Список исправленных уязвимостей в недавно вышедших iOS/iPadOS внушительный. Кто не обновился, Пегасуса вам в хату
https://support.apple.com/en-us/HT212601
Для Макоси 11.5 тоже отсыпали фиксов
https://support.apple.com/en-us/HT212602
И даже более старым версиям даже сесурити апдейтов. Что-то хорошее, наверно, надо брать
https://support.apple.com/en-us/HT212601
Для Макоси 11.5 тоже отсыпали фиксов
https://support.apple.com/en-us/HT212602
И даже более старым версиям даже сесурити апдейтов. Что-то хорошее, наверно, надо брать
Apple Support
About the security content of iOS 14.7 and iPadOS 14.7
This document describes the security content of iOS 14.7 and iPadOS 14.7.
Тут какая-то весёлая история про уязвимость в системе «умного голосования», допущенная админами при конфигурации сервиса
https://habr.com/ru/post/568842/
И ответ админов команды Навального обработке над ошибками
https://habr.com/ru/post/569176/
https://habr.com/ru/post/568842/
И ответ админов команды Навального обработке над ошибками
https://habr.com/ru/post/569176/
Хабр
Как ФБК* сами слили все данные оппозиции в открытый доступ
* - Фонд борьбы с коррупцией включён в реестр НКО, выполняющих функции иностранного агента, по решению Министерства юстиции РФ от 09.10.2019; организация признана экстремистской, её деятельность...
Со всеми этими NSO я почти пропустил другую интересную новость. Помните, несколько месяцев назад была эпидемия атак на сервера Exchange? Министерство юстиции США официально выдвинуло обвинения против китайской группировки APT40! И вот их доказательства:
https://www.justice.gov/opa/press-release/file/1412916/download
https://www.washingtonpost.com/politics/2021/07/19/cybersecurity-202-us-allies-are-taking-stand-against-chinese-hacking-here-are-three-takeaways/
https://www.justice.gov/opa/press-release/file/1412916/download
https://www.washingtonpost.com/politics/2021/07/19/cybersecurity-202-us-allies-are-taking-stand-against-chinese-hacking-here-are-three-takeaways/
Пишут, что на продажу выставили базу номеров телефонов пользователей Клабхаус - 3,8 млрд номеров телефонов. Круто, если это так. Все эти миллениальские стартапы, которые для социального эффекта просят доступ ко всей адресной книге (и юзеры, которые их раздают) заслуживают какого-то наказания. Жаль, что страдают даже те, кто не подключался к Клабхаусу - их номер все равно, скорей всего, уже там есть.
https://twitter.com/mruef/status/1418693478574346242
Так, апдейт: пишут, что скорей всего, фигня эта база
https://twitter.com/UnderTheBreach/status/1418889649708208137
Что не отменяет моего аргумента о приложениях, просящих доступа ко всей адресной книге
https://twitter.com/mruef/status/1418693478574346242
Так, апдейт: пишут, что скорей всего, фигня эта база
https://twitter.com/UnderTheBreach/status/1418889649708208137
Что не отменяет моего аргумента о приложениях, просящих доступа ко всей адресной книге
Похоже, что Apple исправила одну уязвимость из цепочки, применяемой NSO для взлома iOS. По крайней мере, вышел срочный апдейт безопасности для iOS/iPadOS 14.7.1 и macOS Big Sur 11.5.1.
Исправили CVE-2021-30807 — A memory corruption issue was addressed with improved memory handling.
ну и да — Apple is aware of a report that this issue may have been actively exploited.
вы знаете, что делать. (если вы подумали «купить андроид», то я сразу скажу, что NSO ломает андроеды точно так же)
Исправили CVE-2021-30807 — A memory corruption issue was addressed with improved memory handling.
ну и да — Apple is aware of a report that this issue may have been actively exploited.
вы знаете, что делать. (если вы подумали «купить андроид», то я сразу скажу, что NSO ломает андроеды точно так же)
Вдогонку к предыдущему сообщению
https://twitter.com/b1n4r1b01/status/1419734027565617165?s=21
Все это как подтверждение того, что вчерашний сесурити апдейт для iOS/macOS чинит, скорей всего, уязвимость, эксплуатируемую NSO
https://www.theregister.com/2021/07/27/apple_patches_zeroday/
https://twitter.com/b1n4r1b01/status/1419734027565617165?s=21
Все это как подтверждение того, что вчерашний сесурити апдейт для iOS/macOS чинит, скорей всего, уязвимость, эксплуатируемую NSO
https://www.theregister.com/2021/07/27/apple_patches_zeroday/
Twitter
binaryboy
CVE-2021-30807 POC: int main(){ io_service_t s = IOServiceGetMatchingService(0, IOServiceMatching("AppleCLCD")); io_connect_t c; IOServiceOpen(s,mach_task_self(),0,&c); uint64_t a[1] = {0xFFFFFFFF}; uint64_t b[1] = {0}; uint32_t o = 1; IOConnectCallScalarMethod(c…
As such, we are confirming in no uncertain terms that Kaseya did not pay a ransom
either directly or indirectly through a third party - to obtain the decryptor.
