а эта новость пригодится юзерам техники Apple — айфонов, айпадов и Маков. Yubico наконец-то начали поставки ключа YubiKey 5Ci, который содержит в себе одновременно разъемы Lightning и USB-C, и поддерживает все платформы компании. https://www.yubico.com/product/yubikey-5ci
Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci
Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci
Yubico
USB-C & Lightning YubiKey 5Ci Security Key | Yubico
Protect yourself from account takeovers with the efficient, multi-protocol YubiKey 5Ci. Go passwordless with our USB-C and Lightning dual ended security key.
Полезная ссылка от читателя
https://www.linux.org.ru/news/security/15175589
https://www.linux.org.ru/news/security/15175589
www.linux.org.ru
out-of-tree v1.0.0 ― инструментарий для разработки и тестирования эксплоитов и модулей ядра Linux
Состоялся релиз первой (v1.0.0) версии out-of-tree ― инструментария для разработки и тестирования эксплоитов и модулей ядра Linux. out-of-tree позволяет автоматизировать некоторые рутинные действия по созданию окружений для отладки модулей ядра и экс...
Motherboard сообщает о том, что подрядчики Microsoft прослушивали не только записи Cortana, но и аудиозаписи игроков Xbox, у которой тоже есть команды голосовой активации
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana
Vice
Microsoft Contractors Listened to Xbox Owners in Their Homes
Multiple contractors working for Microsoft explain how they listened to audio captured by Xbox consoles.
тем временем Google, Mozilla и Apple решили блокировать сертификат Казахстана для перехвата трафика
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
VentureBeat
Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox
Google and Mozilla have blocked the fake root CA Qaznet Trust Network from Chrome and Firefox browsers to protect citizens of Kazakhstan.
популярный хостинг-провайдер Hostinger рассказал о неавторизованном доступе к базе данных клиентов компании (через найденный токен получили доступ в API базы). В базе данных хранились логины, имейлы, пароли в алогоритме SHA-1. Всего у компании 29 млн клиентов, злоумышленники получили доступ к данным 14 млн человек. Те клиенты, кого это затронуло, уже должны были получить имейл о сбросе пароля
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8
Hostinger Blog
Security Incident: What We Did to Improve Security of Our Infrastructure
Everything you need to know about the security incident and what was done to make Hostinger and its users more secure.
Гонконгские IT-специалисты выяснили, как узнать телефонный номер пользователя Telegram, даже если тот скрыл его от всех в настройках мессенджера. Утечка происходит через публичные чаты — члены таких групп могут распознать среди участников контакты из своей телефонной книжки.
https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/
https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/
Собственно, как я и предполагал тут (https://t.me/alexmakus/3005), Apple выкатила апдейт 12.4.1 для iPhone, где вкатила фикс того, что она откатила в 12.4 после того, как пофиксила в 12.3 (да, оно на самом деле так запутанно и есть, как звучит)
https://support.apple.com/en-us/HT210549
https://support.apple.com/en-us/HT210549
Telegram
Информация опасносте
Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком…
о профессиональной деформации. Сегодня приснилось, что кто-то взломал канал. Не мой аккаунт в ТГ, а именно канал, и начал постить сюда всякие сообщения о pwning. кошмары у каждого свои.
Пару раз я уже писал тут про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
Apple Newsroom
Improving Siri’s privacy protections
Our goal with Siri, the pioneering intelligent assistant, is to provide the best experience for our customers while vigilantly protecting their privacy.
https://security.googleblog.com/2019/08/new-research-lessons-from-password.html
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Google Online Security Blog
New Research: Lessons from Password Checkup in action
Posted by Jennifer Pullman, Kurt Thomas, and Elie Bursztein, Spam and Abuse research Back in February, we announced the Password Checkup ...
Отчёт о том, как частная компания Ring, принадлежащая Amazon, передаёт полиции напрямую записи со своих «умных» звонков с камерами. В самом сотрудничестве формально нарушения законодательства нет, но сам факт построения такой частной системы наблюдения вызывает вопросы у экспертов по обеспечению сохранности личной информации. Кроме того, есть много вопросов и к тому, как системы распознавания у Ring идентифицируют людей; неоднократно приводились примеры, как у распознавалки была склонность находить больше преступников среди чернокожих, а также идентифицировать кандидатов в преступники среди обычных людей. Неспокойно это как-то
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/
Мегапост про уязвимости на сайтах, способные заражать айфоны имплантами просто от посещения сайтов, и ворующие потом данные без особого таргетинга, просто у всех посетителей. Воровали все подряд, включая данные о местоположении, кейчейны, и прочее. Сайты работали на протяжении пары лет и сколько людей они могли заразить - неизвестно. Как минимум, хорошая новость в том, что имплант исчезал после рестарта. Вторая хорошая новость - Речь о цепочках уязвимостей, которые были обнаружены в начале этого года, и исправлены в последующих апдейтах iOS. Детальное расследование самих уязвимостей и импланта по ссылке, увлекательное чтиво на выходные
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
Blogspot
A very deep dive into iOS Exploit chains found in the wild
Posted by Ian Beer, Project Zero Project Zero’s mission is to make 0-day hard. We often work with other companies to find and report se...
