а вот еще интересная тема. вы думали, что джейлбрейк бывает только у телефонов? как насчет джейлбрейка у тракторов? Производитель тракторов John Deere в прошлом году ввел драконские меры, в рамках которых фермерам запрещено делать какие-либо ремонты в технике компании. Все ремонты должны производиться официальными сервисными центрами компании. Контролируются эти ограничения с помощью программного обеспечения — после любого ремонта трактор надо перепрошивать авторизованным ПО для того, чтобы, например, новая коробка передач заработала, иначе трактор просто не выедет из сервиса. Фермеры, конечно, взвыли, потому что официальный сервис - это и дорого, и зачастую долго. Украинские хакеры спешат на помощь! На форумах для фермеров можно купить взломанное ПО для тракторов JD, которое позволяет обходить защиту компании, и осуществлять ремонт техники (обновлять прошивку, снимать лимит скорости, делать сбросы ошибок и проч). На самом деле эта проблема более глобальная, чем просто украинские хакеры и JD. По мере компьютеризации техники (не только тракторов, но и автомобилей) возникает вопрос о том, являетесь ли вы на самом деле владельцем этого автомобиля, или же производитель дает вам им попользоваться (потому что одно дело — владеть просто двигателем и коробкой передач в простом автомобиле 50-летней давности, и совсем другое — это миллионы строк программного кода, который обеспечивает работу современного автомобиля, которые производитель как бы "лицензирует" вам для временного использования). Проблема пока что обсуждается и однозначного решения у нее нет. https://motherboard.vice.com/en_us/article/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware

кстати, вдогонку к этой истории https://t.me/alexmakus/1032 — большое жюри присяжных на этой неделе приравняли GIF к "смертельному оружию", и чувак, пославший её журналисту, видимо, сядет надолго. Конечно, к гифкам с котиками это не относится.

Дратути! Вдогонку ко вчерашней новости про хакеров, шантажирующих Apple массовым удалением iCloud-аккаунтов (https://t.me/alexmakus/1036). Apple в заявлении СМИ заявила, что их систему никто не взламывал, а пользовательские учетки iCloud находятся в безопасности. Однако, для тех пользователей, у кого есть re-use логинов-паролей из других сервисов, где произошли утечки (LinkedIn, Yahoo, и проч), сохраняется риск того, что к их индивидуальным аккаунтам может быть получен доступ злоумышленниками. Так что уникальный пароль и двухфакторная авторизация спасут вас! http://fortune.com/2017/03/22/apple-iphone-hacker-ransom/

а Wikileaks сегодня опубликовала несколько документов из в свое время утекших из ЦРУ, где рассказывается о нескольких проектах о доступе к данным на Маках и iPhone. Например, проект "DarkMatter" методом внедрения в EFI устанавливает софт "NightSkies" для перехвата ввода с клавиатуры. DarkSeaSkies, устанавливаемый с флешки, использует уязвимость Thunderbolt, которая была исправлена в 2015 году. Nightskies — это некий физический имплант, который внедряется в телефон жертвы. Der Starke — еще один метод заражения компьютера через EFI, живущий в EFI. Судя по документации, затрагивает машины с 2010 по 2013 год, хотя там есть и документы о том, что вплоть до 2016 года ЦРУ разрабатывала следующую версию этого ПО для внедрения. В любом случае, хорошие новости заключаются в том, что речь пока что идет не об удаленных эксплойтах, а о локальных атаках, когда у сотрудников ЦРУ уже есть доступ к технике. так что можно пока выдыхать https://wikileaks.org/vault7/darkmatter/

совсем забыл, что тут мне какое-то время назад читатель Вячеслав прислал ссылку на интересный новый троян для Маков под названием Proton. Малварь достаточно мощная, но усиливает эффект тот факт, что она еще и подписана настоящим девелоперским сертификатом https://www.cybersixgill.com/proton-a-new-mac-os-rat/

а если вы пользуетесь LastPass, то лучше проапдейтиться до последней версии, потому что у них там обнаружили уязвимость, которая позволяла злоумышленникам перехватывать пароли в расширении для браузера https://bugs.chromium.org/p/project-zero/issues/detail?id=1209

Сегодня у нас тоже день фоллов-аппов к предыдущим новостям. Я писал вчера про то, что wikileaks там выложила информацию из утечки ЦРУ. Apple ответила на публикацию этой информации тем, что а) уязвимость с iPhone существовала только в версии iPhone 3G и была исправлена в 2008 году. Все уязвимости Маков, которые там фигурировали, исправлены в всех Маках, выпущенных после 2013 года

