а вот еще читатель прислал в твитер полезную информацию про какие-то попытки несанкционированного доступа к сервису Sentry — креш-репортинг для веба и мобильных приложений, так что тоже учтите там это
Size: a a a
2016 June 14
тут вот еще пишут про уязвимость в библиотеке Chrome, которая отвечает за работу с PDF-файлами http://www.hotforsecurity.com/blog/how-a-boobytrapped-pdf-file-could-exploit-your-chrome-browser-and-its-not-adobes-fault-14122.html
а теперь вам ужасов из мира финансовых преступников. например, вот картинка — на ней изображен скиммер, который вставляется в слот банкомата специальными инструментами и его вообще не видно (потом, соответственно, вынимается). тут можно посмотреть на видео, как это примерно работает в механизме. все это уже можно купить в интернете, если есть желание (не на амазоне, конечно) https://youtu.be/Nlx_GDeaEtI
а на этом видео по звуковой дорожке даже можно определить, из какой части мира человек со скиммером (то есть это все — уже в России) https://youtu.be/Y0cfYcWpL70
а вот так незаметный скиммер вынимается https://youtu.be/EIblAoKVXKc
2016 June 15
и снова здравствуйте! С вами регулярная рубрика "опять спиздили миллионы учетных записей". В этот раз — это сервис Vertical Scope, который использовался различными форумами и сайтами по миру. 45 миллионов учёток, включая логины, пароли и прочее. Короче, все плохо, как обычно https://www.leakedsource.com/blog/verticalscope
Топ 20 самых популярных паролей из их базы тоже хорошо — интересно, что такое 18atcskd2w
Еще одна регулярная рубрика — среди уязвимостей Flash полезной функциональности не обнаружено https://helpx.adobe.com/security/products/flash-player/apsa16-03.html Очередная дыра, ждите апдейта
А The Washington Post увлекательно рассказывает о том, как русские (!) правительственные (!!!) хакеры получили доступ к сети комитета демократической партии США и год (!!!!!!!) сосали оттуда информацию https://www.washingtonpost.com/world/national-security/russian-government-hackers-penetrated-dnc-stole-opposition-research-on-trump/2016/06/14/cf006cb4-316e-11e6-8ff7-7b6c1998b7a0_story.html
для тех из вас, кого интересует, что за животное такое differential privacy, которую обещает обеспечивать Apple, тут можно почитать хорошую статью по этому поводу http://blog.cryptographyengineering.com/2016/06/what-is-differential-privacy.html
2016 June 16
Тут вот слегка офигенная история разворачивается. Есть в штатах такое министерство по надзору над правительством — Government Accountability Office, типа чтобы не расслаблялось. Короче, они обнаружили, что ФБР создало себе базу "распознавания" лиц, игнорируя федеральное законодательство (то есть нарушая его). Для создания этой базы данных ФБР залезло в базы данных 16 штатов, выгребая оттуда фотографии получавших водительское удостоверение, а также в базы Госдепартамента, получив доступ к миллионам фотографий людей, которые просто получали паспорт или визу (например, иностранцы). То есть это все в большинстве люди, которые не нарушали закон, и, соответственно, ФБР не имела права использовать их фотографии. К сожалению, вряд ли ФБР за это что-то будет, но это все в общую копилку того, как им нельзя доверять. По ссылке — полный отчет этого самого министерства по надзору http://www.gao.gov/assets/680/677098.pdf
если вы уж здесь, то вы наверняка интересуетесь вопросами информационной безопасности. Поэтому вам точно будет интересно посмотреть сессию с WWDC под названием How iOS Security Really Works. Там нет каких-то особых откровений, особенно для тех, кто читал iOS Security Guide, но в целом интересно послушать выдержку из этого документа, если у вас до него не добрались руки
https://developer.apple.com/videos/play/wwdc2016/705/
https://developer.apple.com/videos/play/wwdc2016/705/
я в среду писал о том, как разворачивается драма вокруг взлома сети комитета демократической партии США, и что там обвиняют российских хакеров в этом взломе. Забавно, что потом появился некий "хакер-одиночка" Guccifer 2.0, который заявил, что он действовал сам-один, и никаких русских хакеров там не было. Драма-драма! Однако, ему пока что как-то не верят https://motherboard.vice.com/read/guccifer-20-is-likely-a-russian-government-attempt-to-cover-up-their-own-hack
Читатель прислал (спасибо @crashover) — Амазон насильно сбросил пароли тем юзерам, чьи логины обнаружились в базах, утекших за последнее время. Password reuse — зло (написал Саша и заплакал от мысли о том, в скольких разных местах у него происходит password reuse и сколько всего надо менять)
а еще один читатель (спасибо, @yuraimashev) прислал ссылку на видео со Сноуденом — это сюжет Vice про тотальную слежку государств. Там, конечно, все страшно-страшно: не добавишь драматизма — не продашь, но в целом познавательно посмотреть. Там есть и про эпол с ФБР https://www.youtube.com/watch?v=ucRWyGKBVzo&feature=youtu.be
2016 June 17
кажется, нашли хакера, который стоит за этими мегасливами учетных записей из LinkedIn, Tumblr и MySpace https://motherboard.vice.com/read/tessa88-this-is-the-hacker-allegedly-behind-the-linkedin-and-myspace-megabreaches
