Приветствую новоподписавшихся. Теперь вас уже больше 2 тыс. в качестве бонуса — информация об уязвимости в роутерах Zyxel (и, возможно, других производителей), которая позволяет получить контроль над этими роутерами и объединить их в ботнет-сеть. конкретно это вроде как затрагивает пользователей в Германии, которые получили роутер от Deutsche Telekom, но, возможно, что чревато и для других пользователей этих роутеров. А вообще дальше будет только хуже с этими всеми бесконечными уязвимостями и "компьютеризацией" всего http://arstechnica.com/security/2016/11/notorious-iot-botnets-weaponize-new-flaw-found-in-millions-of-home-routers/?amp=1

Тут, кстати, убер собрался трекать информацию о вашем местоположении даже после того, как закончилась поездка. Паранойя паранойей, но раздавать о себе лишнюю информацию я не люблю и вам не советую

с утра (у меня, по крайней мере) — хорошие новости. вчера я писал о проблеме спама в виде календарных уведомлений в iCloud. вот еще дополнительная статья о том, как с этим бороться http://www.imore.com/getting-spam-invitations-your-calendar-app-heres-fix но более важно то, что Apple подтвердила, что они в курсе этой проблемы и работают над более лучшей идентификацией и блокировкой такого спама.

и вот да, прежде чем лететь в/на Марс, надо разобраться с ботнетами камер, холодильников и пылесосов

в конце недели было несколько интересных новостей про атаки хакеров на центральный банк РФ. Сначала ФСБ заявила о том, что хакеры готовят атаки на финансовую систему России, причем там какие-то странные детали про серверные мощности в Нидерландах, которые принадлежат украинской компании https://republic.ru/posts/76918. потом появляется новость на CNN о том, что у Центробанка в 2016 году все-таки украли 2 млрд рублей (хотя пытались 5 млрд) http://money.cnn.com/2016/12/02/technology/russia-central-bank-hack/index.html, но потом ЦБ РФ опроверг о том, что деньги украли http://tass.ru/ekonomika/3837920 Подозреваю, что какой-то там огонь за этим дымом есть, хотя в целом, конечно, как-то много мути и, скорей всего, дезинформации со всех сторон

ну и в лучших традициях моей любви к IoT-устройствам. Из Финляндии пишут о том, что в результате DDoS атаки было отключено управление отоплением в нескольких домах на востоке Финляндии. На систему управления подачи отопления и горячей воды было направлено большое количество трафика с целью нарушения работоспособности системы. Зимой, да еще в такой северной стране, как Финляндия, это может быть чревато. Вопрос в том, кому дался какой-то там городишко в далекой и мирной Финляндии? http://metropolitan.fi/entry/ddos-attack-halts-heating-in-finland-amidst-winter

в статье об язвимостях в операционной системе Red Star 3.0 (это такая ОС из Серверной Кореи — очень сложно было удержаться от этой шутки. ладно, Северной Кореи, на базе Linux) самое интересное это даже не информация об уязвимостях, а скриншот интерфейса и его схожешь, скажем так, с ОС одной там яблочной компании :) https://www.myhackerhouse.com/redstar-os-3-0-remote-arbitrary-command-injection/

> (null)
язвимостях

конечно, имелось в виду "уязвимостях", но вы и так все поняли, я уверен

ну и в качестве новогодних подарков (в крайнем случае — подарков на первое апреля) рекомендую прикупить устройство USB Killer. при втыкании в USB-порт вполне может "поджарить" устройство. вот, например, что происходит при втыкании устройства в ноутбук https://www.youtube.com/watch?v=_TidRpVWXBE, вот в автомобиль https://www.youtube.com/watch?v=QbEFzayA3-g. а вот в PS4/Xbox https://www.youtube.com/watch?v=zXMEeIRAa_g. а тут они поджарили кучу телефонов и ноутбуков https://www.youtube.com/watch?v=faKX_P1Be50&rel=0 купить можно тут https://www.usbkill.com/usb-killer/8-usb-killer.html

здравствуйте! сегодня у нас день ссылок, которые прислали читатели (за что им большое спасибо!) Например, вот взломали сервис для видеошаринга DailyMotion, украдены 87.6 млн записей. взлом произошел в октябре 2016 года. у 18 млн утекших записей есть и информация о паролях (правда, они там хорошо зашифрованы, но при желании хакеры могут при наличии желания этим заморочиться) поискать себя в базе утекших аккаунтов можно на https://www.leakedsource.com

