Специалисты по информационной безопасности обратили внимание, что крупный IoT-ботнет Satori начал искать устройства для майнинга криптовалюты Ethereum.

https://xakep.ru/2018/05/18/satori-search-miners/

Компания Яндекс предложила исследователям изучить сервис каршеринга Яндекс.Драйв на предмет уязвимостей. Состязание будет длиться с 16 по 27 мая, а победители, обнаружившие баги, получат денежные призы.

https://xakep.ru/2018/05/18/ya-drive-bug-bounty/

Разработчики Google сообщили, что в скором времени индикатор защищенности исчезнет из адресной строки браузера Chrome. Так как почти весь веб уже перешел на HTTPS, в нем больше не будет нужды.

https://xakep.ru/2018/05/18/chorme-not-secure-http/

Специалисты Qihoo 360 Total Security предупредили о новой вредоносной кампании по распространению майнера WinstarNssmMiner, который только за три дня наблюдений заразил порядка 500 000 машин.

https://xakep.ru/2018/05/18/winstarnssmminer/

Для подписчиков
Крошечные жучки с SIM-картой внутри, способные передавать голос и отслеживать местоположение, можно встроить в любую электронику, в том числе — в обычный провод. В образовательных целях мы распотрошим такое устройство, изучим его прошивку, найдем скрытые команды и обнаружим, как он молча шлет данные на китайский сервис. Который еще и оказался уязвимым! Но обо всем по порядку.

https://xakep.ru/2018/05/18/usb-snitch-s8-data-line-locator/

Не успели разработчики Signal исправить одну уязвимость в десктопной версии своего мессенджера, как исследователи обнаружили еще один похожий баг, допускающий внедрение кода в приложение.

https://xakep.ru/2018/05/17/one-more-signal-bug/

Специалисты Pangu Lab, известной своими джейлбрейками для iOS, обнаружили уязвимость, которая, по их мнению, представляет угрозу для 10% всех iOS-приложений, а также опасна для Android.

https://xakep.ru/2018/05/17/zipperdown/

Восьмой международный форум по практической безопасности Positive Hack Days подошел к концу. Более 5200 участников на площадке в Москве наблюдали за перехватом радиоэфира сотового оператора, взломом банкомата, накруткой умного электросчетчика (одному из участников было 12 лет!) и десятками других активностей. Настоящая драма разыгралась в финале противостояния атакующих и защитников города.

https://xakep.ru/2018/05/17/phdays-8-day2/

Разработчики Cisco обнародовали 16 бюллетеней безопасности, и три уязвимости получили статус критических, набрав 10 из 10 возможных баллов по шкале CVSSv3. Среди этих проблем – бэкдор в составе Cisco Digital Network Architecture (DNA) Center.

https://xakep.ru/2018/05/17/dna-center-backdoor/

Сербская полиция сообщила, что совместно с ФБР осуществила арест подозреваемого, который, вероятно, является членом нашумевшей хакерской группы The Dark Overlord (TDO).

https://xakep.ru/2018/05/17/tdo-arrest/

Разработчики Google обновили браузер Chrome, отменяющий нововведение, представленное в составе апрельского релиза Chrome 66. Дело в том, что автоматическое отключение автовоспроизведения звука мешало корректной работе множества онлайновых игр

https://xakep.ru/2018/05/17/chrome-autoplay/

Для подписчиков
Какой же пентест без социальной инженерии, верно? Социотехническое тестирование в наше время стало совершенно обычным делом, и мне не раз приходилось заниматься им в рамках работ по анализу защищенности. Я расскажу тебе о техниках, которые идут в ход, и о разнообразных тонкостях, которых в нашем деле — великое множество.

https://xakep.ru/2018/05/17/social-engineering/

Специалист японской компании Ierae Security Руслан Сайфиев обнаружил уязвимости в ПО электросчетчика российского производства в ходе конкурса MeterH3cker по взлому умной электросети. Участник форума PHDays 8 сумел изменить значение израсходованной энергии на отрицательную величину. В результате виртуальная энергосбытовая компания оказалась должна исследователю 12 910 условных конкурсных рублей.

https://xakep.ru/2018/05/16/phdays8-meterh3cker/

Компания Facebook сообщила, что продолжает борьбу со злоупотреблением пользовательскими данными и, в рамках ведущегося расследования, уже около 200 приложений лишились доступа к социальной сети.

https://xakep.ru/2018/05/16/200-apps-suspended/

Специалисты MalwareHunterTeam и Bleeping Computer предупредили о появлении нового локера и вайпера, который получил название StalinLocker, так как демонстрирует пользователю портрет Сталина и проигрывает гимн СССР.

https://xakep.ru/2018/05/16/stalinlocker/

Специалист Google обнаружил критическую уязвимость в DHCP-клиенте, который используется в Red Hat Linux и его производных, к примеру, Fedora.

https://xakep.ru/2018/05/16/red-hat-dhcp-client-flaw/

Неизвестные хакеры случайно оповестили специалистов о существовании двух уязвимостей нулевого дня, загрузив вредоносный файл PDF в публичный сканер малвари.

https://xakep.ru/2018/05/16/accidentally-0days/

Вчера завершился первый день Positive Hack Days. Форум посетили более 4100 человек. Со сцены прозвучало более 50 докладов, прошли мастер-классы и круглые столы, а также стартовали десятки хакерских конкурсов.

https://xakep.ru/2018/05/16/phdays-8-day-1/

После обнаружения в Ubuntu Snap Store скрытого майнера, представители Canonical прокомментировали ситуацию и пообещали представить программу верифицированных разработчиков.

https://xakep.ru/2018/05/16/snap-store-trust-and-security/

Для подписчиков
Total Commander (ранее Windows Commander) — популярный файловый менеджер с графическим интерфейсом для Windows. В интернете на варезных сайтах можно найти множество решений для взлома Total’а. Их неизменный недостаток — костыльность: с выходом новой версии надо проделывать ту же процедуру «лечения» программы вновь и вновь. Но можно и по-другому. Хочешь узнать как и заодно прокачать скиллы в реверсе? Читай эту статью!

https://xakep.ru/2018/05/16/total-commander-hack/