Привет. Будем потихоньку выходить из праздничной комы, тем более, что в мире инфосека жизнь не останавливась, а даже сильно бурлит. геополитика, к сожалению, стала неотделима от инфосека, и, в частности, в ближайшее время мы увидим много инфосек новостей, где будут фигурировать США и Иран. за последние пару дней уже появилось много апдейтов с дефейсами сайтов, но стоит ожидать и более серьезных экшенов.
но пока что попроще новости — приложения в Google Play (Camero, FileCrypt и callCam) используют известные уязвимости, которые применяет в своей деятельности NSO Group. Приложения втихаря рутят устройства, и потом выгребают всю пользовательскую информацию с телефонов
https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/
но пока что попроще новости — приложения в Google Play (Camero, FileCrypt и callCam) используют известные уязвимости, которые применяет в своей деятельности NSO Group. Приложения втихаря рутят устройства, и потом выгребают всю пользовательскую информацию с телефонов
https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/
Trend Micro
First Binder Exploit Linked to SideWinder APT Group
We found malicious apps that work together to compromise devices and collect user data. One of the apps, called Camero, exploits CVE-2019-2215, a flaw that exists in Binder. This is the first instance in the wild that exploits said UAF vulnerability.
все ходит по кругу. 4 года назад Apple и ФБР бодались за разблокировку айфона террориста, расстрелявшего людей в Калифорнии. (благодаря той истории, наверно, и начался этот канал). Теперь, кажется, у нас есть повтор, только террорист в этот раз из Флориды. ФБР пытается вскрыть айфоны Мухамеда Саид Алшамрани, который убил трех человек на военно-морской базе в Пенсаколе, Флорида. Apple утверждает, что все, что у компании было, она уже передала в ФБР (видимо, речь идет о бекапах в iCloud, которые компания может расшифровывать, хотя и не полностью). Пишут, что террорист перед смертью выстрелил в один из айфонов, что еще больше усложняет процесс добывания данных с него. Вряд ли в этот раз дойдет до угроз посадить Тима Кука в тюрьму. Но вообще в Конгрессе США все чаще раздаются призывы "обуздать технологические компании" и требования обеспечить бэкдоры для доступа к устройствам и коммуникационным системам. посмотрим, что будет
https://www.nbcnews.com/news/us-news/fbi-seeks-apple-s-help-unlocking-phones-suspected-pensacola-naval-n1111636
https://www.nbcnews.com/news/us-news/fbi-seeks-apple-s-help-unlocking-phones-suspected-pensacola-naval-n1111636
NBC News
FBI seeks Apple's help unlocking phones of suspected Pensacola gunman
Phones thought to belong to the Saudi air force member accused in the deadly attack are password-protected.
кстати, про Apple и данные в облаках еще вот. на CES, проходящей в Лас Вегасе в эти дни, директор Apple по конфиденциальности, рассказала о том, что компания сканирует фотографии, которые пользователи хранят в iCloud Photo Library, на предмет наличия фотографий, содержащих сцены насилия над детьми.
Скорей всего, Apple использует PhotoDNA — систему сверки хешей с базой данных, где уже содержится информация о известных фотографиях с таким контентом. У Apple есть специальная страничка, на которой они предупреждают о таком сканировании, и там же говорится, что при обнаружении таких фотографий аккаунты пользователей будут блокироваться.
https://www.apple.com/legal/child-safety/en-ww/index.html
https://www.telegraph.co.uk/technology/2020/01/08/apple-scans-icloud-photos-check-child-abuse/
PS другое дело, что спорный момент, что Apple берет на себя роль цензора в этом случае. типа логика "раз ты злодей и нарушаешь закон, то хрен тебе, а не возможность использовать наш сервис", но так можно и до абсурда довести.
Скорей всего, Apple использует PhotoDNA — систему сверки хешей с базой данных, где уже содержится информация о известных фотографиях с таким контентом. У Apple есть специальная страничка, на которой они предупреждают о таком сканировании, и там же говорится, что при обнаружении таких фотографий аккаунты пользователей будут блокироваться.
https://www.apple.com/legal/child-safety/en-ww/index.html
https://www.telegraph.co.uk/technology/2020/01/08/apple-scans-icloud-photos-check-child-abuse/
PS другое дело, что спорный момент, что Apple берет на себя роль цензора в этом случае. типа логика "раз ты злодей и нарушаешь закон, то хрен тебе, а не возможность использовать наш сервис", но так можно и до абсурда довести.
