Вчера я писал о том, что в Китае с февраля планируют запретить VPN (https://t.me/alexmakus/1262). В общем, тут от китайских товарищей поступило опровержение этой новости, хотя я лично бы не расслаблялся, дыма без огня не бывает http://shanghaiist.com/2017/07/12/vpn-ban-denial.php

И опять новость из серии «я писал». Несколько дней назад я писал об уязвимости в WiFi-чипе Broadcom, которую назвали Broadpwn (https://t.me/alexmakus/1258). Чтоб вы не сомневались, уязвимость настоящая и вполне эксплуатируемая. По ссылке - демонстрация того, как специально подготовленная точка WiFi вызывает кернел-панику у Nexus 6P при попадании в радиус действия беспроводной сети http://boosterok.com/blog/broadpwn2/ как я уже говорил, у Гугл есть апдейт, исправляющий эту уязвимость, поэтому лучше апдейт все-таки поставить. Про iOS опять ничего не говорят, и, судя по отсутствию срочного апдейта от Apple, возможно, в этот раз для юзеров айфонов обошлось.

ESET предупреждают пользователей Apple о новой афере. Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.

Потенциальная жертва получает от лица онлайн-магазина письмо – в нем сообщается, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.

https://www.welivesecurity.com/wp-content/uploads/2017/07/1-phishing-apple-id.png

Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он может поверить мошенникам и перейти на фишинговый сайт.

На фишинговом сайте пользователю предлагается ввести Apple ID и пароль, далее – заполнить анкету «для подтверждения личности». Мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и, конечно, данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.

После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.

немножко инфосек-юмора вам в ленту

И снова здравствуйте. Некоторые личные обстоятельства мешают мне в последние пару дней регулярно обновлять канал, но я обещаю исправиться. Начнем с веселого: список телефонов, которые уходят в перезагрузку при наборе номера 911 (номер, как известно, для вызова экстренных служб). Конечно же, почему-то там только Android-устройства, наверняка это никак не связано с тем, что зачастую телефоны и ПО там более низкого качества, чем связка iPhone+iOS https://www.reddit.com/r/Android/comments/6o5ifb/android_and_911_dialing_reports_compilation/

а вот New York Times пишет, что WhatsApp начали блокировать в Китае — многие пользователи не могут отправить видео или фото через сервис, а некоторые — даже текстовые сообщения. лучшие практики интернетов! https://www.nytimes.com/2017/07/18/technology/whatsapp-facebook-china-internet.html

хорошие новости для жителей Российской Федерации (на самом деле нет — в том смысле, что нехорошие):

Парламентский комитет по информполитике рекомендовал Госдуме принять в первом чтении законопроект, обязывающий социальные сети удалять противоправную информацию по заявлению пользователей. Авторы инициативы - депутаты от «Единой России» Сергей Боярский и Андрей Альшевских.
Законопроект о соцсетях и мессенджерах внесен депутатами на прошлой неделе, в нем говорится об «организаторах распространения информации» с аудиторией более 2 млн человек. Они должны за сутки удалять информацию, которая «явно направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды», а также «недостоверную и (или) порочащую честь и достоинство другого лица или его репутацию информацию» и «информацию, за распространение которой предусмотрена уголовная или административная ответственность». Депутаты предложили установить ответственность за отказ удалить такой контент из соцсетей: физические лица, по их мнению, должны платить за это штрафы от 3 млн до 5 млн руб., юридические лица – от 30 млн до 50 млн руб.
Правительство в целом поддержало концепцию законопроекта, но увидело в предложенных поправках массу недостатков. В частности, нужно уточнить, какую именно информацию соцсети и мессенджеры будут удалять по требованию пользователей, определить термин «недостоверная информация», объяснить термин «оператор социальной сети» и прописать методику подсчета количества пользователей социальной сети. Процедуру удаления информации по заявлению в правительстве признали «необоснованной».

те, кто давно читает этот канал, знают, как я "люблю" весь этот современный IoT — псевдо"умные" гаджеты, которые на самом деле представляют собой решето в безопасности своих сервисов и информации, которую они передают, да еще и часто просто следят за пользователями (а пользователи об этом даже не догадываются). Короче, тренд приобретает опасные очертания, поэтому даже ФБР выпустила предупреждение для родителей о том, что многие детские игрушки с подключением в интернет могут представлять собой информационную опасность и использоваться для слежки за пользователями. там в этом предупреждении набор полезных советов родителям, как уберечь детей от всяких опасностей, которые вкрации можно свести к совету "следите за тем, что вы своим детям покупаете и что оно делает". учитывая общий уровень "подготовки" родителей, это примерно как посоветовать им скомпилировать KDE для FreeBSD. https://www.ic3.gov/media/2017/170717.aspx

