если у вас смартфон Samsung, там к нему вышел в июне апдейт, исправляющий несколько уязвимостей, в том числе и уязвимость в Factor Reset Protection, которая позволяла тому, кто, например, украл ваш смартфон, обойти систему защиты и произвести заводской сброс. http://security.samsungmobile.com/smrupdate.html#SMR-JUN-2016
день без новостей про TeamViewer — канал на ветер! тут смешная история, присланная читателем, про то, как автоматическая установка Windows 10 смогла прекратить несанкционированный доступ к компьютерам через teamviewer. не знаю, насколько правда, но все равно забавно https://geektimes.ru/p/276934/
но есть и по-настоящему плохие новости. прогресс — он ведь затрагивает все области нашей жизни, а медицина — так вообще впереди планеты всей зачастую. Вот и капельницы тоже бывают "смарт", как оказалось. и вот тут начинается ад, потому что, похоже, капельницу разрабатывали какие-то люди, плохо себе представляющие основы безопасности. поэтому когда на капельницу накатывается новая прошивка, устройство не проверяет подписи прошивки. при этом, оказывается, эта капельница еще и к интернету подключена — internet of shit, мать его так. так вот, хакер или человек, имеющий физический доступ к капельнице, может накатить на устройство левую прошивку, которая позволит менять дозировку лекарства, что потенциально может дать возможность увеличить дозировку до смертельной дозы. какая была бы нелепая смерть... и таких капельниц в больницах США — сотни тысяч. производитель, конечно, все отрицает, но в статье рассказывается про хакера, который якобы это все смог продемонстрировать на практике. https://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
WIRED
Hacker Can Send Fatal Dose to Hospital Drug Pumps
A hacker could change the dosages of drugs delivered to patients and alter the display screens on the pumps to indicate a safe dosage was being delivered when it wasn't.
Алярма! Теперь вроде как всплыли 32млн учёток пользователей Твиттера. Если вы не пользуетесь 2FA - то очень зря https://www.leakedsource.com/blog/twitter
LeakedSource
LeakedSource Analysis of Twitter.com Leak
Have you been hacked? Search hundreds of leaked databases like LinkedIn, MySpace, Dropbox, Ashley Madison and Twitter by name, email, ip address, and phone number!
важный момент — похоже, что это не твиттер хакнули, а что это — просто компиляция из украденной у разных пользователей информации
This data set contains 32,888,300 records. Each record may contain an email address, a username, sometimes a second email and a visible password. We have very strong evidence that Twitter was not hacked, rather the consumer was. These credentials however are real and valid. Out of 15 users we asked, all 15 verified their passwords.
The explanation for this is that tens of millions of people have become infected by malware, and the malware sent every saved username and password from browsers like Chrome and Firefox back to the hackers from all websites including Twitter.
This data set contains 32,888,300 records. Each record may contain an email address, a username, sometimes a second email and a visible password. We have very strong evidence that Twitter was not hacked, rather the consumer was. These credentials however are real and valid. Out of 15 users we asked, all 15 verified their passwords.
The explanation for this is that tens of millions of people have become infected by malware, and the malware sent every saved username and password from browsers like Chrome and Firefox back to the hackers from all websites including Twitter.
тут в новостях интересная тема про Smart TV всплыла. конечно, СМИ британское как первоисточник, а им веры еще меньше, чем британским ученым, но в целом история достаточно реалистична, чтобы быть правдой. некая пара рассказала, что их Smart TV хакнули и через него сняли (видимо, у этого ТВ была встроенная камера. У Самсунга такие были, да?), как эта пара занималась сексом. а потом это видео оказалось на порносайте (в статье ссылки нет) http://metro.co.uk/2016/05/23/smart-tv-hackers-are-filming-people-having-sex-on-their-sofas-and-putting-it-on-porn-sites-5899248/
Metro
Smart TV hackers are filming people having sex on their sofas
Are you being watched by sweaty nerd sex pests?
Ура, за сегодня новых утечек паролей не обнаружено! (Что, впрочем, не означает, что их не было). Поэтому wtf дня в картинке
несмотря на то, что у многих из вас сегодня выходной, информация опасносте всегда! например, https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867
Let's Encrypt Community Support
Email Address Disclosures, Preliminary Report, June 11 2016
Update: Please see the full final report here. On June 11 2016 (UTC), we started sending an email to all active subscribers who provided an email address, informing them of an update to our subscriber agreement. This was done via an automated system which…
а тут в крации — про содержимое июньского апдейта безопасности у Android. владельцам смартфонов на Android эти апдейты дойдут, возможно, никогда http://www.securityweek.com/critical-vulnerabilities-patched-android-mediaserver-qualcomm-drivers
Securityweek
Critical Vulnerabilities Patched in Android Mediaserver, Qualcomm Drivers | SecurityWeek.Com
Google has released the June 2016 set of security updates for the Android operating system, meant to patch a total of 40 vulnerabilities in the platform.
похоже, нас покинуло несколько человек, чья тонкая душевная организация не вынесла укола в сторону Android, ну да ладно. сегодня, как вы понимаете, было не особо до апдейтов, потому что открывается WWDC, был кейноут Apple, новые ОС, вот это все. Я читаю по ходу немножко всяких хакеров и прочих экспертов по поводу изменений в iOS 10 относительно шифрования и криптографии, и понимаю, что стало сильно лучше, но пока не до конца понимаю, что именно. будем исследовать дальше. между тем, в macOS 10.12 пока что не работает приложение telegram, поэтому учитывайте это тоже. ну и интересный факт — на картинке. Теперь, по крайней мере, по умолчанию, нельзя будет ставить "откуда попало" неподписанные приложения в macOS, хотя, возможно, это еще раскопается где-то в скрытых настройках.
а вот еще читатель прислал в твитер полезную информацию про какие-то попытки несанкционированного доступа к сервису Sentry — креш-репортинг для веба и мобильных приложений, так что тоже учтите там это
тут вот еще пишут про уязвимость в библиотеке Chrome, которая отвечает за работу с PDF-файлами http://www.hotforsecurity.com/blog/how-a-boobytrapped-pdf-file-could-exploit-your-chrome-browser-and-its-not-adobes-fault-14122.html
HOTforSecurity
How a boobytrapped PDF file could exploit your Chrome Browser –...
It used to be one of the biggest irritations on the web. You would be visiting a website, click on a link and then - without warning - find that Adobe Acrobat Reader was... #adobe #chrome #pdf
а теперь вам ужасов из мира финансовых преступников. например, вот картинка — на ней изображен скиммер, который вставляется в слот банкомата специальными инструментами и его вообще не видно (потом, соответственно, вынимается). тут можно посмотреть на видео, как это примерно работает в механизме. все это уже можно купить в интернете, если есть желание (не на амазоне, конечно) https://youtu.be/Nlx_GDeaEtI
YouTube
How an Insert Skimmer works
A skimmer seller demonstrates his insert skimmer, and how the device allows cards to transit through the ATM card reader throat while recording the data on t...
а на этом видео по звуковой дорожке даже можно определить, из какой части мира человек со скиммером (то есть это все — уже в России) https://youtu.be/Y0cfYcWpL70
YouTube
20160323 163950
An insert skimmer in action. Video: Hold Security.
и снова здравствуйте! С вами регулярная рубрика "опять спиздили миллионы учетных записей". В этот раз — это сервис Vertical Scope, который использовался различными форумами и сайтами по миру. 45 миллионов учёток, включая логины, пароли и прочее. Короче, все плохо, как обычно https://www.leakedsource.com/blog/verticalscope