Я много пишу про доступность любой информации в интернете (и в блоге, и в Телеграм-канале). А ведь дальше будет только хуже. Просто почитайте эту статью (в отрыве от ее политического аспекта), чтобы в очередной раз убедиться, что сохранности частных данных просто не существует. То кто-то чужое водительское удостоверение пришлёт, то читатели по базам данных страховых компаний, куда у них есть доступ, ищут информацию и присылают её исследователям:

Наши читатели, используя базу данных страховых полисов ОСАГО и реквизиты водительского удостоверения, выяснили, что данные права действительно зарегистрированы на имя

Ну и дальше там полный список различных сервисов, по которым проводится полный деанон человека. Только подтверждаются тезисы из этой статьи. Не новость, конечно, но каждый раз хочется уехать куда-то в лес без электричества.

Из рубрики «никогда такого не было, и вот опять» - исследователи Tenable обнаружили несколько уязвимостей в RouterOS, используемой в роутерах MikroTik. И все, как уже было неоднократно: параметры входа по умолчанию, и уязвимости, приводящие к полному контролю над роутером. Для разных роутеров вышли обновления RouterOS версий 6.40.9, 6.42.7 и 6.43 - вы знаете, что делать.

https://www.tenable.com/blog/tenable-research-advisory-multiple-vulnerabilities-discovered-in-mikrotiks-routeros

Между тем, так и не предоставив никаких доказательств истории с китайскими чипами в серверах Apple и Amazon, Bloomberg продолжает педалировать тему, публикуя новую статью на эту тему. Теперь, если верить статье, крупная телекоммуникационная компания в США обнаружила у себя в сети сервер Supermicro, с критическим технологическим компонентом, над которым были проведены некие манипуляции. Якобы был обнаружен имплант, встроенный в Ethernet-порт сервера, который, видимо, должен был служить бэкдором в сервер (но из статьи не очень понятно, делал ли он это).

Важно отметить также, что все крупнейшие телекоммуникационные компании США заявили о том, что эта история не о них (компания в статье не называется).

Я уже не знаю, что об этом думать (к счастью, я не один такой). Все требуют доказательств, но Bloomberg хранит молчание.


Материалы по теме:
- интервью с источником для второй статьи о чипе в Ethernet-порту
- Подкаст с экспертом по аппаратным имплантам, который общался с авторами первой статьи в Bloomberg. Он высказывает сомнения, поскольку с журналистами он разговаривал про теоретически возможные сценарии, а потом оказалось, что его теоретически возможный сценарий внезапно оказался описанным точь в точь, только уже в якобы реальном кейсе.

But it was surprising to me that in a scenario where I would describe these things and then he would go and confirm these and 100 percent of what I described was confirmed by sources.

- Интересный тред в твиттере чувака, который как-то общался с журналистами Bloomberg, которые написали историю про китайские чипы, на другую тему. Если резюмировать этот тред: журналисты хорошие, но любят раздувать тему, невнимательно относятся к техническим деталям и не всегда фильтруют источники.

Обнаруженная в августе уязвимость в WhatsApp (для iOS и Android) была исправлена в последнем апдейте, так что обновление не помешает. Уязвимость позволяла при поступлении звонка от злоумышленника закрешить клиент (и, видимо, потенциально сделать что-то еще, о чем исследователь из Google не говорит, но называет эту проблему big deal).

Кстати, комментарий к багу там интересный

Несколько интересных и полезных ссылок, накопившихся за последнее время:

Встроенная защита от фейковых клавиатур в Safari на iOS 12
https://www.reddit.com/r/apple/comments/9m94qg/til_safari_on_ios_12_has_builtin_protection/

Introducing Intra: A New App to Stop DNS Manipulation
https://medium.com/@JigsawTeam/introducing-intra-a-new-app-to-stop-dns-manipulation-f76de3f5d01

Use YubiKey security key to sign into AWS Management Console with YubiKey for multi-factor authentication
https://aws.amazon.com/blogs/security/use-yubikey-security-key-sign-into-aws-management-console/

просто ссылка от читателя 🙂 https://www.google.com/search?q=db_password+filetype%3Aenv

ААААААААААААААААААААААААААААА!
https://twitter.com/misterjamo/status/1050436638520823809

Неделю назад стало известно о том, что социальную сеть Facebook взломали и злоумышленники получили доступ к примерно 50 млн пользовательских записей. Сегодня Facebook опубликовал дополнительную информацию об этом взломе, из которой можно узнать:

