Тема с уязвимостями процессоров Intel и атаками Spectre тоже не отпускает. Еще два новых сценария уязвимости, приводящих к восстановлению данных в кэше процессора при спекулятивном исполнении инструкций

исследование на английском
https://people.csail.mit.edu/vlk/spectre11.pdf

статья об этом на русском
https://tproger.ru/news/new-spectre-vulnerabilities/

Кстати, новость про изоляцию сайтов в Chrome из вчера — как раз для защиты от подобных сценарией t.me/alexmakus/2234

и вдогонку про вчерашнее с eslint-scope — разработчики опубликовали post mortem о том, что произошло и как их заразили вирусом. Ключевое, что нужно знать всем: виной всему оказалось повторное использование паролей одним из администраторов на разных сайтах.

Package maintainers and users should avoid reusing the same password across multiple different sites. Ну и двухфакторную авторизацию никто не отменял

https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes

Приложения со встроенным вредоносным кодом в Google Play, никогда такого не было, и вот опять! вирус Anubis под видом всяких полуполезных приложений попадал в Google Play, а после установки из магазина воровал пароли из банковских приложений, кошельков и проч.

https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

Тут такое дело. Можно, конечно, верить или не верить во всемогущих российских хакеров, дело ваше. Но сегодня министерство юстиции США(ЭТО ВАЖНО) предъявило обвинение 12 хакерам, которые являлись сотрудниками ГРУ, и участвовали в незаконном взломе и доступе компьютерных систем во время президентских выборов 2016  года, в том числе к системам Демократического национального комитета, и к почте сотрудников некоторых избирательных кампаний. Полный текст обвинения, включая имена, адреса, номера военных частей, а также информация о методах взлома, доступна по ссылке в документе

https://www.justice.gov/file/1080281/download


Грубо говоря, обвинений 4

1: сговор для взлома DNC
2-9: identify theft (то, что использовалось для фишинга)
10: отмывание денег (потому что платежи через биткойны, и тд).
11: Сговор по взлому компьютеров избирательной системы в разных штатах

АААААААААА страницы 14 и 15 уапще... уровень детализации какой-то прям запредельный

Плюс: можно у ЦРУ запросить любую информацию и придёт ответ. Минус: ответ ничего не даст :)

Мне тут админы одной компании среднего размера (до 500 чел) рассказали о том, как они проводили фишинговое тестирование в компании. Около 20% пользователей кликнули по ссылке в письме и ввели пароль в поле на фейковой странице. Так что если вы ждали знака для того, чтобы ввести в компании двухфакторную авторизацию (или активировать её на своей учетке почты, ФБ или еще чего-то важного), то это — тот самый знак.

Кстати, о фишинге. Я на прошлой неделе писал о российских хакерах, против которых было выдвинуто обвинение в несанкционированном доступе к почте участников избирательной кампании президента США в 2016 году. Там шла речь как раз в том числе и о взломе почты руководителя штаба Хиллари Клинтон Джона Подесты. Вот так выглядели письмо со ссылкой и страница, которая открывалась по клику по ссылке в письме. Я не уверен, что я бы на такое не повелся. А вот двухфакторная авторизация помогла бы защитить от доступа к почтовому ящику, даже если гдето лоханулся и ввел пароль. (через фильтры Gmail письмо прорвалось, как я понимаю, путем использования нелатинских символов в нужных местах)

Сразу несколько человек прислали мне статью про китайские смартчасы для детей (кто бы мог подумать, что Пикабу станет таким источником контента для канала?). В статье маловато деталей, поэтому я не рвался её публиковать, но ладно уж. Собственно, автор статьи пишет о том, что обнаружил в китайских часах для детей (типа часы для того, чтобы следить за перемещением детей) уязвимость, позволяющую следить не только за своими детьми, но и за любыми. Производитель Wherecom (часы продаются под разными брендами, в том числе в России под брендом Elari) весьма неохотно и вяло реагирует на информацию об уязвимостях и чинит не спеша. Так что родители, вы там внимательно следите за тем, что покупаете своим детям (и критично относитесь к рекламе).

https://pikabu.ru/story/detskie_smartchasyi_i_illyuziya_bezopasnosti_6029400

Тут читатели сообщают, что у Яндекса опять найдётся все! Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!
https://habr.com/post/417219/

С вот таким вот примером запроса в поисковик можно найти много всего интересного:
https://yandex.ru/search/touch/?text=inurl%3A0%20inurl%3Ab%20inurl%3A1%20inurl%3Ac%20%D1%81%D1%82%D0%B0%D1%82%D1%83%D1%81%20%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D0%B0&lr=213&redircnt=1531472731.1

АПД все новое - это хорошо забытое старое. Ещё 2011 год
https://ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-c/

========== РЕКЛАМА ==========

В продолжение темы фишинга. Разовые проверки — это хорошо, но для корпоративной безопасности важнее регулярно проверять и обучать всех сотрудников. Делать это можно с помощью системы Антифишинг: www.antiphish.ru. В лицензию входят курсы по безопасности: www.antiphish.ru/courses и поддержка с подпиской на шаблоны целевых атак для вашей компании. Ребята ведут собственные психологические исследования, а интересные примеры фишинга и других атак на людей каждую неделю собирают в открытом дайджесте: blog.antiphish.ru. Для подписчиков канала к лицензии Антифишинга на год добавится месяц в подарок, промо-код: «Информация опасносте».

