А вот еще про тему почты, фишинга и безопасности. Представители Google рассказали, что с начала 2017 года компания установила требование, что все сотрудники должны использовать физические ключи безопасности для двухфакторной авторизации. И начиная с этого момента, ни один из 85 тыс сотрудников компании не стал жертвой фишинга.

https://krebsonsecurity.com/2018/07/google-security-keys-neutered-employee-phishing/

Честно говоря, даже после стольких постов в канале о приколах в IoT-устройствах словосочетание «уязвимости в пылесосе» все равно звучит как-то дико. Но энивей, уязвимости с удаленным исполнением кода с правами superuser - наша сегодняшняя реальность. И хорошо, если пылесос там в ботнете просто поучаствует. А вот у китайских пылесосов еще есть камера и удаленное управление со смартфона. Так и представляю себе хакера, который, высунув язык, удалённо управляет пылесосом, который заползает к вам в спальню и показывает картинку того, что у вас в спальне происходит... черт, как-то очень реалистично получилось, захотелось даже свой робот пылесос выбросить, хотя у него и нет WiFi и камеры... Но да, админский пароль 888888 на всех устройствах, и большинство пользователей, конечно, его не меняет.

https://xakep.ru/2018/07/20/diqee-360/

И вот еще тоже веселая история про камеры. И Убер. Водитель Убера стримил своих пассажиров без их ведома в Twitch. В трансляции мелькали имена, адреса, кого-то тошнило, кто-то там что-то личное рассказывал. Водителя уже выпилили из Убера, а пассажирам Убер выдал по 5 долларов! Хорошая компенсация
https://www.stltoday.com/news/local/metro/st-louis-uber-driver-has-put-video-of-hundreds-of/article_9060fd2f-f683-5321-8c67-ebba5559c753.html

Поскольку уже несколько человек прислали мне ссылку на Пикабу, где внезапно обнаружили, что Букинг передаёт в отели данные о картах (https://pikabu.ru/story/bookingcom_razdaet_privatnyie_dannyie_kart_klientov_tretim_litsam_ostorozhno_6046604), напомню, что это все-таки не новость

https://t.me/alexmakus/1746

https://journal.tinkoff.ru/booking-card/

Привет! А знаете, что сегодня за день? Сегодня день HTTP-шейминга! Именно сегодня выходит Chrome 68, который будет все сайты без HTTPS объявлять небезопасными — об этом Google объявила еще в феврале этого года
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html. Релиз еще не опубликован, как я понимаю, но выйдет сегодня. Почему даже простому сайту нужен HTTPS, я писал уже тут https://t.me/alexmakus/2255

По этому поводу Трой Хант, известный по сайту HaveIBeenPwned.com, где можно проверить свой имейл или пароль на предмет утечки в интернете, запустил новый проект — сайт https://whynohttps.com, где можно посмотреть на популярные сайты в интернете, которые до сих пор не завели себе HTTPS. Причем там есть как общий список, так и разбивка по странам. Вот, например, Россия — https://whynohttps.com/country/ru, а вот сайты из Украины https://whynohttps.com/country/ua.

В России в списке порадовал Сбербанк, хотя речь идет всего лишь о главной странице, а не о личном кабинете, но тем не менее не по эджайлу это!

Как оно бывает. У юзера на многих страницах не работал Chrome, говорил долго «Connecting”, и потом отваливался. Оказалось, что

Since we last communicated I did some more research and tracked down the cause of the problem. It turns out our internet service provider uses HTTP injection, and one of their injections was improperly being issued from our modem. It was prefacing every HTTP request with a redirect to a specific IP address (associated with a defunct TOS agreement pop up) that was timing out. A tech came out and replaced the modem and the problem disappeared immediately. It's obviously less than ideal to have ISPs doing this sort of thing, but at least we know what was causing the connection difficulties.

https://productforums.google.com/forum/?noredirect=true#!topic/chrome/_OTuQ23gtyc

Я вообще не очень люблю Electron как источник десктопных приложений, но тут отдельно хорошо о том, как приложение Google справляется с редиректами для фишинга

https://blog.bentkowski.info/2018/07/vulnerability-in-hangouts-chat-aka-how.html

Привет,

В связи с некоторой повышенной нагрузкой в других направлениях редакция журнала приносит свои извинения за временное затишье и задержку с обновлениями ленты канала. В попытках догнать — сразу несколько интересных ссылок на почитать:

