Помните, я тут писал про багу с Signal на Маке, где тексты нотификаций сохранялись в открытом виде?
https://t.me/alexmakus/2059

Так вот, я тут пропустил, что уже апдейт вышел https://github.com/signalapp/Signal-Desktop/releases/tag/v1.10.1

Похоже, что USB Restricted Mode до iOS 11.4 всё-таки не доедет

https://gizmodo.com/it-looks-like-apples-tool-that-stops-cops-from-hacking-1826017460

Что ещё больше вызывает вопросы о том, что это за херня, что информацию с айфонов могут доставать, а Эпол ничего по этому поводу не делает. Напоминаю, что лучшая защита против этих «коробочек» для взлома айфона - сложные пароли.

Интересная тема с обходом двухфакторной авторизации

Evilginx project, which is a man-in-the-middle attack framework for remotely capturing credentials and session cookies of any web service. It uses Nginx HTTP server to proxy legitimate login page, to visitors, and captures credentials and session cookies on-the-fly. It works remotely, uses custom domain and a valid SSL certificate.

https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/

а РКН, похоже, не успокоился. А сколько разговоров было про то, что «вот скоро все нормализуется».

Пишут, что под эту бомбардировку попали WhatsApp, AirBnB и App Store. Молодцы они там, что уж там

Ладно, а вот про Телеграм, но не о блокировках (необычно, да?) Читатель прислал ссылку на исследование о вредоносном ПО, которое нацелено на различные файлы Telegram Desktop (мобильные клиенты не затронуты). ПО не эксплуатирует никакой уязвимости в самом Телеграме. В общих чертах: вредоносное ПО собирает доступные кэши и файлы ключей в десктопной версии Телеграма (как и информацию о логине в Стим), и используя эту информацию, может получать доступ к предыдущим сессиям в Телеграме и списку контактов. ПО нацелено на русскоязычных пользователей и явно написано русско-язычными авторами. Повторюсь, к мобильным клиентам Телеграма это не относится, уязвимостью не является.
https://blog.talosintelligence.com/2018/05/telegrab.html

Парочка приколов для читателей из Украины (приехало через твитор). Например, база предпринимателей, где по фамилии сразу находишь адрес, телефон и кучу другой информации о человеке
https://usr.minjust.gov.ua/ua/freesearch

Удобно, да, персональные данные, вот это все

АПД. Мне несколько человек написало, что, мол, такой закон принят в 2015 году, что данные всех индивидуальных предпринимателей открыты. Закон - это замечательно, конечно, но задним числом выложить все персональные данные предпринимателей, включая номера телефонов и адреса (например, я нашёл там известное мне предпринимательство, открытое в 2004 году и закрытое году в 2008) - это как-то несколько спорно, с учетом того, что в 2004 году никто не говорил, что эти данные станут публично доступными. Прозрачность, борьба с коррупцией - это хорошо, но выплескивать все ясли приватности вместе с водой как-то многовато, имхо.

Ну и тоже вот красота

И ещё о трекинге телефонов (помните, я на прошлой неделе давал парочку ссылок на историю о том, как сервис, предназначенный для слежения за телефонами заключённых, позволял следить за местоположением любого телефона в США?)
https://t.me/alexmakus/2065
Если вкратце, то есть такая компания Securus, предоставляющая озвученные выше услуги пенитенциарным заведениям. Сама компания является клиентом компании LocationSmart, которая и обладает неким тайным знанием (а точнее - вроде как контрактами с основными мобильными операторам в США) на получение информации о местоположении пользователей мобильной связи. Причём неважно, смартфон у вас или обычный телефон. У этой конторы был сервис на сайте, который позволял, получив согласие с помощью СМС, увидеть местоположение согласившегося абонента. Однако, на сайте также обнаружили ещё и уязвимость, которая давала возможность следить за местоположением пользователей без запроса на разрешение получения такой информации (сейчас эти страницы уже убрали). Использовался метод триангуляции по базовым станциям сотовой связи, поэтому точность до квартала, а не конкретного адреса, но тем не менее.

Короче, многоуровневый clusterfuck, который начинается с того, что мобильные операторы почему-то продают информацию о местоположении абонентов в LocationSmart (https://www.zdnet.com/article/us-cell-carriers-selling-access-to-real-time-location-data/)

Затем эта контора перепродаёт эту информацию в Securus, которая вроде как должна следить только за телефонами заключённых, а эту информацию используют практически как попало (https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html)

И вдобавок ко всему на сайте LocationSmart находят уязвимость, благодаря которой вообще вся информация о местоположении абонентов становится доступной всем
https://krebsonsecurity.com/2018/05/tracking-firm-locationsmart-leaked-location-data-for-customers-of-all-major-u-s-mobile-carriers-in-real-time-via-its-web-site/

Можно сколько угодно заморачиваться над личной безопасностью со всякими 2ФА, сложными паролями, минимизацией своего цифрового отпечатка, а тут такое. Хочется всех сжечь.

