Тут, вероятно, новость дня — статья на Bloomberg о сотрудничестве Лаборатории Касперского с ФСБ. В принципе, слухи-то об этом ходят давно, но так, чтобы была статья на большом и в целом уважаемом ресурсе — я не припомню. В статье рассказывается о том, что компания не только разрабатывала технологии для спецслужб, но и передавала спецслужбам информацию о хакерах, причем сотрудники ЛК участвовали в рейдах спецслужб. https://www.bloomberg.com/news/articles/2017-07-11/kaspersky-lab-has-been-working-with-russian-intelligence Но такую новость было бы несправедливо подать без ответа ЛК, где компания опровергает информацию, озвученную в статье Bloomberg https://usa.kaspersky.com/about/press-releases/2017_kaspersky-lab-response-clarifying-inaccurate-statements-published-in-bloomberg-businessweek-on-july-11-2017

Тут интересную ссылку прислал читатель канала о том, что скомпрометирован сайт gosuslugi.ru - портал государственных услуг в Российской Федерации. Эксперты Dr.Web обнаружили внедренный неизвестными злоумышленниками потенциально вредоносный код на сайте, а администрация сайта игнорирует желание Dr.Web помочь сайту. Так что читайте и по возможности избегайте в ближайшее время использования gosuslugi.ru https://news.drweb.ru/show/?i=11373&lng=ru&c=14

А тем временем в Китае правительство потребовало от операторов связи заблокировать персональные VPN к 1 февраля следующего года. https://www.bloomberg.com/news/articles/2017-07-10/china-is-said-to-order-carriers-to-bar-personal-vpns-by-february

Несколько дней назад я писал о том, как через публичный Amazon S3 Bucket утекли 3 миллиона данных WWE (https://t.me/alexmakus/1257). Сегодня выяснилось, что подрядчик компании Verizon — одного из крупнейших операторов связи в США — точно так же на публичный bucket выложил данные на 6 миллионов пользователей Verizon, включая имена, номера телефонов и PIN-коды для доступа к онлайн-сервисам. Как говорится, никогда такого не было, и вот опять. https://www.upguard.com/breaches/verizon-cloud-leak

Вчера я писал о том, что в Китае с февраля планируют запретить VPN (https://t.me/alexmakus/1262). В общем, тут от китайских товарищей поступило опровержение этой новости, хотя я лично бы не расслаблялся, дыма без огня не бывает http://shanghaiist.com/2017/07/12/vpn-ban-denial.php

И опять новость из серии «я писал». Несколько дней назад я писал об уязвимости в WiFi-чипе Broadcom, которую назвали Broadpwn (https://t.me/alexmakus/1258). Чтоб вы не сомневались, уязвимость настоящая и вполне эксплуатируемая. По ссылке - демонстрация того, как специально подготовленная точка WiFi вызывает кернел-панику у Nexus 6P при попадании в радиус действия беспроводной сети http://boosterok.com/blog/broadpwn2/ как я уже говорил, у Гугл есть апдейт, исправляющий эту уязвимость, поэтому лучше апдейт все-таки поставить. Про iOS опять ничего не говорят, и, судя по отсутствию срочного апдейта от Apple, возможно, в этот раз для юзеров айфонов обошлось.

ESET предупреждают пользователей Apple о новой афере. Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.

Потенциальная жертва получает от лица онлайн-магазина письмо – в нем сообщается, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.

https://www.welivesecurity.com/wp-content/uploads/2017/07/1-phishing-apple-id.png

Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он может поверить мошенникам и перейти на фишинговый сайт.

На фишинговом сайте пользователю предлагается ввести Apple ID и пароль, далее – заполнить анкету «для подтверждения личности». Мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и, конечно, данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.

После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.

немножко инфосек-юмора вам в ленту

И снова здравствуйте. Некоторые личные обстоятельства мешают мне в последние пару дней регулярно обновлять канал, но я обещаю исправиться. Начнем с веселого: список телефонов, которые уходят в перезагрузку при наборе номера 911 (номер, как известно, для вызова экстренных служб). Конечно же, почему-то там только Android-устройства, наверняка это никак не связано с тем, что зачастую телефоны и ПО там более низкого качества, чем связка iPhone+iOS https://www.reddit.com/r/Android/comments/6o5ifb/android_and_911_dialing_reports_compilation/

а вот New York Times пишет, что WhatsApp начали блокировать в Китае — многие пользователи не могут отправить видео или фото через сервис, а некоторые — даже текстовые сообщения. лучшие практики интернетов! https://www.nytimes.com/2017/07/18/technology/whatsapp-facebook-china-internet.html

хорошие новости для жителей Российской Федерации (на самом деле нет — в том смысле, что нехорошие):

Парламентский комитет по информполитике рекомендовал Госдуме принять в первом чтении законопроект, обязывающий социальные сети удалять противоправную информацию по заявлению пользователей. Авторы инициативы - депутаты от «Единой России» Сергей Боярский и Андрей Альшевских.
Законопроект о соцсетях и мессенджерах внесен депутатами на прошлой неделе, в нем говорится об «организаторах распространения информации» с аудиторией более 2 млн человек. Они должны за сутки удалять информацию, которая «явно направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды», а также «недостоверную и (или) порочащую честь и достоинство другого лица или его репутацию информацию» и «информацию, за распространение которой предусмотрена уголовная или административная ответственность». Депутаты предложили установить ответственность за отказ удалить такой контент из соцсетей: физические лица, по их мнению, должны платить за это штрафы от 3 млн до 5 млн руб., юридические лица – от 30 млн до 50 млн руб.
Правительство в целом поддержало концепцию законопроекта, но увидело в предложенных поправках массу недостатков. В частности, нужно уточнить, какую именно информацию соцсети и мессенджеры будут удалять по требованию пользователей, определить термин «недостоверная информация», объяснить термин «оператор социальной сети» и прописать методику подсчета количества пользователей социальной сети. Процедуру удаления информации по заявлению в правительстве признали «необоснованной».

