Вчера еще Google и Dropbox одновременно опубликовали свои отчеты о правительственных запросах этим компаниям о пользователях и их информации в 2016. Вот, например, отчет Google со ссылками на запросы ФБР https://blog.google/topics/public-policy/sharing-national-security-letters-public/, а вот отчет Dropbox https://www.dropbox.com/transparency/?_tk=mb&_camp=news&_ad=transparency-h1-2016&_net=trans-prin
Google
Sharing National Security Letters with the public
*On August 10, 2017, we updated this post with additional National Security Letters (NSLs) we received where, either through litigation or legislation, we have been freed of nondisclosure obligations. We hope by continuing to disclose this content, we can…
а вот тут интересное, как комитет журналистов за свободную прессу обратился к производителям фотоаппаратов с просьбой добавить в камеры опцию шифрования данных. Журналисты часто снимают в опасных точках, и подвергаются опасности за отснятые материалы, и для защиты материалов им такая фича пригодилась бы. отличное начинание, конечно, но что-то мне подсказывает, что производителям камер сейчас не до этого. с одной стороны их поджимают производители смартфонов, и продажи и так падают, а с другой журналисты являются весьма нишевой аудиторией, да еще и не факт, что они будут выбирать камеры по принципу "есть там шифрование или нет". в общем, идея хорошая, но непонятно, будет ли у нее реализация https://freedom.press/news/over-150-filmmakers-and-photojournalists-call-major-camera-manufacturers-build-encryption-their-cameras/
Freedom of the Press
Over 150 filmmakers and photojournalists call on major camera manufacturers to build encryption into their cameras
Camera manufacturers need to build in encryption to protect filmmakers and photojournalists.
А вот ещё ссылка, присланная читателем Александром. В ней вы узнаете, что сервис Evernote изменил пользовательское соглашение, в которое добавил один важный пункт. По этому пункту сотрудники Evernote имеют право просматривать ваш незашифрованный контент, хранящийся в сервисе, с целью "улучшения" сервиса. Пользоваться или нет Evernote после этого - на ваше усмотрение http://www.droid-life.com/2016/12/14/evernotes-new-privacy-policy-says-employees-can-look-notes/
Droid Life
Evernote’s New Privacy Policy Says Their Employees Can Look at Your Notes (UPDATED)
Evernote, the popular note-saving platform that has gone through some major changes in recent years, like most recently limiting basic accounts and raising prices, issued a privacy policy update this week that is rightfully raising some eyebrows. In the newly…
Извините, что ссылка ночью, но нужно срочно в номер! Знаете, что круче 500 млн взломанных аккаунтов Яху, о которых мы узнали в этом году? МИЛЛИАРД взломанных аккаунтов у той же Яху, о которых мы узнали сегодня. Сам взлом, похоже, произошёл в августе 2013 года, в его результате были украдены имена, адреса, даты рождения, пароли, и даже в некоторых случаях - секретные вопросы и ответы. Мне кажется, после этого Яху должна просто самоудалиться из Интернета со всеми своими серверами https://yahoo.tumblr.com/post/154479236569/important-security-information-for-yahoo-users
Tumblr
Post by @yahoo
💬 3 🔁 30 ❤️ 52 · Important Security Information for Yahoo Users · By Bob Lord, CISO
Following a recent investigation, we’ve identified data security issues concerning certain Yahoo user accounts…
Following a recent investigation, we’ve identified data security issues concerning certain Yahoo user accounts…
сегодня сделаем день фоллоу-апов, то есть возврата к уже как-то поднятым вопросам. Например, неделю назад у нас был пост про почтовый клиент Spark, к которому возникли вопросы о безопасности пользовательских данных (которые Spark хранит на своих серверах для обеспечения работы своего сервиса) — https://telegram.me/alexmakus/855. С тех пор у iGuides вышло интересное сравнение сторонних почтовых клиентов с точки зрения безопасности, его можно почитать тут https://www.iguides.ru/main/apps/os_x/pochta_bezopasnost/, а еще вот читатель Владимир прислал ссылку на маркетинговый пост про Спарк, где в комментариях раздаются вполне резонные требования пояснить по сути вопросы безопасности в почтовом клиенте (https://dou.ua/lenta/articles/dou-projector-spark/). так что, в общем, на ваше усмотрение, конечно. Берегите там себя!
