про Андроид все как я люблю. раз — Google удалила из Google Play 300 приложений, участвовавших в ботнете WireX, занимавшихся DDoS-аттаками https://blog.cloudflare.com/the-wirex-botnet/

и два — тысячи приложений с миллионными закачками в Google Play содержат в себе SDK, которые втихаря закачивают видео и смотрят рекламу, накручивая денежку создателям SDK (а юзерам достается сожранная батарейка и трафик) https://cdn2.hubspot.net/hubfs/2215919/Longform_Content/Anura%20Mobile%20App%20Fraud%20Final%207-10-17/anura-mobile-app-fraud-2_Final.pdf?t=1503687425079

те, кто читает этот канал давно, знают, как я люблю «умные» устройства. Хотя, наверно, «люблю» тоже надо писать в кавычках - читая о постоянных проблемах безопасности с ними, я совершенно осознанно стараюсь держаться от них подальше. Последняя новость - про кардиостимуляторы компании Abbot, в которых обнаружились программные уязвимости, позволяющие злоумышленникам удаленно контролировать устройство - например, искусственно разрядить батарейку или изменить темп стимуляции, что может привести к неприятным последствиям для пользователя. (Кардиостимулятор - это устройство, вживлённое под кожу пациента и подключенное к сердцу, и если темп сердцебиения снижается, то стимулятор помогает его ускорить, грубо говорят). Короче, Управление по контролю за продуктами питания и лекарственными средствами (FDA) выпустило предписание, что 465 тыс таких кардиостимуляторов нуждаются в обновлении прошивки для исправления обнаруженных уязвимостей (производитель говорит, что есть ещё 280 тыс устройств, которые надо обновить). А поскольку это важный медицинский прибор, то накатить новую прошивку, сидя дома, не получится - нужно идти к врачу, и там этот врач сможет, контролируя процесс, уже аккуратно поставить прошивку, и убедиться, что пациент не превратился в кирпич в процессе. https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm573669.htm

Вот так и разрушаются мечты о будущем, в котором у нас есть возможность быть наполовину киборгами с искусственным органами и конечностями

привет! на выходных из интересного случился взлом инстаграм. правда, там в результате взлома аккаунты остались у владельцев, но информация о многих verified и даже не verified аккаунтах утекла в сеть. похоже, что в их инфраструктуре была бага, которая позволила злоумышленникам узнать телефонные номера и адреса электронной почты пользователей. Политики, спортсмены, актеры и актрисы — их контактная информация стала доступна в интернете и продается базой данных для всех желающих. Вот небольшая часть тех, чьи данные утекли:

актеры: Emma Watson, Emilia Clarke, Zac Efron, Leonardo DiCaprio, Channing Tatum.
музыканты: Harry Styles, Ellie Goulding, Victoria Beckham, Beyoncé, Lady Gaga and Rihanna, Taylor Swift, Katy Perry, Adele, Snoop Dogg, Britney Spears.
спортсмены: Floyd Mayweather, Zinedine Zidane, Neymar, David Beckham, Ronaldinho.

http://www.thedailybeast.com/hackers-make-searchable-database-to-dox-instagram-celebs

интересно, что Instagram не может сказать, сколько аккаунтов пострадало. http://blog.instagram.com/post/164871973302/170901-news

и опять утечка данных через AWS — в этот раз данные различных контракторов из частных компаний, специализирующихся на работе с наемниками http://www.zdnet.com/article/thousands-of-sensitive-mercenary-resumes-exposed-after-server-security-lapse/

а вот тоже из прекрасного, как я люблю. интернет-провайдет AT&T раздает своим пользователям модемы, логин и пароль к которым для доступа по SSH захардкожен в устройстве, что позволяет, используя известную уязвимость, получить рутовый доступ к устройству https://www.nomotion.net/blog/sharknatto/

большая и детальная презентация о взломе "умных" дверных замков https://conference.hitb.org/hitbsecconf2017ams/materials/D2T3%20-%20Slawomir%20Jasek%20-%20Blue%20Picking%20-%20Hacking%20Bluetooth%20Smart%20Locks.pdf

