Оказывается, если найти незаблокированный компьютер, да подключить к нему специальный кабель с вредоносным ПО, то можно сделать какие-нибудь неприятности. Интересно, а что мешает делать неприятности без кабеля, раз уж все равно есть физический доступ к незаблокированному компьютеру? https://xakep.ru/2018/08/21/usbharpoon/

А вот тут пишут, что в Скайп наконец-то завезли оконечное шифрование разговоров. В духе Microsoft для использования шифрованных оконечных чатов надо:
- специально активировать функцию
- чаты не включены по умолчанию
- на одном устройстве может быть только один приватный разговор в один момент времени (што?)
https://mspoweruser.com/skypes-end-to-end-encrypted-private-conversations-feature-now-available-across-platforms/

Умная розетка, эксплуатация уязвимости в которой позволяет злоумышленникам получать доступ к другим умным устройствам в домашней сети. Все как я люблю
https://securingtomorrow.mcafee.com/mcafee-labs/insight-into-home-automation-reveals-vulnerability-in-simple-iot-product/

Привет! Сегодня как-то много хороших новостей сразу набралось:

- уязвимость в фреймворке Apache struts, позволяющая удаленному злоумышленнику получить контроль над сайтом
https://lgtm.com/blog/apache_struts_CVE-2018-11776

Апдейт уже вышел, есть смысл обновиться
https://thehackernews.com/2018/08/apache-struts-vulnerability.html

- уязвимость в MS Office 2016 для Мака. Там обходится проверка подписи в установщике, что приводит к эскалации привелегий до рутовых. Опасно, если, например, кто-то решил сэкономить и скачать установщик из какого-нибудь торрента. Тоже вышел апдейт, версия 18081201. Вы знаете, что делать.

https://medium.com/0xcc/cve-2018-8412-ms-office-2016-for-mac-privilege-escalation-via-a-legacy-package-7fccdbf71d9b

я как-то писал здесь про VPN-клиент Onavo, который принадлежит Facebook, и о том, как он на самом деле собирает различную информацию о пользователях и отправляет её в ФБ (https://t.me/alexmakus/1770, и еще тут https://t.me/alexmakus/1823). Так вот, хорошие новости в этом случае заключаются в том, что Apple удалила это приложение из App Store за нарушение правил магазина (точнее, заставила ФБ убрать его). Основания, которые озвучила Apple: создание базы данных с пользовательской информацией и передача её третьим сторонам, а также тот факт, что информация собираемая Onavo, не входила в ключевую функциональность VPN-клиента, и использовалась для последующего анализа. Представитель Facebook заявил, что «мы всегда следуем правилам платформы, и приложение всегда чётко давало понять, какую информацию оно собирает и как она используется».

Статья в WSJ, но там требуется подписка
https://www.wsj.com/articles/facebook-to-remove-data-security-app-from-apple-store-1534975340

https://twitter.com/_noid_/status/1032388306284081152?s=21

Я во второй фазе, но я все равно terrified

А вот мне пришёл фишинг, видимо

А вот это круто - Fortnite стал за включение двухфакторной авторизации выдавать бонус, и вот результат

А тут мобильный оператор T-Mobile рассказывает об утечке примерно 2 миллионов записей о клиентах - имена, номера телефонов, имейлы и другая информация
https://www.t-mobile.com/customers/6305378821

Привет! У меня тут накопилось много интересных ссылок за период затишья с пятницы, так что начнём!

Помните, я бросал ссылку на Инстаграм с заброшенным отделением полиции и документами в нем? https://t.me/alexmakus/2322

Так вот, возмездие не заставило себя ждать
https://telegra.ph/Bolshe-10-policejskih-strogo-nakazany-za-zabroshennyj-otdel-v-Moskve-Sredi-nih--bolshie-nachalniki-CHto-im-budet-08-24

А вот веселая история о том, как команда российских и украинских хакеров взламывала информационные агентства и получала заранее доступ к пресс-релизам, запланированным к публикации. Потом они брали эти пресс-релизы и отдавали трейдерам на рынке ценных бумаг (за 40%), которые использовали инсайдерскую информацию для торгов акциями. Наторговали на 100 млн долларов. По ссылке - очень большой лонгрид на английском, с кучей интересных деталей, так что начинайте, если у вас много времени

https://www.theverge.com/2018/8/22/17716622/sec-business-wire-hack-stolen-press-release-fraud-ukraine

