Хм
https://t.me/durov/87

Кстати, о Телеграме: Читатель пишет, что вышел официальный релиз https://github.com/TelegramMessenger/MTProxy, бот для управления @mtproxybot (c галочкой). https://hub.docker.com/r/telegrammessenger/proxy/

Пару дней назад вышли апдейты для операционных систем Apple — iOS, macOS, watchOS и tvOS. Традиционно в апдейтах наверняка полно всяких обновлений безопасности, но вот что нетрадиционно — это отсутствие информации о содержимом этих обновлений (информация обычно публикуется тут https://support.apple.com/en-gb/HT201222).

Натяну поглубже шапочку из фольги и притворюсь конспирологом. Я тут неоднократно писал, что в апдейте 11.4 для iPhone должна выйти фича USB Restrictive Mode — якобы после установки обновления при отсутствии логинов в течение 7 дней порт LIghtning блокируется для передачи данных и начинает работать только для зарядки устройства (t.me/alexmakus/1954, t.me/alexmakus/2058).

Официальных подтверждений от Apple по этой функции не было. А что, если Apple специально не апдейтит страницу с информацией об исправлениях безопасности, чтобы как можно больше устройств установило апдейт, прежде чем информация об исправлении в нем станет публично доступной? (собака-подозревака.жпг). Вряд ли, конечно, но в роли конспиролога так комфортно, оказывается… Можно придумывать вообще что угодно, предел - только собственная фантазия…

Кстати, еще про Apple. На прошлой неделе Apple опубликовала интересный документ — Отчет об обращениях правительственных организацией и частных лиц за пользовательскими данными за вторую половину 2017 года. Запросы включают в себя обращения правоохранительных органов по расследованию украденных устройств Apple, по расследованию фрода кредитных карт, использованных для покупки устройств Apple, по незаконному использованию аккаунтов, и тд. Обращения частных лиц, как правило, относятся к различным частным судебным разбирательствам в рамках гражданских и уголовных разбирательств.

Документ также перечисляет какого плана информацию запрашивают в таких обращениях. В случае украденных устройств — информация о пользователях и подключениях к сервисам Apple. В случае фрода кредиток — информация о транзакциях. Правительственные организации (как правило, правоохранительные органы) должны предоставить ордер суда на получение такой информации. Apple может предоставить запрошенную информацию, а может и отказать, если по какой-то причине запрос оказывается не полностью легитимен.

В общем, большой и красивый ПДФ с данными по разным параметрам — по странам и по типам запросов. Информация включает в себя общее количество запросов и количество удовлетворенных запросов. Почитайте, интересно.

Например, по количеству запросов по устройствам как-то особенно отличилась Германия. А еще мне понравилась спрятанная внутри документа табличка про запросы, связанные с национальной безопасностью США, без особой детализации. Например, что подобных запросов Apple получила гдето между 16 тыс и 16 тыс 249 штук, и затрагивали они между 8 тыс и 8 тыс 249 штук учетных записей.

такие, в общем, дела.
https://www.apple.com/legal/privacy/transparency/requests-2017-H2-en.pdf

Очень интересное продолжение про VPNFilter, о котором я писал тут https://t.me/alexmakus/2104. Похоже, что происходит активное сканирование порта 2000 (роутеры Microtik) устройств в Украине. Возможно, авторы пытаются отстроить сеть.
https://jask.com/from-russia-with-love/

Заправки в Штатах как популярный вектор воровства данных банковских карт. По себе скажу, что в моем случае из ситуаций компроментации карт половина, наверно, происходила на заправках. И это как раз тот сектор, который очень не спешит имплементировать бесконтактные платежи Apple Pay/Android Pay
https://www.bleepingcomputer.com/news/security/hackers-increasingly-targeting-gas-stations-and-credit-cards-at-the-pump/

RCE в клиенте Steam. Уязвимость уже исправлена, и Valve продемонстрировала, как быстро они реагируют на подобные штуки

https://www.contextis.com/blog/frag-grenade-a-remote-code-execution-vulnerability-in-the-steam-client

Пару дней назад Дуров жаловался, что Эпол не утверждает апдейт для приложения. (https://t.me/alexmakus/2110) Апдейт для Телеграма под iOS уже в App Store, пишет Павел в Твиттере

https://twitter.com/durov/status/1002653210245586944

Всем привет, срочные новости!
А) во-первых, Apple таки выложили содержимое обновлений безопасности в iOS 11.4 - видимо, они ждали релиза macOS 10.13.5, который опубликовали вчера. Поскольку у систем много общего, это объясняет задержку. (Яростно мнёт шапочку из фольги). Вот что запатченого в 11.4
https://support.apple.com/en-gb/HT208848

Б) в обновлении таки не обнаружено ничего для блокирования порта Lightning при подключении по USB, что обидно.

