iPhone, как известно, не умеет записывать телефонные разговоры, да и приложений к нему, которые могли бы напрямую их писать, тоже нет. Поэтому существуют некоторые сервисы с мобильными приложениями, которые, по сути, гоняют через себя звонок, передавая его на iPhone пользователю, и у себя его зписывают. Казалось бы, что может пойти не так? В сервисе была обнаружена уязвимость, которая позволяла запросить номер телефона пользователя и в ответ получить информацию о том, где хранились записи без какой-либо дополнительной верификации. Плюс история звонков. А тем временем это было одно из самых популярных приложений в категории Бизнес в App Store

https://www.pingsafe.ai/blog/how-we-could-have-listened-to-anyones-call-recordings?=7194ef805fa2d04b0f7e8c9521f97343

Из редкой, но не менее любимой рубрики «преступление и наказание»: хакер, который взломал в прошлом году Твиттер (на самом деле методом социальной инженерии получил доступ к контрольной панели одного из сотрудников) — когда многие популярные аккаунты начали твитить про биткойны, согласился на три года заключения в тюрьме для молодежи. Ему всего 17 лет, иначе бы грозил срок 10 лет. всю криптовалюту он передал правоохранительным органам, ему запрещено пользоваться компьютерами без разрешения и соответствующего наблюдения, и он должен передать пароли ко всем своим учетным записям.

https://www.tampabay.com/news/crime/2021/03/16/tampa-twitter-hacker-agrees-to-three-years-in-prison-in-plea-deal/

Ну и, конечно, если у вас есть желание и соответствующий уровень английского языка, рекомендую почитать не очень длинный документ, который совместно опубликовали министерство юстиции США и министерство национальной безопасности США, включая ФБР, и агентство по кибербезопасности и безопасности инфраструктуры. В документе изложены ключевые факты, обнаруженные в результате исследования утверждений о взломах избирательной инфраструктуры в США во время выборов президента в 2020 году. В частности, расследовались заявления про то, что различные правительства других стран якобы контролировали инфраструктуру, используемую в выборах, применяли схемы по манипуляции этой инфраструктурой, а также якобы могли менять или манипулировать другим образом подсчетом голосов. Наверно, не будет сюрпризом, если я заспойлерю, что в результате расследования эти заявления оказались голословными и не соответствовали действительности. В некоторых случаях были замечены действия российских, иранских и китайских оперативников, но они не повлияли существенным образом на результаты выборов. В некоторых случаях утверждения о взломах и изменении результатов распространялись самими группировками, при этом не соответствовали действительности.

(PDF)
https://www.justice.gov/opa/press-release/file/1376761/download

=== РАБОТА ===

Всем привет! 🙂

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

🎓 Мы ищем лектора, который знает следующие темы:


⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение

⚙️ Организация безопасности:
🔹 Настройка и администрирование СЗИ;
🔹 Мониторинг событий безопасности;
🔹 Регламентация процесса;

Какие есть возможности:

📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;

💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

💎 Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту r.pshenichnikov@netology.ru!

Фаза 1
Берем данные о геолокации из приложений для молитв мусульман — и продаем армии. кому профит, кому данные для дронов
https://t.me/alexmakus/3727

Фаза 2
Берем данные о той же геолокации из автомобилей, через производителей собираем их у агрегатора — и продаем армии. Так-то, глядишь, и для дронов тоже данные найдутся, а там и профит пойдет.

Короче, не скроешься. Умные машины, говорили они, подключение к интернету в каждой машине, говорили они. Ну что может пойти не так в этой схеме? В статье все именно настолько плохо, как можно подумать: агрегатор питчит военным ведомствам возможность получить информацию о реальном местоположении определенного автомобиля в почти любой стране мира (за исключением Кубы и Северной Кореи).

"Vehicle telematics is data transmitted from the vehicle to the automaker or OEM through embedded communications systems in the car. Among the thousands of other data points, vehicle location data is transmitted on a constant and near real time basis while the vehicle is operating."

https://www.vice.com/en/article/k7adn9/car-location-data-telematics-us-military-ulysses-group

https://www.documentcloud.org/documents/20515640-ulysses-document

=== РЕКЛАМА ===
Сетевые песочницы: ваш опыт

Positive Technologies проводит исследование о том, как ИБ-специалисты используют продукты класса «песочница»: какие задачи и каким образом решают, находят ли реальные угрозы.

