Так, комментарий про USB Accessories mode в iOS 12 beta. Одни написали не разобравшись (https://www.trustedreviews.com/news/ios-12-usb-restricted-passcode-iphone-3509225), другие давай “локализовать контент” (читай, перевод-рерайт-клики нужны для рекламы-потому что кушать хочется) уже на русском языке. Речь идет о том, что якобы в beta 4 iOS 12 Apple изменила поведение режима USB accessories, и теперь система будет требовать ввода пароля при каждом подключении USB-аксессуара. Пока что подтверждения этому изменению от экспертов нет, все работает как и раньше, никаких требований ввести пароль при подключении USB-аксессуара не появилось. Скорей всего, возникла путаница именно с тем, что при подключении к аксессуару час устройства не были разблокированы, и поэтому просили пароль. Короче, не читайте советских газет.
Trusted Reviews
iOS 12 will require passcode to enable any USB connection | Trusted Reviews
The latest iOS 12 developer beta requires the iPhone to be unlocked before allowing a connection to any USB device, potentially further safeguarding Apple. iOS 12 will require passcode to enable any USB connection.
Парочка ссылок и комментариев от читателей (вы лучшие!):
1. “Синема Парк – национальная сеть кинотеатров №1 в России. Предлагает вводить данные карты по http, при этом «Сайт полностью отвечает стандартам безопасности Visa и MasterCard» )))”
Хорошие новости, что совсем скоро Chrome будет сайты с http отмечать как небезопасные, может быть, таки дойдет до некоторых, что пора бы уже озаботиться нормальным сертификатом.
Да, оплата во фрейме по https, но осадочек остается (сайт не отвечает PCI-DSS, а фрейм - да)
2. ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам данных. Но на этот раз найденная экспертами незащищенная база MongoDB помогла выявить масштабную кардерскую кампанию по отмыванию денег.
https://xakep.ru/2018/07/18/carders-and-games/
3. На страницах IoT-поисковика ZoomEye обнаружены учетные данные десятков тысяч видеорегистраторов Dahua, работающих на старых прошивках. За три запроса можно найти пароли и логины к примерно 30 000 устройств.
https://www.bleepingcomputer.com/news/security/passwords-for-tens-of-thousands-of-dahua-devices-cached-in-iot-search-engine/
https://tproger.ru/news/passwords-dahua-devices/
4. Возвращаясь к теме выкладки приватных данных в публичные сервисы (поиск Яндекс по документам Google хорошо это показал). По рассказу читателя, в github тоже можно найти много интересного, включая токены, пароли и проч). %username%, будь осторожен!
1. “Синема Парк – национальная сеть кинотеатров №1 в России. Предлагает вводить данные карты по http, при этом «Сайт полностью отвечает стандартам безопасности Visa и MasterCard» )))”
Хорошие новости, что совсем скоро Chrome будет сайты с http отмечать как небезопасные, может быть, таки дойдет до некоторых, что пора бы уже озаботиться нормальным сертификатом.
Да, оплата во фрейме по https, но осадочек остается (сайт не отвечает PCI-DSS, а фрейм - да)
2. ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам данных. Но на этот раз найденная экспертами незащищенная база MongoDB помогла выявить масштабную кардерскую кампанию по отмыванию денег.
https://xakep.ru/2018/07/18/carders-and-games/
3. На страницах IoT-поисковика ZoomEye обнаружены учетные данные десятков тысяч видеорегистраторов Dahua, работающих на старых прошивках. За три запроса можно найти пароли и логины к примерно 30 000 устройств.
https://www.bleepingcomputer.com/news/security/passwords-for-tens-of-thousands-of-dahua-devices-cached-in-iot-search-engine/
https://tproger.ru/news/passwords-dahua-devices/
4. Возвращаясь к теме выкладки приватных данных в публичные сервисы (поиск Яндекс по документам Google хорошо это показал). По рассказу читателя, в github тоже можно найти много интересного, включая токены, пароли и проч). %username%, будь осторожен!
