Привет! Совсем недавно вот тут (https://t.me/alexmakus/2303) я писал о том, что недавняя вспышка негативных статей напоминает спланированную акцию по дискредитации Телеграм: «Вообще беглый гуглинг показывает прям какую-то вспышку новостей про страшно уязвимый и небезопасный Телеграм, как будто это какая-то спланированная кампания по дискредитации мессенджера. (собакаподозревака.жпг)»

А вот Султ Сулейманов из Медузы не поленился и собрал подтверждающую эту теорию информацию - и как появляются такие статьи, и как их распространение форсят организации, основной задачей которых как раз является распространение подобной информации. Так что фильтруйте то, что вы видите, это бывает полезно :)

https://meduza.io/slides/za-dve-nedeli-smi-soobschili-srazu-o-pyati-uyazvimostyah-telegram-aktivnee-drugih-pro-nih-pisala-fabrika-media-evgeniya-prigozhina

Мне тут читатель сбросил ссылку на одно СМИ, которое я не хочу тут цитировать, с практически сенсационным заголовком о том, как пентагон заказал разработку анонимного мессенджера («документы есть в распоряжении редакции!!!!111!!!»). В распоряжении редакции канала такие документы, между прочим, тоже есть! Примерно такой же исследовательский проект, как и тот, из которого вырос сам интернет - анонимный мессенджер, способный функционировать в рамках одной сети, при нарушении целостности этой сети и при вредоносных действиях противников. Главное - подать эту новость подраматичнее!

https://www.darpa.mil/attachments/RACEProposersDayBriefing7-31-18.pdf

Как манипуляции ботнетом из устройств с высоким потреблением энергии (кондиционеры, нагреватели) могут помочь создать вектор атаки на энергосистемы - концепция исследователей
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-soltan.pdf

Кстати, о секретных коммуникациях. Reuters пишет о том, что правительство США склоняет Facebook на то, чтобы компания «приоткрыла» шифрование в Messenger для того, чтобы записать разговоры какого-то подозреваемого в одном уголовном расследовании. Facebook использует, насколько я помню, для своего Messenger технологию шифрованного мессенджера Signal, и, по сути, правительство требует от ФБ написать бэкдор к Messenger, а FB сопротивляется. Ситуация в какой-то мере похожа на то, как ФБР пыталась заставить Apple сделать специальную версию iOS для взлома телефона террориста, хотя с электронными коммуникациями там есть какое-то законодательство и прецеденты в США, которые могут привести к тому, что ФБ придётся таки сдаться. Короче, тоже интересный кейс.

https://www.reuters.com/article/us-facebook-encryption-exclusive/exclusive-u-s-government-seeks-facebook-help-to-wiretap-messenger-sources-idUSKBN1L226D

АПД. Похоже, что всё-таки тут немного сложнее история. Кажется, речь идёт о SDES-протоколе, а не о протоколе Signal, который используется для секретных чатов, но при этом не распространяется на голосовые сообщения, и в этом случае ключи могут сохраняться на серверах фейсбука, что делает юридическую защиту ФБ более уязвимой в этой ситуации.
https://www.theverge.com/2018/8/20/17759552/facebook-messenger-wiretap-fbi-law-ms13-gang-member

Привет. С вами снова редакция плохих новостей. Компания Digital Content Next провела исследование о том, сколько информации о пользователях собирает Google.

Изучение активных и пассивных коммуникаций устройств и приложений пользователя с Google позволило собрать огромную картину того коллекционирования информации, которое осуществляет Google. Из этого исследования вы узнаете, например, что обычный телефон с Android и открытым браузером Chrome обращался к серверам Google 340 раз (35% из этих коммуникаций составляла информация о местоположении пользователя). Для исследования использовались данные как из экспорта Google, так и перехват коммуникаций с доменами Google. Короче, если у вас телефон с Android, то Google знает о вас примерно все. Если телефон с iOS, то тоже знает многое, но теоретически - гораздо меньше.

