Ссылка от читателей на историю о расширении для Firefox, которое а) обещало защиту пользователям от утечки их персональной информации на всяких сайтах в интернете, но при этом б) само сливало текущий УРЛ из браузера и предыдущие посещенные УРЛЫ на сервер создателей?  этого расширенияю. Расширение было рекомендовано на сайте Mozilla, но после того, как это "постукивание" обнаружилось, рекомендацию убрали. Разработчики экстеншена, впрочем, особо не скрывают того, что они собирали информацию в анонимном виде для последующего анализа, но осадочек остался:

When the user opens the pages, used by Web Security, the following information gets processed to assure the successful operation of Web Security: the web pages that the user opens or the operating web server, the name of the internet service provider of the user and the website from which the user came from and the sub-pages the user opened.

https://www.ghacks.net/2018/08/15/mozilla-recommended-privacy-extension-had-phone-home-feature/

Вот еще интересная ссылка от Digital Ocean, которые рассказывают о том, как свежеобнаруженная уязвимость процессоров Intel (L1 Terminal Fault) влияет на то, что из любой гостевой виртуальной машины можно получить доступ к содержимому другой ВМ. Digital Ocean уже получила информацию от Intel по снижению рисков от этой уязвимости, и внедряет необходимые меры:

https://blog.digitalocean.com/a-message-about-l1tf/

Вот информация от Intel об этой L1TF — все те же уязвимости speculative execution side channel cache timing (о ней я писал вот тут t.me/alexmakus/2314)
https://newsroom.intel.com/editorials/protecting-our-customers-through-lifecycle-security-threats/

Какая-то прекрасная и странная история про австралийского подростка, который хакнул некую «сеть Apple” несколько лет назад, и на протяжении какого-то периода ходил через известные ему бэкдоры, загружая данные к себе из сети. Таким образом он накопил 90ГБ различных данных, которые он хранил на своём компьютере в папке под названием hacky hack hack (молодец!). Якобы делал он это все из любви к компании, поэтому данные никуда не утекли. Интересно, что он использовал различные анонимные VPN-сервисы для этой активности, но Apple просекла его по серийным номерам компьютеров, с которых подросток получал доступ в сеть. Из статьи не очень понятно, что теперь ему за это будет
https://www.theage.com.au/national/victoria/melbourne-teen-hacked-into-apple-s-secure-computer-network-court-told-20180816-p4zxwu.html

И, говоря о странных историях, не менее странная история тут про то, как сотрудники завода Tesla по производству батарей для автомобилей были вовлечены в действия мексиканского наркокартеля по импорту наркотиков в США. Интересно в этой истории больше то, что сотрудник, сообщивший об этой истории (бывший сотрудник отдела внутренней безопасности), также рассказал о том, что на заводе Tesla компания установила различное подслушивающее оборудование для записи разговоров, чтобы потом их мог прослушивать Илон Маск. Из статьи можно узнать, что Tesla установила специальные роутеры, которые могут перехватывать коммуникации мобильных телефонов сотрудников и получать доступ к данным, передаваемым телефонами. Какой-то WTF

https://techcrunch.com/2018/08/16/new-whistleblower-claims-against-tesla-allege-drug-trafficking-theft-and-phone-hacking-coverup/

и в качестве пятничного бонуса. Документ NSA (агенства национальной безопасности США) из далекого 2006 года, в котором утверждается, что NSA взломала шифрование некоторых ценных и потенциально важных VPN сетей, среди которых сети министерства обороны Ирака, медиакомпании Al Jazeera, а также российской авиакомпании Аэрофлот и российской части системы Galileo (системы бронирования авиабилетов). Такие дела
https://assets.documentcloud.org/documents/4755596/Efforts-Against-Virtual-Private-Networks-Bear.pdf

Привет! Совсем недавно вот тут (https://t.me/alexmakus/2303) я писал о том, что недавняя вспышка негативных статей напоминает спланированную акцию по дискредитации Телеграм: «Вообще беглый гуглинг показывает прям какую-то вспышку новостей про страшно уязвимый и небезопасный Телеграм, как будто это какая-то спланированная кампания по дискредитации мессенджера. (собакаподозревака.жпг)»

А вот Султ Сулейманов из Медузы не поленился и собрал подтверждающую эту теорию информацию - и как появляются такие статьи, и как их распространение форсят организации, основной задачей которых как раз является распространение подобной информации. Так что фильтруйте то, что вы видите, это бывает полезно :)

https://meduza.io/slides/za-dve-nedeli-smi-soobschili-srazu-o-pyati-uyazvimostyah-telegram-aktivnee-drugih-pro-nih-pisala-fabrika-media-evgeniya-prigozhina

Мне тут читатель сбросил ссылку на одно СМИ, которое я не хочу тут цитировать, с практически сенсационным заголовком о том, как пентагон заказал разработку анонимного мессенджера («документы есть в распоряжении редакции!!!!111!!!»). В распоряжении редакции канала такие документы, между прочим, тоже есть! Примерно такой же исследовательский проект, как и тот, из которого вырос сам интернет - анонимный мессенджер, способный функционировать в рамках одной сети, при нарушении целостности этой сети и при вредоносных действиях противников. Главное - подать эту новость подраматичнее!