Тут есть какая-то пока что весьма странная и непонятная история со взломом iPhone посредством использования решение MDM (Mobile Device Management). Пока не очень понятно, кто это делает и с какой целью, и как именно происходит атака, но у жертв оказывались на телефоне сертификаты MDM, после чего злоумышленники подменяли на устройстве честные приложения на зараженные вредоносным кодом.
Статья о первоначальном обнаружении
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html
И продолжение (в котором обнаруживается, что там еще фигурируют бинарники для Windows
https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM-Part2.html

И на русском
https://xakep.ru/2018/07/16/malicious-mdm/
https://xakep.ru/2018/07/26/bahamut-link/

Интересно про древнюю уязвимость в протоколе, позволяющую перехватывать данные, передаваемые между двумя устройствами (например, запись из адресной книги, пароли, вводимые на клавиатуре, другая потенциально важная информация, которую, например, могут передавать медицинские приборы). Также уязвимость позволяет подменять строки на ходу, что, например, может привести в итоге к исполнению кода на устройстве (открыть консоль, ввести команду, в общем, веселиться во весь рост)
iOS, macOS, Android (LG, Huawei) уже пропатчены в последних версиях, а вот у Microsoft как-то Bluetooth совсем какой-то древний. Информация об уязвимости
https://www.kb.cert.org/vuls/id/304725

Подробный отчет тут https://www.cs.technion.ac.il/~biham/BT/bt-fixed-coordinate-invalid-curve-attack.pdf

Одна из популярных рубрик на этом канале — утечки данных. Агрегатор данных Exactis “пролюбил” базу данных на 340 миллионов персональных записей, включая имена, имейлы, физические адреса, номера телефонов и проч — до 400 полей по каждому человеку! База лежала в открытом доступе без защиты хотя бы простым паролем — я писал об этом в конце июня — https://t.me/alexmakus/2189
https://www.wired.com/story/exactis-database-leak-340-million-records/

Об этом стало известно около месяца назад — тогда еще было непонятно, утекли ли реально куда-то эти данные. Ну что ж, теперь стало понятно, что утекли, потому что базу нашли в интернете. Вот пример записи
https://pastebin.com/QUMSr4q5

ЧТо за контора такая? Агрегатор данных, который собирает и скупает разную информацию, комбинирует их в своей базе для последующей перепродажи. Надеюсь, их засудят хорошенько.
https://www.marketwatch.com/story/what-is-exactisand-how-could-it-have-the-data-of-nearly-every-american-2018-06-28

И еще одна популярная рубрика в канале — умные IoT устройства. Камера, которая позволяла неавторизованным пользователям смотреть и слушать то, что снимали чужие камеры.
https://www.zdnet.com/article/flaw-let-anyone-snoop-on-smart-cameras/

Привет. Вы все, наверно, получили уведомление в Телеграме о запуске сервиса Passport:

Introducing Telegram Passport in Version 4.9:

- Telegram Passport – a unified authorization method for services that require personal identification.
- Store your identity documents and personal data in the Telegram cloud using End-to-End Encryption.
- Instantly share your data with services that require real-world ID (finance, ICOs, etc.).

вам, поди, еще и на русском пришло :) но не важно. Суть сервиса достаточно простая - Телеграм выступает неким идентификационным центром, проверив ваши документы, а затем сообщает другим сервисам, что вы - тот, за кого вы себя выдаёте. Чисто теоретически сервис в чем-то похож на современные платежные системы с помощью телефона - Apple Pay, Android Pay, и тд. Там компания (Apple) выступает таким «проверяльщиком», убедившись, что у вас есть карта и есть счёт в банке, а при попытке оплаты в ритейле уже Apple подтверждает транзакцию, и все чики-пуки. Так и в случае с Телеграм Паспортом - внешний сервис верит Телеграму. Вопрос в том, сколько таких сервисов, которые будут готовы поверить Телеграму, чтобы это стало критичной точкой и смогло драйвить массовое принятие пользователями такого сервиса? ну и пользователи тоже ведь достаточно подозрительны в последнее время, и я не уверен, что многие прям толпами ломанутся нести свои паспортные данные в компанию, слухи о которой ходят самые разные. Думаю, предложи Apple подобный сервис, реакция была бы другой.

