Подборка новостей
▫️Хакер DerpTrolling, положивший начало «традиции» рождественских DDoS-атак, получил 27 месяцев тюрьмы - https://xakep.ru/2019/07/05/derptrolling/
▫️В Испании арестован крупнейший кибермошенник за всю историю страны - https://www.securitylab.ru/news/499818.php
▫️Сообщение в iMessage может вывести iPhone из строя - https://xakep.ru/2019/07/05/imessage-bug/
▫️Китайская полиция устанавливает шпионское ПО на смартфоны граждан - https://www.securitylab.ru/news/499812.php
▫️Хакер DerpTrolling, положивший начало «традиции» рождественских DDoS-атак, получил 27 месяцев тюрьмы - https://xakep.ru/2019/07/05/derptrolling/
▫️В Испании арестован крупнейший кибермошенник за всю историю страны - https://www.securitylab.ru/news/499818.php
▫️Сообщение в iMessage может вывести iPhone из строя - https://xakep.ru/2019/07/05/imessage-bug/
▫️Китайская полиция устанавливает шпионское ПО на смартфоны граждан - https://www.securitylab.ru/news/499812.php
Совет: Используйте мессенджеры со сквозным шифрованием
Большинство современных мессенджеров использует шифрование. Но во многих из них сообщения шифруются только во время передачи на сервер — а там уже хранятся незашифрованными. Что будет, если кто-нибудь взломает такой сервер? Пусть даже этот риск не слишком велик, лучше его полностью избежать. Для этого надо пользоваться мессенджерами со сквозным (end-to-end) шифрованием. В таких приложениях даже их создатели не смогут прочитать ваши разговоры, ведь ключи от шифра есть только у вас и вашего собеседника.
Используйте мессенджеры со сквозным (end-to-end) шифрованием, например WhatsApp.
Обратите внимание, что Telegram, Facebook Messenger и Google Allo не используют сквозное шифрование по умолчанию. Чтобы включить его, необходимо вручную начать секретный чат.
Большинство современных мессенджеров использует шифрование. Но во многих из них сообщения шифруются только во время передачи на сервер — а там уже хранятся незашифрованными. Что будет, если кто-нибудь взломает такой сервер? Пусть даже этот риск не слишком велик, лучше его полностью избежать. Для этого надо пользоваться мессенджерами со сквозным (end-to-end) шифрованием. В таких приложениях даже их создатели не смогут прочитать ваши разговоры, ведь ключи от шифра есть только у вас и вашего собеседника.
Используйте мессенджеры со сквозным (end-to-end) шифрованием, например WhatsApp.
Обратите внимание, что Telegram, Facebook Messenger и Google Allo не используют сквозное шифрование по умолчанию. Чтобы включить его, необходимо вручную начать секретный чат.
Батарейка, которая стучит
Ты когда-нибудь задумывался, как твоя батарейка из мобильника узнаёт, когда ей прекратить зарядку, – когда она подключена к сети, но мобильник выключен? Современная батарейка – имеет встроенный микрокомпьютер, общающийся с зарядным устройством и мобильником. Смарт-аккумулятор, вернее встроенную в него «систему управления умной батарейкой» (SBS) можно полностью перепрограммировать.
Изначально такая возможность предусмотрена для того, чтобы SBS могла более точно измерять параметры батарейки и более адаптивно настраивать алгоритм зарядки (в зависимости от химических и других характеристик батарейки). Если злоумышленник может изменить работу такого внутреннего микрокомпьютера, то это может привести к перегреву батарейки или даже к её возгоранию. Также злоумышленник, получивший доступ к микрокомпьютеру смарт-аккумулятора, может наблюдать за доверенными операциями с крипточипом смартфона (поскольку батарейка общается с операционной системой по «доверенному каналу»). Подробная инструкция о том, как это сделать находится в открытом доступе.
Ты когда-нибудь задумывался, как твоя батарейка из мобильника узнаёт, когда ей прекратить зарядку, – когда она подключена к сети, но мобильник выключен? Современная батарейка – имеет встроенный микрокомпьютер, общающийся с зарядным устройством и мобильником. Смарт-аккумулятор, вернее встроенную в него «систему управления умной батарейкой» (SBS) можно полностью перепрограммировать.
