Тред у Мозиллы по поводу интернет-инноваций в Казахстане, где теперь все пользователи интернета должны улучшить свой интернет путем установки сертификата "для улучшения безопасности" — по сути, такая прекрасная государственная MiTM атака. Читать-то https-трафик хочется.
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114

материал по поэтому поводу
https://meduza.io/news/2019/07/19/zhiteley-kazahstana-obyazali-ustanovit-sertifikat-bezopasnosti-dlya-zaschity-ot-hakerskih-atak-i-prosmotra-protivopravnogo-kontenta

Тут пошли дополнительные материалы (я видел на неделе, но ждал подтверждения) о «взломе ФСБ». На самом деле взломали вроде как субподрядчика - компанию Сайтэк, и украли 7.5ТБ различных данных, включая секретные проекты по деанону Тора. Будет весело.

https://www.bbc.com/russian/features-49050982

https://www.forbes.com/sites/zakdoffman/2019/07/20/russian-intelligence-has-been-hacked-with-social-media-and-tor-projects-exposed/#19519ccb6b11

Всеобщая компьютеризация до добра точно не доведет. Вот болгар не довела. Кто-то хакнул налоговую Болгарии и получил все данные на 5 миллионов человек (все население страны — 7 млн человек, видимо, остальные 2 миллиона это дети). Забавно, что злоумышленник увидел адрес файла архива в каком-то там телевизионном репортаже, где его показали, не особо опасаясь, потому что "файл же запаролен". В итоге чувак скачал файл, и попросил на каком-то сервисе взломать пароль. Ему пароль взломали, и внутри архива оказась персональная информация, включая финансовые данные. ну и база, конечно, оказалась и у СМИ, и в интернете. Так что теперь там у них весело.

https://www.zdnet.com/article/hacker-steals-data-of-millions-of-bulgarians-emails-it-to-local-media/
https://www.zdnet.com/article/bulgarias-hacked-database-is-now-available-on-hacking-forums/

PS пару лет назад взломали Equifax, кредитное бюро в США, украли все персональные данные на 150млн человек. Сегодня была новость о том, что Эквифакс заплатит 400 млн долларов "пострадавшим". Ага, вся информация человека, получается, стоит 2,5 доллара. Ну окей.

ссылка с прошлой недели о том, как расширения для Chrome/Firefox собирали пользовательские данные в виде истории браузера. Собирались адреса, названия сайтов, и часто — встроенные в странице ссылки. Это приводило к получению информации о видео в популярных сервисах видеонаблюдения, финансовых документов, информации о посещении врачей, информации о путешествиях, и тд

https://securitywithsam.com/
https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/

органам все не дает покоя сквозное шифрование. тут вот генпрокурор США убеждает всех, что потребителям придется сжиться с рисками безопасности при наличии бэкдоров в шифровании
https://techcrunch.com/2019/07/23/william-barr-consumers-security-risks-backdoors/

вчера у пользователей техники Apple был patch day, и, как обычно, есть хорошие поводы обновить свои устройства.

37 фиксов безопаcности в iOS 12.4, включая фиксы в WebKit, позволяющие получить контроль над смартфоном. Также исправлена дыра в сервисе walkie-talkie, которая позволяла активировать микрофон во время звонка
https://support.apple.com/en-us/HT210346

44 фикса в macOS, включая те же исправления в WebKit, а также баги в Siri и TimeMachine
https://support.apple.com/en-us/HT210348

Ну и там по мелочи (в основном то, что приезжает из iOS) — для watchOS и tvOS, и Safari
https://support.apple.com/en-us/HT210353
https://support.apple.com/en-us/HT210351
https://support.apple.com/en-us/HT210355

Так что, если вы не экспериментируете с бетами iOS 13/macOS 10.15, то апдейты лучше поставить

Компания Medtronic уже несколько раз фигурировала в этом канале, в основном с новостями об уязвимостях в кардиостимуляторах компании. Но компания также производит и дозаторы инсулина, которые (сюрприз!) тоже имеют в себе программные уязвимости. Два года назад исследователи обнаружили уязвимости в инсулиновых помпах , которые позволяют удаленно управлять этими помпами (радиоканал, по которому управляется такая помпа, достаточно легко вычислить, и он не зашифрован. достаточно знать серийный номер помпы). Однако, компания почему-то не хочет исправлять эти уязвимости, и ограничилась просто предупреждением к своим пользователям. Исследователи хотят донести реальную опасность этой уязвимости, и выпустили код, демонстрирующий действие этой уязвимости, надеясь, что это привлечет больше внимания.
https://www.wired.com/story/medtronic-insulin-pump-hack-app/

