Эксперты компании Positive Technologies представили итоги анализа защищенности корпоративных систем российских и зарубежных компаний в 2017 году в рамках форума Positive Hack Days 8.

https://xakep.ru/2018/05/15/corporate-vulnerabilities/

Команда white-hat хакеров из Аргентины опубликовала proof-of-concept эксплоит, позволяющий осуществить внедрение кода в мессенджер Signal для Windows и Linux.

https://xakep.ru/2018/05/15/signal-xss-url-bug/

Сообщения о проблемах PGP и S/MIME получили обещанное продолжение. ИБ-эксперты обнародовали технические подробности проблем, получивших общее название Efail.

https://xakep.ru/2018/05/15/efail/

Представители Google сообщают, что в компании идет работа над новым соглашением для OEM-производителей. В частности, последних обяжут регулярно выпускать обновления безопасности для Android-устройств.

https://xakep.ru/2018/05/15/oem-security-patches/

Для подписчиков
Из актуальных мобильных систем iOS на сегодня самая безопасная с огромным отрывом. За последние несколько лет Apple превратила свою систему в неприступный бастион, новости о возможных брешах в котором становятся сенсацией. Но в последних версиях iOS стала не просто безопасной, а очень удобной для злоумышленников: Apple все чаще и чаще встраивает в систему средства защиты именно от полиции, а не от воришек.

https://xakep.ru/2018/05/15/apple-for-privacy/

В московском Центре международной торговли стартовал ежегодный форум по практической информационной безопасности Positive Hack Days 8. Мероприятие традиционно объединило специалистов в области технологий, информационной безопасности, молодых ученых, представителей бизнеса и власти. Организатор конференции — компания Positive Technologies.

https://xakep.ru/2018/05/15/phdays-started/

Представители Мосгорсуда заявили, что судебное решение о блокировке Telegram не вступало в силу, так как юристы Telegram Messenger LLP успели его обжаловать.

https://xakep.ru/2018/05/15/telegram-appeal/

В опенсорсном фреймворке Electron обнаружена серьезная уязвимость, допускающая удаленное исполнение произвольного кода. Из-за этого десятки приложений, в состав которых входит Electron, оказались под угрозой. Среди них: Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord, WordPress.com и многие другие.

https://xakep.ru/2018/05/14/electron-flaw/

Не только официальные каталоги Google, Apple и Windows страдают от вредоносных приложений и расширений. Малварь обнаружили и в Ubuntu Snap Store.

https://xakep.ru/2018/05/14/snap-store-miner/

ИБ-эксперты и представители Фонда электронных рубежей предупредили о критических уязвимостях в составе PGP и S/MIME. Согласно данным специалистов, расшифровать сообщения, защищенные таким образом, не составляет никакого труда.

https://xakep.ru/2018/05/14/pgp-s-mime-bugs/

Эксперты «Лаборатории Касперского» нашли 17 0-day уязвимостей в в продуктах OPC Foundation, а также несколько уязвимостей в коммерческих приложениях, которые их используют.

https://xakep.ru/2018/05/14/opc-ua-flaws/

Сегодня новостные ленты пестрят сообщениями о проблемах безопасности мобильной связи. Прослушка телефонных разговоров, перехват SMS, подмена абонентов и взлом SIM-карт — это далеко не все, что могут сделать злоумышленники. Познакомиться с уязвимостями мобильных сетей и попробовать взломать оператора связи можно будет на Positive HackDays. Рассказываем о конкурсах и докладах по телеком-безопасности, которые нельзя пропустить.

https://xakep.ru/2018/05/14/phdays-telecom/

Для подписчиков
В одной из прошлых колонок я рассказал о стадиях целенаправленных атак. Первая стадия, «разведка», начинается задолго до того, как атакующий дотронется до первой машины жертвы. От количества и качества данных, собранных на этом этапе зависит успешность атаки и, самое главное, стоимость ее проведения.

https://xakep.ru/2018/05/14/osint/

Недавно специалисты «Лаборатории Касперского» рассказали о запутанной кибершпионской кампании ZooPark, жертвами которой становятся пользователи из стран Ближнего Востока. Теперь неизвестный хакер утверждает, что взломал организаторов ZooPark и похитил у них различную информацию.

https://xakep.ru/2018/05/11/zoopark/

Аналитики Qihoo 360 Netlab сообщили, что за право заразить роутеры Dasan GPON соревнуются сразу пять крупных ботнетов: Hajime, Mettle, Mirai, Muhstik и Satori.

https://xakep.ru/2018/05/11/dasan-gpon-problems/

Компания Flashpoint предупреждает: в отрытый доступ попали исходные коды малвари TreasureHunter, а значит, в скором будущем следует ожидать роста количества PoS-угроз.

https://xakep.ru/2018/05/11/treasurehunter-leak/

Аналитики компании Radware обнаружили в официальном Chrome Web Store сразу семь вредоносных расширений, которые похищали учетные данные пользователей, майнили криптовалюту и занимались кликфродом.

https://xakep.ru/2018/05/11/malicious-chrome-extensions-2/

Эксперты Check Point Research обнаружили уязвимости в предустановленной виртуальной клавиатуре флагманских смартфонов LG (LGEIME), протестировав такие устройства, как LG G4, LG G5 и LG G6.

https://xakep.ru/2018/05/11/lg-keyboard-bugs/

Для подписчиков
Мысль о том, чтобы написать свою файловую систему, кажется многим слишком амбициозной. Однако проект FUSE for macOS, развиваемый сообществом энтузиастов, решает этот вопрос буквально в пару сотен строк кода, а идущий в комплекте фреймворк не требует унылых разбирательств с API на голом C и вполне пригоден для использования в комплекте с современным и мощным Swift.

https://xakep.ru/2018/05/11/fuse-macos/

Неизвестные хакеры на несколько дней парализовали работу Bycyklen, копенгагенской системы велопроката. Удалив БД организации, взломщики вынудили сотрудников компании вручную перезагружать около 2000 электровелосипедов.

https://xakep.ru/2018/05/10/bycyklen/