Поскольку канал читают не только те, кому эта тема интересна, но и профессионалы «этого дела», то вам может быть полезно почитать про вакансии, доступные специалистам по информационной безопасности. Вакансии - штука полезная, поэтому публикуются бесплатно.
————РАБОТА!————
Центр информационной безопасности сбытовых предприятий ПАО «Газпром нефть» открыл новые позиции!
Если Вам знакомы такие понятия, как devsecops, hardening, docker, аудит и этичный хакинг, знаете и используете нормативные акты РФ в сфере информационной безопасности, а также лучшие практики по защите автоматизированных систем, загляните сюда:
https://spb.hh.ru/vacancy/31998607
https://spb.hh.ru/vacancy/31999154
https://spb.hh.ru/vacancy/31999400
Вопросы и резюме можно направлять на Sperantseva.ea@gazprom-neft.ru или откликами на вакансии на hh.ru .
————РАБОТА!————
Центр информационной безопасности сбытовых предприятий ПАО «Газпром нефть» открыл новые позиции!
Если Вам знакомы такие понятия, как devsecops, hardening, docker, аудит и этичный хакинг, знаете и используете нормативные акты РФ в сфере информационной безопасности, а также лучшие практики по защите автоматизированных систем, загляните сюда:
https://spb.hh.ru/vacancy/31998607
https://spb.hh.ru/vacancy/31999154
https://spb.hh.ru/vacancy/31999400
Вопросы и резюме можно направлять на Sperantseva.ea@gazprom-neft.ru или откликами на вакансии на hh.ru .
spb.hh.ru
Вакансия Главный специалист-эксперт Центра информационной безопасности [id12676] в Санкт-Петербурге, работа в компании ПАО «Газпром…
Зарплата: не указана. Санкт-Петербург. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 02.08.2019.
Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком iOS для публичной актуальной версии системы за последние несколько лет
https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years
https://github.com/pwn20wndstuff/Undecimus/releases
Это в целом достаточно серьезная лажа, так как джейлбрейк может применяться с разными целями. Кто-то может поставить себе приложение-рекордер звонков, а кто-то - вредоносное ПО-шпион. Джейлбрейки в сфере инфосека часто используются для того, чтобы получить более свободный доступ к системе и изучать её на предмет других уязвимостей. Не удивлюсь, если в ближайшие пару дней Apple срочно выкатит 12.4.1 для исправления этой лажи.
https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years
https://github.com/pwn20wndstuff/Undecimus/releases
Это в целом достаточно серьезная лажа, так как джейлбрейк может применяться с разными целями. Кто-то может поставить себе приложение-рекордер звонков, а кто-то - вредоносное ПО-шпион. Джейлбрейки в сфере инфосека часто используются для того, чтобы получить более свободный доступ к системе и изучать её на предмет других уязвимостей. Не удивлюсь, если в ближайшие пару дней Apple срочно выкатит 12.4.1 для исправления этой лажи.
Vice
Hacker Releases First Public Jailbreak for Up-to-Date iPhones in Years
Apple accidentally unpatched a vulnerability it had already fixed, making current versions of iOS vulnerable to hackers.
MoviePass, кластерфак прошлого года (модный стартап, пытавшийся очень агрессивно продвигать тему подписки для подходов в кино и неоднократно обосравшийся на этой теме), снова в новостях. В этот раз — по теме канала. Так как компания оставила открытой базу данных доменных адресов компании, среди которых обнаружилась коллекция пользовательской информации. в частности, номера дебетных карт клиентов компании (они же - карты участников программы), баланс карт, дату окончания срока действия, а также записи с персональными картами пользователей, адресами и именами. рубрика "никогда такого не было, и вот опять"
https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/
https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/
TechCrunch
MoviePass exposed thousands of unencrypted customer card numbers
Movie ticket subscription service MoviePass has exposed tens of thousands of customer card numbers and personal credit cards because a critical server was not protected with a password. Mossab Hussein, a security researcher at Dubai-based cybersecurity firm…
а эта новость пригодится юзерам техники Apple — айфонов, айпадов и Маков. Yubico наконец-то начали поставки ключа YubiKey 5Ci, который содержит в себе одновременно разъемы Lightning и USB-C, и поддерживает все платформы компании. https://www.yubico.com/product/yubikey-5ci
Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci
Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci
Yubico
USB-C & Lightning YubiKey 5Ci Security Key | Yubico
Protect yourself from account takeovers with the efficient, multi-protocol YubiKey 5Ci. Go passwordless with our USB-C and Lightning dual ended security key.
Полезная ссылка от читателя
https://www.linux.org.ru/news/security/15175589
https://www.linux.org.ru/news/security/15175589
www.linux.org.ru
out-of-tree v1.0.0 ― инструментарий для разработки и тестирования эксплоитов и модулей ядра Linux
Состоялся релиз первой (v1.0.0) версии out-of-tree ― инструментария для разработки и тестирования эксплоитов и модулей ядра Linux. out-of-tree позволяет автоматизировать некоторые рутинные действия по созданию окружений для отладки модулей ядра и экс...
