Еще на сегодня несколько ссылок на тему инфосек:

- Очередная пачка приложений в Google Play с установками в сотни тысяч, содержащие в себе закладки для вредоносного ПО
https://gadgets.ndtv.com/apps/news/google-pulls-13-android-apps-installed-over-500-000-times-containing-malware-report-1952366

- Adobe Flash, уязвимость, критический апдейт... Хм, где-то я это уже слышал, кажется
https://www.theregister.co.uk/2018/11/20/adobe_flash_bug/

- Ирландская комиссия по защите пользовательских данных опубликовала отчет, в котором указано, что LinkedIn приобрела базу данных из 18 млн имейлов пользователей, которые не были зарегистрированы в их социальной сети, и рассылала им рекламу LinkedIn в Facebook
(PDF) https://www.dataprotection.ie/docimages/documents/DPC20Report%202018EN(1).pdf .pdf)

История дня (или даже, наверно, правильно было бы сказать "fuckup дня"... хм, может, FUBAR дня?) уходит к event-stream, JavaScript-библиотеке с открытым исходным кодом. Как оказалось, злоумышленник (или злоумышленники) обратились к администратору популярной, но не очень активной в разработке библиотеки, получили админские права, влили туда свой вредоносный код, и таким образом за неделю доставили библиотеку со своим кодом в 2 миллиона установленных приложений с ней.

Все началось с версии 3.3.6, опубликованной 8 сентября, в которую вошел модуль flat-stream. 5 октября этот модуль был обновлен кодом для воровства кошельков Bitcoin и передачи баланса с них на сервер в Малайзии. Кроме постепенного внедрения кода в библиотеку, злоумышленник также зашифровал модуль flat-stream, чтобы код было сложнее вычислить. О ситуации стало известно только во вторник на прошлой неделе, а NPM выпустил рекомендацию только в этот понедельник. Если я правильно понял из обсуждения, цель кода была заключалась в том, чтобы украсть кошельки с криптовалютой, разработанных Copay. Дополнительное обсуждение у Copay тут. Похоже, что это была очень таргетированная атака против разработчиков Copay, и затем код должен был войти в приложение для пользователей, чтобы украсть Bitcoin у конечных пользователей кошельков Copay.

Нужна ли тут какая-то мораль? open source — это, конечно, хорошо, но открытость и в то же время отсутствие денег приводят к подобным ситуациям. NPM пытается внедрять функциональность, которая бы ограничивала установку определенных версий кода, но усилий, предпринимаемых NPM, явно недостаточно для предотвращения попадания этих зависимостей в код, который может нас окружать.

Что происходит, когда медициной начинают заправлять страховые компании? А если добавить в микс еще IoT-устройства, подключение к интернету и желание перенести по максимуму стоимость оборудования и лечения на пациента? Как вы можете понять по этой подводке, ничего хорошего.

Сразу целая статья о том, как пациенты с апноэ во время сна (ситуация, когда у пациентов во сне останавливается дыхание), обнаруживают ситуацию, при которой страховая компания начинает мониторить их использование устройства пациентами, и в случае недостаточного (по мнению страховой компании) использования могут повысить платежи за аренду оборудования. Причем зачастую это наблюдение происходит без ведома пациентов и без разрешения на получение данных страховой компанией.

https://www.propublica.org/article/you-snooze-you-lose-insurers-make-the-old-adage-literally-true

И еще отдельный тред в Твиттере от пациентка с таким заболеванием, который рассказал историю о том как страховая прислала ему технаря для установки нового "беспроводного модема" для машины по мониторингу дыхания во время сна, чтобы "можно было менять настройки удаленно". Но поскольку пациент использовал машину меньше, чем "было положено" — потому что страховая следила за его сном, то страховая отказалась ему также выдать новую маску для дыхания. Дурдом.

https://twitter.com/ericuman/status/1065255517507985408

(страховая медицина в США — это еще тот геморрой и дорогое удовольствие, да и удовольствием это тоже сложно назвать, поэтому у меня отдельно на эту тему "пичот", извините"). Но эта тема с IoT и скрытным наблюдением не доведет до добра, я вам говорю.

