кстати, о взломах домашних IoT устройств. я писал на прошлой неделе о релизе исходного кода Mirai — ботнета для организации DDoS аттак с помощью смартгаджетов. тут интересный анализ дефолтных паролей из всех этих гаджетов. 60 "вшитых" паролей позволяют "достичь" 500 тысяч гаджетов https://www.grahamcluley.com/mirai-botnet-password/

ФБР хочет опять заставить Apple разблокировать еще один iPhone, который принадлежал террористу Dahir Adan, напавшему в сентябре на посетителей торгового центра. ФБР не раскрывает модель устройства и версию ОС там, но это может стать повторением истории с исками, слушаниями в конгрессе и тд, как уже было с телефоном террориста из Сан Бернардиноhttp://www.infosecurity-magazine.com/news/fbi-needs-access-to-another-iphone?utm_source=twitterfeed&utm_medium=twitter

Facebook выпустил функцию "секретных чатов" в своем мессенджере, там end-to-end encryption. вот инструкция, как их использовать, чтобы избегать потенциального перехвата сообщений злоумышленниками и другими заинтересованными лицами https://techcrunch.com/gallery/how-to-encrypt-facebook-messenger/

минутка юмора на канале (тем не менее, все равно на тему инфосека). как в будущем у пользователей будут вымогать деньги различные "умные" домашние гаджеты

на выходных была забавная тема про то, что в кабинете министров Великобритании почему-то запретили приходить с Apple Watch, опасаясь "взломов русскими агентами", как пишут СМИ. Кстати, смартфоны там запретили еще раньше по той же причине. правда, как именно Apple Watch могут быть взломаны и использованы для прослушки, британцы не объясняют. возможно, это были результаты исследования британскими учеными, они и не такое придумывают. http://www.techweekeurope.co.uk/security/apple-watch-banned-cabinet-meetings-spy-fears-198848

если среди вас почему-то еще есть люди, у которых есть Flash, то вам нужно срочно обновиться до версии 23.0.0.185 или более поздней. Эта версия исправляет критическую уязвимость, которая позволяет злоумышленникам получить удаленный контроль над Маком (впрочем, к Windows или Linux тоже относится). вообще я не понимаю, почему люди до сих пор этим говном пользуются. там же дыр больше, чем полезной функциональности. Apple надо было купить в свое время Adobe и закрыть Flash вообще нафиг.

1700 читателей, привет! наверняка среди вас много пользователей Android. Чисто теоретически, если взять долю по смартфонам, то можно было бы сказать, что из вас примерно 1500 должно быть с Android, остальные с iPhone. но поскольку многие из вас пришли из моего же твитора, то, допускаю, что разделение между iPhone и Android немного другое. но неважно, я отвлекся. я на самом деле хотел рассказать о том, что там Коммерсант ознакомился с отчетом компании Group-IB, которая сообщила в этом самом отчете про то, что злоумышленники за год похитили почти 350 млн рублей со счетов в российских банках при помощи троянов для Android. Помните, я тут уже рассказывал как-то про троян, который блокирует звонки в службу поддержки банков, и в базе этого трояна в том числе были и номера телефонов российских банков. вот, собственно, уверен, эти две новости связаны. можно, конечно, рассказывать о том, что пользователям Android не стоит устанавливать софт откуда попало, но с учетом количества троянов прямо в Google Play этот совет все больше устаревает. но iPhone вы же не хотите покупать? Короче, берегите себя там как можете! http://www.kommersant.ru/doc/3114163

ну вот, кто-то прочитал предыдущее сообщение и сбежал, теперь у нас снова не 1700 читателей. наверняка это был какой-то владелец Android, тонкая душевная организация которого не выдержала информации о троянах под его любимую ОС

в качестве бонуса для оставшихся 1699 читателей — информация об очередной утечке, в этот раз — 58 миллионов записей, включая имейл, дату рождения, имя, адрес и номер телефона. Данные были украдены из незащищенной базы данных MongoDB компании Modern Business Solution, о которой вы, скорей всего, никогда не слышали (я тоже, например, не слышал). Фишка в том, что компания — из области B2B, то есть это такой хостинг баз данных для других бизнесов, так что если даже вы напрямую там ничего не хранили, возможно, что кто-то из клиентов MBS хранил там ваши данные. как и обычно в таких ситуациях, на помощь спешит https://haveibeenpwned.com/, у которого уже есть доступ к утекшей базе MBS, и вы можете проверить наличие своей информации там. вот тут немного больше информации про утечку из MBS https://www.riskbasedsecurity.com/2016/10/modern-business-solutions-stumbles-over-a-modern-business-problem-58m-records-dumped-from-an-unsecured-database/

парочка ссылок от читателя Виктора, который поделился информацией в почту. В частности, ссылка 1: про уязвимость, которая позволяет одним социальным сервисам получать информацию о том, залогинены ли вы в другой социальный сервис. лечится, например, установкой плагина в браузер (но safari не поддерживается) https://robinlinus.github.io/socialmedia-leak/. Ссылка 2: статья в медузе, где они пересказывают то, что уже какое-то время назад было известно: используя информацию из гироскопа или батарейки, можно получить информацию о владельце смартфона. это, в целом, не новость, но повторить это будет не лишним https://meduza.io/feature/2016/10/14/giroskop-i-batareyka-shpionyat-za-vami

ну и ни дня без новостей про IoT, потому что it never ends, this shit. Akamai пишет о том, как с помощью эксплуатации уязвимости 12-ЛЕТНЕЙ!!! давности в SSH строятся ботнеты из IoT-барахла. вот информация об этой уязвимости http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1653, вот пост у Akamai об этоhttps://blogs.akamai.com/2016/10/when-things-attack.html, а вот ПДФ с детальной информацией https://regmedia.co.uk/2016/10/13/sshowdown-exploitation-of-iot-devices.pdf

сегодня мы вкрации поговорим о "безопасных" приложениях — тех приложениях, которые обещают безопасно хранить ваши данные, например, тексты или фотографии. Если вы пользуетесь подобными приложениями на Android, то у меня для вас плохие новости. почитайте вот статью, как с помощью молотка и какой-то матери можно получить доступ к материалам, хранящимся внутри подобных приложений. мораль статьи такова, что большинство разработчиков таких программ сами толком нихрена не смыслят в безопасности и в итоге обманывают пользователя несбыточными обещаниями http://bbqand0days.com/Password-Storage-In-Sensitive-Apps/

добрый вечер. с вами в эфире очередные новости из мира информационной опасности. например, странная история про журнал о диабете, который опубликовал логин и пароль к своей базе данных прямо у себя на сайте.

в рамках постоянных взломов и утечек информации из почты (то демократической партии, то штаба клинтон) эксперты взглянули на почтовые сервера трампа. а там.... Win2k3, и IIS 6.0. короче, "заходи, кто хочет, бери что хочешь"

тут Vice пишет о том, как в России планируют монтировать на базовых станциях для сотовой связи подавители сигналов, которые типа как должны сбить с толку ракеты. вообще вся эта военная истерия, конечно, наводит депрессию и вызывает желание начать компать бункер, как в Cloverfield Lane 10 http://motherboard.vice.com/read/russia-plans-to-turn-civilian-cell-phone-towers-into-cruise-missile-jammers