НО! Не спешите расстраиваться! Потому что ровная новость заключается в том, что

В) в обновлении 11.4.1 (первая бета которого вышла вчера или позавчера) появилась как раз нужная опция! Она называется “USB accessories”, и находится в системных настройках в разделе Face ID & Passcode (Touch ID & Passcode если у вас телефон с Touch ID). И эта опция работает даже круче, чем предполагалось.

Уже через час с последней разблокировки телефона порт блокируется и любые USB-аксессуары не работают, пока телефон не будет разблокирован паролем или биометрией. На телефоне показывается сообщение о том, что он ничего не будет делать с этим аксессуаром, пока пользователь не разлочит устройство. Что, по сути, сильно снижает полезность «коробочек» от Graykey и Cellebrite для получения данных с устройств.

АПД короче, когда галка выключена, то опция активна и подключение недоверенных аксессуаров блокируется. Так что эту фичу получат по умолчанию все пользователи iOS-устройств.

Такие дела :)

Вот сама опция в настройках

А вот так выглядит само сообщение на айфоне (я не мог выдержать час без телефона, прислали друзья)

А вот и статья от Элкомсофт по поводу этой фичи. Ребята уже проверили, как она работает (там не только час с последней разблокировки, но и час с момента отключения от доверенного устройства), и подтвердили, что все так и есть - никаких данных через USB не передаётся.
https://blog.elcomsoft.com/2018/06/ios-11-4-1-beta-usb-restricted-mode-has-arrived/

Сосед в самолёте защищал информацию от опасносте как мог (стикер на камере ноутбука)

Принятый Госдумой в третьем чтении закон о "штрафах за VPN" - это пока не про частных пользователей, хотя невнимательного читателя и могут напугать слова про "физических лиц". Нет, речь там о поисковиках, которые выдают ссылки на средства обхода, а физические лица - это уже сотрудники поисковиков или платформ. Так что самое главное - лично вам за использование VPN ничего не грозит, во всяком случае, пока. Даже при нашей правоприменительной практике, правовой грамотности и прочем.

Как это будет работать для тех, кого касается - вообще непонятно, потому что пока Роскомнадзор во главе с тайным агентом свободного интернета Александром Жаровым, да продлит Аллах его дни, никакие анонимайзеры и VPNы не блокирует и, опять же, как будет блокировать - непонятно, потому что имя им - легион и сервисы эти поизворотливее Telegram будут на порядки. Кстати, Telegram на прошлой неделе полностью оправился от небольшого урона, нанесенного блокировками и работает чуть ли не стабильнее, чем до них.
И вот еще вопрос, касается ли новый закон маркетплейсов. По идее вроде бы да, иначе он совсем бессмысленный. Но если Apple и Google вот уже почти два месяца шлют Роскомнадзор лесом по вопросу блокировки одного Telegram, то кучу приложений они быстро сдадут? Да, я в курсе насчет Apple в Китае, но в том и дело, что Россия не Китай. А если Google Play не сдаст VPN, то какой смысл резать выдачу ссылок в сервисе поиска? А если у него будут VPNы в выдаче, а у Яндекса - нет, Google получает неплохое конкурентное преимущество, интересный получается закон в интересах западного гиганта, конкурирующего с отечественным сервисом.

Запугают ли штрафы? 700 000 рублей - это 10 000 евро, Google столько может хоть каждый день платить, 3.5 миллиона в год - это для него плюнуть и растереть. Блокировка? Ну так по истории с Telegram видно, что блокировать сервисы Google могут, но лишь случайно, в результате коврововго бомбометания, а политического решения о блокировке гигантов - нет, а если будет, его не избежишь. Короче, вопросов сильно больше, чем ответов. Ну а для нас ответ как обычно один - запасаться средствами обхода блокировок. Если у вас есть какое-то одно, изучите еще одно-два и отложите их в надежное место, пригодится.