Я уже как-то давал ссылку на статью о китайской системе наблюдения и распознавания лиц с последующим учетом поведения в некий социальный балл (t.me/alexmakus/2424). Теперь об этой системе и её вводе в строй уже в 2020 году в Пекине пишет Bloomberg (да-да, тот самый Bloomberg, который пока что продолжает отмалчиваться по поводу истории с китайскими чипами наблюдения в серверах Supermicro для Apple и Amazon).

Собственно, “Большой брат” в полный рост: наблюдение за всеми резидентами города, бонусы за хорошее поведение и усложнение жизни за плохое. Город будет покрыт системой видеонаблюдения, следящей за каждым шагом проживающих, и наказания за проступки могут быть самыми разными: от невозможности занимать госдолжности до запрета на продажи билетов на самолеты и поезда. Все системы наблюдения будут завязаны на единую базу, чтобы сформировать полную картину жизни граждан (сначала в Пекине, а потом и по всей стране).

https://www.bloomberg.com/news/articles/2018-11-21/beijing-to-judge-every-resident-based-on-behavior-by-end-of-2020

У меня только один вопрос: когда эти системы видеонаблюдения начнут устанавливать в домах жителей города и страны? Это логичный следующий шаг — для того, чтобы хорошо знать своих граждан, государство должно знать не только то, что происходит на улицах города, но и что происходит в домах. Потому что если человек отказывается от установки камеры дома, значит, ему есть что скрывать? Значит, он неблагонадежен? Может, он там в Покемонов по ночам играет?

Еще несколько ссылок по теме:

- китайское наблюдение такое наблюдение. Система видеонаблюдения распознала лицо и выписала штраф человеку за проезд на красный свет. Все хорошо, но лицо человека было изображено на автобусе в виде рекламного плаката
https://www.caixinglobal.com/2018-11-22/ai-mistakes-bus-side-ad-for-famous-ceo-charges-her-with-jaywalkingdo-101350772.html

- государственные базы, да еще и доступные в интернете, к добру не приводят (а приводят к утечкам). 180 млн записей на рабочих профсоюзов в Бразилии, включая имя, дату рождения, пол, адрес, номер телефона и регистрационные номера. Elasticsearch, заходи кто хочет.
https://blog.hackenproof.com/industry-news/brazilian-personal-data-exposure/

В Firefox 64 появится встроенный менеджер задач
http://www.opennet.ru/opennews/art.shtml?num=49663

Вчера в новостях мелькнула интересная новость от компании DriveSavers, что теперь у компании есть возможность добывать данные со смартфонов, даже если они защищены паролем (пресс-релиз). Причем эта услуга будет доступна и обычным потребителям, тем, кто, например, забыл пароль от устройства, заблокировал устройство слишком большим количеством попыток ввода неправильного пароля, или для ситуаций, когда нужно добыть данные с телефона умершего родственника.

По словам компании, они используют фирменную технологию, позволяющую получать доступ к данным на заблокированных устройствах. Ранее это было доступно для правоохранительных органов, использующих устройства компаний Cellebrite и Grayshift, а теперь это должно стать доступным и индивидуальным пользователям. Напомню, что с Grayshift история давняя и последний раунд после выхода iOS 12 вроде как остался за Apple. В случае с DriveSavers пользователи, обращающиеся за этой услугой, должны будут предоставить доказательства того, что телефон принадлежит им, а стоить услуга будет около 3900 долларов.

У MacRumors также есть комментарий от DriveSavers, в котором они подтвеждают, что они могут разблокировать iPhone и вернуть его разблокированным владельцу. Пока что эксперты, к которым я обратился, к этой новости относятся с недоверием и просят пруфы, но если то, что обещают DriveSavers, правда, то это может оказаться очень плохими новостями для Apple. Если DriveSavers обнаружили уязвимость в Secure Enclave (процессор, который обеспечивает безопасную загрузку и идентификацию пользователей в iOS-устройствах и некоторых Маках), то это может серьезно сказаться на репутации компании.

