Тут читатель прислал ссылку, по которой пишут, что ВК запустил поиск пользователей по телефону
https://t.me/popyachsa/12482

(И ведь совсем недавно ФБ заявил, что злоумышленники пользовались годами возможностью с поиском по номеру телефона, чтобы собирать информацию о пользователях, и 5 апреля компания заявила, что ограничила эту возможность. Видимо, в ВК решили восстановить равновесие глупости во Вселенной. Судя по скриншоту, эту опцию можно отрегулировать, так что вы знаете, что делать)

АПД пишут, что фича была давно, а вот возможность её регулировки в настройках появилась как раз недавно

Забавный сайт с функциональностью, которая превращает обычную ссылку во что-то максимально опасно выглядящее. не знаю, зачем это может быть нужно, разве что внутренних пользователей потестировать на предмет того, кто из них умудрится тыкнуть во что-то очевидно такое, во что тыкать не следовало бы

https://verylegit.link

Привет. Интересная статья на Washington Post с рекомендациями о том, какие пароли модно нынче создавать (и под «модно» я имею в виду, что, оказывается, исследования показывают, что делать сложные пароли или вставлять цифры и знаки в слова тоже не айс, а вот делать фразы лучше, потому что угадывать их сложнее, а запоминать проще.) мне понравилось, я планирую свои особо важные пароли на подобную схему перевести - это минимизирует стимулы к реюзу и упрощает запоминаемость). К статье есть и короткое видео, что может кому-то показаться более удобным форматом подачи информации. Статья не новая, но от этого не менее полезная.

https://www.washingtonpost.com/news/the-switch/wp/2016/08/11/theres-a-new-way-to-make-strong-passwords-and-its-way-easier/

Кстати, о паролях. Тут разработчики 1Password выкатили новую версию Watch Tower в своём приложении, которое мониторит используемые сервисы и сообщает об утечках информации в таких сервисах, а также интегрировано с сервисом Have I been Pwned, который знает об уже утёкших паролях. Очень полезная штука для гигиены паролей в целом
https://blog.agilebits.com/2018/05/04/introducing-watchtower-2-0-the-turret-becomes-a-castle/

(Да, у других менеджеров паролей тоже есть похожая интеграция с HIBP, просто я лично много лет уже пользуюсь 1Password, поэтому никак не могу заткнуться по этому поводу)

Есть тут среди вас пользователи смартфонов Xiaomi? Тут у Bloomberg вышла интересная статья о бизнес-модели компании, из которой следует, что Xiaomi старается быть больше похожей не на Apple, зарабатывая деньги на телефонах, а на Facebook, зарабатывая деньги на рекламе. 8.6% выручки и 39% прибыли компании - это от “internet services”, и 57% этих самых сервисов - это выручка именно от рекламы (оставшаяся часть - это игры). Xiaomi продаёт телефоны с минимальной маржей, а в последствии собирает информацию о том, как вы используете телефон и решает, что может быть вам интересно. Потом начинает рекомендовать приложения, в том числе и от сторонних разработчиков. За эти рекомендации Xiaomi получает деньги, так что фактически компания продаёт свою рекламную платформу в виде телефонов.

https://www.bloomberg.com/view/articles/2018-05-03/xiaomi-is-more-like-facebook-than-apple

Картинка про пароли в тему (спасибо читателю)
https://www.xkcd.com/936/

Сайт с Друпалом без апдейтов? Это не только дефейс, но и криптомайнинг. Вы знаете, что делать!
https://badpackets.net/large-cryptojacking-campaign-targeting-vulnerable-drupal-websites/

Как компании реагируют на утечки данных

Привет! Чуть меньше месяца назад я писал здесь в канале о возможных изменениях в iOS, которые бы позволили Apple минимизировать возможности некоторых компаний по взлому iPhone и получению данных с телефонов (t.me/alexmakus/1954). Вчера об этом написали друзья канала — ребята из компании Elcomsoft: по их словам, они, исследуя бета-версии и документацию, обнаружили упоминания и ссылки на функциональность USB Restricted Mode. Суть заключается в том, напомню, что по истечение 7 дней, если за эти 7 дней не было успешных попыток разблокировки телефона, Lightning разъем в телефоне превращается в тыкву, способную только заряжать телефон, но не передавать данные (для “оживления” нужно включить телефон и залогиниться с паролем). Сейчас в случае, если телефон, например, изъят у преступника и не выключался, специальные устройства от компаний Cellebrite и Grayshift могут обходить защиту устройств и сгружать данные с телефонов. Так вот, с помощью этого изменения в iOS 11.4 вероятность получения данных с телефона уменьшится: пока полицеские получат устройство, пока получат ордер на его обработку, и тд, и тп… Интересно, что в бета-версиях 11.4 пока что эта функциональность не присутствует, и официальных подтверждений, что она там появится, тоже пока нет. Теоретически до релиза 11.4 остается не так уж много времени, наверно, не больше месяца.

