еще бонус от читателя — ссылка на Медузу, там автор проанализировал информацию, которую отдает пользователям Telegram в рамках GDPR, чтобы продемонстрировать, что у сервиса хранится о пользователе
https://meduza.io/feature/2018/10/11/telegram-pozvolyaet-polzovatelyam-vykachat-vse-svoi-dannye-my-eto-sdelali-i-vot-chto-obnaruzhili-v-arhive

В интернете нарезает круги история про Apple Watch журналиста Washington Post, пропавшего после визита в консульство Саудовской Аравии (и, возможно, убитого там). Сама по себе история c его пропажей и возможным убийством ужасна, но я хотел поговорить именно о технологическом аспекте той части истории, где фигурирует Apple Watch. Если вкратце, то пишут, что журналист смог записать аудио своего убийства на Apple Watch, после чего это аудио то ли было передано в облако, то ли на телефон, и таким образом стало известно, что именно произошло с ним после того, как он зашел в здание посольства.

Если честно, то у меня есть большие сомнения в правдивости этой истории. Ноги у этой новости растут из статьи турецкой газеты Sabah, и изобилуют странными деталями, вроде той, что когда убийцы журналиста заметили, что часы ведут запись, они пытались разблокировать часы, прикладывая палец к экрану часов. Но в часах, как известно, нет сканера распознавания отпечатков пальцев.

На первоисточник ссылается Washington Post:
The newspaper also alleged Saudi officials tried to delete the recordings first by incorrectly guessing Khashoggi’s PIN on the watch, then later using the journalist’s finger.


Что вызывает у меня сомнения в этой истории? Например, известно, что журналист оставил свой телефон ожидавшей его невесте, и вошел в консульство только с часами. Приложения для записи звука на часах по умолчанию нет, его можно установить дополнительно. Даже если журналист его установил и часы действительно записывали аудио, радиус действия Bluetooth достаточно небольшой, чтобы можно было поддерживать соединение между часами и телефоном. Сами часы, даже если и обладали встроенным сервисом мобильной связи LTE, не могли бы работать автономно, потому что в Турции работа часов в мобильной сети на данный момент не поддерживается. Можно допустить, что журналист, войдя в здание, подключился к WiFi сети консульства, что тоже маловероятно. В watchOS 4 для автоматического подключения к сети (открытой или закрытой), нужно, чтобы хотя бы одно из устройств на том самом Apple ID уже ранее подключалось к этой сети. В watchOS 5 добавили возможность ручного подключения к незнакомым сетям WiFi, но watchOS 5 только недавно вышла, и, скорей всего, журналист мог её не установить еще, да и, наверно, не спешил бы это делать, войдя в здание консульства. Слишком много технических нестыковок, чтобы поверить в эту историю. Теоретически это возможно, конечно, но уж слишком много условий.

Самое реалистичное объяснение, которое я встречал для этой истории — это то, что турецкие власти на самом деле прослушивают консульство СА, и, обладая информацией о происшедшем там, хотят предать её огласке, но не могут "палить" установленные жучки. Поэтому сливают в прессу полуреалистичные истории про запись на часах, чтобы Турции кое-как сохранить лицо по поводу прослушки чужих дипломатических представительств.

- Пентагон заявил о взломе информационной системы, вследствие чего, похоже, утекли данные на 30 тысяч сотрудников военного ведомства, включая имена и данные кредитных карт военного и гражданского персонала:

http://apnews.com/7f6f4db35b0041bdbc5467848225e67d

— Европейское расследование Твиттера по сбору информации через ссылки для сокращения адресов (GDPR такой GDPR)
http://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/

- Устанавливаете дома камеры наблюдения для собственной безопасности? Учтите, что правоохранительные органы могут запросить у разработчика камер данные, хранящиеся в облаке, так что лучше вам под камерами не заниматься ничем предосудительным или нарушающим закон. Первый такой случай, когда данные были переданы (камера Nest, данные, соответственно, у Google), появился в США. А вообще Nest получила уже более 300 подобных запросов, так что практика вполне жива.

- много интересной информации о черве CRASHOVERRIDE, он же известен как "Industroyer". Отчет Dragos об угрозе и возможных путях защиты от вредоносного ПО, направленного на нанесение ущерба электросети.
https://dragos.com/blog/crashoverride/

Из категории "хорошие новости в мире инфосека". Я неоднократно писал о проблемах роутеров MikroTik (раз, два, три), которые доставляют неудобства уязвимостями своим владельцам. Как правило, проблемы уязвимостей чинятся установкой обновленной прошивки, но большинство пользователей этого, к сожалению, не делает.