ссылки по теме:

- вредоносное ПО в файлах AutoCAD, кто бы мог подумать
https://arstechnica.com/information-technology/2018/11/malware-targeting-autocad-is-infecting-companies-all-around-the-world/

- ЛК рассказывает ужасы про обнаруженный имплант для iPhone, хотя на самом деле там применяется метод через mobile device management, который требует столько интерактива со стороны пользователя, что только самый безнадежный юзер может на это попасться
https://motherboard.vice.com/en_us/article/mby7kq/malware-to-spy-hack-iphones

- интересный лонгрид о Бригаде 77 — британских кибернетических войсках. Редактирование видео, виральные посты и запись подкастов — тяжела и неказиста жизнь британского кибернитиста.
https://www.wired.co.uk/article/inside-the-77th-brigade-britains-information-warfare-military

1. Компания Dell анонсировала "потенциальный инцидент, связанный с кибербезопасностью"
- Пресс-релиз

- Дополнительная информация

9 ноября в Dell обнаружили активность в сети с попытками добыть информацию о пользователях (имена, пароли, и хешированные пароли). Подтверждения, что злоумышленники добыли эту информацию, в компании не обнаружили, однако из соображений безопасности всем на всякий случай сбросили пароли.

2. С помощью поискового движка Shodan, используемого для обнаружения публично доступных серверов, была обнаружена база размером в 73ГБ на трех Elasticsearch кластерах. На одном из них были доступны 57 миллионов записей о гражданах США, включая имена, информацию о работодателях, имейлы, адреса, номера телефонов и IP-адреса. Еще одна база содержала в себе более 25 миллионов записей о компаниях: адреса, координаты, количество сотрудников, и другие записи.

Возможный источник утечки — компания Data&Leads Inc, сайт которой теперь показывает ошибку 404. Компания предоставляет (предоставляла?) информацию для генерации лидов в продажах.

Информация о раскрытии крупной сети рекламного фрода.
Вот имена, кому предъявлено обвинение:
Aleksandr Zhukov, Boris Timokhin, Mikhail Andreev, Denis Avdeev, Dmitry Novikov, Sergey Ovsyannikov, Aleksandr Isaev, Yevgeniy Timchenko
Хм....

В арсенале создание фейковых вебсайтов и направление на них трафика для получения выручки от показа рекламы, а также сеть на 1,7 миллиона ботов на зараженных вредоносным ПО Boaxxe/Miuref и Kovter компьютерах.

Материалы по теме
Обвинение министерства юстиции США
Большой материал от Google, которая участвовала в поимке этой группировки

Дополнительный материал от министерства внутренней безопасности

1. монументальнейший факап со стороны производителя наушников Sennheiser с рутовым сертификатом и приватным ключом

https://arstechnica.com/information-technology/2018/11/sennheiser-discloses-monumental-blunder-that-cripples-https-on-pcs-and-macs/

2. Уязвимость в камерах наблюдения Nuuo, которая позволяет не только перехватывать поток изображения, но и подменять его. Уже вышел апдейт у вендора.

https://www.digitaldefense.com/blog/zero-day-alerts/nuuo-firmware-disclosure/

3. Бурлит скандал, связанный с продажей ПО Pegasus для цифровой слежки компанией NSO Саудовской Аравии (кстати, поищите по каналу термин "Pegasus", он уже неоднократно упоминался):
https://www.itnews.com.au/news/storm-brewing-over-israeli-spyware-firm-over-sales-to-saudis-516111

Новость дня — это, безусловно, анонс компании Marriott об обнаружении утечки данных на 500 миллионов гостей гостиниц сети Starwood, которую Marriott приобрел в 2016 году. Во время расследования обнаружилось, что злоумышленники получили доступ к сети Starwood еще в 2014(!) году. Среди этих 500 млн записей около 327 миллионов включают в себя некую комбинацию данных из имени, почтового адреса, номера телефона, адреса электронной почты, даты рождения, номера паспорта(!), даты резервирования, информации о прибытии и убытии, и тд. У некоторых посетителей гостиницы в том числе утекла и их платежная информация, хотя Marriott не раскрывает информацию о количестве таких записей. Информация о платежных средствах была зашифрована с AES-128, но компания утверждает, что компоненты, необходимые для расшифровки этой информации, тоже были похищены(!).

