Много лет назад, когда Земля еще была теплой, была история про то, как ФБР требовала у Apple разблокировать iPhone одного террориста, а компания отказывалась (это если в двух словах и сильно упрощенно. чуть сложнее — на самом деле ФБР требовала от Apple написать, по сути, бэкдор в систему, который бы позволял обходить встроенные механизмы блокировки доступа к данным, и Apple была очень сильно против этого). Короче, тогда ФБР в какой-то момент сказала, что «ну ладно, мы сами тут уже телефон взломали», и история типа закончилась. Но ей не хватало одного важного момента для полного «закрытия» — ответа на вопрос о том, как именно же был взломан iPhone, кто предоставил эксплойт.
И вот издание The Washington Post как раз этот ответ опубликовало. ФБР тогда помогла малоизвестная австралийская компания Azimuth, бизнес которой — это как раз продажа «кибер-инструментов» правительствам разных стран. История читается как хороший детектив, про двух хакеров-сотрудников компании, которые взялись помочь ФБР со взломом, и справились с этой задачей. Они использовали одну из уязвимостей, обнаруженных в опенсорсном проекте Mozilla, который Apple использовала в операционной системе iOS, где была задействована функциональность доступа к аксессуарам, которые подключались в порт Lightning смартфона. В итоге это позволило получить им первичный доступ к телефону, затем они использовали еще парочку других эксплойтов, что дало им возможность организовать перебор паролей на устройстве, обойдя защиту на удаление данных после 10 неправильных попыток. Свое решение они назвали Condor, и продали его ФБР за 900 тысяч долларов. (Mozilla исправила эту уязвимость пару месяцев спустя).
Интересно, что один из хакеров (David Wang), участвовавших в этом процессе, потом стал сооснователем компании Corellium, которая предоставляет доступ к виртуализированным iPhone для исследователей безопасности. (отдельной пикантности всей этой истории добавляют факты, что Apple пыталась нанять на работу Девида Ванга, а потом еще пыталась купить Corellium). Apple подала в суд на Corellium за нарушение копирайтов, и пытается «добить» компанию, которую в свое время рассматривала как возможное приобретение. Именно часть нарушения копирайтов судья в конце прошлого года отказался рассматривать, мотивируя тем, что они используют материалы Apple для исследований, а не конкуренции в продажах. Однако, часть иска про незаконный обход защитных механизмов ПО Apple пока что еще остается и будет рассматриваться этим летом.
Вся эта история подчеркивает в очередной раз то, что безопасность и защита устройств — это палка с двумя концами. С одной стороны, защита с полным контролем может позволить создать самое защищенное устройство, или как минимум, позволит говорить Apple об этом. Но этот контроль и отсутствие прозрачности — то, что в том числе мешает работать исследователям безопасности, и также скрывает информацию о реальном состоянии дел. И в этом канале все видят посты про очередный «срочный апдейт» для iOS, потому что была обнаружена новая и эксплуатируемая уязвимость. А о скольких мы еще просто не знаем? Apple не любит Corellium за то, что он дает возможность искать уязвимости, но поиск и их исправление гораздо важнее видимости непробиваемости этой защиты. А рынок уязвимостей под iOS тем временем прекрасно существует.
https://www.washingtonpost.com/technology/2021/04/14/azimuth-san-bernardino-apple-iphone-fbi/
https://www.vice.com/en/article/xgzbmk/azimuth-security-san-bernardino-iphone
И вот издание The Washington Post как раз этот ответ опубликовало. ФБР тогда помогла малоизвестная австралийская компания Azimuth, бизнес которой — это как раз продажа «кибер-инструментов» правительствам разных стран. История читается как хороший детектив, про двух хакеров-сотрудников компании, которые взялись помочь ФБР со взломом, и справились с этой задачей. Они использовали одну из уязвимостей, обнаруженных в опенсорсном проекте Mozilla, который Apple использовала в операционной системе iOS, где была задействована функциональность доступа к аксессуарам, которые подключались в порт Lightning смартфона. В итоге это позволило получить им первичный доступ к телефону, затем они использовали еще парочку других эксплойтов, что дало им возможность организовать перебор паролей на устройстве, обойдя защиту на удаление данных после 10 неправильных попыток. Свое решение они назвали Condor, и продали его ФБР за 900 тысяч долларов. (Mozilla исправила эту уязвимость пару месяцев спустя).