Поэтому за дело взялись специалисты. ZDNet пишет о русскоязычном хакере Алексее, который патчит роутеры, оставленные без присмотра. Он подключается к уязвимым роутерам и добавляет правило на firewall для блокировки внешних подключений. В статье говорится, что он уже исправил правила на более чем 100 тысячах роутеров, из чего я делаю вывод, что, скорей всего, это доброе дело за него делает какой-то скрипт. Также в материале рассказывается, что пользователи, которым он рассказал об этом в телеграм-канале, посвященном безопасности роутеров MikroTik, в основном расстроились такими действиями добровольца. Еще ни одно доброе дело не осталось безнаказанным!

- если занимаетесь мошенничеством в интернете, то убедитесь, что архив с софтом для этого мошенничества не называется Very Big Fraud Package.zip ("Очень большой пакет для мошенничества"). Чувак, кстати, получил 14 лет тюрьмы, но не за название архива, конечно
https://www.washingtonpost.com/local/public-safety/md-man-who-called-fraud-the-best-job-in-the-whole-world-gets-14-years-in-prison/2018/10/12/cabdb854-cd85-11e8-a3e6-44daa3d35ede_story.html?utm_term=.7ed1f12efbd4

- уязвимость в SQL-мониторе, позволявшая получить доступ к некоторым данным в SQL Monitor
https://www.red-gate.com/products/dba/sql-monitor/entrypage/security-vulnerability-october-2018

- Свежесозданная социальная сеть для дейтинга сторонников Президента США Дональда Трампа начала с утечки данных своих пользователей
https://motherboard.vice.com/en_us/article/mbdwb3/the-donald-daters-trump-dating-app-exposed-a-load-of-its-users-data

- Wall Street Journal пишет о том, что Apple очень извиняется перед китайскими пользователями по поводу взлома их Apple ID аккаунтов. Я писал об этой истории тут, но проблема в том, что даже сейчас из статьи WSJ не ясно, что же именно там на самом деле произошло - ни как был получен доступ к аккаунтам, ни сколько денег при этом украли. Известно только, что аккаунты не были защищены двухфакторной аутентификацией. Какая-то мутная история.

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-16-at-2.21.14-PM.png)

Еще в июле я писал об этом в Телеграм-канале.

Правда, хакеры в последнее время вообще обленились — часто в письмах нет ни адреса почты, ни пароля. Просто "мы вас хакнули, давайте нам деньги". Лентяи.

Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST
отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: "can i log in?"

server: "no. you need a password."

me: "hacker voice i'm in"

server: "login successful. you're in"

Я недавно писал про анонсированный Facebook "умный" гаджет для дома - Portal. Он должен обеспечивать видео-звонки с другими устройствами Portal и приложением на смартфонах, а также наличие умного помощника в доме. Во время анонса представители Facebook утверждали, что у Portal не будет рекламы, а данные, собранные Facebook о пользователях Portal (использование приложений, прослушивание музыки в Spotify, и тд) не будут использованы для таргетирования пользователей рекламой.

(https://alexmak.net/wp-content/uploads/2018/10/facebook-portal-8-10.jpg)

В итоге, это оказалось неправдой. То есть часть про "не будет рекламы" все еще пока что правда, а вот с данными как-то нехорошо получилось.


“Portal voice calling is built on the Messenger infrastructure, so when you make a video call on Portal, we collect the same types of information (i.e. usage data such as length of calls, frequency of calls) that we collect on other Messenger-enabled devices. We may use this information to inform the ads we show you across our platforms. Other general usage data, such as aggregate usage of apps, etc., may also feed into the information that we use to serve ads”

Пока что оправдание из серии "мои коллеги имели в виду, что мы не собираемся использовать эти данные для рекламы, но мы можем их использовать". НУ ТАК, КОНЕЧНО, ГОРАЗДО ЛУЧШЕ. Надо быть совершенно упоротым, конечно, чтобы добровольно этот сборщик данных рекламного агентства поставить себе дома.

NSA продолжает радовать интересными опросами в Твиттере
https://twitter.com/NSAGov/status/1052580198435225600

Detroit Free Press рассказывает об эксперименте General Motors, которая на протяжении трех месяцев в 2017 году собирала данные по прослушиванию радио из автомобилей. Детали собираемых данных включали в себя выбор радиостанции, уровень громкости, почтовый индекс владельца.