Наверняка же кто-то из Эстонии читает этот канал (как минимум, один человек, который мне уже прислал вопрос "что там с картами резидентов Эстониии — точно читает). Короче, там в национальных ID-картах, которые выдаются электронным резидентам страны (и которые, по сути, являются основным документом), обнаружена потенциальная уязвимость, которая может быть использована злоумышленниками для, как я понимаю, несанкционированного использования карт. Технических деталей о том, что за уязвимость, пока нет, но речь идет о почти 750 тыс картах, выданных с октября 2014 года. Местные политики начали призывать к тому, чтобы отложить местные выборы, назначенные на 16 октября, так как больше трети избирателей голосуют, используя эти ID-карты, но премьер-министр страны говорит о том, что, возможно, они просто запретят использование карт при голосовании. https://www.schneier.com/blog/archives/2017/09/security_flaw_i.html

ESET предупреждает о новой волне интернет-мошенничества. Злоумышленники рассылают фишинговые письма от имени платежной системы Mastercard и используют для кражи данных пользователей взломанный сайт правительства Мексики.

Сообщение спамеров начинается с неперсонализированного приветствия. В тексте письма говорится о блокировке учетной записи в платежной системе. Чтобы восстановить доступ к сервисам Mastercard, пользователю предлагают перейти по ссылке и обновить информацию.

Если жертву не смутит отсутствие личного обращения и адрес отправителя, не имеющий отношения к Mastercard, он перейдет на поддельный сайт. Там, согласно «законам жанра», его ожидает анкета для ввода персональных и платежных данных, включая номер, срок действия и CVV банковской карты.

Заполнив анкету и нажав кнопку «Ввод», пользователь отправит все данные злоумышленникам. Информация может быть использована для списания средств с карты.

Спам-атака могла бы показаться рядовой, если не одна особенность – фишинговая страница размещена на домене .gob.mx, который принадлежит правительству Мексики. Вероятно, злоумышленники получили доступ к учетной записи администратора домена или использовали уязвимость сервера. Специалисты ESET сообщили об инциденте в Центр реагирования на компьютерные угрозы Мексики (СERT-МХ).

Павел Дуров рассказывает, как его склоняли к сотрудничеству агенты ФБР (много текста на английском https://thebaffler.com/salvos/the-crypto-keepers-levine, краткое содержание на русском — тут https://meduza.io/news/2017/09/05/pavel-durov-rasskazal-kak-agenty-fbr-prishli-v-ego-s-emnyy-dom-v-kalifornii-i-predlozhili-sozdat-chernyy-hod-v-telegram)

Друзья, вы когда присылаете мне ссылку, снабжайте её какой-нибудь сопровождающей информацией. а то приходится поднимать VM для того, чтобы открыть одну ссылку (да, я параноик!)

Кстати, об Эстонии. Это как раз из ссылки, присланной читателем — обнаружилось, что Эстония призывает Европейский Союз к тотальной слежке за пользователями в интернете https://edri.org/leaked-document-eu-presidency-calls-for-massive-internet-filtering/

Привет! Нет, не дождётесь, я всё-таки ещё живой, хотя и существенно порезанный после нескольких дней в больнице. Но вчера я всё-таки доехал домой и редакция канала в лице меня постарается возобновить регулярные трансляции из мира информационных опасностей. Самая большая новость за последние несколько дней - это взлом сайта компании Equifax, через который могли утечь данные на 143 миллиона человек в США. Вот анонс от самой компании (https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628), там в осторожных формулировках пока не подтверждается утечка данных на 143 млн человек, но все может быть. Equifax - частная компания, которая собирает данные на американских потребителей, и на основе этих данных банки принимают решение о том, давать ли кредит человеку, открывать банковскую карту, подписывать договор аренды жилья с ним и проч. В потенциально утёкшей базе - ВСЯ ЖИЗНЬ многих американских жителей, начиная от имени и адреса, и заканчивая номером социального страхования, к которому привязано вообще всё! Представьте себе, что утекла вся база Госуслуг, например, да и то оно не описывает масштабов. (Так как я недавно получал кредит на покупку дома, то и мои данные там точно есть. Более того, недавно мне пришли странные письма от банка с формулировкой «мы не можем вам сейчас выдать кредит», и я подозреваю, что эти события могут быть вполне связаны я это выясняю сейчас с банком). В любом случае, утечка очень плохая, но пока что 100% подтверждения ей нет, и всплывающие в интернете пока что оказывались фейками. Есть подозрение, что сайт был взломан с использованием уязвимости CVE-2017-9805 в Apache Struts, которую как раз исправили в начале августа. И ведь дальше будет только хуже :(