Telegram
Информация опасносте
а вот тут читатель Сергей прислал ссылку (за что ему большое спасибо) на интересный пост в ФБ об опасностях, подстерегающих пользователей бесплатных сторонних почтовых клиентов вроде Spark, которые получают полный доступ к вашим почтовым ящикам, а затем еще…
А также вчера я писал про сервис Evernote, в пользовательском соглашении которого якобы появился пункт о том, что инженеры компании могут просматривать незашифрованные данные пользователей с целью улучшения работы сервиса. Короче, в процессе выяснилось, что этот пункт был в соглашении давно, так что если вы пользуетесь Evernote, то определенные сотрудники компании могут просматривать ваши данные даже сегодня. Изменение же касается именно улучшения работы механизма machine learning по анализу данных, поэтому сотрудники могут проверять насколько хорошо там машины обработали ваши данные. звучит совсем не ужасно, да? ну не знаю. по крайней мере, Evernote предлагает опцию, где пользователи могут отказаться от участия в этой программе с machine learning (опция включена по умолчанию, так что нужно идти, логиниться и отключать). Но эта опция все равно не блокирует возможность сотрудников заглядывать в ваши данные, если они решат, что это им нужно. ну и есть еще пост директора Эверноут с некотором пояснением процесса. https://blog.evernote.com/blog/2016/12/15/note-chris-oneill-evernotes-privacy-policy/
Evernote Blog
A Note From Chris O’Neill about Evernote’s Privacy Policy
We recently announced an update to Evernote’s privacy policy. In response to your questions, let me be clear about what’s not changing and what is changing.
И, кстати, если вас, как и многих других, утомило дырявое решето под названием Yahoo, то удалить свой аккаунт оттуда можно здесь https://edit.yahoo.com/config/delete_user
и в завершение этой непростой недели несколько интересных апдейтов. например, Evernote, после поднявшегося шума, пересмотрела свою политику приватности и теперь для того, чтобы пользовательские данные были доступны сотрудникам компании (для улучшения работы machine learning), пользователи должны сознательно отметить соответствующую галку в настройках сервиса https://blog.evernote.com/blog/2016/12/15/evernote-revisits-privacy-policy/
Evernote Blog
Evernote Revisits Privacy Policy Change in Response to Feedback
In response to customer feedback, Evernote will not implement the announced Privacy Policy changes that were scheduled to go into effect January 23, 2017.
а вот тут интересная информация о том, почему Мак-юзерам стоит как можно скорее проапдейтиться на недавно вышедшую 10.2.2. Дело в том, что на более ранних версиях macOS присутствовала уязвимость, позволяющая получить пароль от диска, зашифрованного с помощью FileVault (после загрузки компьютера пароль хранился в памяти в открытом виде). По ссылке — информация об уязвимости, демонстрация получения пароля, а также информация об устройстве, позволяющем этот пароль получить. Apple была проинформирована об уязвимости и внесла соответствующее исправление в 10.2.2. так что если вам дорога безопасность ваших данных, лучше обновиться http://blog.frizk.net/2016/12/filevault-password-retrieval.html
blog.frizk.net
macOS FileVault2 Password Retrieval
macOS FileVault2 let attackers with physical access retrieve the password in clear text by plugging in a $300 Thunderbolt device into a lock...
(спасибо читателю Владу, который также прислал мне предыдущую ссылку). А еще из интересного — наши постоянные участники рубрики, компания Elcomsoft, рассказывает, как можно обойти двух-факторную авторизацию Apple, если добыть аутентификационный токен с компьютера пользователя. (что только подтверждает правило, что система настолько сильна, насколько крепко самое слабое звено этой системы. поэтому защищать надо все. вообще все) https://blog.elcomsoft.com/2016/12/bypassing-apples-two-factor-authentication/
меня тут поправляют, что у меня там в новости про дырку в FileVault2 опечатка (дважды). речь, конечно же, идет о macOS 10.12.2!