XAKEP
Незащищенная база MongoDB помогла разоблачить кампанию по отмыванию денег через мобильные игры
ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам данных. Но на этот раз случайно найденная экспертами незащищенная база MongoDB помогла выявить масштабную кардерскую кампанию по отмыванию…
помните, я пару дней назад писал про сервис переводов Venmo, который по умолчанию делает транзакции публичными (имя пользователя, фото, комментарий)
https://t.me/alexmakus/2250
Так вот, кто-то завел веселый твиттер, который парсит комментарии и твитит каждого, кто платит на venmo с комментариями про наркотики, алкоголь или секс
https://twitter.com/venmodrugs
страничка проекта на гитхабе
https://github.com/joel-g/venmo_tweeter
https://t.me/alexmakus/2250
Так вот, кто-то завел веселый твиттер, который парсит комментарии и твитит каждого, кто платит на venmo с комментариями про наркотики, алкоголь или секс
https://twitter.com/venmodrugs
страничка проекта на гитхабе
https://github.com/joel-g/venmo_tweeter
Telegram
Информация опасносте
говоря, кстати, о настройках приватности. В штатах есть такой популярный сервис для платежей с мобильного телефона, или же переводов денег между физлицами — Venmo (принадлежит PayPal). Так вот, у них по умолчанию данные о транзакциях пользователей — ПУБЛИЧНЫЕ.…
вчера меня (я даже соглашусь, что частично заслуженно) упрекнули в том, что я выделил одну компанию с http сайтом (пусть даже и фреймом https для платежей), хотя таких примеров огромное количество. Тогда вот вам общеобразовательная статья на тему того, почему сайту нужен HTTPS, даже если сайт не использует логинов, не хранит приватной информации или данных кредитных карт, с хорошими примерами о том, что бывает даже со статичными сайтами без https
https://www.troyhunt.com/heres-why-your-static-website-needs-https/
https://www.troyhunt.com/heres-why-your-static-website-needs-https/
Troy Hunt
Here's Why Your Static Website Needs HTTPS
It was Jan last year that I suggested HTTPS adoption had passed the "tipping point", that is, it had passed the moment of critical mass and as I said at the time, "will very shortly become the norm". Since that time, the percentage of web pages loaded over…
у Motherboard очень интересная статья о фейковом китайском iPhone, который выглядит весьма похожим на настоящий — и упаковка, и устройство, и дизайн операционной системы. Внутри оказываются бекдор в браузер, позволяющие удаленно запускать код, бекдор, сливающий кучу всякой информации об устройстве, информация об iCloud-аккаунте тоже хранится практически в открытом виде (хотя непонятно, наверно же, к iCloud-то как раз этот телефон подключиться не смог бы?). Короче, остерегайтесь дешевых айфонов!
https://motherboard.vice.com/en_us/article/qvmkdd/counterfeit-iphone-x-review-and-teardown
https://motherboard.vice.com/en_us/article/qvmkdd/counterfeit-iphone-x-review-and-teardown
Vice
We Tore Down a $100, Counterfeit iPhone X
We disassembled the phone and asked security researchers to probe it to find out what it is. Verdict: It's wild.
современные ограбления банков - весьма высокотехнологическая штука! Тут вот у ПИР-банка украли более 58 млн рублей с корсчета банка в Банке Россия. Общая информация об этом у Коммерсанта
https://www.kommersant.ru/doc/3677400
В очередной раз отличилась группа MoneyTaker, вот отчёт из прошлого года о том, как они работают
https://www.group-ib.com/blog/moneytaker
Вот статья на русском об этом ограблении
https://xakep.ru/2018/07/20/moneytaker-strikes-again/
Как выяснили аналитики Group-IB, атака на ПИР Банк началась еще в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На этом маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть финансового учреждения. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющих региональную филиальную сеть.
