у Motherboard очень интересная статья о фейковом китайском iPhone, который выглядит весьма похожим на настоящий — и упаковка, и устройство, и дизайн операционной системы. Внутри оказываются бекдор в браузер, позволяющие удаленно запускать код, бекдор, сливающий кучу всякой информации об устройстве, информация об iCloud-аккаунте тоже хранится практически в открытом виде (хотя непонятно, наверно же, к iCloud-то как раз этот телефон подключиться не смог бы?). Короче, остерегайтесь дешевых айфонов!

https://motherboard.vice.com/en_us/article/qvmkdd/counterfeit-iphone-x-review-and-teardown

современные ограбления банков - весьма высокотехнологическая штука! Тут вот у ПИР-банка украли более 58 млн рублей с корсчета банка в Банке Россия. Общая информация об этом у Коммерсанта
https://www.kommersant.ru/doc/3677400

В очередной раз отличилась группа MoneyTaker, вот отчёт из прошлого года о том, как они работают
https://www.group-ib.com/blog/moneytaker

Вот статья на русском об этом ограблении
https://xakep.ru/2018/07/20/moneytaker-strikes-again/

Как выяснили аналитики Group-IB, атака на ПИР Банк началась еще в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На этом маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть финансового учреждения. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющих региональную филиальную сеть.

Для закрепления в системе и автоматизации некоторых этапов атаки хакеры MoneyTaker как правило используют скрипты на PowerShell, что отмечалось еще в прошлом отчете. Проникнув в основную сеть ПИР банка, злоумышленники смогли получить доступ к АРМ КБР, сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета.

А в Сингапуре вот взломали базу данных медпациентов сети клиник SingHealth. Имена, адреса, пол, раса, дата рождения - и все это на полтора миллиона человек. Плюс рецепты на лекарства - еще на 160 тыс человек. Вся информация опасносте!

https://www.moh.gov.sg/content/moh_web/home/pressRoom/pressRoomItemRelease/2018/singhealth-s-it-system-target-of-cyberattack.html

RedHat выпустили тулзу для сканирования на предмет наличия уязвимости на Spectre, вариант 1

https://access.redhat.com/blogs/766093/posts/3510331

получил недавно вот такое письмо от Google о том, что только их родной клиент для Gmail тру безопасный, а вот остальные могут быть не очень. Ну не знаю, Гугол, не знаю...

В картинке постом выше мне очень не понравилось еще, что оно выглядит как будто кто-то левый ходил в мой аккаунт и читал из него почту. Подозреваю, что менее осведомлённые пользователи и понимающие разницу, могут в панике побежать поставить приложение Gmail, раз Гугл советует. А там, глядишь, и фишинг в таком виде подтянется.

И кстати о Google и Gmail. Читатель канала поделился ссылкой о том, что новый «режим конфиденциальности» в Gmail не такой уж конфиденциальный, так что если вы его используете - то учитывайте это

http://www.eff.org/deeplinks/2018/07/between-you-me-and-google-problems-gmails-confidential-mode

А вот еще про тему почты, фишинга и безопасности. Представители Google рассказали, что с начала 2017 года компания установила требование, что все сотрудники должны использовать физические ключи безопасности для двухфакторной авторизации. И начиная с этого момента, ни один из 85 тыс сотрудников компании не стал жертвой фишинга.

https://krebsonsecurity.com/2018/07/google-security-keys-neutered-employee-phishing/

Честно говоря, даже после стольких постов в канале о приколах в IoT-устройствах словосочетание «уязвимости в пылесосе» все равно звучит как-то дико. Но энивей, уязвимости с удаленным исполнением кода с правами superuser - наша сегодняшняя реальность. И хорошо, если пылесос там в ботнете просто поучаствует. А вот у китайских пылесосов еще есть камера и удаленное управление со смартфона. Так и представляю себе хакера, который, высунув язык, удалённо управляет пылесосом, который заползает к вам в спальню и показывает картинку того, что у вас в спальне происходит... черт, как-то очень реалистично получилось, захотелось даже свой робот пылесос выбросить, хотя у него и нет WiFi и камеры... Но да, админский пароль 888888 на всех устройствах, и большинство пользователей, конечно, его не меняет.

