В декабре я публиковал ссылку на сайт с информацией об удалении аккаунтов на массе различных сервисов
https://t.me/alexmakus/3183
примерно в этом же ключе еще один сайт, с коллекцией ссылок на различные сайты, куда можно пойти и запретить делиться информацией о себе (если у сайта такая информация есть). Например, банк, который делится данными по транзакциям, или сеть отелей — о ваших отпусках. В общем, меньше они знают — крепче вы спите.
https://simpleoptout.com/
https://t.me/alexmakus/3183
примерно в этом же ключе еще один сайт, с коллекцией ссылок на различные сайты, куда можно пойти и запретить делиться информацией о себе (если у сайта такая информация есть). Например, банк, который делится данными по транзакциям, или сеть отелей — о ваших отпусках. В общем, меньше они знают — крепче вы спите.
https://simpleoptout.com/
Telegram
Информация опасносте
Ладно, кроме того, чтобы пугать вас всевозможными и постоянными утечками, хочу поделиться очень полезной ссылкой. Все мы регистрируем массу аккаунтов то там, то сям. Этот хвост аккаунтов тянется за нами очень долго, и часто особо даже руки не доходят до того…
к срочному и суперкритичному апдейту Windows приготовиться! Говорят, сегодня, в первый патч-вторник 2020 года, выйдет апдейт для всех версий Windows, исправляющий критическую уязвимость в crypt32.dll. Ждем
пока ждем релиза patch tuesday Microsoft (да, ходят слухи, что апдейты будут вплоть до Win XP), послушаем историю, почему важно вовремя ставить апдейты. Например, компания Travelex, которую вы знаете по обменникам валюты в аэропортах мира, уже две недели сидит с зашифрованными компьютерами, отказываясь платить выкуп вымогателям. А все потому, что компания не обновила вовремя сервера VPN Pulse Secure, что позволило злоумышленникам получить доступ к сети компании, закачать гигабайты данных о деятельности и клиентах компании, а также зашифровать компьютеры.
https://www.computerweekly.com/news/252476283/Cyber-gangsters-demand-payment-from-Travelex-after-Sodinokibi-attack
https://www.computerweekly.com/news/252476283/Cyber-gangsters-demand-payment-from-Travelex-after-Sodinokibi-attack
ComputerWeekly.com
Cyber gangsters demand payment from Travelex after ‘Sodinokibi’ att...
The foreign exchange company, Travelex, is facing demands for payment to decrypt critical computer files after the company was hit by one of the most sophisticated ransomware attacks known as Sodi...
Patch Tuesday уже здесь, но все оказалось не так плохо, как изначально казалось. Уязвимость была обнаружена специалистами NSA, которые сообщили о ней в Microsoft. Уязвимость может позволять злоумышленникам имитировать цифровые подписи приложений, что позволяло бы запускать вредоносные приложения под видом легитимных. Уязвимость отмечена как "важная", а не "критическая", и активной эксплуатации вроде как не видно. Патч доступен для Windows 10, Windows Server 2016 и Windows Server 2019.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
PS а шуму то было. Не зря говорят, что расхайпили эту проблему из-за того, что её обнаружила NSA и вместо того, чтобы втихаря эксплуатировать, в кои-то веки поделилась информацией о ней с вендором. Наверняка пытаются восстановить свою репутацию после обосратушек с EternalBlue, которая утекла пару лет назад и с тех пор наделала вреда.
ОБН. вот еще ссылка на NSA
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
PS а шуму то было. Не зря говорят, что расхайпили эту проблему из-за того, что её обнаружила NSA и вместо того, чтобы втихаря эксплуатировать, в кои-то веки поделилась информацией о ней с вендором. Наверняка пытаются восстановить свою репутацию после обосратушек с EternalBlue, которая утекла пару лет назад и с тех пор наделала вреда.
ОБН. вот еще ссылка на NSA
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
Но есть и хорошие новости! у Google есть Advanced Protection Program, позволяющая обеспечить максимальную защиту для учетной записи пользователя от взлома и несанкционированного доступа. Раньше эта программа требовала двух аппаратных ключей, но теперь Google сделала так, что любой с Android-телефоном или iPhone может зарегистрироваться в APP. Потеря почты — это аццкий гемор, потому что как следствие, приводит к потере и других аккаунтов. Так что если что-то и нужно защитить по максимуму, то это основной почтовый аккаунт. И сейчас Google дала всем возможность сделать это. Если вы ждали знака свыше для того, чтобы заморочиться этой защитой, то это он.
https://blog.google/technology/safety-security/new-advanced-protection-program-account-security-instant/
https://blog.google/technology/safety-security/new-advanced-protection-program-account-security-instant/
Google
Enroll in the new Advanced Protection Program in an instant
If you have an Android phone or iPhone, you can enroll in the Advanced Protection Program with just a few clicks.
