кстати о ЦРУ. Тут читатель Лев прислал ссылочку на видео, где у амазоновской Алексы (это такой их виртуальный ассистент) спрашивают, связана ли она с ЦРУ. Ответ весьма многозначительный получился https://www.reddit.com/r/videos/comments/5yeefj/alexa_are_you_connected_to_the_cia/

и об утечках (ведь изначально этот канал как-то возник на волне всяких анонсов об утечках пользовательских данных). Есть такая компания — River City Media, которая занимается рассылкой различного спама. Короче, они там налажали в каких-то своих бекапах, и вся их база пользователей — 1.4 млрд записей — утекла в интернет. На самом деле в базе, если вычесть дубликаты, оказалось “всего” 393 млн уникальных записей, что тоже, в общем-то, неплохо. Так что, видимо, в ближайшее время стоит ожидать еще увеличения количества спама, потому что эту базу теперь получили все другие рассыльщики спама в интернете. Больше информации о том, что там произошло — тут http://www.csoonline.com/article/3176433/security/spammers-expose-their-entire-operation-through-bad-backups.html

Интересная статья, ссылку на которую прислал читатель Михаил, за что ему спасибо, о том, что всякие требования к тому, каким должен быть пароль, на самом деле дурацкие и вообще с паролями у юзеров все плохо https://blog.codinghorror.com/password-rules-are-bullshit/

а вот еще забавный комментарий от F-secure, который относится к последствиям публикации материалов ЦРУ на Wikileaks. Там, как вы помните, всплыла информация об уязвимостях в разных операционных системах, и вендоры бросились рассказывать, что "у нас уже и так большинство этих проблем зафикшены" — там и Apple выступила, и Google, и Cisco, и др. Но F-secure совершенно корректно уточняет: да, проблемы-то в последних ОС исправляются, но у Apple юзеры очень быстро переходят на новые версии операционок (куда включены всякие исправления проблем безопасности), а вот у Google с этим... скажем так, все очень плохо. О какой там безопасности вообще можно говорить, когда на Android 7.x, которая вышла в августе прошлого года, сейчас 2.8% юзеров Android? А большинство юзеров все равно сидит на Android 4.x/5.x/6.x, где нужные патчи безопасности часто даже не выходят уже? Короче, как я упоминал в блоге, ситуацию с Android эта утечка особо не ухудшит. Вывод F-secure — если вы хотите пользоваться Android, и вас беспокоят вопросы безопасности, выбирайте вендоров, которые регулярно и оперативно обновляют устройства. Я, кстати, знаю только одного такого вендора — это Google с их Nexus/Pixel. Берегите там себя! https://labsblog.f-secure.com/2017/03/09/apple-google-and-the-cia/

Привет! Вначале редакция канала в лице меня отсутствовала, потому что был отпуск. А потом отсутствовала, потому что сломала ногу, и редакцию транспортировали с горы в больницу. Теперь редакция ожидает операцию на сломанном колене, поэтому апдейты канала могут быть не очень регулярными. А вообще, похоже, что беречь надо не только информацию, но и ноги (и руки, и голову, и все остальное). Так что пока что несколько ссылок по теме канала:

1. Ссылка от читателя Дениса о том, что некоторые Android-смартфоны приходят сразу с предустановленным вредоносным ПО. Причём это могут быть и телефоны известных марок, а установка ПО (софт, ворующий информацию, показывающий рекламу), а установка происходит где-то в цепочке поставки телефонов. А что, удобно, да. https://arstechnica.com/security/2017/03/preinstalled-malware-targets-android-users-of-two-companies/

(Вдогонку к предыдущей ссылке - ссылка на оригинал отчета об этой прекрасной находке http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/)

Вот ещё тоже ссылка по теме, присланная читателем Сергеем (вообще скоро мне не надо будет ничего делать, только ссылки репостить) о том, как заражённые флешки используются как вектор атаки. Я как-то уже об этом писал, но повторить не помешает

66% потерянных флешек содержат вирусы.

Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.

Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.

Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.

Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.

И ещё ссылка от читателя Владимира, о том, как производитель "умных" вибраторов собирал информацию о пользователях, за это на него подали в суд и теперь он выплатит штраф. Думаю, таких историй в будущем будет очень много http://www.ixbt.com/news/2017/03/14/proizvoditel-umnyh-vibratorov-vyplatit-375-mln-za-sbor-konfidencialnyh-dannyh.html

Накрутка юзеров и лайков - зло!Специалисты ESET обнаружили на Google Play 13 вредоносных приложений для кражи логинов и паролей Instagram. Количество загрузок превысило полтора миллиона.

Приложения использовали один и тот же способ сбора учетных данных. Они предлагали раскрутку аккаунтов в Instagram – быстрый рост числа подписчиков, лайков и комментариев.

