а Wikileaks сегодня опубликовала несколько документов из в свое время утекших из ЦРУ, где рассказывается о нескольких проектах о доступе к данным на Маках и iPhone. Например, проект "DarkMatter" методом внедрения в EFI устанавливает софт "NightSkies" для перехвата ввода с клавиатуры. DarkSeaSkies, устанавливаемый с флешки, использует уязвимость Thunderbolt, которая была исправлена в 2015 году. Nightskies — это некий физический имплант, который внедряется в телефон жертвы. Der Starke — еще один метод заражения компьютера через EFI, живущий в EFI. Судя по документации, затрагивает машины с 2010 по 2013 год, хотя там есть и документы о том, что вплоть до 2016 года ЦРУ разрабатывала следующую версию этого ПО для внедрения. В любом случае, хорошие новости заключаются в том, что речь пока что идет не об удаленных эксплойтах, а о локальных атаках, когда у сотрудников ЦРУ уже есть доступ к технике. так что можно пока выдыхать https://wikileaks.org/vault7/darkmatter/

совсем забыл, что тут мне какое-то время назад читатель Вячеслав прислал ссылку на интересный новый троян для Маков под названием Proton. Малварь достаточно мощная, но усиливает эффект тот факт, что она еще и подписана настоящим девелоперским сертификатом https://www.cybersixgill.com/proton-a-new-mac-os-rat/

а если вы пользуетесь LastPass, то лучше проапдейтиться до последней версии, потому что у них там обнаружили уязвимость, которая позволяла злоумышленникам перехватывать пароли в расширении для браузера https://bugs.chromium.org/p/project-zero/issues/detail?id=1209

Сегодня у нас тоже день фоллов-аппов к предыдущим новостям. Я писал вчера про то, что wikileaks там выложила информацию из утечки ЦРУ. Apple ответила на публикацию этой информации тем, что а) уязвимость с iPhone существовала только в версии iPhone 3G и была исправлена в 2008 году. Все уязвимости Маков, которые там фигурировали, исправлены в всех Маках, выпущенных после 2013 года

есть еще и продолжение истории с хакерами, шантажирующими Apple и угрожающими удалить сразу много миллионов iCloud-аккаунтов. Там, я напомню, некие турецкие хакеры обещают вайпнуть от 200 до 600 миллионов iCloud-аккаунтов и iPhone, которые к ним подключены. Apple утверждает, что никакого взлома их системы не было, и юзеры в безопасности. Однако, все не так однозначно. Журналисты ZDNet связались с хакерами и получили от них в качестве примера 54 набора логин-пароль. Все 54 аккаунта действительно существовали или существуют. После этого журналисты попробовали связаться с этим людьми, и до некоторых из них получилось достучаться. Более того, 10 человек подтвердили, что связка логин-пароль действительно верная (после чего они сменили пароль). Они же подтвердили, что этот пароль у них давно и не менялся. Основное подозрение было на то, что в данном случае речь идет о некоем "подборе" логина-пароля из других утечек, и несколько человек подтвердили, что эти же логин-пароль они использовали на других сайтах. Однако, три человека утверждают, что у них – уникальный пароль на iCloud, который нигде больше не используется. Журналисты еще пишут, что, по ощущениям, хакеры — какие-то наивные бестолочи и любители, но все равно некий риск сохраняется. Поэтому совет традиционный: если давно не меняли пароль на iCloud, лучше его сменить. Также если вы ждали знака, чтобы все-таки активировать двух-факторную авторизацию, то это он, самое время это сделать. http://www.zdnet.com/article/apple-icloud-ransom-what-you-need-to-know/

87 приложений в Google Play, маскирующиеся под моды для Minecraft, на самом деле не являются таковыми, а являются вредоносным ПО http://www.welivesecurity.com/2017/03/23/download-minecraft-mods-google-play-read/

Фишеры уже совсем разленились. зачем присылать сложные формы, веб-страницы, маскироваться под Gmail, если можно вот так? Интересно, работает ли оно на ком-то?

