мне сразу несколько читателей прислали ссылку на историю с "универсальным мобильным банком" — приложение в Google Play, которому доверились около 10 тыс человек в Украине (АПД пострадавших меньше — 
Количество зараженных устройств: 6566
Количество скомпрометированных данных держателей карт: 1200+
Количество скомпрометированных паролей: 5486),
рассчитывая получить одно приложение сразу для всех банков. А оказалось, что получили такой красивый развод
https://cys-centrum.com/ru/news/universal_mobile_banking

Привет! Канал уверенными темпами подбирается к 10 тыс читателей, что, честно говоря, меня шокирует — тема-то достаточно специфическая, не мемы с котиками. Энивей, это круто, вот что, спасибо, что читаете!
В качестве новости у меня для вас история про uTorrent — популярный клиент для торрентов, которым, я подозреваю, пользуются многие. В версии для Windows (и веб версии) обнаружили несколько уязвимостей, которые благодаря манипуляциям с DNS позволяют резолвить домен на локальный хост, что в последствии может быть использовано для исполнения вредоносного кода. Вот несколько примеров того, как это работает:
- для веб-клиента https://lock.cmpxchg8b.com/Moer0kae.html
- для десктопного клиента
https://lock.cmpxchg8b.com/utorrent-crash-test.html
https://lock.cmpxchg8b.com/Ahg8Aesh.html

уже есть версия с исправлением (http://www.utorrent.com/downloads/complete/track/beta/os/win) и скоро её добавят в механизм обновления клиента (ну, или скачайте сами)

(кстати, похожая фигня была обнаружена и для клиента Transmission https://lock.cmpxchg8b.com/rebinder.html — там тоже вышел апдейт для приложения)

Любите пользоваться Tinder? Любите и терять доступ к аккаунту! (на самом деле нет, уязвимость уже исправили, но все равно — была в Facebook AccountKit дыра, позволяющая получить доступ к учетной записи Tinder, если знать номер телефона жертвы). Детали по ссылке
https://medium.com/@appsecure/hacking-tinder-accounts-using-facebook-accountkit-d5cc813340d1

и о паролях (шутку лучше поймут те, кто может на английской мове)

какая красота — полностью написанное на Питоне средство удаленного управления Маком после удачного взлома. Модульное, умеет выкачивать пароли из Хрома, токены iCloid, делать фото камерой, качать историю из браузера, пытается получить рута, и тд.
https://github.com/Marten4n6/EvilOSX

какое-то время назад известный сервис Have I been pwned, позволяющий проверить, не утекла ли ваша учетная запись где-нибудь во время очередного взлома, запустил похожий сервис, позволяющий проверить пароль на предмет утечек. У сервиса скопилась достаточно большая база не только учетных записей, но и паролей, так что есть против чего проверять. Конечно, у настоящих параноиков возникнет подозрение, что этот сервис используется для дальнейшего сбора паролей, поэтому они не рискнут туда вводить свои данные. Но если вы не носите шапочку из фольги 24 часа в сутки, то вам сюда
https://haveibeenpwned.com/Passwords

А вот по этой ссылке как раз описано, как сервис обеспечивает безопасность тех паролей, которые вводятся в поле поиска
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2#cloudflareprivacyandkanonymity

Кстати, в качестве бонуса есть такие вот проекты типа этого (https://gist.github.com/sebkinne/c26064b27d26c44e8d13ed9e6582550c), который использует API have i been pwnd, и его можно подключить к своему сервису или приложению, и советовать пользователям не пользоваться уже утекшими паролями, например. Короче, сплошная польза

Я как-то тут уже писал про internet of dildos (https://t.me/alexmakus/1739), где “умные” вибраторы оказываются совсем не умными и легко взламываются. Но не вибраторами едиными — еще вот детские мониторы, например, над которыми злоумышленники могут получить полный контроль. Так там еще и невозможно связаться с производителем этого монитора, а 52 тыс пользовательских учетных записей уже вполне рискуют.
https://www.sec-consult.com/en/blog/2018/02/internet-of-babies-when-baby-monitors-fail-to-be-smart/index.html