Из информации, опубликованной Marriott, непонятно, кто именно получил доступ к данным и каким образом это произошло. Компания опубликовала также отдельный вебсайт, содержащий в себе детальную информацию о том, что произошло, с большим количеством часто задаваемых вопросов и ответов: https://answers.kroll.com. 30 ноября затронутым взломом пользователям компания разошлет имейл с дополнительным ведомлением.

Если вы когда-либо останавливались в одном из перечисленных ниже отелей, ваши данные, скорей всего, попали в утечку:
W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton и Design Hotels.

It never ends, this shit.

тут читатель под угрозами отписки от канала заставил меня прочитать и немедленно сообщить вам о том, что сегодня отмечается Международный день защиты информации, он же — Computer Security Day. C чем вас и поздравляю. Если вам нужен был повод, за который можно выпить, то вот он, не благодарите!

На неделе в новостях проскакивала информация о том, что свежезапущенная в Москве канатная дорога стала жертвой атаки хакеров (мне несколько читателей прислали ссылку на эту историю). Вчера несколько изданий опубликовали интересное:

По словам собеседника агентства, на головной компьютер компании-оператора "Московские канатные дороги" поступило сообщение от неизвестного с требованием перевести ему биткоины в обмен на расшифровку всех электронных файлов компьютера, который отвечает за работу канатки.

Как правильно указал один из читателей, "судя по всему страшные хакеры, напавшие на системы свежеоткрытой канатной дороги в Москве, оказались обычным вирусом-шифровальщиком". В связи с этим особенно интересно смотрятся утверждения о том, что "личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена". Мне интересно, как этого злоумышленника зовут на самом деле: Петя? НотПетя? ВоннаКрай?

Помните, я писал недавно о системе социальных баллов и слежке за жителями в Китае? Слежка распространяется не только на пешеходов, лица которых распознают камеры. Associated Press пишет о том, что в Китае, согласно правилам, опубликованным еще в 2016 году, автопроизводители передают различную информацию, собираемую автомобилями, в правительственные мониторинговые сервисы. Более 200 автопроизводителей, продающих автомобили в Китае (включая Tesla, Volkswagen, BMW, Daimler, Ford, General Motors, Nissan, Mitsubishi), вынуждены сообщать различную информацию, собираемую электромобилями, включая местоположение под предлогом анализа для улучшения безопасности, планирования инфраструктуры и избежания мошенничества в системе субсидирования покупок электромобилей. Однако эксперты, ссылаясь на те же статьи о системе наблюдения за гражданами, говорят, что информации собирается гораздо больше, чем нужно для того же планирования инфраструктуры, и все это делается для дополнительного наблюдения за перемещениями граждан страны. При этом такая передача информации в системы мониторинга, которые финансируются государством и могут государству эти данные передавать, покупателям, как правило, не анонсируется и для них оказывается сюрпризом.

1. Отправка dick pic через AirDrop в Нью-Йорке, видимо, приобрела такие масштабы, что власти города решили сделать это уголовно наказуемым преступлением (AirDrop — это технология в iOS, позволяющая передавать изображения и другую информацию iOS-устройствам, находящимся поблизости в действия радиусе Bluetooth). Интересное исследование технологии с точки зрения криминалистической экспертизы на предмет того, какие мета-данные остаются при передаче и какова вероятность поймать злодея (спойлер: не очень высокая)

https://www.mac4n6.com/blog/2018/12/3/airdrop-analysis-of-the-udp-unsolicited-dick-pic

2. На прошлой неделе кто-то хакнул массу принтеров, торчащих в интернет открытыми портами, и опубликовал там призыв подписываться на канал PewDiePie — популярного ютюбера (потому что он проигрывает гонку по подписчикам какому-то там другому ютюберу). Вроде как был использован инструмент PRET, а принтеры находятся поиском по Shodan.io. Причем вроде как даже где-то уже мелькала информация о том, что кто-то предлагает услугу за несколько сотен долларов — разослать сообщение на подобные принтеры. Берегите там свои принтеры!

