не так, чтобы сюрприз, но просто забавные формулировки:

Россия технически готова к отключению от мирового интернета, но процесс не будет безболезненным. Об этом заявил советник президента России по вопросам развития интернета Герман Клименко в интервью программе «Поздняков» на телеканале НТВ.

«Но само по себе аппаратно-программно нет никаких противопоказаний, чтобы мы жили хорошо и нормально, даже если нам объявят такую войну, как крымская изоляция», — сказал советник президента.

Он отметил, что при переходе с одной технологии на другую сбои бывают всегда. Любая система характеризуется не ошибками и сбоями, а реакцией на ошибки и сбои, отметил Клименко. «Где-нибудь у кого-нибудь что-нибудь отключится. Наверное, выяснится, что кто-то хранил свои данные за рубежом, хотя есть постановление хранить здесь. Кто-то домены свои хостил за рубежом. Поэтому они, наверное, будут испытывать некоторые трудности», — пояснил он.

Так что смотрите там, осторожно с хранением данных за рубежом, а то будут некоторые трудности!

Страховались в АльфаСтрахование? Ваши данные могут быть доступны неизвестно кому
https://geektimes.ru/post/298763/

АПД: данные вычистили, кто не успел — тот опоздал.

А вот еще ссылка от читателя канала — тут в облаке Мейлру лежат публично доступные всякие базы данных клиентов организаций, граждан, форумов, сайтов, паролей, майнеров, и много всякого другого разного. качайте, конечно, на свой страх и риск, если оно вам надо
https://cloud.mail.ru/public/8hWf/qzFXQC1H1

Забавный апдейт про эту выкладку материалов на Мейлру (https://t.me/alexmakus/1821), которую быстренько убрали. Знакомый открыл эту ссылку на домашнем компьютере сразу после публикации, и оставил открытой. Вечером пришёл домой, когда контент уже был недоступен для просмотра (если кликать по ссылке), но окно со списком у него оставалось открытым. И угадайте что? Правильно, все скачалось! Я уж не знаю, это техническая бага у Мейлру или провал в логике, но выглядит это, скажем так, нехорошо. Так что осторожно вы там!

Вчера был длинный и сложный день, поэтому было немного не до канала. Но новости-то на месте не стоят! Поэтому вдогонку за вчера ссылками всякие интересные штуке из мира информационных опасносте:

1. Интересный твит-тред чувака, у жены которого увели iPhone, и как пытались фишингом выдурить у него пароль для iCloud, чтобы отвязать телефон от аккаунта
https://twitter.com/kapowaz/status/970778193950138368

2. Несколько дней назад я писал о VPN-клиенте, который предлагает установить приложение Facebook (https://t.me/alexmakus/1770). По ссылке — статья с более детальным анализом этого приложения и информации, которая о вас собирается и передается в ФБ, если вы пользуетесь этим приложением
https://medium.com/@chronic_9612/notes-on-analytics-and-tracking-in-onavo-protect-for-ios-904bdff346c0

3. И еще о сборе пользовательских данных. Есть тут в Штатах такой стартап, называется MoviePass. Идея в целом благородная, платишь регулярную абонплату и ходишь в кинотеатры смотреть фильмы сколько угодно (ну, не сколько угодно, там есть целый ряд ограничений, но тем не менее). Так вот, тут их CEO внезапно начал хвастаться тем, что приложение собирает о пользователях кучу всякой информации даже когда они не пользуются приложением: как пользователи едут из дома в кино, что они делают после сеанса, и тд. Мне кажется, кто-то пропустил историю о том, как Uber заловили за сбором информации о пользователях после поездки, и кому-то придется извиняться перед пользователями.
https://www.mediaplaynews.com/ceo-mitch-lowe-says-moviepass-will-reach-5-million-subs-by-end-of-year/

4. Еще одна компания утверждает, что они тоже могут разблокировать iPhone вплоть до телефонов с версией iOS 11 — за 15 тыс долларов дается 300 попыток, за 30 тыс долларов — с неограниченными попытками. Очевидно, они, как и Cellebrite, обладают знанием о какой-то уязвимости в iOS, причем включая даже iPhone X, позволяющие обойти защиту Apple и получить данные с телефона. Мне кажется, кому-то в Купертиновке стоит пересмотреть свою позицию по поводу того, каким защищенным является iPhone
https://www.forbes.com/sites/thomasbrewster/2018/03/05/apple-iphone-x-graykey-hack/#298d17442950


5. Passhunt is a simple tool for searching of default credentials for network devices, web applications and more. Search through 523 vendors and their 2084 default passwords.
https://github.com/Viralmaniar/Passhunt

