Тут у New York Times как раз вышла большая статья о последствиях для NSA от утечек, которые публикуют Shadow Brokers. Если вкратце - ничего хорошего https://www.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

Некие вьетнамцы из компании Bkav утверждают, что им удалось обмануть Face ID с помощью маски, которую они собрали из каких-то подручных материалов и участков, напечатанных на 3Д принтере. Вот страница, где они рассказывают о своём достижении, там же есть видео с демонстрацией
http://www.bkav.com/d/top-news/-/view_content/content/103968/face-id-beaten-by-mask-not-an-effective-security-measure

Прежде чем паниковать и утверждать, что «эпол опять всех нажучила с рассказами про безопасность Face ID”, стоит сделать глубокий вдох и выдох. Во-первых, там есть какой-то скользкий момент на видео, когда маска разблокирует айфон, не видно анимации замочка, показывающего разблокировку от Face ID. Во-вторых, непонятен процесс производства такой маски - как нужно, например, сканировать лицо, чтобы такую маску воспроизвести. Вряд ли её можно сделать по фотографии. В-третьих, стоит дождаться независимой экспертизы от экспертов по безопасности, которые проанализируют детально процесс производства маски и взлома, чтобы оценить, нет ли там какого-то обмана. В-четвёртых, когда впервые появился Touch ID, тоже были демонстрации концептов по обману сканера отпечатка пальца, но это не остановило пользователей и не привело к массовым взломам сканеров отпечатков. И в-пятых, Face ID использует в том числе и машинное обучение, что означает, что в будущем механизм распознавания будет становиться лучше, поэтому даже если сейчас вьетнамцы нашли какую-то хитрость для обмана датчика, то в будущем эту хитрость вполне можно будет и элиминировать. Ну и главное - идеальных систем защиты не существует, да и Apple не обещала 100% защиты. У всех систем есть своя цена взлома, и если кто-то заморочится над печатью вашего лица в 3Д, предварительно его просканировав, да ещё и заполучив физический доступ к вашему устройству, то у вас наверняка гораздо большие проблемы, чем уязвимость у Face ID. Так что берегите там себя!

Мне тут ещё подсказывают, что «там могло быть все проще, они обучили просто faceid этой маске вместе с лицом человека». Помните, что в интернете нельзя никому верить!

храните пароли в оффлайне, говорили они...

Организация Which?, занимающаяся правами потребителей в Великобритании, представила отчет, в котором назвала «умные игрушки» опасными для детей. По данным Which?, игрушки с Bluetooth, Wi-Fi и мобильными приложениями плохо защищены от сторонних вмешательств. В организации уверены, что к такой игрушке может подключиться кто угодно. Если в девайс встроен микрофон и динамик, то преступники (например, педофилы или воры) могут войти в контакт с ребенком и использовать несовершеннолетнего в своих интересах.

https://www.which.co.uk/news/2017/11/safety-alert-see-how-easy-it-is-for-almost-anyone-to-hack-your-childs-connected-toys/

Среди игрушек, которые Which? считает небезопасными, есть знаменитые куклы Furby Connect, роботы i-Que и животные Cloudpets.

По словам Алекса Нилла, занимающегося в Which? домашними продуктами и сервисами, игрушки с беспроводной связью становятся все более популярными. Родители детей должны подумать перед покупкой, смогут ли они обеспечить безопасность своего ребенка, если производитель с этой задачей не справился.

Представитель компании Hasbro (производитель Furby Connect) сказал, что специалисты Which? могли проводить свое исследование «в очень специфичных условиях», требующих серьезной инженерной и технической подготовки, которая, чаще всего, отсутствует у предполагаемых мошенников.

От себя хочу добавить, что в Хасбро какие-то упоротые чуваки сидят, если они на самом деле считают, что такие взломы требуют особой подготовки. Вся информация о подобных уязвимостях и взломах тут же становится доступной в сети и зачастую в виде готовых инструментов. Подобные уходы в отказ только еще больше вредят и производителям, и пользователям.

Вот где страшно - эксперты из министерства национальной безопасности удаленно взломали и проникли в системы Боинга 757, стоящего в аэропорту. Детали взлома и доступ к каким именно системам был получен, разумеется, не разглашаются, но звучит это всё довольно таки стремно. http://www.aviationtoday.com/2017/11/08/boeing-757-testing-shows-airplanes-vulnerable-hacking-dhs-says/

Как говорят американцы, oldie but goodie, то есть старая история, но сильно хорошая. Вчера случайно наткнулся на рассказ о том, как ещё во времена СССР доблестные шпионы смогли внедрить снималку электромагнитных импульсов в новые печатные машинки IBM. С помощью этих снималок они могли получать информацию о положении шарика машинки (там крутая технология была придумана для печати), и расшифровывать набираемые тексты. Вот такая информация опасносте ещё в эпоху до массовой оцифровизации всего

https://arstechnica.com/information-technology/2015/10/how-soviets-used-ibm-selectric-keyloggers-to-spy-on-us-diplomats/