интересно. то есть ключ они получили, но не платили за него. хмммммм....
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021
either directly or indirectly through a third party - to obtain the decryptor.
интересно. то есть ключ они получили, но не платили за него. хмммммм....
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021
Kaseya
Important Notice August 4th, 2021
August 4, 2021 - 4:00 PM EDT
VSA 9.5.7d Patch Update
Based on feedback, we have merged the functionality that was planned in the next two updates into the 9.5.7d VSA patch and adjusted the release ...
VSA 9.5.7d Patch Update
Based on feedback, we have merged the functionality that was planned in the next two updates into the 9.5.7d VSA patch and adjusted the release ...
Большой выпуск про выплаты наград исследователям безопасности:
1. Microsoft выплатила $13,6 млн исследователям по кибербезопасности в рамках программ Bug Bounty за прошедший год
https://news.microsoft.com/ru-ru/microsoft-bug-bounty/
2. Google перезапустила программу выплат и рассказывают, как они будут лучше взаимодействовать с исследователями, организуют обучение, упростят процесс публикации результатов программы, и все такое
https://security.googleblog.com/2021/07/a-new-chapter-for-googles-vulnerability.html
https://bughunters.google.com/
3. Рассказ исследователя о том, как он пытался подать информацию об уязвимости в Apple (приложение могло получить доступ к постоянной информации о геолокации пользователя без разрешения пользователя), и в течение 14 месяцев общался с компанией, но в итоге получил примерно пенис.
https://medium.com/macoclock/apple-security-bounty-a-personal-experience-fe9a57a81943
1. Microsoft выплатила $13,6 млн исследователям по кибербезопасности в рамках программ Bug Bounty за прошедший год
https://news.microsoft.com/ru-ru/microsoft-bug-bounty/
2. Google перезапустила программу выплат и рассказывают, как они будут лучше взаимодействовать с исследователями, организуют обучение, упростят процесс публикации результатов программы, и все такое
https://security.googleblog.com/2021/07/a-new-chapter-for-googles-vulnerability.html
https://bughunters.google.com/
3. Рассказ исследователя о том, как он пытался подать информацию об уязвимости в Apple (приложение могло получить доступ к постоянной информации о геолокации пользователя без разрешения пользователя), и в течение 14 месяцев общался с компанией, но в итоге получил примерно пенис.
https://medium.com/macoclock/apple-security-bounty-a-personal-experience-fe9a57a81943
Пишут, что министерство обороны Израиля пришло в гости в офис NSO с проверкой. Интересно, интересно.
(Кстати, забавный момент, что в софте NSO стоит стоп-блок на американские телефонные номера. То есть остальных ломать можно, а американцев нельзя. Ну хоть так боятся)
https://www.calcalist.co.il/technology/article/b1t11d11jkf
(Кстати, забавный момент, что в софте NSO стоит стоп-блок на американские телефонные номера. То есть остальных ломать можно, а американцев нельзя. Ну хоть так боятся)
https://www.calcalist.co.il/technology/article/b1t11d11jkf
כלכליסט- www.calcalist.co.il
כלכליסט - דף הבית - הודעת שגיאה
כלכליסט - ישראל מתחברת לכלכלה
Мы живем в то странное время, когда NSA (NSA!) публикует инструкции о том, как обезопасить свои личные устройства с беспроводными коммуникациями - Bluetooth, NFC, WiFi. Рекомендации из серии «отключайте те каналы, которые не используете, не пользуйтесь публичным вайфаем, отключайте или ограничивайте доступ к геолокации, устанавливайте сложные пароли на устройствах, используйте только доверенные аксессуары и оригинальные зарядные шнуры». Ничего неожиданного, но хорошо собрано в одном месте:
https://media.defense.gov/2021/Jul/29/2002815141/-1/-1/0/CSI_SECURING_WIRELESS_DEVICES_IN_PUBLIC.PDF
https://media.defense.gov/2021/Jul/29/2002815141/-1/-1/0/CSI_SECURING_WIRELESS_DEVICES_IN_PUBLIC.PDF
В Эстонии тоже информация опасносте. Некий хакер на протяжении нескольких дней качал фотографии почти 300 тысяч сограждан, используя зарубежные IP адреса, вредоносную сеть, уязвимость в базе и даже поддельные сертификаты! Ранее он уже, как я понял, собрал имена и ID сограждан. Но даже с фотографиями он, как утверждает полиция, не мог причинить никакого ущерба.
