тут какаято совершенно сумасшедшая история про Уганду и то, как правительство Уганды следило за оппозиционером и его смартфоном, включая перехват шифрованной переписки. (а что тут нового, скажете вы?) а суть тут такая, что органы выяснили модель смартфона, которым пользовался "угандийский навальный", и обратилась к производителю смартфона для того, чтобы помочь со слежкой за оппозиционером и получением доступа к данным на телефоне. Два сотрудника производителя смартфона использовали израильское ПО (видимо, что-то от NSO Group, которая уже неоднократно фигурировала в этом канале) для взлома и получения данных. Производитель (который отрицает свое участие в этом празднике безопасности) — Huawei. Слоган компании — Make it possible — начинает играть новыми красками.
пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1
рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/
PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV
пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1
рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/
PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV
WSJ
Huawei Technicians Helped African Governments Spy on Political Opponents
Employees embedded with cybersecurity forces in Uganda and Zambia intercepted encrypted communications and used cell data to track opponents, according to a Wall Street Journal investigation. Huawei said it “rejects completely the unfounded and inaccurate…
хаха, там с Хуавеем еще и Замбия отметилась, кстати. Замбия твитит, что все это неправда
https://twitter.com/Mwebantu/status/1162406643679813632
https://twitter.com/Mwebantu/status/1162406643679813632
Twitter
Mwebantu
Huawei spying allegation is fake news, Government says. #Zambia @Dora_Siliya
Эти новости из категории "никогда такого не было, и вот опять". 85 приложений в Google Play, притворяющихся фото-приложениями, 8 млн установок, а все для того, чтобы показывать рекламу на весь экран
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/
Trend Micro
Adware Posing as 85 Photography and Gaming Apps on Google Play Installed Over 8 Million Times
The mobile platform is ubiquitous — enabling users to make online transactions, run their everyday lives, or even use it in the workplace. It’s no surprise that fraudsters and cybercriminals would want to cash in on it. Delivering adware, for example, enables…
странная история о "недосмотре" в антивирусе Лаборатории Касперского, который присваивал пользователям уникальный UUID при проверке УРЛов в браузере на безопасность. УРЛы должны были показывать зеленый значок безопасности в браузере, но это достигалось инъекцией скрипта в загружаемые странички. Проблема была в том, что UUID был уникальным для компьютера и не менялся, что привело, по сути, к созданию механизма слежения за пользователями на разных сайтах. проблема появилась в 2015 году, и была исправлена только в 2019 году, после того, как журналисты, обнаружившие проблему, сообщили о ней разработчику.
статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html
информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286
Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.
на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.
https://alexmak.net/2019/08/08/lk-fas-apple/
статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html
информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286
Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.
на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.
https://alexmak.net/2019/08/08/lk-fas-apple/
c't Magazin
Kasper-Spy: Kaspersky Anti-Virus puts users at risk
Kaspersky promises security and data protection. However, a data leak allowed third parties to spy on users while they were surfing the web. For years.
Поскольку канал читают не только те, кому эта тема интересна, но и профессионалы «этого дела», то вам может быть полезно почитать про вакансии, доступные специалистам по информационной безопасности. Вакансии - штука полезная, поэтому публикуются бесплатно.
————РАБОТА!————
Центр информационной безопасности сбытовых предприятий ПАО «Газпром нефть» открыл новые позиции!
Если Вам знакомы такие понятия, как devsecops, hardening, docker, аудит и этичный хакинг, знаете и используете нормативные акты РФ в сфере информационной безопасности, а также лучшие практики по защите автоматизированных систем, загляните сюда:
https://spb.hh.ru/vacancy/31998607
https://spb.hh.ru/vacancy/31999154
https://spb.hh.ru/vacancy/31999400
Вопросы и резюме можно направлять на Sperantseva.ea@gazprom-neft.ru или откликами на вакансии на hh.ru .
————РАБОТА!————
Центр информационной безопасности сбытовых предприятий ПАО «Газпром нефть» открыл новые позиции!
Если Вам знакомы такие понятия, как devsecops, hardening, docker, аудит и этичный хакинг, знаете и используете нормативные акты РФ в сфере информационной безопасности, а также лучшие практики по защите автоматизированных систем, загляните сюда:
https://spb.hh.ru/vacancy/31998607
https://spb.hh.ru/vacancy/31999154
https://spb.hh.ru/vacancy/31999400
Вопросы и резюме можно направлять на Sperantseva.ea@gazprom-neft.ru или откликами на вакансии на hh.ru .
spb.hh.ru
Вакансия Главный специалист-эксперт Центра информационной безопасности [id12676] в Санкт-Петербурге, работа в компании ПАО «Газпром…
Зарплата: не указана. Санкт-Петербург. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 02.08.2019.
Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком iOS для публичной актуальной версии системы за последние несколько лет
https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years
https://github.com/pwn20wndstuff/Undecimus/releases
Это в целом достаточно серьезная лажа, так как джейлбрейк может применяться с разными целями. Кто-то может поставить себе приложение-рекордер звонков, а кто-то - вредоносное ПО-шпион. Джейлбрейки в сфере инфосека часто используются для того, чтобы получить более свободный доступ к системе и изучать её на предмет других уязвимостей. Не удивлюсь, если в ближайшие пару дней Apple срочно выкатит 12.4.1 для исправления этой лажи.
https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years
https://github.com/pwn20wndstuff/Undecimus/releases
Это в целом достаточно серьезная лажа, так как джейлбрейк может применяться с разными целями. Кто-то может поставить себе приложение-рекордер звонков, а кто-то - вредоносное ПО-шпион. Джейлбрейки в сфере инфосека часто используются для того, чтобы получить более свободный доступ к системе и изучать её на предмет других уязвимостей. Не удивлюсь, если в ближайшие пару дней Apple срочно выкатит 12.4.1 для исправления этой лажи.