Какие выводы из этого собирается делать GM и что будет делать с этими данными - пока непонятно, но ясно, что это может быть шагом к таргетированию рекламой водителей прямо в автомобиле. Представитель GM рассказывает, например, о том, что они обнаружили, что владельцы Cadillac Escalade и GMC Yukon (родственные большие внедорожники) будут, скорей всего, слушать разную музыку. А любитель музыки стиля кантри может чаще останавливаться в определенной сети ресторанов традиционной американской кухни. У GM есть приложение Marketplace в мультимедийной системе автомобилей для совершения покупок прямо в автомобилях, и собранная статистика от прослушивания радиостанций может помочь GM при работе с партнерами в этой системе.


GM утверждает, что все собираемые данные анонимизируются, хотя в статье не говорится, давали ли участвующие в эксперименте свое согласие на участие в нем. Все это выглядит соответствующе малоприятно, и еще больше вызывает желание не доверять вообще никому и никогда. Когда подобного поведения ожидаешь от Facebook, то можно предпринять какие-то меры предосторожности, плюс ты знаешь, что Facebook хотя бы старается оберегать данные пользователей (но это у них иногда получается плохо). Когда в работу с данными пользователей лезут автопроизводители, которые, может, и не догадываются, как эти данные можно и нужно хранить, то становится не по себе.

И говоря о сборе данных (как в истории с GM, например). Вчера Apple существенно обновила страницу Конфиденциальность, как компания регулярно делает к выходу новых версий своих операционных систем. На этой странице пользователи могут узнать о тех шагах, которые предпринимает Apple для сохранения конфиденциальной информации своих пользователей и их данных от самой себя, от сторонних приложений и других интересующихся этой информацией. Тут же отражены и те изменения, которые Apple внесла в последние версии iOS и macOS, например улучшения Internet Tracking Prevention в браузере Safari для ограничения слежки за пользователями в интернете. Очень полезная страница для тех, кто верит в то, что Apple действительно считает себя ответственной за сохранность конфиденциальности пользовательских данных (тех, кто не верит и считает это все маркетингом, никакая страница, конечно, не убедит).


В этом разделе сайта компании также можно больше узнать о том, как работают фреймворки машинного обучения Create ML и Core ML, функция ограничения времени работы с приложениями Screen Time, и какие требования с точки зрения конфиденциальности Apple выдвигает к навигационным приложениям для CarPlay.

Кроме этого, вчера Apple также запустила возможность загрузки данных, которые есть у компании "на пользователя". Пока что эта возможность есть у пользователей из Австралии, США, Новой Зеландии и Канады. Я запросил этот архив, но пока что данные не получил (Apple берет 7 дней на сборку данных):

(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-18-at-11.31.39-AM.png)

Когда архив придет, я расскажу, если обнаружу там что-то интересное. Кроме этих данных, можно запросить также документы, хранящиеся в iCloud Drive, почту iCloud и фотографии iCloud Photos, но эти данные у меня и так есть, поэтому я не видел смысла в их запросе. Часть данных, пишет Apple, может быть недоступна по следующим причинам:

Если какие-либо сведения не были предоставлены, это значит, что они существуют в формате, не подлежащем персональной идентификации, или не связаны с вашим идентификатором Apple ID, зашифрованы сквозным способом и не могут быть расшифрованы или вообще храниться компанией Apple. Кроме того, некоторые данные могли храниться в течение крайне непродолжительного срока и больше недоступны на наших серверах.

Apple достаточно успешно позиционирует себя как компанию, которая не нуждается в пользовательских данных для того, чтобы делать свои сервисы лучше. Глядя на то, как развиваются облачные сервисы конкурентов — той же Google, например — иногда ловишь себя на мысли, что у Google, не предлагающей такой прозрачности, получается лучше. А потом смотришь на то, как ведет себя Facebook с пользовательскими данными, и думаешь "нет, пусть уж лучше как Apple".

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те "десятки" других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.


Потом было еще продолжение о якобы микрочипах в портах Ethernet (тоже серверов компании SuperMicro) у какой-то крупной американской телекоммуникационной компании. Эту историю, в свою очередь, опровергли все основные телеком-компании в США. Вчера к этому хору отрицающих знание об этой истории добавился еще директор Службы национальной разведки США Дэн Коатс, который сказал, что "мы ничего такого не видели, но продолжаем наблюдать".