Кстати, о лонгридах. Тоже очень интересная статья в Wired о нашумевшем в прошлом году вирусе NotPetya, которую в издании назвали самой разрушительной кибератакой в истории, с потерями, превышающими 10 млрд долл

https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

Компания Spyfone, которая разрабатывает приложение и сервис для мониторинга детей родителями, или сотрудников работодателями (обе темы, конечно, весьма спорные изначально), отличилась. В незащищенном бакете Amazon S3 обнаружились публично доступные терабайты данных пользователей тысяч пользователей сервиса: текстовые сообщения, фотографии, аудиозаписи, сообщения в Facebook, история просмотров страниц в браузере и многое-многое другое. Там еще и бекэнд оказался незащищенным, и позволял создавать админские аккаунты и просматривать пользовательскую информацию. В качестве бонуса оказалось возможным получить список всех пользователей компании (11 тысяч уникальных адресов электронной почты). Вот такой сервис, который мало того, что оперирует в том, что можно назвать достаточно неоднозначной сфере), так еще и бестолочи, неспособные обеспечить сколько-нибудь нормальную защиту для данных пользователей.

https://motherboard.vice.com/en_us/article/9kmj4v/spyware-company-spyfone-terabytes-data-exposed-online-leak

Кстати, об утечках клиентских данных. Также отличилась известная, наверно, всем компания Abbyy. Публичная MongoDB (конечно же!) с более чем 200 тысяч конфиденциальных документов - контрактов, NDA, замёток и прочего, уходящего историей в 2012 год - все это принадлежит одному неназванному клиенту компании. После уведомления исследователем, который обнаружил эту дыру, компания прикрыла доступ к этой базе данных. Успел ли кто-то из злоумышленников получить доступ к этой информации - неизвестно.


https://www.linkedin.com/pulse/abbyy-exposed-its-document-storage-database-more-than-bob-diachenko

И еще один follow-up к ранее фигурировавшей тут теме. Помните, я писал про Fortnite на Android и как EA решила сэкономить на комиссии Google, и вместо распространения через Google Play, решила распространять приложение самостоятельно?

Я писал об этом тут https://t.me/alexmakus/2295 и тут https://t.me/alexmakus/2296

Все оказалось даже хуже :) Практически сразу представители Google обнаружили Man-in-the-Disk вектор атаки для этого приложения, что позволяло вредоносным приложениям перехватить процесс установки игры и установить другие вредоносные приложения. Версия 2.1.0 исправляет эту уязвимость. Детали атаки по ссылке
https://www.bleepingcomputer.com/news/security/fortnite-android-app-vulnerable-to-man-in-the-disk-attacks/

(Там, кстати, еще интересное про срачик между Epic и Google, так как последние раскрыли детали уязвимости раньше, чем Epic выпустила патч. Наверняка это была расплата за то, что Эпик решили не делиться с Гугл комиссией за внутриигровые покупки).

Читатель канала просил обратить ваше внимание на то, что ФСБ в своих обращениях принимает данные паспорта по HTTP, так что будьте осторожны, если вдруг для вас это актуально :)
http://www.fsb.ru/fsb/webreception.htm

Странно как-то это все

Кто подавал данные на заведение CVE через https://iwantacve.org могут с удивлением обнаружить, что заявки помещаются в открытый Google Docs (несмотря на то, что там об этом написано). Причем можно посмотреть как на утвержденные уязвимости (прошедшие модерацию, им присвоили номер), так и на новые заявки.
Забавно получается, CVE еще нет (может и патча), а информация об уязвимости уже доступна ¯\_(ツ)_/¯

Сегодня новость дня - это изменение политики конфиденциальности Телеграма
https://telegram.org/privacy#8-3-law-enforcement-authorities

8.3. Law Enforcement Authorities
If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant authorities. So far, this has never happened. When it does, we will include it in a semiannual transparency report published at: https://t.me/transparency.

Об этом изменении мне написали, кажется, все пользователи Телеграма. При этом представители компании говорят, что мессенджер не станет предоставлять переписку и ключи для дешифровки сообщений (как того хотела ФСБ в России). Я пока что подожду с выводами, чтобы посмотреть, как Телеграм будет в реальности оперировать с этими условиями, но хочу отметить, что передача информации о пользователях по решению суда - это нормальная практика у тех же Google, Apple или Amazon. Другое дело, что они никогда и не обещали не выдавать информацию о пользователях. Ну и в некоторых странах решение суда можно получить легче, чем в других, если вы понимаете, о чем я. Короче, если у вас паранойя и вам кажется, что ваше государство готово назвать вас террористом, то Телеграмом, конечно, вам лучше не пользоваться.