- расследование показало, что из первоначальной оценки 50 млн пользовательских записей, которые могли быть затронуты, реально украдены токены были у 30 млн пользователей.
- из этих 30 млн пользователей у 15 млн пользователей хакеры получили доступ к базовой контактной информации (адрес электронной почты и/или номер телефона)
- у 14 млн пользователей хакеры получили доступ к гораздо большему набору информации: всё та же контактная информация, плюс никнейм, пол, язык, статус отношений, религия, город рождения, текущий город, указанный в профиле, дату рождения, типы устройств, используемые для доступа к Facebook, информацию об образовании, работе, последние 10 мест чекина или отмеченных, адрес сайта, список людей или страниц, которые пользователи фолловят, а также 15 последних поисковых запросов.
- у 1 млн человек нападавшие не получили никакой информации.


- Атака не затронула сервисы Messenger, Instagram, WhatsApp, Pages, платежи и учетные записи рекламодателей и разработчиков.

Проверить, был ли затронут ваш аккаунт, можно на странице помощи. Расследование взлома ведет также ФБР, и Facebook написали, что агентство попросило их не разглашать дополнительную информацию.

несколько интересных ссылок по теме канала на почитать:

1. Bug bounty | mail.ru Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей
https://habr.com/post/416835/
(спасибо читателю канала)

2. Отчет агентства по ответственности правительства (US Government Accountability Office) о состоянии цифровой безопасности Министерства обороны США (по результатам "учений", в которых специально отобранные хакеры пытались взламывать - вполне успешно - различные системы министерства). Публичная версия отчета не содержит в себе конкретных технических деталей, но все равно интересно почитать:
https://www.gao.gov/products/GAO-19-128

3. Еще одна фитнес-компания не уберегла данные своих пользователей, оставив базу открытой на AWS:
https://www.infosecurity-magazine.com/news/fitmetrix-exposes-millions-of/

4. Украденные Apple ID используются для воровства денег у пользователей Alipay и WeChat (я так понимаю, там все завязано на том, что Apple ID требует в Китае номера телефона, а потом получается привязка к реальным аккаунтам платежных систем. Как-то сложно, но, видимо, работает):
https://www.reuters.com/article/us-china-alipay-apple/chinas-alipay-says-stolen-apple-ids-behind-thefts-of-users-money-idUSKCN1ML0QO

5. Про пароль Kanye West
https://motherboard.vice.com/en_us/article/j53n87/kanye-west-worst-iphone-passcode

И в рамках пятницы картинка о том, почему информационная безопасность касается каждого!

(https://alexmak.net/wp-content/uploads/2018/10/0C1F00D2-12E0-4B31-BADB-4F92A89CE533.jpg)

еще бонус от читателя — ссылка на Медузу, там автор проанализировал информацию, которую отдает пользователям Telegram в рамках GDPR, чтобы продемонстрировать, что у сервиса хранится о пользователе
https://meduza.io/feature/2018/10/11/telegram-pozvolyaet-polzovatelyam-vykachat-vse-svoi-dannye-my-eto-sdelali-i-vot-chto-obnaruzhili-v-arhive

В интернете нарезает круги история про Apple Watch журналиста Washington Post, пропавшего после визита в консульство Саудовской Аравии (и, возможно, убитого там). Сама по себе история c его пропажей и возможным убийством ужасна, но я хотел поговорить именно о технологическом аспекте той части истории, где фигурирует Apple Watch. Если вкратце, то пишут, что журналист смог записать аудио своего убийства на Apple Watch, после чего это аудио то ли было передано в облако, то ли на телефон, и таким образом стало известно, что именно произошло с ним после того, как он зашел в здание посольства.

Если честно, то у меня есть большие сомнения в правдивости этой истории. Ноги у этой новости растут из статьи турецкой газеты Sabah, и изобилуют странными деталями, вроде той, что когда убийцы журналиста заметили, что часы ведут запись, они пытались разблокировать часы, прикладывая палец к экрану часов. Но в часах, как известно, нет сканера распознавания отпечатков пальцев.

На первоисточник ссылается Washington Post:
The newspaper also alleged Saudi officials tried to delete the recordings first by incorrectly guessing Khashoggi’s PIN on the watch, then later using the journalist’s finger.