Все 55 страниц отчета - по ссылке
https://digitalcontentnext.org/wp-content/uploads/2018/08/DCN-Google-Data-Collection-Paper.pdf

Если тут есть пользователи почтового клиента AirMail на macOS, вам будет интересно почитать об уязвимости в приложении, которое позволяет злоумышленнику получить доступ ко всей вашей почте

https://versprite.com/blog/security-research/phishing-airmail3-mac/

АПД уже вышел фикс уязвимости
http://airmailapp.com/features

Медицинское оборудование с уязвимостями, которые позволяют получить полный контроль над устройством (хорошо хоть не удаленный) - никогда такого не было, и вот опять!

https://www.usa.philips.com/healthcare/about/customer-support/product-security

Оказывается, если найти незаблокированный компьютер, да подключить к нему специальный кабель с вредоносным ПО, то можно сделать какие-нибудь неприятности. Интересно, а что мешает делать неприятности без кабеля, раз уж все равно есть физический доступ к незаблокированному компьютеру? https://xakep.ru/2018/08/21/usbharpoon/

А вот тут пишут, что в Скайп наконец-то завезли оконечное шифрование разговоров. В духе Microsoft для использования шифрованных оконечных чатов надо:
- специально активировать функцию
- чаты не включены по умолчанию
- на одном устройстве может быть только один приватный разговор в один момент времени (што?)
https://mspoweruser.com/skypes-end-to-end-encrypted-private-conversations-feature-now-available-across-platforms/

Умная розетка, эксплуатация уязвимости в которой позволяет злоумышленникам получать доступ к другим умным устройствам в домашней сети. Все как я люблю
https://securingtomorrow.mcafee.com/mcafee-labs/insight-into-home-automation-reveals-vulnerability-in-simple-iot-product/

Привет! Сегодня как-то много хороших новостей сразу набралось:

- уязвимость в фреймворке Apache struts, позволяющая удаленному злоумышленнику получить контроль над сайтом
https://lgtm.com/blog/apache_struts_CVE-2018-11776

Апдейт уже вышел, есть смысл обновиться
https://thehackernews.com/2018/08/apache-struts-vulnerability.html

- уязвимость в MS Office 2016 для Мака. Там обходится проверка подписи в установщике, что приводит к эскалации привелегий до рутовых. Опасно, если, например, кто-то решил сэкономить и скачать установщик из какого-нибудь торрента. Тоже вышел апдейт, версия 18081201. Вы знаете, что делать.

https://medium.com/0xcc/cve-2018-8412-ms-office-2016-for-mac-privilege-escalation-via-a-legacy-package-7fccdbf71d9b

я как-то писал здесь про VPN-клиент Onavo, который принадлежит Facebook, и о том, как он на самом деле собирает различную информацию о пользователях и отправляет её в ФБ (https://t.me/alexmakus/1770, и еще тут https://t.me/alexmakus/1823). Так вот, хорошие новости в этом случае заключаются в том, что Apple удалила это приложение из App Store за нарушение правил магазина (точнее, заставила ФБ убрать его). Основания, которые озвучила Apple: создание базы данных с пользовательской информацией и передача её третьим сторонам, а также тот факт, что информация собираемая Onavo, не входила в ключевую функциональность VPN-клиента, и использовалась для последующего анализа. Представитель Facebook заявил, что «мы всегда следуем правилам платформы, и приложение всегда чётко давало понять, какую информацию оно собирает и как она используется».

Статья в WSJ, но там требуется подписка
https://www.wsj.com/articles/facebook-to-remove-data-security-app-from-apple-store-1534975340

https://twitter.com/_noid_/status/1032388306284081152?s=21

Я во второй фазе, но я все равно terrified

А вот мне пришёл фишинг, видимо

А вот это круто - Fortnite стал за включение двухфакторной авторизации выдавать бонус, и вот результат

А тут мобильный оператор T-Mobile рассказывает об утечке примерно 2 миллионов записей о клиентах - имена, номера телефонов, имейлы и другая информация
https://www.t-mobile.com/customers/6305378821