6. а вот этот скрипт можно использовать для проверки паролей в менеджере паролей LastPass против базы уже утекших паролей
https://github.com/dionysio/haveibeenpwned_lastpass

в рамках почти пятницы — как выглядят хакеры, которые что-то там взламывают (тру стори)

Несколько вредоносных приложений для Мака за последнее время, включая такие с возможностью удаленного доступа (Remote Access tools):

OSX/Coldroot: This newly detected RAT can spy on users by logging their keystrokes, capturing screenshots or keeping track of apps in use. It may also delete files or download additional malware based on instructions received from its command-and-control server.
https://www.intego.com/mac-security-blog/osxcoldroot-and-the-rat-invasion/

CrossRAT: Cross-platform Java software designed to infect Macs, Windows, and Linux systems. This RAT is associated with Dark Caracal, a global cyber-espionage campaign believed to have nation-state backing.
https://www.intego.com/mac-security-blog/new-crossrat-malware-used-in-global-cyber-espionage-campaign/

EvilOSX: First discovered in May 2017, its February 2018 variant may have been flagged after the detection of OSX/Coldroot prompted further investigation into Mac RATs. Among other things, the new version can steal your browser history and passwords, or spy on you through your webcam.
https://www.intego.com/mac-security-blog/new-evilosx-malware-spotlights-risk-of-poor-password-hygiene/

OSX/Shlayer: Though not a RAT, malware researchers uncovered multiple variants of new Mac malware showcasing an interesting new twist on a classic malware attack in order to install adware on infected Macs. What’s unusual is that it leverages code-signed shell scripts to do its dirty work.
https://www.intego.com/mac-security-blog/osxshlayer-new-mac-malware-comes-out-of-its-shell/

Берегите свои Маки!

Тут ещё читатель канала прислал:

Добрый день! Раз уж на канале зашла речь про проверки менеджеров паролей по базам утёкших паролей, такая штука есть и для Keepass: https://github.com/andrew-schofield/keepass2-haveibeenpwned

Вот ещё ссылка от читателя. Не столько про потерю данных, но тоже забавно:

Привет. Хотел бы поделиться прекрасной новостью на канал про инфосек.

Разработчики Oculus Rift забыли продлить сертификат безопастности на Oculus Runtime и из-за этого все до единого "Окулусы" превратились в кирпичи. На данный момент единственный workaround - отмотать на сутки назад часы на компьютере. Так что за ssl сертификатами надо следить, а не только настраивать их при первоначальной настройке :)

https://twitter.com/oculus/status/971436953534107649

Привет! Несмотря на праздники и прочее, у меня все равно для вас есть интересные новости. Например, помните, я писал про memchached атаки (вот тут https://t.me/alexmakus/1800 и тут https://t.me/alexmakus/1807). Так вот, есть интересная заметка о том, как простым сканом по интернету находятся тысячи уязвимых серверов, и как можно подобные атаки нейтрализовать

http://blog.erratasec.com/2018/03/some-notes-on-memcached-ddos.html

А вот, например, сайт top10vpn.com провели исследование о стоимости всяких логинов-паролей в интернете, которые можно купить в том самом загадочном “темном интернете”. Например, логин в PayPal стоит 247 долларов, за банковский аккаунт нужно заплатить 160 долларов, аккаунт в ФБ продают за 5,2 доллара, а логины в Gmail — так вообще всего за доллар (что, кстати, я нахожу странным, потому что, в теории, почта — это доступ к многим другим аккаунтам, потому что восстановление пароля, вот это все). За аккаунт Apple ID платят 15,4 доллара. Полный список можно посмотреть по ссылке

https://www.top10vpn.com/privacy-central/privacy/dark-web-market-price-index-feb-2018-us/

Dofoil или Smoke Loader — новое вредоносное ПО, которое майнит криптовалюту (очевидно, даже с упавшей в последнее время стоимостью это все равно выгодное дело). Интересно, что этот Dofoil каким-то образом умудрилось распространиться на почти 500 тыс компьютеров за 12 часов

https://thehackernews.com/2018/03/cryptocurrency-mining-malware.html

Несколько дней назад я писал о приложении MoviePass, где CEO компании хвастался тем, как они следят за пользователями до и после похода в кино (https://t.me/alexmakus/1823). Короче, одумались они быстро и вот уже вышел апдейт приложения, в котором излишний трекинг местоположения пользователей был удален

https://www.engadget.com/2018/03/07/moviepass-pulls-unused-app-location-features-from-its-ios-app/

И небольшой анонс по каналу. На следующей неделе я буду в отпуске, поэтому а) хорошие новости заключаются в том, что спамить вас я буду меньше, и б) плохие новости заключатся в том, что информация опасносте быть не перестанет 🙂 В общем, я все равно постараюсь хотя бы иногда постить менее регулярные и менее развернутые апдейты. Берегите себя!

