Если заголовок вызывает у кого-то легкое ощущение дежавю, совсем неудивительно. В марте 2016 года израильская компания StartCom, которой принадлежит сервис StartSSL и проект по выдаче бесплатных SSL-сертификатов всем желающим StartEncrypt, уже страдала от аналогичной проблемы. Теперь ситуация повторяется: эксперты датской фирмы CompuTest сообщили, что StartEncrypt содержит ряд уязвимостей, эксплуатируя которые, злоумышленники могут получить сертификат для любого домена, который им не принадлежит.

Специалист по информационной безопасности Майкл Гиллеспи выпустил несколько бесплатных утилит, вскрывающих шифрование троянов-вымогателей. Его новая разработка решает другую проблему, с которой сталкиваются жертвы вредоносных программ такого рода.

29 июля 2016 года истекает срок щедрого предложения компании Microsoft, которое позволяет практически любому пользователю бесплатно обновить свою операционную систему до Windows 10. Microsoft в очередной и, видимо, последний раз решила побудить пользователей к действию, хотя агрессивное навязывание обновления уже и так практически стало мемом. На этот раз пользователей «порадовали» полноэкранным баннером.

Депутат Госдумы РФ Ирина Яровая дала интервью телеканалу «Россия 24», в ходе которого прояснила некоторые вопросы, относительно «антитеррористического пакета» законопроектов, который активно обсуждает как индустрия, так и простые пользователи. Яровая заявила, что услуги операторов сотовой связи и интернет-провайдеров после принятия «пакета» не подорожают, так как для этого нет оснований.

Группа исследователей из Сингапура предложила новый метод выявления вредоносных программ для Android. Он основан на непрерывном машинном обучении и способен на ходу приспосабливаться к новым угрозам. При тестировании метод показал более высокую точность, чем существующие аналоги.

Android поддерживает полное шифрование диска (Full Disc Encryption, FDE), начиная с версии Lollipop (5.0), вышедшей летом 2014 года. Независимый исследователь Гэл Беньямини (Gal Beniamini) утверждает, что на устройствах, работающих на базе процессоров Qualcomm Snapdragon, это шифрование можно взломать, используя брутфорс и терпение.

Сайт My Online Security сообщил об изобретательной фишинговой кампании против пользователей браузера Chrome. Она комбинировала укорачиватель ссылок goo.gl и скрытый в URL скрипт, чтобы получить поддельную страницу входа в учётную запись Google. Результат получался почти неотличимым от оригинала.

Инструментарий для проведения DDoS-атак, LizardStresser, был создан хакерами из небезызвестной группы Lizard Squad более года тому назад. И хотя оригинальные члены команды сейчас либо находятся за решеткой, либо скрываются от властей и стараются вести себя тихо, дело их живет. Исходные коды LizardStresser попали в открытый доступ еще в конце 2015 года, и теперь исследователи компании Arbor Networks сообщают, что тулкит взяли на вооружение другие группы, а на его базе теперь работает добрая сотня ботнетов.

Специалисты по кибербезопасности из компании Imperva рассказали, что в середине июня 2016 года им довелось наблюдать весьма необычную DDoS-атаку, ставшую самой мощной из всех атак, с которыми им приходилось иметь дело. Жертвой неизвестных хакеров стала китайская компания, занимающаяся азартными играми. Злоумышленники направили на серверы компании поток трафика, мощностью до 470 Гбит/с и использовали для реализации атаки девять различных векторов.

Интересный случай перехвата контроля над аккаунтом попал в поле зрения издания Vice Motherboard. Этот инцидент яркий пример того, для чего нужна двухфакторная аутентификация. Также случившееся наглядно показывает, что сколь бы ни были хороши механизмы безопасности, списывать со счетов банальный человеческий фактор не стоит.

Тевис Орманди, исследователь Google Project Zero, сообщает, что в 25 продуктах компании Symantec обнаружен ряд уязвимостей, не все из которых можно исправить при помощи автоматических патчей.

На прошлой неделе, 24 июня 2016 года, Госдума РФ приняла сразу во втором и третьем чтениях так называемый «антитеррористический пакет» законопроектов, разработанный депутатом Ириной Яровой и сенатором Виктором Озеровым. СМИ уже назвали законопроект «самыми жесткими за много лет», и представители индустрии в целом согласны с мнением журналистов.

На все ноутбуки и настольные ПК, которые выпускает корпорация Lenovo, установлено приложение, содержащее две опасные уязвимости. Одна из них даёт злоумышленникам полный контроль над компьютером жертвы, а другоя позволяет им выключать антивирусы

Хакерская группа OurMine из Саудовской Аравии уже попадала в заголовки новостей в начале июня 2016 года. Тогда хакеры дефейснули аккаунты Марка Цукерберга в Twitter и Pinterest. Чуть позже группа проделала тот же трюк с бывшим руководителем Twitter Диком Костоло. Теперь группировка добралась до главы еще одной крупной IT-компании: руководителя Google Сундара Пичаи.

Специалист по безопасности Пранав Хиварекар (Pranav Hivarekar) рассказал в своем блоге, что в начале июня 2016 года он обнаружил критическую уязвимость в Facebook. Баг позволял удалить из социальной сети любое видео, невзирая на то, кому оно принадлежит.

С тех пор как в 2015 году ФБР использовало неизвестный эксплоит для деанонимизации педофилов с расположенного в даркнете сайта Playpen, все пытаются узнать, какую именно уязвимость эксплуатируют правоохранители. За разъяснениями к ФБР уже обращались адвокаты обвиняемых по делу Playpen и юристы организации Mozilla, однако это не помогло. Теперь, в ответ на очередное прошение юристов, ФБР и вовсе заявило, что данные об экплоите, это секретная информация и вопрос национальной безопасности.

Исследователи из израильского университета Бен-Гуриона разработали уже не один и не два экзотических способа похищения данных с компьютеров, которые физически изолированы от любых сетей. На этот раз специалисты предложили похищать информацию с таких устройств без какого-либо специального оборудования и при помощи обычного кулера, который найдется в любом компьютере.

Исследователь Крис Викери (Chris Vickery), известен тем, что на досуге находит в сети оставленные без присмотра базы данных. Ранее эксперту уже удалось обнаружить уязвимости в системах компаний Microsoft, MacKeeper, Hello Kitty, OkHello, Slingo, iFit, Vixlet и Hzone. На этот раз Викери нашел незащищенную базу CouchDB с данными 154 миллионов избирателей. Однако, как оказалось, проблема заключалась не в неверной конфигурации БД, а в хакерской атаке, в результате которой личные данные миллионов американцев оказались раскрыты.

Специалисты компании GeoEdge представили исследование, которое доказывает, что Flash ошибочно называют корнем всех бед и основной проблемой, приводящей к распространению вредоносной рекламы. Исследователи утверждают, что переход на HTML5 ничего не изменит, так как уязвимы сами рекламные платформы и стандарты.

Выход превью iOS 10 изрядно удивил разработчиков и специалистов по безопасности, так как оказалось, что ядро операционной системы незашифровано. Пока в сети разгоралась полемика, компания Apple подтвердила, что никакой ошибки здесь нет, и ядро намерено оставлено в открытом виде.