После установки приложение запрашивает у пользователя логин и пароль от Instagram. Введенные данные отправляются на удаленный сервер мошенников в виде простого текста. При этом пользователь не сможет войти в учетную запись – приложение выводит на экран сообщение о неверном пароле.

В Instagram предусмотрено оповещение пользователей о несанкционированных попытках доступа. Чтобы авторизоваться во взломанной учетной записи, не вызывая подозрений, мошенники добавили в сообщение о неверном пароле предложение пройти верификацию аккаунта. Предполагается, что пользователь подтвердит «законность» действий злоумышленников.

В ESET отследили серверы, на которые поступали украденные логины и пароли, и связали их с сайтами, продающими услуги раскрутки аккаунтов в Instagram. Взломанные учетные записи использовались для распространения спама, а также «пакетной» продажи подписчиков, лайков и комментариев.

После предупреждения ESET вредоносное ПО было удалено из Google Play. Эксперты ESET рекомендуют пострадавшим сменить пароли от Instagram, а также от других сервисов, если пароль где-либо повторялся.

Тут ещё советница президента Трампа ляпнула "за нами могут следить с помощью микроволновок!". По этому поводу у Wired статья о том, возможно ли на самом деле такое https://www.wired.com/2017/03/kellyanne-conway-microwave-spying/

Я с этой поломанной ногой сильно отстал от кучи разных интересных новостей на тематику канала:
1. Утечка 33 миллионов персональных записей о гражданах США, включая информацию о военных, которая должна быть засекречена. Конечно же, mongoDB, 52ГБ записей, включая имя, фамилию, номер телефона, адрес, работу, возможный доход, и ещё много чего. Содержит информацию только об американцах. https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/ утечка произошла из сервиса NetProspex, принадлежащего компании Dun&Bradstreet, собирающей информацию о бизнесах и физлицах в США. Молодцы они, да.

2. Вторая и не менее важная ссылка ведёт на министерство юстиции США, где прямым текстом обвиняются российские хакеры и покрывавшие их офицеры ФСБ во взломе аккаунтов Yahoo, а также в несанкционированном доступе к информации банков, СМИ, политиков и многих других организаций в США, России и других странах. Традиционно поддержим скептиков "врут они все", и патриотов "молодцы наши, а!". Но это ещё явно не конец этой истории.
https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions

3. Вчера многие твиттер-аккаунты оказались взломанными и опубликовали твиты на турецком языке, называя некоторые европейские страны нацистскими. На самом деле взломали сторонний сервис Twitter Counter, через который добрались уже и до остальных аккаунтов. Так что лучшее, что вы можете сейчас сделать - это зайти в настройки Твиттера и убедиться, что ни у каких лишних приложений нет доступа к вашему аккаунту. Это можно сделать здесь https://mobile.twitter.com/settings/applications

редакция этого канала в лице меня сделает попытку восстановить регулярные трансляции ужасов из мира информационной безопасности, особенно в свете того, что нога сломана и бежать мне особо некуда. по этому поводу расскажу вам интересную историю про мудака, который где-то в конце прошлого года послал через твитер журналисту издания Newsweek моргающую гифку. Журналист страдает эпилепсией (отправляющий знал это), и от просмотра этой гифки у него случился эпилептический приступ. анонимный твиттер-аккаунт, привязаный к припейд СИМ-карте — в общем, интернет-воин думал, что он себя обезопасил. Но оказалось, что его таки нашли. Суд еще только предстоит, но вообще в документах фигурирует обвинение "с целью убийства, нанесения травмы и запугивания", так что результат суда может оказаться неприятным для анонимного бойца интернета.
интересно же то, как его нашли. Полиция запросила у твиттера информацию о владельце аккаунта и получила номер телефона (там еще IP и проч, но это не так важно). Затем полиция пробила через оператора тот факт, что пользователь использовал iPhone 6. Поэтому еще один ордер суда позволил запросить у Apple, нет ли такого номера телефона, который был бы привязан к аккаунту iCloud. Бинго! Такой номер существовал, и был привязан уже более 5 лет к iCloud, что позволило идентифицировать нападающего. Ну а дальше арест и обыск содержимого на телефоне предоставил различные доказательства его вины. В общем, даже анонимная СИМка не спасает; только burner phones, только hardcore! По ссылке — материалы обвинения https://cdn2.vox-cdn.com/uploads/chorus_asset/file/8192819/rivello-complaint.0.pdf

помните публикацию материалов ЦРУ на Wikileaks пару недель назад? вот первые цветочки: Cisco пишет, что у 318 моделей свичей может быть получен полный удаленный контроль над устройством после исполнения вредоносного кода https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

еще пара ссылок по теме канала:

1. на прошедшей на прошлой неделе прошла Pwn2Own, где соревнуются хакеры по взлому различных устройств. самый впечатляющий взлом — это взлом браузера Edge, который работал в виртуальной машине, а затем выход из пространства виртуальной машины и захват основного хоста. приз — 105 тыс долл. https://arstechnica.com/security/2017/03/hack-that-escapes-vm-by-exploiting-edge-browser-fetches-105000-at-pwn2own/

