Сегодня день только хороших новостей, и под словом “хороших” я понимаю плохие. начнем с новостей про Google и их новый мессенджер Allo. Изначально Google заявляла, что это будет “безопасный мессенджер”, но по умолчанию теперь он сохраняет все сообщения, пока пользователь целенаправленно не удалит их. таким образом, Google получает доступ ко всей вашей переписке. Да, Google говорит, что “сообщения зашифрованы”, но они шифруются на сервере, так что алгоритмы Google точно так же могут и расшифровать сообщения, если нужно. Якобы это нужно для работы фичи с умными ответами, но блин… Короче, не используйте Allo, если вас интересует безопасность вашей переписки. Тем более, что такой способ хранения сообщений означает, что правоохранительные органы смогут получить доступ к ней, запросив информацию с ордером у Google (ну, как минимум в Штатах). Кросс-платформенно лучше использовать Signal, ну или если на iOS — то iMessage.

ну и, конечно, было бы странно, если бы я не написал про последнюю инициативу ФСБ по расшифровке всего интернет-трафика в России. поскольку я все же стараюсь в этом канале избегать политических комментариев, то я не будут ничего от себя добавлять, просто набросаю вам полезных ссылок по теме, а вы уже сами для себя решайте, что с этим делать.

Шифр и меч
ФСБ собирается взять интернет-трафик на контроль
http://www.kommersant.ru/doc/3094848


Советник президента РФ по вопросам развития интернета Герман Клименко считает, что государство имеет право расшифровывать интернет-трафик, технически это возможно.
http://tass.ru/obschestvo/3640010

Коротко про MiTM имени ФСБ, чтобы читать весь трафик по пакету Яровой.
https://www.facebook.com/michael.klimarev/posts/1533245656701479

Волков, Быстрый комментарий к новости дня (потом напишу подробнее):
«ФСБ предлагает расшифровывать весь интернет-трафик россиян».
https://www.facebook.com/leonid.m.volkov/posts/1188295761193055

Новое ransomware под романтическим названием Mamba. Шифрует не индивидуальные файлы, а весь диск. Обнаружено на компьютерах в Бразилии, США и Индии. Как страшно жить (на Windows) https://www.linkedin.com/pulse/mamba-new-full-disk-encryption-ransomware-family-member-marinho

но есть и хорошие новости. вот полный список исправлений безопасности, вошедших в релиз macOS Sierra 10.12. Эльфы Эпол hard at work. https://support.apple.com/en-us/HT207170

владельцам tesla привет передают хакеры из Keen Security Lab, которые использовали уязвимость в ПО автомобиля для удаленного взлома. познавательно посмотреть видео, чтобы понять, что они могут делать с этим удаленным контролем (спойлер — много чего: открыть люк, изменить положение сидения, открыть удаленно двери, вывести сообщение на экраны и тд.). хорошие новости — то, что исследователи сообщили о найденной уязвимости в tesla и обновленная версия паршивки автомобиля должна содержать исправления). вот точно страшно жить, останусь-ка я на своей слабокомпьютеризированной машине http://keenlab.tencent.com/en/2016/09/19/Keen-Security-Lab-of-Tencent-Car-Hacking-Research-Remote-Attack-to-Tesla-Cars/

те, кто давно читает этот канал, знают, что я опасаюсь всего этого новомодного IoT тренда, когда в окружающие нас устройства засовывают какой-нибудь чип и вайфай, а потом они превращаются в тикающие security-бомбы с большими проблемами безопасности. вот тут по ссылке я писал об этом ранее http://alexmak.net/blog/2016/08/17/ioshit/ Но вообще

блин, enter слишком рано нажал :) а вообще я хотел тут рассказать о том, как на DefCon хачили всякие эти новомодные IoT-устройства, и много чего интересного нашли, включая 47 новых уязвимостей. И что хуже всего, уязвимости включают в себя хранение паролей в plain text или hard-coded в системах. Ну там, короче, много всего, вот почитайте. и берегите там себя! http://www.itworld.com/article/3118762/hackers-found-47-new-vulnerabilities-in-23-iot-devices-at-def-con.html

