ссылка с прошлой недели о том, как расширения для Chrome/Firefox собирали пользовательские данные в виде истории браузера. Собирались адреса, названия сайтов, и часто — встроенные в странице ссылки. Это приводило к получению информации о видео в популярных сервисах видеонаблюдения, финансовых документов, информации о посещении врачей, информации о путешествиях, и тд
https://securitywithsam.com/
https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/
https://securitywithsam.com/
https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/
Security with Sam
Security with Sam | DataSpii | Cybersecurity & Threat Research | Sam Jadali
A technical professional and cybersecurity expert, Sam shares his research with users world wide! Dataspii is a global data leak, discovered by Sam.
органам все не дает покоя сквозное шифрование. тут вот генпрокурор США убеждает всех, что потребителям придется сжиться с рисками безопасности при наличии бэкдоров в шифровании
https://techcrunch.com/2019/07/23/william-barr-consumers-security-risks-backdoors/
https://techcrunch.com/2019/07/23/william-barr-consumers-security-risks-backdoors/
TechCrunch
US attorney general William Barr says Americans should accept security risks of encryption backdoors
U.S. attorney general William Barr has said consumers should accept the risks that encryption backdoors pose to their personal cybersecurity to ensure law enforcement can access encrypted communications.
вчера у пользователей техники Apple был patch day, и, как обычно, есть хорошие поводы обновить свои устройства.
37 фиксов безопаcности в iOS 12.4, включая фиксы в WebKit, позволяющие получить контроль над смартфоном. Также исправлена дыра в сервисе walkie-talkie, которая позволяла активировать микрофон во время звонка
https://support.apple.com/en-us/HT210346
44 фикса в macOS, включая те же исправления в WebKit, а также баги в Siri и TimeMachine
https://support.apple.com/en-us/HT210348
Ну и там по мелочи (в основном то, что приезжает из iOS) — для watchOS и tvOS, и Safari
https://support.apple.com/en-us/HT210353
https://support.apple.com/en-us/HT210351
https://support.apple.com/en-us/HT210355
Так что, если вы не экспериментируете с бетами iOS 13/macOS 10.15, то апдейты лучше поставить
37 фиксов безопаcности в iOS 12.4, включая фиксы в WebKit, позволяющие получить контроль над смартфоном. Также исправлена дыра в сервисе walkie-talkie, которая позволяла активировать микрофон во время звонка
https://support.apple.com/en-us/HT210346
44 фикса в macOS, включая те же исправления в WebKit, а также баги в Siri и TimeMachine
https://support.apple.com/en-us/HT210348
Ну и там по мелочи (в основном то, что приезжает из iOS) — для watchOS и tvOS, и Safari
https://support.apple.com/en-us/HT210353
https://support.apple.com/en-us/HT210351
https://support.apple.com/en-us/HT210355
Так что, если вы не экспериментируете с бетами iOS 13/macOS 10.15, то апдейты лучше поставить
Apple Support
About the security content of iOS 12.4
This document describes the security content of iOS 12.4.
Компания Medtronic уже несколько раз фигурировала в этом канале, в основном с новостями об уязвимостях в кардиостимуляторах компании. Но компания также производит и дозаторы инсулина, которые (сюрприз!) тоже имеют в себе программные уязвимости. Два года назад исследователи обнаружили уязвимости в инсулиновых помпах , которые позволяют удаленно управлять этими помпами (радиоканал, по которому управляется такая помпа, достаточно легко вычислить, и он не зашифрован. достаточно знать серийный номер помпы). Однако, компания почему-то не хочет исправлять эти уязвимости, и ограничилась просто предупреждением к своим пользователям. Исследователи хотят донести реальную опасность этой уязвимости, и выпустили код, демонстрирующий действие этой уязвимости, надеясь, что это привлечет больше внимания.
https://www.wired.com/story/medtronic-insulin-pump-hack-app/
https://www.wired.com/story/medtronic-insulin-pump-hack-app/
WIRED
Hackers Made an App That Kills to Prove a Point
Medtronic and the FDA left an insulin pump with a potentially deadly vulnerability on the market—until researchers who found the flaw showed how bad it could be.
