красивая история про TeamViewer, хранящий пароли в зашифрованном виде в реестре Windows. И что пароль можно расшифровать. А при повторном использовании пароля в других местах известно что может быть. А TeamViewer на отчет о проблеме отреагировал одним письмом "мы посмотрим".
https://whynotsecurity.com/blog/teamviewer/
https://whynotsecurity.com/blog/teamviewer/
WhyNotSecurity
TeamViewer
Oh man where to even begin with this one. This was a crazy ride and I learned a ton along the way.
Если у вас есть "умные" лампочки Philips Hue (достаточно массовые, надо сказать), то:
а) вам будет интересно узнать, что в этой системе была обнаружена уязвимость, позволяющая злоумышленникам проникнуть в локальную сеть с помощью эксплоита в протоколе Zigbee, используемом для управления различными IoT устройствами. Детали будут раскрыты чуть позже
https://blog.checkpoint.com/2020/02/05/the-dark-side-of-smart-lighting-check-point-research-shows-how-business-and-home-networks-can-be-hacked-from-a-lightbulb/
б) хорошие новости, что уже есть фикс прошивки для лампочек, так что надо просто запустить приложение для iOS или Android, и в настройках найти и установить обновление (правильная версия 1935144040)
а) вам будет интересно узнать, что в этой системе была обнаружена уязвимость, позволяющая злоумышленникам проникнуть в локальную сеть с помощью эксплоита в протоколе Zigbee, используемом для управления различными IoT устройствами. Детали будут раскрыты чуть позже
https://blog.checkpoint.com/2020/02/05/the-dark-side-of-smart-lighting-check-point-research-shows-how-business-and-home-networks-can-be-hacked-from-a-lightbulb/
б) хорошие новости, что уже есть фикс прошивки для лампочек, так что надо просто запустить приложение для iOS или Android, и в настройках найти и установить обновление (правильная версия 1935144040)
Check Point Blog
The Dark Side of Smart Lighting: Check Point Research Shows How Business and Home Networks Can Be Hacked from a Lightbulb - Check…
Everyone is familiar with the concept of IoT, the Internet of Things, but how many of you have heard of smart lightbulbs? By using a mobile app, or your
Кстати, про апдейты. Там еще если кто использует WhatsApp Desktop, нужно поставить апдейт в связи с этой уязвимостью. Она приводила к возможности чтения локальных файлов, если кликнуть по специальной ссылке из пришедшего сообщения.
https://www.facebook.com/security/advisories/cve-2019-18426
https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/
https://www.facebook.com/security/advisories/cve-2019-18426
https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/
Пользуетесь планшетом Wacom на Маке? а он в рамках сбора аналитики сообщает производителю список всех приложений, которые вы запускаете у себя на компьютере. Даже те, которые к планшету никакого отношения не имеют. И вот так с этим везде — все пытаются собирать информацию, которая им не нужна, но зачем-то все равно собирают. каждая такая мелкая история со слежкой накапливается и уже чувствуется, что люди от этого устали.
https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/
https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/
Robert Heaton
Wacom drawing tablets track the name of every application that you open | Robert Heaton
I have a Wacom drawing tablet. I use it to draw cover illustrations for my blog posts, such as this one.
