Забавный скам в твиттере — скамеры, маскируясь под популярные аккаунты (создавая такие же имена, но заменяя символы в имени похожими юникодными), делают ответ к популярному твиту, чтобы это выглядело как тред оригинального постера, и просят прислать им немного криптовалюты, потому что они в ответ пошлют им гораздо больше криптовалюты (конечно, что же может быть логичнее?). Народ ведется 🙂
https://twitter.com/TinkerSec/status/961233575516389376

К уязвимости в Adobe Flash, о которой я писал на прошлой неделе (https://t.me/alexmakus/1740), вышел фикс, так что если у вас вдруг на компьютере есть Flash, то лучше бы его обновить
https://helpx.adobe.com/security/products/flash-player/apsb18-03.html

новость, которая будет интересна читателям из Украины — тут пишут, что у популярного почтового сервиса (оффлайновой почты) Нова Пошта вроде как угнали базу клиентов. Компания отмазывается, что данные, которые выставлены на продажу, вроде как не её. Интересно, что в процессе директор по информационным технологиям рассказал, что компания "планирует запуск криптографической защиты, анонимизации персональных и аналитических данных", что у меня вызвало логичный вопрос — А ДО ЭТОГО ОНИ ЭТО НЕ ИСПОЛЬЗОВАЛИ, ЧТО ЛИ???
https://www.epravda.com.ua/news/2018/02/6/633812/

Тут на Гитхабе внезапно кто-то выложил кусок исходного кода iBoot - грубо говоря, БИОС айфона, та часть операционной системы, которая обеспечивает необходимые проверки доверенной загрузки остальной операционной системы. Официального подтверждения нет (и, скорей всего, не будет), но эксперты сходятся на том, что код настоящий.

Потенциально это очень серьезная проблема для Apple. Утечка такого кода не означает, конечно, что завтра все ваши айфоны внезапно взломают после простого посещения какого-нибудь веб-сайта, но наличие такого кода в открытом доступе существенно облегчит поиск уязвимостей в iBoot, что может привести к созданию новых версий джейлбрейка или методов компрометации устройств. Похоже, что код, который опубликовали, относится к версии iOS 9, и с тех пор многое могло измениться, но какие-то куски кода вполне могут присутствовать и в iOS 11. Утёкший код не собирается, так как там не хватает компонентов, но все равно очень и очень неприятная история. Примечательно, что за уязвимости в iBoot Apple платит 200 тыс долларов - максимум в рамках своей bug bounty программы.

Ссылку на сам архив я тут давать, разумеется, не буду — кто захочет, сам сможет найти её в интернете. Вот можно почитать статью об этой утечке
https://motherboard.vice.com/en_us/article/a34g9j/iphone-source-code-iboot-ios-leak

Android/Locker.B – представитель семейства вредоносных программ, блокирующих доступ к операционной системе зараженного устройства. Вымогатель распространяется через форумы, специально созданные злоумышленниками, и файлообменные сервисы. Он маскируется под программу для работы с камерой в WhatsApp, антивирус для Android, мобильное приложение Dropbox или Flash Player.

После установки на смартфон или планшет вредоносное приложение запрашивает права администратора устройства. Получив необходимые разрешения, малварь блокирует доступ к операционной системе, меняя PIN-код экрана блокировки. Далее Locker.B выводит на экран требование выкупа, оформленное в классическом стиле «полицейских вымогателей».

Сумма выкупа варьируется – 25 или 50 долларов или евро. Интересно, что злоумышленники принимают выкуп подарочными картами iTunes и предоставляют жертвам подробную инструкцию по их покупке и использованию.

Издание «Фонтанка.ру» рассказало об уязвимости личного кабинета военнослужащего на сайте Минобороны России. Там заметили, что для входа без регистрации достаточно знать личный номер военнослужащего и дату его рождения — это сведения, которые пленный обязан сообщить по Женевской конвенции.

В результате, как отмечает издание, противник может получить сведения о всех выплатах российскому военнослужащему, об истории его службы и о жилищных условиях. «Фонтанка» опубликовала скриншоты (скрыв все данные) из личного кабинета погибшего в Сирии пилота Су-25 Романа Филипова, документы которого с личным номером выложили в сеть боевики.

https://meduza.io/news/2018/02/06/fontanka-smogla-bez-parolya-poluchit-dannye-pogibshego-pilota-su-25-na-sayte-minoborony-vedomstvo-nazvalo-eto-neetichnym

а вот эта история на прошлой неделе как-то прошла мимо меня — про то как взломали популярный сайт для слежения за обновлениями приложений под Мак — MacUpdate, через который распространяли вредоносное ПО для майнинга криптовалюты Monero. Можно бесконечно смотреть на три вещи: воду, огонь, и как рушится миф Мак-юзеров о том, что "для Маков нет вирусов"
https://blog.malwarebytes.com/threat-analysis/2018/02/new-mac-cryptominer-distributed-via-a-macupdate-hack/

а вот и подъехал официальный ответ Apple (я ошибался, когда говорил, что Apple не будет отвечать) по поводу утечки исходного кода iBoot:

“Old source code from three years ago appears to have been leaked, but by design the security of our products doesn’t depend on the secrecy of our source code. There are many layers of hardware and software protections built into our products, and we always encourage customers to update to the newest software releases to benefit from the latest protections.”