Читатель вот прислал ссылку. Казалось бы, что может пойти не так?
https://thebell.io/v-rossii-poyavitsya-baza-so-vsemi-dannymi-grazhdan-vesti-ee-budut-nalogoviki/
https://thebell.io/v-rossii-poyavitsya-baza-so-vsemi-dannymi-grazhdan-vesti-ee-budut-nalogoviki/
The Bell
В России появится база со всеми данными граждан. Вести ее будут налоговики
Госдума рассмотрит законопроект о создании единого информационного ресурса данных физлиц — инициатива была разработана Минфином. Об этом пишет «Коммерсант». Новый реестр объединит все данные гражданина и будет использоваться для сбора налогов, реализации…
Корпоративные VPN-сервисы Palo Alto Networks, Pulse Secure и Fortinet содержат в себе уязвимости, которые делают их уязвимыми для проникновения внутрь сетей пользователей этих сервисов
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/
Апдейты уже выкатывают
https://securityadvisories.paloaltonetworks.com/Home/Detail/158
https://fortiguard.com/psirt/FG-IR-18-384
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/
Апдейты уже выкатывают
https://securityadvisories.paloaltonetworks.com/Home/Detail/158
https://fortiguard.com/psirt/FG-IR-18-384
DEVCORE 戴夫寇爾
Attacking SSL VPN - Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study! | DEVCORE 戴夫寇爾
We would like to talk about the vulnerability which we accidentally discovered during our Red Team assessment services on Palo Alto SSL VPN.
Познакомтесь с Monokle, шпионским ПО, разработанным российской компанией Special Technology Centre, Ltd. ПО предназначено для перехвата коммуникаций Android-устройств путем контроля TCP-портов устройства. А дальше начинается веселье по доступу к практически всей информации на устройстве, включая календари, трафик, почту, текстовые сообщения, запись звонков, информации о местоположении и тд.
https://blog.lookout.com/monokle
https://arstechnica.com/information-technology/2019/07/advanced-mobile-surveillanceware-made-in-russia-found-in-the-wild/
https://blog.lookout.com/monokle
https://arstechnica.com/information-technology/2019/07/advanced-mobile-surveillanceware-made-in-russia-found-in-the-wild/
Lookout
New Surveillanceware Developed by Russian Defence Contractor
Monokle is a new and sophisticated set of custom Android surveillanceware tools developed by the Russia-based company, Special Technology Centre, Ltd.
http://supertracker.delian.io - простой проект по созданию своего пикселя для трекинга почты и мониторинга данных из этого пикселя. ВСЁ, ВСЁ ОПАСНОСТЕ
анонимных данных не существует 🙁 Исследователи разработали алгоритм, который позволяет по как минимум 15 анонимным аттрибутам идентифицировать определенного человека (американского человека, надо отметить, а их не жалко!).
https://www.nature.com/articles/s41467-019-10933-3/
и код проекта https://cpg.doc.ic.ac.uk/individual-risk/
не то, чтобы это новость — вот, например, похожее исследование по метаданным кредитных карт http://science.sciencemag.org/content/347/6221/536.full?ijkey=4rZ2eFPUrlLGw&keytype=ref&siteid=sci, или вот еще по данным местоположения смартфонов https://www.nature.com/articles/srep01376
В общем, только избушка в лесу, без интернета и электричества!
https://www.nature.com/articles/s41467-019-10933-3/
и код проекта https://cpg.doc.ic.ac.uk/individual-risk/
не то, чтобы это новость — вот, например, похожее исследование по метаданным кредитных карт http://science.sciencemag.org/content/347/6221/536.full?ijkey=4rZ2eFPUrlLGw&keytype=ref&siteid=sci, или вот еще по данным местоположения смартфонов https://www.nature.com/articles/srep01376
В общем, только избушка в лесу, без интернета и электричества!
Nature
Estimating the success of re-identifications in incomplete datasets using generative models
Nature Communications - Anonymization has been the main means of addressing privacy concerns in sharing medical and socio-demographic data. Here, the authors estimate the likelihood that a specific...
