Очень хороший материал о том, как некоторые компании, предлагая клиентам бесплатные почтовые клиенты, зарабатывают сбором, обработкой и продажей пользовательских данных, не особо это раскрывая своим пользователям.
https://www.vice.com/en_us/article/pkekmb/free-email-apps-spying-on-you-edison-slice-cleanfox
Ответ компании, которой досталось больше всего в материале Vice
https://medium.com/changing-communications/a-reminder-of-how-we-use-data-and-protect-privacy-8b0cb2c5af71
В целом, даже немного ожидаемо, что за бесплатный продукт надо чем-то платить, хотя, похоже, не всем. Но почта — это такая чувствительная штука, что я бы лично поостерегся давать к ней доступ кому-либо вообще.
https://www.vice.com/en_us/article/pkekmb/free-email-apps-spying-on-you-edison-slice-cleanfox
Ответ компании, которой досталось больше всего в материале Vice
https://medium.com/changing-communications/a-reminder-of-how-we-use-data-and-protect-privacy-8b0cb2c5af71
В целом, даже немного ожидаемо, что за бесплатный продукт надо чем-то платить, хотя, похоже, не всем. Но почта — это такая чувствительная штука, что я бы лично поостерегся давать к ней доступ кому-либо вообще.
Vice
How Big Companies Spy on Your Emails
Multiple confidential documents obtained by Motherboard show the sort of companies that want to buy data derived from scraping the contents of your email inbox.
В продолжение темы с изображениями, содержащими сцены насилия над детьми, и сервисом Apple iCloud, о которой я немного писал тут:
https://t.me/alexmakus/3225
В Forbes вышел материал о том, как работает система детекции подобных изображений в почте. Вкратце, алгоритмы сравнивают хеш изображений (не только в облачной библиотеке с фотографиями, но и в почте), и сигнализируют об обнаружении подобных снимков. После этого человек должен вручную проверить, что алгоритмы не ошиблись. (Там забавный еще момент, что при срабатывании алгоритма почта не доставляется, и в статье описывается, как чувак несколько раз пересылал письмо, видимо, не понимая, почему оно не доходит на самом деле. ) После того, как человек подтвердил, что действительно изображения могут содержать подобные сцены, аккаунт закрывается, а информация о пользователе попадает в правоохранительные органы (как требует того законодательство в США). Технически информация о таких изображениях передается в National Center for Missing and Exploited Children (NCMEC), которые в последствии могут уведомить полицию или ФБР. Подобная практика есть у Google, Microsoft и других облачных провайдеров (напомню, что технологию детекции подобных изображений разработала именно Microsoft).
https://www.forbes.com/sites/thomasbrewster/2020/02/11/how-apple-intercepts-and-reads-emails-when-it-finds-child-abuse/#594e749e31c2
https://t.me/alexmakus/3225
В Forbes вышел материал о том, как работает система детекции подобных изображений в почте. Вкратце, алгоритмы сравнивают хеш изображений (не только в облачной библиотеке с фотографиями, но и в почте), и сигнализируют об обнаружении подобных снимков. После этого человек должен вручную проверить, что алгоритмы не ошиблись. (Там забавный еще момент, что при срабатывании алгоритма почта не доставляется, и в статье описывается, как чувак несколько раз пересылал письмо, видимо, не понимая, почему оно не доходит на самом деле. ) После того, как человек подтвердил, что действительно изображения могут содержать подобные сцены, аккаунт закрывается, а информация о пользователе попадает в правоохранительные органы (как требует того законодательство в США). Технически информация о таких изображениях передается в National Center for Missing and Exploited Children (NCMEC), которые в последствии могут уведомить полицию или ФБР. Подобная практика есть у Google, Microsoft и других облачных провайдеров (напомню, что технологию детекции подобных изображений разработала именно Microsoft).