еще парочка бонусных ссылок, прежде чем у вас там начнутся длинные выходные:
- лажа с правами в Linux после последнего апдейта nmp
https://github.com/npm/npm/issues/19883

- статья про то, как прокачивают скиллы хакеры Северной Кореи
https://www.scmagazine.com/north-koreas-apt37-hacking-group-expands-its-reach-and-ups-its-game-warns-researchers/article/745473/

- история про то, как фермер обнаружил на своей ферме камеру наблюдения пограничной службы США, как служба начала требовать камеру обратно, а фермер подал на нее в суд
https://arstechnica.com/tech-policy/2018/02/rancher-finds-creepy-and-un-american-spy-cam-tied-to-his-tree-sues-feds/

Я вчера писал о сервисе проверки утёкших паролей, который позволяет проверить, стоит ли использовать ваши пароли или они уже вовсю циркулируют в интернете (https://t.me/alexmakus/1794). А вот сервис 1Password, выпускающий одноименный менеджер паролей, уже прикрутил себе проверку этих паролей по API, чтобы, так сказать, далеко не ходить. Очевидно, их вполне устраивает то, как там обеспечивается сокрытие проверяемых паролей.

https://blog.agilebits.com/2018/02/22/finding-pwned-passwords-with-1password/

и снова про твиттер и мошенничество с криптовалютами (по мотивам вот этой темы, где в твиттере популярных пользователей ответами обещают озолотить тех, кто пришлет немножко криптовалюты) https://t.me/alexmakus/1758

Тут читатель канала Тимур прислал ссылочку на то, как этот развод вышел на новый уровень. Мошенники воруют верифицированные аккаунты, переименовывают их в тот аккаунт, под который они хотят мимикрировать, а дальше по проверенной схеме: ответ на популярный твит с предложением прислать немного криптовалюты, чтобы получить много в ответ, форсинг ботами ответа, чтобы он был вверху, и дальше ожидание жертвы 🙂

https://twitter.com/geoffgolberg/status/967969322319732736

Я с таким никогда не сталкивался, но пишут, что иногда ФБ заставляет пользователей установить такой антивирус и просканировать компьютер. Причем иногда это показывают Мак-юзерам, а файл — для Винды

И снова здравствуйте! Как обычно это происходит на этом канале - только плохие новости. За последние два дня практически все российские анти-DDoS-провайдеры столкнулись с атаками типа memcache amplification. Наблюдаемые объемы трафика атаки варьируются в пределах от 200 до 400 Гбит/с.

Memcache amplification — это достаточно новый вид атак, открытый китайскими исследователями в 2017 году. Суть amplification-атак в целом — в том, чтобы трафик DDoS-атаки, который атакующий создаёт с собственных серверов, на пути к жертве кратно умножался промежуточным уязвимым сервером-рефлектором. Типичные коэффициенты умножения для прежних amplification-атак (DNS Amp, SSDP Amp и других) — порядка 50-150, в случае NTP Amplification — около 500.

Уязвимость в memcached позволяет записать в память бедняги-рефлектора произвольный объём данных, а потом многократно выслать его в сторону атакуемого сайта. Ввиду этого коэффициент амплификации достаточно сложно рассчитать, поскольку наивный расчёт даёт заоблачные цифры, порядка миллионов. Qrator Labs в своём пресс-релизе отмечают, что, из их опыта, на практике коэффициент — около 9000-10000. То есть на каждый мегабит, сгенерированный атакующим, в сторону жертвы будет отправлено 10 Гбит. Если в ближайшие несколько недель ваш любимый сайт не будет открываться, возможно, причина будет именно в этом.

Самое смешное, что уязвимость сама по себе была обнаружена ещё в 2014 году, но использовать её для DDoS-атак догадались только прошлой осенью.

