Неприятная уязвимость в вышедшей сегодня новой версии macOS High Sierra - неподписанные приложения могут получить доступ к хранящимся в plain text логинах и паролях в Keychain. Чтобы запустить такое приложение, надо постараться и отключить встроенную в ОС защиту, но тем не менее. Берегите там себя

https://www.macrumors.com/2017/09/25/macos-high-sierra-security-vulnerability/

Хорошие новости для россиян: Facebook в 2018 году должен выполнить российский закон о локализации персональных данных, в противном случае ресурс прекратит работу на территории РФ, сообщил журналистам глава Роскомнадзора Александр Жаров во вторник.

"Закон обязателен для всех. В любом случае мы или добьемся того, чтобы закон был исполнен, или компания прекратит работать на территории Российской Федерации, как, к сожалению, произошло с LinkedIn. Тут исключений нет", - сказал Жаров, отвечая на вопрос "Интерфакса" о сроках исполнения соцсетью Facebook соответствующего закона.

Зато производительность труда вырастет.

Очень красивая визуализация различных информационных утечек. От этого ещё страшнее жить

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

За ссылку спасибо читателю Марку

Ещё немного и мне можно будет ничего не искать в интернете, читатели будут все сами мне присылать. Пишет читатель Евгений:

Сегодня ночью 8 камер DS-2CD1302-I (Firmware VersionV5.3.2 build 150525) в разных местах и на разных провайдерах были сброшены в заводские установки. HTTP и HTTPS светились в инет.

Оказалось, что прямо беда-беда ))
https://github.com/bp2008/HikPasswordHelper/
http://seclists.org/fulldisclosure/2017/Sep/23

Ситуация с обновлениями просто плачевная, в открытом доступе новых прошивок на эту серию нет, интеграторы пока тоже репу чешут.

С Делойттом, сеть которого, как оказалось, тоже взломали ранее в этом году, всё очень весело. Похоже, злоумышленники там долго тусили в сети компании и украли много различной «чувствительной» информации, включая логины и пароли к VPN, прокси и другим сервисам компании, которые теперь к тому же выложили в сети. Ирония заключается в том, что Делойтт не просто бухгалтерским и налоговым аудитом занимается, там много разных сервисов (они и мне налоги подавали в России), в том числе и аудитов информационной безопасности. Такой вот сапожник без сапог https://www.theregister.co.uk/2017/09/26/deloitte_leak_github_and_google/ (за ссылку спасибо Денису)

А вот ещё свежий взлом - популярной в штатах сети фастфуда Sonic, у которой в результате взлома украли, похоже, миллионы записей о банковских картах клиентов https://krebsonsecurity.com/2017/09/breach-at-sonic-drive-in-may-have-impacted-millions-of-credit-debit-cards/

Смешная история про патриотически-клюквенное кино «Крым», ради продвижения которого в «Кинопоиске» взломали аккаунты юзеров и накрутили фальшивый рейтинг ожидания. Оставим за кадром обсуждение самого сюжета фильма, но мне непонятно вот что. Админы «Кинопоиска» утверждают, что взломали аккаунты пользователей, и 70 тыс взломанных аккаунтов проголосовали за фильм. И якобы речь идёт о реюзе паролей, и, мол, юзеры сами виноваты. Выглядит странновато, что внезапно в одном сервисе оказалось столько юзеров, которые пользовались ранее использованными и утёкшими паролями. Ну, может, все они пользовались паролем 123456, там, я не знаю. Но мне почему-то больше кажется, что речь идёт об уязвимости в самом «Кинопоиске», а не в паролях юзеров, хотя, конечно, реюз паролей - тоже зло. Берегите пароли смолоду! https://m.facebook.com/lisa.surganova/posts/10155600744074303

Меня тут попросили прорекламировать одно мероприятие на тему информационной безопасности. Так-то я не сторонник рекламы, но оказалось, что мероприятие БЕСПЛАТНОЕ для участников, и вполне может пригодиться читателям канала, поэтому я согласился бесплатно транслировать эту информацию, вдруг кому окажется полезным:

Приглашаем вас на вторую Школу Кибербезопасности, которая пройдет с 23 по 25 октября на двух площадках: в Московском Политехе и Инновационном центре «Сколково». Заявки принимаются до 10 октября.

Официальная страница мероприятия: https://sk.ru/opus/p/cyber-security-2017.aspx. Регистрация обязательна.

Программа Школы включает серию лекций, мастер-классов и практических заданий, обзор современного рынка информационной безопасности и перспективных направлений для продолжения образования и развития своей карьеры, лекции по веб- и облачной безопасности, технологии блокчейн.

Как проходила первая Школа Кибербезопасности можно посмотреть по ссылке https://vk.com/album-134639999_244456113

На прошлой неделе Apple опубликовала документ с деталями о том, как будет работать Face ID. Я рекомендую почитать этот документ, он содержит в себе ответы на вопросы, которые возникли после презентации iPhone X и анонса Face ID. Из документа можно узнать про цифровую репрезентацию лица, хранящуюся в Secure Enclave, о том, что данные с телефона никуда не уходят, как происходит обучение нейросети новым лицам и изменениям в лице пользователя, и что у близнецов вероятность ложного срабатывания выше, чем стандартные 1 из миллиона. Apple надо было этот документ опубликовать сразу, было бы меньше истерик и глупостей в интернете https://images.apple.com/business/docs/FaceID_Security_Guide.pdf