Для закрепления в системе и автоматизации некоторых этапов атаки хакеры MoneyTaker как правило используют скрипты на PowerShell, что отмечалось еще в прошлом отчете. Проникнув в основную сеть ПИР банка, злоумышленники смогли получить доступ к АРМ КБР, сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета.
https://www.kommersant.ru/doc/3677400
В очередной раз отличилась группа MoneyTaker, вот отчёт из прошлого года о том, как они работают
https://www.group-ib.com/blog/moneytaker
Вот статья на русском об этом ограблении
https://xakep.ru/2018/07/20/moneytaker-strikes-again/
Как выяснили аналитики Group-IB, атака на ПИР Банк началась еще в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На этом маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть финансового учреждения. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющих региональную филиальную сеть.
Для закрепления в системе и автоматизации некоторых этапов атаки хакеры MoneyTaker как правило используют скрипты на PowerShell, что отмечалось еще в прошлом отчете. Проникнув в основную сеть ПИР банка, злоумышленники смогли получить доступ к АРМ КБР, сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета.
Коммерсантъ
ПИР для хакеров
Впервые с начала года стало известно о выводе средств из банка
А в Сингапуре вот взломали базу данных медпациентов сети клиник SingHealth. Имена, адреса, пол, раса, дата рождения - и все это на полтора миллиона человек. Плюс рецепты на лекарства - еще на 160 тыс человек. Вся информация опасносте!
https://www.moh.gov.sg/content/moh_web/home/pressRoom/pressRoomItemRelease/2018/singhealth-s-it-system-target-of-cyberattack.html
https://www.moh.gov.sg/content/moh_web/home/pressRoom/pressRoomItemRelease/2018/singhealth-s-it-system-target-of-cyberattack.html
RedHat выпустили тулзу для сканирования на предмет наличия уязвимости на Spectre, вариант 1
https://access.redhat.com/blogs/766093/posts/3510331
https://access.redhat.com/blogs/766093/posts/3510331
Red Hat Customer Portal
SPECTRE Variant 1 scanning tool - Red Hat Customer Portal
Access Red Hat’s knowledge, guidance, and support through your subscription.
В картинке постом выше мне очень не понравилось еще, что оно выглядит как будто кто-то левый ходил в мой аккаунт и читал из него почту. Подозреваю, что менее осведомлённые пользователи и понимающие разницу, могут в панике побежать поставить приложение Gmail, раз Гугл советует. А там, глядишь, и фишинг в таком виде подтянется.
И кстати о Google и Gmail. Читатель канала поделился ссылкой о том, что новый «режим конфиденциальности» в Gmail не такой уж конфиденциальный, так что если вы его используете - то учитывайте это
http://www.eff.org/deeplinks/2018/07/between-you-me-and-google-problems-gmails-confidential-mode
И кстати о Google и Gmail. Читатель канала поделился ссылкой о том, что новый «режим конфиденциальности» в Gmail не такой уж конфиденциальный, так что если вы его используете - то учитывайте это
http://www.eff.org/deeplinks/2018/07/between-you-me-and-google-problems-gmails-confidential-mode
Electronic Frontier Foundation
Between You, Me, and Google: Problems With Gmail's “Confidential Mode”
With Gmail’s new design rolled out to more and more users, many have had a chance to try out its new “Confidential Mode.” While many of its features sound promising, what “Confidential Mode” provides
А вот еще про тему почты, фишинга и безопасности. Представители Google рассказали, что с начала 2017 года компания установила требование, что все сотрудники должны использовать физические ключи безопасности для двухфакторной авторизации. И начиная с этого момента, ни один из 85 тыс сотрудников компании не стал жертвой фишинга.