Возвращаемся к новости из далекого 2016 года. Там была история про видеокамеры наблюдения компании XiongMai Technologies, с использованием которых была организована DDoS атака. Благодаря этой атаке прилегли ресурсы у половины американского интернета
https://t.me/alexmakus/767
А исследователь безопасности Владислав Ярмак опубликовал детали о механизме бэкдора, который он обнаружил в прошивке устройств этой компании, включая камеры и записывающие устройства. Сами устройства работают на SoC HiSilicon, но проблема именно в прошивке компании Xiongmai (Hangzhou Xiongmai Technology Co, XMtech)
https://habr.com/en/post/486856/
https://t.me/alexmakus/767
А исследователь безопасности Владислав Ярмак опубликовал детали о механизме бэкдора, который он обнаружил в прошивке устройств этой компании, включая камеры и записывающие устройства. Сами устройства работают на SoC HiSilicon, но проблема именно в прошивке компании Xiongmai (Hangzhou Xiongmai Technology Co, XMtech)
https://habr.com/en/post/486856/
Telegram
Информация опасносте
в общем, вот, наверно, лучшая статья про пятничный DDoS на Dyn, вырубавший хорошую половину американского интернета с помощью IoT-устройств. Как и предполагалось, там применялась атака Mirai, которую заопенсорсили. большинство принимавших участие устройств…
И к новостям не таким давним. Пару недель назад я писал про компанию ClearView AI. Там стартапер-основатель, обпившись смузи, насобирал фоточек людей по социальным сетям и другим ресурсам, сделал нейронку с распознаванием лиц, и продает эти сервисы правоохранительным органам. Когда компании, у которых эти фоточки слили, услышали об этом, их юристы пустили слюну и тут же побежали в правильном направлении. Google, YouTube (то есть тоже Google), Twitter, и прочие уже прислали письма компании со словами немедленно прекратить использование фотографий, полученных с их сервисов, для распознавания лиц (потому что как правило документы с условиями использования таких сервисов открыто запрещают подобный сбор информации). Это пока не остановило основателя компании, который дал тут интервью, рассказывая, что то, что он делает, совершенно законно (нет), и защищено первой поправкой к конституции США (нет). Короче, чуваку явно нужен адвокат получше, а за этой сагой редакция канала продолжит следить с большим интересом.
https://www.cbsnews.com/news/clearview-ai-google-youtube-send-cease-and-desist-letter-to-facial-recognition-app/
https://www.cbsnews.com/news/clearview-ai-google-youtube-send-cease-and-desist-letter-to-facial-recognition-app/
Cbsnews
Google, YouTube, Venmo and LinkedIn send cease-and-desist letters to facial recognition app that helps law enforcement
The tech companies join Twitter in trying to block Clearview AI from taking pictures from their platforms.
Не очень длинная, но в целом познавательная статья о том, как перетекает информация из оффлайнового мира в онлайновый. В частности, речь идет о том, как онлайновые сервисы узнают о ваших намерениях и покупках в физическом ритейле, как после посещения магазина вас может преследовать реклама этого магазина и тд. Статья о том, как это устроено в США, но, думаю, в других странах ситуация может быть похожей.
Td;dr версия
Трекинг всего и вся: входы через открытые сети WiFi, приложения брендов и магазинов, заходы на сайты компаний, датчики Bluetooth в магазинах, информация о геолокации, пассивный трекинг через MAC-адреса устройств, последующий микс собранной персональной и неперсонифицированной информации для того, чтобы проследить конкретного пользователя. Частично помогает отключение BT и WiFi, но кто из нас реально это делает в своих телефонах? Не говоря уже о том, что мобильные операторы тоже занимаются продажей информации о пользователях всевозможным брокерам данных.
Короче, только лес, избушка, отсутствие электричества и интернета. И никакого ритейла.
https://www.vox.com/recode/2019/12/19/21011527/retail-tracking-apps-wifi-bluetooth-facebook-ads
Td;dr версия
Трекинг всего и вся: входы через открытые сети WiFi, приложения брендов и магазинов, заходы на сайты компаний, датчики Bluetooth в магазинах, информация о геолокации, пассивный трекинг через MAC-адреса устройств, последующий микс собранной персональной и неперсонифицированной информации для того, чтобы проследить конкретного пользователя. Частично помогает отключение BT и WiFi, но кто из нас реально это делает в своих телефонах? Не говоря уже о том, что мобильные операторы тоже занимаются продажей информации о пользователях всевозможным брокерам данных.