есть еще и продолжение истории с хакерами, шантажирующими Apple и угрожающими удалить сразу много миллионов iCloud-аккаунтов. Там, я напомню, некие турецкие хакеры обещают вайпнуть от 200 до 600 миллионов iCloud-аккаунтов и iPhone, которые к ним подключены. Apple утверждает, что никакого взлома их системы не было, и юзеры в безопасности. Однако, все не так однозначно. Журналисты ZDNet связались с хакерами и получили от них в качестве примера 54 набора логин-пароль. Все 54 аккаунта действительно существовали или существуют. После этого журналисты попробовали связаться с этим людьми, и до некоторых из них получилось достучаться. Более того, 10 человек подтвердили, что связка логин-пароль действительно верная (после чего они сменили пароль). Они же подтвердили, что этот пароль у них давно и не менялся. Основное подозрение было на то, что в данном случае речь идет о некоем "подборе" логина-пароля из других утечек, и несколько человек подтвердили, что эти же логин-пароль они использовали на других сайтах. Однако, три человека утверждают, что у них – уникальный пароль на iCloud, который нигде больше не используется. Журналисты еще пишут, что, по ощущениям, хакеры — какие-то наивные бестолочи и любители, но все равно некий риск сохраняется. Поэтому совет традиционный: если давно не меняли пароль на iCloud, лучше его сменить. Также если вы ждали знака, чтобы все-таки активировать двух-факторную авторизацию, то это он, самое время это сделать. http://www.zdnet.com/article/apple-icloud-ransom-what-you-need-to-know/

87 приложений в Google Play, маскирующиеся под моды для Minecraft, на самом деле не являются таковыми, а являются вредоносным ПО http://www.welivesecurity.com/2017/03/23/download-minecraft-mods-google-play-read/

Фишеры уже совсем разленились. зачем присылать сложные формы, веб-страницы, маскироваться под Gmail, если можно вот так? Интересно, работает ли оно на ком-то?

Хорошая пошаговая инструкция о том, как настроить двухфакторную авторизацию на iCloud, если вы еще не http://www.macworld.com/article/3184650/ios/how-to-set-up-two-factor-authentication-for-your-apple-id-and-icloud-account.html

новая реальность, в которой мы живем — баг в веб-сервере в ПОСУДОМОЕЧНОЙ машине http://seclists.org/fulldisclosure/2017/Mar/63 Ладно, Miele не IT-компания, поэтому наличие бага допустимо, но что веб-сервер делает вообще в посудомойке? Кстати, то, что Miele не IT-компания, имеет еще один неприятный побочный эффект — до них хрен достучишься с информацией о баге, потому что у них как бы и нет такого процесса, как репортинг багов по безопасности. Когда же это закончится, что любую хрень пытаются подключать к интернету? мало им ботнетов из видеокамер и термостатов, теперь еще туда и посудомойки подключатся...

А в Великобритании — очередное обострение по борьбе с мессенджерами и шифрованными сообщениями. В частности, оказалось, что организовавший нападение на прошлой неделе террорист в Вестминстере пользовался WhatsApp для переписки (неизвестно с кем), и теперь в Великобритании раздаются призывы к тому, что "у нас должен быть доступ к переписке WhatsApp". Понятное дело, что если начать с WhatsApp, то можно и до других мессенджеров добраться. Но, правда, оказывается, что террориста спецслужбы все равно не мониторили, поэтому даже если бы он переписывался нешифрованными чатами, это не помогло бы. Не говоря уже о том, что для своего теракта он воспользовался ножом и автомобилем, и, видимо, их тоже придется запретить на всякий случай. http://www.bbc.com/news/uk-politics-39398190

Вчера Apple выпустила обновления для своих операционных систем. Кроме новых фич (например, новая файловая система в iOS, уиииии!!!! и поддержки результатов матчей по крикету в индийской премьер-лиге (наконец-то!)), обновления систем традиционно включают в себя массу исправлений в плане информационной безопасности. Вот список исправлений для iOS https://support.apple.com/en-us/HT207617, но такие же списки есть и для macOS https://support.apple.com/kb/HT207615, tvOS https://support.apple.com/kb/HT207601 и watchOS https://support.apple.com/kb/HT207602 если почитать, там есть интересные "приколы" типа подмены адреса в окне браузера или подмены интерфейса браузера после захода на "вредный" сайт. Поскольку информация об этих уязвимостях теперь публично доступна, то лучше все-таки апдейтиться на последние версии систем, там безопасней!