в августе я писал о базе из 200 млн записей аккаунтов Yahoo, которая поступила в продажу. Короче, пишут, что Yahoo планирует анонсировать, что breach был настоящий и это реальные записи. так что пароли на yahoo лучше все-таки поменять (ну и если они где-то еще используются — то тоже)

https://telegram.me/alexmakus/537 вот ссылка на августовский месседж

так, а вот и подтверждение от Yahoo подоспело. там все еще хуже — КАК МИНИМУМ 500 млн учеток, имена, имейлы, телефоны, даты рождения, а также в некоторых случаях — ответы на секретные вопросы. основная рекомендация — пойти и заменить пароли, если вы не меняли их с 2014 года.

тут читатель прислал ссылку на бложик друзей из Elcomsoft, которые рассказывают, как Эпол слегка нафакапила в iOS, что привело в результате к "ослаблению" защиты оффлайновых бекапов, которые делает iTunes на компьютер. так что теперь тулза Элкомсофта  Phone Breaker умеет полностью расшифровывать такие бекапы, причем гораздо быстрее, чем раньше http://blog.elcomsoft.com/2016/09/ios-10-security-weakness-discovered-backup-passwords-much-easier-to-break/

Brian Krebs, автор сайта, посвященного вопросам информационной безопасности, за свою активность получил DDoS атаку на сайт объемом в 665Гб/сек, самая большая атака в истории интернета. по результатам его исследований недавно были арестованы два владельца сайта, предоставлявшего услуги DDoS атак на заказ. но интересно вот что. такой объем DDoS атаки стал возможен благодаря IoT — всевозможные камеры, роутеры, замки, лампочки, автомобили и проч, все эти устройства с дырявой безопасностью дают возможность организовывать такие атаки, которые раньше было организовать очень сложно: компьютеры уже научились более-менее защищать. но тут появились IoT, и все стало гораздо хуже… https://www.hackread.com/brian-krebs-website-665-gbps-ddos-attack/

я в пятницу писал о том, что Элкомсофт обнаружили и сообщили о том, что локальный бекап iOS-устройств с выходом iOS 10 "расслабил булки" и таким образом его стало проще взломать и получить доступ к содержимому бекапа (https://telegram.me/alexmakus/704) Хорошие новости — то, что Apple признала проблему и обещает ее исправить в ближайшем апдейте. А пока что предлагает убедиться в том, что пароль на компьютере настроен и активирован FileVault:

“We’re aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups,” an Apple spokesperson said. “We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption.”

про расшифровку трафика в рунете, там самое интересное — это "оригинал", в "Обновлено (16:15)". вообще учитывая потенциальные последствия для реализации таких механизмов (для тех же банков), вряд ли такой проект будет когда-либо реализован, но вообще интересно наблюдать за этим обсуждением https://roem.ru/26-09-2016/233570/kasperskaya-rasshifrovyvat-trafik/

а вот, кстати, еще интересная тема (и на русском — почти — тоже, что бывает не так часто) — это как Дуров и Сноуден обсуждали безопасность мессенджеров. Сноуден гнал на Телеграмм, у Дурова по этому поводу подгорало. https://vc.ru/p/durov-snowden-wa

а вот кому малварь под macOS? Komplex, скочать бисплатно без СМС! http://objective-see.com/downloads/malware/Komplex.zip

сразу предупреждаю — на свой страх и риск, если что, я не виноват :)

проект на гитхабе о том, как с помощью уязвимостей в OS X 10.11.6 можно эскалировать права доступа (это те самые уязвимости, которые называли Trident, и для которых Apple выпускала срочный апдейт для iOS 9.3.5) https://github.com/zhengmin1989/OS-X-10.11.6-Exp-via-PEGASUS