Короче, только лес, избушка, отсутствие электричества и интернета. И никакого ритейла.
https://www.vox.com/recode/2019/12/19/21011527/retail-tracking-apps-wifi-bluetooth-facebook-ads
Vox
Why you see online ads for stuff you buy in the real world
Facebook isn’t following you around the mall, but the stores might be.
Есть некая ирония в том, что у Фейсбука взломали корпоративный твиттер-аккаунт
https://twitter.com/Facebook/status/1225959837709697025
https://twitter.com/Facebook/status/1225959837709697025
Twitter
Facebook
Some of our corporate social accounts were briefly hacked but we have secured and restored access
Исполнение кода на телефоне с правами демона Bluetooth в случае, если BT активирован на смартфоне с Android с 8.0 и 9.0 (на 10.0 демон просто падал)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0022
Исправлена в патче за февраль (спасибо читателям, которые прислали ссылку)
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0022
Исправлена в патче за февраль (спасибо читателям, которые прислали ссылку)
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/
cve.mitre.org
CVE -
CVE-2020-0022
CVE-2020-0022
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Тут ссылка на тред в твиттере, где, я так понимаю, пишут, что база данных избирателей в Израиле со всеми 6,5млн записей утекла в интернет
https://twitter.com/barzik/status/1226567613964312576
если сильны в иврите, то можно еще тут почитать (для подписчиков)
https://www.haaretz.co.il/captain/net/.premium-1.8509086
ДОПОЛНЕНИЕ
Статья на английском
https://www.haaretz.com/israel-news/elections/.premium-app-used-by-netanyahu-s-likud-leaks-israel-s-entire-voter-registry-1.8509696
https://twitter.com/barzik/status/1226567613964312576
если сильны в иврите, то можно еще тут почитать (для подписчиков)
https://www.haaretz.co.il/captain/net/.premium-1.8509086
ДОПОЛНЕНИЕ
Статья на английском
https://www.haaretz.com/israel-news/elections/.premium-app-used-by-netanyahu-s-likud-leaks-israel-s-entire-voter-registry-1.8509696
Twitter
Ran Bar-Zik
ראיתי הרבה מקרי דליפות מידע בחיי, אבל כפי שחלקכם ראיתם בערוץ 12, או קראתם ב @Haaretz או @calcalist - ממש עכשיו - הפרשה החדשה היא באמת חסרת תקדים. הגדולה ביותר שיצא לי לסקר. מי נפגע? *כל* אזרחי ישראל. כולכם. ספר הבוחרים המלא של מדינת ישראל דלף לרשת ונמצא גם…
История про Equifax - кредитное бюро в США, которое взломали в 2017 году, и украли практически все возможные данные на 150 млн американцев — получила свое продолжение сегодня.
Напомню, что об этой истории я писал неоднократно, в том числе и потому, что меня лично она, похоже, тоже затронула:
https://t.me/alexmakus/1352
https://t.me/alexmakus/1355
https://t.me/alexmakus/1367
https://t.me/alexmakus/1554
https://t.me/alexmakus/2551
Если интересно, походите по ссылкам, там и о взломе, и о том, какие данные украли, и о том, как этот взлом можно было предотвратить (потому что Equifax мудаки, конечно, и не исправили дыру в Apache Struts, о которой им сообщили задолго до взлома). Но сегодня я пишу об этом, потому что суд в США предъявил обвинение 4 членам китайской Народной Освободительной Армии именно во взломе инфраструктуры Equifax.
По ссылке — само обвинение:
https://www.justice.gov/opa/press-release/file/1246891/download
Почитав его, можно узнать о том, как происходил сам взлом, выгребание данных, маскировка от систем детекции взлома и тд. Все на английском, конечно, но что ж поделать. Представляю себе расследование со всеми логами промежуточных сервисов и серверов, которое привело в конце к фотографиям обвиняемых в конце этого документа.
