20313
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
Хотел вам рассказать о программе bug bounty у Касперского, но у них так все плохо с сайтом, где о ней было написано, что я не нашел о ней информацию. Но вроде как обещали до 50 тыс долл за уязвимости в их продуктах
Читать полностью…
как в иране компрометируют аккаунты Телеграмма путем перехвата СМС http://www.reuters.com/article/us-iran-cyber-telegram-exclusive-idUSKCN10D1AM
Читать полностью…
Никогда такого не было и вот опять! Приложение, которое утверждало, что у него функциональность по просмотру HMTL-кода, воровало фотографии и видео пользователей и заливало их на удаленный сервер. Google Play, Android, вот это все http://www.symantec.com/connect/blogs/another-media-stealing-app-found-google-play
Читать полностью…
К по-настоящему плохим новостям. В даркнете якобы поступила в продажу база пользователей Yahoo, на 200 млн записей. Юзернеймы, даты рождений, "погашенные" пароли, вот это все. Примерно из 2012 года, но не факт, что это настоящая. Всего 3 биткойна (примерно 1860 долл)
Читать полностью…
Сегодня день статей, присланных читателями. Вот еще Алексей прислал статью про уязвимый WhatsApp http://www.emirates247.com/business/whatsapp-safety-compromised-in-30-secs-uae-ngo-wants-action-video-2016-08-01-1.637444
Читать полностью…
На какие только хитрости не идут злоумышленники, чтобы выманить пароль к аккаунту iTunes http://www.telegraph.co.uk/technology/2016/07/29/itunes-users-targeted-with-20-purchase-refund-scam---how-to-prot/
Читать полностью…
Telegraph рассказывает о том, что популярная клава SwiftKey допускала утечку данных другим пользователям http://www.telegraph.co.uk/technology/2016/07/29/swiftkey-app-leaked-users-email-addresses-and-phone-numbers-to-s/
Читать полностью…
WhatsApp не удаляет полностью чаты в приложении, даже если вы выбрали команду для удаления и архивации чатов. Паниковать не стоит, но все равно интересное исследование http://www.zdziarski.com/blog/?p=6143
Читать полностью…
Украдено из канала Белкина, надеюсь, он меня простит. Хакеры совсем уже обленились, блядь
Читать полностью…
Новый уровень вредоносного ПО — Ransomware As A Service. Нет, серьезно, сервис, в котором ты подписываешься, тебе выдают готовые компоненты для софта по вымогательству денег, соответственно, на тебе остается только дистрибуция (сколько юзеров смог обмануть поставить — молодец), а создателям отстегивай 25%. Интересней, что название — Petya and Mischa Ransomware... какие интересные имена... http://www.bleepingcomputer.com/news/security/petya-and-mischa-ransomware-affiliate-system-publicly-released/
Читать полностью…
почти про информационную безопасность. У американской TSA — организации, отвечающей за безопасность на транспорте, и, в частности, при перелетах, есть, как известно, некие "универсальные" ключи для открытия чемоданов. Там они дружат с производителями чемоданов для того, чтобы выпускать "TSA-friendly" чемоданы, которые при необходимости досмотра будут не взламывать, а красиво открывать специальными ключами. Так вот, в 2014 году The Washington Post случайно напечатали фотографию, где были изображены все 7 ключей. Этого было достаточно, чтобы умники, используя 3D принтеры, начали эти ключи печатать. Вот, собственно, новость, что смогли финализировать последний, седьмой, ключ http://3dprintingindustry.com/news/last-tsa-master-key-hacked-90268/
Читать полностью…
LastPass — один из самых популярных менеджеров паролей в мире. Чувак рассказывает, как он нашел уязвимость в LastPass, которая позволила получить доступ к паролям пользователей. Хорошие новости — это то, что эту уязвимость уже исправили. https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/
Читать полностью…
ыыыы. Тут читатель прислал — уязвимость в беспроводных клавиатурах, но не в тех, которые Bluetooth, а в радио-клавах (повторяю, BT-клавы в безопасности пока что). Короче, штука умеет перехватывать поток данных между клавиатурой и компьютером и сохранять ВСЕ текстовые строки. Бренды уязвимых клавиатур — Anker, EagleTec, General Electric, Hewlett-Packard, Insignia, Kensington, Radio Shack и Toshiba. Так что если вы какое-то время уже откладывали переход на клавиатуру с Bluetooth, то, наверно, самое время http://www.keysniffer.net
Читать полностью…
так, теперь интересные новости. Например, в США популярна схема развода, когда "хакеры" добывают имейл директора компании, и от его имени пишут в бухгалтерию "так, надо заплатить этому вендору денег", и дают счет какой-то за границей. Глупая бухгалтерия платит, хакеры довольны, СЕО страдает. 83% таких платежей уходит в Китай и ГонгКонг. В период с октября 2013 года до февраля 2016 года ФБР насчитала таким образом 17 тыс 642 компании, которых так развели на сумму в 2.3 млрд долл. Не тем мы занимаемся, ой не тем... http://money.cnn.com/2016/07/26/technology/hacking-companies-china-hong-kong-banks/index.html
Читать полностью…