The Telegraph
Apple scans photos to check for child abuse
Apple scans photos to check for child sexual abuse images, an executive has said, as tech companies come under pressure to do more to tackle the crime.
The Guardian пишет, что аудиообращения к голосовому помощнику Cortana, а также некоторые аудио и видео звонки из приложения Skype были доступны китайским сотрудникам и подрядчикам компании без каких-либо ограничений по безопасности. Задача сотрудников была в том, чтобы оценивать качество голосовых распознаваний и звонков, и занимались они этим с личных устройств, ходя одним аккаунтом.
PS а помните, Microsoft показывала функцию перевода голосов в скайп? кажется, я понимаю теперь, как она на самом деле работает.
https://www.theguardian.com/technology/2020/jan/10/skype-audio-graded-by-workers-in-china-with-no-security-measures
PS а помните, Microsoft показывала функцию перевода голосов в скайп? кажется, я понимаю теперь, как она на самом деле работает.
https://www.theguardian.com/technology/2020/jan/10/skype-audio-graded-by-workers-in-china-with-no-security-measures
the Guardian
Skype audio graded by workers in China with 'no security measures'
Exclusive: former Microsoft contractor says he was emailed login after minimal vetting
Software Reporter Tool - утилита, которая поставляется в комплекте с Chrome. Служит для обнаружения приложений, которые могут вызывать проблемы в работе Chrome. Утилита сканирует ваш диск и отправляет результаты сканирований, включая список установленных у вас приложений. Если вам это не нравится, вот как его заблокировать
https://www.ghacks.net/2018/01/20/how-to-block-the-chrome-software-reporter-tool-software_reporter_tool-exe/
https://www.ghacks.net/2018/01/20/how-to-block-the-chrome-software-reporter-tool-software_reporter_tool-exe/
В Штатах есть программа, в рамках которой правительство спонсирует распространение среди бедного населения бесплатных смартфонов с набором минут для разговоров и данными для интернета. (Интерес оператора, который это делает — в том, что впоследствии получатели таких телефонов будут пополнять счета для дальнейшего использования. спойлер — они это делают очень редко, чаще выбрасывая телефоны. там еще забавная цепочка названий: работает это все в сети оператора Sprint, через MVNO Virgin Mobile, у которого есть специальный бренд Assurance Wireless). Рапространяют там андроидный смартфон UMX U686CL, произведенный в Китае. Наверно, не будет особо удивительно узнать, что на телефоне обнаружилось предустановленное вредоносное ПО, которое может дополнительно закачивать и устанавливать приложения и собирать данные с телефона. Я уже видел заголовки из серии "телефон от правительства США поставляется с ПО для слежки", но, думаю, в этом случае ситуация чуть более банальная.
https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
Malwarebytes
United States government-funded phones come pre-installed with unremovable malware | Malwarebytes Labs
A US-funded government assistance program is selling budget-friendly mobile phones that come pre-installed with unremovable malicious apps.
Компания Ring со своими "умными" камерами фигурирует гораздо чаще, чем мне бы хотелось уделять внимание этой компании, но тем не менее.
В письме в Конгресс США компания Ring раскрыла, что у сотрудников компании в Украине действительно есть доступ к видео, снимаемым звонками (утверждается, что речь идет о публично доступных видео с камер сотрудников, подрядчиков и друзей и членов семей сотрудников и подрядчиков, которые дали на это согласие), и что некоторые сотрудники пытались получить доступ за пределами этих ограничений. За это 4 сотрудника были уволены. На фоне всех предыдущих инцидентов с продуктами компании (отсутствие 2ФА при регистрации, взломы аккаунтов путем подбора комбинаций логинов и паролей, возможность логинов с неизвестных IP-адресов, и проч) эта история про доступ к видео сотрудниками компании репутацию Ring не улучшает.