и пока я не ушел, популярная сегодня ссылка с отчетом о том, как правительственные организации перехватывают HTTP трафик для того, чтобы вставлять malware/spyware во вполне безобидные закачки файлов (антивирусы, утилиты, и тд), чтобы потом следить за оппонентами. Тут и Турция, и Египет, и Китай, и США

https://citizenlab.ca/2018/03/bad-traffic-sandvines-packetlogic-devices-deploy-government-spyware-turkey-syria/

Короче, не зря Google планирует с июля HTTP-подключения объявлять небезопасными

Прекрасная ссылка, которую прислала читательНИЦА(!) канала. Исследователи обнаружили, что можно управлять Кортаной даже на залоченном компьютере с Windows 10. если воткнуть специальный сетевой адаптер в USB и голосом сказать Кортане открыть браузер и пойти на какой-нибудь HTTP ресурс, сетевой адаптер может перехватывать трафик и отправлять компьютер на специальный УРЛ, с которого уже может произойти заражение. Microsoft исправила эту конкретную проблему, переделав логику, при которой на залоченном компьютере по команде открывается поисковик Bing (хороший способ повысить его посещаемость), но исследователи продолжают изучать, нет ли ещё каких-то подобных хитростей с Кортаной и её командами. Кстати, я припоминаю, что подобные штуки были у Apple, когда только появилась Siri в iOS. странно, что Microsoft не учится на чужих ошибках, а ей нужны свои
https://motherboard.vice.com/en_us/article/xw53jk/researchers-bypassed-windows-password-locks-with-cortana-voice-commands

Полезная ссылка дня - по этой ссылке можно почитать о том, как скачать из Фейсбука всю информацию, которая есть на вас о социальной сети
https://www.facebook.com/help/302796099745838

Из полученного архива вы узнаете о том, что практически все ваши действия с момента создания аккаунта сохраняются в ФБ - все, включая друзей, которых вы расфрендили, предыдущие имена (если меняли, адресную книгу, и тд). Все метаданные фотографий, которые вы загружаете, все логи подключений - время, место, браузер, устройство, и проч. (Представляю себе, сколько всяких интересных выводов про дом, работу и проч можно сделать только из этой информации). Фотографии вашего лица обеспечивают практически безошибочную идентификацию вас, потому что на базе загруженных фотографий алгоритмы ФБ натренировались огого. А если вы загрузили туда свою адресную книгу - она там навсегда (ага, ГетКонтакт - жалкое подобие), со всеми вашими контактами, которые об этом могут не знать даже. Информация о рекламодателях, у которых есть ваша контактная информация (причём ФБ особо не раскрывает, как именно рекламодатели и ФБ обмениваются информацией и какой. Можно только сделать выводы по Бизнес-платформе: email, phone number, first name, last name, city, state, country, date of birth, age & gender. Короче, когда ФБ превратится в Скайнет, не забудьте сказать, что вы никогда не обижали роботов-пылесосов, может быть, тогда он вас пощадит.

Ну привет, аппликуха в Mac App Store, которая майнит криптовалюту (хотя бы не скрытно) https://arstechnica.com/information-technology/2018/03/theres-a-currency-miner-in-the-mac-app-store-and-apple-seems-ok-with-it/

Помните историю со Strava - велосипедной социальной сетью, которая опубликовала триллионы точек заездов и забегов в прошлом году, что позволило вычислить на карте, например, различные военные объекты, которые должны были быть секретными? Похоже, что злоумышленники научились вычислять пользователей с дорогими велосипедами (даже если использовать скрытые зоны для маскировки начала и окончания поездок) и потом эти велосипеды воровать. Конечно, прямых доказательств нет, но полиция советует аккуратней делиться информацией в социальных сетях о своих велосипедах и поездках https://uk.news.yahoo.com/cyclists-warned-beware-sharing-data-ride-tracking-apps-005800011.html

Несколько ссылок, которые прислали читатели канала (у меня, пока я в отпуске, не было особо времени проверить актуальность информации, так что на ваше усмотрение. А тем, кто присылает ссылки - спасибо!)

Про закупку оборудования для взлома смартфонов российскими правоохранительными органами
https://hitech.newsru.com/article/14mar2018/rusufed

The Slingshot APT FAQ
https://securelist.com/apt-slingshot/84312/

Как уже снова получить телефон (почти) любой красотки в Москве, или интересная особенность MT_FREE
https://habrahabr.ru/post/351114/

Усиливаем атаки с помощью уязвимости в Memcached
http://telegra.ph/Usilivaem-ataki-s-pomoshchyu-uyazvimosti-v-Memcached-03-11-3