Если вы работаете с сетевой песочницей любого вендора, поделитесь своим опытом – ответьте анонимно на несколько вопросов:
https://ru.surveymonkey.com/r/2ZG3MRY

Отчет по результатам исследования будет опубликован на сайте Positive Technologies.

В августе прошлого года проскакивала история про некоего Егора Игоревича Крючкова, который предлагал взятку в 1 млн долларов сотруднику Tesla за возможность установить вредоносное ПО в сети компании

https://t.me/alexmakus/3623

Но сотрудник сообщил об этой попытке в ФБР, и Егора Игоревича арестовали. Раньше он отрицал вину и хотел судебного процесса с разбирательством, но вот признал свою вину, и вместо «до 5 лет» в тюрьме получит от 4 до 10 месяцев. Интересно, по условиям соглашения, не рассказал ли он, кто там его на такое надоумил?

https://therecord.media/russian-who-tried-to-hack-tesla-last-summer-pleads-guilty/

Project Zero, как всегда, прекрасен с рассказом про 7 уязвимостей нулевого дня, обнаруженные в октябре 2020 года, для Windows, iOS и Android. Речь идёт о неких сайтах, которые хостили эксплойты, и при заходе на них могли получать данные с устройств. Схемка там с разными серверами для разных устройств красивая.

https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html

Постоянные читатели канала помнят стартап Clearview AI, компанию, которая собрала несколько миллиардов фотографий людей из разных социальных сетей и прочих сайтов, куда мы все так любим постить фотографии о себе, а потом открыла сервис для частных и государственных организаций по поиску людей. Спорность и легитимность сервиса обсуждают до сих пор многие, но правоохранительным органам в США, похоже, все равно на эти обсуждения, поэтому и полиция, и ФБР часто обращаются за услугами к этой компании.


Я оставлю вам на выходные длинный, но очень интересный профайл об этой компании в NYT (да, на английском, но автоматические переводчики нынче очень неплохо подобный контент переводят). В статье есть много всего про историю основания компании, людей, к этому причастных, про судебные разбирательства и легитимность использования систем распознавания лиц в принципе. Отличный материал, я с удовольствием почитал и вам рекомендую. Возможно, там окажется пейволл, но разве это может остановить того, кому на самом деле это интересно?

https://www.nytimes.com/interactive/2021/03/18/magazine/facial-recognition-clearview-ai.html

Про Cellebrite, которая, как и Grayshift, продает оборудование для взлома смартфонов, интересная новость. Эта компания часто тут фигурирует в канале, и обычно клянется, что тщательно пытается фильтровать покупателей своих устройств, но на самом деле обычно продает их тем, кто дает им деньги.

>> В материалах дела, расследование по которому уже завершено, есть документы о попытке следствия получить доступ к содержимому запароленных айфона и телефона Xiaomi, изъятых при обыске у Соболь. Попытка оказалась неудачной — разработка Cellebrite не смогла вскрыть телефоны.

Интересно, что эксперты подтверждают, что Xiaomi действительно трудно ломать, почти также трудно, как iPhone. Все зависит от прямоты рук разработчиков, похоже.

https://zona.media/news/2021/03/19/cellebrite

Так, я прерву ваше затишье пятничного вечера, для того, чтобы озвучить свое недоумение фактом того, что разводы с сайтом twibe.co возможны еще в наше-то время. поскольку в связи с моей локацией вопросы замедления и доступа твиттера для меня неактуальны, я както совершенно пропустил мимо эту драму, которая привела к тому, что люди добровольно заливали свои паспортные данные неизвестно куда, неизвестно кому. Как указал читатель, там весело:

«...на волне грядущего запрета твиттера буквально третьего дня всплыл на коленке сделанный twibe.co, который, внимание, просил видео с паспортом.

С контактным адресом на mail.ru, а в политике обработки перс. данных - Beon.

Сегодня сервиса в сети нет, но зато есть твиты подобного вида:
https://twitter.com/git_huh/status/1372689414858674181

Вот и говори потом о сетевой гигиене, безопасности персональных данных…»

Действительно, почитаешь такие истории и руки опускаются. ты тут пишешь, пишешь про то, как информация ОПАСНОСТЕ, а все без толку.