Интересно, что один из хакеров (David Wang), участвовавших в этом процессе, потом стал сооснователем компании Corellium, которая предоставляет доступ к виртуализированным iPhone для исследователей безопасности. (отдельной пикантности всей этой истории добавляют факты, что Apple пыталась нанять на работу Девида Ванга, а потом еще пыталась купить Corellium). Apple подала в суд на Corellium за нарушение копирайтов, и пытается «добить» компанию, которую в свое время рассматривала как возможное приобретение. Именно часть нарушения копирайтов судья в конце прошлого года отказался рассматривать, мотивируя тем, что они используют материалы Apple для исследований, а не конкуренции в продажах. Однако, часть иска про незаконный обход защитных механизмов ПО Apple пока что еще остается и будет рассматриваться этим летом.
Вся эта история подчеркивает в очередной раз то, что безопасность и защита устройств — это палка с двумя концами. С одной стороны, защита с полным контролем может позволить создать самое защищенное устройство, или как минимум, позволит говорить Apple об этом. Но этот контроль и отсутствие прозрачности — то, что в том числе мешает работать исследователям безопасности, и также скрывает информацию о реальном состоянии дел. И в этом канале все видят посты про очередный «срочный апдейт» для iOS, потому что была обнаружена новая и эксплуатируемая уязвимость. А о скольких мы еще просто не знаем? Apple не любит Corellium за то, что он дает возможность искать уязвимости, но поиск и их исправление гораздо важнее видимости непробиваемости этой защиты. А рынок уязвимостей под iOS тем временем прекрасно существует.
https://www.washingtonpost.com/technology/2021/04/14/azimuth-san-bernardino-apple-iphone-fbi/
https://www.vice.com/en/article/xgzbmk/azimuth-security-san-bernardino-iphone
подвезли новые санкции от америцы российским компаниям, с вполне знакомыми именами. за «агрессивные и вредоносные активности правительства РФ», в том числе «вредоносные киберактивности против США»
The following companies are designated for operating in the technology sector of the Russian Federation economy: ERA Technopolis; Pasit, AO (Pasit); Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA); Neobit, OOO (Neobit); Advanced System Technology, AO (AST); and Pozitiv Teknolodzhiz, AO (Positive Technologies).
https://home.treasury.gov/news/press-releases/jy0127
The following companies are designated for operating in the technology sector of the Russian Federation economy: ERA Technopolis; Pasit, AO (Pasit); Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA); Neobit, OOO (Neobit); Advanced System Technology, AO (AST); and Pozitiv Teknolodzhiz, AO (Positive Technologies).
https://home.treasury.gov/news/press-releases/jy0127
NSA encourages its customers to mitigate against the following publicly known vulnerabilities:
▪ CVE-2018-13379 Fortinet FortiGate VPN
▪ CVE-2019-9670 Synacor Zimbra Collaboration Suite
▪ CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
▪ CVE-2019-19781 Citrix Application Delivery Controller and Gateway
▪ CVE-2020-4006 VMware Workspace ONE Access
https://www.fbi.gov/news/pressrel/press-releases/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabilities-to-compromise-us-and-allied-networks
▪ CVE-2018-13379 Fortinet FortiGate VPN
▪ CVE-2019-9670 Synacor Zimbra Collaboration Suite
▪ CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
▪ CVE-2019-19781 Citrix Application Delivery Controller and Gateway
▪ CVE-2020-4006 VMware Workspace ONE Access
https://www.fbi.gov/news/pressrel/press-releases/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabilities-to-compromise-us-and-allied-networks
Federal Bureau of Investigation
Russian Foreign Intelligence Service Exploiting Five Publicly Known Vulnerabilities to Compromise U.S. and Allied Networks | Federal…
The NSA, CISA, and FBI jointly released a cybersecurity advisory to expose ongoing SVR exploitation of five publicly known vulnerabilities. This advisory is being released alongside the U.S. government’s formal attribution of the SolarWinds supply chain compromise…
А вот красиво с уязвимостью, которая затрагивает массу популярных приложений, включая Телеграм
https://positive.security/blog/url-open-rce
https://positive.security/blog/url-open-rce
positive.security
Allow arbitrary URLs, expect arbitrary code execution | Positive Security
Insecure URL handling leading to 1-click code execution vulnerabilities in Telegram, Nextcloud (CVE-2021-22879), VLC, LibreOffice (CVE-2021-25631), OpenOffice (CVE-2021-30245), Bitcoin/Dogecoin Wallets, Wireshark (CVE-2021-22191) and Mumble (CVE-2021-27229).
