в августе я писал о базе из 200 млн записей аккаунтов Yahoo, которая поступила в продажу. Короче, пишут, что Yahoo планирует анонсировать, что breach был настоящий и это реальные записи. так что пароли на yahoo лучше все-таки поменять (ну и если они где-то еще используются — то тоже)

https://telegram.me/alexmakus/537 вот ссылка на августовский месседж

так, а вот и подтверждение от Yahoo подоспело. там все еще хуже — КАК МИНИМУМ 500 млн учеток, имена, имейлы, телефоны, даты рождения, а также в некоторых случаях — ответы на секретные вопросы. основная рекомендация — пойти и заменить пароли, если вы не меняли их с 2014 года.

тут читатель прислал ссылку на бложик друзей из Elcomsoft, которые рассказывают, как Эпол слегка нафакапила в iOS, что привело в результате к "ослаблению" защиты оффлайновых бекапов, которые делает iTunes на компьютер. так что теперь тулза Элкомсофта Phone Breaker умеет полностью расшифровывать такие бекапы, причем гораздо быстрее, чем раньше http://blog.elcomsoft.com/2016/09/ios-10-security-weakness-discovered-backup-passwords-much-easier-to-break/

Brian Krebs, автор сайта, посвященного вопросам информационной безопасности, за свою активность получил DDoS атаку на сайт объемом в 665Гб/сек, самая большая атака в истории интернета. по результатам его исследований недавно были арестованы два владельца сайта, предоставлявшего услуги DDoS атак на заказ. но интересно вот что. такой объем DDoS атаки стал возможен благодаря IoT — всевозможные камеры, роутеры, замки, лампочки, автомобили и проч, все эти устройства с дырявой безопасностью дают возможность организовывать такие атаки, которые раньше было организовать очень сложно: компьютеры уже научились более-менее защищать. но тут появились IoT, и все стало гораздо хуже… https://www.hackread.com/brian-krebs-website-665-gbps-ddos-attack/

я в пятницу писал о том, что Элкомсофт обнаружили и сообщили о том, что локальный бекап iOS-устройств с выходом iOS 10 "расслабил булки" и таким образом его стало проще взломать и получить доступ к содержимому бекапа (https://telegram.me/alexmakus/704) Хорошие новости — то, что Apple признала проблему и обещает ее исправить в ближайшем апдейте. А пока что предлагает убедиться в том, что пароль на компьютере настроен и активирован FileVault:

“We’re aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups,” an Apple spokesperson said. “We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption.”

про расшифровку трафика в рунете, там самое интересное — это "оригинал", в "Обновлено (16:15)". вообще учитывая потенциальные последствия для реализации таких механизмов (для тех же банков), вряд ли такой проект будет когда-либо реализован, но вообще интересно наблюдать за этим обсуждением https://roem.ru/26-09-2016/233570/kasperskaya-rasshifrovyvat-trafik/

а вот, кстати, еще интересная тема (и на русском — почти — тоже, что бывает не так часто) — это как Дуров и Сноуден обсуждали безопасность мессенджеров. Сноуден гнал на Телеграмм, у Дурова по этому поводу подгорало. https://vc.ru/p/durov-snowden-wa

а вот кому малварь под macOS? Komplex, скочать бисплатно без СМС! http://objective-see.com/downloads/malware/Komplex.zip

сразу предупреждаю — на свой страх и риск, если что, я не виноват :)

проект на гитхабе о том, как с помощью уязвимостей в OS X 10.11.6 можно эскалировать права доступа (это те самые уязвимости, которые называли Trident, и для которых Apple выпускала срочный апдейт для iOS 9.3.5) https://github.com/zhengmin1989/OS-X-10.11.6-Exp-via-PEGASUS

ну и статья на Forbes о программе поиска уязвимостей в Apple, которую организовала сама Apple. позвали туда всяких хацкеров, и предлагают 200 тыс долларов за информацию об уязвимостях. отличие от подобных программ у других производителей в том, что Apple сама приглашает тех, кого считает нужным, поучаствовать http://www.forbes.com/sites/thomasbrewster/2016/09/28/apple-iphone-hacker-meet-cupertino/?utm_source=yahoo&utm_medium=partner&utm_campaign=yahootix&partner=yahootix#73a8cc017e29