https://www.darpa.mil/attachments/RACEProposersDayBriefing7-31-18.pdf

Как манипуляции ботнетом из устройств с высоким потреблением энергии (кондиционеры, нагреватели) могут помочь создать вектор атаки на энергосистемы - концепция исследователей
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-soltan.pdf

Кстати, о секретных коммуникациях. Reuters пишет о том, что правительство США склоняет Facebook на то, чтобы компания «приоткрыла» шифрование в Messenger для того, чтобы записать разговоры какого-то подозреваемого в одном уголовном расследовании. Facebook использует, насколько я помню, для своего Messenger технологию шифрованного мессенджера Signal, и, по сути, правительство требует от ФБ написать бэкдор к Messenger, а FB сопротивляется. Ситуация в какой-то мере похожа на то, как ФБР пыталась заставить Apple сделать специальную версию iOS для взлома телефона террориста, хотя с электронными коммуникациями там есть какое-то законодательство и прецеденты в США, которые могут привести к тому, что ФБ придётся таки сдаться. Короче, тоже интересный кейс.

https://www.reuters.com/article/us-facebook-encryption-exclusive/exclusive-u-s-government-seeks-facebook-help-to-wiretap-messenger-sources-idUSKBN1L226D

АПД. Похоже, что всё-таки тут немного сложнее история. Кажется, речь идёт о SDES-протоколе, а не о протоколе Signal, который используется для секретных чатов, но при этом не распространяется на голосовые сообщения, и в этом случае ключи могут сохраняться на серверах фейсбука, что делает юридическую защиту ФБ более уязвимой в этой ситуации.
https://www.theverge.com/2018/8/20/17759552/facebook-messenger-wiretap-fbi-law-ms13-gang-member

Adobe Flash, на бензоколонке, подключённой к интернету. Что может пойти не так, казалось бы...

Привет. С вами снова редакция плохих новостей. Компания Digital Content Next провела исследование о том, сколько информации о пользователях собирает Google.

Изучение активных и пассивных коммуникаций устройств и приложений пользователя с Google позволило собрать огромную картину того коллекционирования информации, которое осуществляет Google. Из этого исследования вы узнаете, например, что обычный телефон с Android и открытым браузером Chrome обращался к серверам Google 340 раз (35% из этих коммуникаций составляла информация о местоположении пользователя). Для исследования использовались данные как из экспорта Google, так и перехват коммуникаций с доменами Google. Короче, если у вас телефон с Android, то Google знает о вас примерно все. Если телефон с iOS, то тоже знает многое, но теоретически - гораздо меньше.

Все 55 страниц отчета - по ссылке
https://digitalcontentnext.org/wp-content/uploads/2018/08/DCN-Google-Data-Collection-Paper.pdf

Если тут есть пользователи почтового клиента AirMail на macOS, вам будет интересно почитать об уязвимости в приложении, которое позволяет злоумышленнику получить доступ ко всей вашей почте

https://versprite.com/blog/security-research/phishing-airmail3-mac/

АПД уже вышел фикс уязвимости
http://airmailapp.com/features

Медицинское оборудование с уязвимостями, которые позволяют получить полный контроль над устройством (хорошо хоть не удаленный) - никогда такого не было, и вот опять!

https://www.usa.philips.com/healthcare/about/customer-support/product-security

Оказывается, если найти незаблокированный компьютер, да подключить к нему специальный кабель с вредоносным ПО, то можно сделать какие-нибудь неприятности. Интересно, а что мешает делать неприятности без кабеля, раз уж все равно есть физический доступ к незаблокированному компьютеру? https://xakep.ru/2018/08/21/usbharpoon/

А вот тут пишут, что в Скайп наконец-то завезли оконечное шифрование разговоров. В духе Microsoft для использования шифрованных оконечных чатов надо:
- специально активировать функцию
- чаты не включены по умолчанию
- на одном устройстве может быть только один приватный разговор в один момент времени (што?)
https://mspoweruser.com/skypes-end-to-end-encrypted-private-conversations-feature-now-available-across-platforms/

Умная розетка, эксплуатация уязвимости в которой позволяет злоумышленникам получать доступ к другим умным устройствам в домашней сети. Все как я люблю
https://securingtomorrow.mcafee.com/mcafee-labs/insight-into-home-automation-reveals-vulnerability-in-simple-iot-product/

Привет! Сегодня как-то много хороших новостей сразу набралось:

- уязвимость в фреймворке Apache struts, позволяющая удаленному злоумышленнику получить контроль над сайтом
https://lgtm.com/blog/apache_struts_CVE-2018-11776

Апдейт уже вышел, есть смысл обновиться
https://thehackernews.com/2018/08/apache-struts-vulnerability.html

- уязвимость в MS Office 2016 для Мака. Там обходится проверка подписи в установщике, что приводит к эскалации привелегий до рутовых. Опасно, если, например, кто-то решил сэкономить и скачать установщик из какого-нибудь торрента. Тоже вышел апдейт, версия 18081201. Вы знаете, что делать.

https://medium.com/0xcc/cve-2018-8412-ms-office-2016-for-mac-privilege-escalation-via-a-legacy-package-7fccdbf71d9b