Motherboard сообщает о том, что подрядчики Microsoft прослушивали не только записи Cortana, но и аудиозаписи игроков Xbox, у которой тоже есть команды голосовой активации
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana
Vice
Microsoft Contractors Listened to Xbox Owners in Their Homes
Multiple contractors working for Microsoft explain how they listened to audio captured by Xbox consoles.
тем временем Google, Mozilla и Apple решили блокировать сертификат Казахстана для перехвата трафика
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
VentureBeat
Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox
Google and Mozilla have blocked the fake root CA Qaznet Trust Network from Chrome and Firefox browsers to protect citizens of Kazakhstan.
популярный хостинг-провайдер Hostinger рассказал о неавторизованном доступе к базе данных клиентов компании (через найденный токен получили доступ в API базы). В базе данных хранились логины, имейлы, пароли в алогоритме SHA-1. Всего у компании 29 млн клиентов, злоумышленники получили доступ к данным 14 млн человек. Те клиенты, кого это затронуло, уже должны были получить имейл о сбросе пароля
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8
Hostinger Blog
Security Incident: What We Did to Improve Security of Our Infrastructure
Everything you need to know about the security incident and what was done to make Hostinger and its users more secure.
Гонконгские IT-специалисты выяснили, как узнать телефонный номер пользователя Telegram, даже если тот скрыл его от всех в настройках мессенджера. Утечка происходит через публичные чаты — члены таких групп могут распознать среди участников контакты из своей телефонной книжки.
https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/
https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/
Собственно, как я и предполагал тут (https://t.me/alexmakus/3005), Apple выкатила апдейт 12.4.1 для iPhone, где вкатила фикс того, что она откатила в 12.4 после того, как пофиксила в 12.3 (да, оно на самом деле так запутанно и есть, как звучит)
https://support.apple.com/en-us/HT210549
https://support.apple.com/en-us/HT210549
Telegram
Информация опасносте
Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком…
о профессиональной деформации. Сегодня приснилось, что кто-то взломал канал. Не мой аккаунт в ТГ, а именно канал, и начал постить сюда всякие сообщения о pwning. кошмары у каждого свои.
Пару раз я уже писал тут про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
Apple Newsroom
Improving Siri’s privacy protections
Our goal with Siri, the pioneering intelligent assistant, is to provide the best experience for our customers while vigilantly protecting their privacy.
https://security.googleblog.com/2019/08/new-research-lessons-from-password.html
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Google Online Security Blog
New Research: Lessons from Password Checkup in action
Posted by Jennifer Pullman, Kurt Thomas, and Elie Bursztein, Spam and Abuse research Back in February, we announced the Password Checkup ...
Отчёт о том, как частная компания Ring, принадлежащая Amazon, передаёт полиции напрямую записи со своих «умных» звонков с камерами. В самом сотрудничестве формально нарушения законодательства нет, но сам факт построения такой частной системы наблюдения вызывает вопросы у экспертов по обеспечению сохранности личной информации. Кроме того, есть много вопросов и к тому, как системы распознавания у Ring идентифицируют людей; неоднократно приводились примеры, как у распознавалки была склонность находить больше преступников среди чернокожих, а также идентифицировать кандидатов в преступники среди обычных людей. Неспокойно это как-то
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/
Мегапост про уязвимости на сайтах, способные заражать айфоны имплантами просто от посещения сайтов, и ворующие потом данные без особого таргетинга, просто у всех посетителей. Воровали все подряд, включая данные о местоположении, кейчейны, и прочее. Сайты работали на протяжении пары лет и сколько людей они могли заразить - неизвестно. Как минимум, хорошая новость в том, что имплант исчезал после рестарта. Вторая хорошая новость - Речь о цепочках уязвимостей, которые были обнаружены в начале этого года, и исправлены в последующих апдейтах iOS. Детальное расследование самих уязвимостей и импланта по ссылке, увлекательное чтиво на выходные
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
Blogspot
A very deep dive into iOS Exploit chains found in the wild
Posted by Ian Beer, Project Zero Project Zero’s mission is to make 0-day hard. We often work with other companies to find and report se...
ребята из Элкомсофт научились добывать сообщения Signal из айфона. Это, конечно, с физическим доступом к устройству, но даже в этом случае это было непросто
https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/
https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/
ElcomSoft blog
How to Extract and Decrypt Signal Conversation History from the iPhone
With over half a million users, Signal is an incredibly secure cross-platform instant messaging app. With emphasis on security, there is no wonder that Signal is frequently picked as a communication tool by those who have something to hide. Elcomsoft Phone…
Но есть и хорошие новости, вполне в духе пятницы! известный бренд Bang Bros (хехе) приобрел PornWikiLeaks.com — сайт, известный доксингом порноактрис (и актеров, я думаю). Сайт содержал в себе личную информацию, и Bang Bros, купив сайт (вместе с дисками), просто сжег диски нафиг.
https://www.vice.com/en_us/article/9keb4d/bang-bros-bought-pornwikileaks-doxing-forum-and-set-fire-to-it
https://www.vice.com/en_us/article/9keb4d/bang-bros-bought-pornwikileaks-doxing-forum-and-set-fire-to-it
Vice
Bang Bros Bought a Huge Porn Doxing Forum and Set Fire to It
PornWikiLeaks was a forum devoted to revealing the names and personal information of porn performers, including several in the Girls Do Porn trial.