибки там и в старом коде, пришедшем еще с Bada, и в новом, который писали уже для Tizen. там все плохо и с точки зрения архитектуры, и даже с точки зрения использования элементарного шифрования передачи данных. Изначально Samsung даже репорты об этих уязвимостях игнорировал, но сейчас вроде начал шевелиться немного. Короче, никогда такого не было, и вот опять! https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities
Читать полностью…
не знаю, что больше шокировало отписавшихся несколько человек – использование слова на букву Б или же ссылка на видео с внутренностями вагины? но вообще новость-то вполне в тематику канала, и чем больше гаджетов будут с вайфаем-блютусом непонятно зачем, тем больше таких новостей будет. держитесь там!
Читать полностью…
В марте Apple опубликовала обновленную версию документа, описывающего безопасность iOS. если вас интересует информационная безопасность, то это очень полезный и познавательный документ. из интересных изменений в последней версии можно отметить информацию про HomeKit и то, как HomeKit защищает пользователей от утечки их личной информации через всякие "умные" IoT устройства (в том числе путем сертификации таких устройств для работы с HomeKit и установки жестких требований по безопасности). еще пояснение о том, почему Siri по-прежнему иногда кривовато работает со сторонними приложениями ("безопасность пользовательских данных — прежде всего"). и еще я оттуда узнал, что в iOS 10 появилась такая штука как ReplayKit, которая в том числе позволяет захватывать в видео экран на iOS устройствах, так как в документе Apple объясняет различные ограничения по безопасности, которые этой фиче сопутствуют (раньше такая функциональность требовала джейлбрейка, насколько я помню). https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Читать полностью…
А вот ещё две интересные ссылки от читателя Ильи, с его комментариями:
Номер раз. ФСБ закон Яровой vs Операторы кратко операторы предложили создать тестовые зоны для исполнения требований фсбешников. (В надежде показать на сколько это дорого и бесполезно IMHO) Но ФСБ сказали технически это возможно так что идите в банк тратить ваше бабло на наши хотелки, сколько сольёте нам без разницы но шобы всё работало. Оригинал http://www.interfax.ru/russia/553363
Номер два. Хотят расширить закон Яровой ещё долбанутей чем он есть сейчас https://rns.online/it-and-media/Zakon-Yarovoi-mozhet-obyazat-abonentov-nazvat-vseh-vozmozhnih-polzovatelei-ih-gadzhetov-i-noutbukov-2017-03-28 А именно обязать указывать всех пользователей для гаджетов, а непослушных отрубать от связи. Берегите там себя и свою информацию!
в качестве пятнично-развлекательного чтива можно почитать, как журналист Gizmodo обнаружил секретный твиттер-аккаунт директора ФБР, основываясь на обрывках информации, доступной в сети. в интернете не может спрятаться никто и нигде http://gizmodo.com/this-is-almost-certainly-james-comey-s-twitter-account-1793843641
Читать полностью…
в пятницу 1 апреля — только серьезные новости! Например, о том, что VPN — не панацея от инициатив операторов продавать ваши данные о походах в интернет. потому что сейчас этих VPN-сервисов развелось как собак нерезанных, и нужно очень внимательно выбирать тех, кто не будет продавать ваши данные на сторону точно так же, как собираются это делать операторы связи. не говоря уже о том, что куча VPN-приложений для Android оказались сразу со встроенным вредоносным ПО. Короче, ценность VPN немношк переоцена https://www.techdirt.com/articles/20170327/09244537008/just-use-vpn-isnt-real-solution-to-gops-decision-to-kill-broadband-privacy-protections.shtml
Читать полностью…