https://www.documentcloud.org/documents/6603161-Ring-Response-Letter.html
В письме в Конгресс США компания Ring раскрыла, что у сотрудников компании в Украине действительно есть доступ к видео, снимаемым звонками (утверждается, что речь идет о публично доступных видео с камер сотрудников, подрядчиков и друзей и членов семей сотрудников и подрядчиков, которые дали на это согласие), и что некоторые сотрудники пытались получить доступ за пределами этих ограничений. За это 4 сотрудника были уволены. На фоне всех предыдущих инцидентов с продуктами компании (отсутствие 2ФА при регистрации, взломы аккаунтов путем подбора комбинаций логинов и паролей, возможность логинов с неизвестных IP-адресов, и проч) эта история про доступ к видео сотрудниками компании репутацию Ring не улучшает.
https://www.documentcloud.org/documents/6603161-Ring-Response-Letter.html
www.documentcloud.org
Ring Response Letter
По наводке читателя настойчивая рекомендация обновить Firefox как можно быстрее: в браузере обнаружена критическая уязвимость, которая может приводить к получению контроля над компьютером злоумышленниками. Затрагивает как пользователей на Windows, так и на macOS, и, по словам представителей Mozilla, уязвимость уже эксплуатируется
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability
Mozilla
Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1
немножко прохлопал shitstorm с Citrix в конце прошлой недели. CVE-2019-19781 - RCE эксплойт для устройств Citrix, уже с кодом на Гитхабе. Забавный факт, что уязвимость называют Shitrix, она затрагивает Citrix Application Delivery Controller (ADC) и Citrix Gateway
https://github.com/projectzeroindia/CVE-2019-19781
Дополнение: альтернативный proof of concept
https://github.com/trustedsec/cve-2019-19781
Citrix выпустила документ с рекомендациями, но патча пока нет, несмотря на то, что баг серьезный и устройств, которые ему подвержены, достаточно много.
https://support.citrix.com/article/CTX267027
Shodan уже добавил поддежржу для обнаружения устройств
https://twitter.com/shodanhq/status/1216053953366056960
https://github.com/projectzeroindia/CVE-2019-19781
Дополнение: альтернативный proof of concept
https://github.com/trustedsec/cve-2019-19781
Citrix выпустила документ с рекомендациями, но патча пока нет, несмотря на то, что баг серьезный и устройств, которые ему подвержены, достаточно много.
https://support.citrix.com/article/CTX267027
Shodan уже добавил поддежржу для обнаружения устройств
https://twitter.com/shodanhq/status/1216053953366056960
GitHub
GitHub - projectzeroindia/CVE-2019-19781: Remote Code Execution Exploit for Citrix Application Delivery Controller and Citrix Gateway…
Remote Code Execution Exploit for Citrix Application Delivery Controller and Citrix Gateway [ CVE-2019-19781 ] - projectzeroindia/CVE-2019-19781
В декабре я публиковал ссылку на сайт с информацией об удалении аккаунтов на массе различных сервисов
https://t.me/alexmakus/3183
примерно в этом же ключе еще один сайт, с коллекцией ссылок на различные сайты, куда можно пойти и запретить делиться информацией о себе (если у сайта такая информация есть). Например, банк, который делится данными по транзакциям, или сеть отелей — о ваших отпусках. В общем, меньше они знают — крепче вы спите.
https://simpleoptout.com/
https://t.me/alexmakus/3183
примерно в этом же ключе еще один сайт, с коллекцией ссылок на различные сайты, куда можно пойти и запретить делиться информацией о себе (если у сайта такая информация есть). Например, банк, который делится данными по транзакциям, или сеть отелей — о ваших отпусках. В общем, меньше они знают — крепче вы спите.
https://simpleoptout.com/
Telegram
Информация опасносте
Ладно, кроме того, чтобы пугать вас всевозможными и постоянными утечками, хочу поделиться очень полезной ссылкой. Все мы регистрируем массу аккаунтов то там, то сям. Этот хвост аккаунтов тянется за нами очень долго, и часто особо даже руки не доходят до того…
к срочному и суперкритичному апдейту Windows приготовиться! Говорят, сегодня, в первый патч-вторник 2020 года, выйдет апдейт для всех версий Windows, исправляющий критическую уязвимость в crypt32.dll. Ждем
пока ждем релиза patch tuesday Microsoft (да, ходят слухи, что апдейты будут вплоть до Win XP), послушаем историю, почему важно вовремя ставить апдейты. Например, компания Travelex, которую вы знаете по обменникам валюты в аэропортах мира, уже две недели сидит с зашифрованными компьютерами, отказываясь платить выкуп вымогателям. А все потому, что компания не обновила вовремя сервера VPN Pulse Secure, что позволило злоумышленникам получить доступ к сети компании, закачать гигабайты данных о деятельности и клиентах компании, а также зашифровать компьютеры.