https://rus.postimees.ee/7302865/prestupnik-skachal-pochti-300-000-fotografiy-na-dokumenty-zhiteley-estonii
https://rus.postimees.ee/7304105/ria-krazha-fotografiy-s-dokumentov-ne-povliyaet-na-rabotu-elektronnyh-uslug
https://rus.postimees.ee/7303697/chto-izvestno-o-lyudyah-fotografii-kotoryh-byli-pohishcheny-hakerom
https://news.err.ee/1608291072/hacker-downloads-close-to-300-000-personal-id-photos
За ссылки спасибо читателям!
https://rus.postimees.ee/7302865/prestupnik-skachal-pochti-300-000-fotografiy-na-dokumenty-zhiteley-estonii
https://rus.postimees.ee/7304105/ria-krazha-fotografiy-s-dokumentov-ne-povliyaet-na-rabotu-elektronnyh-uslug
https://rus.postimees.ee/7303697/chto-izvestno-o-lyudyah-fotografii-kotoryh-byli-pohishcheny-hakerom
https://news.err.ee/1608291072/hacker-downloads-close-to-300-000-personal-id-photos
За ссылки спасибо читателям!
Rus.Postimees.ee
Преступник скачал почти 300 000 фотографий на документы жителей Эстонии
Эксперты Департамента государственной инфосистемы (RIA) и Департамента полиции и погранохраны (PPA) прервали скачивание сотен тысяч фотографий из базы данных удостоверяющих личность документов — скачивание данных оказалось возможным из-за уязвимости в услуге…
Тут, между прочим, пишут, что все, что украли у EA, выложили в интернете, потому что ЕА отказалась платить выкуп.
https://therecord.media/hackers-leak-full-ea-data-after-failed-extortion-attempt/
https://therecord.media/hackers-leak-full-ea-data-after-failed-extortion-attempt/
The Record
Hackers leak full EA data after failed extortion attempt
The hackers who breached Electronic Arts last month have released the entire cache of stolen data after failing to extort the company and later sell the stolen files to a third-party buyer.
Какая шикарная история! Не знаю, пытался ли кто-то из читателей когда-либо связаться с Фейсбуком и получить от них ответ, но мне пришлось это делать - в частности, нужно было изменить параметры одного разработческого аккаунта. Пока я реально не нашёл через знакомых человека, который работал в ФБ в нужной сфере и смог достучаться за меня в правильное место в компании - никакой реакции от компании не было. Никаких ответов на формы на сайте, никаких адресов электронной почты, ничего. Поддержка не нужна, читайте форумы!
Короче, народ тут придумал хак этой системы: если у вас, например, хакнули учётку ФБ, можно купить приставку Oculus для VR - у внезапно у компании сразу появляется обратная связь с вами. Конечно, вы же занесли денег! Так вот, хак заключается в том, чтобы купить Oculus, получить поддержку - и вернуть его, не открывая.
https://www.npr.org/2021/08/02/1023801277/your-facebook-account-was-hacked-getting-help-may-take-weeks-or-299
Короче, народ тут придумал хак этой системы: если у вас, например, хакнули учётку ФБ, можно купить приставку Oculus для VR - у внезапно у компании сразу появляется обратная связь с вами. Конечно, вы же занесли денег! Так вот, хак заключается в том, чтобы купить Oculus, получить поддержку - и вернуть его, не открывая.
https://www.npr.org/2021/08/02/1023801277/your-facebook-account-was-hacked-getting-help-may-take-weeks-or-299
Чем вы занимаетесь в свободное время в течение дня, чтобы отвлечься от вопросов информационной безопасности и расслабиться?
Выберите топ-3 пункта:
Выберите топ-3 пункта:
Anonymous Poll
18%
Мастерю что-то своими руками
45%
играю в игры на телефоне, консоли или ПК
28%
занимаюсь спортом
46%
читаю книги или статьи
49%
смотрю кино, сериалы или другое видео
9%
играю на музыкальных инструментах
32%
слушаю музыку или подкасты
20%
отдыхаю на природе
12%
кулинарю
17%
другое
И опять у нас рекомендации NSA, в этот раз по укреплению Kubernetes
https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2716980/nsa-cisa-release-kubernetes-hardening-guidance/
https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2716980/nsa-cisa-release-kubernetes-hardening-guidance/
Или вот Амазон, который собирает отпечатки ладоней клиентов и готов платить баснословные 10 долларов за отпечаток. Thisisfine.jpg
https://techcrunch.com/2021/08/02/amazon-credit-palm-biometrics/
https://techcrunch.com/2021/08/02/amazon-credit-palm-biometrics/
TechCrunch
Amazon will pay you $10 in credit for your palm print biometrics
The retail giant has a spotty history with biometric data.