Vice
Hacker Releases First Public Jailbreak for Up-to-Date iPhones in Years
Apple accidentally unpatched a vulnerability it had already fixed, making current versions of iOS vulnerable to hackers.
MoviePass, кластерфак прошлого года (модный стартап, пытавшийся очень агрессивно продвигать тему подписки для подходов в кино и неоднократно обосравшийся на этой теме), снова в новостях. В этот раз — по теме канала. Так как компания оставила открытой базу данных доменных адресов компании, среди которых обнаружилась коллекция пользовательской информации. в частности, номера дебетных карт клиентов компании (они же - карты участников программы), баланс карт, дату окончания срока действия, а также записи с персональными картами пользователей, адресами и именами. рубрика "никогда такого не было, и вот опять"
https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/
https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/
TechCrunch
MoviePass exposed thousands of unencrypted customer card numbers
Movie ticket subscription service MoviePass has exposed tens of thousands of customer card numbers and personal credit cards because a critical server was not protected with a password. Mossab Hussein, a security researcher at Dubai-based cybersecurity firm…
а эта новость пригодится юзерам техники Apple — айфонов, айпадов и Маков. Yubico наконец-то начали поставки ключа YubiKey 5Ci, который содержит в себе одновременно разъемы Lightning и USB-C, и поддерживает все платформы компании. https://www.yubico.com/product/yubikey-5ci
Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci
Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci
Yubico
USB-C & Lightning YubiKey 5Ci Security Key | Yubico
Protect yourself from account takeovers with the efficient, multi-protocol YubiKey 5Ci. Go passwordless with our USB-C and Lightning dual ended security key.
Полезная ссылка от читателя
https://www.linux.org.ru/news/security/15175589
https://www.linux.org.ru/news/security/15175589
www.linux.org.ru
out-of-tree v1.0.0 ― инструментарий для разработки и тестирования эксплоитов и модулей ядра Linux
Состоялся релиз первой (v1.0.0) версии out-of-tree ― инструментария для разработки и тестирования эксплоитов и модулей ядра Linux. out-of-tree позволяет автоматизировать некоторые рутинные действия по созданию окружений для отладки модулей ядра и экс...
Motherboard сообщает о том, что подрядчики Microsoft прослушивали не только записи Cortana, но и аудиозаписи игроков Xbox, у которой тоже есть команды голосовой активации
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana
Vice
Microsoft Contractors Listened to Xbox Owners in Their Homes
Multiple contractors working for Microsoft explain how they listened to audio captured by Xbox consoles.
тем временем Google, Mozilla и Apple решили блокировать сертификат Казахстана для перехвата трафика
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
VentureBeat
Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox
Google and Mozilla have blocked the fake root CA Qaznet Trust Network from Chrome and Firefox browsers to protect citizens of Kazakhstan.
популярный хостинг-провайдер Hostinger рассказал о неавторизованном доступе к базе данных клиентов компании (через найденный токен получили доступ в API базы). В базе данных хранились логины, имейлы, пароли в алогоритме SHA-1. Всего у компании 29 млн клиентов, злоумышленники получили доступ к данным 14 млн человек. Те клиенты, кого это затронуло, уже должны были получить имейл о сбросе пароля
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8
Hostinger Blog
Security Incident: What We Did to Improve Security of Our Infrastructure
Everything you need to know about the security incident and what was done to make Hostinger and its users more secure.
Гонконгские IT-специалисты выяснили, как узнать телефонный номер пользователя Telegram, даже если тот скрыл его от всех в настройках мессенджера. Утечка происходит через публичные чаты — члены таких групп могут распознать среди участников контакты из своей телефонной книжки.
https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/
https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/
Собственно, как я и предполагал тут (https://t.me/alexmakus/3005), Apple выкатила апдейт 12.4.1 для iPhone, где вкатила фикс того, что она откатила в 12.4 после того, как пофиксила в 12.3 (да, оно на самом деле так запутанно и есть, как звучит)
https://support.apple.com/en-us/HT210549
https://support.apple.com/en-us/HT210549
Telegram
Информация опасносте
Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком…
о профессиональной деформации. Сегодня приснилось, что кто-то взломал канал. Не мой аккаунт в ТГ, а именно канал, и начал постить сюда всякие сообщения о pwning. кошмары у каждого свои.
Пару раз я уже писал тут про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
Apple Newsroom
Improving Siri’s privacy protections
Our goal with Siri, the pioneering intelligent assistant, is to provide the best experience for our customers while vigilantly protecting their privacy.
https://security.googleblog.com/2019/08/new-research-lessons-from-password.html
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Google Online Security Blog
New Research: Lessons from Password Checkup in action
Posted by Jennifer Pullman, Kurt Thomas, and Elie Bursztein, Spam and Abuse research Back in February, we announced the Password Checkup ...
Отчёт о том, как частная компания Ring, принадлежащая Amazon, передаёт полиции напрямую записи со своих «умных» звонков с камерами. В самом сотрудничестве формально нарушения законодательства нет, но сам факт построения такой частной системы наблюдения вызывает вопросы у экспертов по обеспечению сохранности личной информации. Кроме того, есть много вопросов и к тому, как системы распознавания у Ring идентифицируют людей; неоднократно приводились примеры, как у распознавалки была склонность находить больше преступников среди чернокожих, а также идентифицировать кандидатов в преступники среди обычных людей. Неспокойно это как-то
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/