https://www.computerweekly.com/news/252476283/Cyber-gangsters-demand-payment-from-Travelex-after-Sodinokibi-attack
https://www.computerweekly.com/news/252476283/Cyber-gangsters-demand-payment-from-Travelex-after-Sodinokibi-attack
ComputerWeekly.com
Cyber gangsters demand payment from Travelex after ‘Sodinokibi’ att...
The foreign exchange company, Travelex, is facing demands for payment to decrypt critical computer files after the company was hit by one of the most sophisticated ransomware attacks known as Sodi...
Patch Tuesday уже здесь, но все оказалось не так плохо, как изначально казалось. Уязвимость была обнаружена специалистами NSA, которые сообщили о ней в Microsoft. Уязвимость может позволять злоумышленникам имитировать цифровые подписи приложений, что позволяло бы запускать вредоносные приложения под видом легитимных. Уязвимость отмечена как "важная", а не "критическая", и активной эксплуатации вроде как не видно. Патч доступен для Windows 10, Windows Server 2016 и Windows Server 2019.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
PS а шуму то было. Не зря говорят, что расхайпили эту проблему из-за того, что её обнаружила NSA и вместо того, чтобы втихаря эксплуатировать, в кои-то веки поделилась информацией о ней с вендором. Наверняка пытаются восстановить свою репутацию после обосратушек с EternalBlue, которая утекла пару лет назад и с тех пор наделала вреда.
ОБН. вот еще ссылка на NSA
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
PS а шуму то было. Не зря говорят, что расхайпили эту проблему из-за того, что её обнаружила NSA и вместо того, чтобы втихаря эксплуатировать, в кои-то веки поделилась информацией о ней с вендором. Наверняка пытаются восстановить свою репутацию после обосратушек с EternalBlue, которая утекла пару лет назад и с тех пор наделала вреда.
ОБН. вот еще ссылка на NSA
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
Но есть и хорошие новости! у Google есть Advanced Protection Program, позволяющая обеспечить максимальную защиту для учетной записи пользователя от взлома и несанкционированного доступа. Раньше эта программа требовала двух аппаратных ключей, но теперь Google сделала так, что любой с Android-телефоном или iPhone может зарегистрироваться в APP. Потеря почты — это аццкий гемор, потому что как следствие, приводит к потере и других аккаунтов. Так что если что-то и нужно защитить по максимуму, то это основной почтовый аккаунт. И сейчас Google дала всем возможность сделать это. Если вы ждали знака свыше для того, чтобы заморочиться этой защитой, то это он.
https://blog.google/technology/safety-security/new-advanced-protection-program-account-security-instant/
https://blog.google/technology/safety-security/new-advanced-protection-program-account-security-instant/
Google
Enroll in the new Advanced Protection Program in an instant
If you have an Android phone or iPhone, you can enroll in the Advanced Protection Program with just a few clicks.
хороший обзор про вчерашнюю уязвимость в Windows 10
https://blog.lessonslearned.org/chain-of-fools/
https://blog.lessonslearned.org/chain-of-fools/
First Principles
Microsoft's Chain of Fools
Some initial impressions on CVE-2020-0601
Написал немного букв об очередном раунде между ФБР и Эпол, в котором ФБР говорит “открой айфон”, а Эпол говорит “ой, отстаньте”.
https://alexmak.net/2020/01/15/apple-fbi-iphone-s2/
https://alexmak.net/2020/01/15/apple-fbi-iphone-s2/
alexmak.net
Apple, ФБР и iPhone, сезон 2
Все в мире развивается по спирали или по кругу (кому как больше нравится, лишь бы в фарс не превращалось). Помните историю из, казалось бы, далекого 2015 года, когда ФБР пыталась заставить Apple ра…
Благодаря новому диалогу о подтверждении доступа приложений к информации о геолокации пользователей в фоновом режиме количество таких данных снизилось более чем на 50% (ранее этот показатель почти достигал 100%, так как пользователи просто не знали, что что-то там в фоне может стучать о геолокации). эти все диалоги в iOS 13 о доступе к Bluetooth и геолокации конкретно задалбывают, но, похоже, всетаки работают.
