site:http://s3.amazonaws.com CONFIDENTIAL {company_name}

https://twitter.com/x0rz/status/1063467587592486912

‌На Motherboard статья об исследовательском проекте, в рамках которого продемонстрировали, как искусственный интеллект может генерить отпечатки пальцев, которые могут быть мастер-ключами для сенсоров сканирования отпечатков пальцев. Речь не о повторении ваших уникальных отпечатков и капилляров, а именно о создании искусственных отпечатков, которые могут стать ключом сразу для большой группы людей. Ой.

https://arxiv.org/abs/1705.07386

Рекомендую почитать весь отчет, там очень интересно:

(https://alexmak.net/wp-content/uploads/2018/11/Screen-Shot-2018-11-16-at-3.10.06-PM.png)

Они там тренировали свои сети на прокатанных на бумаге отпечатках, и на отпечатках с ёмкостных сенсоров, которые можно обнаружить в современных телефонах. Вопрос, конечно, в том числе и в уровне разрешения, которое сканируют сенсоры, в отчете есть статистика, что на качественных сенсорах уровень "обмана" — меньше 1,2%. Но я хотел сказать о другом. Никто никогда и не говорил, насколько я помню, что сенсоры сканеров отпечатков пальцев (или лица) нельзя обмануть. Если у вас такой уровень паранойи, то лучше всегда пользоваться PIN-кодом, который формально вас не могут принудить раскрыть (неформально-то разное бывает, конечно). Но если у вас есть опасения, что за вами охотится кто-то с таким уровнем знаний, оборудования и желания разблокировать ваш телефон, то о биометрии вам лучше забыть. Большинство же пользователей, которым не грозит такой уровень угрозы, и нужно, чтобы в телефон не залезли коллеги, дети или воришка, стащивший телефон, могут расслабиться и продолжать пользоваться сенсорами отпечатков пальцев или сканирования лица.

Исследователи обнаружили в интернете сервер компании Voxox (бывшая Telcentris), который служил шлюзом для передачи в SMS различных одноразовых паролей, ссылок для сбросов паролей, и тд. Компании, подобные Vovox, предоставляют сервисы многим компаниям-разработчикам других приложений или сервисов, для того, чтобы обеспечивать доставку подобных текстовых сообщений — они конвертируют коды в SMS и отправляют их в сотовые сети.

https://techcrunch.com/2018/11/15/millions-sms-text-messages-leaked-two-factor-codes/

Сервер был доступен в интернете, без какой-либо защиты паролем, и позволял желающим (и знающим, куда смотреть) увидеть практически в реальном времени поток различных сообщений. Кроме того, на сервере была настроена Kibana, что позволяло легко и удобно просматривать всю информацию, формировать поисковые запросы, и тд. Вопрос лишь в том, знали ли об этом какие-нибудь злоумышленники и могли ли они применить сценарий, при котором доступ к этой информации мог быть использован с пользой для них.

Очередное доказательство того, что SMS-подтверждения — зло, и лучше пользоваться приложениями-аутентификаторами.

Еще несколько ссылок на почитать на выходных, если будет много свободного времени.

- интереснейший лонгрид о Facebook и о том, как компания пыталась митигировать последствия одного кризиса за другим:
https://www.nytimes.com/2018/11/14/technology/facebook-data-russia-election-racism.html?module=inline
(там и про российское влияние на выборы, и про лоббисткие компании, которые очерняли активистов, и про реакцию на скандал с Cambridge Analytica, и про дружбу с законодателями в Вашингтоне. Это как бы не совсем по теме канала и инфосека, но надо понимать, что Фейсбук — обладатель одной из крупнейших коллекций персональных данных на жителей планеты. Поэтому очень полезно понимать, как компания функционирует на самом верху)

- как использовать давно не обновляемый Apple iPod Touch можно использовать в виде безопасного коммуникационного устройства вместо смартфона:
https://motherboard.vice.com/en_us/article/439dk9/how-to-use-ipod-touch-secure-device-instead-of-phone

- интересный гид Mozilla Foundation по популярным подаркам в этом году. Как это связано с информационной безопасностью? К каждому подарку есть параметры о возможности сбора информации или прослушки, и насколько эти подарки пугающе неприятны или неприятно пугающие (камеры, умные колонки, детские мониторы, игрушки и тд):
https://foundation.mozilla.org/en/privacynotincluded/

Хороших выходных!

