по поводу Телеграма за ночь дуров уже успел дать какое-то опровержение в твиттере (которое потом удалил), после чего подтвердил о каком-то несоответствующем контенте в приложение, за который оно было удалено из App Store
https://twitter.com/durov/status/958990254396059648

интересно, что удалили только мобильное приложение, а в Mac App Store приложения остались. Бардак там у Apple, вот что

из рубрики "забавные новости" — в Oxford English Dictionary (по сути, такой официальный словарь анлийского языка) добавили слово ransomware (это про вирусы-вымогатели). С чем вас и поздравляю!

хакерство как средство получения выгоды. хакер обнаружил уязвимости в системе каршаринга и пользовался автомобилями бесплатно, используя данные других пользователей
https://www.hackread.com/hacker-compromised-user-data-illegally-used-car-sharing-service/

а всякие сайты на Вордпрессе (более 2 тысяч) по-прежнему собирают кейлоги с пользователей
https://arstechnica.com/information-technology/2018/01/more-than-2000-wordpress-websites-are-infected-with-a-keylogger/

Телеграм снова в App Store, теперь банановый и без порно :)

Добро пожаловать в IoD - internet of dildos. Интернет, в котором разработчик «умного» вибратора допускает утечку пользовательских данных, админский интерфейс торчит голой жопой наружу, соединение по Блютусу идёт без какой либо авторизации, пароли хранятся открытым текстом, а уязвимости в бэк-энде позволяют незнакомым людям управлять вашим вибратором удаленно! Все как я люблю!

https://www.sec-consult.com/en/blog/2018/02/internet-of-dildos-a-long-way-to-a-vibrant-future-from-iot-to-iod/index.html

Техническая информация
http://seclists.org/fulldisclosure/2018/Feb/0

из рубрики "никогда такого не было, и вот опять" — критическая уязвимость в Adobe Flash (божечки, но зачем в 2018 году его еще использовать???)
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

проблема не столько в самой уязвимости (хотя по количеству уязвимостей Flash однозначно поставил какой-то рекорд), а в том, что а) для нее нет фикса (есть только методы mitigation — то есть уменьшения рисков), и б) её уже активно эксплуатируют. Затронуты все платформы — Win, Mac, Linux. Распространяется через файлы Microsoft Office со встроенным контентом Flash (НО ЗАЧЕМ????)

Привет (особенно читателям из РФ). Правозащитная организация «Агора» выпустила доклад «Свобода интернета 2017: ползучая криминализация», посвященный ограничениям интернета в России.

По подсчетам «Агоры», в 2017 году ежедневно блокировались 244 интернет-страницы, каждые восемь дней за размещенную в интернете информацию суд приговаривал человека к лишению свободы, а каждые шесть дней пользователи подвергались нападению. Все эти цифры увеличились по сравнению с 2016 годом.

Как отмечается в докладе, 2017 год также стал рекордным по числу законодательных инициатив, направленных на усиление контроля над коммуникациями и распространением информации в сети. Авторы исследования также обращают внимание, что функции контроля над интернетом постепенно продолжают переходить от Роскомнадзора к различным силовым ведомствам, прежде всего ФСБ.

В общей сложности, в 2017 году были зафиксированы 115706 отдельных фактов ограничения свободы интернета в России. Подавляющее большинство (более 110 тысяч) из них связано с блокировкой и фильтрацией контента, а также запретом информации по различным основаниям.

Полная версия отчета — по ссылке https://meduza.io/static/0001/Agora_Internet_Freedom_2017_RU.pdf

Вчера в Америке прошел Супербоул, в котором, кстати, победила команда, ни разу до этого в Супербоуле не побеждавшая — Eagles из Филадельфии (ура!). Но надо же и об опасносте! Короче, организаторы Супербоула — NFL — проводили имитацию вирусной атаки (но не компьютерного вируса, а вируса сибирской язывы). Затем министерство национальной безопасности пересматривало результаты этой имитации, и давало свои заключения и рекомендации. Документы имели служебный гриф и относились к важным для национальной безопасности. Так вот, кто-то оставил этот отчет в спинке кресла на самолете, где его и обнаружили журналисты CNN. А вы говорите "хакеры, взломы, вот это все". Достаточно одной бестолковой бестолочи
https://www.cnn.com/2018/02/05/us/dhs-super-bowl-national-security-documents-left-on-plane-invs/index.html

вы ведь все помните NotPetya и WannaCry, которые использовали уязвимость EternalBlue, утекшую из закромов NSA. Теперь три новые уязвимости из того же источника  — EternalSynergy, EternalRomance и EternalChampion — добавлены в качестве модулей в популярное ПО для поиска уязвимостей и пентестов Metasploit. Эти уязвимости работают немного по-другому, чем EternalBlue, и могут быть эффективными против тех, кто еще не проапдейтился
https://github.com/rapid7/metasploit-framework/pull/9473

Привет! сегодня выпуск набором ссылок, потому что в сутках так мало времени!