хороший обзор про вчерашнюю уязвимость в Windows 10
https://blog.lessonslearned.org/chain-of-fools/
https://blog.lessonslearned.org/chain-of-fools/
First Principles
Microsoft's Chain of Fools
Some initial impressions on CVE-2020-0601
Написал немного букв об очередном раунде между ФБР и Эпол, в котором ФБР говорит “открой айфон”, а Эпол говорит “ой, отстаньте”.
https://alexmak.net/2020/01/15/apple-fbi-iphone-s2/
https://alexmak.net/2020/01/15/apple-fbi-iphone-s2/
alexmak.net
Apple, ФБР и iPhone, сезон 2
Все в мире развивается по спирали или по кругу (кому как больше нравится, лишь бы в фарс не превращалось). Помните историю из, казалось бы, далекого 2015 года, когда ФБР пыталась заставить Apple ра…
Благодаря новому диалогу о подтверждении доступа приложений к информации о геолокации пользователей в фоновом режиме количество таких данных снизилось более чем на 50% (ранее этот показатель почти достигал 100%, так как пользователи просто не знали, что что-то там в фоне может стучать о геолокации). эти все диалоги в iOS 13 о доступе к Bluetooth и геолокации конкретно задалбывают, но, похоже, всетаки работают.
https://digiday.com/marketing/apples-new-privacy-features-rattle-location-based-ad-market/
https://digiday.com/marketing/apples-new-privacy-features-rattle-location-based-ad-market/
Digiday
Apple’s new privacy features have further rattled the location-based ad market
People aren’t sharing data with apps thanks to Apple, and that’s left ad tech vendors with less location data to sell. Now, they’re trying to plug the gap with data from IP addresses or a mobile carrier.
В свете обострения историй про Apple и интерес правоохранительных органов к устройствам компании — хороший материал у Элкомсофт о том, ЧТО, ГДЕ и В КАКОМ ВИДЕ хранится из пользовательских данных с iPhone. и что из этих данных могут получить органы при законном запросе
https://blog.elcomsoft.com/2020/01/apple-vs-law-enforcement-cloud-forensics/
https://blog.elcomsoft.com/2020/01/apple-vs-law-enforcement-cloud-forensics/
ElcomSoft blog
Apple vs. Law Enforcement: Cloud Forensics
Today’s smartphones collect overwhelming amounts of data about the user’s daily activities. Smartphones track users’ location and record the number of steps they walked, save pictures and videos they take and every message they send or receive. Users trust…
Основной разговор в инфосек-сообществе в эти выходные вращался вокруг статьи в The New York Times о компании Clearview AI, сервис которой используется различными правоохранительными агентствами в США, включая ФБР. Компания собрала 3 миллиарда фотографий из различных сервисов, включая Facebook, Twitter, Instageam, Venmo, YouTube и другие сайты, и функциональность заключается в том, что после подачи запроса с фотографией в сервис она позволяет найти с очень высокой точностью человека, который находится на запрашиваемом снимке. Интересно, как будут выглядеть разборки с этими сайтами в будущем, так как политика многих из них запрещает такую сборку данных, и тем более использование для систем распознавания лиц.
В данный момент сервис компании не является публичным, но инвесторы компании считают, что в будущем это может измениться. Потенциальные последствия такой публичной системы распознавания лиц пока что трудно представить, но прайваси как таковая может перестать существовать в принципе (представьте себе, что ктото направляет на вас телефон с камерой — или AR-очки — и получает сразу массу информации о вас, включая имя и адрес). Возможно, я утрирую из-за своей паранойи, но будет интересно посмотреть, как тема распознавания лиц будет развиваться далее. пока что все больше и больше локальных юрисдикций в США призывают к запрету (или уже запрещают) применение систем распознавания лиц до принятия федерального законодательства по этому поводу. В других странах тоже по-своему "дикий запад", да и про приложения, собирающие инфу с ВК и находящие людей в реальной жизни, мы тоже уже читали, в том числе и в этом канале. privacy is dead, baby. privacy is dead.