Теоретически, конечно, подобная история может существовать: аппаратные импланты не являются чем-то новым, и что-то подобное могло произойти, происходит сейчас или произойдет в будущем. Но проблема именно этой истории, начавшейся с публикации в Bloomberg, заключается в том, что на данный момент никаких доказательств заявленному в статье нет, и издание хранит гордое молчание по этому поводу. Все иллюстрации в первоначальной статье — тот самый чип на кончике карандаша — это именно иллюстрации, созданные художниками издания.
(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-05-at-12.15.58-PM.png)

Но подобная история, если Bloomberg так и не предоставит никаких доказательств, все равно будет жить — в качестве "городского мифа", передаваемого и модифицируемого "испорченным телефоном" интернета, возможно, даже обрастая какими-то новыми подробностями. Без реальных фактов, без качественных доказательств пока что статья в Bloomberg превращается в самый большой провал издания в направлении информационной безопасности. А там, глядишь, и до "fake news" недалеко.

1. Интересные результаты опроса, в котором оказалось, что многие люди, пользующиеся WhatsApp, не знают, что сервис принадлежит Facebook
https://spreadprivacy.com/facebook-whatsapp/

(https://alexmak.net/wp-content/uploads/2018/10/facebook-whatsapp-v2-1.png)

2. Что делать, если ваш аккаунт оказался среди затронутых недавним взломом Facebook
https://www.eff.org/deeplinks/2018/10/what-do-if-your-account-was-caught-facebook-breach

3. страничка уязвимости CVE-2018-10933 — той самой, затронувшей libssh. там же Docker-контейнер с уязвимостью, для экспериментов
https://github.com/hackerhouse-opensource/cve-2018-10933

4. кстати, о GitHub. Теперь там поддерживаются Security Alerts для проектов Java/.Net (это когда проект сканируется на предмет устаревших зависимостей).
https://www.zdnet.com/article/github-security-alerts-now-support-java-and-net-projects/

https://www.youtube.com/watch?v=odG2GX4_cUQ

В руках одного чувака - планшет с усилителем сигнала брелка, у второго, возле водительской двери — видимо, устройство, имитирующее ключ. Брелок, по словам владельца автомобиля, лежал далеко в доме, но усилитель помог добросить сигнал. У машины был отключен ввод PIN, а также включён пассивный доступ (когда двери разблокируются при приближении ключа). Интересно, что у меня по соседству так недавно угнали несколько BMW и Mercedes - усилив сигнал от брелка и прокинув команды разблокировки автомобиля. Цифровой доступ без ключа — это удобно, но имеет свои недостатки.

Читатель тут прислал ссылку, которую я дублировать не буду, но прокомментировать хочется:

Городской сервис ремонта цифровых устройств «Чудо техники» до 6 ноября проводит акцию «Диагностика за спасибо». Специалисты подскажут, что именно замедляет работу устройства, есть ли на нем вирусы или шпионские программы, и посоветуют, как решить другие проблемы с техникой. Пройти бесплатную цифровую диагностику можно только один раз, для этого необходимо оформить заявку на сайте проекта. Консультации проводят ежедневно, кроме воскресенья, с 10:00 до 20:00.

Во время проверки мастер не приходит к пользователям домой, а удаленно подключается к их устройствам со своего рабочего компьютера. Для этого нужно иметь доступ к интернету. Сама процедура длится около 20 минут. Абонент увидит все действия мастера и сможет контролировать их. Специалист получит возможность лишь единожды с позволения абонента подключиться к его компьютеру. Доступ будет временным, и повторить попытку мастер не сможет”

Это все, конечно, хорошо, но что-то я не уверен, что это очень хорошая идея пускать удаленно на свой компьютер кого попало и как попало. Допускаю, что они используют какой-нибудь Team Viewer с разовой сессией, но все равно я бы поостерегся таких бесплатных услуг. Понятно, что в канале читатели, которые и сами с подобными задачами на своем компьютере и компьютерах родственников это сделают, но, может, донесите там до окружающих, что осторожность не помешает. "Следи за собой, будь осторожен, "

- 75 тысяч записей с портала для записи в программу страхования здоровья в США. Непонятно, какие именно данные утекли.

https://www.zdnet.com/article/hackers-steal-data-of-75000-users-after-healthcare-gov-ffe-breach/

- Взлом сразу 8 сайтов одной компании, где взрослые люди делились обнаженными фотографиями своих партнеров (но зачем?). Сайты какие-то древние, но они все равно функционировали, и недавно всплыл 98МБ файл с IP-адресами, с 1,2 млн адресов электронной почты пользователей, именами и паролями, зашифрованными каким-то древним алгоритмом Descrypt
https://arstechnica.com/information-technology/2018/10/hack-on-8-adult-websites-exposes-oodles-of-intimate-user-data/

- просто эпичная история о том, как чувак запросил в рамках системы прозрачности местного правительства метаданные о переписке правительства города Сиэтла с жителями города, и в ответ случайно получил 32 млн записей, включая 256 первых букв из каждого письма, где можно было найти и номера кредиток, и пароли, и информацию о расследованиях ФБР, и много всего другого интересного. Когда он сообщил в IT-отдел города об их факапе, те заставили чувака данные удалить. Но вся история сама по себе прекрасная просто, включая тот факт, что чувак заплатил за эти данные 40 долларов.

https://mchap.io/that-time-the-city-of-seattle-accidentally-gave-me-32m-emails-for-40-dollars4997.html

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it."