https://krebsonsecurity.com/2018/07/google-security-keys-neutered-employee-phishing/
https://krebsonsecurity.com/2018/07/google-security-keys-neutered-employee-phishing/
Честно говоря, даже после стольких постов в канале о приколах в IoT-устройствах словосочетание «уязвимости в пылесосе» все равно звучит как-то дико. Но энивей, уязвимости с удаленным исполнением кода с правами superuser - наша сегодняшняя реальность. И хорошо, если пылесос там в ботнете просто поучаствует. А вот у китайских пылесосов еще есть камера и удаленное управление со смартфона. Так и представляю себе хакера, который, высунув язык, удалённо управляет пылесосом, который заползает к вам в спальню и показывает картинку того, что у вас в спальне происходит... черт, как-то очень реалистично получилось, захотелось даже свой робот пылесос выбросить, хотя у него и нет WiFi и камеры... Но да, админский пароль 888888 на всех устройствах, и большинство пользователей, конечно, его не меняет.
https://xakep.ru/2018/07/20/diqee-360/
https://xakep.ru/2018/07/20/diqee-360/
XAKEP
Уязвимости позволяют взломать робот-пылесос Diqee 360 и шпионить за его владельцами
Специалисты Positive Technologies раскрыли данные о двух уязвимостях в китайских роботах-пылесосах Diqee 360. За счет этих багов атакующий может выполнить на устройстве произвольный код с привилегиями superuser, что позволяет полностью перехватить управление…
И вот еще тоже веселая история про камеры. И Убер. Водитель Убера стримил своих пассажиров без их ведома в Twitch. В трансляции мелькали имена, адреса, кого-то тошнило, кто-то там что-то личное рассказывал. Водителя уже выпилили из Убера, а пассажирам Убер выдал по 5 долларов! Хорошая компенсация
https://www.stltoday.com/news/local/metro/st-louis-uber-driver-has-put-video-of-hundreds-of/article_9060fd2f-f683-5321-8c67-ebba5559c753.html
https://www.stltoday.com/news/local/metro/st-louis-uber-driver-has-put-video-of-hundreds-of/article_9060fd2f-f683-5321-8c67-ebba5559c753.html
Поскольку уже несколько человек прислали мне ссылку на Пикабу, где внезапно обнаружили, что Букинг передаёт в отели данные о картах (https://pikabu.ru/story/bookingcom_razdaet_privatnyie_dannyie_kart_klientov_tretim_litsam_ostorozhno_6046604), напомню, что это все-таки не новость
https://t.me/alexmakus/1746
https://journal.tinkoff.ru/booking-card/
https://t.me/alexmakus/1746
https://journal.tinkoff.ru/booking-card/
Пикабу
Booking.com раздает приватные данные карт клиентов третьим лицам! Осторожно!
Автор: Oyshoboy
Привет! А знаете, что сегодня за день? Сегодня день HTTP-шейминга! Именно сегодня выходит Chrome 68, который будет все сайты без HTTPS объявлять небезопасными — об этом Google объявила еще в феврале этого года
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html. Релиз еще не опубликован, как я понимаю, но выйдет сегодня. Почему даже простому сайту нужен HTTPS, я писал уже тут https://t.me/alexmakus/2255
По этому поводу Трой Хант, известный по сайту HaveIBeenPwned.com, где можно проверить свой имейл или пароль на предмет утечки в интернете, запустил новый проект — сайт https://whynohttps.com, где можно посмотреть на популярные сайты в интернете, которые до сих пор не завели себе HTTPS. Причем там есть как общий список, так и разбивка по странам. Вот, например, Россия — https://whynohttps.com/country/ru, а вот сайты из Украины https://whynohttps.com/country/ua.
В России в списке порадовал Сбербанк, хотя речь идет всего лишь о главной странице, а не о личном кабинете, но тем не менее не по эджайлу это!