FYI — там у Microsoft в Azure прилегла MFA, поэтому у пользователей, у которых корпоративное требование MFA, испытывают некоторые сложности
https://azure.microsoft.com/en-us/status/

Привет,

Сегодня, к сожалению, еще один апдейт со ссылками, потому что редакция зашивается с кучей других дел. Но зато ссылок много, и они интересные!

1. История на Реддите, где сисадмин нашел вредоносное устройство, подключенное к сети (спойлер — подключено бывшим сотрудником)
https://www.reddit.com/r/sysadmin/comments/9xveq5/rogue_raspberrypi_found_in_network_closet_need/

2. Владелец Tesla пожаловался в поддержку форума Tesla на проблемы с редактированием поста, в ответ поддержка случайно выдала ему админские права на весь форум:
https://motherboard.vice.com/en_us/article/7xy8ey/customer-complains-about-tesla-forums-tesla-accidentally-gives-him-control-over-them

3. Топ-менеджеры сети кинотеатров повелись на мошенническое письмо (типа фейкового счета к оплате), что обошлось компании в 19 млн евро.
https://www.databreachtoday.com/blogs/french-cinema-chain-fires-dutch-executives-over-ceo-fraud-p-2681

4. Патент Facebook на то, что они будут распознавать на ваших фотографиях ваших членов семьи и таким образом создавать профиль всего семейства для улучшения эффективности таргетирования рекламой
http://appft.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PG01&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.html&r=1&f=G&l=50&s1=%2220180332140%22.PGNR.&OS=DN/20180332140&RS=DN/20180332140

5. Отчет о том, как Microsoft собирает данные на индивидуальных пользователей в рамках корпоративных продуктов (и это нигде не афишируется)
(PDF) PDF https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office/DPIA+Microsoft+Office+2016+and+365+-+20191105.pdf

6. Статья о SenseTime, компании, которая помогает строить в Китае сети видеонаблюдения с распознаванием лиц и других объектов
https://www.bloomberg.com/news/articles/2018-11-19/this-company-is-helping-build-china-s-panopticon-it-won-t-stop-there?srnd=businessweek-v2

7. Большая статья о банкоматах и методах их взломов
(PDF) https://www.ptsecurity.com/upload/corporate/ww-en/analytics/ATM-Vulnerabilities-2018-eng.pdf

Также в связи с праздниками редакция прощается с вами до следующей недели! Берегите себя и свою информацию!

После затянувшегося перерыва редакция нашла в себе силы продолжить публикацию обновлений, которых накопилось большое количество. Начнем с "технических ошибок", в которых за прошедшую неделю отметились парочка крупных компаний.

В рамках реализации функциональности по закачке пользовательских данных, которая была предоставлена пользователям благодаря европейскому законодательству GDPR, Instagram для небольшого количества пользователей засветила пароли. В частности, когда пользователи запрашивали информацию о себе у Instagram, то в ссылке был прописан пароль пользователя открытым текстом. Упс. Нехорошо как-то получилось, особенно если кто-то делал это на компьютере, к которому может иметь доступ кто-то еще. Если вы получили письмо от Instagram об этой истории, рекомендация сменить пароль лишней не будет.

https://www.theinformation.com/articles/new-instagram-bug-raises-security-questions?shared=6cc196d735a0f678
https://nakedsecurity.sophos.com/2018/11/20/instagram-accidentally-reveals-plaintext-passwords-in-urls/

А британский Амазон разослал некоторым пользователям в Великобритании письмо о том, что в результате некой технической ошибки сайт раскрыл информацию о пользователях — имя и имейл. Кому раскрыл, как это произошло и какое количество пользователей было затронуто — неизвестно. Но письмо с уведомлением выглядело так, что многие пользователи восприняли его за попытку фишинга.

https://www.theregister.co.uk/2018/11/21/amazon_data_breach/

Государственная почтовая служба США United States Postal Service (USPS) предоставляет пользователям сервис Informed Delivery, с помощью которого можно увидеть, какую почту в этот день доставит почтальон. Сервис сканирует внешнюю часть корреспонденции и пользователи могут в онлайне посмотреть, например, ждать ли в этот день важное письмо.

Оказалось, что в API этого сервиса была обнаружена уязвимость, позволявшая получить доступ к персональным данным 60 миллионов пользователей, отправляя произвольные запросы к сервису. Данные включали в себя имя пользователя, его имейл, физический адрес, номер телефона и другую информацию. Интересно, что уязвимость была обнаружена около года назад, и все это время обнаруживший её эксперт пытался связаться с разработчиками сервиса, чтобы они исправили эту проблему. Только после того, как анонимный исследователь сообщил о проблеме известному эксперту по безопасности Брайану Креббсу и тот связался с USPS, проблема была исправлена.