2. уязвимость в популярном софте для форумов vBulletin позволила взломать 140 форумов и украсть данные на 942 тыс пользователей (юзернеймы, имейлы и hashed пароли) https://www.troyhunt.com/i-just-added-another-140-data-breaches-to-have-i-been-pwned/

И вдогонку еще пара ссылок:

1. от читателя Марка, хороший обзор опасностей, которые подстерегают пользователей различной "умной" электроники из мира IoT (на русском, в хорошем изложении). тут и про инструменты для взлома IoT-устройств, и про телодвижения регулирующих органов, которые пытаются взять эту отрасль под контроль, и как вам, как пользователю, можно обезопасить себя при использовании IoT-гаджетов https://apparat.cc/world/internet-of-things/

2. и еще ссылка от Дениса о том, как американская Федеральная Комиссия по Коммуникациям собирается провернуть всех пользователей на одном там органе и оставить их наедине с корпорациями в борьбе по защите своих личных данных. в статье есть хороший пример о том, что ничто не остановит, например, интернет-провайдеров делиться со своими партнерами (например, компаниями, которым нужна информация о ваших интересах) о том, что вы ходили по сайтам какой-то определенной тематики. конечно, для тех, кто живет не в америке, это не так актуально, но вообще эти тренды имеют тенденцию распространяться... https://www.engadget.com/2017/03/17/fcc-your-cybersecurity-isnt-our-problem/?sr_source=Twitter

Гутенморген! С утра только "хорошие" новости. Некая группа хакеров под названием Turkish Crime Family требует у Apple выкуп в 75 тысяч долларов, а иначе 200 (а то и 300, а то и 559) миллионов iPhone 7 апреля будут удаленно очищены. Хакеры предоставили СМИ переписку с командой безопасности Apple, и даже показали видео, на котором они вроде как в один из таких телефонов вламываются и могут просматривать фотографии в iCloud этого аккаунта. Вся эта история выглядит достаточно мутно, конечно, но перестраховаться и сделать локальный бекап на компьютер, наверно, не помешает https://motherboard.vice.com/en_us/article/hackers-we-will-remotely-wipe-iphones-unless-apple-pays-ransom?utm_source=vicefbus

а вот еще интересная тема. вы думали, что джейлбрейк бывает только у телефонов? как насчет джейлбрейка у тракторов? Производитель тракторов John Deere в прошлом году ввел драконские меры, в рамках которых фермерам запрещено делать какие-либо ремонты в технике компании. Все ремонты должны производиться официальными сервисными центрами компании. Контролируются эти ограничения с помощью программного обеспечения — после любого ремонта трактор надо перепрошивать авторизованным ПО для того, чтобы, например, новая коробка передач заработала, иначе трактор просто не выедет из сервиса. Фермеры, конечно, взвыли, потому что официальный сервис - это и дорого, и зачастую долго. Украинские хакеры спешат на помощь! На форумах для фермеров можно купить взломанное ПО для тракторов JD, которое позволяет обходить защиту компании, и осуществлять ремонт техники (обновлять прошивку, снимать лимит скорости, делать сбросы ошибок и проч). На самом деле эта проблема более глобальная, чем просто украинские хакеры и JD. По мере компьютеризации техники (не только тракторов, но и автомобилей) возникает вопрос о том, являетесь ли вы на самом деле владельцем этого автомобиля, или же производитель дает вам им попользоваться (потому что одно дело — владеть просто двигателем и коробкой передач в простом автомобиле 50-летней давности, и совсем другое — это миллионы строк программного кода, который обеспечивает работу современного автомобиля, которые производитель как бы "лицензирует" вам для временного использования). Проблема пока что обсуждается и однозначного решения у нее нет. https://motherboard.vice.com/en_us/article/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware

кстати, вдогонку к этой истории https://t.me/alexmakus/1032 — большое жюри присяжных на этой неделе приравняли GIF к "смертельному оружию", и чувак, пославший её журналисту, видимо, сядет надолго. Конечно, к гифкам с котиками это не относится.

Дратути! Вдогонку ко вчерашней новости про хакеров, шантажирующих Apple массовым удалением iCloud-аккаунтов (https://t.me/alexmakus/1036). Apple в заявлении СМИ заявила, что их систему никто не взламывал, а пользовательские учетки iCloud находятся в безопасности. Однако, для тех пользователей, у кого есть re-use логинов-паролей из других сервисов, где произошли утечки (LinkedIn, Yahoo, и проч), сохраняется риск того, что к их индивидуальным аккаунтам может быть получен доступ злоумышленниками. Так что уникальный пароль и двухфакторная авторизация спасут вас! http://fortune.com/2017/03/22/apple-iphone-hacker-ransom/