Владельцам роутеров Linksys Smart Wi-Fi компания передает свои приветствия и рекомендации по сбросу пароля в связи с возможным взломом устройств. Похоже, происходит активный credentials stuffing в аккаунты пользователей, которые применяют одни и те же пароли в разных аккаунтах, а страдают в итоге все.
https://www.linksys.com/us/support-article?articleNum=317063
https://www.linksys.com/us/support-article?articleNum=317063
Linksys
Linksys Official Support - Required password reset due to DNS hack
Get help with Required password reset due to DNS hack
На прошлой неделе Apple и Google анонсировали одну интересную инициативу по отслеживанию контактов с людьми, которые получили подтверждение при тестировании на COVID-19. Суть заключается в том, что смартфоны с операционными системами обеих компаний будут обмениваться анонимными идентификационными ключами через Bluetooth LE, что будет выступать подтверждением близкого контакта. Если кто-то из этой пары позже был продиагностирован на наличие COVID-19, этот человек может отметить это в своем приложении (на сервер будут залиты последние 14 дней идентификационных ключей, которые меняются каждые 15 минут). Система в таком случае уведомит других юзеров, у которых был близкий контакт с этими ключами. Система не предполагает использования геолокации, а расчет совпадения с ключами будет происходить локально на устройствах, что должно обеспечить достаточно высокий уровень конфиденциальности пользовательских данных и сохранить анонимность.
Сам “продукт” в данном случае — это набор API, которые будут представлены в следующем месяце, а уже соответствующие здравоохранительные органы в различных странах смогут использовать эти API для разработки приложений по отслеживанию подобных контактов. В перспективе подобная функциональность будет также встроена в iOS и Android.
Анонс Apple
https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
Анонс Google
https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology
Спецификация об обмене ключами по BTLE
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf
Другая техническая информация
https://www.apple.com/covid19/contacttracing/
Сам “продукт” в данном случае — это набор API, которые будут представлены в следующем месяце, а уже соответствующие здравоохранительные органы в различных странах смогут использовать эти API для разработки приложений по отслеживанию подобных контактов. В перспективе подобная функциональность будет также встроена в iOS и Android.
Анонс Apple
https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
Анонс Google
https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology
Спецификация об обмене ключами по BTLE
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf
Другая техническая информация
https://www.apple.com/covid19/contacttracing/
Apple Newsroom
Apple and Google partner on COVID-19 contact tracing technology
Apple and Google announce a joint effort to help governments and health agencies reduce the spread of the virus, with user privacy central to the design.
красота. шикарная находка о захардкоженных ключах в устройствах компании Cellebrite
https://korelogic.com/Resources/Advisories/KL-001-2020-001.txt
https://korelogic.com/Resources/Advisories/KL-001-2020-001.txt
Инфосек удивляет и радует (в двух словах - джейлбрейк для более простых вентиляторов легких, который превращает их в продвинутые, и пригодные к использованию в больницах для спасения больных)
https://twitter.com/qrs/status/1250095637535887367
https://arstechnica.com/information-technology/2020/04/firmware-jailbreak-lets-low-cost-medical-devices-act-like-ventilators/
https://twitter.com/qrs/status/1250095637535887367
https://arstechnica.com/information-technology/2020/04/firmware-jailbreak-lets-low-cost-medical-devices-act-like-ventilators/
Twitter
Trammell Hudson ⚙
Announcing airbreak, a toolkit to jailbreak inexpensive CPAP machines to turn them into emergency #COVID19 ventilators by unlocking all operational modes and allowing custom software extensions. https://t.co/8dqN0EJ5qZ https://t.co/qXyxv691Z5
Что, давно новостей про Zoom не было? две zero-days для Мак и Windows за 500 тысяч на рынке, налетай!
https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000
https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000
Vice
Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000
People who trade in zero-day exploits say there are two Zoom zero-days, one for Windows and one for MacOS, on the market.
49 расширений Chrome, которые Google убрала из web store, притворявшиеся криптокошельками, а на самом деле пытались воровать приватные ключи от них
https://www.zdnet.com/article/exclusive-google-removes-49-chrome-extensions-caught-stealing-crypto-wallet-keys/
https://www.zdnet.com/article/exclusive-google-removes-49-chrome-extensions-caught-stealing-crypto-wallet-keys/
ZDNet
Exclusive: Google removes 49 Chrome extensions caught stealing crypto-wallet keys
The Chrome extensions were mimicking cryptocurrency wallet apps like Ledger, MyEtherWallet, Trezor, Electrum, and others, but, in reality, they were stealing users' private keys and mnemonic phrases.
======РЕКЛАМА======
21 апреля в 16.00 пройдет круглый стол ANTI-APT ONLINE. Представители «Инфосистемы Джет», Group-IB, Positive Technologies, «АВ Софт» и «Лаборатории Касперского» обсудят тенденции на российском рынке решений для защиты от целенаправленных атак, поделятся видением эффективного построения защиты от сложных атак, расскажут, как продукты работают в режиме удаленной работы, и разберут актуальные кейсы использования Anti-APT для решения конкретных задач.
Регистрируйтесь и приходите: https://events.webinar.ru/jet/antiapt
======РЕКЛАМА======
21 апреля в 16.00 пройдет круглый стол ANTI-APT ONLINE. Представители «Инфосистемы Джет», Group-IB, Positive Technologies, «АВ Софт» и «Лаборатории Касперского» обсудят тенденции на российском рынке решений для защиты от целенаправленных атак, поделятся видением эффективного построения защиты от сложных атак, расскажут, как продукты работают в режиме удаленной работы, и разберут актуальные кейсы использования Anti-APT для решения конкретных задач.