Что вызывает у меня сомнения в этой истории? Например, известно, что журналист оставил свой телефон ожидавшей его невесте, и вошел в консульство только с часами. Приложения для записи звука на часах по умолчанию нет, его можно установить дополнительно. Даже если журналист его установил и часы действительно записывали аудио, радиус действия Bluetooth достаточно небольшой, чтобы можно было поддерживать соединение между часами и телефоном. Сами часы, даже если и обладали встроенным сервисом мобильной связи LTE, не могли бы работать автономно, потому что в Турции работа часов в мобильной сети на данный момент не поддерживается. Можно допустить, что журналист, войдя в здание, подключился к WiFi сети консульства, что тоже маловероятно. В watchOS 4 для автоматического подключения к сети (открытой или закрытой), нужно, чтобы хотя бы одно из устройств на том самом Apple ID уже ранее подключалось к этой сети. В watchOS 5 добавили возможность ручного подключения к незнакомым сетям WiFi, но watchOS 5 только недавно вышла, и, скорей всего, журналист мог её не установить еще, да и, наверно, не спешил бы это делать, войдя в здание консульства. Слишком много технических нестыковок, чтобы поверить в эту историю. Теоретически это возможно, конечно, но уж слишком много условий.

Самое реалистичное объяснение, которое я встречал для этой истории — это то, что турецкие власти на самом деле прослушивают консульство СА, и, обладая информацией о происшедшем там, хотят предать её огласке, но не могут "палить" установленные жучки. Поэтому сливают в прессу полуреалистичные истории про запись на часах, чтобы Турции кое-как сохранить лицо по поводу прослушки чужих дипломатических представительств.

- Пентагон заявил о взломе информационной системы, вследствие чего, похоже, утекли данные на 30 тысяч сотрудников военного ведомства, включая имена и данные кредитных карт военного и гражданского персонала:

http://apnews.com/7f6f4db35b0041bdbc5467848225e67d

— Европейское расследование Твиттера по сбору информации через ссылки для сокращения адресов (GDPR такой GDPR)
http://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/

- Устанавливаете дома камеры наблюдения для собственной безопасности? Учтите, что правоохранительные органы могут запросить у разработчика камер данные, хранящиеся в облаке, так что лучше вам под камерами не заниматься ничем предосудительным или нарушающим закон. Первый такой случай, когда данные были переданы (камера Nest, данные, соответственно, у Google), появился в США. А вообще Nest получила уже более 300 подобных запросов, так что практика вполне жива.

- много интересной информации о черве CRASHOVERRIDE, он же известен как "Industroyer". Отчет Dragos об угрозе и возможных путях защиты от вредоносного ПО, направленного на нанесение ущерба электросети.
https://dragos.com/blog/crashoverride/

Из категории "хорошие новости в мире инфосека". Я неоднократно писал о проблемах роутеров MikroTik (раз, два, три), которые доставляют неудобства уязвимостями своим владельцам. Как правило, проблемы уязвимостей чинятся установкой обновленной прошивки, но большинство пользователей этого, к сожалению, не делает.

Поэтому за дело взялись специалисты. ZDNet пишет о русскоязычном хакере Алексее, который патчит роутеры, оставленные без присмотра. Он подключается к уязвимым роутерам и добавляет правило на firewall для блокировки внешних подключений. В статье говорится, что он уже исправил правила на более чем 100 тысячах роутеров, из чего я делаю вывод, что, скорей всего, это доброе дело за него делает какой-то скрипт. Также в материале рассказывается, что пользователи, которым он рассказал об этом в телеграм-канале, посвященном безопасности роутеров MikroTik, в основном расстроились такими действиями добровольца. Еще ни одно доброе дело не осталось безнаказанным!