Почитать детали на английском тут https://medium.com/@qratorlabs/the-memcached-amplification-attack-reaching-500-gbps-b439a7b83c98


А на русском тут https://habrahabr.ru/company/qrator/blog/350074/

Похоже, что израильская компания Cellebrite (она, по неподтвержденным данным, в свое время помогла ФБР разблокировать iPhone террориста из Сан-Бернардино, Калифорния), нашла какую-то уязвимость в iOS, позволяющую разблокировать iPhone различных моделей с операционной системой вплоть до iOS 11, причем включая iPhone X. Детали традиционно не разглашаются — подобная уязвимость стоит миллионы долларов, так что остается только гадать, что это за дыра и исправит ли Apple её в будущем. Обычным пользователям, правда, переживать особо нечего — это не циркулирующая в открытом интернете информация, но все равно хочется надеяться, что кунг-фу Apple окажется сильнее и компания сможет исправить эту ситуацию

Статья на Forbes https://www.forbes.com/sites/thomasbrewster/2018/02/26/government-can-access-any-apple-iphone-cellebrite/

PDF самой Cellebrite c информацией о том, что их решение может взломать “Apple iOS devices and operating systems, including iPhone, iPad, iPad mini, iPad Pro and iPod touch, running iOS 5 to iOS 11.”

кстати, про Apple. какое-то время назад стало известно, что Apple переносит данные iCloud китайских пользователей в Китай, где дата-центром будет управлять государственная компания. Уже тогда возникли опасения, что это может облегчить правительственным организациям в Китае доступ к данным в этих бекапах. В последние пару дней появилась также информация, что Apple также передаст и ключи для дешифровки бекапов iCloud китайской стороне, что напрягло многих еще и больше (и в целом оправданно). Я так понимаю, что Apple была поставлена перед выбором “перевести iCloud для китайских пользователей в Китай или отказаться от продаж в Китае”, и понятно, какой выбор сделала компания.

Из того, что я читал по теме, выглядит все не так однозначно в подобной ситуации — когда речь идет о цифровом мире, и понятие границ крайне размывается. (как доказательство, можно привести в пример дело, которое как раз в эти дни рассматривает Верховный Суд США с Microsoft, где компанию пытались обязать выдать почту пользователя, а почта хранилась в дата-центре за пределами страны). Хранение данных инностранных пользователей в США делает их потенциально уязвимыми для наблюдения со стороны американских разведывательных и правоохранительных органов, так что для них (инностранных пользователей) это еще и риски оказаться втянутыми в какие-то расследования той же ФБР, например. Многие компании и государства не ощущают особого комфорта от того, что их данные могут храниться на каком-то там облаке на территории США (не только Китай, но и РФ требует, например, хранить персональные данные на территории страны). Да и, как мы знаем по многократным публикациям, американские органы не стесняются следить за кем попало. Однако, есть также и стойкое подозрение, что китайским пользователям есть чего опасаться в отношении слежки со стороны китайских органов. Короче, очень щекотливый вопрос.

Фото со съемок сериала “Кремниевая Долина” — они там к информационной безопасности относятся серьезней, чем многие в реальной жизни

Кролики - это не только ценный мех... ой, кажется, не туда пишу. А, не, туда! Я хотел сказать, что безопасность операционных систем - это не только наличие или отсутствие уязвимостей, но и то, как быстро производитель выпускает обновления, исправляющие обнаруженные уязвимости, как быстро эти обновления доходят до пользователей, как долго операционная система поддерживается производителем, и тд. По этому поводу компания Security Lab сделала очень хорошую табличку, сравнив разных производителей и то, как у них обстоят дела с обновлениями для безопасности. Выводы можете сделать сами

Используете #, %, & и другие символы??? Ай-ай-ай, да вы хакер!

Я вчера писал о статье ребят из компании Qrator Labs о DDoS атаках типа memcache amplification (https://t.me/alexmakus/1800). там упоминалось, что с этим столкнулись практически все российские анти-DDoS провайдеры. Однако, не Россией единой. Вот и CloudFlare пишет о том же типе атак с UDP-портом 11211 и пиками в 260Гбит/сек. По ссылке детали и что с этим делать https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

весьма забавное видео с базовыми рекомендациями про пароли! like, share, и что там еще делают по этому поводу! (на англ, но в целом все понятно)
https://www.youtube.com/watch?v=IgCHcuCw_RQ