А вот так выглядит само сообщение на айфоне (я не мог выдержать час без телефона, прислали друзья)

А вот и статья от Элкомсофт по поводу этой фичи. Ребята уже проверили, как она работает (там не только час с последней разблокировки, но и час с момента отключения от доверенного устройства), и подтвердили, что все так и есть - никаких данных через USB не передаётся.
https://blog.elcomsoft.com/2018/06/ios-11-4-1-beta-usb-restricted-mode-has-arrived/

Сосед в самолёте защищал информацию от опасносте как мог (стикер на камере ноутбука)

Принятый Госдумой в третьем чтении закон о "штрафах за VPN" - это пока не про частных пользователей, хотя невнимательного читателя и могут напугать слова про "физических лиц". Нет, речь там о поисковиках, которые выдают ссылки на средства обхода, а физические лица - это уже сотрудники поисковиков или платформ. Так что самое главное - лично вам за использование VPN ничего не грозит, во всяком случае, пока. Даже при нашей правоприменительной практике, правовой грамотности и прочем.

Как это будет работать для тех, кого касается - вообще непонятно, потому что пока Роскомнадзор во главе с тайным агентом свободного интернета Александром Жаровым, да продлит Аллах его дни, никакие анонимайзеры и VPNы не блокирует и, опять же, как будет блокировать - непонятно, потому что имя им - легион и сервисы эти поизворотливее Telegram будут на порядки. Кстати, Telegram на прошлой неделе полностью оправился от небольшого урона, нанесенного блокировками и работает чуть ли не стабильнее, чем до них.
И вот еще вопрос, касается ли новый закон маркетплейсов. По идее вроде бы да, иначе он совсем бессмысленный. Но если Apple и Google вот уже почти два месяца шлют Роскомнадзор лесом по вопросу блокировки одного Telegram, то кучу приложений они быстро сдадут? Да, я в курсе насчет Apple в Китае, но в том и дело, что Россия не Китай. А если Google Play не сдаст VPN, то какой смысл резать выдачу ссылок в сервисе поиска? А если у него будут VPNы в выдаче, а у Яндекса - нет, Google получает неплохое конкурентное преимущество, интересный получается закон в интересах западного гиганта, конкурирующего с отечественным сервисом.

Запугают ли штрафы? 700 000 рублей - это 10 000 евро, Google столько может хоть каждый день платить, 3.5 миллиона в год - это для него плюнуть и растереть. Блокировка? Ну так по истории с Telegram видно, что блокировать сервисы Google могут, но лишь случайно, в результате коврововго бомбометания, а политического решения о блокировке гигантов - нет, а если будет, его не избежишь. Короче, вопросов сильно больше, чем ответов. Ну а для нас ответ как обычно один - запасаться средствами обхода блокировок. Если у вас есть какое-то одно, изучите еще одно-два и отложите их в надежное место, пригодится.

Привет. После небольшой паузы продолжаем трансляцию нашего канала, у которого с такой же эффективностью название могло бы быть «плохие новости». В частности, если вы пользуетесь WhatsApp, вам будет не лишним напомнить о том, что бекапы даже шифрованных сообщений в приложении хранятся в облаках Apple и Google незашифрованными. Об этом внезапно вот узнал Пол Манафорт, который находится под следствием в США, и который пытался уговорить свидетеля изменить свои показания. Но при этом переписывался со свидетелем по WhatsApp с целью уговорить его изменить показания, и правоохранительные органы получили эту переписку. Так что если совершаете преступление, то озаботьтесь тем, чтобы не оставлять лишние следы (не бекапиться в облако). Хотя, впрочем, «не совершать преступления» - тоже вариант.

УТОЧНЕНИЕ изначальная формулировка была недостаточно корректная, поэтому уточню. Бекап сообщений в этом случае был в общем архиве бекапа устройства, которое создаёт iOS в iCloud. Apple имеет доступ к ключам этого бекапа, и по законным запросам правоохранительных органов может выдавать содержимое бекапа. Это и произошло в случае с Манафортом. А вообще можно сделать так, чтобы данные какого-нибудь приложения в бекап в iCloud не попадали. Учите матчасть, RTFM и вот это все.
(Бекапы очень важны, как знают те, кто уже посмотрел последнюю серию Westworld :))

https://motherboard.vice.com/en_us/article/zm8q43/paul-manafort-icloud-whatsapp-bad-opsec-witness-tampering