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html. Релиз еще не опубликован, как я понимаю, но выйдет сегодня. Почему даже простому сайту нужен HTTPS, я писал уже тут https://t.me/alexmakus/2255
По этому поводу Трой Хант, известный по сайту HaveIBeenPwned.com, где можно проверить свой имейл или пароль на предмет утечки в интернете, запустил новый проект — сайт https://whynohttps.com, где можно посмотреть на популярные сайты в интернете, которые до сих пор не завели себе HTTPS. Причем там есть как общий список, так и разбивка по странам. Вот, например, Россия — https://whynohttps.com/country/ru, а вот сайты из Украины https://whynohttps.com/country/ua.
В России в списке порадовал Сбербанк, хотя речь идет всего лишь о главной странице, а не о личном кабинете, но тем не менее не по эджайлу это!
Google Online Security Blog
A secure web is here to stay
Posted by Emily Schechter, Chrome Security Product Manager For the past several years, we’ve moved toward a more secure web by strongly adv...
Как оно бывает. У юзера на многих страницах не работал Chrome, говорил долго «Connecting”, и потом отваливался. Оказалось, что
Since we last communicated I did some more research and tracked down the cause of the problem. It turns out our internet service provider uses HTTP injection, and one of their injections was improperly being issued from our modem. It was prefacing every HTTP request with a redirect to a specific IP address (associated with a defunct TOS agreement pop up) that was timing out. A tech came out and replaced the modem and the problem disappeared immediately. It's obviously less than ideal to have ISPs doing this sort of thing, but at least we know what was causing the connection difficulties.
https://productforums.google.com/forum/?noredirect=true#!topic/chrome/_OTuQ23gtyc
Since we last communicated I did some more research and tracked down the cause of the problem. It turns out our internet service provider uses HTTP injection, and one of their injections was improperly being issued from our modem. It was prefacing every HTTP request with a redirect to a specific IP address (associated with a defunct TOS agreement pop up) that was timing out. A tech came out and replaced the modem and the problem disappeared immediately. It's obviously less than ideal to have ISPs doing this sort of thing, but at least we know what was causing the connection difficulties.
https://productforums.google.com/forum/?noredirect=true#!topic/chrome/_OTuQ23gtyc
Я вообще не очень люблю Electron как источник десктопных приложений, но тут отдельно хорошо о том, как приложение Google справляется с редиректами для фишинга
https://blog.bentkowski.info/2018/07/vulnerability-in-hangouts-chat-aka-how.html
https://blog.bentkowski.info/2018/07/vulnerability-in-hangouts-chat-aka-how.html
blog.bentkowski.info
Vulnerability in Hangouts Chat: from open redirect to code execution
A few mongth ago, Google released a new product - Hangouts Chat application, which is surely an answer to Slack . Hangouts Chat might be us...
Привет,
В связи с некоторой повышенной нагрузкой в других направлениях редакция журнала приносит свои извинения за временное затишье и задержку с обновлениями ленты канала. В попытках догнать — сразу несколько интересных ссылок на почитать:
Тут есть какая-то пока что весьма странная и непонятная история со взломом iPhone посредством использования решение MDM (Mobile Device Management). Пока не очень понятно, кто это делает и с какой целью, и как именно происходит атака, но у жертв оказывались на телефоне сертификаты MDM, после чего злоумышленники подменяли на устройстве честные приложения на зараженные вредоносным кодом.
Статья о первоначальном обнаружении
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html
И продолжение (в котором обнаруживается, что там еще фигурируют бинарники для Windows
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM-Part2.html
И на русском
https://xakep.ru/2018/07/16/malicious-mdm/
https://xakep.ru/2018/07/26/bahamut-link/
В связи с некоторой повышенной нагрузкой в других направлениях редакция журнала приносит свои извинения за временное затишье и задержку с обновлениями ленты канала. В попытках догнать — сразу несколько интересных ссылок на почитать:
Тут есть какая-то пока что весьма странная и непонятная история со взломом iPhone посредством использования решение MDM (Mobile Device Management). Пока не очень понятно, кто это делает и с какой целью, и как именно происходит атака, но у жертв оказывались на телефоне сертификаты MDM, после чего злоумышленники подменяли на устройстве честные приложения на зараженные вредоносным кодом.
