Сервис SpamCannibal, раньше составлявший списки спамерских адресов, и неактивный с середины прошлого года, захватили неизвестные сквоттеры. Бывший SpamCannibal начал распространять спам и малварь.

https://xakep.ru/2018/06/01/spamcannibal/

ИБ-специалист обнаружил опасный баг во всех версиях клиента Steam, позволявший перехватить контроль над компьютером пользователя. Как оказалось, проблема существовала в Steam порядка 10 лет.

https://xakep.ru/2018/06/01/steam-rce/

Для подписчиков
Если уязвимости в веб-приложениях тебя утомили, то взлом железа (точнее, прошивок) будет глотком свежего воздуха. В этой статье мы собрали доклады, авторам которых удалось обойти защиту разных устройств - от аппаратных кошельков для криптовалют до электронных дверных замков.

https://xakep.ru/2018/06/01/top10-conf-may/

Специалисты Google исправили уязвимость в reCAPTCHA, которая позволяла обойти защитный механизм.

https://xakep.ru/2018/05/31/recaptcha-bypass-2/

На Positive Hack Days 8 в очередной раз прошел старый добрый конкурс по взлому банкоматов Leave ATM Alone. В распоряжении участников были два банкомата, специально настроенных для соревнования, с заложенными в них уязвимостями. За 15 минут участники должны были обойти средства защиты и извлечь деньги из устройств.

https://xakep.ru/2018/05/31/leave-atm-alone/

Специалисты «Доктор Веб» рассказали о вирусописателе, скрывающемся под псевдонимом Faker. Он распространяет «по подписке» различную малварь для атак на пользователей платформы Steam.

https://xakep.ru/2018/05/31/faker/

Разработчики Git и различные компании, предоставляющие хостинг для Git-репозиториев, выпустили обновления, исправляющие две опасные проблемы.

https://xakep.ru/2018/05/31/git-bugs/

Специалист компании NewSky Security и известный эксперт в области IoT-безопасности Анкит Анубхав (Ankit Anubhav) обнаружил, что некоторые провайдеры ставят безопасность своих пользователей под удар, предоставляя им плохо сконфигурированное оборудование.

https://xakep.ru/2018/05/31/open-routers-for-anyone/

Для подписчиков
В предыдущих статьях мы подробно разобрали, как работают два отечественных криптоалгоритма. Однако с помощью них получится зашифровать весьма скудный кусочек информации — 8 или 16 байт. Понятно, что нынче в такие объемы ничего втиснуть не получится и нужно что-то с этим делать. А что с этим делать, подробно изложено в очередном российском стандарте!

https://xakep.ru/2018/05/31/crypto-ecb/

Только недавно специалисты Qihoo 360 рассказали сразу о нескольких проблемах, обнаруженных в коде блокчейн-платформы EOS. Теперь неправильно сконфигурированные ноды атакуют неизвестные хакеры. Как ни странно, с обнаружением багов это не связано.

https://xakep.ru/2018/05/30/eos-scans/

На официальном сайте Telegram обновился раздел FAQ. Согласно обновленной информации, компания Apple не позволяет iOS-версии мессенджера обновляться с середины апреля 2018 года. 

https://xakep.ru/2018/05/30/telegram-ios/

Эксперты ESET обнаружили новые инструменты в арсенале кибершпионской группы Turla. Теперь хакеры используют для заражения целевых устройств Metasploit – легитимную платформу для тестирования на проникновение.

https://xakep.ru/2018/05/30/turla-metasploit/

Для подписчиков
В этом месяце: множественные атаки ботнетов на роутеры, новые варианты уязвимостей Meltdown и Spectre, правительственная малварь VPNFilter, предустановленная малварь и баги в сотнях моделей смартфонов, куча багов в BMW, атаки на криптовалюты Verge и Bitcoin Gold, обязательные обновления для Android и многое другое.

https://xakep.ru/2018/05/30/meganews-230/

Разработчики Oracle намерены отказаться от поддержки функциональности сериализации и десериализации данных в языке Java. Об этом рассказал главный архитектор платформы Java Марк Рейнхолд (Mark Reinhold), назвав добавление поддержки сериализации в Java «ужасной ошибкой».

https://xakep.ru/2018/05/29/java-serialization/

Специалисты китайской ИБ-компании Qihoo 360 сообщили об обнаружении «серии эпических уязвимостей» в блокчен-платформе EOS. Одна из проблем была признана критической, так как позволяла атакующему перехватить контроль над сетевыми нодами EOS.  

https://xakep.ru/2018/05/29/eos-bugs/

На конференции Yet another Conference компания Яндекс продемонстрировала первое устройство собственной разработки — Яндекс.Станцию. Станция — это мультимедиа-платформа с голосовым помощником Алисой, которая понимает по-русски и поможет пользователям в повседневных делах.

https://xakep.ru/2018/05/29/ya-station/

Сразу два крупнейших канадских банка, Simplii Financial (дочерняя компания Canadian Imperial Bank of Commerce) и Bank of Montreal, сообщили о несвязанных друг с другом инцидентах, произошедших в минувшие выходные. Пострадали не менее 40 000 пользователей.

https://xakep.ru/2018/05/29/canadian-banks-hack/

Специалисты Group-IB подготовили новый отчет о деятельности хакерской группы Cobalt и сообщили, что последние целевые атаки группы были проведены 23 и 28 мая 2018 года. Целями хакеров стали банки в России, странах СНГ и предположительно зарубежные финансовые организации.

https://xakep.ru/2018/05/29/new-cobalt-attacks/

Для подписчиков
Недавно мир узнал о серьезной уязвимости в системе управления контентом Drupal. Однако, разобрав проблему в ветке 8.x, мы оставили за кадром аналогичную брешь в Drupal 7. А ведь на этой версии сейчас работает куда больше сайтов! Эксплуатировать уязвимость в ней сложнее, но не намного. Сейчас я покажу, как это делается.

https://xakep.ru/2018/05/29/drupal7-drupalgeddon2/

Представители ФБР, а также производители уязвимых перед VPNFilter устройств подробно объяснили пользователям, как обезопасить себя от новой IoT-угрозы.

https://xakep.ru/2018/05/28/vpnfilter-how-to/