Почему все эти сервисы по анализу ДНК - не очень хорошая идея? Мало того, что они могут продавать эти данные страховым компаниям (а это, в свою очередь, может вызвать повышение страховой премии, например, если вы по анализу ДНК находитесь в какой-то группе риска). Но есть и более тривиальный рейс, когда данные могут просто украсть. Например, сервис MyHeritage пролюбил записи на 92 миллиона своих пользователей, включая имейлы и пароли в хэшах. Сами данные анализа ДНК не утекли вроде как, но это не означает, что подобное не может произойти и с другим сервисом. И неизвестно, куда такие данные могут попасть и что с ними будут делать получатели. В общем, все это только усиливает паранойю :(

https://blog.myheritage.com/2018/06/myheritage-statement-about-a-cybersecurity-incident/

Но есть и хорошие новости. Ритейлеры начинают понемногу осознавать опасности подключённых игрушек, и предпринимают меры для того, чтобы уменьшить их распространение. Например, вот Amazon, Walmart и Target - одни из крупнейших магазинов в США (онлайн и оффлайн) приняли решение не продавать игрушки CloudPets бренда Spiral Toys после того, как им продемонстрировали новые уязвимости, которые подвергают пользовательскую информацию опасносте.

https://www.cnet.com/news/amazon-will-stop-selling-connected-toy-cloud-pets-filled-with-security-issues/

Привет! Помните VPNfilter, вредоносное ПО, заражающее роутеры? Я писал о нем тут (https://t.me/alexmakus/2104). Там шла речь о заражении 500 тыс роутеров нескольких производителей. Так вот, тут оказалось, что все немножко хуже. Оказалось, что в дополнение к уже обнаруженным устройствам от Linksys, MikroTik, Netgear и TP-Link добавились новые устройства от этих производителей, а также роутеры ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. Кроме того, там обнаружился третий модуль, способный доставлять вредоносное ПО на конечные устройства методом перехвата трафика. Детали по ссылке, включая список уязвимых устройств.

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

Facebook опять немножко отличился. Баг в их системе привёл к тому, что у 14 миллионов пользователей на протяжении нескольких дней в мае статус видимости постов изменился на по умолчанию публичный, даже если до этого были другие, более ограниченные статусы

https://techcrunch.com/2018/06/07/facebook-status-privacy-bug/

Кстати про Фейсбук. Читатель прислал хорошую ссылку на то, как на самом деле должно выглядеть пользовательское соглашение на Фейсбук, чтобы пользователи лучше понимали, на что они подписываются
https://signupforfacebook.org/

Типа хорошие новости? (Правда, Амазон пока все равно сильно блокирован)

Доп. Основная версия, что делается это на время ЧМ, а потом могут и опять прикрыть.

ВНЕЗАПНО 08 июня 2018 года в 19:08 по Москве Роскомнадзор разблокировал более 7 миллионов IP-адресов из заблокированных подсетями. Осталось заблокированными 3.7 миллионов адресов. Были разблокированы крупные подсети /10, /12 сервисов Amazon и подсеть хостинга Online.net 51.15.0.0/16

Итого сейчас 76.5% заблокированных IP-адресов составляет Amazon AWS (это чуть меньше 3 миллионов IP-адресов, или 10% всего адресного пространства Amazon AWS), 13% заблокированных IP-адресов составлют адреса облачного хостинга DigitalOcean, 3.5% - Microsoft, и все остальные по мелочи.

Неизвестно, что стало причиной такого демарша.

Из рубрики «никогда такого не было и вот опять» - критическая уязвимость в Adobe Flash, приводящая к исполнению кода, есть апдейт, вы знаете что делать!

https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

Привет! У вас там выходной, ну и что? 🙂 В качестве (относительно) развлекательной истории можно почитать о том, как китайцы взломали систему подрядчика военно-морского флота США и украли кучу информации, включая планы по разработке новых ракет, коммуникационную криптографическую информацию, и много всего другого — 614ГБ данных.

https://www.washingtonpost.com/world/national-security/china-hacked-a-navy-contractor-and-secured-a-trove-of-highly-sensitive-data-on-submarine-warfare/2018/06/08/6cc396fa-68e6-11e8-bea7-c8eb28bc52b1_story.html

АПД Пишут, что статья в WP требует подписку, поэтому вот рерайт статьи на The Verge, без подписки
https://www.theverge.com/2018/6/9/17444312/chinese-hackers-reportedly-stole-data-related-to-secret-projects-from-a-us-navy-contractor

Подъехали новые санкции против россиян и российских компаний (точнее, в список просто добавили новых людей и новые компании) — это в благодарность за кибератаки и вот это все (там есть несколько ливийцев — это по каким-то там ливийским делам, но также три россиянина и 5 российских компаний)

https://www.treasury.gov/resource-center/sanctions/OFAC-Enforcement/Pages/20180611.aspx

Парочка твитов о том, как народ эксплуатирует микрокамеры в Корее для подглядывания за людьми (например, в туалетах). Камеры в обуви (для подглядывания под юбки), камеры в сигаретных пачках, и тд. Никуда не спрячешься скоро

https://twitter.com/koryodynasty/status/1005344196197171201

https://twitter.com/koryodynasty/status/1005463374413508609

И снова здравствуйте. Продолжаем трансляцию плохих новостей. Разработчик камер безопасности Foscam выпустил апдейт прошивки к своим камерам, потому что в камерах были обнаружены уязвимости, позволяющие злоумышленникам получить root-доступ, зная только IP-адрес камеры.