2. С этим же призывом выступил Энди Джесси, руководитель направления AWS в Amazon:

@timcook is right. Bloomberg story is wrong about Amazon, too. They offered no proof, story kept changing, and showed no interest in our answers unless we could validate their theories. Reporters got played or took liberties. Bloomberg should retract.

3. СЕО компании SuperMicro — производителя этих серверов — тоже передал заявление CNBC о том, что Bloomberg должны отозвать статью. При этом компания запускает дополнительно исследование серверов на предмет посторонних чипов.

4. Журналисты The Washington Post также призывают Bloomberg предоставить доказательства или отозвать статью, иначе репутация издания и их отдела расследований пострадает.

Есть закономерный вопрос по поводу того, почему Apple и Ко не подадут в таком случае на Bloomberg в суд. Все-таки речь идет о репутации публичных компаний, и подобная статья приводит к изменению стоимости этих компаний, что в численном выражении может составлять миллиарды долларов (правда, денег акционеров, а не денег компаний, но публичные компании обязаны делать все для сохранения стоимости для акционеров). Если нарисовать более темный сценарий, то обвинения Китая в таких действиях — это вообще ситуация, которая при неудачном стечении обстоятельств могла бы и к войне привести. Так что это не просто "статейка", это серьезный материал в серьезном издании, и если материал оказался не соответствующим действительности, то издание должно взять на себя ответственность. Возможно, если Bloomberg продолжит настаивать на своей точке зрения, не отзовет статью и не предоставит дополнительных доказательств, то Apple и Amazon подадут в суд на издание. Если же Bloomberg опубликует дополнительные материалы, тогда будет еще более весело.

В качестве бонуса для тех, кто дочитал сюда, хочу дать дополнительную ссылку на большой материал-исследование заявлений, сделанных Bloomberg в статье. Из нее вы узнаете, что технические детали, опубликованные в Bloomberg, не соответствуют действительности и реальности. Примеры с подобными встроенными чипами, по мнению авторов STH, не могут работать так, как это описано в статье Bloomberg. Короче, я очень рекомендую почитать статью на ServerTheHome.

‌Злоумышленники взломали системы авиакомпании Cathay Pacific и её подразделения Hong Kong Dragon Airlines Limited, и получили доступ к данным 9,4 млн клиентов компании. Данные клиентов компании, которые могли быть затронуты во время незаконного доступа, включают в себя (но варьируются от пассажира к пассажиру):
паспортные данные,
дату рождения
информацию о идентификационных картах,
контактную информацию,
информацию о банковских картах (небольшое количество),
историю перелетов.

Пароли пользователей не были затронуты. Взлом произошел в марте.

В новостном разделе сайта компании тихо. На фоне этого всего политика конфиденциальности компании и список хранимых данных на пассажиров читается в новом ключе.

https://www.cathaypacific.com/cx/en_US/legal-and-privacy/customer-privacy-policy.html

(иногда мне кажется, что либо глючит плагин репоста из Вордпресса, либо разработчики Телеграма ежедневно переписывают парсер HTML, либо же глючу я и мы все давно умерли и живем в параллельной реальности. простите, был напуган)

Пользователям iOS 12 может быть полезно воспользоваться Шорткатом для проверки адреса электронной почты на предмет наличия в различных источниках утекшей за последние несколько лет информации (хотя, подозреваю, читатели канала давно это уже сделали без всяких шорткатов). Ссылка на шорткат:
https://www.icloud.com/shortcuts/12f9efa03ada4d2a9876f6647d94e8c3

(автор)

Шорткат отправляет запрос с адресом электронной почты по API на сайт HaveIBeenPwned.com, и выдает список сайтов, в утечках которого зарегистрирован указанный адрес. Дальше все в ваших руках — изменить пароли на этих сайтах, если вы еще не меняли их, и разработчики сайта не сбросили его автоматически, и убедиться, что эта комбинация логина и пароля не используется на других сайтах.