На прошлой неделе я писал, что некие хакеры шантажируют Apple тем, что они вайпнут миллионы iOS-устройств, если Apple им не заплатит выкуп. Там, конечно, вся история похожа на какой-то буллшыт, но забавно другое — в Штатах оживились обманщики, которые на фоне этих новостей звонят юзерам и представляются "поддержкой Apple", и под шумок этих новостей пытаются у пользователей выпытать данные их iCloud-пользователей. Никому вообще нельзя верить, никому! http://www.macworld.com/article/3185485/security/ignore-that-call-from-apple-about-an-icloud-breach.html

А тут еще ссылка от читателя Евгения о том, как Вконтакте налажали со своей сетью и на протяжении определенного времени пользователям сети были видны админские инструменты сети. так то, вообще, неудивительно, что админы ВК имеют доступ к частным фотографиям и сообщениям пользователей, но, вдруг, вы думали, что ваша информация там доступна только вам... https://vc.ru/n/vk-bug-tracker

также я писал про уязвимость, обнаруженную в менеджере паролей LastPass, и даже призывал апдейтиться до последней версии программы. https://t.me/alexmakus/1042 есть одна проблемка — уязвимость (актуальна только для тех, кто пользуется Chrome и плагином LastPass в нем), пока что не исправлена. Тут вот разработчики LP дают рекомендации о том, что делать, пока не вышел патч для дыры https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/

и снова здравствуйте. Сегодня у меня для вас не очень плохие новости и очень плохие новости! начнем с не очень плохих (но все же плохих).
1. Я почти каждый день пишу уже об этих дурацких турецких хакерах, которые шантажируют Apple массовым вайпом устройств. Насколько я помню, этот Эплокалипсис они обещают 7 апреля, если Apple им не заплатить сколько-то там денег. Apple, конечно, ничего платить не собирается, и отбивается, что "нашу инфраструктуру никто не взламывал". Проблема не в инфраструктуре Apple, а в юзерах, как обычно. Так вот, журналисты ZDNet продолжают копать эту тему, и получили у хакеров выборку из 70 тысяч аккаунтов, из которых они случайным образом выбрали 100 человек, и попытались с ними связаться. в итоге 12 человек из этой сотни подтвердили, что их пароль был или на данный момент совпадает с тем, что есть в базе у хакеров. Журналисты подключили к исследованию записей также Троя Ханта, автора haveibeenpwned.com, и судя по их анализу, база хакеров на самом деле — компиляция из сотен миллионов записей утечек аккаунтов с разных сайтов. Из 750-800 млн активных iCloud-записей уж точно несколько миллионов найдется таких, у кого пароль наверняка использовался в других сервисах. Поэтому, если вы думаете, что давно не меняли пароль на iCloud, или же он у вас использовался еще где-то, ЛУЧШЕ ПОМЕНЯЙТЕ ПАРОЛЬ. Двухфакторная авторизация на icloud тоже не помешает — лучше перебдеть, чем потом страдать над вайпнутым какими-то подростками телефоном. http://www.zdnet.com/article/icloud-accounts-breach-gets-bigger-here-is-what-we-know/

2. Вторая (и более плохая) новость касается больше тех, кто живет в США, хотя, подозреваю, что этот тренд может расшириться и по миру. Вчера американский безумный принтер (другими словами, Конгресс) проголосовал за законопроект, по которому с интернет-провайдеров снимаются ограничения на то, что они могут делать с пользовательскими данными. ВСЯ история браузинга в интернете, доступ к сервисам и приложениям, информация о местоположении, а также информация о social security number (аналог ИНН) теперь может быть этими самыми провайдерами продана кому угодно (исключением является банковская, медицинская информация и данные о детях). И для этого не требуется запрос на согласие пользователя, и, более того, провайдеры не обязаны даже делать у себя опцию "не торговать моими данными" — вот просто могут взять и продать эту информацию, в которой пользователь абсолютно четко персонализирован/идентифицирован, тому, кто заплатит много денег. Аргумент за этот законопроект был из серии "ну вон гугл с фейсбуком могут так делать, а че операторам нельзя?". Уязвимость этого аргумента, что юзер может решить не ходить в гугл или фейсбук, или на другой вебсайт, а в ситуации, когда у юзера обычно выбор из 1-2 интернет-провайдеров, то деваться некуда. Короче, 90-миллиардный рынок онлайн-рекламы, за который борются ФБ-Гугл, теперь будут пилить еще и интернет-провайдеры, а страдает, как обычно, приватность пользователей. Нет особых сомнений, что Президент Трамп подпишет этот законопроект. А юзерам остается полагаться на https и vpn. http://www.theverge.com/2017/3/28/15080436/us-house-votes-to-let-isps-share-web-browsing-history