1. Mixpanel — известный сервис по сбору мобильной и веб аналитики — оказывается, с некоторых сайтов подсасывал пароли пользователей. с марта 2017 года. Случайно, конечно, но упс. Надо обновлять SDK, вот это все.

https://www.reddit.com/r/analytics/comments/7ukw4n/mixpanel_js_library_has_been_harvesting_passwords/
https://techcrunch.com/2018/02/05/mixpanel-passwords/

2. Apple разослала некоторым разработчикам, которые используют рекламу в App Store, отчеты других разработчиков
https://techcrunch.com/2018/02/06/apple-search-ads-apps/

3. История о том, как ФБР вычисляла известного спамера Петра Левашова с помощью данных в iCloud аккаунте. Суд выдал постановление на то, чтобы Apple обеспечила доступ к iCloud-аккунту Левашова и запретил компании говорить об этом (известно, что хотя бекапы и хранятся в iCloud шифрованными, но у Apple есть ключи к их расшифровке, и правоохранительные органы по решению суда могут получать доступ к данным в бекапах. Это фича, не бага)

https://www.theverge.com/2018/2/5/16975896/icloud-warrant-kelihos-botnet-levashov-affidavit

и немножко полезной и нужной информации. Поскольку в Штатах намечаются очередные выборы в Конгресс, и все опасаются за информационную безопасность и взломы, один из факультетов Гарварда опубликовал хороший документ о том, как обезопасить тех, кто работает в избирательных кампаниях. В документе полно полезных советов про фишинг, физическую безопасность устройств, безопасность сетей и много всякого другого. Этот документ очень полезен даже с точки зрения персональной информационной безопасности, необязательно участвовать в избирательных кампаниях — про шифрование, 2FA, пароли, VPN и проч.

https://www.belfercenter.org/CyberPlaybook

какая-то неприятная история с Booking.com, который, похоже, передает данные вашей карты, использованной при бронировании, в отель. Так что вся надежда на чистоплотность персонала отелей
https://journal.tinkoff.ru/booking-card/

Кстати, я вас всех поздравляю — сегодня День безопасного интернета
https://www.saferinternetday.org

што?

Забавный скам в твиттере — скамеры, маскируясь под популярные аккаунты (создавая такие же имена, но заменяя символы в имени похожими юникодными), делают ответ к популярному твиту, чтобы это выглядело как тред оригинального постера, и просят прислать им немного криптовалюты, потому что они в ответ пошлют им гораздо больше криптовалюты (конечно, что же может быть логичнее?). Народ ведется 🙂
https://twitter.com/TinkerSec/status/961233575516389376

К уязвимости в Adobe Flash, о которой я писал на прошлой неделе (https://t.me/alexmakus/1740), вышел фикс, так что если у вас вдруг на компьютере есть Flash, то лучше бы его обновить
https://helpx.adobe.com/security/products/flash-player/apsb18-03.html

новость, которая будет интересна читателям из Украины — тут пишут, что у популярного почтового сервиса (оффлайновой почты) Нова Пошта вроде как угнали базу клиентов. Компания отмазывается, что данные, которые выставлены на продажу, вроде как не её. Интересно, что в процессе директор по информационным технологиям рассказал, что компания "планирует запуск криптографической защиты, анонимизации персональных и аналитических данных", что у меня вызвало логичный вопрос — А ДО ЭТОГО ОНИ ЭТО НЕ ИСПОЛЬЗОВАЛИ, ЧТО ЛИ???
https://www.epravda.com.ua/news/2018/02/6/633812/

Тут на Гитхабе внезапно кто-то выложил кусок исходного кода iBoot - грубо говоря, БИОС айфона, та часть операционной системы, которая обеспечивает необходимые проверки доверенной загрузки остальной операционной системы. Официального подтверждения нет (и, скорей всего, не будет), но эксперты сходятся на том, что код настоящий.

Потенциально это очень серьезная проблема для Apple. Утечка такого кода не означает, конечно, что завтра все ваши айфоны внезапно взломают после простого посещения какого-нибудь веб-сайта, но наличие такого кода в открытом доступе существенно облегчит поиск уязвимостей в iBoot, что может привести к созданию новых версий джейлбрейка или методов компрометации устройств. Похоже, что код, который опубликовали, относится к версии iOS 9, и с тех пор многое могло измениться, но какие-то куски кода вполне могут присутствовать и в iOS 11. Утёкший код не собирается, так как там не хватает компонентов, но все равно очень и очень неприятная история. Примечательно, что за уязвимости в iBoot Apple платит 200 тыс долларов - максимум в рамках своей bug bounty программы.

Ссылку на сам архив я тут давать, разумеется, не буду — кто захочет, сам сможет найти её в интернете. Вот можно почитать статью об этой утечке
https://motherboard.vice.com/en_us/article/a34g9j/iphone-source-code-iboot-ios-leak