Или, например, можно детей или соседей пугать муляжом камеры наблюдения

Времена Нового Йорка пишут о подрядчике Агентства Национальной Безопасности, с компьютера которого были украдены инструменты Агентства и в последствии опубликованы в Интернете группировкой Shadow Brokers
https://www.nytimes.com/2017/12/01/us/politics/nsa-nghia-pho-classified-information-stolen-guilty.html

кстати, о средствах наблюдения (там выше я писал про камеру, замаскированную под датчик движения). как насчет винтика, в котором встроена камера? Можно купить на eBay за 30 долл.

а вот тут все как я люблю. автор рассказывает о приложении, которое использует детский сад, в который ходит его дочь. Приложение позволяет следить за активностями детей, загружать фотографии, и связываться с воспитателем. Автор просниффил трафик приложения и через 5 минут он мог просмотреть информацию по любому садику, получить данные по 150 тысячам родителей, включая адрес, номер телефона, имена, фотографии и тд. Более того, мог создать левый "садик" и пригласить туда других детей. НУЖНО БОЛЬШЕ БЕЗОПАСНОСТИ!

У издания Bell (признаться, до этого дня я о них не слышал ни разу, но эту ссылку мне прислали уже неоднократно) вышло интересное расследование о российских хакерах, которые причастны к атакам на сервера Демократической партии США (и, подозреваю, не только на них). Не знаю, насколько этой информации можно доверять, но в целом увлекательный материал. Чего только стоит тот факт, что материал о хакерах в США передали высокопоставленные сотрудники ФСБ.
https://thebell.io/kak-amerika-uznala-o-russkih-hakerah/

Есть такая приложунька — AI.type, модная клавиатура, у которой, по словам её разработчиков, около 40 млн пользователей. Так вот, на сервере этого приложения обнаружили базу данных с информацией о пользователях, которую, судя по всему, передавала клавиатура с телефонов пользователей. 577 гигабайт данных, среди которых почти 11 млн адресов электронной почты и 374 (ТРИСТА СЕМЬДЕСЯТ ЧЕТЫРЕ) миллиона номеров телефонов. Также, например, там были обнаружены списки приложений, установленных на телефонах пользователей, IP адреса пользователей, имена пользователей, даты рождения и фото. А также различную информацию об устройстве (IMEI, IMSI, производитель и модель, разрешение экрана, версия Android). Мало того, что какого хрена эта информация вообще собиралась, так еще и база данных не была зашифрована. Вот почему я не люблю все эти сторонние клавиатуры и всячески их избегаю (и вам рекомендую).

А, да, и что важно — похоже, что утекла информация только пользователей устройств с Android. Никогда такого не было, и вот опять.

http://www.zdnet.com/article/popular-virtual-keyboard-leaks-31-million-user-data/

MailSploit — набор уязвимостей в 30 популярных почтовых клиентах (Apple Mail (macOS, iOS и watchOS), Mozilla Thunderbird, несколько почтовых клиентов Microsoft, Yahoo Mail, ProtonMail), который позволяет обмануть встроенные механизмы и подставить любой почтовый адрес
https://thehackernews.com/2017/12/email-spoofing-client.html

Наши друзья из Elcomsoft еще на прошлой неделе опубликовали результаты исследования по изменениям системы безопасности в iOS 11, которая внезапно сделалась хуже, чем была до этого. https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/

Проблема заключается в возможности изменить пароль на устройстве (если у злоумышленника или представителя правоохранительных органов) каким-то образом уже есть пароль устройства, и в таком случае получить возможность создать новый бекап на компьютере. в чем же проблема? проблема в том, что зашифрованный бекап на компьютере содержит в себе гораздо больше информации, чем даже доступ к разблокированному iPhone, и с помощью инструментов, разработанных той же Elcomsoft, исследовать содержимое бекапа и вынуть из него информацию о связке ключей, пароль к учетной записи Apple ID, локальных бекапов и много другого. Причем это не бага в системе, это осознанное решение Apple https://support.apple.com/en-us/HT205220

Конечно, если у злоумышленника уже есть физический доступ к устройству и пароль от учетной записи пользователя, то это изначально большая проблема, но, похоже, Apple её существенно увеличила, добавив эту "фичу" в iOS 11. Короче, берегите себя и свои пароли!