Изначально такая возможность предусмотрена для того, чтобы SBS могла более точно измерять параметры батарейки и более адаптивно настраивать алгоритм зарядки (в зависимости от химических и других характеристик батарейки). Если злоумышленник может изменить работу такого внутреннего микрокомпьютера, то это может привести к перегреву батарейки или даже к её возгоранию. Также злоумышленник, получивший доступ к микрокомпьютеру смарт-аккумулятора, может наблюдать за доверенными операциями с крипточипом смартфона (поскольку батарейка общается с операционной системой по «доверенному каналу»). Подробная инструкция о том, как это сделать находится в открытом доступе.
Подборка новостей
▫️Японская криптовалютная биржа Bitpoint пострадала от взлома. Похищено 32 млн долларов - https://xakep.ru/2019/07/12/bitpoint-hacked/
▫️Постпостапокалипсис. Все самое интересное с конференции Offzone 2019 - https://xakep.ru/2019/07/10/offzone-2019-results/
▫️Magecart скомпрометировала более чем 17 000 сайтов через незащищенные серверы Amazon S3 - https://www.securitylab.ru/news/499943.php
▫️Google платит людям за прослушивание разговоров пользователей с Google - https://www.securitylab.ru/news/499939.php
▫️Японская криптовалютная биржа Bitpoint пострадала от взлома. Похищено 32 млн долларов - https://xakep.ru/2019/07/12/bitpoint-hacked/
▫️Постпостапокалипсис. Все самое интересное с конференции Offzone 2019 - https://xakep.ru/2019/07/10/offzone-2019-results/
▫️Magecart скомпрометировала более чем 17 000 сайтов через незащищенные серверы Amazon S3 - https://www.securitylab.ru/news/499943.php
▫️Google платит людям за прослушивание разговоров пользователей с Google - https://www.securitylab.ru/news/499939.php
Новый способ кражи данных с физически изолированных систем
Специалисты разработали метод, позволяющий извлечь данные из физически изолированных систем с помощью светодиодных индикаторов Caps Lock, Num Lock и Scroll Lock на клавиатуре. Предварительно заразить изолированную систему вредоносным ПО.
По словам исследователей, вредоносная программа с помощью кастомного протокола передачи данных может заставить светодиодные индикаторы на клавиатуре мигать с большой скоростью. Находящийся вблизи злоумышленник может записать эти вспышки и затем расшифровать информацию.
Команда исследователей протестировала метод на различных устройствах.
Ученым удалось извлечь данные со скоростью 3 тыс. бит/с при использовании чувствительных световых датчиков и примерно 120 бит/с в тестах с обычной камерой смартфона.
Специалисты разработали метод, позволяющий извлечь данные из физически изолированных систем с помощью светодиодных индикаторов Caps Lock, Num Lock и Scroll Lock на клавиатуре. Предварительно заразить изолированную систему вредоносным ПО.
По словам исследователей, вредоносная программа с помощью кастомного протокола передачи данных может заставить светодиодные индикаторы на клавиатуре мигать с большой скоростью. Находящийся вблизи злоумышленник может записать эти вспышки и затем расшифровать информацию.
Команда исследователей протестировала метод на различных устройствах.
Ученым удалось извлечь данные со скоростью 3 тыс. бит/с при использовании чувствительных световых датчиков и примерно 120 бит/с в тестах с обычной камерой смартфона.
Пентестеры. Чем занимаются хакеры на официальной работе
«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать? В этой статье я постараюсь приоткрыть завесу тайны для непосвященных.
«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать? В этой статье я постараюсь приоткрыть завесу тайны для непосвященных.
Telegraph
Пентестеры. Чем занимаются хакеры на официальной работе
«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать?…
Потери мировой экономики от вирусов-вымогателей достигнут 20 миллиардов долларов к 2021 году, тогда как в 2015 убытки оценивались в 325 миллионов. Организации здравоохранения станут главной целью киберпреступников, количество атак на компании из этой сферы вырастет в четыре раза к 2020 году.
Специалисты прогнозируют, что бизнес будет подвергаться атакам вирусов-шифровальщиков каждые 11 секунд. Таким образом, вымогатели станут самой быстроразвивающейся разновидностью киберпреступлений.
Специалисты прогнозируют, что бизнес будет подвергаться атакам вирусов-шифровальщиков каждые 11 секунд. Таким образом, вымогатели станут самой быстроразвивающейся разновидностью киберпреступлений.