Помните эпидемию NotPetya? Одна из компаний, которая сильно пострадала во время эпидемии — FedEx, заражение украинского подразделения которого пронеслось вихрем по другим подразделениям компании. Пострадали в основном IT-сервисы компании TNT, которую FedEx купили в 2016 году. Но самое интересное другое: сейчас в финансовом документе, который FedEx подал в Комиссию по ценным бумагам, говорится, что это заражение может иметь существенные финансовые последствия для компании. И САМОЕ интересное — что они не смогут полностью восстановить важную бизнес-информацию, утерянную во время эпидемии: " TNT will be unable to fully restore all of the affected systems and recover all of the critical business data that was encrypted by the virus". Так что повторю совет: апдейты и бекапы! :)

кстати, про IoT устройства. Тут ВНЕЗАПНО оказалось, что миллионы IoT-устройств (например, камеры наблюдения и множество других устройств), используют библиотеку gSOAP, которая упрощает использование XML. А в библиотеке обнаружилась уязвимость CVE-2017-9765, позволяющая организацию DDoS-атак и исполнение кода. Не очень клевая штука для камер безопасности, обеспечивающих наблюдение, например, в банках. https://www.genivia.com/advisory.html#Security_advisory:_CVE-2017-9765_bug_in_certain_versions_of_gSOAP_2.7_up_to_2.8.47_(June_21,_2017)

возвращаясь к теме Broadpwn — уязвимости в WiFi-чипах Broadcom, о которой я писал недавно (https://t.me/alexmakus/1265). для iOS вышло обновление операционной системы версии 10.3.3, в котором исправлена эта уязвимость:

Wi-Fi
Available for: iPhone 5 and later, iPad 4th generation and later, and iPod touch 6th generation
Impact: An attacker within range may be able to execute arbitrary code on the Wi-Fi chip
Description: A memory corruption issue was addressed with improved memory handling.
CVE-2017-9417: Nitay Artenstein of Exodus Intelligence

так что рекомендую не затягивать с установкой апдейтов для iPhone/iPad!

информацию о других уязвимостях, исправленных в iOS 10.3.3, можно почитать тут https://support.apple.com/en-us/HT207923

Добрый день (хотя для многих он может оказаться не таким уж и добрым). Министерство юстиции США, совместно с Европолом отрапортовали сегодня о закрытии двух крупнейших магазинов в дарквебе - AlphaBay и Hansa. В чем тут опасность для информации? Дело в том, что полиция какое-то время назад получила контроль над Hansa и следила за транзакциями, получая информацию о вендорах и покупателях на этом сайте. Учитывая, что основные товары, которыми там торговали - это оружие и наркотики, то у полиции теперь есть веские поводы пообщаться и с покупателями, и с продавцами, плюс возможность их идентифицировать и найти. В общем, по возможности избегайте оружия и наркотиков!

А вот у двухколесного электрического скутера Ninebot компании Segway обнаружилась уязвимость в интерфейсе общения между скутером и мобильным приложением, позволяющая перехватить полностью управление чужим скутером. Разработчик уже выпустил обновление для приложения, исправляющее эту дыру, но полный отчёт об уязвимости можно почитать тут https://www.ioactive.com/pdfs/IOActive-Security-Advisory-Ninebot-Segway-miniPRO_Final.pdf

А ещё читатель Александр нам сообщает о том, что с кошельков с криптовалютой Ethereum воруют деньги. Криптовалюта - это безопасно, говорили они. Все транзакции прозрачны и прослеживаются, говорили они... https://www.reddit.com/r/ethereum/comments/6oalcq/important_wallets_created_with_paritys_multisig/

ВАЖНО! Эфирные кошельки с мультиподписью созданные в клиенте Parity после версии 1.5 оказались уязвимы, в официальном блоге советуют незамедлительно перевести свои средства на безопасный адрес.

Multisig wallets affected by this hack:
- Edgeless Casino (edgelessproject)
- Swarm City (swarmcitydapp)
- æternity blockchain (aeternity)
С кошельков этих трех ICO украдено 153k ETH ($30m)
https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32

Группа WhiteHack оперативно просканировала все уязвимые контракты и вывела с них средства.
https://etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a

В законопроект о регулировании мессенджеров добавили пункт о возможной блокировке отдельных пользователей по решению суда. Документ одобрили во втором чтении без обсуждения. За принятие законопроекта проголосовали 365 депутатов, против – один, двое воздержались.