https://xakep.ru/2018/07/20/diqee-360/

И вот еще тоже веселая история про камеры. И Убер. Водитель Убера стримил своих пассажиров без их ведома в Twitch. В трансляции мелькали имена, адреса, кого-то тошнило, кто-то там что-то личное рассказывал. Водителя уже выпилили из Убера, а пассажирам Убер выдал по 5 долларов! Хорошая компенсация
https://www.stltoday.com/news/local/metro/st-louis-uber-driver-has-put-video-of-hundreds-of/article_9060fd2f-f683-5321-8c67-ebba5559c753.html

Поскольку уже несколько человек прислали мне ссылку на Пикабу, где внезапно обнаружили, что Букинг передаёт в отели данные о картах (https://pikabu.ru/story/bookingcom_razdaet_privatnyie_dannyie_kart_klientov_tretim_litsam_ostorozhno_6046604), напомню, что это все-таки не новость

https://t.me/alexmakus/1746

https://journal.tinkoff.ru/booking-card/

Привет! А знаете, что сегодня за день? Сегодня день HTTP-шейминга! Именно сегодня выходит Chrome 68, который будет все сайты без HTTPS объявлять небезопасными — об этом Google объявила еще в феврале этого года
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html. Релиз еще не опубликован, как я понимаю, но выйдет сегодня. Почему даже простому сайту нужен HTTPS, я писал уже тут https://t.me/alexmakus/2255

По этому поводу Трой Хант, известный по сайту HaveIBeenPwned.com, где можно проверить свой имейл или пароль на предмет утечки в интернете, запустил новый проект — сайт https://whynohttps.com, где можно посмотреть на популярные сайты в интернете, которые до сих пор не завели себе HTTPS. Причем там есть как общий список, так и разбивка по странам. Вот, например, Россия — https://whynohttps.com/country/ru, а вот сайты из Украины https://whynohttps.com/country/ua.

В России в списке порадовал Сбербанк, хотя речь идет всего лишь о главной странице, а не о личном кабинете, но тем не менее не по эджайлу это!

Как оно бывает. У юзера на многих страницах не работал Chrome, говорил долго «Connecting”, и потом отваливался. Оказалось, что

Since we last communicated I did some more research and tracked down the cause of the problem. It turns out our internet service provider uses HTTP injection, and one of their injections was improperly being issued from our modem. It was prefacing every HTTP request with a redirect to a specific IP address (associated with a defunct TOS agreement pop up) that was timing out. A tech came out and replaced the modem and the problem disappeared immediately. It's obviously less than ideal to have ISPs doing this sort of thing, but at least we know what was causing the connection difficulties.

https://productforums.google.com/forum/?noredirect=true#!topic/chrome/_OTuQ23gtyc

Я вообще не очень люблю Electron как источник десктопных приложений, но тут отдельно хорошо о том, как приложение Google справляется с редиректами для фишинга

https://blog.bentkowski.info/2018/07/vulnerability-in-hangouts-chat-aka-how.html

Привет,

В связи с некоторой повышенной нагрузкой в других направлениях редакция журнала приносит свои извинения за временное затишье и задержку с обновлениями ленты канала. В попытках догнать — сразу несколько интересных ссылок на почитать:

Тут есть какая-то пока что весьма странная и непонятная история со взломом iPhone посредством использования решение MDM (Mobile Device Management). Пока не очень понятно, кто это делает и с какой целью, и как именно происходит атака, но у жертв оказывались на телефоне сертификаты MDM, после чего злоумышленники подменяли на устройстве честные приложения на зараженные вредоносным кодом.
Статья о первоначальном обнаружении
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html
И продолжение (в котором обнаруживается, что там еще фигурируют бинарники для Windows
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM-Part2.html

И на русском
https://xakep.ru/2018/07/16/malicious-mdm/
https://xakep.ru/2018/07/26/bahamut-link/

Интересно про древнюю уязвимость в протоколе, позволяющую перехватывать данные, передаваемые между двумя устройствами (например, запись из адресной книги, пароли, вводимые на клавиатуре, другая потенциально важная информация, которую, например, могут передавать медицинские приборы). Также уязвимость позволяет подменять строки на ходу, что, например, может привести в итоге к исполнению кода на устройстве (открыть консоль, ввести команду, в общем, веселиться во весь рост)
iOS, macOS, Android  (LG, Huawei) уже пропатчены в последних версиях, а вот у Microsoft как-то Bluetooth совсем какой-то древний. Информация об уязвимости
https://www.kb.cert.org/vuls/id/304725

Подробный отчет тут https://www.cs.technion.ac.il/~biham/BT/bt-fixed-coordinate-invalid-curve-attack.pdf