==============================

Привет! Есть такой файл-шаринговый сервис Mega, который когда-то с большой помпой запускал известный интернет-предприниматель Kim Dotcom. В интернете нашли файлик, в котором содержится около 15,5 тысяч пользовательских логинов, паролей, и списки файлов, размещенных в этих аккаунтах (всего в сервисе зарегистрировано 115 млн пользователей). В одном из аккаунтов обнаружили имена файлов, которые позволяют предположить, что там хранятся видео, содержащие сцены насилия над детьми. Сервис утверждает, что весь контент шифруется, поэтому они знать не знают, что там хранится, но при этом не предлагают двухфакторной авторизации для защиты от несанкционированного доступа

https://www.zdnet.com/article/thousands-of-mega-logins-dumped-online-exposing-user-files/

10 базовых и полезных советов о том, как обезопасить себя и свои данные в интернете. Статья от ЛК, поэтому изобилует ссылками на продукты компании, но от этого суть советов не меняется:

- Проверяйте настройки приватности социальных сервисов
- Не пользуйтесь публичными сервисами для хранения файлов с личной информацией
- Избегайте трекинга (приватные режимы в браузере, блокировщики рекламы и трекеров, и тд)
- Не раздавайте свои имейлы и телефоны направо и налево
- Пользуйтесь мессенджерами с шифрованием end-to-end
- Гигиена паролей (сложные пароли, избегайте повторного использования паролей)
- Проверяйте, каким приложениям и с какими правами вы даете доступ к своим социальным сервисам
- Защищайте телефоны и компьютеры паролями и биометрией
- Отключайте уведомления, показывающиеся на экране блокировки
- Используйте VPN в публичных сетях (хотя, впрочем, и не только там)

https://me-en.kaspersky.com/blog/privacy-ten-tips-2018/11419/?es_p=7138309

говоря, кстати, о настройках приватности. В штатах есть такой популярный сервис для платежей с мобильного телефона, или же переводов денег между физлицами — Venmo (принадлежит PayPal). Так вот, у них по умолчанию данные о транзакциях пользователей — ПУБЛИЧНЫЕ. Реально, платежи и переводы видны кому угодно в интернете. (кстати, 7 миллионов активных пользователей в месяц). Кому пришла такая прекрасная идея в голову — не понимаю. Но вот тут опубликовали интересный проект об изучении поведения пользователей на базе 207 миллионов транзакций — имена, время транзакции (сумма транзакции недоступна), юзерпик, комментарии к транзакции.

https://22-8miles.com/public-by-default/

(все доступно по совершенно открытому и публичному API https://venmo.com/api/v5/public?limit=1)

И немножко юмора разбавить все это. Буквально «выдернуть шнур, выдавить стекло», только в немного другом порядке.

Так, комментарий про USB Accessories mode в iOS 12 beta. Одни написали не разобравшись (https://www.trustedreviews.com/news/ios-12-usb-restricted-passcode-iphone-3509225), другие давай “локализовать контент” (читай, перевод-рерайт-клики нужны для рекламы-потому что кушать хочется) уже на русском языке. Речь идет о том, что якобы в beta 4 iOS 12 Apple изменила поведение режима USB accessories, и теперь система будет требовать ввода пароля при каждом подключении USB-аксессуара. Пока что подтверждения этому изменению от экспертов нет, все работает как и раньше, никаких требований ввести пароль при подключении USB-аксессуара не появилось. Скорей всего, возникла путаница именно с тем, что при подключении к аксессуару час устройства не были разблокированы, и поэтому просили пароль. Короче, не читайте советских газет.

Парочка ссылок и комментариев от читателей (вы лучшие!):

1. “Синема Парк – национальная сеть кинотеатров №1 в России.  Предлагает вводить данные карты по http, при этом «Сайт полностью отвечает стандартам безопасности Visa и MasterCard» )))”

Хорошие новости, что совсем скоро Chrome будет сайты с http отмечать как небезопасные, может быть, таки дойдет до некоторых, что пора бы уже озаботиться нормальным сертификатом.
Да, оплата во фрейме по https, но осадочек остается (сайт не отвечает PCI-DSS, а фрейм - да)

2. ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам данных. Но на этот раз найденная экспертами незащищенная база MongoDB помогла выявить масштабную кардерскую кампанию по отмыванию денег.

https://xakep.ru/2018/07/18/carders-and-games/

3. На страницах IoT-поисковика ZoomEye обнаружены учетные данные десятков тысяч видеорегистраторов Dahua, работающих на старых прошивках. За три запроса можно найти пароли и логины к примерно 30 000 устройств.

https://www.bleepingcomputer.com/news/security/passwords-for-tens-of-thousands-of-dahua-devices-cached-in-iot-search-engine/
https://tproger.ru/news/passwords-dahua-devices/

4. Возвращаясь к теме выкладки приватных данных в публичные сервисы (поиск Яндекс по документам Google хорошо это показал). По рассказу читателя, в github тоже можно найти много интересного, включая токены, пароли и проч). %username%, будь осторожен!

помните, я пару дней назад писал про сервис переводов Venmo, который по умолчанию делает транзакции публичными (имя пользователя, фото, комментарий)

https://t.me/alexmakus/2250

Так вот, кто-то завел веселый твиттер, который парсит комментарии и твитит каждого, кто платит на venmo с комментариями про наркотики, алкоголь или секс

https://twitter.com/venmodrugs

страничка проекта на гитхабе
https://github.com/joel-g/venmo_tweeter

вчера меня (я даже соглашусь, что частично заслуженно) упрекнули в том, что я выделил одну компанию с http сайтом (пусть даже и фреймом https для платежей), хотя таких примеров огромное количество. Тогда вот вам общеобразовательная статья на тему того, почему сайту нужен HTTPS, даже если сайт не использует логинов, не хранит приватной информации или данных кредитных карт, с хорошими примерами о том, что бывает даже со статичными сайтами без https

https://www.troyhunt.com/heres-why-your-static-website-needs-https/