По наводке читателей кино по теме канала! https://www.netflix.com/title/80117542?s=i&trkid=254015180
Netflix
The Great Hack | Netflix Official Site
Explore how a data company named Cambridge Analytica came to symbolize the dark side of social media in the wake of the 2016 U.S. presidential election.
Еще вот по наводке читателя полезная ссылка для пользователей iOS-устройств. Приложение Lockdown, такой типа firewall для iPhone, позволяющий блокировать определенные домены для того, чтобы, например, предотвратить сбор сервисами на этих доменах трекинговой информации. Ну, или если вы хотите перестать пользоваться Facebook, но не можете себя заставить, можно с помощью этого приложения заблокировать домен ФБ и тогда приложение не будет работать. И сайт не будет загружаться. Полезно! Программа бесплатная, и данные все на устройстве, поэтому ничего не утечет. Она использует API для VPN, хотя таковым не является и ваш IP адрес не изменит.
(на Маке, кстати, это хорошо решается редактированием /etc/hosts)
https://lockdownhq.com/
(на Маке, кстати, это хорошо решается редактированием /etc/hosts)
https://lockdownhq.com/
Lockdownprivacy
Home - Lockdown Privacy
The simple, powerful firewall that blocks tracking, ads, badware and more.
(да, кстати, я по просьбе читателей в виде теста добавил DiscussBot к каналу, так что если вам не хватало возможности обсуждать новости канала, то теперь она есть!)
А помните уязвимость CVE-2019-0708, для которой Microsoft даже для Win XP патч выпускала? (https://t.me/alexmakus/2836) Да-да, тот самый BlueKeep, способный сделать так, что даже NotPetya покажется мелочью, и к патчу которого призывала даже NSA (https://t.me/alexmakus/2879). Почему я внезапно вспомнил об этом? Во вторник компания Immunity анонсировала релиз эксплойта, который войдет в состав их инструмента для пентестов Canvas (https://twitter.com/Immunityinc/status/1153752470130221057). В интернете все еще полно компьютеров, которые не пропатчились от этой уязвимости, но, как по мне, кто не проапдейтился до этого момента, заслуживает последствий.
Telegram
Информация опасносте
Алярма, котаны! Тут в Windows обнаружилась весьма неприятная уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708), потребовавшая срочных апдейтов для старых версий Windows, включая XP! Уязвимость в Remote Desktop Services…
Маркус Хатчинс (он же MalwareTech), остановивший в свое время WannaCry (но замешанный в банковском вредоносном ПО Kronos и за это арестованный в США), легко отделался. Ему засчитали уже отсиженный за время следствия год, отменили штрафы и вернут домой в Великобританию, с запретом возвращаться в США. Легко обделался.
https://techcrunch.com/2019/07/26/marcus-hutchins-sentenced-kronos/
https://www.vice.com/en_us/article/9kxewv/malwaretech-wannacry-ransomware-sentencing
https://techcrunch.com/2019/07/26/marcus-hutchins-sentenced-kronos/
https://www.vice.com/en_us/article/9kxewv/malwaretech-wannacry-ransomware-sentencing
TechCrunch
Marcus Hutchins, malware researcher and ‘WannaCry hero,’ sentenced to supervised release
Marcus Hutchins, the malware researcher who became known as an “accidental hero” for stopping the WannaCry ransomware attack in 2017, has been sentenced to supervised release for one year on charges of making and selling the Kronos banking malware.
Последняя тема с голосовыми помощниками - материал в Guardian о том, что у Apple, как и у Google, Amazon и Яндекс, есть команда людей, которые получают небольшие сегменты голосовых записей команд Siri для последующей обработки и улучшения систем распознавания.
https://www.theguardian.com/technology/2019/jul/26/apple-contractors-regularly-hear-confidential-details-on-siri-recordings
В результате к прослушивающим попадают и записи от случайных срабатываний, в том числе содержащие какую-то личную информацию. Что отличает этот кейс от других - позиция Apple, которая давно и много говорит о защите частной информации. И хотя проверяемые аудиозаписи составляют небольшой объём от общего количества запросов (менее 1%) и отвязаны от данных типа Apple ID, но что-то личное просочиться все равно может. При этом Apple до этого момента открыто не раскрывала тот факт, что часть аудиозаписей прослушивается живыми людьми. В политике конфиденциальности компании есть только такой момент:
We may collect and store details of how you use our services, including search queries. This information may be used to improve the relevancy of results provided by our services. Except in limited instances to ensure quality of our services over the Internet, such information will not be associated with your IP address.