https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html
В данный момент сервис компании не является публичным, но инвесторы компании считают, что в будущем это может измениться. Потенциальные последствия такой публичной системы распознавания лиц пока что трудно представить, но прайваси как таковая может перестать существовать в принципе (представьте себе, что ктото направляет на вас телефон с камерой — или AR-очки — и получает сразу массу информации о вас, включая имя и адрес). Возможно, я утрирую из-за своей паранойи, но будет интересно посмотреть, как тема распознавания лиц будет развиваться далее. пока что все больше и больше локальных юрисдикций в США призывают к запрету (или уже запрещают) применение систем распознавания лиц до принятия федерального законодательства по этому поводу. В других странах тоже по-своему "дикий запад", да и про приложения, собирающие инфу с ВК и находящие людей в реальной жизни, мы тоже уже читали, в том числе и в этом канале. privacy is dead, baby. privacy is dead.
https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html
Nytimes
The Secretive Company That Might End Privacy as We Know It (Published 2020)
A little-known start-up helps law enforcement match photos of unknown people to their online images — and “might lead to a dystopian future or something,” a backer says.
Интересный материал у Reuters о том, что, возможно, Apple приняла решение не шифровать полностью бэкапы в iCloud после жалоб ФБР. (это позволяет компании передавать данные из резервных копий правоохранительным органам по запросу с решением суда).
Интересно, как оно было на самом деле и как будет сейчас отвечать (или выкручиваться) Apple, учитывая постоянный маркетинговый месседж про конфиденциальность и защиту пользовательских данных. правда, никто не обещал, что это защита от правоохранительных органов.
Вопрос о том, почему все же у Apple остаются ключи для расшифровки резервных копий в облаке, мучает сообщество достаточно давно. Причин, по которой принимается то или иное продуктовое решение, может быть множество. В частности, в статье есть цитата от одного из сотрудников, который говорит, что компания опасалась, что это приведет к увеличению случаев потери доступа пользователей к данным вообще. Хотя все равно непонятно, почему тем пользователям, кто готов принять на себя такой риск, все равно не дать такую опцию. Например, у устройств Android есть возможность делать бекапы устройств в собственные облачные хранилища без передачи ключей Google.
Еще одна важная цитата из статьи:
Reuters could not determine why exactly Apple dropped the plan.
То есть комментарии бывших сотрудников — это одно дело, четкое понимание истинной причины того или иного решения — немного другое.
https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT
Уверен, ответ Apple последует достаточно скоро.
Интересно, как оно было на самом деле и как будет сейчас отвечать (или выкручиваться) Apple, учитывая постоянный маркетинговый месседж про конфиденциальность и защиту пользовательских данных. правда, никто не обещал, что это защита от правоохранительных органов.
Вопрос о том, почему все же у Apple остаются ключи для расшифровки резервных копий в облаке, мучает сообщество достаточно давно. Причин, по которой принимается то или иное продуктовое решение, может быть множество. В частности, в статье есть цитата от одного из сотрудников, который говорит, что компания опасалась, что это приведет к увеличению случаев потери доступа пользователей к данным вообще. Хотя все равно непонятно, почему тем пользователям, кто готов принять на себя такой риск, все равно не дать такую опцию. Например, у устройств Android есть возможность делать бекапы устройств в собственные облачные хранилища без передачи ключей Google.
Еще одна важная цитата из статьи:
Reuters could not determine why exactly Apple dropped the plan.
То есть комментарии бывших сотрудников — это одно дело, четкое понимание истинной причины того или иного решения — немного другое.
https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT
Уверен, ответ Apple последует достаточно скоро.
Reuters
Exclusive: Apple dropped plan for encrypting backups after FBI complained - sources
Apple Inc dropped plans to let iPhone users fully encrypt backups of their devices in the company's iCloud service after the FBI complained that the move would harm investigations, six sources familiar with the matter told Reuters.
История годовалой давности с утечками личных материалов Джеффа Безоса с его телефона получила продолжение, да какое!
Вот материал год назад https://t.me/alexmakus/2754
Там, напомню, история заключалась в том, что переписка и личные фотографии Безоса и его любовницы утекли в прессу, и возник логичный вопрос о том, как же это произошло. Подозрение падало на Саудовскую Аравию и конкретно принца Мохаммеда бин Салман.
Так вот, продолжение заключается в очень интересных деталях, которые опубликовала вчера The Guardian. Собственно, речь о том, что Джефф Безос переписывался с принцем МБС в WhatsApp, когда с его аккаунта неожиданно пришел файл. Очевидно, это был специально подготовленный вредоносный файл, использующий уязвимость в WhatsApp (о нескольких таких уязвимостях были новости в канале), который позволил получить доступ к файлам на телефоне, и выгрузить эти данные. Затем эти данные были использованы для шантажа Безоса. Есть версия, что могло быть использовано ПО компании NSO Group, и в этом есть своя ирония. Продукты NSO для взлома Whatsapp API используют Amazon Web Services, и, подозреваю, инфосек команда AWS сможет накопать достаточно материалов в логах AWS по этому поводу.
