новая реальность, в которой мы живем — баг в веб-сервере в ПОСУДОМОЕЧНОЙ машине http://seclists.org/fulldisclosure/2017/Mar/63 Ладно, Miele не IT-компания, поэтому наличие бага допустимо, но что веб-сервер делает вообще в посудомойке? Кстати, то, что Miele не IT-компания, имеет еще один неприятный побочный эффект — до них хрен достучишься с информацией о баге, потому что у них как бы и нет такого процесса, как репортинг багов по безопасности. Когда же это закончится, что любую хрень пытаются подключать к интернету? мало им ботнетов из видеокамер и термостатов, теперь еще туда и посудомойки подключатся...

А в Великобритании — очередное обострение по борьбе с мессенджерами и шифрованными сообщениями. В частности, оказалось, что организовавший нападение на прошлой неделе террорист в Вестминстере пользовался WhatsApp для переписки (неизвестно с кем), и теперь в Великобритании раздаются призывы к тому, что "у нас должен быть доступ к переписке WhatsApp". Понятное дело, что если начать с WhatsApp, то можно и до других мессенджеров добраться. Но, правда, оказывается, что террориста спецслужбы все равно не мониторили, поэтому даже если бы он переписывался нешифрованными чатами, это не помогло бы. Не говоря уже о том, что для своего теракта он воспользовался ножом и автомобилем, и, видимо, их тоже придется запретить на всякий случай. http://www.bbc.com/news/uk-politics-39398190

Вчера Apple выпустила обновления для своих операционных систем. Кроме новых фич (например, новая файловая система в iOS, уиииии!!!! и поддержки результатов матчей по крикету в индийской премьер-лиге (наконец-то!)), обновления систем традиционно включают в себя массу исправлений в плане информационной безопасности. Вот список исправлений для iOS https://support.apple.com/en-us/HT207617, но такие же списки есть и для macOS https://support.apple.com/kb/HT207615, tvOS https://support.apple.com/kb/HT207601 и watchOS https://support.apple.com/kb/HT207602 если почитать, там есть интересные "приколы" типа подмены адреса в окне браузера или подмены интерфейса браузера после захода на "вредный" сайт. Поскольку информация об этих уязвимостях теперь публично доступна, то лучше все-таки апдейтиться на последние версии систем, там безопасней!

На прошлой неделе я писал, что некие хакеры шантажируют Apple тем, что они вайпнут миллионы iOS-устройств, если Apple им не заплатит выкуп. Там, конечно, вся история похожа на какой-то буллшыт, но забавно другое — в Штатах оживились обманщики, которые на фоне этих новостей звонят юзерам и представляются "поддержкой Apple", и под шумок этих новостей пытаются у пользователей выпытать данные их iCloud-пользователей. Никому вообще нельзя верить, никому! http://www.macworld.com/article/3185485/security/ignore-that-call-from-apple-about-an-icloud-breach.html

А тут еще ссылка от читателя Евгения о том, как Вконтакте налажали со своей сетью и на протяжении определенного времени пользователям сети были видны админские инструменты сети. так то, вообще, неудивительно, что админы ВК имеют доступ к частным фотографиям и сообщениям пользователей, но, вдруг, вы думали, что ваша информация там доступна только вам... https://vc.ru/n/vk-bug-tracker

также я писал про уязвимость, обнаруженную в менеджере паролей LastPass, и даже призывал апдейтиться до последней версии программы. https://t.me/alexmakus/1042 есть одна проблемка — уязвимость (актуальна только для тех, кто пользуется Chrome и плагином LastPass в нем), пока что не исправлена. Тут вот разработчики LP дают рекомендации о том, что делать, пока не вышел патч для дыры https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/

и снова здравствуйте. Сегодня у меня для вас не очень плохие новости и очень плохие новости! начнем с не очень плохих (но все же плохих).
1. Я почти каждый день пишу уже об этих дурацких турецких хакерах, которые шантажируют Apple массовым вайпом устройств. Насколько я помню, этот Эплокалипсис они обещают 7 апреля, если Apple им не заплатить сколько-то там денег. Apple, конечно, ничего платить не собирается, и отбивается, что "нашу инфраструктуру никто не взламывал". Проблема не в инфраструктуре Apple, а в юзерах, как обычно. Так вот, журналисты ZDNet продолжают копать эту тему, и получили у хакеров выборку из 70 тысяч аккаунтов, из которых они случайным образом выбрали 100 человек, и попытались с ними связаться. в итоге 12 человек из этой сотни подтвердили, что их пароль был или на данный момент совпадает с тем, что есть в базе у хакеров. Журналисты подключили к исследованию записей также Троя Ханта, автора haveibeenpwned.com, и судя по их анализу, база хакеров на самом деле — компиляция из сотен миллионов записей утечек аккаунтов с разных сайтов. Из 750-800 млн активных iCloud-записей уж точно несколько миллионов найдется таких, у кого пароль наверняка использовался в других сервисах. Поэтому, если вы думаете, что давно не меняли пароль на iCloud, или же он у вас использовался еще где-то, ЛУЧШЕ ПОМЕНЯЙТЕ ПАРОЛЬ. Двухфакторная авторизация на icloud тоже не помешает — лучше перебдеть, чем потом страдать над вайпнутым какими-то подростками телефоном. http://www.zdnet.com/article/icloud-accounts-breach-gets-bigger-here-is-what-we-know/

