ладно, чтобы разбавить эти ужасы про суицид, вот вам по-настоящему полезная ссылка. по крайней мере, она будет интересна и полезна пользователям Маков (я надеюсь, среди вас тут большинство таких, да?) короче, огромная коллекция всякой полезной информации о безопасности OS X, включая как пояснения, так и советы по настройкам. ВСЕ, ЧТО ВЫ ХОТЕЛИ ЗНАТЬ ПРО БЕЗОПАСНОСТЬ OS X. СИРИУСЛИ, МАСТ РИД https://github.com/drduh/OS-X-Security-and-Privacy-Guide

как вы уже, наверно, в курсе, Apple сегодня выпустила целую кучу обновлений для своих ОС, и тут подоспела как раз коллекция с информацией о том, что было исправлено с точки зрения безопасности в этих обновлениях. Внушительный список, надо сказать:
OS X 10.11.5 — https://support.apple.com/en-us/HT206567
iOS 9.3.2 — https://support.apple.com/en-us/HT206568
watchOS 2.2.1 — https://support.apple.com/en-us/HT206566
tvOS 9.2.1 — https://support.apple.com/en-us/HT206564
и отдельно — для Safari 9.1.1 https://support.apple.com/en-us/HT206565

важная проверка вашей базы данных http://howfuckedismydatabase.com

немножко ада. в частности, kernel memory corruption в антивирусе Symantec https://bugs.chromium.org/p/project-zero/issues/detail?id=820 насколько я понимаю, затрагивает все клиенты на всех платформах. с получением root access и все дела. Symantec уже выпустил какие-то там апдейты для этого, но в целом еще будет весело https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160516_00

смешнее всего в этой истории с Symantec то, что когда чуваки, который нашел эту уязвимость, отправил ее в Symantec, то почтовый сервер (к которому, разумеется, прикручена проверка антивирусом), упал, и Symantec так и не смогли получить информацию об уязвимости. пришлось там выкручиваться, чтобы им ее передать :)

здравствуйте! это снова я и хорошие новости из мира, где информация никогда не находится в безопасности. Например, как злоумышленники делают документ Word с модулями VBA, который выглядит безобидно, а внутри у него атататат, загружающий малварный payload https://blogs.technet.microsoft.com/mmpc/2016/05/17/malicious-macro-using-a-sneaky-new-trick/

ну и тут вот еще какое дело. вы же, наверно, многие пользуетесь LinkedIn (или хотя бы зарегистрированы там). пишут, что 117 млн аккаунтов LinkedIn (логины и пароли) появились на рынке (The Real Deal), всего за 5 биткойнов. Точнее, вся база — 167 млн юзеров, а с логинами и паролями — 117 млн из них. пароли были зашифрованы, но якобы так, что их легко расшифровать. так что, возможно, пароль лучше поменять. Это, похоже, всплыли данные, которые украли в 2012 году.

Тут полезная книга выходит https://www.facebook.com/v.katalov/posts/607377692759432

ох уж эти украинские хакеры в Нью-Джерзи http://www.nj.com/news/index.ssf/2016/05/ukrainian_hacker_admits_stealing_business_press_re.html

по какому алгоритму работает нынче сканер отпечатков пальцев Touch ID в iPhone. раньше условия для ввода пароля были следующие: 1 рестарт устройства, 2 после 5 неправильных попыток распознавания, 3 команда через Find My iPhone, 4 активация новых отпечатков в TouchID и 5 если вы не разблокировали телефон 48 часов. в мае добавилось новое условие и теперь список выглядит вот так: • The device has just been turned on or restarted.• The device has not been unlocked for more than 48 hours.• The passcode has not been used to unlock the device in the last six days and TouchID has not unlocked the device in the last eight hours. <— ВОТ НОВОЕ УСЛОВИЕ, которое поясняет примерно рандомные запросы опять ввести пароль вместо отпечатка• The device has received a remote lock command.• After five unsuccessful attempts to match a fingerprint.• When setting up or enrolling new fingers with Touch ID.

что происходит с вашими данными, которые достаются вначале всяким бесплатным сервисам, где вы регистрируетесь (via @svintuss) https://www.troyhunt.com/how-your-data-is-collected-and/

Lack of trust the data is secure and cost are biggest hurdles to cloud adoption for Android owners
46% of Android owners who have yet to embrace the cloud told us the biggest reason is they do not trust the data is secure. The same amount of Android owners said they just do not want to pay for it. What is interesting is, for iOS users, trust and cost are nowhere near as important at 34% and 32%. For mainstream iPhone users, the biggest reason why they are not interested in the cloud is the fact the PC is still the main repository for pictures, movies, and music. This speaks to what we have been articulating with regards to how the current iPhone installed base has changed and the implications it has on future growth but also Apple services.

Шикарный лонгрид о том, как в своё время хачили биткойн-биржу ShapeShift. Рассказывает СЕО компании, там все - хакеры, сотрудник-предатель, детали взлома http://moneyandstate.com/looting-of-the-fox/

на прошлой неделе, как вы помните, Google анонсировала Allo — по сути, такой себе аналог whatsapp или imessage. и если вы вдруг подумали, что в духе модных трендов там в allo все зашифровано "end-to-end", то вы ошибаетесь. возможность включить шифрование в incognito mode — это опция, выключенная по умолчанию. и все потому, что гугл надо читать ваши чаты (чтобы лучше вам продавать рекламу), а настройки по умолчанию мало кто меняет https://www.grahamcluley.com/2016/05/googles-allo-fails-use-end-end-encryption-default/

в андроиде традиционно все очень плохо с безопасностью https://www.grahamcluley.com/2016/05/attackers-pwn-60-android-phones-using-critical-flaw/

но есть и хорошие новости: Let's be clear. This vulnerability isn't as serious as something like Stagefright. This flaw does in the very least require attackers to trick a target into downloading a malicious application on their Android device.

As a result, while users await a fix for their Android model and version, they should install applications from only trusted sources. They should also regularly check their devices for security updates and implement them as soon as possible.

помните апдейт к OS X на прошлой неделе? 10.11.5, я еще давал ссылки на содержимое по security fixes во всех апдейтах от Apple. Там забавное обнаружилось — один из багов был в IOFireWireFamily, memory corruption, code injection risk, вот это все. Забавно то, что баг зарепортила организация CESG — Communications-Electronics Security Group. Эта организация — часть GCHQ, что расшифровывается как Government Communications Headquarters, это, в общем, коллеги Джеймса Бонда, разведывательное управление Великобритании, ответственное за информационную разведку

Хакнутая база из 167млн юзеров LinkedIn доехала до https://haveibeenpwned.com, можно проверяться

О — Оперативность. Всего две недели назад Flash патчил уязвимость, а вот уже ransomware (программа-вымогатель), эксплуатирующая эту уязвимость. потому что пока этот апдейт Flash дойдет до юзеров.. http://www.broadanalysis.com/2016/05/23/neutrino-exploits-flash-2100213-sending-dma-locker-4-0-ransomware/

а еще в Apple вернулся Джон Каллас, причем в третий раз. Джон работал в компании с 1995 по 1997, а затем с 2009 по 2011 (отвечал за FileVault, кстати). а вообще он один из создателей PGP и автор openPGP. Видимо, будет улучшать шифрование устройств в свете борьбы Apple с ФБР