https://www.forbes.com/sites/thomasbrewster/2020/02/11/how-apple-intercepts-and-reads-emails-when-it-finds-child-abuse/#594e749e31c2
Telegram
Информация опасносте
кстати, про Apple и данные в облаках еще вот. на CES, проходящей в Лас Вегасе в эти дни, директор Apple по конфиденциальности, рассказала о том, что компания сканирует фотографии, которые пользователи хранят в iCloud Photo Library, на предмет наличия фотографий…
Швейцарская компания Crypto AG производила шифрующие устройства и продавала их госорганам для построения безопасных коммуникаций между дипломатическими органами, военными организациями и тд. Правительства более чем 120 стран приобретали оборудование компании.
Сюрприз заключался в том, что ЦРУ и АНБ в 1970 году тайно приобрели компанию, не раскрывая эту информацию. Это позволило шпионам компании прослушивать все то, что другие считали защищенной информацией. Советский Союз и Китай оказались умнее, и не покупали оборудование Crypto AG. Компанию подозревали в таком сотрудничестве примерно с 90х годов, потому что у некоторых политиков слишком длинные языки. Но теперь Washington Post публикует результаты расследования, проливающие свет на всю эту историю. Компания закрылась в 2018 году, хотя есть две компании, которые продолжают функционировать на базе активов Crypto AG. Там все отрицают. Такие дела.
https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/
Сюрприз заключался в том, что ЦРУ и АНБ в 1970 году тайно приобрели компанию, не раскрывая эту информацию. Это позволило шпионам компании прослушивать все то, что другие считали защищенной информацией. Советский Союз и Китай оказались умнее, и не покупали оборудование Crypto AG. Компанию подозревали в таком сотрудничестве примерно с 90х годов, потому что у некоторых политиков слишком длинные языки. Но теперь Washington Post публикует результаты расследования, проливающие свет на всю эту историю. Компания закрылась в 2018 году, хотя есть две компании, которые продолжают функционировать на базе активов Crypto AG. Там все отрицают. Такие дела.
https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/
Washington Post
The CIA secretly bought a company that sold encryption devices across the world. Then its spies sat back and listened.
U.S. and German intelligence agencies partnered on a scheme to dupe dozens of nations into buying rigged encryption systems — taking their money and stealing their secrets.
много много свежих апдейтов для всего вчера у Microsoft, не забудьте проапдейтиться
https://portal.msrc.microsoft.com/en-us/security-guidance/summary
https://portal.msrc.microsoft.com/en-us/security-guidance/summary
Вчера у Wall Street Journal вышла статья, в которой утверждается, что у США есть доказательства того, что у Huawei есть возможности скрытно получать доступ к системам, которые компания продает всему миру. В статье не приводятся доказательства этой информации, но сообщается, что США поделилась с ней с союзниками — с Германией и Великобританией. Грубо говоря, бэкдоры, о которых столько лет говорили большевики. Huawei, разумеется, все это отрицает.
(Может быть, это поможет некоторым представителям правительства США не проталкивать так активно идею бэкдоров в ПО и железе. Хотя вряд ли)
Оригинал статьи в WSJ тут (paywall)
https://www.wsj.com/articles/u-s-officials-say-huawei-can-covertly-access-telecom-networks-11581452256
краткий рерайт тут
https://arstechnica.com/tech-policy/2020/02/us-gave-allies-evidence-that-huawei-can-snoop-on-phone-networks-wsj-says/
(Может быть, это поможет некоторым представителям правительства США не проталкивать так активно идею бэкдоров в ПО и железе. Хотя вряд ли)
Оригинал статьи в WSJ тут (paywall)
https://www.wsj.com/articles/u-s-officials-say-huawei-can-covertly-access-telecom-networks-11581452256
краткий рерайт тут
https://arstechnica.com/tech-policy/2020/02/us-gave-allies-evidence-that-huawei-can-snoop-on-phone-networks-wsj-says/
The Wall Street Journal
WSJ News Exclusive | U.S. Officials Say Huawei Can Covertly Access Telecom Networks
Huawei can covertly access mobile networks via back doors meant for law enforcement, the U.S. has told allies in a bid to show the Chinese firm poses a security threat.