описание уязвимостей и как это все работает, есть тут
https://blog.vdoo.com/2018/06/06/vdoo-has-found-major-vulnerabilities-in-foscam-cameras/

https://threatpost.com/foscam-issues-patches-for-vulnerabilities-in-ip-cameras/132738/

Конгресс США опубликовал документ с ответами Facebook на вопросы конгрессменов, которые они задавали Марку Цукербергу, но он не знал ответов и обещал потом прислать их письменно. Если у вас есть много свободного времени, 225 страниц документа ждут вас:

https://www.commerce.senate.gov/public/_cache/files/ed0185fb-615a-4fd5-818b-5ce050825a9b/62027BC70720678CBC934C93214B0871.senate-judiciary-combined-7-.pdf

А мне оттуда показался интересным список информации, которую Facebook собирает о пользователях (вопрос 76 и местами по тексту. Не все из этого очевидно для пользователей (например, уровень батарейки, доступное место на диске, покупки на других сайтах, и тд):

1. information from "computers, phones, connected TVs, and other web-connected devices," as well as your "internet service provider or mobile operator"
2. "mouse movements" on your computer
3. "app and file names" (and the types of files) on your devices
4. whether the browser window with Facebook open is "foregrounded or backgrounded," and time, frequency, and duration of activities
5. information about "nearby Wi-Fi access points, beacons, and cell towers" and "signal strength" to triangulate your location ("Connection information like your IP address or Wi-Fi connection and specific location information like your device's GPS signal help us understand where you are," said a Facebook spokesperson.)
6. information "about other devices that are nearby or on their network"
7. "battery level"
8. "available storage space"
9. installed "plugins"
10. "connection speed"
11. "purchases [users] make" on off-Facebook websites
12. contact information "such as an address book" and, for Android users, "call log or SMS log history" if synced, for finding "people they may know" (Here's how to turn off contact uploading or delete contacts you've uploaded.)
13. information "about how users use features like our camera" (The Facebook spokesperson explained, "In order to provide features like camera effects, we receive what you see through camera, send to our server, and generate a mask/filter.")
14. "location of a photo or the date a file was created" through the file's metadata
15. information through your device's settings, such as "GPS location, camera, or photos"
16. information about your "online and offline actions" and purchases from third-party data providers
17. "device IDs, and other identifiers, such as from games, apps or accounts users use"
18. "when others share or comment on a photo of them, send a message to them, or upload, sync or import their contact information"

NOT CREEPY AT ALL

Парочка ссылок про всякие приколы в мире Apple:

1. Обнаружили древнюю лажу (11 лет!) в macOS, которая позволяла вредоносным приложениям выглядеть, как будто они были подписаны сертификатом Apple. Проблема даже не в самой системе, а в документации, которая вызывала путаницу, и Apple пообещала обновить документацию, чтобы такое не повторялось

https://www.okta.com/security-blog/2018/06/issues-around-third-party-apple-code-signing-checks/

Вот материал на русском языке
https://xakep.ru/2018/06/13/code-signing-bug/

2. А вот еще интересный концепт о том, как Siri может быть использована для фишинга
http://fortune.com/2018/06/09/apple-iphone-siri-ios-ai-phishing-scam/

3. Apple, похоже, решила серьезно закрутить гайки в App Store по поводу приложений, выгребающих адресные книги пользователей (и потом использующие их для продажи данных)
https://www.bloomberg.com/news/articles/2018-06-12/apple-cracks-down-on-apps-sharing-information-on-users-friends

"ФСБ и Роскомнадзор в течение года предпринимали попытки побудить Telegram изменить архитектуру мессенджера. Мы считаем, что структура любого мессенджера может быть изменена для приведения в соответствии с российским законом. Поэтому мы считаем, что Telegram имеет техническую возможность предоставить ключи для дешифрования", - пояснила суду представитель Роскомнадзора.

http://tass.ru/obschestvo/5289890

Это так хорошо, что даже очень хорошо. Я бы сказал, что это отличный троллинг, но, боюсь, они это серьезно