- если занимаетесь мошенничеством в интернете, то убедитесь, что архив с софтом для этого мошенничества не называется Very Big Fraud Package.zip ("Очень большой пакет для мошенничества"). Чувак, кстати, получил 14 лет тюрьмы, но не за название архива, конечно
https://www.washingtonpost.com/local/public-safety/md-man-who-called-fraud-the-best-job-in-the-whole-world-gets-14-years-in-prison/2018/10/12/cabdb854-cd85-11e8-a3e6-44daa3d35ede_story.html?utm_term=.7ed1f12efbd4

- уязвимость в SQL-мониторе, позволявшая получить доступ к некоторым данным в SQL Monitor
https://www.red-gate.com/products/dba/sql-monitor/entrypage/security-vulnerability-october-2018

- Свежесозданная социальная сеть для дейтинга сторонников Президента США Дональда Трампа начала с утечки данных своих пользователей
https://motherboard.vice.com/en_us/article/mbdwb3/the-donald-daters-trump-dating-app-exposed-a-load-of-its-users-data

- Wall Street Journal пишет о том, что Apple очень извиняется перед китайскими пользователями по поводу взлома их Apple ID аккаунтов. Я писал об этой истории тут, но проблема в том, что даже сейчас из статьи WSJ не ясно, что же именно там на самом деле произошло - ни как был получен доступ к аккаунтам, ни сколько денег при этом украли. Известно только, что аккаунты не были защищены двухфакторной аутентификацией. Какая-то мутная история.

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-16-at-2.21.14-PM.png)

Еще в июле я писал об этом в Телеграм-канале.

Правда, хакеры в последнее время вообще обленились — часто в письмах нет ни адреса почты, ни пароля. Просто "мы вас хакнули, давайте нам деньги". Лентяи.

Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST
отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: "can i log in?"

server: "no. you need a password."

me: "hacker voice i'm in"

server: "login successful. you're in"

Я недавно писал про анонсированный Facebook "умный" гаджет для дома - Portal. Он должен обеспечивать видео-звонки с другими устройствами Portal и приложением на смартфонах, а также наличие умного помощника в доме. Во время анонса представители Facebook утверждали, что у Portal не будет рекламы, а данные, собранные Facebook о пользователях Portal (использование приложений, прослушивание музыки в Spotify, и тд) не будут использованы для таргетирования пользователей рекламой.

(https://alexmak.net/wp-content/uploads/2018/10/facebook-portal-8-10.jpg)

В итоге, это оказалось неправдой. То есть часть про "не будет рекламы" все еще пока что правда, а вот с данными как-то нехорошо получилось.


“Portal voice calling is built on the Messenger infrastructure, so when you make a video call on Portal, we collect the same types of information (i.e. usage data such as length of calls, frequency of calls) that we collect on other Messenger-enabled devices. We may use this information to inform the ads we show you across our platforms. Other general usage data, such as aggregate usage of apps, etc., may also feed into the information that we use to serve ads”

Пока что оправдание из серии "мои коллеги имели в виду, что мы не собираемся использовать эти данные для рекламы, но мы можем их использовать". НУ ТАК, КОНЕЧНО, ГОРАЗДО ЛУЧШЕ. Надо быть совершенно упоротым, конечно, чтобы добровольно этот сборщик данных рекламного агентства поставить себе дома.

NSA продолжает радовать интересными опросами в Твиттере
https://twitter.com/NSAGov/status/1052580198435225600

Detroit Free Press рассказывает об эксперименте General Motors, которая на протяжении трех месяцев в 2017 году собирала данные по прослушиванию радио из автомобилей. Детали собираемых данных включали в себя выбор радиостанции, уровень громкости, почтовый индекс владельца.

Какие выводы из этого собирается делать GM и что будет делать с этими данными - пока непонятно, но ясно, что это может быть шагом к таргетированию рекламой водителей прямо в автомобиле. Представитель GM рассказывает, например, о том, что они обнаружили, что владельцы Cadillac Escalade и GMC Yukon (родственные большие внедорожники) будут, скорей всего, слушать разную музыку. А любитель музыки стиля кантри может чаще останавливаться в определенной сети ресторанов традиционной американской кухни. У GM есть приложение Marketplace в мультимедийной системе автомобилей для совершения покупок прямо в автомобилях, и собранная статистика от прослушивания радиостанций может помочь GM при работе с партнерами в этой системе.


GM утверждает, что все собираемые данные анонимизируются, хотя в статье не говорится, давали ли участвующие в эксперименте свое согласие на участие в нем. Все это выглядит соответствующе малоприятно, и еще больше вызывает желание не доверять вообще никому и никогда. Когда подобного поведения ожидаешь от Facebook, то можно предпринять какие-то меры предосторожности, плюс ты знаешь, что Facebook хотя бы старается оберегать данные пользователей (но это у них иногда получается плохо). Когда в работу с данными пользователей лезут автопроизводители, которые, может, и не догадываются, как эти данные можно и нужно хранить, то становится не по себе.