Хорошая пошаговая инструкция о том, как настроить двухфакторную авторизацию на iCloud, если вы еще не http://www.macworld.com/article/3184650/ios/how-to-set-up-two-factor-authentication-for-your-apple-id-and-icloud-account.html

новая реальность, в которой мы живем — баг в веб-сервере в ПОСУДОМОЕЧНОЙ машине http://seclists.org/fulldisclosure/2017/Mar/63 Ладно, Miele не IT-компания, поэтому наличие бага допустимо, но что веб-сервер делает вообще в посудомойке? Кстати, то, что Miele не IT-компания, имеет еще один неприятный побочный эффект — до них хрен достучишься с информацией о баге, потому что у них как бы и нет такого процесса, как репортинг багов по безопасности. Когда же это закончится, что любую хрень пытаются подключать к интернету? мало им ботнетов из видеокамер и термостатов, теперь еще туда и посудомойки подключатся...

А в Великобритании — очередное обострение по борьбе с мессенджерами и шифрованными сообщениями. В частности, оказалось, что организовавший нападение на прошлой неделе террорист в Вестминстере пользовался WhatsApp для переписки (неизвестно с кем), и теперь в Великобритании раздаются призывы к тому, что "у нас должен быть доступ к переписке WhatsApp". Понятное дело, что если начать с WhatsApp, то можно и до других мессенджеров добраться. Но, правда, оказывается, что террориста спецслужбы все равно не мониторили, поэтому даже если бы он переписывался нешифрованными чатами, это не помогло бы. Не говоря уже о том, что для своего теракта он воспользовался ножом и автомобилем, и, видимо, их тоже придется запретить на всякий случай. http://www.bbc.com/news/uk-politics-39398190

Вчера Apple выпустила обновления для своих операционных систем. Кроме новых фич (например, новая файловая система в iOS, уиииии!!!! и поддержки результатов матчей по крикету в индийской премьер-лиге (наконец-то!)), обновления систем традиционно включают в себя массу исправлений в плане информационной безопасности. Вот список исправлений для iOS https://support.apple.com/en-us/HT207617, но такие же списки есть и для macOS https://support.apple.com/kb/HT207615, tvOS https://support.apple.com/kb/HT207601 и watchOS https://support.apple.com/kb/HT207602 если почитать, там есть интересные "приколы" типа подмены адреса в окне браузера или подмены интерфейса браузера после захода на "вредный" сайт. Поскольку информация об этих уязвимостях теперь публично доступна, то лучше все-таки апдейтиться на последние версии систем, там безопасней!

На прошлой неделе я писал, что некие хакеры шантажируют Apple тем, что они вайпнут миллионы iOS-устройств, если Apple им не заплатит выкуп. Там, конечно, вся история похожа на какой-то буллшыт, но забавно другое — в Штатах оживились обманщики, которые на фоне этих новостей звонят юзерам и представляются "поддержкой Apple", и под шумок этих новостей пытаются у пользователей выпытать данные их iCloud-пользователей. Никому вообще нельзя верить, никому! http://www.macworld.com/article/3185485/security/ignore-that-call-from-apple-about-an-icloud-breach.html

А тут еще ссылка от читателя Евгения о том, как Вконтакте налажали со своей сетью и на протяжении определенного времени пользователям сети были видны админские инструменты сети. так то, вообще, неудивительно, что админы ВК имеют доступ к частным фотографиям и сообщениям пользователей, но, вдруг, вы думали, что ваша информация там доступна только вам... https://vc.ru/n/vk-bug-tracker

также я писал про уязвимость, обнаруженную в менеджере паролей LastPass, и даже призывал апдейтиться до последней версии программы. https://t.me/alexmakus/1042 есть одна проблемка — уязвимость (актуальна только для тех, кто пользуется Chrome и плагином LastPass в нем), пока что не исправлена. Тут вот разработчики LP дают рекомендации о том, что делать, пока не вышел патч для дыры https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/

