еще 5,2 млн аккаунтов в 2014 году утекли со взлома kickstarter, так что советы все те же — менять пароль, и дальше по тексту
а вот куда менее прозаичная история. подозревается, что личный смартфон Джона Келли, который сейчас является главой администрации президента США, был скомпрометирован неизвестными злоумышленниками в прошлом году, когда он руководил министерством нацбезопасности США. из статьи непонятно, какая платформа смартфона у него была, но речь идет о том, что якобы телефон начал глючить и "перестал апдейтиться", айтишники начали разбираться и в процессе выяснилось, что что-то там с телефоном сильно не так и что он, скорей всего, был взломан. какие данные получили злоумышленники и кто они были, в статье тоже не говорится.
http://www.politico.com/story/2017/10/05/john-kelly-cell-phone-compromised-243514
PS ни слова об иронии, если взламывают телефон министра, отвечающего за национальную безопасность
http://www.politico.com/story/2017/10/05/john-kelly-cell-phone-compromised-243514
PS ни слова об иронии, если взламывают телефон министра, отвечающего за национальную безопасность
POLITICO
John Kelly's personal cellphone was compromised, White House believes
White House tech support discovered the suspected breach after Kelly turned his phone in to tech support staff this summer.
и какая-то мутная история про то, как приложение Uber на iPhone обладало скрытой функциональностью, позволявшей записывать содержимое экрана телефона, даже если приложение Убера находилось в фоне. мутная она не потому, что неизвестны детали – деталей там как раз хватает, а потому, что, похоже, что такая функциональность не могла быть реализована без санкций Apple, и как раз комментария компании в самой статье не хватает. Убер говорит, что функциональность будет удалена из приложения. (но осадочек традиционно останется) https://gizmodo.com/researchers-uber-s-ios-app-had-secret-permissions-that-1819177235
Gizmodo
Researchers: Uber’s iOS App Had Secret Permissions That Allowed It to Copy Your Phone Screen
To improve functionality between Uber’s app and the Apple Watch, Apple allowed Uber to use a powerful tool that could record a user’s iPhone screen, even if Uber’s app was only running in the background, security researchers told Gizmodo. After the researchers…
С утра вам будет полезно узнать, что Disqus (сервис комментариев) был в 2012 году взломан и 17.5 млн аккаунтов - юзернеймы и SHA1-hashed пароли - сейчас всплыли. Традиционно пароль нужно сменить и убедиться, что вы его не используете в других сервисах https://blog.disqus.com/security-alert-user-info-breach
Disqus
Security Alert: User Info Breach
On October 5th, we were alerted to a security breach that impacted a database from 2012. Here is more information about the incident.
Интересная уязвимость в WhatsApp, позволяющая увидеть, когда контакты между собой общаются https://robertheaton.com/2017/10/09/tracking-friends-and-strangers-using-whatsapp/
Robert Heaton
Tracking friends and strangers using WhatsApp | Robert Heaton
You and your good buddy, Steve Steveington, are in training for an arduous charity walk. You signed up together on the spur of the moment and pledged to hold each other accountable whilst you got in shape for the big day. However, you have developed reason…
Если вы качали AdBlock для Хрома в последнее время, проверьте, настоящий ли AdBlock вы скачали - там в Chrome WebStore какое-то время лежал ещё и фальшивый. Рекламу в интернете он фильтрует, но удовольствия от этого не приносит https://www.engadget.com/2017/10/09/fake-adblock-plus-chrome-extension/
Engadget
37,000 Chrome users downloaded a fake Adblock Plus extension
A spammy Adblock Plus extension made it through Chrome's verification process.
Основная история, обсуждаемая в последние пару дней - все ещё история с Лабораторией Касперского. Она усложнилась с выходом статьи в NYT, где рассказывается, что израильские спецслужбы ещё в 2014 году получили доступ к инфраструктуре ЛК и обнаружили, что данные ЛК активно анализируются российскими спецслужбами на предмет наличия различных материалов, составляющих государственную тайну. ЛК уже опубликовали заявление, что они будут расследовать материалы из статьи, но, я думаю, американский рынок для компании уже потерян
https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html
https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html
NY Times
How Israel Caught Russian Hackers Scouring the World for U.S. Secrets (Published 2017)
Exploiting the popular Kaspersky antivirus software, Russian hackers searched millions of computers for American intelligence keywords. Israeli intelligence tipped off American officials.
Аналитика, которую собирают смартфоны OnePlus, настолько обширная, что её можно назвать слежкой за пользователями
http://www.chrisdcmoore.co.uk/post/oneplus-analytics/
http://www.chrisdcmoore.co.uk/post/oneplus-analytics/
www.chrisdcmoore.co.uk
OnePlus OxygenOS built-in analytics
We take a look at the analytics built into the OxygenOS, the flavour of Android built by phone manufacturer OnePlus.