https://www.dexerto.com/entertainment/update-one-pew-die-pie-fan-hacked-printers-across-the-globe-in-an-effort-to-boost-his-subscribers-237460

3. И роутеры тоже свои берегите! Использование старой и популярной уязвимости в UPnP, украденной в свое время из NSA, привело к тому, что более 45 тыс устройств уже заражены
https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence.html

4. В качестве бонуса — история про хакера, сидящего в тюрьме, который использовал незаконно пронесенный смартфон для воровства денег с дебетовых банковских карт, а затем планировал использовать дрон для доставки части денег на территорию тюрьмы.
https://www.thedailybeast.com/feds-say-imprisoned-hacker-ran-a-drone-smuggling-ring/

Иногда я думаю "ну вот, после большого взлома будет какое-то время затишье с новостями", но реальность оказывается изобретательней, чем мне хочется. Мы еще не полностью осознали масштабы взлома и утечки 500 млн данных клиентов сети Marriott, а тут подоспели свежие новости от Quora — популярного сайта вопросов и ответов. Буквально пару часов назад компания опубликовала пост в блоге, в котором СЕО компании Адам Д'Анджело сообщил, что компания стала жертвой несанкционированного доступа к пользовательским данным.

Предварительный апдейт такой: в пятницу компания обнаружила факт несанкционированного доступа к данным, который затрагивает 100 миллионов пользователей сервиса Quora. Среди данных, которые утекли:
- информация об учетной записи, включая имя, адрес электронной почты, хеши паролей, данные, полученные от подключенных сетей (FB, Google)
- весь публичный контент, включая вопросы, ответы, комментарии, отданные голоса
- непубличный контент — запросы на ответы, переписка между пользователями, и минусовые голоса.


Дополнительные вопросы и ответы по этому поводу можно найти тут:
https://help.quora.com/hc/en-us/articles/360020212652

Quora "рекомендует" не использовать одинаковые пароли для разных сервисов, и рекомендует "сменить пароль". На самом деле всем пользователям, затронутым взломом, компания уже сделал сброс пароля. Вот такой экран получил я при попытке логина:

(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-03-at-9.06.08-PM.png)

Так что все как обычно. Что расстраивает еще больше, потому что мы постепенно привыкаем к тому, что подобные утечки — это новая норма.

1. Казалось бы, вся история с утечкой пользовательских данных у Marriott — уже плохо само по себе. Но компания еще умудрилась зафакапить уведомление пользователей об этом
https://techcrunch.com/2018/12/03/marriott-data-breach-response-risk-phishing/

2. Инструмент для отправки сообщений на зараженные компьютеры с помощью Google Translate
https://github.com/mthbernardes/GTRS

3. Ко вчерашней истории про рассылку сообщений на принтеры по миру — вот твит о "рекламе" этого сервиса
https://twitter.com/Andrew___Morris/status/1069349287090364416

4. Серьезная уязвимость в Kubernetes
https://github.com/kubernetes/kubernetes/issues/71411

5. Небольшое изменение в настройке Active Directory существенно повышает защиту от вируса NotPetya
https://www.theregister.co.uk/2018/12/03/notpetya_ncc_eternalglue_production_network/

Мне кажется, что эта картинка вполне может быть официальной картинкой канала (хороший пример, когда информация в безопасности)

АПД Нет, это не черный цвет в Ворде поверх текста, и не слой в Фотошопе 🙂

1. Недавно я писал о том, что была раскрыта целая сеть по рекламному обману — когда с помощью накруток и зараженных бот-сетей формировались огромные показы рекламы, в результате чего организаторы получали миллионы долларов рекламных платежей. Вот еще на эту же тему — Google выперла из App Store несколько приложений от китайских разработчиков Cheetah Mobile и Kika Tech, которые были участниками этой схемы с помощью скрытых механизмов click injection и/или click flooding (даже не знаю, стоит ли это переводить на русский). Одно из приложений — Kika Keyboard — было самой популярной клавиатурой в Google Play и установлено более 200 млн раз!

https://www.buzzfeednews.com/article/craigsilverman/google-removes-cheetah-kika-apps