те, кто давно читает этот канал, знают, как я "люблю" весь этот современный IoT — псевдо"умные" гаджеты, которые на самом деле представляют собой решето в безопасности своих сервисов и информации, которую они передают, да еще и часто просто следят за пользователями (а пользователи об этом даже не догадываются). Короче, тренд приобретает опасные очертания, поэтому даже ФБР выпустила предупреждение для родителей о том, что многие детские игрушки с подключением в интернет могут представлять собой информационную опасность и использоваться для слежки за пользователями. там в этом предупреждении набор полезных советов родителям, как уберечь детей от всяких опасностей, которые вкрации можно свести к совету "следите за тем, что вы своим детям покупаете и что оно делает". учитывая общий уровень "подготовки" родителей, это примерно как посоветовать им скомпилировать KDE для FreeBSD. https://www.ic3.gov/media/2017/170717.aspx

Помните эпидемию NotPetya? Одна из компаний, которая сильно пострадала во время эпидемии — FedEx, заражение украинского подразделения которого пронеслось вихрем по другим подразделениям компании. Пострадали в основном IT-сервисы компании TNT, которую FedEx купили в 2016 году. Но самое интересное другое: сейчас в финансовом документе, который FedEx подал в Комиссию по ценным бумагам, говорится, что это заражение может иметь существенные финансовые последствия для компании. И САМОЕ интересное — что они не смогут полностью восстановить важную бизнес-информацию, утерянную во время эпидемии: " TNT will be unable to fully restore all of the affected systems and recover all of the critical business data that was encrypted by the virus". Так что повторю совет: апдейты и бекапы! :)

кстати, про IoT устройства. Тут ВНЕЗАПНО оказалось, что миллионы IoT-устройств (например, камеры наблюдения и множество других устройств), используют библиотеку gSOAP, которая упрощает использование XML. А в библиотеке обнаружилась уязвимость CVE-2017-9765, позволяющая организацию DDoS-атак и исполнение кода. Не очень клевая штука для камер безопасности, обеспечивающих наблюдение, например, в банках. https://www.genivia.com/advisory.html#Security_advisory:_CVE-2017-9765_bug_in_certain_versions_of_gSOAP_2.7_up_to_2.8.47_(June_21,_2017)

возвращаясь к теме Broadpwn — уязвимости в WiFi-чипах Broadcom, о которой я писал недавно (https://t.me/alexmakus/1265). для iOS вышло обновление операционной системы версии 10.3.3, в котором исправлена эта уязвимость:

Wi-Fi
Available for: iPhone 5 and later, iPad 4th generation and later, and iPod touch 6th generation
Impact: An attacker within range may be able to execute arbitrary code on the Wi-Fi chip
Description: A memory corruption issue was addressed with improved memory handling.
CVE-2017-9417: Nitay Artenstein of Exodus Intelligence

так что рекомендую не затягивать с установкой апдейтов для iPhone/iPad!

информацию о других уязвимостях, исправленных в iOS 10.3.3, можно почитать тут https://support.apple.com/en-us/HT207923

Добрый день (хотя для многих он может оказаться не таким уж и добрым). Министерство юстиции США, совместно с Европолом отрапортовали сегодня о закрытии двух крупнейших магазинов в дарквебе - AlphaBay и Hansa. В чем тут опасность для информации? Дело в том, что полиция какое-то время назад получила контроль над Hansa и следила за транзакциями, получая информацию о вендорах и покупателях на этом сайте. Учитывая, что основные товары, которыми там торговали - это оружие и наркотики, то у полиции теперь есть веские поводы пообщаться и с покупателями, и с продавцами, плюс возможность их идентифицировать и найти. В общем, по возможности избегайте оружия и наркотиков!

А вот у двухколесного электрического скутера Ninebot компании Segway обнаружилась уязвимость в интерфейсе общения между скутером и мобильным приложением, позволяющая перехватить полностью управление чужим скутером. Разработчик уже выпустил обновление для приложения, исправляющее эту дыру, но полный отчёт об уязвимости можно почитать тут https://www.ioactive.com/pdfs/IOActive-Security-Advisory-Ninebot-Segway-miniPRO_Final.pdf

А ещё читатель Александр нам сообщает о том, что с кошельков с криптовалютой Ethereum воруют деньги. Криптовалюта - это безопасно, говорили они. Все транзакции прозрачны и прослеживаются, говорили они... https://www.reddit.com/r/ethereum/comments/6oalcq/important_wallets_created_with_paritys_multisig/

ВАЖНО! Эфирные кошельки с мультиподписью созданные в клиенте Parity после версии 1.5 оказались уязвимы, в официальном блоге советуют незамедлительно перевести свои средства на безопасный адрес.

Multisig wallets affected by this hack:
- Edgeless Casino (edgelessproject)
- Swarm City (swarmcitydapp)
- æternity blockchain (aeternity)
С кошельков этих трех ICO украдено 153k ETH ($30m)
https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32

Группа WhiteHack оперативно просканировала все уязвимые контракты и вывела с них средства.
https://etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a