и снова здравствуйте. Сегодня у меня для вас не очень плохие новости и очень плохие новости! начнем с не очень плохих (но все же плохих).
1. Я почти каждый день пишу уже об этих дурацких турецких хакерах, которые шантажируют Apple массовым вайпом устройств. Насколько я помню, этот Эплокалипсис они обещают 7 апреля, если Apple им не заплатить сколько-то там денег. Apple, конечно, ничего платить не собирается, и отбивается, что "нашу инфраструктуру никто не взламывал". Проблема не в инфраструктуре Apple, а в юзерах, как обычно. Так вот, журналисты ZDNet продолжают копать эту тему, и получили у хакеров выборку из 70 тысяч аккаунтов, из которых они случайным образом выбрали 100 человек, и попытались с ними связаться. в итоге 12 человек из этой сотни подтвердили, что их пароль был или на данный момент совпадает с тем, что есть в базе у хакеров. Журналисты подключили к исследованию записей также Троя Ханта, автора haveibeenpwned.com, и судя по их анализу, база хакеров на самом деле — компиляция из сотен миллионов записей утечек аккаунтов с разных сайтов. Из 750-800 млн активных iCloud-записей уж точно несколько миллионов найдется таких, у кого пароль наверняка использовался в других сервисах. Поэтому, если вы думаете, что давно не меняли пароль на iCloud, или же он у вас использовался еще где-то, ЛУЧШЕ ПОМЕНЯЙТЕ ПАРОЛЬ. Двухфакторная авторизация на icloud тоже не помешает — лучше перебдеть, чем потом страдать над вайпнутым какими-то подростками телефоном. http://www.zdnet.com/article/icloud-accounts-breach-gets-bigger-here-is-what-we-know/

2. Вторая (и более плохая) новость касается больше тех, кто живет в США, хотя, подозреваю, что этот тренд может расшириться и по миру. Вчера американский безумный принтер (другими словами, Конгресс) проголосовал за законопроект, по которому с интернет-провайдеров снимаются ограничения на то, что они могут делать с пользовательскими данными. ВСЯ история браузинга в интернете, доступ к сервисам и приложениям, информация о местоположении, а также информация о social security number (аналог ИНН) теперь может быть этими самыми провайдерами продана кому угодно (исключением является банковская, медицинская информация и данные о детях). И для этого не требуется запрос на согласие пользователя, и, более того, провайдеры не обязаны даже делать у себя опцию "не торговать моими данными" — вот просто могут взять и продать эту информацию, в которой пользователь абсолютно четко персонализирован/идентифицирован, тому, кто заплатит много денег. Аргумент за этот законопроект был из серии "ну вон гугл с фейсбуком могут так делать, а че операторам нельзя?". Уязвимость этого аргумента, что юзер может решить не ходить в гугл или фейсбук, или на другой вебсайт, а в ситуации, когда у юзера обычно выбор из 1-2 интернет-провайдеров, то деваться некуда. Короче, 90-миллиардный рынок онлайн-рекламы, за который борются ФБ-Гугл, теперь будут пилить еще и интернет-провайдеры, а страдает, как обычно, приватность пользователей. Нет особых сомнений, что Президент Трамп подпишет этот законопроект. А юзерам остается полагаться на https и vpn. http://www.theverge.com/2017/3/28/15080436/us-house-votes-to-let-isps-share-web-browsing-history

Тут пишут (ссылку прислал читатель Марк, за что ему спасибо!), что власти Великобритании арестовали одного из возможных участников той самой группы "турецкой семьи", шантажирующей Apple удалением аккаунтов пользователей iCloud https://xakep.ru/2017/03/30/turkish-crime-family-arrest/

в пятницу 1 апреля — только серьезные новости! Например, о том, что VPN — не панацея от инициатив операторов продавать ваши данные о походах в интернет. потому что сейчас этих VPN-сервисов развелось как собак нерезанных, и нужно очень внимательно выбирать тех, кто не будет продавать ваши данные на сторону точно так же, как собираются это делать операторы связи. не говоря уже о том, что куча VPN-приложений для Android оказались сразу со встроенным вредоносным ПО. Короче, ценность VPN немношк переоцена https://www.techdirt.com/articles/20170327/09244537008/just-use-vpn-isnt-real-solution-to-gops-decision-to-kill-broadband-privacy-protections.shtml

а еще читатель Артем прислал ссылку на какое-то очень странное исследование уязвимостей в популярных мессенджерах на iOS и Android от компании SolarSecurity (о которой я, например, никогда не слышал). Короче, по результатам их исследований мессенджеры на Android гораздо безопасней, чем на iOS. я, конечно, необъективен, но мне что-то с трудом верится, что в Signal, который экспертами считается одним из самых надежных и безопасных мессенджеров, на iOS есть 20 критических уязвимостей. Короче, моя внутренняя собака-подозревака что-то не верит этому отчету. http://solarsecurity.ru/upload/iblock/263/Otchet_messanger_Solar_inCode.pdf