А NSA по-прежнему увиливает от ответов на вопросы о размещении бэкдоров в коммерческих продуктах.
Например, продукты Juniper Networks с таким бэкдором были взломаны представителями неназванной страны. весело там у них

https://www.reuters.com/article/us-usa-security-congress-insight/spy-agency-ducks-questions-about-back-doors-in-tech-products-idUSKBN27D1CS

Google тут собралась включить VPN в свой подписочный план Google One. По этому поводу у меня есть две мысли:
1. Рынок всяких левых VPN это должно хорошо встряхнуть
2. Нужно будет очень внимательно читать политику Google о логах, хранении и анализе использования VPN

https://blog.google/products/google-one/new-vpn-by-google-one

Интересненько. Xprotect — это встроенный «антивирус» в macOS, и тут Apple внезапно протолкнула апдейт с описаниями к нему. Но непонятно, что именно, потому что все обфусцировано. Видимо, они знают что-то, что пока неизвестно — например, есть какойто вирус, который уже применяется.
https://eclecticlight.co/2020/10/29/apple-has-pushed-an-update-to-xprotect-10/

Из рубрики «преступление и наказание», но скорее для иллюстрации, что иногда наказание ничего не значит. Столько разговоров было про GDPR как закон на страже пользовательских данных. А в итоге Marriott, сеть отелей, которая допустила утечку сотен миллионов пользовательских данных, включая в некоторых случаях данные банковских карт и паспортов, заплатит 18 млн фунтов стерлинга за эту утечку. Примерно по 5 центов за пользователя.

https://www.theregister.com/2020/10/30/marriott_starwood_hack_fine_just_18_4bn/

Взлом корпоративных сетей через уязвимость в операционной системе Solaris. Уязвимость купили на черном рынке за 3 тыс долларов. Эти и другие веселые новости в отчете компании FireEye

https://www.fireeye.com/blog/threat-research/2020/11/live-off-the-land-an-overview-of-unc1945.html

кажется, благодаря хакерам утек исходный код игрушки Watch Dogs: Legion. Что несколько иронично, учитывая, что игра про хакеров.

https://www.rockpapershotgun.com/2020/11/04/watch-dogs-legion-source-code-leaked-by-hackers-reports-claim/

Ох

сайт для «проверки хакерского IQ», который запустила консалтинговая компания Deloitte, оказался с файлом, в котором открытым текстом лежал логин и пароль к базе данных с пользовательской информацией

https://twitter.com/antiproprietary/status/1324006900401426434?s=21

к тому же сайт без https, и со старым Ubuntu, который уже не поддерживается. это просто прекрасно, прекрасно

сегодня вышли апдейты iOS 14.2 для iPhone и iPad. так вот, там есть исправленные уязвимости, о которых известно их реальное применение. Так что апдейт-апдейт!

Дополнение: Также с исправлениями по безопасности вышли апдейты iOS 12.4.9 и macOS 10.15.7

https://support.apple.com/en-us/HT211929
https://twitter.com/benhawkes/status/1324422885830610944

РАБОТУ  ПО ТЕМАТИКЕ КАНАЛА КОМУ?
===========

Всем привет! 🙂

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

🎓 Мы ищем лектора, который знает следующие темы:

⚙️ Современная разработка ПО:
🔹 Популярные языки, системы сборки, управления зависимостями;
🔹 Системы хранения данных;
🔹 Развёртывание приложений;
🔹 DevSecOps и AppSec

⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение

Какие есть возможности:

📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;

💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

💎 Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @rsklyarov или на почту r.sklyarov@netology.ru!

«База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома»

Так просто попытка или таки успешная попытка?

https://habr.com/ru/news/t/526852/

Я, конечно, многое понимаю и всякое бываете но они же потом этими же руками рассказывают, как все производители ПО и оборудования должны для ФБР и Ко делать бэкдоры, и это будет безопасно и хорошо

https://www.zdnet.com/article/fbi-hackers-stole-source-code-from-us-government-agencies-and-private-companies/

А в Австрии после теракта решили, что если запретить сквозное шифрование в мессенджерах, то сразу не станет терактов. И собираются это сделать прям вот-вот. Очень интересно будет на это все посмотреть

https://fm4.orf.at/stories/3008930/

Дополнение: возможно, что все же прямо о запрете речь не идёт, но детали пока что не до конца понятны

неплохо, утечка пользовательских данных у Mashable
https://portswigger.net/daily-swig/data-breach-at-mashable-leaks-users-nbsp-personal-information-online

Очень, очень странная история про zero day баги в iOS и Android, которые обнаружила Google, но после этого наступила подозрительная тишина. Апдейты вышли даже для старых версий iOS, что означает, что все плохо было, но дополнительной информации все равно нет

https://www.vice.com/en/article/xgzxmk/google-project-zero-bugs-used-to-hack-iphones-and-android-phones

Ну и раз уж идёт речь о системных апдейтах, у Microsoft и Adobe там тоже вышли важные патчи для их продуктов, и при этом информация о некоторых уязвимостях не раскрывается. Что-то странное происходит

https://krebsonsecurity.com/2020/11/patch-tuesday-november-2020-edition/

Кто главный рассадник вредоносного ПО на Android? Google Play Store!

https://arxiv.org/pdf/2010.10088.pdf

какойто ужас про систему распознавания лиц в Москве и доступ к ней за всего 16 тысяч рублей. Неужели нельзя больше денег брать за это?

https://news.trust.org/item/20201109090922-3k4a5/

А помните вот эту прекрасную историю? У Washington Post продолжение, потому что они добыли отчёт о расследовании этого скандала в парламенте Швейцарии. Там и про то, что швейцарская разведка знала об этом, и какой это ущерб нанесло репутации страны. Как будто шпионский роман читаешь

https://www.washingtonpost.com/national-security/swiss-report-reveals-new-details-on-cia-spying-operation/2020/11/10/c93ca7fc-2386-11eb-8672-c281c7a2c96e_story.html

А вот ещё ссылка от читателя про различные ужасы в телевизорах и других устройствах бренда TLC, одного из крупнейших производителей подобного рода техники. Вход на устройства с root:root, масса открытых портов, доступ к файловой системе, апдейты, которые делают хуже, и всякое разное

https://sick.codes/extraordinary-vulnerabilities-discovered-in-tcl-android-tvs-now-worlds-3rd-largest-tv-manufacturer/