Читатель вот прислал ссылку. Казалось бы, что может пойти не так?
https://thebell.io/v-rossii-poyavitsya-baza-so-vsemi-dannymi-grazhdan-vesti-ee-budut-nalogoviki/

Корпоративные VPN-сервисы Palo Alto Networks, Pulse Secure и Fortinet содержат в себе уязвимости, которые делают их уязвимыми для проникновения внутрь сетей пользователей этих сервисов
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/

Апдейты уже выкатывают
https://securityadvisories.paloaltonetworks.com/Home/Detail/158
https://fortiguard.com/psirt/FG-IR-18-384

ну как так вообще? Компания с сервисом для финансовых операций, и пароли в plain text, пусть даже во внутренних системах. Кстати, FB, Twitter, Google тоже этим отличились в свое время

Познакомтесь с Monokle, шпионским ПО, разработанным российской компанией Special Technology Centre, Ltd. ПО предназначено для перехвата коммуникаций Android-устройств путем контроля TCP-портов устройства. А дальше начинается веселье по доступу к практически всей информации на устройстве, включая календари, трафик, почту, текстовые сообщения, запись звонков, информации о местоположении и тд.

https://blog.lookout.com/monokle
https://arstechnica.com/information-technology/2019/07/advanced-mobile-surveillanceware-made-in-russia-found-in-the-wild/

http://supertracker.delian.io - простой проект по созданию своего пикселя для трекинга почты и мониторинга данных из этого пикселя. ВСЁ, ВСЁ ОПАСНОСТЕ

анонимных данных не существует 🙁 Исследователи разработали алгоритм, который позволяет по как минимум 15 анонимным аттрибутам идентифицировать определенного человека (американского человека, надо отметить, а их не жалко!).

https://www.nature.com/articles/s41467-019-10933-3/

и код проекта https://cpg.doc.ic.ac.uk/individual-risk/

не то, чтобы это новость — вот, например, похожее исследование по метаданным кредитных карт http://science.sciencemag.org/content/347/6221/536.full?ijkey=4rZ2eFPUrlLGw&keytype=ref&siteid=sci, или вот еще по данным местоположения смартфонов https://www.nature.com/articles/srep01376

В общем, только избушка в лесу, без интернета и электричества!

По наводке читателей кино по теме канала! https://www.netflix.com/title/80117542?s=i&trkid=254015180

Еще вот по наводке читателя полезная ссылка для пользователей iOS-устройств. Приложение Lockdown, такой типа firewall для iPhone, позволяющий блокировать определенные домены для того, чтобы, например, предотвратить сбор сервисами на этих доменах трекинговой информации. Ну, или если вы хотите перестать пользоваться Facebook, но не можете себя заставить, можно с помощью этого приложения заблокировать домен ФБ и тогда приложение не будет работать. И сайт не будет загружаться. Полезно! Программа бесплатная, и данные все на устройстве, поэтому ничего не утечет. Она использует API для VPN, хотя таковым не является и ваш IP адрес не изменит.

(на Маке, кстати, это хорошо решается редактированием /etc/hosts)
https://lockdownhq.com/

(да, кстати, я по просьбе читателей в виде теста добавил DiscussBot к каналу, так что если вам не хватало возможности обсуждать новости канала, то теперь она есть!)

А помните уязвимость CVE-2019-0708, для которой Microsoft даже для Win XP патч выпускала? (https://t.me/alexmakus/2836) Да-да, тот самый BlueKeep, способный сделать так, что даже NotPetya покажется мелочью, и к патчу которого призывала даже NSA (https://t.me/alexmakus/2879). Почему я внезапно вспомнил об этом? Во вторник компания Immunity анонсировала релиз эксплойта, который войдет в состав их инструмента для пентестов Canvas (https://twitter.com/Immunityinc/status/1153752470130221057). В интернете все еще полно компьютеров, которые не пропатчились от этой уязвимости, но, как по мне, кто не проапдейтился до этого момента, заслуживает последствий.

Маркус Хатчинс (он же MalwareTech), остановивший в свое время WannaCry (но замешанный в банковском вредоносном ПО Kronos и за это арестованный в США), легко отделался. Ему засчитали уже отсиженный за время следствия год, отменили штрафы и вернут домой в Великобританию, с запретом возвращаться в США. Легко обделался.

https://techcrunch.com/2019/07/26/marcus-hutchins-sentenced-kronos/
https://www.vice.com/en_us/article/9kxewv/malwaretech-wannacry-ransomware-sentencing