Подборка новостей
▫️Роскомнадзор оштрафовал Google на 700 000 рублей - https://xakep.ru/2019/07/18/rkn-vs-google-2/
▫️В Госдуму в очередной раз внесен законопроект о предустановке российского ПО на устройства - https://www.securitylab.ru/news/500005.php
▫️Хакер похитил личные данные миллионов жителей Болгарии и поделился ими со СМИ - https://xakep.ru/2019/07/17/bulgarian-leak/
▫️Уязвимость в Instagram позволяла захватить любой аккаунт за считанные минуты - https://xakep.ru/2019/07/16/instagram-brutforce/
▫️Роскомнадзор оштрафовал Google на 700 000 рублей - https://xakep.ru/2019/07/18/rkn-vs-google-2/
▫️В Госдуму в очередной раз внесен законопроект о предустановке российского ПО на устройства - https://www.securitylab.ru/news/500005.php
▫️Хакер похитил личные данные миллионов жителей Болгарии и поделился ими со СМИ - https://xakep.ru/2019/07/17/bulgarian-leak/
▫️Уязвимость в Instagram позволяла захватить любой аккаунт за считанные минуты - https://xakep.ru/2019/07/16/instagram-brutforce/
Взлом электронного замка — как в фильмах про хакеров. Реально?
Что обычно делают герои фильмов, когда на их пути встает преграда в виде двери с электронным замком? Разумеется, зовут хакера. Хакер подключает к замку некое устройство, оно за несколько секунд перебирает на ярком сегментном дисплейчике все возможные комбинации — та-дам! — дверь открыта.
Что обычно делают герои фильмов, когда на их пути встает преграда в виде двери с электронным замком? Разумеется, зовут хакера. Хакер подключает к замку некое устройство, оно за несколько секунд перебирает на ярком сегментном дисплейчике все возможные комбинации — та-дам! — дверь открыта.
Telegraph
Взлом электронного замка — как в фильмах про хакеров. Реально?
Что обычно делают герои фильмов, когда на их пути встает преграда в виде двери с электронным замком? Разумеется, зовут хакера. Хакер подключает к замку некое устройство, оно за несколько секунд перебирает на ярком сегментном дисплейчике все возможные комбинации…
Хакеры взломали серверы подрядчика ФСБ, работавшего над деанонимизацией пользователей Tor и отделением интернета в РФ
Хакеры украли 7,5 терабайта данных Федеральной службы безопасности России, взломав серверы подрядчика учреждения - компании SyTech. Как сообщает русская служба ВВС, взлом произошел 13 июля 2019 года. Вместо главной страницы сайта московской IT-компании SyTech появилось изображение рожицы с широкой улыбкой и самодовольно прищуренными глазами.
Из архива, с которым смогло ознакомиться издание, следует, что SyTech выполняла работы по как минимум 20 непубличным IT-проектам, заказанным российскими спецслужбами и ведомствами. Эти бумаги не содержат пометок о государственной тайне или секретности. Украденные данные касаются тайных проектов деанонимизации пользователей ресурса Tor, получения информации из соцмедиа и отделения интернета в России от мировой сети.
Хакеры украли 7,5 терабайта данных Федеральной службы безопасности России, взломав серверы подрядчика учреждения - компании SyTech. Как сообщает русская служба ВВС, взлом произошел 13 июля 2019 года. Вместо главной страницы сайта московской IT-компании SyTech появилось изображение рожицы с широкой улыбкой и самодовольно прищуренными глазами.
Из архива, с которым смогло ознакомиться издание, следует, что SyTech выполняла работы по как минимум 20 непубличным IT-проектам, заказанным российскими спецслужбами и ведомствами. Эти бумаги не содержат пометок о государственной тайне или секретности. Украденные данные касаются тайных проектов деанонимизации пользователей ресурса Tor, получения информации из соцмедиа и отделения интернета в России от мировой сети.
Глушим сеть. Выбор и настройка аппаратного Wi-Fi деаутентификатора на базе платы за 3$
Wi-Fi jammer, или глушилка Wi-Fi, — это гаджет, который предназначен для отключения беспроводных устройств от хотспота. Зачем это нужно? Можешь вообразить себе как дружеский розыгрыш (сосед, конечно, обрадуется, когда ты оборвешь его порноролик или, например, футбольный матч на самом интересном месте), так и криминальное применение: злоумышленник может отключить от сети камеры слежения или другое важное оборудование. В этой статье мы разберем, какие есть недорогие варианты аппаратных деаутентификаторов, как ими пользоваться и как защититься от подобных атак.