Официальный комментарий компании по этому поводу следующий:
“A small portion of Siri requests are analysed to improve Siri and dictation. User requests are not associated with the user’s Apple ID. Siri responses are analysed in secure facilities and all reviewers are under the obligation to adhere to Apple’s strict confidentiality requirements.” The company added that a very small random subset, less than 1% of daily Siri activations, are used for grading, and those used are typically only a few seconds long.
Короче, формально как-то и не придерёшься, а по сути какая-то фигня. Для компании, которая использует свой подход к конфиденциальности пользовательских данных в качестве отличия от конкурентов, это прям очень существенное упущение. Неважно, что там прослушивание происходит «анонимно и в защищённых местах», у пользователей должна быть четкая возможность узнать о такой функциональности и принять решение о том, могут ли записи использоваться для изучения, или не могут. Либо трусы, либо крестик.
https://www.theguardian.com/technology/2019/jul/26/apple-contractors-regularly-hear-confidential-details-on-siri-recordings
В результате к прослушивающим попадают и записи от случайных срабатываний, в том числе содержащие какую-то личную информацию. Что отличает этот кейс от других - позиция Apple, которая давно и много говорит о защите частной информации. И хотя проверяемые аудиозаписи составляют небольшой объём от общего количества запросов (менее 1%) и отвязаны от данных типа Apple ID, но что-то личное просочиться все равно может. При этом Apple до этого момента открыто не раскрывала тот факт, что часть аудиозаписей прослушивается живыми людьми. В политике конфиденциальности компании есть только такой момент:
We may collect and store details of how you use our services, including search queries. This information may be used to improve the relevancy of results provided by our services. Except in limited instances to ensure quality of our services over the Internet, such information will not be associated with your IP address.
Официальный комментарий компании по этому поводу следующий:
“A small portion of Siri requests are analysed to improve Siri and dictation. User requests are not associated with the user’s Apple ID. Siri responses are analysed in secure facilities and all reviewers are under the obligation to adhere to Apple’s strict confidentiality requirements.” The company added that a very small random subset, less than 1% of daily Siri activations, are used for grading, and those used are typically only a few seconds long.
Короче, формально как-то и не придерёшься, а по сути какая-то фигня. Для компании, которая использует свой подход к конфиденциальности пользовательских данных в качестве отличия от конкурентов, это прям очень существенное упущение. Неважно, что там прослушивание происходит «анонимно и в защищённых местах», у пользователей должна быть четкая возможность узнать о такой функциональности и принять решение о том, могут ли записи использоваться для изучения, или не могут. Либо трусы, либо крестик.
the Guardian
Apple contractors 'regularly hear confidential details' on Siri recordings
Workers hear drug deals, medical details and people having sex, says whistleblower
в рамках минимизации политоты в канале просто набор ссылок про кибервойны . там и Россия, и США, и Германия, и Иран, и много кибер-убер-пупер. Попкорна и пива нужно много. За часть ссылок спасибо читателям.
https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html
https://web.br.de/interaktiv/winnti/english/
https://www.nytimes.com/2019/06/17/world/europe/russia-us-cyberwar-grid.html
https://www.wired.com/story/triton-hackers-scan-us-power-grid/
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
https://techcrunch.com/2019/07/22/cyber-threats-from-the-u-s-and-russia-are-now-focusing-on-civilian-infrastructure/
https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html
https://web.br.de/interaktiv/winnti/english/
https://www.nytimes.com/2019/06/17/world/europe/russia-us-cyberwar-grid.html
https://www.wired.com/story/triton-hackers-scan-us-power-grid/
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
https://techcrunch.com/2019/07/22/cyber-threats-from-the-u-s-and-russia-are-now-focusing-on-civilian-infrastructure/
NY Times
U.S. Carried Out Cyberattacks on Iran (Published 2019)
The operation went forward because it was intended to be below the threshold of armed conflict — using the same shadow tactics that Iran has used.