ребята из Элкомсофт научились добывать сообщения Signal из айфона. Это, конечно, с физическим доступом к устройству, но даже в этом случае это было непросто
https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/
https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/
ElcomSoft blog
How to Extract and Decrypt Signal Conversation History from the iPhone
With over half a million users, Signal is an incredibly secure cross-platform instant messaging app. With emphasis on security, there is no wonder that Signal is frequently picked as a communication tool by those who have something to hide. Elcomsoft Phone…
Но есть и хорошие новости, вполне в духе пятницы! известный бренд Bang Bros (хехе) приобрел PornWikiLeaks.com — сайт, известный доксингом порноактрис (и актеров, я думаю). Сайт содержал в себе личную информацию, и Bang Bros, купив сайт (вместе с дисками), просто сжег диски нафиг.
https://www.vice.com/en_us/article/9keb4d/bang-bros-bought-pornwikileaks-doxing-forum-and-set-fire-to-it
https://www.vice.com/en_us/article/9keb4d/bang-bros-bought-pornwikileaks-doxing-forum-and-set-fire-to-it
Vice
Bang Bros Bought a Huge Porn Doxing Forum and Set Fire to It
PornWikiLeaks was a forum devoted to revealing the names and personal information of porn performers, including several in the Girls Do Porn trial.
неожиданная статья про бутерброды с курицей. but stay with me, это относится к теме канала. Есть в штатах такая сеть фастфуда Chick-fil-A, мегапопулярная, кстати. У нее есть момент, основатели страшно религиозные люди, рестораны по воскресеньям не работают. И вот появляется отчет о том, куда ходят клиенты этой сети по воскресеньям, опубликованный компанией по мобильным аналитическим данным. Компания (Buxton Live Mobile Insights) даже не стесняется рассказывать, что она трекала клиентов Chick-fil-A по их мобильным устройствам с понедельника по субботу, а затем следила за тем, куда те же устройства (их пользователи) ходили в воскресенье. Данные получены методом покупки от некоторых агрегаторов, и собираются с мобильных устройств, где "пользователи согласились" на мониторинг местоположения. Я практически на 100% уверен, что если даже кто-то там соглашался на какой-то мониторинг, понятия не имел о том, какой именно мониторинг и каким образом он будет осуществляться.
https://www.dallasnews.com/business/local-companies/2019/08/23/where-do-chick-fil-a-customers-go-on-sundays-a-d-fw-company-has-the-answer-and-it-s-not-popeyes/
https://www.dallasnews.com/business/local-companies/2019/08/23/where-do-chick-fil-a-customers-go-on-sundays-a-d-fw-company-has-the-answer-and-it-s-not-popeyes/
The Dallas Morning News
Where do Chick-fil-A customers go on Sundays? A D-FW company has the answer, and it's not Popeyes
On the heels of the viral response to Popeyes' new fried chicken sandwich, a well-respected data and analytics company has released a list of...
Я пару дней назад писал про историю с цепочками уязвимостей нулевого дня для iPhone, когда айфоны взламывались просто от захода на эти сайты (проблему обнаружили Гугл в феврале, через 7 дней Apple выпустила апдейт, исправляющий эти уязвимости)
https://t.me/alexmakus/3021
Поскольку история громкая, то неудивительно, что у нее есть и продолжение. Во-первых, TechCrunch написали, что они выяснили, кто стоит за этими сайтами. Оказалось, что это Китай, и цель этих сайтов — мусульмане из Уйгура, региона Китая, в котором правительство активно затягивает гайки по подавлению этого населения и интеграции их в страну.
https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
логично возник вопрос — неужели среди жителей Уйгура есть только пользователи iPhone, что создали для него такие страницы. А как же другие платформы? И Forbes чуть позже опубликовал материал о том, что те же сайты также таргетили операционные системы Google и Microsoft, как говорят анонимные источники автора материала. Странно, что Google в этом случае ни слова не сказала про Android, опубликовав материал только про уязвимости iOS.
https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#414ae954adf6
https://t.me/alexmakus/3021
Поскольку история громкая, то неудивительно, что у нее есть и продолжение. Во-первых, TechCrunch написали, что они выяснили, кто стоит за этими сайтами. Оказалось, что это Китай, и цель этих сайтов — мусульмане из Уйгура, региона Китая, в котором правительство активно затягивает гайки по подавлению этого населения и интеграции их в страну.
https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
логично возник вопрос — неужели среди жителей Уйгура есть только пользователи iPhone, что создали для него такие страницы. А как же другие платформы? И Forbes чуть позже опубликовал материал о том, что те же сайты также таргетили операционные системы Google и Microsoft, как говорят анонимные источники автора материала. Странно, что Google в этом случае ни слова не сказала про Android, опубликовав материал только про уязвимости iOS.
https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#414ae954adf6
Telegram
Информация опасносте
Мегапост про уязвимости на сайтах, способные заражать айфоны имплантами просто от посещения сайтов, и ворующие потом данные без особого таргетинга, просто у всех посетителей. Воровали все подряд, включая данные о местоположении, кейчейны, и прочее. Сайты…
полезная штука, если вдруг психанете 🙂 - кнопки по удалению учетных записей в различных сервисах
https://backgroundchecks.org/justdeleteme/
https://backgroundchecks.org/justdeleteme/