здравствуйте! это снова я и хорошие новости из мира, где информация никогда не находится в безопасности. Например, как злоумышленники делают документ Word с модулями VBA, который выглядит безобидно, а внутри у него атататат, загружающий малварный payload https://blogs.technet.microsoft.com/mmpc/2016/05/17/malicious-macro-using-a-sneaky-new-trick/

ну и тут вот еще какое дело. вы же, наверно, многие пользуетесь LinkedIn (или хотя бы зарегистрированы там). пишут, что 117 млн аккаунтов LinkedIn (логины и пароли) появились на рынке (The Real Deal), всего за 5 биткойнов. Точнее, вся база — 167 млн юзеров, а с логинами и паролями — 117 млн из них. пароли были зашифрованы, но якобы так, что их легко расшифровать. так что, возможно, пароль лучше поменять. Это, похоже, всплыли данные, которые украли в 2012 году.

Тут полезная книга выходит https://www.facebook.com/v.katalov/posts/607377692759432

ох уж эти украинские хакеры в Нью-Джерзи http://www.nj.com/news/index.ssf/2016/05/ukrainian_hacker_admits_stealing_business_press_re.html

по какому алгоритму работает нынче сканер отпечатков пальцев Touch ID в iPhone. раньше условия для ввода пароля были следующие: 1 рестарт устройства, 2 после 5 неправильных попыток распознавания, 3 команда через Find My iPhone, 4 активация новых отпечатков в TouchID и 5 если вы не разблокировали телефон 48 часов. в мае добавилось новое условие и теперь список выглядит вот так: • The device has just been turned on or restarted.• The device has not been unlocked for more than 48 hours.• The passcode has not been used to unlock the device in the last six days and TouchID has not unlocked the device in the last eight hours. <— ВОТ НОВОЕ УСЛОВИЕ, которое поясняет примерно рандомные запросы опять ввести пароль вместо отпечатка• The device has received a remote lock command.• After five unsuccessful attempts to match a fingerprint.• When setting up or enrolling new fingers with Touch ID.

что происходит с вашими данными, которые достаются вначале всяким бесплатным сервисам, где вы регистрируетесь (via @svintuss) https://www.troyhunt.com/how-your-data-is-collected-and/

Lack of trust the data is secure and cost are biggest hurdles to cloud adoption for Android owners
46% of Android owners who have yet to embrace the cloud told us the biggest reason is they do not trust the data is secure. The same amount of Android owners said they just do not want to pay for it. What is interesting is, for iOS users, trust and cost are nowhere near as important at 34% and 32%. For mainstream iPhone users, the biggest reason why they are not interested in the cloud is the fact the PC is still the main repository for pictures, movies, and music. This speaks to what we have been articulating with regards to how the current iPhone installed base has changed and the implications it has on future growth but also Apple services.

Шикарный лонгрид о том, как в своё время хачили биткойн-биржу ShapeShift. Рассказывает СЕО компании, там все - хакеры, сотрудник-предатель, детали взлома http://moneyandstate.com/looting-of-the-fox/

на прошлой неделе, как вы помните, Google анонсировала Allo — по сути, такой себе аналог whatsapp или imessage. и если вы вдруг подумали, что в духе модных трендов там в allo все зашифровано "end-to-end", то вы ошибаетесь. возможность включить шифрование в incognito mode — это опция, выключенная по умолчанию. и все потому, что гугл надо читать ваши чаты (чтобы лучше вам продавать рекламу), а настройки по умолчанию мало кто меняет https://www.grahamcluley.com/2016/05/googles-allo-fails-use-end-end-encryption-default/

в андроиде традиционно все очень плохо с безопасностью https://www.grahamcluley.com/2016/05/attackers-pwn-60-android-phones-using-critical-flaw/

но есть и хорошие новости: Let's be clear. This vulnerability isn't as serious as something like Stagefright. This flaw does in the very least require attackers to trick a target into downloading a malicious application on their Android device.

As a result, while users await a fix for their Android model and version, they should install applications from only trusted sources. They should also regularly check their devices for security updates and implement them as soon as possible.

помните апдейт к OS X на прошлой неделе? 10.11.5, я еще давал ссылки на содержимое по security fixes во всех апдейтах от Apple. Там забавное обнаружилось — один из багов был в IOFireWireFamily, memory corruption, code injection risk, вот это все. Забавно то, что баг зарепортила организация CESG — Communications-Electronics Security Group. Эта организация — часть GCHQ, что расшифровывается как Government Communications Headquarters, это, в общем, коллеги Джеймса Бонда, разведывательное управление Великобритании, ответственное за информационную разведку

Хакнутая база из 167млн юзеров LinkedIn доехала до https://haveibeenpwned.com, можно проверяться

О — Оперативность. Всего две недели назад Flash патчил уязвимость, а вот уже ransomware (программа-вымогатель), эксплуатирующая эту уязвимость. потому что пока этот апдейт Flash дойдет до юзеров.. http://www.broadanalysis.com/2016/05/23/neutrino-exploits-flash-2100213-sending-dma-locker-4-0-ransomware/

а еще в Apple вернулся Джон Каллас, причем в третий раз. Джон работал в компании с 1995 по 1997, а затем с 2009 по 2011 (отвечал за FileVault, кстати). а вообще он один из создателей PGP и автор openPGP. Видимо, будет улучшать шифрование устройств в свете борьбы Apple с ФБР

открытость судебной системы США позволяет получить доступ к весьма интересным документам https://www.documentcloud.org/documents/2842886-Tsyrklevich-Declaration.html

Ну и раз про открытость говорим. Отчёт об исследовании стареющей инфраструктуры федеральных органов правительства США. Там все, мейнфреймы 60-х и 8-дюймовые дискеты http://www.gao.gov/assets/680/677436.pdf

вам, москвичи! как хацкеры карту Тройка взламывали. очень познавательное чтиво https://habrahabr.ru/post/301832/

тут такое дело. Symantec выписал CA-сертификат Blue Coat Systems. Почему это плохо, можно почитать тут https://en.wikipedia.org/wiki/Blue_Coat_Systems#Controversy. по ссылке — как сделать untrust всем сертификатам от Blue Coat https://blog.filippo.io/untrusting-an-intermediate-ca-on-os-x/

кстати. тут Apple сделал 2FA-авторизацию доступной для всех, кто на iOS 9 и El Capitan https://support.apple.com/en-gb/HT205075