Регистрируйтесь и приходите: https://events.webinar.ru/jet/antiapt
======РЕКЛАМА======
Mts-link.ru
Круглый стол ANTI-APT ONLINE
Приглашаем вас принять участие в круглом столе Anti-APT Online, посвященном выходу нового обзора Anti-APT решений от компании «Инфосистемы Джет». В рамках круглого стола соберутся представители 4 российских вендоров: Group-IB, Positive Technologies, «АВ Софт»…
А помните компанию Clearview AI, про которую я тут неоднократно писал пару месяцев назад? Которая насобирала картинок с фотографиями людей по социальным сетям и другим сервисам, прогнала их через алгоритмы и научила нейросеть распознавать людей на фото и видео. После этого компания начала продавать сервис по распознаванию, по их словам, только правоохранительным органам, а, как оказалось, кому попало (потому что их сервер с базой клиентов взломали). Так вот, теперь им взломали ещё репозиторий - точнее, не взломали, он был неправильно настроен: хоть он и был защищён паролем, но позволял создавать новых пользователей, что и сделал один исследователь безопасности. В репозитории обнаружились код и собранные версии приложений компании, а также токены к Slack, с помощью которых можно было читать переписку сотрудников компании. Короче, молодцы там они
https://techcrunch.com/2020/04/16/clearview-source-code-lapse/
https://techcrunch.com/2020/04/16/clearview-source-code-lapse/
TechCrunch
Security lapse exposed Clearview AI source code
Exclusive: The code repository stored secret keys to the startups' cloud storage buckets.
я только не пони, почему сейчас только пришло время рассказать о событиях июля прошлого года
https://auth0.com/blog/insomnia-security-disclosure/
https://insomniasec.com/blog/auth0-jwt-validation-bypass
https://auth0.com/blog/insomnia-security-disclosure/
https://insomniasec.com/blog/auth0-jwt-validation-bypass
Auth0 - Blog
Insomnia Security Disclosure
On July 31st 2019, at 5:11am, we received an email from Insomnia reporting a service vulnerability. By 11:00pm the same day, we had fixed the issue in production.
Я уже как-то давал ссылку на этот каталог, но не грех и повторить - каталог различных околокомпьютерных гаджетов и их рейтинг от Мозиллы в плане безопасности и сбора пользовательских данных
https://foundation.mozilla.org/en/privacynotincluded/
https://foundation.mozilla.org/en/privacynotincluded/
Mozilla Foundation
*Privacy Not Included | Shop smart and safe | Mozilla Foundation
Be Smart. Shop Safe.
How creepy is that smart speaker, that fitness tracker, those wireless headphones? We created this guide to help you shop for safe, secure connected products.
How creepy is that smart speaker, that fitness tracker, those wireless headphones? We created this guide to help you shop for safe, secure connected products.
между тем, хакеры Серверной Кореи по прежнему представляют собой опасность для США и глобальной финансовой системы
https://www.reuters.com/article/us-usa-northkorea-cyber-advisory/north-korea-hacking-threatens-us-and-global-financial-system-us-officials-idUSKCN21X1Z0
(да, я знаю про опечатку, но так даже лучше)
https://www.reuters.com/article/us-usa-northkorea-cyber-advisory/north-korea-hacking-threatens-us-and-global-financial-system-us-officials-idUSKCN21X1Z0
(да, я знаю про опечатку, но так даже лучше)
Reuters
North Korea hacking threatens U.S. and global financial system: U.S. officials
WASHINGTON (Reuters) - U.S. government officials warned on Wednesday about the threat of North Korean hackers, calling particular attention to banking and other financial services.
Интересная ссылка от читателя про исследование, которое позволяет использовать вентиляторы(!) компьютеров для создания контролируемых вибраций, что позволило бы передавать информацию с изолированных систем. Эксперты университета имени Давида Бен-Гуриона в Негеве давно известны обнаружением необычных векторов атаки для получения данных с таких систем, рекомендую прочитать список в статье. Вот несколько примеров:
- получение данных через диод активности жесткого диска
- создание звуковых волн для передачи данных через управляемые операции чтения-записи жесткого диска
- передача данных через диоды клавиатуры
и тд.
https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-pc-fan-vibrations/
- получение данных через диод активности жесткого диска
- создание звуковых волн для передачи данных через управляемые операции чтения-записи жесткого диска
- передача данных через диоды клавиатуры
и тд.
https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-pc-fan-vibrations/
ZDNET
Academics steal data from air-gapped systems using PC fan vibrations
Israeli researchers use vibrations from CPU, GPU, or PC chassis fans to broadcast stolen information through solid materials and to nearby receives, breaking air-gapped system protections.
И снова здравствуйте! Я просто оставлю этот тред в твиттере тут. Он длинный, но он того стоит: чувак решил разобраться, почему его «умный» пульт Logitech Harmony из 2009 года требует заряжённую батарейку, и обнаружил такое!!! Кликай, чтобы узнать!!! (QNX, Flash, отправку данных по http, и много всего другого интересного, но я рекомендую этот путь в кроличью нору проделать самостоятельно)
https://twitter.com/foone/status/1251395931351609347?s=21
https://twitter.com/foone/status/1251395931351609347?s=21
Twitter
foone
I'm trying to get this Logitech Harmony 900 remote working, but it keeps telling me the battery level is extremely low...
совместное заявление более 300 ученых касательно различных методов по отслеживанию контактов и рисков для конфиденциальных персональных данных. В двух словах: ничего не получится, если не уважать приватность https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view
иногда опасносте не информация, а криптовалюта
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/
ZDNet
Hackers steal $25 million worth of cryptocurrency from Lendf.me platform
UPDATED: Hackers have returned the stolen funds after leaking their IP address during the attack.