Воскресное вам дратути! Вообще, я тут в отпуске на несколько дней, но вот вам интересное интервью на почитать. Интервью с Натальей Касперской, которая "входит в рабочую группу при администрации президента, где курирует направление «Интернет и Общество», выступая за ужесточение госрегулирования Сети". Так что изменения, предлагаемые ею, будут затрагивать многих граждан России. А она, надо сказать, много говорит про информацию пользователей и о той опасносте, которой она подвергается. Прямо очень много. Кругом сплошные враги, пытающиеся манипулировать всеми нами (и особенно - гражданами России) https://www.novayagazeta.ru/articles/2016/12/17/70936-ya-kak-militsioner-vizhu-v-polzovatele-snachala-potentsialnogo-prestupnika
Новая газета
«Я, как милиционер, вижу в пользователе сначала потенциального преступника». Наталья Касперская в интервью спецкору Павлу Каныгину…
Наталью Касперскую называют не иначе как ястребом российской интернет-индустрии. Известный предприниматель входит в рабочую группу при администрации президента, где курирует направление «Интернет и Общество», выступая за ужесточение госрегулирования Сети.…
Полезная информация для пользователей Skype:
Любой может заблокировать ваш аккаунт навсегда так, что вы больше не сможете им пользоваться. Для этого достаточно знать только имя аккаунта. В большинстве случаев Skype откажет вам в восстановлении доступа. Microsoft знает об этой проблеме несколько лет.
Механизм генерации восьмизначных одноразовых кодов аутентификации (Microsoft Security Code), которые используются для восстановления пароля к аккаунту Microsoft, уязвим. Атакующий может угадать код.
Техподдержка Skype уязвима для атак социальной инженерии. Microsoft считает это нормальным.
Техподдержка Skype не знает, что на самом деле происходит с вашим аккаунтом, и почему он заблокирован. В любом случае вы получите стандартный ответ, что ваш аккаунт заблокирован за нарушение правил, даже если аккаунт был удален по вашему запросу.
Skype по-прежнему раскрывает ваш IP-адрес, в том числе и локальный (тот, что на сетевом интерфейсе). В некоторых случаях возможно раскрытие контактов, подключенных с того же внешнего IP-адреса, что и вы. Например, членов семьи, подключенных к домашнему роутеру.
Атакующий может скрыть активную сессию из списка авторизованных клиентов (команда /showplaces) используя старые версии SDK. Таким образом, зная пароль, можно незаметно просматривать переписку жертвы.
https://m.habrahabr.ru/post/316912/
Любой может заблокировать ваш аккаунт навсегда так, что вы больше не сможете им пользоваться. Для этого достаточно знать только имя аккаунта. В большинстве случаев Skype откажет вам в восстановлении доступа. Microsoft знает об этой проблеме несколько лет.
Механизм генерации восьмизначных одноразовых кодов аутентификации (Microsoft Security Code), которые используются для восстановления пароля к аккаунту Microsoft, уязвим. Атакующий может угадать код.
Техподдержка Skype уязвима для атак социальной инженерии. Microsoft считает это нормальным.
Техподдержка Skype не знает, что на самом деле происходит с вашим аккаунтом, и почему он заблокирован. В любом случае вы получите стандартный ответ, что ваш аккаунт заблокирован за нарушение правил, даже если аккаунт был удален по вашему запросу.
Skype по-прежнему раскрывает ваш IP-адрес, в том числе и локальный (тот, что на сетевом интерфейсе). В некоторых случаях возможно раскрытие контактов, подключенных с того же внешнего IP-адреса, что и вы. Например, членов семьи, подключенных к домашнему роутеру.