Читатель Михаил послал мне в твиттер универсальный ключ для разблокировки любого устройства и любого приложения

Лаборатория Касперского выложила отчёт о своём расследовании истории из 2014 года, когда с компьютера подрядчика Агентства Национальной Безопасности были украдены (очевидно, русскими хакерами) секретные инструменты и документация Агентства. Есть хорошие новости и плохие. Во-первых, подрядчик сам идиот, и на его компьютере было обнаружено более 120 всяких зараженных файлов, а также бэкдор, через который, видимо, и влезли злоумышленники. Во-вторых, то, что информация с компьютера подрядчика попала на сервера ЛК - это ожидаемое поведение антивируса компании, которая таким образом анализирует обнаруженные угрозы. И в третих, это поведение описано в пользовательском соглашении. Однако, плохая новость тоже в этом заключается: используя продукты ЛК, будьте готовы к тому, что ваши файлы будут скачаны с компьютера на сервера компании, и если вас это не устраивает - не пользуйтесь продукцией ЛК.
Полностью отчёт можно прочитать тут https://securelist.com/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us/83210/

Меня тут ревностно поправляют доблестные сотрудники Лаборатории Касперского, что «не пользуйтесь» продуктами - это слишком радикальное предложение, тем более, что и конкуренты тоже подобными вещами занимаются. Достаточно в настройках отключить опцию отправки подозрительных файлов в облако. Так что отключайте и берегите там себя :)

Я уже писал какое-то время назад про вьетнамских изобретателей, утверждающих, что им удалось обмануть Face ID. https://t.me/alexmakus/1450

С тех пор на bbc вышло видео, где они демонстрируют успешную разблокировку телефона, но без деталей о том, как создаётся такая маска. Более того, когда журналисты из ArsTechnica попытались выяснить детали процесса и задали много уточняющих вопросов, на большинство из них авторы «взлома» ответили очень уклончиво, а на многие не ответили вообще. Я понимаю, допустим, их желание сохранить это в тайне, например, чтобы потом кому-то продать, но выглядит это все очень подозрительно. Пока что есть ощущение, что без кооперации «жертвы» и без постепенного обучения Face ID этот метод работать не будет, а, соотвественно, для большинства пользователей он не будет представлять угрозу. Почитайте сами, как вьетнамцы увиливают от ответов и скажите, что не чувствуете в этом какого-то обмана. https://arstechnica.com/information-technology/2017/11/hackers-say-they-broke-apples-face-id-heres-why-were-not-convinced/

Ps была ещё история с мамой, у которой 10-летний ребёнок может разблокировать своим лицом телефон мамы. Там, конечно, вместе с физическим сходством работает ещё и то, о чем предупреждала Apple: у детей до определённого возраста черты лица недостаточно развиты и Face ID на них может глючить. Я бы на месте Apple в этом случае планку чувствительности занижал, хотя это повысит количество несрабатываний, а компания этого как раз хотела бы избежать. Короче, нет в жизни счастья. И идеальных технологий тоже нет.

Хорошие новости - 30% считают правильно, но плохие - ещё надо пользователей образовывать

Теперь пишут, что полиция Техаса вручила Apple ордер на разблокировку iPhone SE Девина Келли, который расстрелял 26 человек в церкви. Похоже, нам предстоит вторая часть марлезонского балета с шифрованием данных на телефонах и попытками государства получить доступ к этим данным https://www.fastcompany.com/40498367/apple-is-served-a-search-warrant-to-unlock-texas-church-gunmans-phone

Как Google следит за пользователями, даже когда передача местоположения в телефоне отключена https://qz.com/1131515/google-collects-android-users-locations-even-when-location-services-are-disabled/

Опять взломали кошелёк с криптовалютой. Никогда такого не было и вот опять https://tether.to/tether-critical-announcement/

сразу несколько читателей прислали ссылки на уязвимость в фиче чипсетов Intel для удаленного администрироваться — Management Engine. я об этом писал тут еще в мае https://t.me/alexmakus/1114, но тут подвезли новых багов и фиксов https://www.wired.com/story/intel-management-engine-vulnerabilities-pcs-servers-iot/

вот еще тоже интересная ссылка от читателя в его ТГ об обнаруженных уязвимостях в популярных микроконтроллерах STM32 https://t.me/EngineersNotes/52

Bloomberg пишет, что в 2016 году Uber подвергся хакерской атаке, в результате чего персональные данные 50 миллионов пользователей сервиса, включая имена, адреса почты и номера телефонов, оказались у хакеров. Кроме того, они украли данные 7 миллионов водителей, включая 600 тыс номеров водительских удостоверений. Компания заплатила злоумышленникам 100 тыс долларов за то, чтобы они удалили данные, и скрыла факт взлома. Теперь пришлось о нем рассказать
https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data

Прекрасное