Привет! Редакция канала возвращается к вам после небольшой медицинской паузы и у меня для вас только плохие новости. Говорят, сломали WPA2, официальный отчёт об этом должны опубликовать через час. Пока что только вот такие обсуждения https://arstechnica.com/?p=1187013
В каком-то из обсуждений я встречал, что вроде как аттакер уже должен быть подключён к базе, чтобы реализовать взлом, так что отключать свой домашний вай-фай в панике не стоит. Ждём публикации отчёта.
В каком-то из обсуждений я встречал, что вроде как аттакер уже должен быть подключён к базе, чтобы реализовать взлом, так что отключать свой домашний вай-фай в панике не стоит. Ждём публикации отчёта.
Ars Technica
Serious flaw in WPA2 protocol lets attackers intercept passwords and much more
KRACK attack is especially bad news for Android and Linux users.
Меня тут поправляют, что отчёт уже опубликован - https://www.krackattacks.com/
Из него можно узнать, что уязвимость - в самом протоколе WPA2, затрагивает практически все продукты с WiFi, и позволяет перехватывать данные с устройств. Хорошая новость - уязвимость патчится, так что ставьте апдейты, как только они выходят от соответствующих вендоров
Из него можно узнать, что уязвимость - в самом протоколе WPA2, затрагивает практически все продукты с WiFi, и позволяет перехватывать данные с устройств. Хорошая новость - уязвимость патчится, так что ставьте апдейты, как только они выходят от соответствующих вендоров
Krackattacks
KRACK Attacks: Breaking WPA2
This website presents the Key Reinstallation Attack (KRACK). It breaks the WPA2 protocol by forcing nonce reuse in encryption algorithms used by Wi-Fi.
Особенно не повезло пользователям Android, кстати - вплоть до манипуляций с трафиком устройств и инъекций ransomware кода https://www.krackattacks.com/#details-android
Krackattacks
KRACK Attacks: Breaking WPA2
This website presents the Key Reinstallation Attack (KRACK). It breaks the WPA2 protocol by forcing nonce reuse in encryption algorithms used by Wi-Fi.
Возможно, скоро Телеграм таки заблокируют в России https://republic.ru/posts/87033
republic.ru
Telegram оштрафовали за отказ сотрудничать с ФСБ. Что будет дальше: схема
Мессенджеру грозит блокировка на территории России
статус разных вендоров с фиксами для KRACK https://char.gd/blog/2017/wifi-has-been-broken-heres-the-companies-that-have-already-fixed-it
Charged
WiFi is broken – here's the companies that have already fixed it
Charged Tech is an independent technology blog and podcast, designed to save you time reading clickbait, getting you to what you need to know.
Apple says the security vulnerability has been fixed in the beta versions of the next software updates to iOS, macOS, watchOS, and tvOS. These releases are expected this month
Тут ещё и с RSA-ключами все плохо
https://crocs.fi.muni.cz/public/papers/rsa_ccs17
https://crocs.fi.muni.cz/public/papers/rsa_ccs17
Про ключи: Там не с самими криптографическими ключами проблема, а с реализацией генерации пар ключей в библиотеке, которая использовалась во всяких железках, в том числе и в смарт-картах. Например в удостоверяющихся документах, я так понимаю это то, о чем эстонцы говорили нескольо месяцев назад. Суть в том, что из-за ошибки в алгоритме генерации ключей по публичному ключу можно восстановить приватный.
https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/
https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/
Ars Technica
Millions of high-security crypto keys crippled by newly discovered flaw
Factorization weakness lets attackers impersonate key holders and decrypt their data.
А про ключи читатель ещё напоминает, что Тут еще помимо всего прочего все ключи Yubikey 4 подвержены этой проблеме.
https://www.yubico.com/support/security-advisories/ysa-2017-01/
https://www.yubico.com/support/security-advisories/ysa-2017-01/
Yubico
Security advisory YSA-2017-01
Security advisory pertaining to Infineon weak RSA key generation. We were informed of a of a security issue in their firmware cryptographic libraries.
вот вы думали, что когда Adobe сказала, что Flash умер, то это все? а вот и нет, Flash наносит удар из потустороннего мира. у них там аццкая уязвимость с RCE https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/, поэтому если у вас гдето еще есть Flash, то надо срочно-срочно апдейтить https://helpx.adobe.com/security/products/flash-player/apsb17-32.html
Securelist
BlackOasis APT and new targeted attacks leveraging zero-day exploit
On October 10, 2017, we identified a new Adobe Flash zero day exploit used in the wild against our customers. The exploit was delivered through a Microsoft Office document and the final payload was the latest version of FinSpy malware.
а вот и первый proof of concept с использованием KRACK https://github.com/vanhoefm/krackattacks-test-ap-ft
GitHub
GitHub - vanhoefm/krackattacks-scripts
Contribute to vanhoefm/krackattacks-scripts development by creating an account on GitHub.