Большая статья, включая пример уязвимого API, по ссылке:
https://krebsonsecurity.com/2018/11/usps-site-exposed-data-on-60-million-users/

Немецкое министерство по информационной безопасности опубликовало аналитический отчет о телеметрии в Windows 10. 63 страницы (PDF, частично английский, частично немецкий) отчета содержат в себе весьма глубокое погружение в то, какая именно информация собирается в Windows 10, как и куда она отправляется, и рекомендации о том, как мониторить и управлять сбором данных телеметрии.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Workpackage4_Telemetry.pdf

Тут еще много различной и полезной информации об этом исследовании на немецком:
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/AP4/SiSyPHuS_AP4.html

Часто задаваемый мне вопрос — "посоветуй хороший VPN". Так вот, эта заметка не о том :) Хорошие VPN, как правило, хотят денег, потому что бесплатно если что-то хорошее и бывает, то очень редко. Но есть масса бесплатных VPN, и всегда надо помнить, что даже разработчикам бесплатных сервисов тоже хочется как-то зарабатывать. Вот вам ссылка на исследование популярных бесплатных VPN-клиентов в iOS App Store и Google Play, включая изучение их политик конфиденциальности, структуры владения и проч. На основе этой информации можно сделать кое-какие выводы о том, стоит или не стоит пользоваться этим VPN-приложением. Например, оказалось, что почти 60% из изученных приложений принадлежат китайским компаниям, а там известно как относятся к конфиденциальности пользовательских данных и мониторингу активности. 83% запросов в поддержку осталось без ответа: вот еще, на шару еще и поддержку предоставлять. Так что бесплатный сыр известно где.

Короче, вот:
https://www.top10vpn.com/free-vpn-app-investigation/

Еще на сегодня несколько ссылок на тему инфосек:

- Очередная пачка приложений в Google Play с установками в сотни тысяч, содержащие в себе закладки для вредоносного ПО
https://gadgets.ndtv.com/apps/news/google-pulls-13-android-apps-installed-over-500-000-times-containing-malware-report-1952366

- Adobe Flash, уязвимость, критический апдейт... Хм, где-то я это уже слышал, кажется
https://www.theregister.co.uk/2018/11/20/adobe_flash_bug/

- Ирландская комиссия по защите пользовательских данных опубликовала отчет, в котором указано, что LinkedIn приобрела базу данных из 18 млн имейлов пользователей, которые не были зарегистрированы в их социальной сети, и рассылала им рекламу LinkedIn в Facebook
(PDF) https://www.dataprotection.ie/docimages/documents/DPC20Report%202018EN(1).pdf .pdf)

История дня (или даже, наверно, правильно было бы сказать "fuckup дня"... хм, может, FUBAR дня?) уходит к event-stream, JavaScript-библиотеке с открытым исходным кодом. Как оказалось, злоумышленник (или злоумышленники) обратились к администратору популярной, но не очень активной в разработке библиотеки, получили админские права, влили туда свой вредоносный код, и таким образом за неделю доставили библиотеку со своим кодом в 2 миллиона установленных приложений с ней.

Все началось с версии 3.3.6, опубликованной 8 сентября, в которую вошел модуль flat-stream. 5 октября этот модуль был обновлен кодом для воровства кошельков Bitcoin и передачи баланса с них на сервер в Малайзии. Кроме постепенного внедрения кода в библиотеку, злоумышленник также зашифровал модуль flat-stream, чтобы код было сложнее вычислить. О ситуации стало известно только во вторник на прошлой неделе, а NPM выпустил рекомендацию только в этот понедельник. Если я правильно понял из обсуждения, цель кода была заключалась в том, чтобы украсть кошельки с криптовалютой, разработанных Copay. Дополнительное обсуждение у Copay тут. Похоже, что это была очень таргетированная атака против разработчиков Copay, и затем код должен был войти в приложение для пользователей, чтобы украсть Bitcoin у конечных пользователей кошельков Copay.

Нужна ли тут какая-то мораль? open source — это, конечно, хорошо, но открытость и в то же время отсутствие денег приводят к подобным ситуациям. NPM пытается внедрять функциональность, которая бы ограничивала установку определенных версий кода, но усилий, предпринимаемых NPM, явно недостаточно для предотвращения попадания этих зависимостей в код, который может нас окружать.