2. На страницах канала дебютирует Канье Уэст! Он тут недавно посоветовал своим миллионам фолловеров в Твиттере свое любимое приложение-Библию. Оказалось, что у приложения на Android довольно обширные интересы в плане пермишинов:

android.permission.ACCESSCOARSELOCATION
android.permission.CHANGEWIFIMULTICASTSTATE
android.permission.CHANGEWIFISTATE
android.permission.INTERNET
android.permission.READCONTACTS
android.permission.READPROFILE
android.permission.USECREDENTIALS
android.permission.WRITEEXTERNALSTORAGE
com.sirma.mobile.bible.android.permission.C2DMESSAGE
android.permission.ACCESSNETWORKSTATE
android.permission.ACCESSWIFISTATE
android.permission.GETACCOUNTS
android.permission.RECEIVEBOOTCOMPLETED
android.permission.VIBRATE
android.permission.WAKELOCK
church.life.biblelens.carouselprovider.READ
church.life.biblelens.youversion.tokens
com.amazon.device.messaging.permission.RECEIVE
com.google.android.c2dm.permission.RECEIVE
com.google.android.providers.gsf.permission.READGSERVICES
com.sirma.mobile.bible.android.permission.RECEIVEADMMESSAGE
com.sirma.mobile.bible.android.youversion.tokens

Контакты, местоположение, доступ к фотографиям и видео, запись с микрофона, и полный доступ к подключению в интернет. А вы думали, как еще боженька о своих последователях узнает все?

Парламент Великобритании выложил в открытый доступ 250 страниц документов и внутренней переписки компании Facebook, которая была изъята у основателей стартапа Six4Three в рамках судебного разбирательства между стартапом и социальной сетью.

Вот ссылка на документ (PDF):
https://www.parliament.uk/documents/commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-Six4Three.pdf


Из этих документов можно узнать массу интересного о том, как Facebook использует пользовательские данные, их политику при работе с разработчиками приложений, и как они используют свое доминантное положение на рынке социальных сетей.

Документ разбит на несколько разделов:

White lists
О неких белых списках компаний, которые сохранили данные о пользователях и их друзьях после изменения политики Facebook в 2014-2015 годах касательно доступа к пользовательским данным

Value of friends data
О том, как Facebook оценивал доступ к пользовательским данным и данным о друзьях, и как это влияло на выручку, получаемую разработчиками приложений

Reciprocity
Об обмене данных о пользователях между разработчиками и Facebook после внедрения новой версии платформы социальной сети

Android
О том, как Facebook внедрял возможность получить доступ к информации о звонках и сообщениях пользователей на смартфонах с Android (осознавая, что это может быть проблемой с точки зрения PR), и как компания пыталась замаскировать этот факт — чтобы не показывать соответствующее уведомление при обновлении приложения (УДОБНО!). Эта информация впоследствии была использована для подсказок о "людях, которых вы можете знать".

Onavo
Я писал (https://t.me/alexmakus/1770) несколько (https://t.me/alexmakus/1823) раз в канале об Onavo — VPN-клиенте, который купила Facebook, и предлагала пользователям сети установить на смартфоны (и как его выперла из App Store Apple https://t.me/alexmakus/2337. Кстати, для Android он все еще доступен в Google Play). Из документа можно узнать, что Facebook это все делал намеренно, пытаясь еще больше узнать о своих пользователях, в том числе о том, какие приложения они используют и как часто — чтобы принимать решение о том, какие приложения копировать и каких разработчиков покупать.

Targeting competitor apps
Как Facebook реагировал на приложения, которые им не нравились, и как принимались решения о перекрытии кислорода (доступа к данным) таким приложениям.

Сплошная корпорация добра, скажу я вам, этот Facebook. Connecting the world требует этого всего, как я понимаю.

Вот, например, письмо Цукерберга, в котором он размышляет о продаже пользовательских данных за деньги:
https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-05-at-2.41.10-PM.png

Короче, там много такого. Впереди как раз выходные, можно будет усесться поудобней и почитать повнимательней весь документ. А сколько всего мы еще не знаем.