2. Вторая (и более плохая) новость касается больше тех, кто живет в США, хотя, подозреваю, что этот тренд может расшириться и по миру. Вчера американский безумный принтер (другими словами, Конгресс) проголосовал за законопроект, по которому с интернет-провайдеров снимаются ограничения на то, что они могут делать с пользовательскими данными. ВСЯ история браузинга в интернете, доступ к сервисам и приложениям, информация о местоположении, а также информация о social security number (аналог ИНН) теперь может быть этими самыми провайдерами продана кому угодно (исключением является банковская, медицинская информация и данные о детях). И для этого не требуется запрос на согласие пользователя, и, более того, провайдеры не обязаны даже делать у себя опцию "не торговать моими данными" — вот просто могут взять и продать эту информацию, в которой пользователь абсолютно четко персонализирован/идентифицирован, тому, кто заплатит много денег. Аргумент за этот законопроект был из серии "ну вон гугл с фейсбуком могут так делать, а че операторам нельзя?". Уязвимость этого аргумента, что юзер может решить не ходить в гугл или фейсбук, или на другой вебсайт, а в ситуации, когда у юзера обычно выбор из 1-2 интернет-провайдеров, то деваться некуда. Короче, 90-миллиардный рынок онлайн-рекламы, за который борются ФБ-Гугл, теперь будут пилить еще и интернет-провайдеры, а страдает, как обычно, приватность пользователей. Нет особых сомнений, что Президент Трамп подпишет этот законопроект. А юзерам остается полагаться на https и vpn. http://www.theverge.com/2017/3/28/15080436/us-house-votes-to-let-isps-share-web-browsing-history
Читать полностью…
также я писал про уязвимость, обнаруженную в менеджере паролей LastPass, и даже призывал апдейтиться до последней версии программы. /channel/alexmakus/1042 есть одна проблемка — уязвимость (актуальна только для тех, кто пользуется Chrome и плагином LastPass в нем), пока что не исправлена. Тут вот разработчики LP дают рекомендации о том, что делать, пока не вышел патч для дыры https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/
Читать полностью…
На прошлой неделе я писал, что некие хакеры шантажируют Apple тем, что они вайпнут миллионы iOS-устройств, если Apple им не заплатит выкуп. Там, конечно, вся история похожа на какой-то буллшыт, но забавно другое — в Штатах оживились обманщики, которые на фоне этих новостей звонят юзерам и представляются "поддержкой Apple", и под шумок этих новостей пытаются у пользователей выпытать данные их iCloud-пользователей. Никому вообще нельзя верить, никому! http://www.macworld.com/article/3185485/security/ignore-that-call-from-apple-about-an-icloud-breach.html
Читать полностью…
А в Великобритании — очередное обострение по борьбе с мессенджерами и шифрованными сообщениями. В частности, оказалось, что организовавший нападение на прошлой неделе террорист в Вестминстере пользовался WhatsApp для переписки (неизвестно с кем), и теперь в Великобритании раздаются призывы к тому, что "у нас должен быть доступ к переписке WhatsApp". Понятное дело, что если начать с WhatsApp, то можно и до других мессенджеров добраться. Но, правда, оказывается, что террориста спецслужбы все равно не мониторили, поэтому даже если бы он переписывался нешифрованными чатами, это не помогло бы. Не говоря уже о том, что для своего теракта он воспользовался ножом и автомобилем, и, видимо, их тоже придется запретить на всякий случай. http://www.bbc.com/news/uk-politics-39398190
Читать полностью…
Хорошая пошаговая инструкция о том, как настроить двухфакторную авторизацию на iCloud, если вы еще не http://www.macworld.com/article/3184650/ios/how-to-set-up-two-factor-authentication-for-your-apple-id-and-icloud-account.html
Читать полностью…
87 приложений в Google Play, маскирующиеся под моды для Minecraft, на самом деле не являются таковыми, а являются вредоносным ПО http://www.welivesecurity.com/2017/03/23/download-minecraft-mods-google-play-read/
Читать полностью…
Сегодня у нас тоже день фоллов-аппов к предыдущим новостям. Я писал вчера про то, что wikileaks там выложила информацию из утечки ЦРУ. Apple ответила на публикацию этой информации тем, что а) уязвимость с iPhone существовала только в версии iPhone 3G и была исправлена в 2008 году. Все уязвимости Маков, которые там фигурировали, исправлены в всех Маках, выпущенных после 2013 года
Читать полностью…
совсем забыл, что тут мне какое-то время назад читатель Вячеслав прислал ссылку на интересный новый троян для Маков под названием Proton. Малварь достаточно мощная, но усиливает эффект тот факт, что она еще и подписана настоящим девелоперским сертификатом https://www.cybersixgill.com/proton-a-new-mac-os-rat/
Читать полностью…