Что происходит, когда медициной начинают заправлять страховые компании? А если добавить в микс еще IoT-устройства, подключение к интернету и желание перенести по максимуму стоимость оборудования и лечения на пациента? Как вы можете понять по этой подводке, ничего хорошего.

Сразу целая статья о том, как пациенты с апноэ во время сна (ситуация, когда у пациентов во сне останавливается дыхание), обнаруживают ситуацию, при которой страховая компания начинает мониторить их использование устройства пациентами, и в случае недостаточного (по мнению страховой компании) использования могут повысить платежи за аренду оборудования. Причем зачастую это наблюдение происходит без ведома пациентов и без разрешения на получение данных страховой компанией.

https://www.propublica.org/article/you-snooze-you-lose-insurers-make-the-old-adage-literally-true

И еще отдельный тред в Твиттере от пациентка с таким заболеванием, который рассказал историю о том как страховая прислала ему технаря для установки нового "беспроводного модема" для машины по мониторингу дыхания во время сна, чтобы "можно было менять настройки удаленно". Но поскольку пациент использовал машину меньше, чем "было положено" — потому что страховая следила за его сном, то страховая отказалась ему также выдать новую маску для дыхания. Дурдом.

https://twitter.com/ericuman/status/1065255517507985408

(страховая медицина в США — это еще тот геморрой и дорогое удовольствие, да и удовольствием это тоже сложно назвать, поэтому у меня отдельно на эту тему "пичот", извините"). Но эта тема с IoT и скрытным наблюдением не доведет до добра, я вам говорю.

Я уже как-то давал ссылку на статью о китайской системе наблюдения и распознавания лиц с последующим учетом поведения в некий социальный балл (t.me/alexmakus/2424). Теперь об этой системе и её вводе в строй уже в 2020 году в Пекине пишет Bloomberg (да-да, тот самый Bloomberg, который пока что продолжает отмалчиваться по поводу истории с китайскими чипами наблюдения в серверах Supermicro для Apple и Amazon).

Собственно, “Большой брат” в полный рост: наблюдение за всеми резидентами города, бонусы за хорошее поведение и усложнение жизни за плохое. Город будет покрыт системой видеонаблюдения, следящей за каждым шагом проживающих, и наказания за проступки могут быть самыми разными: от невозможности занимать госдолжности до запрета на продажи билетов на самолеты и поезда. Все системы наблюдения будут завязаны на единую базу, чтобы сформировать полную картину жизни граждан (сначала в Пекине, а потом и по всей стране).

https://www.bloomberg.com/news/articles/2018-11-21/beijing-to-judge-every-resident-based-on-behavior-by-end-of-2020

У меня только один вопрос: когда эти системы видеонаблюдения начнут устанавливать в домах жителей города и страны? Это логичный следующий шаг — для того, чтобы хорошо знать своих граждан, государство должно знать не только то, что происходит на улицах города, но и что происходит в домах. Потому что если человек отказывается от установки камеры дома, значит, ему есть что скрывать? Значит, он неблагонадежен? Может, он там в Покемонов по ночам играет?

Еще несколько ссылок по теме:

- китайское наблюдение такое наблюдение. Система видеонаблюдения распознала лицо и выписала штраф человеку за проезд на красный свет. Все хорошо, но лицо человека было изображено на автобусе в виде рекламного плаката
https://www.caixinglobal.com/2018-11-22/ai-mistakes-bus-side-ad-for-famous-ceo-charges-her-with-jaywalkingdo-101350772.html

- государственные базы, да еще и доступные в интернете, к добру не приводят (а приводят к утечкам). 180 млн записей на рабочих профсоюзов в Бразилии, включая имя, дату рождения, пол, адрес, номер телефона и регистрационные номера. Elasticsearch, заходи кто хочет.
https://blog.hackenproof.com/industry-news/brazilian-personal-data-exposure/

В Firefox 64 появится встроенный менеджер задач
http://www.opennet.ru/opennews/art.shtml?num=49663

Вчера в новостях мелькнула интересная новость от компании DriveSavers, что теперь у компании есть возможность добывать данные со смартфонов, даже если они защищены паролем (пресс-релиз). Причем эта услуга будет доступна и обычным потребителям, тем, кто, например, забыл пароль от устройства, заблокировал устройство слишком большим количеством попыток ввода неправильного пароля, или для ситуаций, когда нужно добыть данные с телефона умершего родственника.