Представители Саудовской Аравии все, разумеется, отрицают. Дополнительно хочу отметить, что это тоже не первый случай, в котором фигурируют СА, NSO Group и взлом телефонов тех, кто критикует принца MBS. И Facebook, и Google, и Apple постоянно чинят какие-то уязвимости в своих продуктах, защищаясь от взломов NSO Group, но с той стороны, похоже, тоже не дураки сидят.
https://www.theguardian.com/technology/2020/jan/21/amazon-boss-jeff-bezoss-phone-hacked-by-saudi-crown-prince?CMP=share_btn_tw
Вот материал год назад https://t.me/alexmakus/2754
Там, напомню, история заключалась в том, что переписка и личные фотографии Безоса и его любовницы утекли в прессу, и возник логичный вопрос о том, как же это произошло. Подозрение падало на Саудовскую Аравию и конкретно принца Мохаммеда бин Салман.
Так вот, продолжение заключается в очень интересных деталях, которые опубликовала вчера The Guardian. Собственно, речь о том, что Джефф Безос переписывался с принцем МБС в WhatsApp, когда с его аккаунта неожиданно пришел файл. Очевидно, это был специально подготовленный вредоносный файл, использующий уязвимость в WhatsApp (о нескольких таких уязвимостях были новости в канале), который позволил получить доступ к файлам на телефоне, и выгрузить эти данные. Затем эти данные были использованы для шантажа Безоса. Есть версия, что могло быть использовано ПО компании NSO Group, и в этом есть своя ирония. Продукты NSO для взлома Whatsapp API используют Amazon Web Services, и, подозреваю, инфосек команда AWS сможет накопать достаточно материалов в логах AWS по этому поводу.
Представители Саудовской Аравии все, разумеется, отрицают. Дополнительно хочу отметить, что это тоже не первый случай, в котором фигурируют СА, NSO Group и взлом телефонов тех, кто критикует принца MBS. И Facebook, и Google, и Apple постоянно чинят какие-то уязвимости в своих продуктах, защищаясь от взломов NSO Group, но с той стороны, похоже, тоже не дураки сидят.
https://www.theguardian.com/technology/2020/jan/21/amazon-boss-jeff-bezoss-phone-hacked-by-saudi-crown-prince?CMP=share_btn_tw
Telegram
Информация опасносте
История с утечками личных фотографий Джеффа Безоса все страннее и страннее. Вроде бы даже договорились в какой-то момент, что фотографии утекли с телефона его любовницы благодаря её брату. Теперь руководитель расследования утверждает, что все-таки к взлому…
Вдогонку про историю с Джефом Безосом и взломом его смартфона (это был iPhone X, кстати, если кому интересно), несколько технических документов:
1. Заключение Совета по правам человека ООН с заключением об анализе, который был проведен над телефоном в рамках расследования этого взлома
https://www.ohchr.org/Documents/Issues/Expression/SRsSumexFreedexAnnexes.pdf
2. А издание Vice вообще получило технический отчет по экспертизе телефона. Интересно, что кроме файла, который был использован для взлома Whatsapp, на самом устройстве никаких вредоносных приложений найдено не было. Но логи показывают, что после передачи файла в Whatsapp был нехарактерный всплеск передачи данных с телефона. Из забавного — эксперты пытались анализировать оффлайновый бэкап iPhone, сделанный в iTunes, а Джефф Безос забыл к нему пароль. В отчете также есть интересная часть о том, из какого оборудования состояла лаборатория, в которой происходило исследование смартфона. Увлекательное чтиво!
https://assets.documentcloud.org/documents/6668313/FTI-Report-into-Jeff-Bezos-Phone-Hack.pdf
1. Заключение Совета по правам человека ООН с заключением об анализе, который был проведен над телефоном в рамках расследования этого взлома
https://www.ohchr.org/Documents/Issues/Expression/SRsSumexFreedexAnnexes.pdf
2. А издание Vice вообще получило технический отчет по экспертизе телефона. Интересно, что кроме файла, который был использован для взлома Whatsapp, на самом устройстве никаких вредоносных приложений найдено не было. Но логи показывают, что после передачи файла в Whatsapp был нехарактерный всплеск передачи данных с телефона. Из забавного — эксперты пытались анализировать оффлайновый бэкап iPhone, сделанный в iTunes, а Джефф Безос забыл к нему пароль. В отчете также есть интересная часть о том, из какого оборудования состояла лаборатория, в которой происходило исследование смартфона. Увлекательное чтиво!
https://assets.documentcloud.org/documents/6668313/FTI-Report-into-Jeff-Bezos-Phone-Hack.pdf
Боб Дьяченко и его поиск открытых Elasticsearch снова наносят удар, теперь по Microsoft. База данных на 250 млн записей клиентов компании с обращениями в службу поддержки, включая адреса электронной почты, имейлы специалистов поддержки, описания обращений и тд. — все было доступно в базе данных без всяких аутентификаций.