Отчет компании Malwarebytes о состоянии вредоносных приложений под разные платформы: Windows, macOS, Android, web и тд.
https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf
https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf
EKANS - загадочное вредоносное ПО, нацеленное на промышленные объекты
https://www.wired.com/story/ekans-ransomware-industrial-control-systems/
https://www.wired.com/story/ekans-ransomware-industrial-control-systems/
Wired
Mysterious New Ransomware Targets Industrial Control Systems
EKANS appears to be the work of cybercriminals, rather than nation-state hackers—a worrying development, if so.
Forwarded from IT и СОРМ
Twitter и Facebook оштрафованы на 4 млн рублей за отказ локализовать персональные данные россиян на серверах в РФ.
Что это всё значит и что будет дальше.
Закон о «локализации персональных данных» придумали только ради того, чтобы его не выполнили крупные зарубежные компании, чтобы создать «законное» основание для блокировки в любой момент.
Эти «персональные данные» невозможно определить и отделить от всего массива данных, даже если попытаться сделать это частично — это многомиллионные затраты (в долларах) и нарушение целостности системы, механизмов работы сервиса, на которые никогда не пойдут компании вроде твиттера и фейсбука.
С этого момента, над Твиттером и Фейсбуком повисло «законное» основание для блокировки.
В любой момент, когда российская власть посчитает нужным заблокировать соцсети (например, во время массовых протестов), они сделают это «законно» (по их «понятиям», так-то незаконно, конечно).
Что это всё значит и что будет дальше.
Закон о «локализации персональных данных» придумали только ради того, чтобы его не выполнили крупные зарубежные компании, чтобы создать «законное» основание для блокировки в любой момент.
Эти «персональные данные» невозможно определить и отделить от всего массива данных, даже если попытаться сделать это частично — это многомиллионные затраты (в долларах) и нарушение целостности системы, механизмов работы сервиса, на которые никогда не пойдут компании вроде твиттера и фейсбука.
С этого момента, над Твиттером и Фейсбуком повисло «законное» основание для блокировки.
В любой момент, когда российская власть посчитает нужным заблокировать соцсети (например, во время массовых протестов), они сделают это «законно» (по их «понятиям», так-то незаконно, конечно).
Пользователям продукции Adobe на заметку — апдейты, многие из которых исправляют критические уязвимости
https://blogs.adobe.com/psirt/?p=1830
https://blogs.adobe.com/psirt/?p=1830
Наконец-то полезный материал в этом канале!
https://community.turgensec.com/shodan-pentesting-guide/
https://community.turgensec.com/shodan-pentesting-guide/
Осторожно там с расширениями под Chrome (впрочем, я это, кажется, не первый раз пишу). Исследователи обнаружили около 500 расширений для браузера, которые загружали информацию об истории просмотров пользователями на сервера злоумышленников. Google уже убрала эти расширения из Chrome Web Store. Пусть это послужит очередным напоминанием о том, что расширения имеют обширный доступ к информации пользователя в браузере, и за ними нужен глаз да глаз.
https://duo.com/labs/research/crxcavator-malvertising-2020
https://duo.com/labs/research/crxcavator-malvertising-2020
Duo Security
Duo Blog: Discover Security Insights and News | Duo Security
Explore the Duo Blog for expert tips, security insights, and resources to stay updated on the latest in security and access management trends.