И вот еще туда же
https://t.me/vamolaru/166

ну как так, как же так…

Упустил на прошлой неделе парочку новостей. Например, вот про вредоносное ПО XcodeSpy, которое нацелено против разработчиков на macOS. Злоумышленники используют функцию Run Script в IDE Xcode для заражения разработчиков через общие проекты. Вирус устанавливается на macOS вместе с механизмом работы после перезагрузки компьютера, и умеет захватывать микрофон, камеру и клавиатуру.

https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/

Подробный отчёт об исследовании, которое привело к написанию 1-кликового RCE в ТикТоке

https://medium.com/@dPhoeniixx/tiktok-for-android-1-click-rce-240266e78105

На прошлой неделе компания F5, разработчик серверов для управления входящим и исходящим трафиком в крупных сетях, сообщила о серьезной уязвимости и выпустила апдейт, её исправляющий

https://support.f5.com/csp/article/K02566623

Однако, этого недостаточно, и вот уже аналитики пишут о том, что в сети началась активная эксплуатация этой уязвимости - которая позволяет без аутентификации исполнять команды на уязвимых устройствах

https://twitter.com/buffaloverflow/status/1372861157317435394?s=21

Мало было Exchange, теперь ещё это

https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/

=== Реклама ===

24 марта в 16:00 эксперты «Инфосистемы Джет» в прямом эфире разберут особенности решения Microsoft Defender for Endpoint для продвинутой защиты конечных станций и покажут его работу в боевых условиях.

В программе:
🔹 Особенности и нюансы Microsoft Defender for Endpoint
🔹 Конкурентные преимущества решения
🔹 Кейсы и сценарии использования
🔹 Демонстрация решения в боевых условиях

Вебинар будет интересен тем, кто рассматривает и выбирает решение для продвинутой защиты конечной станции от современных угроз.

Регистрация

Тем временем сообщают, что взлому подверглась корпоративная сеть компании Acer. Взломщики вымогают, по разным данным, от 50 до 100 млн долларов выкупа за расшифровку данных, которые зашифрованы REvil. (50 млн - это если заплатят быстро). Есть версия, что для получения доступа к сети был использован уязвимый сервер Microsoft Exchange Acer, который был замечен как цель.

https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/

https://www.forbes.com/sites/leemathews/2021/03/21/acer-faced-with-ransom-up-to-100-million-after-hackers-breach-network/

Прелестная история из серии «преступление и наказание», а также о том, что недовольные сотрудники или подрядчики - это тоже угроза. Инженер из компании-интегратора помогал клиенту переезжать на Office 365, в процессе что-то пошло не так, клиент остался недоволен, пожаловались на инженера, того уволили. Он улетел домой в Индию, а потом удаленно зашёл в сеть своего бывшего работодателя и удалил 80% учетных записей Microsoft Office 365. Компании 2 месяца боролась с последствиями, не забыв пожаловаться в правоохранительные органы. Злоумышленник почему-то решил, что ему ничего за это не будет, и полгода спустя опять полетел в Штаты, где его и приняли ФБР. Теперь инженер проведёт 2 года в тюрьме, потом ещё 3 года под наблюдением, а также должен будет выплатить штраф более 500 тыс долларов

https://www.zdnet.com/article/it-admin-with-axe-to-grind-lands-two-years-behind-bars-for-wiping-microsoft-user-accounts/

Один из самых популярных сайтов по продаже оружия в США взломали в январе, а теперь весь архив сайта, включая базу данных пользователей и исходники самого сайта, выставлен на продажу. Среди информации о пользователях - физический адрес и данные о покупках, в том числе и данные о финансовых транзакциях.

https://www.hackread.com/hacker-dumps-guns-com-database-customers-admin-data/

Полезная визуализация разных степеней защиты — паролей и комбинаций пароль+2ФА

https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/

Около 10 дней назад я публиковал тут материал про уязвимость в системе пересылки CMC-сообщений, которая позволяла желающим за небольшие деньги начать перехватывать сообщения других номеров

https://t.me/alexmakus/3960

Motherboard, который тогда сообщил об этой проблеме, теперь сообщает, что все крупные американские сотовые операторы изменили процесс перессылки CMC-сообщений, что должно предотвратить возможность их перехвата. В кои-то веки хорошие новости, наверно.
https://www.vice.com/en/article/5dp7ad/tmobile-verizon-att-sms-hijack-change