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
Comparitech
250 million Microsoft customer service & support records exposed
250 million leaked conversations between Microsoft customer support agents and customers were left exposed on the web, putting users at risk of phishing.
Я писал в декабре о компании Avast, и о том, как их продукты собирают информацию о пользователях для последующей перепродажи этих данных
https://t.me/alexmakus/3174
У Vice сегодня вышел большой материал о том, как именно это происходит, кто клиенты компании (Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora) и о масштабах этого безобразия. Включая то, как изначально анонимные данные могут быть привязаны к индивидуальным пользователям продуктов Avast.
https://www.vice.com/en_us/article/qjdkq7/avast-antivirus-sells-user-browsing-data-investigation
и дополнительный материал
https://www.pcmag.com/news/the-cost-of-avasts-free-antivirus-companies-can-spy-on-your-clicks
https://t.me/alexmakus/3174
У Vice сегодня вышел большой материал о том, как именно это происходит, кто клиенты компании (Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora) и о масштабах этого безобразия. Включая то, как изначально анонимные данные могут быть привязаны к индивидуальным пользователям продуктов Avast.
https://www.vice.com/en_us/article/qjdkq7/avast-antivirus-sells-user-browsing-data-investigation
и дополнительный материал
https://www.pcmag.com/news/the-cost-of-avasts-free-antivirus-companies-can-spy-on-your-clicks
Telegram
Информация опасносте
кстати, о пользовательских данных. Avast, разработчик антивирусных решений, собирает информацию о пользователях и поведении в браузерах для последующей продажи. Они утверждают, что вся информация анонимизирована и не может быть прослежена до индивидуального…
из рубрики "АСТАНАВИТЕСЬ" — очередная атака со спекулятивным исполнением в процессорах Intel.
https://cacheoutattack.com
ну и чтобы два раза не вставать про Intel — про Cacheout и другую уязвимость у самой компании
https://blogs.intel.com/technology/2020/01/ipas-intel-sa-00329/
https://cacheoutattack.com
ну и чтобы два раза не вставать про Intel — про Cacheout и другую уязвимость у самой компании
https://blogs.intel.com/technology/2020/01/ipas-intel-sa-00329/
Technology@Intel
IPAS: INTEL-SA-00329 - Technology@Intel
Since May 2019, starting with Microarchitectural Data Sampling (MDS), and then in November with TAA, we and our system software partners have released mitigations that have cumulatively and substantially reduced the overall attack surface for these types…
вдогонку к посту про уязвимость Shitrix у устройств Citrix
https://t.me/alexmakus/3231
на прошлой неделе компания таки выпустила фикс
https://threatpost.com/citrix-patch-rollout-critical-rce-flaw/152041/
https://t.me/alexmakus/3231
на прошлой неделе компания таки выпустила фикс
https://threatpost.com/citrix-patch-rollout-critical-rce-flaw/152041/
Telegram
Информация опасносте
немножко прохлопал shitstorm с Citrix в конце прошлой недели. CVE-2019-19781 - RCE эксплойт для устройств Citrix, уже с кодом на Гитхабе. Забавный факт, что уязвимость называют Shitrix, она затрагивает Citrix Application Delivery Controller (ADC) и Citrix…
на всякий случай напоминаю и поздравляю вас с международным Днем Защиты Данных. Хаха, как будто это что-то значит 🙂 И этот канал — доказательство тому.
https://en.wikipedia.org/wiki/Data_Privacy_Day
https://en.wikipedia.org/wiki/Data_Privacy_Day
Wikipedia
Data Privacy Day
holiday
Кстати, в рамках Дня защиты данных. Если у вас есть аккаунт Facebook, рекомендую посетить страницу по ссылке ниже. Там будет ссылка со списком организаций, которые делятся с Facebook информацией о вашем взаимодействии с этими организациями. Возможно, без вашего согласия и представления о том, что это происходит. Технически ничего противозаконного, и какую-то глубоко персональную информацию там не передают, но тем не менее. Там же можно также заблокировать дальнейшую передачу ваших данных от этих организацией в Facebook. В общем, полезная штука.
https://www.facebook.com/off_facebook_activity/
https://www.facebook.com/off_facebook_activity/
Facebook
Log in or sign up to view
See posts, photos and more on Facebook.