Большой и красивый набор известных и неизвестных примеров ransomware (вредоносного софта-вымогателя, который обычно шифрует файлы и требует выкуп за расшифровку)
https://docs.google.com/spreadsheets/d/e/2PACX-1vRCVzG9JCzak3hNqqrVCTQQIzH0ty77BWiLEbDu-q9oxkhAamqnlYgtQ4gF85pF6j6g3GmQxivuvO1U/pubhtml
https://docs.google.com/spreadsheets/d/e/2PACX-1vRCVzG9JCzak3hNqqrVCTQQIzH0ty77BWiLEbDu-q9oxkhAamqnlYgtQ4gF85pF6j6g3GmQxivuvO1U/pubhtml
Пишут как иранцы активно ломают популярные VPN-сервера Pulse Secure, Palo Alto Networks, Fortinet, Citrix, администраторы которых не ставят вовремя апдейты
https://www.clearskysec.com/fox-kitten/
https://www.clearskysec.com/fox-kitten/
и раз уж мы о Ближнем Востоке. Интересный отчет о том, как члены группировки Хамас, прикидываясь в интернете молоденькими девушками, уговаривают солдат армии Израиля установить приложение на смартфон с Android (там, мол, больше фотографий), которое оказывается вредоносным червем. Солдатам присылают ссылки на сайты с приложениями, которое после установки типа крешится, убирая иконку из десктопа. А после этого в фоновом режиме ворует фотографии, текстовые сообщения, адресную книгу и тд. Оказывается, в интернете никому верить нельзя. Вот это новость.
https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/
https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/
Check Point Research
Hamas Android Malware On IDF Soldiers-This is How it Happened - Check Point Research
Introduction: Earlier today, IDF’s spokesperson revealed that IDF (Israel Defense Force) and ISA (Israel Security Agency AKA “Shin Bet”) conducted a joint operation to take down a Hamas operation targeting IDF soldiers, dubbed ‘Rebound’. In this article,…
подарок от правительства США — информация об инструментах северокорейских APT
https://www.us-cert.gov/ncas/current-activity/2020/02/14/north-korean-malicious-cyber-activity
https://www.us-cert.gov/ncas/current-activity/2020/02/14/north-korean-malicious-cyber-activity
не совсем то, о чем я пишу в этом канале обычно, но вообще очень интересная тема. Рассказ о том, как в попытках догнать Apple с распознаванием лиц в технологии Face ID компания Huawei якобы сотрудничала с правительством Китая. Которое предоставило фотографии 1,4 млрд человек, что позволило натренировать алгоритм для распознавания лиц. Не знаю, насколько этому можно верить, но интересно:
Huawei is often first in line for taking advantage of what these suppliers have learned from Apple. Sometime around 2015, there were rumors in the Chinese smartphone manufacturing community of something called FaceID (leading up to the launch of the iPhone X). There were also rumors of a hardware module, which would make FaceID possible. The rumors were that this would be a significant leap in innovation for Apple, and it would likely create a significant gap between Apple and its competitors. There were also rumors that Huawei was attempting to entice Chinese suppliers to reveal some of the secrets behind the new hardware module. This is the story I wanted Ken Hu and Madame Chen to confirm for me.
Huawei realized it would be a serious setback for the company if it didn’t have something similar to Apple’s FaceID, and Huawei went to the government for help. Initially, Huawei hoped the government would put some heat on Apple and force the suppliers to loosen up a little bit. Surprisingly, the government said the following (I am paraphrasing here, based on my conversation with Madame Chen):
Government: Forget about Apple suppliers on this issue.
Huawei: We can’t ignore this. It will be a serious competitive advantage for Apple iPhones if we don’t have something comparable.
Government: We did not say forget about FaceID, just forget about following Apple on hardware. What if we gave you access to a database of 1.4 billion faces and you used that database to develop an AI algorithm to recognize faces? Could you develop an AI solution rather than a hardware solution?
And that’s what Huawei did. The Chinese Government, which has probably been more aggressive (and intrusive) in collecting data through facial recognition than any government in the world, was offering to turn over a database of faces to a private company to build an AI algorithm for facial recognition.