Атакующий может скрыть активную сессию из списка авторизованных клиентов (команда /showplaces) используя старые версии SDK. Таким образом, зная пароль, можно незаметно просматривать переписку жертвы.
https://m.habrahabr.ru/post/316912/
Habr
Как Skype уязвимости чинил
Короткий ответ: никак, им пофиг.
В статье описываются мои безуспешные попытки убедить сотрудников Microsoft, что их сервис уязвим, а также унижения, которые приходится выносить пользователям...
В статье описываются мои безуспешные попытки убедить сотрудников Microsoft, что их сервис уязвим, а также унижения, которые приходится выносить пользователям...
20% российских интернет-пользователей заклеивают изолентой веб-камеру ноутбука. Это выяснила антивирусная компания ESET, опросив 2200 респондентов.
Участники опроса выбирали подходящий вариант ответа на вопрос «Могут ли хакеры взломать веб-камеру вашего ноутбука?».
Больше трети опрошенных в талантах киберпреступников не сомневается – 39% респондентов выбрали ответ «Конечно, на то они и хакеры».
Еще 20% участников опроса ESET косвенно подтверждают серьезность угрозы. Эти респонденты во избежание хакерских атак уже заклеили камеры изолентой.
18% респондентов не отрицают, что хакеры способны получить удаленный доступ к веб-камере, но уверены в эффективности своего антивирусного ПО. Они выбрали ответ «Меня защитит антивирус».
13% опрошенных беспечно полагают, что взлом веб-камеры угрожает разве что знаменитостям, а «простым смертным» бояться нечего.
Наконец, 10% вообще не верят сообщениям о взломе веб-камер – по их мнению, это выдумки.
Участники опроса выбирали подходящий вариант ответа на вопрос «Могут ли хакеры взломать веб-камеру вашего ноутбука?».
Больше трети опрошенных в талантах киберпреступников не сомневается – 39% респондентов выбрали ответ «Конечно, на то они и хакеры».
Еще 20% участников опроса ESET косвенно подтверждают серьезность угрозы. Эти респонденты во избежание хакерских атак уже заклеили камеры изолентой.
18% респондентов не отрицают, что хакеры способны получить удаленный доступ к веб-камере, но уверены в эффективности своего антивирусного ПО. Они выбрали ответ «Меня защитит антивирус».
13% опрошенных беспечно полагают, что взлом веб-камеры угрожает разве что знаменитостям, а «простым смертным» бояться нечего.
Наконец, 10% вообще не верят сообщениям о взломе веб-камер – по их мнению, это выдумки.
Привет! (В том числе новоприсоединившиеся к каналу). За отпуск у меня накопилось много интересных ссылок, я с ними разберусь и поделюсь самым важным с вами. Пока что же - тема для Мак-пользователей. Ее в личном сообщении поднял один из читателей, за что ему отдельное спасибо. Короче, какая тема. Есть набор полезных утилит для безопасности Мака https://objective-see.com/, их пишет Патрик Вардл. Патрик - бывший сотрудник NSA, что у некоторых товарищей вызывает определённые опасения (как это так, NSA, бесплатные утилиты, а исходники закрыты) https://github.com/drduh/macOS-Security-and-Privacy-Guide/issues/90#issue-132601486
моя позиция по этому поводу такая: "Приложения советовали несколько специалистов по безопасности, я в этом случае доверяю тому, что они сделали нужные проверки. Хотя здоровая паранойя не помешает никогда". Так что все зависит от уровня вашей параноидальности
моя позиция по этому поводу такая: "Приложения советовали несколько специалистов по безопасности, я в этом случае доверяю тому, что они сделали нужные проверки. Хотя здоровая паранойя не помешает никогда". Так что все зависит от уровня вашей параноидальности
The Objective-See Foundation
A non-profit foundation, focusing on macOS security.
а пограничная служба США на въезде в страну у тех, кто въезжает из стран, которым не требуется виза, начала спрашивать про идентификаторы в социальных сетях. пока что опционально, но все может измениться