По словам компании, они используют фирменную технологию, позволяющую получать доступ к данным на заблокированных устройствах. Ранее это было доступно для правоохранительных органов, использующих устройства компаний Cellebrite и Grayshift, а теперь это должно стать доступным и индивидуальным пользователям. Напомню, что с Grayshift история давняя и последний раунд после выхода iOS 12 вроде как остался за Apple. В случае с DriveSavers пользователи, обращающиеся за этой услугой, должны будут предоставить доказательства того, что телефон принадлежит им, а стоить услуга будет около 3900 долларов.

У MacRumors также есть комментарий от DriveSavers, в котором они подтвеждают, что они могут разблокировать iPhone и вернуть его разблокированным владельцу. Пока что эксперты, к которым я обратился, к этой новости относятся с недоверием и просят пруфы, но если то, что обещают DriveSavers, правда, то это может оказаться очень плохими новостями для Apple. Если DriveSavers обнаружили уязвимость в Secure Enclave (процессор, который обеспечивает безопасную загрузку и идентификацию пользователей в iOS-устройствах и некоторых Маках), то это может серьезно сказаться на репутации компании.

ссылки по теме:

- вредоносное ПО в файлах AutoCAD, кто бы мог подумать
https://arstechnica.com/information-technology/2018/11/malware-targeting-autocad-is-infecting-companies-all-around-the-world/

- ЛК рассказывает ужасы про обнаруженный имплант для iPhone, хотя на самом деле там применяется метод через mobile device management, который требует столько интерактива со стороны пользователя, что только самый безнадежный юзер может на это попасться
https://motherboard.vice.com/en_us/article/mby7kq/malware-to-spy-hack-iphones

- интересный лонгрид о Бригаде 77 — британских кибернетических войсках. Редактирование видео, виральные посты и запись подкастов — тяжела и неказиста жизнь британского кибернитиста.
https://www.wired.co.uk/article/inside-the-77th-brigade-britains-information-warfare-military

1. Компания Dell анонсировала "потенциальный инцидент, связанный с кибербезопасностью"
- Пресс-релиз

- Дополнительная информация

9 ноября в Dell обнаружили активность в сети с попытками добыть информацию о пользователях (имена, пароли, и хешированные пароли). Подтверждения, что злоумышленники добыли эту информацию, в компании не обнаружили, однако из соображений безопасности всем на всякий случай сбросили пароли.

2. С помощью поискового движка Shodan, используемого для обнаружения публично доступных серверов, была обнаружена база размером в 73ГБ на трех Elasticsearch кластерах. На одном из них были доступны 57 миллионов записей о гражданах США, включая имена, информацию о работодателях, имейлы, адреса, номера телефонов и IP-адреса. Еще одна база содержала в себе более 25 миллионов записей о компаниях: адреса, координаты, количество сотрудников, и другие записи.

Возможный источник утечки — компания Data&Leads Inc, сайт которой теперь показывает ошибку 404. Компания предоставляет (предоставляла?) информацию для генерации лидов в продажах.

Информация о раскрытии крупной сети рекламного фрода.
Вот имена, кому предъявлено обвинение:
Aleksandr Zhukov, Boris Timokhin, Mikhail Andreev, Denis Avdeev, Dmitry Novikov, Sergey Ovsyannikov, Aleksandr Isaev, Yevgeniy Timchenko
Хм....

В арсенале создание фейковых вебсайтов и направление на них трафика для получения выручки от показа рекламы, а также сеть на 1,7 миллиона ботов на зараженных вредоносным ПО Boaxxe/Miuref и Kovter компьютерах.

Материалы по теме
Обвинение министерства юстиции США
Большой материал от Google, которая участвовала в поимке этой группировки

Дополнительный материал от министерства внутренней безопасности

1. монументальнейший факап со стороны производителя наушников Sennheiser с рутовым сертификатом и приватным ключом

https://arstechnica.com/information-technology/2018/11/sennheiser-discloses-monumental-blunder-that-cripples-https-on-pcs-and-macs/

2. Уязвимость в камерах наблюдения Nuuo, которая позволяет не только перехватывать поток изображения, но и подменять его. Уже вышел апдейт у вендора.

https://www.digitaldefense.com/blog/zero-day-alerts/nuuo-firmware-disclosure/

3. Бурлит скандал, связанный с продажей ПО Pegasus для цифровой слежки компанией NSO Саудовской Аравии (кстати, поищите по каналу термин "Pegasus", он уже неоднократно упоминался):
https://www.itnews.com.au/news/storm-brewing-over-israeli-spyware-firm-over-sales-to-saudis-516111