Одна из популярных рубрик на этом канале — утечки данных. Агрегатор данных Exactis “пролюбил” базу данных на 340 миллионов персональных записей, включая имена, имейлы, физические адреса, номера телефонов и проч — до 400 полей по каждому человеку! База лежала в открытом доступе без защиты хотя бы простым паролем — я писал об этом в конце июня — https://t.me/alexmakus/2189
https://www.wired.com/story/exactis-database-leak-340-million-records/

Об этом стало известно около месяца назад — тогда еще было непонятно, утекли ли реально куда-то эти данные. Ну что ж, теперь стало понятно, что утекли, потому что базу нашли в интернете. Вот пример записи
https://pastebin.com/QUMSr4q5

ЧТо за контора такая? Агрегатор данных, который  собирает и скупает разную информацию, комбинирует их в своей базе для последующей перепродажи. Надеюсь, их засудят хорошенько.
https://www.marketwatch.com/story/what-is-exactisand-how-could-it-have-the-data-of-nearly-every-american-2018-06-28

И еще одна популярная рубрика в канале — умные IoT устройства. Камера, которая позволяла неавторизованным пользователям смотреть и слушать то, что снимали чужие камеры.
https://www.zdnet.com/article/flaw-let-anyone-snoop-on-smart-cameras/

Привет. Вы все, наверно, получили уведомление в Телеграме о запуске сервиса Passport:

Introducing Telegram Passport in Version 4.9:

- Telegram Passport – a unified authorization method for services that require personal identification.
- Store your identity documents and personal data in the Telegram cloud using End-to-End Encryption.
- Instantly share your data with services that require real-world ID (finance, ICOs, etc.).

вам, поди, еще и на русском пришло :) но не важно. Суть сервиса достаточно простая - Телеграм выступает неким идентификационным центром, проверив ваши документы, а затем сообщает другим сервисам, что вы - тот, за кого вы себя выдаёте. Чисто теоретически сервис в чем-то похож на современные платежные системы с помощью телефона - Apple Pay, Android Pay, и тд. Там компания (Apple) выступает таким «проверяльщиком», убедившись, что у вас есть карта и есть счёт в банке, а при попытке оплаты в ритейле уже Apple подтверждает транзакцию, и все чики-пуки. Так и в случае с Телеграм Паспортом - внешний сервис верит Телеграму. Вопрос в том, сколько таких сервисов, которые будут готовы поверить Телеграму, чтобы это стало критичной точкой и смогло драйвить массовое принятие пользователями такого сервиса? ну и пользователи тоже ведь достаточно подозрительны в последнее время, и я не уверен, что многие прям толпами ломанутся нести свои паспортные данные в компанию, слухи о которой ходят самые разные. Думаю, предложи Apple подобный сервис, реакция была бы другой.

По пятничному безумная история про то, как одна тетка, обидевшись на другую тетку за комментарий в ФБ, разместила на одном сайте информацию, порочащую репутацию второй тетки (типа та, занимаясь продажей недвижимости, занималась сексом с мужем первой тетки). Информация расползлась по интернету, и вторая тетка потеряла массу клиентов и денег. В итоге она наняла адвокатов, которые вычислили и первую тетку, и особо буйную распространительницу этой информации (просто из вредности), но вред уже нанесён.  информация расползлась по куче сайтов в интернете, и во многих случаях даже с решением суда (о том, что информация не соответствует действительности), сайты отказываются снимать информацию, и это продолжает портить жизнь человеку. ОПАСНОСТЕ
https://gizmodo.com/when-a-stranger-decides-to-destroy-your-life-1827546385

Но есть и прекрасная новость. 364 заключённых в тюрьмах штата Айдахо использовали выдаваемые им в тюрьмах планшеты (что само по себе уже прекрасно) и обнаружили в них некую уязвимость. Дальше из статьи не очень понятно, что именно происходило - якобы заключённые использовали свои учетки, привязанные к планшетам, для того, чтобы получить некие «цифровые зачеты-бонусы», у которых была вполне ощутимая фискальная стоимость суммой в 225 тыс долларов. Они использовали их для покупки музыки, игр и проч. Ну не молодцы ли? (Хотя историю про чуваков, построивших компьютер в тюрьме из запчастей и хранивших их в нычке под потолком, и получивших доступ в интернет с аккаунта охранников, это не перебьёт).

https://www.bleepingcomputer.com/news/security/364-idaho-inmates-hacked-their-prison-tablets-for-free-credits/