По пятничному безумная история про то, как одна тетка, обидевшись на другую тетку за комментарий в ФБ, разместила на одном сайте информацию, порочащую репутацию второй тетки (типа та, занимаясь продажей недвижимости, занималась сексом с мужем первой тетки). Информация расползлась по интернету, и вторая тетка потеряла массу клиентов и денег. В итоге она наняла адвокатов, которые вычислили и первую тетку, и особо буйную распространительницу этой информации (просто из вредности), но вред уже нанесён. информация расползлась по куче сайтов в интернете, и во многих случаях даже с решением суда (о том, что информация не соответствует действительности), сайты отказываются снимать информацию, и это продолжает портить жизнь человеку. ОПАСНОСТЕ
https://gizmodo.com/when-a-stranger-decides-to-destroy-your-life-1827546385

Но есть и прекрасная новость. 364 заключённых в тюрьмах штата Айдахо использовали выдаваемые им в тюрьмах планшеты (что само по себе уже прекрасно) и обнаружили в них некую уязвимость. Дальше из статьи не очень понятно, что именно происходило - якобы заключённые использовали свои учетки, привязанные к планшетам, для того, чтобы получить некие «цифровые зачеты-бонусы», у которых была вполне ощутимая фискальная стоимость суммой в 225 тыс долларов. Они использовали их для покупки музыки, игр и проч. Ну не молодцы ли? (Хотя историю про чуваков, построивших компьютер в тюрьме из запчастей и хранивших их в нычке под потолком, и получивших доступ в интернет с аккаунта охранников, это не перебьёт).

https://www.bleepingcomputer.com/news/security/364-idaho-inmates-hacked-their-prison-tablets-for-free-credits/

Вот, кстати, та история про чуваков, собравших компьютер в тюрьме. Тот пост тоже вышел в пятницу :)

https://t.me/alexmakus/1088

И регулярное напоминание про то, что Spectre (уязвимость в процессорах) никуда не делась. Вот первая атака с использованием этой уязвимости по сети - NetSpectre (когда на компьютере жертвы даже нет кода, контролируемого злоумышленником, если я правильно понял документ)

https://misc0110.net/web/files/netspectre.pdf

В Штатах несколько дней поломали сеть одной из крупнейших компаний по перевозке грузов - COSCO. Так вот, их сеть до сих пор не работает - ни почта, ни телефоны, ни даже вебсайт. Компания пострадала от вируса-вымогателя, но деталей пока нет. И так уже несколько дней.


https://www.bleepingcomputer.com/news/security/ransomware-infection-cripples-shipping-giant-coscos-american-network/

http://www.cosco-usa.com

Развлечение тихим субботним вечером :)

Все забывал рассказать об одном разводе, в последнее время встречающемся в интернете. Это происходит не очень часто, но есть подозрение, что этот скам может активизироваться (недавно похожее письмо получил один из моих знакомых, и рассказал мне об этом). Короче, в чем фишка: вам приходит письмо, в котором в теме письма может быть либо ваш пароль, либо комбинация имейла или логина и пароля. Это может быть пароль от какого-то сервиса, которым пользуетесь в данный момент, или пользовались когда-то - деталей по этому поводу в письме нет. Но фокус письма на том, что «злоумышленник знает ваш пароль», и этого, как правило, достаточно для того, чтобы привлечь ваше внимание.

Дальше в тексте письма все достаточно просто. Злоумышленник пишет о том, что разместил вирус на каком-нибудь порно-сайте, и когда вы зашли туда, вирус включил камеру и записал происходящее перед компьютером. А заодно сохранил ввод с клавиатуры, контакты из почты, фейсбука и проч. Так что теперь вы должны заплатить выкуп в виде какой-то части биткойна (сумма, как правило, колеблется от 1000 до 2000 долл), иначе через 24 часа сохранённое видео будет разослано всем вашим контактам из скопированной адресной книги.

Большинство из вас, скорей всего, получив такое письмо, с недоверием хмыкнуло бы и отправило его в спам. К сожалению, менее квалифицированные пользователи вполне могут запаниковать или даже заплатить (https://www.bleepingcomputer.com/news/security/adult-site-blackmail-spammers-made-over-50k-in-one-week/). Я, конечно, не готов дать 100% гарантию, но с вероятностью 99.99% могу утверждать, что это развод, не имеющий под собой фактической базы. К сожалению, утечек пользовательских записей в последние годы было предостаточно, чтобы злоумышленники могли скомбинировать из этих утечек достаточно массовые списки из логинов и паролей, чтобы рассылать такие письма и пугать пользователей. Вот почему я думаю, что подобного спама в будущем будет больше. Рекомендации в этом случае стандартные для гигиены паролей: заводите сложные и длинные пароли, заведите менеджер паролей, не повторяйте пароли на разных сайтах, и если возможно - включайте двухфакторную авторизацию.

Если опасаетесь записи с камеры на порносайте (да и не только на порносайте) - можно, конечно, заклеить и камеру (если у компьютера нет специальной шторки).

PS и ни в коем случае не платите этим жуликам.

Вот, кстати, пример такого письма