Напомню, что об этой истории я писал неоднократно, в том числе и потому, что меня лично она, похоже, тоже затронула:
https://t.me/alexmakus/1352
https://t.me/alexmakus/1355
https://t.me/alexmakus/1367
https://t.me/alexmakus/1554
https://t.me/alexmakus/2551
Если интересно, походите по ссылкам, там и о взломе, и о том, какие данные украли, и о том, как этот взлом можно было предотвратить (потому что Equifax мудаки, конечно, и не исправили дыру в Apache Struts, о которой им сообщили задолго до взлома). Но сегодня я пишу об этом, потому что суд в США предъявил обвинение 4 членам китайской Народной Освободительной Армии именно во взломе инфраструктуры Equifax.
По ссылке — само обвинение:
https://www.justice.gov/opa/press-release/file/1246891/download
Почитав его, можно узнать о том, как происходил сам взлом, выгребание данных, маскировка от систем детекции взлома и тд. Все на английском, конечно, но что ж поделать. Представляю себе расследование со всеми логами промежуточных сервисов и серверов, которое привело в конце к фотографиям обвиняемых в конце этого документа.
Telegram
Информация опасносте
Привет! Нет, не дождётесь, я всё-таки ещё живой, хотя и существенно порезанный после нескольких дней в больнице. Но вчера я всё-таки доехал домой и редакция канала в лице меня постарается возобновить регулярные трансляции из мира информационных опасностей.…
https://meduza.io/feature/2020/02/10/ideya-prosta-ne-uprashivat-microsoft
на ночь глядя лучше не читать во избежание кошмаров
на ночь глядя лучше не читать во избежание кошмаров
Meduza
Рунет начали переводить на отечественную криптографию
До конца 2020 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые сертификаты. По всему миру такие сертификаты используются на сайтах…
Уязвимости во множестве устройств Cisco, сразу 5 штук. Вместе с информацией об апдейтах и возможностях минимизации рисков
https://www.armis.com/cdpwn/
https://www.armis.com/cdpwn/
Armis
CDPwn
RESEARCH // CDPWN CDPWN 5 zero day vulnerabilities impacting tens of millions of devices. GENERAL OVERVIEW YOUR NETWORK RISKS AFFECTED DEVICES TECHNICAL
Очень хороший материал о том, как некоторые компании, предлагая клиентам бесплатные почтовые клиенты, зарабатывают сбором, обработкой и продажей пользовательских данных, не особо это раскрывая своим пользователям.
https://www.vice.com/en_us/article/pkekmb/free-email-apps-spying-on-you-edison-slice-cleanfox
Ответ компании, которой досталось больше всего в материале Vice
https://medium.com/changing-communications/a-reminder-of-how-we-use-data-and-protect-privacy-8b0cb2c5af71
В целом, даже немного ожидаемо, что за бесплатный продукт надо чем-то платить, хотя, похоже, не всем. Но почта — это такая чувствительная штука, что я бы лично поостерегся давать к ней доступ кому-либо вообще.
https://www.vice.com/en_us/article/pkekmb/free-email-apps-spying-on-you-edison-slice-cleanfox
Ответ компании, которой досталось больше всего в материале Vice
https://medium.com/changing-communications/a-reminder-of-how-we-use-data-and-protect-privacy-8b0cb2c5af71
В целом, даже немного ожидаемо, что за бесплатный продукт надо чем-то платить, хотя, похоже, не всем. Но почта — это такая чувствительная штука, что я бы лично поостерегся давать к ней доступ кому-либо вообще.
Vice
How Big Companies Spy on Your Emails
Multiple confidential documents obtained by Motherboard show the sort of companies that want to buy data derived from scraping the contents of your email inbox.
