я в начале недели давал ссылки на содержимое контентов апдейтов для OS X/iOS и тд, которые опубликовала Apple. там среди всего прочего была уязвимость в обработке картинок, которая реально позволяла получить контроль над маком просто при открытии пользователем картинки TIFF. так что если вы еще не проапдейтились, то лучше все-таки это сделать. Вот тут — больше информации об этой уязвимости, если вам интересно http://blog.talosintel.com/2016/07/apple-image-rce.html

хм. сброс NVRAM на Маке обнуляет настройку Find My Mac, как оказалось. так что, например, если ваш Мак украдут, то злодей, будучи опытным макюзером, может отключить Find My Mac и вы не сможете обнаружить местоположение Мака. единственный вариант защититься от этого — установить firmware password на Маке (что, впрочем, ожидаемо, если у вас паранойя) https://mayallit.wordpress.com/2016/07/09/resetting-mac-nvram-disables-find-my-mac/

и снова здравствуйте! новая неделя, новые взломы, новые утечки, и прочие ужасы ждут вас (наверняка), даже если вы их не ждете. а пока — интересный рассказ двух чуваков, которые нашли уязвимость в Pornhub.com (знаем, знаем, многие мужчины заходят на этот сайт регулярно в поисках уязвимостей), и благодаря этой уязвимости они смогли заработать 20 тыс долларов от Порнхаба. А все потому, что они оказались хорошими и сообщили об уязвимости администрации сайта, потому что благодаря ей можно было получить доступ к базе данных пользователей этого сайта https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/

я, конечно, стараюсь избегать политоты в этом канале, но иногда нет никакой возможности. Тут, короче, в омерице разгорается большой скандал про взлом почты комитета демократической партии — там почту взломали, а архив недавно вывалили на Wikileaks. все понятно, все политики — пидарасы, но внезапно начало выясняться, что вроде как это все делалось для того, чтобы было выгодно Трампу (кандидату от республиканцев), чтобы замочить демократов. Но что хуже — это то, что расследование показывает, что взломом и последующим сливом на Wikileaks занимались российские спецслужбы. Прям вот прямым текстом в статьях сейчас пишут про ФСБ и ГРУ — вот вам ссылка на результаты исследования https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

если вы вдруг играли в Clash of Kings и регистрировались у них на форуме — там взломали форум и 1.6 млн записей о пользователях тютю http://www.zdnet.com/article/hacker-steals-forums-of-clash-of-kings-mobile-game/

так, теперь интересные новости. Например, в США популярна схема развода, когда "хакеры" добывают имейл директора компании, и от его имени пишут в бухгалтерию "так, надо заплатить этому вендору денег", и дают счет какой-то за границей. Глупая бухгалтерия платит, хакеры довольны, СЕО страдает. 83% таких платежей уходит в Китай и ГонгКонг. В период с октября 2013 года до февраля 2016 года ФБР насчитала таким образом 17 тыс 642 компании, которых так развели на сумму в 2.3 млрд долл. Не тем мы занимаемся, ой не тем... http://money.cnn.com/2016/07/26/technology/hacking-companies-china-hong-kong-banks/index.html

И полезное! Например, я много пишу про ransomware — софт, который вымогает у вас деньги за расшифровку файлов. Если вы вдруг стали жертвой такого вредоносного ПО, не спешите платить. Вот нужный ресурс, запущенный совместно несколькими компаниями, специализирующимися на ПО в сфере безопасности  — они попробуют расшифровать файлы бесплатно. ЗАНЕСИТЕ В ЗАКЛАДКИ https://www.nomoreransom.org

ыыыы. Тут читатель прислал — уязвимость в беспроводных клавиатурах, но не в тех, которые Bluetooth, а в радио-клавах (повторяю, BT-клавы в безопасности пока что). Короче, штука умеет перехватывать поток данных между клавиатурой и компьютером и сохранять ВСЕ текстовые строки. Бренды уязвимых клавиатур — Anker, EagleTec, General Electric, Hewlett-Packard, Insignia, Kensington, Radio Shack и Toshiba. Так что если вы какое-то время уже откладывали переход на клавиатуру с Bluetooth, то, наверно, самое время http://www.keysniffer.net

в общем, тут специалисты призывают отказаться от SMS как механизма двухфакторной авторизации, потому что уж больно небезопасный это метод. https://pages.nist.gov/800-63-3/sp800-63b.html

LastPass — один из самых популярных менеджеров паролей в мире. Чувак рассказывает, как он нашел уязвимость в LastPass, которая позволила получить доступ к паролям пользователей. Хорошие новости — это то, что эту уязвимость уже исправили. https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

Motorola подтвердила, что хрен пользователям, а не ежемесячные апдейты безопасности. потому что на андроиде каждый юзер сам за себя http://arstechnica.com/gadgets/2016/07/motorola-confirms-that-it-will-not-commit-to-monthly-security-patches/

почти про информационную безопасность. У американской TSA — организации, отвечающей за безопасность на транспорте, и, в частности, при перелетах, есть, как известно, некие "универсальные" ключи для открытия чемоданов. Там они дружат с производителями чемоданов для того, чтобы выпускать "TSA-friendly" чемоданы, которые при необходимости досмотра будут не взламывать, а красиво открывать специальными ключами. Так вот, в 2014 году The Washington Post случайно напечатали фотографию, где были изображены все 7 ключей. Этого было достаточно, чтобы умники, используя 3D принтеры, начали эти ключи печатать. Вот, собственно, новость, что смогли финализировать последний, седьмой, ключ http://3dprintingindustry.com/news/last-tsa-master-key-hacked-90268/

Уязвимости в системе управления светом Osram https://community.rapid7.com/community/infosec/blog/2016/07/26/r7-2016-10-multiple-osram-sylvania-osram-lightify-vulnerabilities-cve-2016-5051-through-5059

Новый уровень вредоносного ПО — Ransomware As A Service. Нет, серьезно, сервис, в котором ты подписываешься, тебе выдают готовые компоненты для софта по вымогательству денег, соответственно, на тебе остается только дистрибуция (сколько юзеров смог обмануть поставить — молодец), а создателям отстегивай 25%. Интересней, что название — Petya and Mischa Ransomware... какие интересные имена... http://www.bleepingcomputer.com/news/security/petya-and-mischa-ransomware-affiliate-system-publicly-released/

Я за объективность! Хороший анализ фактов, показывающий, что вовсе необязательно, что российские спецслужбы стояли за взломом систем комитета демократический партии https://medium.com/@jeffreycarr/can-facts-slow-the-dnc-breach-runaway-train-lets-try-14040ac68a55#.f9yr0lqf5

Украдено из канала Белкина, надеюсь, он меня простит. Хакеры совсем уже обленились, блядь

какое-то время назад я рассказывал про тему, где правоохранительные органы попросили напечатать в 3Д отпечаток пальца погибшего человека, чтобы разблокировать его телефон. Я еще тогда удивлялся, что это в целом странно, так как в айфоне токен отпечатка пальца протухает довольно быстро, если не было новых разблокировок. Тут, в общем, уточнили, что это был Samsung Galaxy S6 http://fusion.net/story/331250/police-unlock-dead-mans-phone-with-recreated-fingertips/

WhatsApp не удаляет полностью чаты в приложении, даже если вы выбрали команду для удаления и архивации чатов. Паниковать не стоит, но все равно интересное исследование http://www.zdziarski.com/blog/?p=6143