В поправки добавили норму о том, что мессенджеры обязаны «не допускать передачу электронных сообщений пользователям сервиса обмена мгновенными сообщениями» по процедуре, которую определит правительство вместе с Роскомнадзором. При этом какую именно информацию предлагается блокировать, в документе не поясняется.

«Медуза» предположила, что речь идёт о фильтрации сообщений, однако Николаев пояснил, что это не так. Он подчеркнул, что поправки предусматривают возможность запретить определенному лицу пользоваться тем или иным мессенджером по решению суда.

По словам депутата, эта мера нужна для борьбы с противозаконной деятельностью. «Если вдруг кто-то использует мессенджеры для противозаконной деятельности, должна быть возможность такую деятельность пресечь», – отметил он. Как будут находить таких пользователей, Николаев не уточнил. Конфиденциальность передаваемых пользователями сообщений не пострадает, добавил он.

Ну, кому запретят пользоваться мессенджером - вам заранее пока!

Госдума приняла в третьем чтении проект закона, запрещающий средства обхода интернет-блокировок. В инициативе, в частности, идет речь об анонимайзерах и сервисах VPN. Если эти сервисы откажутся блокировать доступ к запрещенной в России информации, их самих ждет блокировка.

Выявлять их будут ФСБ и МВД.

Первое чтение инициатива прошла 23 июня, а второе – 19 июля. Закон вступит в силу 1 ноября 2017 года.

Депутаты в третьем чтении также одобрили закон об идентификации пользователей мессенджеров. Их, помимо того, обяжут ограничивать отправку сообщений, которые нарушают законы России.

Вчера я в твиттере упомянул, что планирую в доме часть розеток заменить на розетки со встроенным USB-портом. Неоднократно отвечающие мне советовали сразу ставить "умные" розетки ("будешь управлять розетками голосом через Alexa), но я считаю, что пока что я лучше воздержусь от большого количества IoT-гаджетов. Кто-то может считать меня луддитом, кто-то - параноиком. Но когда я читаю статьи о том, как злоумышленники подключаются через интернет к чужим термостатам и подкручивают на них температуру, то мне хочется оборудовать дом только самыми тупыми гаджетами, без WiFi, подключений к интернету и проч. Почитайте по ссылке как доказательство того, какой в безопасности "умных" гаджетов творится бардак:
1. Легко получить IP-адреса доступных термостатов
2. С помощью специально подготовленной страницы получить логин и пароль, хранящиеся в plain text
3. Вуаля - доступ в админку и возможность смены установленной температуры на термостате.
https://blog.newskysecurity.com/iot-thermostat-bug-allows-hackers-to-turn-up-the-heat-948e554e5e8b

Исследователи ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%).

Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Шифрование кода и механизмы самозащиты, реализованные в программе, позволили операторам Stantinko оставаться незамеченными на протяжении пяти лет.

Авторы Stantinko используют методы, которые нередко встречаются в АРТ-кампаниях. Тем не менее, их главная цель – финансовая выгода. Они предлагают услуги на доходном рынке компьютерных преступлений – обеспечивают ложные переходы по рекламным ссылкам (кликфрод). По оценкам White Ops и Национальной ассоциации рекламодателей (США), мировые издержки от кликфрода в 2017 году достигнут 6,5 млрд долларов.

Для заражения системы операторы Stantinko маскируют под пиратское ПО загрузчик семейства FileTour. Он устанавливает несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме.

Далее Stantinko устанавливает два расширения браузера (The Safe Surfing и Teddy Protection) для несанкционированного показа рекламы, который приносит доход операторам. На момент исследования расширения были доступны в Chrome Web Store. Они выглядят как легитимные, но в рамках кампании Stantinko получают иную конфигурацию, предназначенную для кликфрода и показа рекламы.

Опасность Stantinko в том, что его возможности не ограничиваются генерацией трафика. Вредоносная программа позволяет операторам выполнять в зараженной системе широкий спектр действий:

от поиска до кражи данных (полнофункциональный бэкдор)
распределенный поиск в Google сайтов на Joomla и WordPress
взлом панелей управления сайтов путем перебора паролей (для последующей перепродажи)
мошенничество на Facebook: создание поддельных аккаунтов, лайки на страницах и фото, пополнение списка друзей (исследователи ESET пока не наблюдали вредоносной активности в соцсети).


Присутствие Stantinko в системе не заметно для пользователя, поскольку угроза не препятствует работе компьютера. Тем не менее, ботнет приносит убытки рекламодателям. Кроме того, полнофункциональный бэкдор открывает перед злоумышленниками широкие возможности для слежки за зараженными машинами.