сразу два читателя прислали ссылки на материал на одну и ту же тему — "Эксперты предупредили Конгресс США, что рост количества бытовых устройств, подключенных к интернету без обеспечения должной безопасности, представляет собой серьезную угрозу жизни и собственности людей." тут об этом можно почитать на русском http://reed.media/iot-security/, а здесь — на английском https://www.technologyreview.com/s/603015/security-experts-warn-congress-that-the-internet-of-things-could-kill-people/ Короче, вот эти все подключения к интернету всего подряд ни к чему хорошему не приведут

ну и закрывает этот парад ссылок сегодня еще одна статья о том, как исследователи придумали метод брутфорса для подбора данных по карте — номера, даты окончания срока и даже CVV-кода. на русском об этом здесь https://xakep.ru/2016/12/05/visa-brutforce/, оригинал отчета на английском в PDF тут http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf

но кроме ссылок от читателей у меня для вас есть в качестве бонуса на сегодня еще парочка новостей. например, вот исследование о бэкдоре в IP-камерах Sony, который делает их уязвимыми для того же ботнета Mirai. по ссылке — интересная техническая информация об этом бэкдоре http://blog.sec-consult.com/2016/12/backdoor-in-sony-ipela-engine-ip-cameras.html

а если вы — пользователь Android и используете приложение AirDroid (сервис для того, чтобы передавать файлы и уведомления между телефоном и компьютером, и в том числе получать на компьютер текстовые сообщения), то у меня для вас плохие новости. в этом самом AirDroid были обнаружены множественные уязвимости, которые позволяют злоумышленнику перехватывать пользовательскую информацию и даже исполнять код на телефоне. Все это связано с тем, как у AirDroid происходит авторизация устройства и передача статистики (там используется захардкоженный авторизационный ключ, молодцы, хаха). по оценкам экспертов, у AirDroid примерно 50 млн пользователей, так что чисто статистически, наверняка, среди читателей этого канала тоже такие есть. Короче, разработчики AirDroid пообещали исправить эту лажу, ну а вы пока что берегите там себя и свою информацию, она опасносте! https://blog.zimperium.com/analysis-of-multiple-vulnerabilities-in-airdroid/

если я в какой-то день не пишу апдейты в канал, то это не означает, что их нет! (это означает, что либо я ленивый балбес, либо же сильно занятый ленивый балбес). ну так вот, сегодня у меня для вас очередной привет из мира опасных IoT-устройств, и в этот раз это — детские игрушки. потому что создатели игрушек тоже не лыком шыты, и давай пихать в игрушки камеры, вайфай, процессоры, операционные системы и прочую лабуду. И внезапно оказывается, что о безопасности таких игрушек особо никто не подумал, и получается, что к таким игрушкам могут подключаться злоумышленники, подглядывать за детьми, получать через игрушки скрытые маркетинговые месседжи, и тд. потребительский совет в Норвегии изучил такие игрушки и пришел к выводу, что там часто случается жопа в приватности и информацинной безопасности. короче, старые добрые деревянные кубики — самый безопасный вариант! по ссылке — статья о проблеме http://www.forbrukerradet.no/siste-nytt/connected-toys-violate-consumer-laws/

как на Windows распространяется вымогательный зловред Karma (через всякие штуки типа "оптимизиторов" Windows, например) https://www.grahamcluley.com/bad-karma-ransomware-piggybacks-free-software-downloads/

а вот тут читатель Сергей прислал ссылку (за что ему большое спасибо) на интересный пост в ФБ об опасностях, подстерегающих пользователей бесплатных сторонних почтовых клиентов вроде Spark, которые получают полный доступ к вашим почтовым ящикам, а затем еще на своем сервере хранят информацию о доступе к этому ящику, и в случае взлома сервера компании-разработчика такого почтового клиента чревато, что ваш основной почтовый ящик тоже будет взлома. Так что берегите там себя и вот это всё! https://www.facebook.com/virlof/posts/1160412887388592

тут вот еще одна ссылка от читателя — об уязвимости в почтовом сервере Roundcube, которой можно воспользоваться, просто послав определенное письмо на сервер https://blog.ripstech.com/2016/roundcube-command-execution-via-email/

кстати, раз уж об уязвимостях в опен-сорсе. вот, например, баг в кернеле Линукса, позволяющий эскалировать привелегии до рута, такие дела http://seclists.org/oss-sec/2016/q4/607