И вот ещё шикарная история с прошлой недели - про веб-сайты, которые втихаря майнят криптовалюту вашим компьютером, пока вы их посещаете. Никому нельзя верить, вообще никому https://www.theverge.com/2017/9/26/16367620/showtime-cpu-cryptocurrency-monero-coinhive

Ранее в сентябре Apple выпустила новые версии iOS и macOS. Всегда интересно потом читать содержимое фиксов безопасности новых версий — понимаешь, сколько опасностей нас на самом деле подстерегает, а мы и не знали

iOS 11 https://support.apple.com/en-us/HT208112
macOS 10.13 https://support.apple.com/en-us/HT208144

ссылка от читателя Якова, за что ему спасибо. все как я люблю, никогда такого не было, и вот опять! внезапно оказалось, что многие секс-игрушки с Bluetooth легко перехватить и получить над ними контроль. даже придумали название для такого процесса — screwdriving. находишь такое устройство поблизости, захватываешь управление, и замучиваешь пользователя вибрациями до смерти. ну, может, не до смерти, но в целом может оказаться неприятно. не устану повторять, что дальше будет только хуже — люди, которые понятия не имеют об информационной безопасности, лепят WiFi и BT куда попало, делая все устройства вокруг "умными", а на самом деле потом мы получаем ботнеты, обрушивающие интернет, и устройства, которые допускают утечку пользовательских данных. лучше я буду луддитом, да https://www.pentestpartners.com/security-blog/screwdriving-locating-and-exploiting-smart-adult-toys/

а вот еще спасибо читателю Тиграну за ссылку — Баг в Internet Explorer позволяет видеть содержимое адресной строки пользователя

https://3dnews.ru/software-news/959186

помните такую компанию Yahoo? ранее стало известно, что их систему взломали и речь шла о том, что злоумышленники получили доступ к информации о миллиарде пользователей? так вот вчера компания призналась, что в рамках взлома в 2013 году злоумышленники получили доступ к данным всех 3 миллиардов зарегистрированных пользователей в системе Yahoo. что меня в этом удивляет, конечно, так это откуда у Yahoo 3 миллиарда пользователей? видимо, многие из них боты и прочие спам-аккаунты, но тем не менее, логины-пароли-даты рождения и прочее тютю.
https://www.cnbc.com/2017/10/03/yahoo-every-single-account-3-billion-people-affected-in-2013-attack.html

кстати, прочитал интересный и полезный совет. Даже если вы больше не планируете пользоваться аккаунтом в Yahoo (это если он у вас был), не стоит идти и удалять его. дело в том, что через 30 дней после удаления аккаунта его можно опять создать — то есть при желании злоумышленники, найдя аккаунт в утекшей базе, могут создать его вместо удаленного, и туда что-то полезное вполне еще может упасть. лучше настроить на нем 2FA и забыть про него.

нет, я понимаю, что софт пишут люди, и баги и лажи случаются. но когда Apple, которая столько говорит о внимании к деталям и о безопасности информации пользователей, допускает подобные проколы, у меня просто нет слов. (при создании зашифрованного APFS-диска вместо хинта показывается пароль) https://twitter.com/felix_schwarz/status/915851372217683970/video/1

Тут, короче, такое дело. Про трудности Лаборатории Касперского в США я уже как-то писал - там (тут) запретили использовать продукты компании в государственных федеральных учреждениях. А сегодня ещё вышла статья в WSJ, в которой рассказывается, что продует ЛК стал инструментом для взлома-кражи важных документов NSA. Якобы некий контрактор NSA, частное лицо, взял секретные документы с работы домой, скопировал их на домашний компьютер, подключённый к интернету, на его компьютере был антивирус Касперского, и через это антивирус, используя 0-day уязвимость, русские хакеры залезли и украли эти самые секретные документы. Звучит, конечно, как фантастическая история, но после таких историй путь продуктам ЛК на рынок США точно будет закрыт.

Ссылка вот, но там paywall https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108

Вот пересказ в версии Reuters http://www.reuters.com/article/us-usa-cyber-nsa/russian-hackers-get-u-s-cyber-defense-details-from-nsa-wsj-idUSKBN1CA2DO?il=0

Поправка: в статье не говорится, что хакеры использовали антивирус Касперского для взлома, но как-то с его помощью проанализировали метаданные на компьютере (имена файлов?) и после этого уже неизвестным образом произошёл взлом компьютера

А вообще, как известно, у NSA много именно хакерских инструментов, по поведению не отличающегося от вредоносных вирусов - та самая «Equation group». Вот антивирус и затриггерился на таких файлах, и в облако постучал. Этим объясняется твит Евгения Касперского, что «мы всегда активно ищем новые угрозы», который он написал перед выходом этой статьи в WSJ

О - Оперативность. Я писал раньше про багу в macOS 10.13 с шифрованными разделами под APFS. Так вот, Apple уже выпустила апдейт, исправляющий эту проблему. И заодно - дыру в кейчейне закрыли, которая позволяла пароли в плейнтексте воровать https://support.apple.com/en-us/HT208165

сегодня пятница, а это значит, что у меня только плохие новости. в 2014 году взломали bitly (сервис сокращения ссылок). 9 миллионов аккаунтов, включая логины и пароли (там даже мой аккаунт оказался). так что если у вас был/есть аккаунт на bitly, то лучше поменять пароль, и убедиться, что он больше нигде не используется. проверить себя можно на haveibeenpwned.com