2. Вторая (и более плохая) новость касается больше тех, кто живет в США, хотя, подозреваю, что этот тренд может расшириться и по миру. Вчера американский безумный принтер (другими словами, Конгресс) проголосовал за законопроект, по которому с интернет-провайдеров снимаются ограничения на то, что они могут делать с пользовательскими данными. ВСЯ история браузинга в интернете, доступ к сервисам и приложениям, информация о местоположении, а также информация о social security number (аналог ИНН) теперь может быть этими самыми провайдерами продана кому угодно (исключением является банковская, медицинская информация и данные о детях). И для этого не требуется запрос на согласие пользователя, и, более того, провайдеры не обязаны даже делать у себя опцию "не торговать моими данными" — вот просто могут взять и продать эту информацию, в которой пользователь абсолютно четко персонализирован/идентифицирован, тому, кто заплатит много денег. Аргумент за этот законопроект был из серии "ну вон гугл с фейсбуком могут так делать, а че операторам нельзя?". Уязвимость этого аргумента, что юзер может решить не ходить в гугл или фейсбук, или на другой вебсайт, а в ситуации, когда у юзера обычно выбор из 1-2 интернет-провайдеров, то деваться некуда. Короче, 90-миллиардный рынок онлайн-рекламы, за который борются ФБ-Гугл, теперь будут пилить еще и интернет-провайдеры, а страдает, как обычно, приватность пользователей. Нет особых сомнений, что Президент Трамп подпишет этот законопроект. А юзерам остается полагаться на https и vpn. http://www.theverge.com/2017/3/28/15080436/us-house-votes-to-let-isps-share-web-browsing-history

Тут пишут (ссылку прислал читатель Марк, за что ему спасибо!), что власти Великобритании арестовали одного из возможных участников той самой группы "турецкой семьи", шантажирующей Apple удалением аккаунтов пользователей iCloud https://xakep.ru/2017/03/30/turkish-crime-family-arrest/

в пятницу 1 апреля — только серьезные новости! Например, о том, что VPN — не панацея от инициатив операторов продавать ваши данные о походах в интернет. потому что сейчас этих VPN-сервисов развелось как собак нерезанных, и нужно очень внимательно выбирать тех, кто не будет продавать ваши данные на сторону точно так же, как собираются это делать операторы связи. не говоря уже о том, что куча VPN-приложений для Android оказались сразу со встроенным вредоносным ПО. Короче, ценность VPN немношк переоцена https://www.techdirt.com/articles/20170327/09244537008/just-use-vpn-isnt-real-solution-to-gops-decision-to-kill-broadband-privacy-protections.shtml

а еще читатель Артем прислал ссылку на какое-то очень странное исследование уязвимостей в популярных мессенджерах на iOS и Android от компании SolarSecurity (о которой я, например, никогда не слышал). Короче, по результатам их исследований мессенджеры на Android гораздо безопасней, чем на iOS. я, конечно, необъективен, но мне что-то с трудом верится, что в Signal, который экспертами считается одним из самых надежных и безопасных мессенджеров, на iOS есть 20 критических уязвимостей. Короче, моя внутренняя собака-подозревака что-то не верит этому отчету. http://solarsecurity.ru/upload/iblock/263/Otchet_messanger_Solar_inCode.pdf

в качестве пятнично-развлекательного чтива можно почитать, как журналист Gizmodo обнаружил секретный твиттер-аккаунт директора ФБР, основываясь на обрывках информации, доступной в сети. в интернете не может спрятаться никто и нигде http://gizmodo.com/this-is-almost-certainly-james-comey-s-twitter-account-1793843641

ахахаха, меня тут поправляют, что у меня уже почему-то наступило 1 апреля. извините, это обезболивающие лекарства, наверно, так на меня действуют и превращают мозг в кашу

А вот ещё две интересные ссылки от читателя Ильи, с его комментариями:
Номер раз. ФСБ закон Яровой vs Операторы кратко операторы предложили создать тестовые зоны для исполнения требований фсбешников. (В надежде показать на сколько это дорого и бесполезно IMHO) Но ФСБ сказали технически это возможно так что идите в банк тратить ваше бабло на наши хотелки, сколько сольёте нам без разницы но шобы всё работало. Оригинал http://www.interfax.ru/russia/553363

Номер два. Хотят расширить закон Яровой ещё долбанутей чем он есть сейчас https://rns.online/it-and-media/Zakon-Yarovoi-mozhet-obyazat-abonentov-nazvat-vseh-vozmozhnih-polzovatelei-ih-gadzhetov-i-noutbukov-2017-03-28 А именно обязать указывать всех пользователей для гаджетов, а непослушных отрубать от связи. Берегите там себя и свою информацию!