Статья о первоначальном обнаружении
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html
И продолжение (в котором обнаруживается, что там еще фигурируют бинарники для Windows
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM-Part2.html
И на русском
https://xakep.ru/2018/07/16/malicious-mdm/
https://xakep.ru/2018/07/26/bahamut-link/
Cisco Talos Blog
Advanced Mobile Malware Campaign in India uses Malicious MDM
Summary
Cisco Talos has identified a highly targeted campaign against 13 iPhones which appears to be focused on India. The attacker deployed an open-source mobile device management (MDM) system to control enrolled devices. At this time, we don't know how…
Cisco Talos has identified a highly targeted campaign against 13 iPhones which appears to be focused on India. The attacker deployed an open-source mobile device management (MDM) system to control enrolled devices. At this time, we don't know how…
Интересно про древнюю уязвимость в протоколе, позволяющую перехватывать данные, передаваемые между двумя устройствами (например, запись из адресной книги, пароли, вводимые на клавиатуре, другая потенциально важная информация, которую, например, могут передавать медицинские приборы). Также уязвимость позволяет подменять строки на ходу, что, например, может привести в итоге к исполнению кода на устройстве (открыть консоль, ввести команду, в общем, веселиться во весь рост)
iOS, macOS, Android (LG, Huawei) уже пропатчены в последних версиях, а вот у Microsoft как-то Bluetooth совсем какой-то древний. Информация об уязвимости
https://www.kb.cert.org/vuls/id/304725
Подробный отчет тут https://www.cs.technion.ac.il/~biham/BT/bt-fixed-coordinate-invalid-curve-attack.pdf
iOS, macOS, Android (LG, Huawei) уже пропатчены в последних версиях, а вот у Microsoft как-то Bluetooth совсем какой-то древний. Информация об уязвимости
https://www.kb.cert.org/vuls/id/304725
Подробный отчет тут https://www.cs.technion.ac.il/~biham/BT/bt-fixed-coordinate-invalid-curve-attack.pdf
www.kb.cert.org
CERT/CC Vulnerability Note VU#304725
Bluetooth implementations may not sufficiently validate elliptic curve parameters during Diffie-Hellman key exchange
Одна из популярных рубрик на этом канале — утечки данных. Агрегатор данных Exactis “пролюбил” базу данных на 340 миллионов персональных записей, включая имена, имейлы, физические адреса, номера телефонов и проч — до 400 полей по каждому человеку! База лежала в открытом доступе без защиты хотя бы простым паролем — я писал об этом в конце июня — https://t.me/alexmakus/2189
https://www.wired.com/story/exactis-database-leak-340-million-records/
Об этом стало известно около месяца назад — тогда еще было непонятно, утекли ли реально куда-то эти данные. Ну что ж, теперь стало понятно, что утекли, потому что базу нашли в интернете. Вот пример записи
https://pastebin.com/QUMSr4q5
ЧТо за контора такая? Агрегатор данных, который собирает и скупает разную информацию, комбинирует их в своей базе для последующей перепродажи. Надеюсь, их засудят хорошенько.
https://www.marketwatch.com/story/what-is-exactisand-how-could-it-have-the-data-of-nearly-every-american-2018-06-28
https://www.wired.com/story/exactis-database-leak-340-million-records/
Об этом стало известно около месяца назад — тогда еще было непонятно, утекли ли реально куда-то эти данные. Ну что ж, теперь стало понятно, что утекли, потому что базу нашли в интернете. Вот пример записи
https://pastebin.com/QUMSr4q5
ЧТо за контора такая? Агрегатор данных, который собирает и скупает разную информацию, комбинирует их в своей базе для последующей перепродажи. Надеюсь, их засудят хорошенько.
https://www.marketwatch.com/story/what-is-exactisand-how-could-it-have-the-data-of-nearly-every-american-2018-06-28