https://digiday.com/marketing/apples-new-privacy-features-rattle-location-based-ad-market/
https://digiday.com/marketing/apples-new-privacy-features-rattle-location-based-ad-market/
Digiday
Apple’s new privacy features have further rattled the location-based ad market
People aren’t sharing data with apps thanks to Apple, and that’s left ad tech vendors with less location data to sell. Now, they’re trying to plug the gap with data from IP addresses or a mobile carrier.
В свете обострения историй про Apple и интерес правоохранительных органов к устройствам компании — хороший материал у Элкомсофт о том, ЧТО, ГДЕ и В КАКОМ ВИДЕ хранится из пользовательских данных с iPhone. и что из этих данных могут получить органы при законном запросе
https://blog.elcomsoft.com/2020/01/apple-vs-law-enforcement-cloud-forensics/
https://blog.elcomsoft.com/2020/01/apple-vs-law-enforcement-cloud-forensics/
ElcomSoft blog
Apple vs. Law Enforcement: Cloud Forensics
Today’s smartphones collect overwhelming amounts of data about the user’s daily activities. Smartphones track users’ location and record the number of steps they walked, save pictures and videos they take and every message they send or receive. Users trust…
Основной разговор в инфосек-сообществе в эти выходные вращался вокруг статьи в The New York Times о компании Clearview AI, сервис которой используется различными правоохранительными агентствами в США, включая ФБР. Компания собрала 3 миллиарда фотографий из различных сервисов, включая Facebook, Twitter, Instageam, Venmo, YouTube и другие сайты, и функциональность заключается в том, что после подачи запроса с фотографией в сервис она позволяет найти с очень высокой точностью человека, который находится на запрашиваемом снимке. Интересно, как будут выглядеть разборки с этими сайтами в будущем, так как политика многих из них запрещает такую сборку данных, и тем более использование для систем распознавания лиц.
В данный момент сервис компании не является публичным, но инвесторы компании считают, что в будущем это может измениться. Потенциальные последствия такой публичной системы распознавания лиц пока что трудно представить, но прайваси как таковая может перестать существовать в принципе (представьте себе, что ктото направляет на вас телефон с камерой — или AR-очки — и получает сразу массу информации о вас, включая имя и адрес). Возможно, я утрирую из-за своей паранойи, но будет интересно посмотреть, как тема распознавания лиц будет развиваться далее. пока что все больше и больше локальных юрисдикций в США призывают к запрету (или уже запрещают) применение систем распознавания лиц до принятия федерального законодательства по этому поводу. В других странах тоже по-своему "дикий запад", да и про приложения, собирающие инфу с ВК и находящие людей в реальной жизни, мы тоже уже читали, в том числе и в этом канале. privacy is dead, baby. privacy is dead.
https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html
В данный момент сервис компании не является публичным, но инвесторы компании считают, что в будущем это может измениться. Потенциальные последствия такой публичной системы распознавания лиц пока что трудно представить, но прайваси как таковая может перестать существовать в принципе (представьте себе, что ктото направляет на вас телефон с камерой — или AR-очки — и получает сразу массу информации о вас, включая имя и адрес). Возможно, я утрирую из-за своей паранойи, но будет интересно посмотреть, как тема распознавания лиц будет развиваться далее. пока что все больше и больше локальных юрисдикций в США призывают к запрету (или уже запрещают) применение систем распознавания лиц до принятия федерального законодательства по этому поводу. В других странах тоже по-своему "дикий запад", да и про приложения, собирающие инфу с ВК и находящие людей в реальной жизни, мы тоже уже читали, в том числе и в этом канале. privacy is dead, baby. privacy is dead.
https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html
Nytimes
The Secretive Company That Might End Privacy as We Know It (Published 2020)
A little-known start-up helps law enforcement match photos of unknown people to their online images — and “might lead to a dystopian future or something,” a backer says.