Наверняка среди вас тут есть пользователи популярного решения для удаленного доступа к компьютеру TeamViewer. Будьте осторожны, в нем обнаружена уязвимость (https://github.com/gellin/TeamViewer_Permissions_Hook_V1), которая позволяет клиенту (тому, кто шарит свой экран) получить доступ к компьютеру того, кто просматривает удаленный экран, без каких-либо запросов с разрешениями. Уязвимость присутствует в версиях TV для Windows, Linux и Mac. Апдейты для версий TV уже должны выйти, так что не забудьте обновиться.

А вот хорошие новости для жителей Российской Федерации. РБК пишет, что "В России введут идентификацию устройств с подключением к интернету". Там, конечно, много всяких уточнений, что, мол, это против IoT устройств, устраивающих DDoS-атаки, и будут только идентификаторы устройств, а к владельцам их привязывать не будут, но мы-то, настоящие параноики, знаем, к чему это приведет (и поправил шапочку из фольги).
https://www.rbc.ru/technology_and_media/06/12/2017/5a26d5cc9a7947613a3511eb?from=main

Сервис шифрованной почты Proton теперь можно добавить в популярные почтовые клиенты типа Outlook или Apple Mail
https://protonmail.com/blog/encrypted-email-clients/

Биржу по майнингу биткойнов взломали и украли 4.7 тыс биткойнов (я бы сказал, сколько это в долларах, но уже завтра это будет на несколько миллионов больше или меньше). Никогда такого не было и вот опять https://www.facebook.com/NiceHash/posts/2012613285624474

И снова здравствуйте. В эту прекрасную пятницу (ведь пятница не может не быть прекрасной) у меня для вас только «хорошие» новости. Например, об уязвимости в яблочном HomeKit (API для управления умными гаджетами дома). Уязвимость позволяла получить доступ без авторизации к системе управления гаджетами и управлять ими. Уязвимость, как пишут журналисты, достаточно сложно воспроизвести, но тем не менее, она присутствует. О ней уже сообщили в Apple, и компания внесла необходимые изменения со стороны сервера, чтобы заблокировать воспроизведение этой уязвимости. Апдейт для пользовательских устройств HomeKit выйдет на следующей неделе. Важно отметить, что проблема была не в индивидуальных устройствах, а именно в самом HomeKit

вообще у Apple последние пару недель прям не чёрная полоса в плане безопасности, а какая-то прям жопа. То бага с рутом, то фикс, который ломал файл шаринг, то потом фикс, который откатывал ранее установленный фикс. Потом ещё бага 2 декабря, приводившая к респрингу айфонов, теперь ещё вот бага в HomeKit. не говоря уже о мелочах типа автозамены буквы I на кракозябры и потом замены it на I.T. Короче, очевидно, что нужно что-то менять в консерватории, а то несмешно даже уже.

если вы вдруг выдохнули («ну у меня-то Микрософт, я в безопасности»), то у меня для вас тоже плохие новости. По иронии судьбы, в механизме антивирусной защиты Microsoft (Malware Protection Engine) обнаружили уязвимость, приводящую к возможности удаленного исполнения кода (или исполнения удаленного кода?) - короче, Remote Code Execution (RCE), а если человеческим языком, то уязвимость позволяет злоумышленникам получить полный контроль над компьютером. Microsoft уже выпустила срочный апдейт, исправляющий эту уязвимость. Вы знаете, что делать (апдейт!) https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937

Помните, пару недель назад я писал о взломе Убера, в результате которого хакер украл 57 миллионов записей о пользователях Убера. У Reuters интересные детали о том, как Убер заплатил 100 тыс долларов этому хакеру, замаскировав выплату под «вознаграждение за обнаруженную уязвимость», а затем ещё исследовал его компьютер, чтобы убедиться, что данные действительно были удалены и не подлежат восстановлению
https://www.reuters.com/article/us-uber-cyber-payment-exclusive/exclusive-uber-paid-20-year-old-florida-man-to-keep-data-breach-secret-sources-idUSKBN1E101C

Ну и полезное на сегодня - список инструментов, использующихся группой Bellingcat для своих цифровых расследований

Читатель Тигран прислал ссылку на то, как оператор бесплатного WiFi в Старбакс в Бразилии (на самом деле в Аргентине, как подсказывают мне знатоки географии) первые десять секунд подключения использует для майнинга биткойнов. Я уже както писал о подобных штуках на различных сайтах, и, подозреваю, если пузырь биткойна не лопнет, то таких случаев будет все больше и больше. Нет чтобы инопланетные цивилизации искать — они биткойны майнят
https://twitter.com/imnoah/status/936948776119537665