Почему всегда надо проверять банкоматы на скиммеры https://krebsonsecurity.com/2017/03/why-i-always-tug-on-the-atm/

В марте Apple опубликовала обновленную версию документа, описывающего безопасность iOS. если вас интересует информационная безопасность, то это очень полезный и познавательный документ. из интересных изменений в последней версии можно отметить информацию про HomeKit и то, как HomeKit защищает пользователей от утечки их личной информации через всякие "умные" IoT устройства (в том числе путем сертификации таких устройств для работы с HomeKit и установки жестких требований по безопасности). еще пояснение о том, почему Siri по-прежнему иногда кривовато работает со сторонними приложениями ("безопасность пользовательских данных — прежде всего"). и еще я оттуда узнал, что в iOS 10 появилась такая штука как ReplayKit, которая в том числе позволяет захватывать в видео экран на iOS устройствах, так как в документе Apple объясняет различные ограничения по безопасности, которые этой фиче сопутствуют (раньше такая функциональность требовала джейлбрейка, насколько я помню). https://www.apple.com/business/docs/iOS_Security_Guide.pdf

так, а сейчас надо убрать несовершеннолетних, беременных и людей со слабой психикой от мониторов. тут появилась информация об очередном "достижении" Internet of Things, и в этот раз оно относительно отвратительное. во-первых, речь идет о дилдо. во-вторых, речь идет о дилдо во встроенной камерой (!!!) — кто вообще, блядь, придумал, камеру в дилдо, чтобы транслировать, скажем так, этот контент??? Ну и в третьих, у дилдо пароль по умолчанию к вайваю — 88888888, так что злоумышленник, будучи в радиусе действия вайфая дилдо (черт, у меня в голове не укладывается словосочетание "дилдо с вайфаем"), может подключиться к нему удаленно и смотреть поток видео с него (ЗАЧЕМ??????) внутри в ссылке — достаточно отвратительное видео внутренностей чьей-то вагины, так что берегите там свою психику. блядь, у меня просто слов нет. https://motherboard.vice.com/en_us/article/camera-dildo-svakom-siime-eye-hacked-livestream

не знаю, что больше шокировало отписавшихся несколько человек – использование слова на букву Б или же ссылка на видео с внутренностями вагины? но вообще новость-то вполне в тематику канала, и чем больше гаджетов будут с вайфаем-блютусом непонятно зачем, тем больше таких новостей будет. держитесь там!

Хорошие новости для пользователей менеджера пароля LastPass — уязвимость, которая позволяла перехватывать пароли в браузере из LP, наконец-то исправлена. Апдейт должен, по идее, встать автоматически. по ссылке — пост в блоге LP с информацией об апдейте и о самой уязвимости (довольно таки техническое описание произошедшего) https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/

и не очень хорошие новости для пользователей техники Samsung, в которой используется операционная система Tizen. Если ориентироваться чисто на рынок смартфонов, то там вроде как Tizen не очень известен, однако, Samsung, в своих попытках избавиться от зависимости от Android, успела засунуть Tizen не только в 10 миллионов смарфонов, но и в 30 миллионов телевизоров, а также в часы, а еще в холодильники и даже планировал в стиральные машины. короче, там один хакер хорошенько проанализировал весь этот Tizen, ужаснулся, нашел несколько десятков критичнейших уязвимостей и назвал Tizen "худшим кодом, который он когда-либо видел". Большинство уязвимостей в Tizen позволяет получить удаленный контроль над устройствами, в которых установлена эта операционная система (представьте себе SmartTV со встроенной камерой и микрофоном, через который за вами наблюдает не только ЦРУ, но и просто какой-то извращенец). Ошибки там и в старом коде, пришедшем еще с Bada, и в новом, который писали уже для Tizen. там все плохо и с точки зрения архитектуры, и даже с точки зрения использования элементарного шифрования передачи данных. Изначально Samsung даже репорты об этих уязвимостях игнорировал, но сейчас вроде начал шевелиться немного. Короче, никогда такого не было, и вот опять! https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities