Про intel, уязвимости в их процессорах и уже можно просто ссылки давать без комментариев:
раз https://www.phoronix.com/scan.php?page=news_item&px=RdRand-3-Percent
два https://arstechnica.com/information-technology/2020/06/new-exploits-plunder-crypto-keys-and-more-from-intels-ultrasecure-sgx/
раз https://www.phoronix.com/scan.php?page=news_item&px=RdRand-3-Percent
два https://arstechnica.com/information-technology/2020/06/new-exploits-plunder-crypto-keys-and-more-from-intels-ultrasecure-sgx/
Phoronix
RdRand Performance As Bad As ~3% Original Speed With CrossTalk/SRBDS Mitigation - Phoronix
Phoronix is the leading technology website for Linux hardware reviews, open-source news, Linux benchmarks, open-source benchmarks, and computer hardware tests.
История просто отвал башки про то, как ФБ купил эксплойт для того, чтобы поймать педофила, преследовавшего детей
https://www.vice.com/en_us/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez
https://www.vice.com/en_us/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez
Vice
Facebook Helped the FBI Hack a Child Predator
Facebook paid a cybersecurity firm six figures to develop a zero-day in Tails to identify a man who extorted and threatened girls.
Тем временем компания Amazon объявила мораторий на один год на использование технологий распознавания лиц компании. Амазон требует четко прописанных правил этичного использования технологий, и если появится такое законодательство, компания продолжит предоставлять свои услуги в рамках подобного законодательства
https://blog.aboutamazon.com/policy/we-are-implementing-a-one-year-moratorium-on-police-use-of-rekognition
https://blog.aboutamazon.com/policy/we-are-implementing-a-one-year-moratorium-on-police-use-of-rekognition
US About Amazon
We are implementing a one-year moratorium on police use of Rekognition
We’re implementing a one-year moratorium on police use of Amazon’s facial recognition technology. We will continue to allow organizations like Thorn, the International Center for Missing and Exploited Children, and Marinus Analytics to use Amazon Rekognition…
Какая-то странная история про взлом компании А1 (крупнейшего австрийского телеком-оператора), который они к тому же отрицают
https://blog.haschek.at/2020/the-a1-telekom-hack.html
https://blog.haschek.at/2020/the-a1-telekom-hack.html
The A1 Telekom Austria Hack
Personal blog of Christian Haschek
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Telegram
MTS Web Services
MTS Web Services (MWS) — сервисы и продукты Enterprise-уровня для ИИ-экспериментов и цифровой трансформации бизнеса.
Сайт: https://mws.ru/
Сайт: https://mws.ru/
Хорошая коллекция уязвимостей в ядре iOS, начиная с версии 10 и до версии 13
https://googleprojectzero.blogspot.com/2020/06/a-survey-of-recent-ios-kernel-exploits.html
https://googleprojectzero.blogspot.com/2020/06/a-survey-of-recent-ios-kernel-exploits.html
Blogspot
A survey of recent iOS kernel exploits
Posted by Brandon Azad, Project Zero I recently found myself wishing for a single online reference providing a brief summary of the high...
вот такое я очень люблю — снятие вибраций с лампочки, чтобы восстановить колебание от звуковых волн и воспроизвести речь или аудио-запись с расстояния до 25 метров.
https://www.nassiben.com/lamphone
https://www.nassiben.com/lamphone
Ben Nassi
Lamphone
Recent studies have suggested various side-channel attacks for eavesdropping sound by analyzing the side effects of sound waves on nearby objects (e.g., a bag of chips and window) and devices (e.g., motion sensors). These methods pose a great threat to privacy…
Невероятная история про сотрудников банка в Южной Африке, которые украли мастер-ключ банка. Этот мастер-ключ позволяет расшифровывать банковские операции, получать доступ и вносить изменения в банковскую систему, а также генерить ключ для карточек клиентов банка. Благодаря этому ключу злоумышленики смогли сгенерить более 25 тысяч мошеннических транзакций на сумму более 3,2 млн долларов.
https://www.timeslive.co.za/sunday-times/news/2020-06-14-postbank-forced-to-replace-12-million-bank-cards-after-employees-steal-master-key/
https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/
https://www.timeslive.co.za/sunday-times/news/2020-06-14-postbank-forced-to-replace-12-million-bank-cards-after-employees-steal-master-key/
https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/
TimesLIVE
Postbank forced to replace 12-million bank cards after employees steal 'master key'
The Postbank is having to replace about 12-million bank cards at a cost of R1bn after a major security breach that exposes the personal data of millions of social-grant beneficiaries and other account holders.
======РЕКЛАМА======
Прямой эфир запуска новой версии MaxPatrol SIEM.
Эксперты расскажут об успехах и ошибках в истории развития продукта, поделятся ближайшими целями и покажут новую версию. Вы узнаете, как настроить систему для быстрого старта работы и снизить количество ложных срабатываний.
Добавляйте в свой календарь, чтобы не пропустить — 23 июня в 14:00
Зарегистрироваться
======РЕКЛАМА======
Прямой эфир запуска новой версии MaxPatrol SIEM.
Эксперты расскажут об успехах и ошибках в истории развития продукта, поделятся ближайшими целями и покажут новую версию. Вы узнаете, как настроить систему для быстрого старта работы и снизить количество ложных срабатываний.
Добавляйте в свой календарь, чтобы не пропустить — 23 июня в 14:00
Зарегистрироваться
======РЕКЛАМА======
ptsecurity.com
Запуск новой версии MaxPatrol SIEM
Запуск новой версии MaxPatrol SIEM - мероприятия Positive Technologies
Разработчик Cheng Du New Tech Zone с целым набором специализированных приложений для нишевого дейтинга — 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating и GHunt — оставил базу с информацией о сотне тысяч пользователей открытой в интернете. 845ГБ в себе содержали в том числе откровенные фотографии и аудиозаписи, скриншоты чатов и некоторую частную информацию, включая имена, адреса, имейлы и тд. Открытую базу обнаружили исследователи, так что стала ли она доступной злоумышленникам ранее — неизвестно.
https://www.vpnmentor.com/blog/report-dating-apps-leak/
https://www.vpnmentor.com/blog/report-dating-apps-leak/
vpnMentor
Report: Breach Exposes 100,000+ Users on Niche Dating Apps
Led by Noam Rotem and Ran Locar, vpnMentor’s research team discovered a data breach leaking incredibly sensitive data from numerous niche dating and hook up apps.
Не совсем инфосек, но очень интересно. Тут в понедельник упала сеть одного мобильного оператора в США (T-Mobile), и они рассказывают почему это произошло. Были слухи, что это был DDoS, но на самом деле случился фейл одной интегральной схемы оптики. Потом сломалась резервная, а потом уже каскадом накопившиеся проблемы вызвали жопу для передачи звонков и сообщений.
https://www.t-mobile.com/news/update-for-customers-on-network-issues
https://www.t-mobile.com/news/update-for-customers-on-network-issues
T-Mobile Newsroom
Update on T-Mobile Network Issues | T-Mobile Newsroom
June 16th, 2020 6:23pm PSTUpdate on T-Mobile Voice and Text Performance Every day we see the vital role technology plays in keeping us connected, and we
Несколько интересных ссылок от читателей (которым традиционно спасибо!)
- Новый SMBleed
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
- кто-то обошёл систему проверки RFID датчиков в холодильниках GE, чтобы можно было использовать неофициальные фильтры для воды. у меня та же проблема с кофемашиной
https://www.vice.com/en_us/article/jgxpjy/hacker-bypasses-ges-ridiculous-refrigerator-drm
- новости из Израиля с обнаженкой!
http://newsru.co.il/israel/16jun2020/police_telegram_005.html
https://www.ha-makom.co.il/post-masha-telegram-sexnet/
- Новый SMBleed
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
- кто-то обошёл систему проверки RFID датчиков в холодильниках GE, чтобы можно было использовать неофициальные фильтры для воды. у меня та же проблема с кофемашиной
https://www.vice.com/en_us/article/jgxpjy/hacker-bypasses-ges-ridiculous-refrigerator-drm
- новости из Израиля с обнаженкой!
http://newsru.co.il/israel/16jun2020/police_telegram_005.html
https://www.ha-makom.co.il/post-masha-telegram-sexnet/
После того, как Zoom хлебнул говна за своё решение предоставить сквозное шифрование только платным пользователям, разработчики напрягли булки и теперь zoom говорит, что шифрование будет доступно всем
https://blog.zoom.us/wordpress/2020/06/17/end-to-end-encryption-update/
https://blog.zoom.us/wordpress/2020/06/17/end-to-end-encryption-update/
Zoom Blog
End-to-End Encryption Update
Since releasing the draft design of Zoom’s end-to-end encryption (E2EE) on May 22, we have engaged with a number of organizations to gather feedback.
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Telegram
MTS Web Services
MTS Web Services (MWS) — сервисы и продукты Enterprise-уровня для ИИ-экспериментов и цифровой трансформации бизнеса.
Сайт: https://mws.ru/
Сайт: https://mws.ru/
Австралия опасносте. Пишут, что сегодня многие государственные организации и коммерческие компании в Австралии подверглись ки кибер-атаке, и за этим якобы стоит какое-то государство (какое — не уточняется)
https://www.news.com.au/technology/online/hacking/australian-government-and-private-sector-reportedly-hit-by-massive-cyber-attack/news-story/
https://www.theguardian.com/technology/2020/jun/19/australian-cyber-attack-not-sophisticated-just-a-wake-up-call-for-businesses-experts-say?CMP=fb_a-technology_b-gdntech
https://www.news.com.au/technology/online/hacking/australian-government-and-private-sector-reportedly-hit-by-massive-cyber-attack/news-story/
https://www.theguardian.com/technology/2020/jun/19/australian-cyber-attack-not-sophisticated-just-a-wake-up-call-for-businesses-experts-say?CMP=fb_a-technology_b-gdntech
the Guardian
Australian cyber attack not ‘sophisticated’ – just a wake-up call for businesses, experts say
The ‘state-based cyber actor’ Morrison announced as having targeted Australia is exploiting well-known vulnerabilities, they say
Oracle как провайдер решения по трекингу пользователей в интернете. Кто бы мог подумать? (но желающих почемуто не нашлось). Oracle построили решение на базе стартапа BlueKai, который компания приобрела в 2014 году, и компания занимается кукисами и другими технологиями слежки для показа таргетированной рекламы. И, конечно же, оставили открытыми сервера с кучей частной информации, включая имена, адреса, и активность в браузере.
https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/
https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/
TechCrunch
Oracle’s BlueKai tracks you across the web. That data spilled online
Exclusive: The data exposure is one of the biggest this year.
а вот еще жопка с утечкой — похоже, утекла информация о многих полицейских в США, включая имена, имейлы, номера телефонов, и много всякой другой информации
https://krebsonsecurity.com/2020/06/blueleaks-exposes-files-from-hundreds-of-police-departments/
https://krebsonsecurity.com/2020/06/blueleaks-exposes-files-from-hundreds-of-police-departments/
Krebsonsecurity
‘BlueLeaks’ Exposes Files from Hundreds of Police Departments
Hundreds of thousands of potentially sensitive files from police departments across the United States were leaked online last week. The collection, dubbed "BlueLeaks" and made searchable via a new website by the same name, stems from a security breach at…
Взломали Stalker Online, утекло более 1 миллиона паролей игроков
https://www.grahamcluley.com/stalker-online-hacked-over-one-million-gamers-passwords-download/
https://cybernews.com/security/popular-mmo-game-stalker-online-hacked-1-2-million-user-records-put-for-sale-on-hacker-forums/
https://www.grahamcluley.com/stalker-online-hacked-over-one-million-gamers-passwords-download/
https://cybernews.com/security/popular-mmo-game-stalker-online-hacked-1-2-million-user-records-put-for-sale-on-hacker-forums/
Graham Cluley
Stalker Online hacked! Over one million gamers’ passwords made available for download
More than one million players of the video game Stalker Online have been put at risk after hackers offered them for sale on the darknet.
Ещё одно решение суда, в котором говорится, что полиция не имеет права принуждать человека к разблокировке его смартфона. Конечно, в некоторых странах методы принуждения бывают разными, но вообще такие решения можно только приветствовать
https://www.eff.org/document/state-v-seo-opinion
https://www.eff.org/document/state-v-seo-opinion
Electronic Frontier Foundation
Seo v. State opinion
opinion_issued_reversed_and_rem.pdf