ну и ни дня без новостей про IoT, потому что it never ends, this shit. Akamai пишет о том, как с помощью эксплуатации уязвимости 12-ЛЕТНЕЙ!!! давности в SSH строятся ботнеты из IoT-барахла. вот информация об этой уязвимости http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1653, вот пост у Akamai об этоhttps://blogs.akamai.com/2016/10/when-things-attack.html, а вот ПДФ с детальной информацией https://regmedia.co.uk/2016/10/13/sshowdown-exploitation-of-iot-devices.pdf

сегодня мы вкрации поговорим о "безопасных" приложениях — тех приложениях, которые обещают безопасно хранить ваши данные, например, тексты или фотографии. Если вы пользуетесь подобными приложениями на Android, то у меня для вас плохие новости. почитайте вот статью, как с помощью молотка и какой-то матери можно получить доступ к материалам, хранящимся внутри подобных приложений. мораль статьи такова, что большинство разработчиков таких программ сами толком нихрена не смыслят в безопасности и в итоге обманывают пользователя несбыточными обещаниями http://bbqand0days.com/Password-Storage-In-Sensitive-Apps/

добрый вечер. с вами в эфире очередные новости из мира информационной опасности. например, странная история про журнал о диабете, который опубликовал логин и пароль к своей базе данных прямо у себя на сайте.

в рамках постоянных взломов и утечек информации из почты (то демократической партии, то штаба клинтон) эксперты взглянули на почтовые сервера трампа. а там.... Win2k3, и IIS 6.0. короче, "заходи, кто хочет, бери что хочешь"

тут Vice пишет о том, как в России планируют монтировать на базовых станциях для сотовой связи подавители сигналов, которые типа как должны сбить с толку ракеты. вообще вся эта военная истерия, конечно, наводит депрессию и вызывает желание начать компать бункер, как в Cloverfield Lane 10 http://motherboard.vice.com/read/russia-plans-to-turn-civilian-cell-phone-towers-into-cruise-missile-jammers

И снова здравствуйте, дорогие читатели. сегодня у нас привет Мак-юзерам. Эксперты из Intego обнаружили новую малварь для Мака, которая маскируется под установщик Adobe Flash (кто бы мог подумать, что его будут по-прежнему добровольно ставить?). Причем там забавно, вначале типа как выглядит "поставь Flash", а когда начинаешь устанавливать, начинается уже веселее. Нельзя сказать, что это — сильно вредоносное приложение, по крайней мере, пока; все, что оно делает — это через скрипт закачивает приложения и устанавливает на Мак. пока что оно устанавливает MPlayer, но ведь кто знает, что оно решит поставить потом? Так что осторожней там, и уж точно не качайте никаких установщиков Flash, это вам точно не надо https://www.intego.com/mac-security-blog/silverinstaller-uses-new-techniques-to-install-puapup/?utm_medium=email&utm_source=security_alert&utm_campaign=security_alert_2016_10_19_silverinstaller&utm_content=intro

не совсем инфосековое, но очень интересно — препарирование приложения Facebook для iOS. Шутка ли — 165МБ, стало интересно, что же туда натолкали, а тут оппа — все уже написано. один список сторонних библиотек чего стоит http://blog.timac.org/?p=1303

большое исследование экспертов из университета Georgetown о том, что половина взрослого населения США находится в базах распознавания лиц правоохранительных органов. там рассказывается, как некоторые штаты просто дают доступ полиции и ФБР для поиска преступников, используя информацию из фотографий в водительских удостоверениях. основная проблема заключается в том, что, по мнению правозащитников, невинные люди не должны находиться в базах для поисков преступников, и то, что ФБР с полицией имеют неконтролируемый доступ к ней, сильно неправильно https://www.perpetuallineup.org/sites/default/files/2016-10/The%20Perpetual%20Line-Up%20-%20Center%20on%20Privacy%20and%20Technology%20at%20Georgetown%20Law.pdf

Сегодня в качестве бонуса — лонгрид в виде отчета компании Eset о деятельности группы хакеров Sednit, также известной под именем Fancy Bear. Говорят, именно она стоит за взломом комиссии демократической партии США и еще много чего. В США много говорят о том, что группировка создана и функционирует при поддержке госорганов РФ, хотя четких доказательств этого пока что никто не предоставил. показательно, что многие свои "взломы" группировка реализовывала с помощью фишинга — то есть когда жертва получает ссылку (в почте или еще как-нибудь) на страницу, которая выглядит "как настоящая", где приходится ввести логин-пароль, а дальше уже дело техники. В общем, почитайте, там много интересного http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf

и вот еще статья в The New York Times, как у подрядчика обнаружили залежи украденных у NSA документов и инструментов для взлома. и после этого ФБР будет рассказывать "ну вы сделайте тут бэкдор для айфона, мы его будем надежно хранить, никто его не заполучит". хахаха. остается только отдать должное Apple, что у компании тогда хватило яиц противостоять ФБР http://www.nytimes.com/2016/10/20/us/harold-martin-nsa.html?_r=1

Хак за Родину (из американского Esquire)

тут в очередной раз поднимается тема вопроса о том, может ли полиция заставлять человека разблокировать телефон своим отпечатком пальца. у Washington Post статья на тему того, как в этом всем фигурирует Пятая поправка к Конституции США (невозможность свидетельствовать против себя), и разблокировка телефона сканером отпечатка пальца как доказательство принадлежности телефона человеку. и что делать вообще с принуждением человека к прикосновению к телефону, если оказывается, что "ключ к разблокировке" — это тело человека. но вообще статья не дает ответа на вопрос, насколько это все легально и оставляет тему открытой. https://www.washingtonpost.com/news/volokh-conspiracy/wp/2016/10/19/can-warrants-for-digital-evidence-also-require-fingerprints-to-unlock-phones/?utm_term=.2cbd8c3e2513

дратути! сегодня в программе у нас — статья на РБК с пересказом отчета Amnesty International о "самых безопасных мессенджерах" http://www.rbc.ru/technology_and_media/21/10/2016/5808f07e9a79471023e8b713?from=newsfeed