Социальная инженерия остаётся одним из самых популярных векторов атаки. Как может выглядеть перехват двухфакторной авторизации методом запудривания мозгов

А, ну и уже несколько дней забываю написать. Давние читатели канала наверняка помнят о публикациях Wikileaks под названием Vault 7, в рамках которых ресурс выкладывал различные хакерские инструменты ЦРУ. Хакера поймали - это Joshua Adam Schulte, бывший сотрудник ЦРУ в период с 2010 по 2016 год. Оказалось, что пока он работал в ЦРУ, у него был проект на Гитхабе, где в том числе оказался и внутренний проект ЦРУ, что никто не заметил, в том числе и в самом ЦРУ (отлично у них там безопасность устроена, да). Сам проект никакой особой опасности не представлял, но тем не менее.

https://www.thedailybeast.com/exclusive-cia-leaker-josh-schulte-posted-agency-code-onlineand-cia-never-noticed

По этому поводу есть парочка комментариев.
Во-первых, помните об этом каждый раз, когда будете читать об очередных призывах государства к технологическим компаниям (будь то Apple, Telegram и др) сделать какой-нибудь бэкдор в софте или железе, сдать ключи шифрования и проч. Эти госорганизации не способны обеспечить защиту подобных вещей, что в будущем подвергнет опасности информацию более широкой публики, чем изначально предполагалось.

Второй момент больше про всякие утечки. Викиликс, публикуя информацию о Vault 7, идентифицировали источник как «бывшего хакера из ЦРУ».Это позволило ФБР и ЦРУ, расследуя утечку, заузить круг подозреваемых, и быстрее вычислить Джошуа Шульта. Вот такая медвежья услуга

И снова наступили прекрасные трудо выебудни, с чем вас и поздравляю! В качестве понедельничного бонуса вот вам история о TeenSafe, сервисе для родителей по мониторингу активности детей на смартфонах. Сама идея присматривания за подростками в целом спорная и по этому поводу есть разные мнения, но тут все сильно усугубилось кривыми руками разработчиков сервиса. Эти молодцы держали на серверах Амазона в открытом виде пользовательскую информацию, включая имейл родителей (которые, собственно, открывали учетные записи), а также имейл/Apple ID детей, имя и уникальный идентификатор устройства, а также пароли к Apple ID детей в открытом виде. Видимо, получая AppleID и пароль от аккаунта детей, сервис обеспечивал контроль за установленными приложениями и местоположением детей. Более того, для обеспечения «наблюдения» за Apple ID на аккаунте должна была быть отключена двухфакторная авторизация, что добавляет изюминки в момент с хранением паролей от Apple ID в открытом виде. Непонятно, успели ли злоумышленники воспользоваться доступом к этим данным, но это был бы неплохой улов. Такие дела.

https://www.zdnet.com/article/teen-phone-monitoring-app-leaks-thousands-of-users-data/

Помните про Spectre и Meltdown? Наверняка многие помнят, возможно, о самой главной новости инфосека этого года. Так вот, а история-то не закончилась! Microsoft и Google совместно сообщили о новой обнаруженной уязвимости под названием Speculative Store Bypass, эксплуатирующей спекуляционные исполнения в современных процессорах. Обновления в Safari, Edge, Chrome, минимизирующие риски Meltdown, вроде как работают и для SSB, но против SSB еще отдельно будет выпущено обновление микрокода процессора, которое приводит к снижению производительности процессора на 2-8%. В обновлении защита от SSB будет выключена по умолчанию, так что админам придется делать выбор между безопасностью и производительностью.

https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528

Что может пойти не так, если подавать в Facebook свои обнаженные фотографии?

Вчера в новостях активно обсуждали проект Amazon под названием Rekognition (да, это не опечатка - https://aws.amazon.com/rekognition/) - сервис компании по распознаванию лиц на фотографиях.

Сервис может распознавать до 100 человек на одном снимке и сравнивать лица против базы данных с миллионами лиц. Сервис уже используется некоторыми подразделениями полиции для сравнения лиц с базой данных преступников, а сейчас Амазон ведёт переговоры о создании проекта, который позволял распознавать лица на камерах по городу. https://www.aclunc.org/docs/20180522_ARD.pdf#page=8

https://www.youtube.com/watch?v=sUzuJc-xBEE&feature=youtu.be&t=31m16s

Сама история вроде как и не выходит за рамки чего-то экстранеобычного, но в Штатах есть организации, которые борются с идеями подобного постоянного наблюдения, так что скандал нешуточный. С учётом того, что Амазон при этом продаёт потребителям железки со встроенными камерами, вопросы к Амазоне возникают вполне конкретные. А там, глядишь, и до распознавания отпечатка голоса недалеко благодаря популярности голосового помощника Alexa, и уж совсем никуда не скроешься от постоянного наблюдения. В общем, страшно жить, вот это все.

Минкульт поручил Ростуризму изучить целесообразность ограничения работы http://Booking.com в России

https://meduza.io/news/2018/05/22/minkult-poruchil-rosturizmu-izuchit-tselesoobraznost-ogranicheniya-raboty-booking-com-v-rossii

Потому что зачем вообще это всё

АПД
Министерство культуры РФ выступает категорически против запрета использования сервиса бронирования гостиниц Booking.com. Об этом заявила директор департамента туризма и региональной политики Ольга Ярилова.

Ведомство заверило, что работе сервиса на территории России ничего не угрожает, а также выступило против каких-либо планов регулирования его деятельности.

https://meduza.io/news/2018/05/23/minkult-vystupil-protiv-zapreta-booking-com-v-rossii

Кстати, о наблюдении и распознавании лиц на видео. Вот как в Китае следят за лицами школьников - сканируют каждые 30 секунд, распознают эмоции, а также используют лицо как идентификационный документ для библиотеки или покупки обедов.

http://www.businessinsider.com/china-school-facial-recognition-technology-2018-5

Apple в рамках подготовки к GDPR в Европе запустила новый сайт по Privacy - privacy.apple.com, где можно посмотреть данные, которые есть у компании на пользователей (пока что доступно только пользователям из ЕС, международное выкатывание произойдёт позже в этом году), а также можно удалить оттуда свой аккаунт (это уже доступно всем). Налетай, аккаунт удаляй!