Я уже писал вот тут о популярном мошенничестве в твиттере https://t.me/alexmakus/1749
Вот ещё один пример. Тут наглядно видно, что злоумышленники ботами форсят такие же липовые комментарии (ставя ретвиты и лайки) для того, чтобы они были повыше в треде. Наверняка люди ведутся на такое

новость из серии "информация безопасносте!" (ну, как минимум, хорошая попытка) — с июля 2018 года все сайты, которые не будут использовать HTTPS, браузер Chrome будет отмечать как "небезопасные".
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

У Vice тут вышла статья о том, как чувак на практике в Apple украл исходный код iBoot и различные внутренние инструменты компании. Изначально предполагалось, что код не утечёт за пределы узкого круга его друзей, но в какой-то момент код всё-таки появился на Гитхабе (я писал об этом тут https://t.me/alexmakus/1752
Публикация на Гитхабе не стала сюрпризом для Apple, потому что компания мониторит сообщества джейлбрейкеров и знала о том, что у некоторых из них есть доступ к коду. Поскольку код из 2016 года и Apple была в курсе ситуации, то особой опасности для конечных пользователей эта утечка не представляет, но история все равно очень неприятная


https://motherboard.vice.com/en_us/article/xw5yd7/how-iphone-iboot-source-code-leaked-on-github

Если вам интересно, что же там в коде iBoot, то при желании легко можно найти его в других репозиториях на том же Гитхабе (первоначальный удалили по требованию Apple)

Никогда бы не подумал, что тут в канале будет Тейлор Свифт, но все же (причём это имеет отношение к информационной безопасности!) - как Тейлор Свифт предотвращает утечку своей музыки до релиза - танцоры в клипе танцуют под ритм, не слыша музыки. Там есть ещё история, как она присылала кому-то человека, у которого в подзамочном кейсе был айпад с одной песней. Получатель послушал песню, и курьер укатил с айпадом. Вот это,я понимаю, подход
https://www.buzzfeed.com/stephenlaconte/heres-how-taylor-swift-prevents-her-backup-dancers-from

Интересно, отобьют ли такие мошенники интерес к ICO? (ещё один стартап провёл ICO и исчез с полученными деньгами) https://thenextweb.com/hardfork/2018/02/12/cryptocurrency-loopx-scam-ico/

Отличная статья на Gizmodo об «умном доме» - журналистка установила для эксперимента дома кучу IoT-устройств, и рассказала о своём опыте. Там и постоянное стучание «домой» у этих устройств, и возможность вычислить различные паттерны поведения пользователя по тому трафику, который передаётся, и нешифрованный контент, из которого тоже можно узнать много интересного о пользователе. Не говоря уже об общем шатании и раздрае между производителями, и проблемами совместимости между разными устройствами. Чего стоит только «умная» кофе-машина, в случае с которой часто проще было пойти и нажать кнопку вручную. Ну и камеры наблюдения, которые радостно отправляли видео голых хозяев в облако производителя (Хозяйка утром шла сделать кофе, а датчик движения в камере активировал запись и автоматическую загрузку видео). Короче, статья очень хорошо резюмирует все то, что на сегодня удерживает меня от покупки «умных» гаджетов домой, хотя я и чувствую себя при этом луддитом.
https://gizmodo.com/the-house-that-spied-on-me-1822429852

АПД Я нашёл частичный перевод статьи тут
https://ain.ua/2018/02/09/smart-home-and-spy
Если найдёте полный перевод - дайте знать, я опубликую ссылку

Список из 4275 сайтов, на которых исполняется JavaScript для майнинга криптовалюты https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Кстати, картинка в тему о сайтах, где происходит криптомайнинг. Половина - это сайты с порнографией

вот тут какая-то, на первый взгляд, чудовищная лажа в macOS, когда любое приложение из песочницы может втихаря снимать скриншоты на Маке. Чем это грозит? Скриншоты можно прогнать через распознавание текста и, например, выяснить какие-то пароли из менеджера паролей, или просто видеть то, что вы читаете на компьютере, узнать личные детали о вас. я, конечно, стараюсь не ставить что попало на Мак, но что-то даже я напрягся
https://krausefx.com/blog/mac-privacy-sandboxed-mac-apps-can-take-screenshots

АПД меня тут попросили разъяснить, в чем тут проблема — мол, "это норма". Это проблема, когда приложения в песочнице могут это делать. А тут, похоже, для приложений в песочнице это забыли прикрыть. в iOS приложения могут делать скриншоты только себя.