сегодня в целом какой-то день яблоновостей на тему безопасности. вот еще журнал Intercept опубликовал исследование, в котором рассказывает, что Apple сохраняет информацию о том, с кем вы переписываетесь по iMessage, и может делиться этой информацией с правоохранительными органами. суть в том, что когда вы набираете номер телефона или имя получателя сообщения, телефон связывается с сервером Apple, чтобы определить, сможет ли получатель получить сообщение по iMessage, или же надо отправлять ему сообщение по SMS. так вот как раз логи об этих проверках сохраняются на серверах Apple, включая дату и время такой проверки. Apple подтвердила, что эти логи хранятся 30 дней, и что эти данные могут быть предоставлены органам по запросу. Apple при этом также говорит, что сам факт наличия таких логов не подтверждает факта того, что обмен сообщениями состоялся https://theintercept.com/2016/09/28/apple-logs-your-imessage-contacts-and-may-share-them-with-police/

я там выше давал ссылку на Komplex, малварь под macOS. А вот на PaloAltoNetworks детальный разбор этого трояна и его "функциональности". интересно, что троян маскируется под ПДФ с информацией о российской аэрокосмической программе. пока что малварь не делает ничего "плохого", но она способна по команде загружать дополнительные компоненты http://researchcenter.paloaltonetworks.com/2016/09/unit42-sofacys-komplex-os-x-trojan/

Привет. Сегодня информации мало, но зато полезная. Читатель прислал ссылочку на интересный ПДФ с информацией о вредоносном ПО для iOS, включая варианты как для устройств с джейлбрейком, так и без него. я уже как-то давал ссылку на похожий документ, но такая информация лишней не бывает. Тут, в том числе, рассказывается и про Pegasus, то самое ПО с удаленным джейлбрейком и дальнейшим сбором информации с устройства, которое использовалось для взлома устройства жертвы в Саудовской Аравии. А рекомендации все те же: не устанавливайте приложения откуда попало, обновляйте регулярно систему и будьте начеку! https://dsec.ru/upload/medialibrary/29f/29f57cef406125e9169da733e1aaf83f.pdf

как заработать 1,5 млн долларов? все очень просто: найти уязвимость в iOS, продать ее в zerodium. за уязвимость в Android они предлагают до 200 тыс долл, за уязвимость в Windows Phone — до 100 тыс. https://www.zerodium.com/program.html

Вот ещё вдогонку статья на Ars по поводу поиска уязвимостей и получения денег за это http://arstechnica.com/security/2016/09/1-5-million-bounty-for-iphone-exploits-is-sure-to-bolster-supply-of-0days/

и снова здравствуйте. тема безопасности "умных гаджетов" (а на самом деле довольно туповатых лампочек, камер и прочего барахла с WiFi/Bluetooth чипом и подключением в интернет), о которой я писал тут http://alexmak.net/blog/2016/08/17/ioshit/, набирает обороты. на выходных об этом писал Паша Урусов (http://pavelurusov.com/iot-botnets/, но, кажется, его бложек временно прилег), а вот еще большая статья на эту же тему в WSJ http://www.wsj.com/articles/hackers-infect-army-of-cameras-dvrs-for-massive-internet-attacks-1475179428 (что хорошо, тема явно выходит в массы). WSJ пишет о том, что все эти несекьюрные дивайсы — это готовые ботнеты, которые позволяют устраивать массивные DDoS аттаки в интернете, причем в масштабах, ранее невиданных. проблема не только в том, что эти устройства по дизайну не особо защищены, но многие юзеры даже не задумываются об их апдейтах (и это в ситуации, если производитель выпускает обновления, многие этого не делают). если верить схеме на WSJ, то опасность представляют практически все устройства в доме. как страшно жить.