Wi-Fi jammer, или глушилка Wi-Fi, — это гаджет, который предназначен для отключения беспроводных устройств от хотспота. Зачем это нужно? Можешь вообразить себе как дружеский розыгрыш (сосед, конечно, обрадуется, когда ты оборвешь его порноролик или, например, футбольный матч на самом интересном месте), так и криминальное применение: злоумышленник может отключить от сети камеры слежения или другое важное оборудование. В этой статье мы разберем, какие есть недорогие варианты аппаратных деаутентификаторов, как ими пользоваться и как защититься от подобных атак.
Telegraph
Глушим сеть. Выбор и настройка аппаратного Wi-Fi деаутентификатора на базе платы за 3$
Wi-Fi jammer, или глушилка Wi-Fi, — это гаджет, который предназначен для отключения беспроводных устройств от хотспота. Зачем это нужно? Можешь вообразить себе как дружеский розыгрыш (сосед, конечно, обрадуется, когда ты оборвешь его порноролик или, например…
Утечка из аквариума
Некоторое время назад в лобби одного американского казино появился «умный» аквариум. Высокотехнологичная новинка сама контролировала график кормления рыбок, следила за уровнем соли и температурой. Термостат умел выходить в Интернет, чтобы предупреждать владельца о перегреве или чрезмерном охлаждении воды. Устройство было скрыто за отдельным VPN, очевидно для того, чтобы спрятать его от злоумышленников. Как выяснилось, этих мер было недостаточно — через предательский термостат оказалось возможно дотянуться до других узлов локальной сети.
Выяснилось, что аквариум отправил куда-то в Норвегию 10 ГБ данных. ИБ-сотрудники стали разбираться, что за информация попала в руки неизвестным взломщикам. Оказалось, что украли базу крупных игроков. В открытых источниках не уточняется, какие именно в ней содержалась сведения, однако вне зависимости от того, были ли там просто имена и фамилии или же контактные данные и номера кредитных карт, репутационный ущерб трудно переоценить. Название казино в новости не попало, но предприниматели обязаны были сообщить об инциденте жертвам утечки.
Некоторое время назад в лобби одного американского казино появился «умный» аквариум. Высокотехнологичная новинка сама контролировала график кормления рыбок, следила за уровнем соли и температурой. Термостат умел выходить в Интернет, чтобы предупреждать владельца о перегреве или чрезмерном охлаждении воды. Устройство было скрыто за отдельным VPN, очевидно для того, чтобы спрятать его от злоумышленников. Как выяснилось, этих мер было недостаточно — через предательский термостат оказалось возможно дотянуться до других узлов локальной сети.
Выяснилось, что аквариум отправил куда-то в Норвегию 10 ГБ данных. ИБ-сотрудники стали разбираться, что за информация попала в руки неизвестным взломщикам. Оказалось, что украли базу крупных игроков. В открытых источниках не уточняется, какие именно в ней содержалась сведения, однако вне зависимости от того, были ли там просто имена и фамилии или же контактные данные и номера кредитных карт, репутационный ущерб трудно переоценить. Название казино в новости не попало, но предприниматели обязаны были сообщить об инциденте жертвам утечки.
Подборка новостей
▫️Telegram бразильского президента и министров взломали через голосовую почту - https://xakep.ru/2019/07/26/brazilian-telegram-hacks/
▫️Данные более 23 миллионов кредитных карт продаются в даркнете - https://www.securitylab.ru/news/500171.php
▫️Из-за атаки шифровальщика некоторые жители Йоханнесбурга остались без электричества - https://xakep.ru/2019/07/26/johannesburg-ransomware/
▫️АНБ создаст новое подразделение по кибербезопасности - https://www.securitylab.ru/news/500162.php
▫️Telegram бразильского президента и министров взломали через голосовую почту - https://xakep.ru/2019/07/26/brazilian-telegram-hacks/
▫️Данные более 23 миллионов кредитных карт продаются в даркнете - https://www.securitylab.ru/news/500171.php
▫️Из-за атаки шифровальщика некоторые жители Йоханнесбурга остались без электричества - https://xakep.ru/2019/07/26/johannesburg-ransomware/
▫️АНБ создаст новое подразделение по кибербезопасности - https://www.securitylab.ru/news/500162.php
