Kaz’Hack’Stan – первая практическая конференция в Центральной Азии, посвященная актуальным вопросам в сфере практической информационной безопасности.

https://xakep.ru/2018/09/12/kaz-hack-stan-2018/

Большое обновление получил недавно не только Google Chrome, но и Tor Browser, наконец-то, перешедший на кодовую базу Firefox Quantum и новый Photon UI. Кроме того, разработчики Tor Project представили и мобильную версию своего продукта: Tor Browser для Android.

https://xakep.ru/2018/09/11/tor-browser-8-and-more/

Представители Apple исключили из App Store для Mac сразу ряд приложений компании Trend Micro, включая Dr Cleaner, Dr Cleaner Pro, Dr. Antivirus и Dr Unarchiver. Проблема в том, что защитные продукты Trend Micro собирали информацию о машинах пользователей и историю браузеров, хотя в компании эти обвинения отчасти отрицают.

https://xakep.ru/2018/09/11/trend-micro-apps-spying/

Используя оборудование общей стоимостью 600 долларов, исследователи из Левенского католического университета научились взламывать брелоки от электромобилей Tesla Model S. Интересно, что атака занимает менее 2 секунд.

https://xakep.ru/2018/09/11/tesla-key-fob-hack/

Специалисты Palo Alto Networks предупредили, что новые варианты ботнетов Mirai и Gafgyt стали использовать эксплоиты для проблем в Apache Struts и SonicWall Global Management System (GMS).

https://xakep.ru/2018/09/11/new-mirai-and-gafgyt/

Для подписчиков
В этой статье мы подробно расскажем о том, что происходит с iPhone в криминалистической лаборатории. Мы выясним, насколько реально взломать защиту iOS разных версий и что для этого понадобится в разных случаях. Мы уже описывали несколько сторон этого процесса, но сегодня разберем его целиком и постараемся охватить все возможные варианты.

https://xakep.ru/2018/09/11/iphone-hack-guide/

Известный «брокер уязвимостей», компания Zerodium, обнародовала информацию о проблеме в Tor Browser прямо в своем официальном Twitter, после того как браузер обновился, и уязвимость стала менее критичной.

https://xakep.ru/2018/09/11/noscript-bug/

Специалисты IBM X-Force подсчитали, что за период с конца мая до середины июля 2018 года ботнет Necurs распространил 780 000 писем, содержащих вредоносные файлы IQY.

https://xakep.ru/2018/09/10/necurs-iqy/

С релизом Chrome 69 инженеры Google решили отказаться от отображения в адресной строке таких "ненужных" элементов URL, как WWW и поддомены. Это привело к возникновению изрядной путаницы и ряда багов.

https://xakep.ru/2018/09/10/chrome-url/

Специалисты FireEye рассказали о новом наборе эксплоитов, получившем имя Fallout. С его помощью в настоящее время распространяется шифровальщик GandCrab, загрузчики различной малвари и потенциально нежелательное ПО.

https://xakep.ru/2018/09/10/fallout/

Для подписчиков
В 1998 году люди соревновались, кто напишет самую короткую игру для DOS. Позже этот вид соревнования назвали «код-гольфингом». Я решил вернуться к такому кусочку кода (nibbles.asm) и превратить его в загрузочный образ дискеты, который бы умещался в твит, то есть в 140 символов.

https://xakep.ru/2018/09/10/snake-tweet/

Из App Store для macOS удалено приложение Adware Doctor, занимавшее первое место среди платных продуктов для безопасности. Как оказалось, решение Adware Doctor собирало конфиденциальную информацию о своих пользователях (например, историю браузеров), а затем передавало эти данные в Китай.

https://xakep.ru/2018/09/10/adware-doctor/

Компания Tesla Motors объявила, что позволит верифицированным ИБ-исследователям искать уязвимости в своих личных автомобилях без последствий. На этой неделе в правила безопасности продуктов автопроизводителя были внесены интересные изменения.

https://xakep.ru/2018/09/07/tesla-bug-bounty-2/

Министерство Юстиции США предъявило формальные обвинения гражданину Северной Кореи Пак Чин Хёку (Park Jin Hyok), сообщив, что он работает на правительство страны и ответственен за массовые атаки шифровальщика WannaCry в 2017 году, атаку на Центробанк Бангладеш в 2016 году и взлом компании Sony Pictures в 2014 году.

https://xakep.ru/2018/09/07/park-jin-hyok/

Компания Schneider Electric предупредила, что флешки, поставляющиеся вместе с продуктами Conext Combox и Conext Battery Monitor, оказались заражены вредоносным ПО еще на этапе производства.

https://xakep.ru/2018/09/07/schneider-electric-usb-malware/

Представители авиакомпании British Airways предупредили о компрометации данных пользователей своего официального сайта и мобильного приложения. Неизвестные хакеры сумели похитить личные и финансовые данные 380 000 человек.

https://xakep.ru/2018/09/07/british-airways-leak/

Для подписчиков
Когда доступ в сеть наглухо отрезан файрволом, а передать данные нужно позарез, на помощь приходит техника DNS-туннелирования. Связь будет крайне медленной, но этого хватит для проникновения в локальную сеть организации или, например, для срочного выхода в интернет по платному Wi-Fi за границей. Давай посмотрим, какие утилиты помогут тебе в этом деле и какие у каждой плюсы и минусы.

https://xakep.ru/2018/09/07/dns-tunneling/

Мы уже рассказывали о том, что недавно обнаруженную в составе Apache Struts 2 уязвимость начали использовать для атак. Но теперь исследователи сообщают, что операторы кампании CroniX не просто эксплуатируют баг, но и борются с конкурентами.

https://xakep.ru/2018/09/07/cronix/

На этой неделе разработчики Chrome представили на суд публики новую версию браузера — Chrome 69 с обновленным интерфейсом и рядом новых функций. Однако помимо этого в браузере были исправлены несколько серьезных уязвимостей, а также появился улучшенный и более безопасный менеджер паролей.

https://xakep.ru/2018/09/06/chrome-69/

Ежегодное соревнование Mobile Pwn2Own переименовали в Pwn2Own Tokyo, так как в этом году в программу состязания по взлому войдут устройства интернета вещей, а не только мобильные девайсы.

https://xakep.ru/2018/09/06/pwn2own-tokyo/