Вторая моя любимая история за последние несколько дней - это взлом казино через аквариум. Да-да, я не опечатался: хакеры подключились через интернет к «умным» сенсорам для мониторинга воды в аквариуме, а оттуда получили доступ к сети казино и скачали 10 ГБайт данных. Все как я люблю! https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/

А вот тут ещё какая-то аццкая жопень с уязвимостями, которые могут распространяться в том числе и через Bluetooth, затрагивающая чуть ли не все существующие устройства - телефоны, компьютеры, IoT, даже имя своё заработала - BlueBorne. Шутка ли - потенциально затрагивает 8 млрд устройств! Что-то вроде Broadpwn, но не требует WiFi. https://www.armis.com/blueborne/ (за ссылку в том числе спасибо читателю Артёму)

Хорошие новости, что про уязвимости сообщили крупным вендорам, и там все не так уже и плохо
Google – апдейт вышел 4 сентября
Microsoft – апдейт вышел 12 сентября
Apple – текущая версия не содержит уязвимости
Samsung – ответа не получено
Linux – апдейт должен выйти 12 сентября

вдогонку про Equifax, взлом сайта которой, возможно, привел к утечке персональных данных на 143 млн человек. Сама компания утверждает, что злоумышленники воспользовались уязвимостью в софте сайта — Apache Struts, только CVE-2017-5638, а не то, о чем я писал раньше. проблема в том, что эта уязвимость была исправлена 6 марта этого года. Короче, опять бестолковость подвела. https://www.equifaxsecurity2017.com/

и говоря о бестолковости. В Аргентине сайт местного Equifax тоже хакнули. Ну как хакнули. когда у админского аккаунта логин И пароль admin, то я даже не знаю, считается ли это за хак https://www.bbc.co.uk/news/amp/technology-41257576

В США все никак не отстанут от Лаборатории Касперского. Deparment of HomeLand Security — министерство национальной безопасности — выдало указание всем веткам федеральных органов идентицифировать все места, где используются продукты ЛК, и в течение 90 дней разработать план по прекращению использования продуктов компании. https://www.dhs.gov/news/2017/09/13/dhs-statement-issuance-binding-operational-directive-17-01

а там еще несколько дней назад была инфа, что крупный ритейлер электроники BestBuy прекратил продажу коробочных продуктов ЛК. Вот ведь прицепились они к Евгению.

кстати, о ЛК. их исследование показывает, что в мире сейчас находится более 1,65млн компьютеров, которые майнят биткойны для кого-то еще. хотя как по мне, их, наверно, на самом деле гораздо больше
https://www.bleepingcomputer.com/news/security/over-1-65-million-computers-infected-with-cryptocurrency-miners-in-2017-so-far/

ну и хорошие новости для Мак-юзеров. многие знают программу LittleSnitch для Мака — файерволл исходящих подключений. Но не все готовы платить за него деньги, которые за него просят. Патрик Вардл, автор блога Objective-See и давно рекомендуемой мной программы Block Block, выпустил _альфа-версию_ аналога LittleSnitch, под названием LuLu. В отличие от других продуктов Патрика, LuLu еще и в open source, что полезно для параноиков, помнящих, что он работал в NSA. Короче, все на ваш страх и риск, но мне кажется, что эта утилита будет полезной многим https://objective-see.com/products/lulu.html

Вспомнил, что хотел спросить. Занимается ли тут кто-то тестированием информационной безопасности компаний? Один из читателей канала заинтересован в подобной услуге. Если кому-то интересно - напишите мне в почту, я передам контакты.

Важный момент: я не знаю, насколько в России отрегулирована эта сфера. Кто его знает, как там взлом от тестирования они отличают в рамках уголовного кодекса. Так что на ваше усмотрение, конечно же.