Привет. После небольшой паузы продолжаем трансляцию нашего канала, у которого с такой же эффективностью название могло бы быть «плохие новости». В частности, если вы пользуетесь WhatsApp, вам будет не лишним напомнить о том, что бекапы даже шифрованных сообщений в приложении хранятся в облаках Apple и Google незашифрованными. Об этом внезапно вот узнал Пол Манафорт, который находится под следствием в США, и который пытался уговорить свидетеля изменить свои показания. Но при этом переписывался со свидетелем по WhatsApp с целью уговорить его изменить показания, и правоохранительные органы получили эту переписку. Так что если совершаете преступление, то озаботьтесь тем, чтобы не оставлять лишние следы (не бекапиться в облако). Хотя, впрочем, «не совершать преступления» - тоже вариант.

УТОЧНЕНИЕ изначальная формулировка была недостаточно корректная, поэтому уточню. Бекап сообщений в этом случае был в общем архиве бекапа устройства, которое создаёт iOS в iCloud. Apple имеет доступ к ключам этого бекапа, и по законным запросам правоохранительных органов может выдавать содержимое бекапа. Это и произошло в случае с Манафортом. А вообще можно сделать так, чтобы данные какого-нибудь приложения в бекап в iCloud не попадали. Учите матчасть, RTFM и вот это все.
(Бекапы очень важны, как знают те, кто уже посмотрел последнюю серию Westworld :))

https://motherboard.vice.com/en_us/article/zm8q43/paul-manafort-icloud-whatsapp-bad-opsec-witness-tampering

Почему все эти сервисы по анализу ДНК - не очень хорошая идея? Мало того, что они могут продавать эти данные страховым компаниям (а это, в свою очередь, может вызвать повышение страховой премии, например, если вы по анализу ДНК находитесь в какой-то группе риска). Но есть и более тривиальный рейс, когда данные могут просто украсть. Например, сервис MyHeritage пролюбил записи на 92 миллиона своих пользователей, включая имейлы и пароли в хэшах. Сами данные анализа ДНК не утекли вроде как, но это не означает, что подобное не может произойти и с другим сервисом. И неизвестно, куда такие данные могут попасть и что с ними будут делать получатели. В общем, все это только усиливает паранойю :(

https://blog.myheritage.com/2018/06/myheritage-statement-about-a-cybersecurity-incident/

Но есть и хорошие новости. Ритейлеры начинают понемногу осознавать опасности подключённых игрушек, и предпринимают меры для того, чтобы уменьшить их распространение. Например, вот Amazon, Walmart и Target - одни из крупнейших магазинов в США (онлайн и оффлайн) приняли решение не продавать игрушки CloudPets бренда Spiral Toys после того, как им продемонстрировали новые уязвимости, которые подвергают пользовательскую информацию опасносте.

https://www.cnet.com/news/amazon-will-stop-selling-connected-toy-cloud-pets-filled-with-security-issues/

Привет! Помните VPNfilter, вредоносное ПО, заражающее роутеры? Я писал о нем тут (https://t.me/alexmakus/2104). Там шла речь о заражении 500 тыс роутеров нескольких производителей. Так вот, тут оказалось, что все немножко хуже. Оказалось, что в дополнение к уже обнаруженным устройствам от Linksys, MikroTik, Netgear и TP-Link добавились новые устройства от этих производителей, а также роутеры ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. Кроме того, там обнаружился третий модуль, способный доставлять вредоносное ПО на конечные устройства методом перехвата трафика. Детали по ссылке, включая список уязвимых устройств.

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

Facebook опять немножко отличился. Баг в их системе привёл к тому, что у 14 миллионов пользователей на протяжении нескольких дней в мае статус видимости постов изменился на по умолчанию публичный, даже если до этого были другие, более ограниченные статусы

https://techcrunch.com/2018/06/07/facebook-status-privacy-bug/

Кстати про Фейсбук. Читатель прислал хорошую ссылку на то, как на самом деле должно выглядеть пользовательское соглашение на Фейсбук, чтобы пользователи лучше понимали, на что они подписываются
https://signupforfacebook.org/