отсюда
https://supchina.com/2020/02/12/the-age-of-cooptation-the-high-cost-of-doing-business-in-xis-china/
Huawei is often first in line for taking advantage of what these suppliers have learned from Apple. Sometime around 2015, there were rumors in the Chinese smartphone manufacturing community of something called FaceID (leading up to the launch of the iPhone X). There were also rumors of a hardware module, which would make FaceID possible. The rumors were that this would be a significant leap in innovation for Apple, and it would likely create a significant gap between Apple and its competitors. There were also rumors that Huawei was attempting to entice Chinese suppliers to reveal some of the secrets behind the new hardware module. This is the story I wanted Ken Hu and Madame Chen to confirm for me.
Huawei realized it would be a serious setback for the company if it didn’t have something similar to Apple’s FaceID, and Huawei went to the government for help. Initially, Huawei hoped the government would put some heat on Apple and force the suppliers to loosen up a little bit. Surprisingly, the government said the following (I am paraphrasing here, based on my conversation with Madame Chen):
Government: Forget about Apple suppliers on this issue.
Huawei: We can’t ignore this. It will be a serious competitive advantage for Apple iPhones if we don’t have something comparable.
Government: We did not say forget about FaceID, just forget about following Apple on hardware. What if we gave you access to a database of 1.4 billion faces and you used that database to develop an AI algorithm to recognize faces? Could you develop an AI solution rather than a hardware solution?
And that’s what Huawei did. The Chinese Government, which has probably been more aggressive (and intrusive) in collecting data through facial recognition than any government in the world, was offering to turn over a database of faces to a private company to build an AI algorithm for facial recognition.
отсюда
https://supchina.com/2020/02/12/the-age-of-cooptation-the-high-cost-of-doing-business-in-xis-china/
SupChina
The age of cooptation: The high cost of doing business in Xi's China – SupChina
Doug Guthrie, former head of Apple University in China from 2015-2019, writes about the dark days ahead for multinationals in the People’s Republic, and tells a revealing story about how Huawei developed its facial recognition technology.
This media is not supported in your browser
VIEW IN TELEGRAM
======РЕКЛАМА========
В HackerU стартует 10 поток практического курса «Специалист по информационной безопасности»🚀
🔥Учитесь на практике и нестандартных задачах в виртуальных лабораториях.
Курс включает 11 модулей.
❗️Можно пройти курс целиком либо выбрать отдельные модули:
— Windows Server 2012-2019
— Установка и настройка Cisco
— Введение в Python
— Способы атак на кибер-инфраструктуру
— Средства защиты
— Продвинутые варианты атак, военные действия, правовые аспекты
— Безопасность облачной инфраструктуры
— Повышение привилегий
— Пентестинг web-приложений
— Мобильная безопасность
— Подготовка и сдача экзамена «Certified Ethical Hacker»
Учитесь у топовых экспертов, защищайте мир от киберугроз🛡
Оставьте заявку на консультацию👉 https://clck.ru/MCmeZ
======РЕКЛАМА========
В HackerU стартует 10 поток практического курса «Специалист по информационной безопасности»🚀
🔥Учитесь на практике и нестандартных задачах в виртуальных лабораториях.
Курс включает 11 модулей.
❗️Можно пройти курс целиком либо выбрать отдельные модули:
— Windows Server 2012-2019
— Установка и настройка Cisco
— Введение в Python
— Способы атак на кибер-инфраструктуру
— Средства защиты
— Продвинутые варианты атак, военные действия, правовые аспекты
— Безопасность облачной инфраструктуры
— Повышение привилегий
— Пентестинг web-приложений
— Мобильная безопасность
— Подготовка и сдача экзамена «Certified Ethical Hacker»
Учитесь у топовых экспертов, защищайте мир от киберугроз🛡
Оставьте заявку на консультацию👉 https://clck.ru/MCmeZ
======РЕКЛАМА========