В продолжение темы с изображениями, содержащими сцены насилия над детьми, и сервисом Apple iCloud, о которой я немного писал тут:
https://t.me/alexmakus/3225
В Forbes вышел материал о том, как работает система детекции подобных изображений в почте. Вкратце, алгоритмы сравнивают хеш изображений (не только в облачной библиотеке с фотографиями, но и в почте), и сигнализируют об обнаружении подобных снимков. После этого человек должен вручную проверить, что алгоритмы не ошиблись. (Там забавный еще момент, что при срабатывании алгоритма почта не доставляется, и в статье описывается, как чувак несколько раз пересылал письмо, видимо, не понимая, почему оно не доходит на самом деле. ) После того, как человек подтвердил, что действительно изображения могут содержать подобные сцены, аккаунт закрывается, а информация о пользователе попадает в правоохранительные органы (как требует того законодательство в США). Технически информация о таких изображениях передается в National Center for Missing and Exploited Children (NCMEC), которые в последствии могут уведомить полицию или ФБР. Подобная практика есть у Google, Microsoft и других облачных провайдеров (напомню, что технологию детекции подобных изображений разработала именно Microsoft).
https://www.forbes.com/sites/thomasbrewster/2020/02/11/how-apple-intercepts-and-reads-emails-when-it-finds-child-abuse/#594e749e31c2
https://t.me/alexmakus/3225
В Forbes вышел материал о том, как работает система детекции подобных изображений в почте. Вкратце, алгоритмы сравнивают хеш изображений (не только в облачной библиотеке с фотографиями, но и в почте), и сигнализируют об обнаружении подобных снимков. После этого человек должен вручную проверить, что алгоритмы не ошиблись. (Там забавный еще момент, что при срабатывании алгоритма почта не доставляется, и в статье описывается, как чувак несколько раз пересылал письмо, видимо, не понимая, почему оно не доходит на самом деле. ) После того, как человек подтвердил, что действительно изображения могут содержать подобные сцены, аккаунт закрывается, а информация о пользователе попадает в правоохранительные органы (как требует того законодательство в США). Технически информация о таких изображениях передается в National Center for Missing and Exploited Children (NCMEC), которые в последствии могут уведомить полицию или ФБР. Подобная практика есть у Google, Microsoft и других облачных провайдеров (напомню, что технологию детекции подобных изображений разработала именно Microsoft).
https://www.forbes.com/sites/thomasbrewster/2020/02/11/how-apple-intercepts-and-reads-emails-when-it-finds-child-abuse/#594e749e31c2
Telegram
Информация опасносте
кстати, про Apple и данные в облаках еще вот. на CES, проходящей в Лас Вегасе в эти дни, директор Apple по конфиденциальности, рассказала о том, что компания сканирует фотографии, которые пользователи хранят в iCloud Photo Library, на предмет наличия фотографий…
Швейцарская компания Crypto AG производила шифрующие устройства и продавала их госорганам для построения безопасных коммуникаций между дипломатическими органами, военными организациями и тд. Правительства более чем 120 стран приобретали оборудование компании.
Сюрприз заключался в том, что ЦРУ и АНБ в 1970 году тайно приобрели компанию, не раскрывая эту информацию. Это позволило шпионам компании прослушивать все то, что другие считали защищенной информацией. Советский Союз и Китай оказались умнее, и не покупали оборудование Crypto AG. Компанию подозревали в таком сотрудничестве примерно с 90х годов, потому что у некоторых политиков слишком длинные языки. Но теперь Washington Post публикует результаты расследования, проливающие свет на всю эту историю. Компания закрылась в 2018 году, хотя есть две компании, которые продолжают функционировать на базе активов Crypto AG. Там все отрицают. Такие дела.
https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/
Сюрприз заключался в том, что ЦРУ и АНБ в 1970 году тайно приобрели компанию, не раскрывая эту информацию. Это позволило шпионам компании прослушивать все то, что другие считали защищенной информацией. Советский Союз и Китай оказались умнее, и не покупали оборудование Crypto AG. Компанию подозревали в таком сотрудничестве примерно с 90х годов, потому что у некоторых политиков слишком длинные языки. Но теперь Washington Post публикует результаты расследования, проливающие свет на всю эту историю. Компания закрылась в 2018 году, хотя есть две компании, которые продолжают функционировать на базе активов Crypto AG. Там все отрицают. Такие дела.
https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/