я, конечно, стараюсь избегать политоты в этом канале, но иногда нет никакой возможности. Тут, короче, в омерице разгорается большой скандал про взлом почты комитета демократической партии — там почту взломали, а архив недавно вывалили на Wikileaks. все понятно, все политики — пидарасы, но внезапно начало выясняться, что вроде как это все делалось для того, чтобы было выгодно Трампу (кандидату от республиканцев), чтобы замочить демократов. Но что хуже — это то, что расследование показывает, что взломом и последующим сливом на Wikileaks занимались российские спецслужбы. Прям вот прямым текстом в статьях сейчас пишут про ФСБ и ГРУ — вот вам ссылка на результаты исследования https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
Читать полностью…
1. Помните историю про телефон погибшего человека, который разблокировали (телефон) напечатанным отпечатком пальца? Короче, есть несколько новостей по этому поводу:
1. 3Д-напечатанный отпечаток не сработал
2. напечатали 2Д на специальной бумаге
3. второй вариант сработал
2. Напоминаю, что телефон там — Samsung Galaxy S6, у которого не умеет экспайриться токен сканера отпечатка пальца. Берегите пальцы! http://www.npr.org/sections/alltechconsidered/2016/07/27/487605182/police-use-fingertip-replicas-to-unlock-a-murder-victims-phone?live=1
Как даже информация о состоянии батарейки может быть использована в получении информации о вас https://blog.lukaszolejnik.com/battery-status-readout-as-a-privacy-risk/
Читать полностью…
а для тех из вас, кто по-настоящему технарь, а не жалкий гуманитарий, как я — наверняка познавательная ссылка с отчетом по реверс-инжинирингу малвари Mad Max https://www.arbornetworks.com/blog/asert/mad-max-dga/
Читать полностью…
а читатель Константин — ссылку на гифку с нигерийским спамом :) http://twitter.com/jlist/status/760069873749811200/photo/1
Читать полностью…
Использование https пользователями в разных продуктах Google https://www.google.com/transparencyreport/https/
Читать полностью…
Читатель Aleks прислал ссылочку на уязвимость в CGI https://httpoxy.org
Читать полностью…
Тут вот рассказывают про чувака, который мастурбировал перед компьютером, а установленный на компьютере зловред это записал на камеру компьютера и теперь владельца компьютера шантажируют релизом этих записей. Так что совет: либо мастурбируйте подальше от компьютера, либо на время манипуляций заклеивайте камеру http://www.abc.net.au/triplej/programs/hack/webcam-hackers-catch-man-wanking-demand-ransom/7668434
Читать полностью…
какое-то время назад я рассказывал про тему, где правоохранительные органы попросили напечатать в 3Д отпечаток пальца погибшего человека, чтобы разблокировать его телефон. Я еще тогда удивлялся, что это в целом странно, так как в айфоне токен отпечатка пальца протухает довольно быстро, если не было новых разблокировок. Тут, в общем, уточнили, что это был Samsung Galaxy S6 http://fusion.net/story/331250/police-unlock-dead-mans-phone-with-recreated-fingertips/
Читать полностью…
Я за объективность! Хороший анализ фактов, показывающий, что вовсе необязательно, что российские спецслужбы стояли за взломом систем комитета демократический партии jeffreycarr/can-facts-slow-the-dnc-breach-runaway-train-lets-try-14040ac68a55#.f9yr0lqf5" rel="nofollow">https://medium.com/@jeffreycarr/can-facts-slow-the-dnc-breach-runaway-train-lets-try-14040ac68a55#.f9yr0lqf5
Читать полностью…
Уязвимости в системе управления светом Osram https://community.rapid7.com/community/infosec/blog/2016/07/26/r7-2016-10-multiple-osram-sylvania-osram-lightify-vulnerabilities-cve-2016-5051-through-5059
Читать полностью…
Motorola подтвердила, что хрен пользователям, а не ежемесячные апдейты безопасности. потому что на андроиде каждый юзер сам за себя http://arstechnica.com/gadgets/2016/07/motorola-confirms-that-it-will-not-commit-to-monthly-security-patches/
Читать полностью…
в общем, тут специалисты призывают отказаться от SMS как механизма двухфакторной авторизации, потому что уж больно небезопасный это метод. https://pages.nist.gov/800-63-3/sp800-63b.html
Читать полностью…
И полезное! Например, я много пишу про ransomware — софт, который вымогает у вас деньги за расшифровку файлов. Если вы вдруг стали жертвой такого вредоносного ПО, не спешите платить. Вот нужный ресурс, запущенный совместно несколькими компаниями, специализирующимися на ПО в сфере безопасности — они попробуют расшифровать файлы бесплатно. ЗАНЕСИТЕ В ЗАКЛАДКИ https://www.nomoreransom.org
Читать полностью…
если вы вдруг играли в Clash of Kings и регистрировались у них на форуме — там взломали форум и 1.6 млн записей о пользователях тютю http://www.zdnet.com/article/hacker-steals-forums-of-clash-of-kings-mobile-game/
Читать полностью…
и снова здравствуйте! новая неделя, новые взломы, новые утечки, и прочие ужасы ждут вас (наверняка), даже если вы их не ждете. а пока — интересный рассказ двух чуваков, которые нашли уязвимость в Pornhub.com (знаем, знаем, многие мужчины заходят на этот сайт регулярно в поисках уязвимостей), и благодаря этой уязвимости они смогли заработать 20 тыс долларов от Порнхаба. А все потому, что они оказались хорошими и сообщили об уязвимости администрации сайта, потому что благодаря ей можно было получить доступ к базе данных пользователей этого сайта https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/
Читать полностью…