Запись в блоге Элкомсофт вот
https://blog.elcomsoft.com/2018/05/ios-11-4-to-disable-usb-port-after-7-days-what-it-means-for-mobile-forensics/

PS Меня больше интересует вот что. при всех разговорах Apple о том, что их устройства более безопасны, сам факт наличия сразу двух компаний, способных вскрывать телефоны и сгружать с них данные, почему-то на удивление мало освещения в прессе получает. Куда девались все прелести Secure Enclave? Почему Apple не мчится стремглав исправлять эти уязвимости, явно эксплуатируемые этими компаниями? (собака_подозревака.жпг)

Signal считается одним из самых безопасных мессенджеров, но даже у них бывает лажа. Оказалось, что уведомления на Маке по умолчанию сохраняются, а в них - тексты пришедших уведомлений. Упс. Надо отключать уведомления по умолчанию

https://objective-see.com/blog/blog_0x2E.html

https://motherboard.vice.com/en_us/article/kzke7z/signal-disappearing-messages-are-stored-indefinitely-on-mac-hard-drives

В прошлом году я уже писал про Trello и пароли в публичных досках (https://t.me/alexmakus/1331). Думаете, что-то поменялось? ХАХАХА

https://www.google.com.tr/search?q=site%3Atrello.com+AND+intext%3A%40gmail%5C.com+AND+intext%3Apassword

Очередное исследование на эту тему, теперь свежее
https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724

Дайошь каждый год по напоминалке о Трелло, да и других публичных местах с паролями :)

Совершенно адская история про копировальные устройства. Пишут, что почти все они, начиная с 2002 года, содержат в себе жесткий диск, на который сохраняются документы, которые на нем копируются, печатаются, отправляются по факсу и тд. И, похоже, что когда эти устройства выводят из оборота, никто не заморачивается над удалением этих данных. Результат? Если купить такой бывший в использовании копировальный аппарат, с его диска можно собрать тысячи конфиденциальных документов. В этом убедились журналисты, купив 4 копировальных аппарата (по 300 долл каждый), а а там оказались и документы полицейских подразделений, и медицинские истории тысяч пациентов, и много всего другого интересного. Информация реально опасносте! (Правда, не очень понятно, зачем это все сохранять на устройствах по умолчанию)

https://www.cbsnews.com/news/digital-photocopiers-loaded-with-secrets/

Читатель тут добавляет про копиры:

«По копирам - есть вероятность, что отсканированное там не лежало в виде сохранённых файлов на диске копира. Вместо этого сканируемое сохранялось на диск операционной системой копира в процессе работы, а потом удалялось. Однако, поскольку простое удаление не приводит к затиранию содержимого на диске, а диски сейчас большие, восстановить удалённую информацию, тем более в виде картинок, достаточно легко. Есть вероятность, что упомянутая в статье бесплатная утилита - PhotoRec https://ru.m.wikipedia.org/wiki/PhotoRec»

Расширения для Chrome, ставятся из магазина, воруют пользовательские данные, криптят майну, ой, то есть, майнят крипту, никогда такого не было, и вот опять!
https://arstechnica.com/information-technology/2018/05/malicious-chrome-extensions-infect-more-than-100000-users-again/

Туда же - на тему мониторинга телефонов в Штатах
https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html

Привет! Все, надеюсь, отдохнули от праздников (и вся картошка посажена), поэтому возвращаемся к регулярным трансляциям плохих новостей из нашего мира, в котором информация опасносте! Пользуетесь PGP? Тут какие-то очень плохие новости по этому поводу: вроде как обнаружены критические уязвимости в PGP и S/Mime, позволяющие получить доступ к текстам зашифрованных писем, в том числе и тех, что были отправлены в прошлом. Информацию об этом можно почитать тут - там же и про вектор атаки: жертва получает специальное зашифрованное письмо, клиент его расшифровывает и подгружает внешний контент, который уже получает доступ к другому зашифрованному контенту в почте жертвы. Есть две части атаки, одна использует уязвимости в популярных почтовых клиентах, вторая _ уязвимости в спецификациях OpenPGP и S/Mime.
Много деталей тут https://efail.de/
И тут
https://efail.de/efail-attack-paper.pdf

Фиксов нет, рекомендация - отключить пока шифрование в почтовом клиенте, (вот рекомендация EFF по этому поводу https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now), отключить HTML рендер, ждать патчей почтовых клиентов, ждать апдейтов стандартов OpenPGP и S/Mime.

Такие дела

Вдогонку есть и альтернативное мнение про то, что проблема несколько раздута и не стоит распространять FUD - fear, uncertainty and doubt
https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

Хитрый фишинг - страница маскируется под настройки Хрома

Кстати, про eFail, о котором я писал утром (про почту, PGP и вот это все). Forbes вот пишет, что Apple им рассказали, что необходимые частичные исправления уже были внесены в iOS 11.3
https://www.forbes.com/sites/coxbusiness/2018/05/07/front-door-refresh-4-reasons-small-businesses-should-improve-their-websites/