Ну и для баланса — ответ Positive Technologies по поводу вчерашних санкций
https://www.ptsecurity.com/ru-ru/about/news/oficialnoe-zayavlenie-positive-technologies-po-sankciyam-ssha/
https://www.ptsecurity.com/ru-ru/about/news/oficialnoe-zayavlenie-positive-technologies-po-sankciyam-ssha/
ptsecurity.com
Новости
Между тем, опасносте не только информация, но и сыр. Из-за атаки вируса-вымогателя на компанию по логистике доставок сыров, в Нидерландах начались перебои с сыром в магазинах
https://www.bleepingcomputer.com/news/security/dutch-supermarkets-run-out-of-cheese-after-ransomware-attack/
https://twitter.com/MarietjeSchaake/status/1382971475729252354
https://www.bleepingcomputer.com/news/security/dutch-supermarkets-run-out-of-cheese-after-ransomware-attack/
https://twitter.com/MarietjeSchaake/status/1382971475729252354
BleepingComputer
Dutch supermarkets run out of cheese after ransomware attack
A ransomware attack against conditioned warehousing and transportation provider Bakker Logistiek has caused a cheese shortage in Dutch supermarkets.
А Реддит тут напомнил про «взлом» почтового сервиса Hotmail в 1999 году. Когда оказалось, что в любой аккаунт Hotmail можно было войти с паролем «eh» (без кавычек). Хорошие времена были, простые.
https://smartermsp.com/tech-time-warp-quite-the-hotmail-hack-eh/
https://www.wired.com/1999/08/hotmail-hackers-we-did-it/
https://smartermsp.com/tech-time-warp-quite-the-hotmail-hack-eh/
https://www.wired.com/1999/08/hotmail-hackers-we-did-it/
Smarter MSP
Tech Time Warp: Quite the Hotmail hack, eh?
Remember when a group called Hackers Unite announced they had gained access to every single Hotmail account, simply by using a web browser?
С утра понедельника только хорошие новости про девять уязвимостей в TCP/IP, и про 100 млн IoT устройств, которые подвержены этой уязвимости. Встречайте Name:Wreck, набор уязвимостей в имплементации работы с DNS, что позволяет злооумышленникам закрешить устройство или получить контроль над ним. This is fine.jpg
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/namewreck-dns-vulnerabilities
https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/namewreck-dns-vulnerabilities
https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/
us-cert.cisa.gov
NAME:WRECK DNS Vulnerabilities | CISA
Cybersecurity researchers from Forescout and JSOF have released a report on a set of nine vulnerabilities—referred to as NAME:WRECK—affecting Domain Name System (DNS) implementations. NAME:WRECK affects at least four common TCP/IP stacks—FreeBSD, IPNet, NetX…
IoT + уязвимости + безответственный производитель - что может пойти не так? Начать можно с того, что зачем фритюрнице вайфай в принципе, а закончить тем, что уязвимость даёт возможность управлять устройством удалённо.
https://blog.talosintelligence.com/2021/04/vuln-spotlight-co.html
https://blog.talosintelligence.com/2021/04/vuln-spotlight-co.html
Cisco Talos
Vulnerability Spotlight: Remote code execution vulnerabilities in Cosori smart air fryer
Dave McDaniel of Cisco Talos discovered this vulnerability. Blog by Jon Munshaw. Update (April 27, 2021): Cosori has released an update for this product that fixes these two vulnerabilities. Cisco Talos recently discovered two code execution vulnerabilities…
Никто не учится
Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе. Эти организации размещали информацию на досках бесплатного онлайн-менеджера проектов Trello. Злоумышленники используют подобные ресурсы для организации атак на сотрудников компаний и взлома корпоративных Instagram-аккаунтов, предупреждают специалисты по кибербезопасности. Кроме того, за размещение персональных данных сотрудников и клиентов в публичном доступе компаниям могут грозить штрафы по закону о защите персональных данных.
https://www.kommersant.ru/doc/4781538
Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе. Эти организации размещали информацию на досках бесплатного онлайн-менеджера проектов Trello. Злоумышленники используют подобные ресурсы для организации атак на сотрудников компаний и взлома корпоративных Instagram-аккаунтов, предупреждают специалисты по кибербезопасности. Кроме того, за размещение персональных данных сотрудников и клиентов в публичном доступе компаниям могут грозить штрафы по закону о защите персональных данных.
https://www.kommersant.ru/doc/4781538
Коммерсантъ
Свои в досках
В открытом доступе оказались данные сотен российских компаний
я знаю, что сегодня не пятница, и вообще тема не совсем про информационную безопасность, но это невероятно интересный лонгрид про компьютеризированные автоматы мороженого в Макдональдсах и других фастфудах, и борьбе с производителем этих машин. (там суть такая, что есть «хакеры», которые научились считывать информацию в этих автоматах и продают устройства, которые умеют диагностировать автоматы до их поломки. Я лично с удовольствием почитал, и если ваш английский (или автоматический переводчик) позволяет, то рекомендую
https://www.wired.com/story/they-hacked-mcdonalds-ice-cream-makers-started-cold-war/
ДОПОЛНЕНИЕ от читателя
«Я сделал пересказ лонгрида, вот: https://t.me/notboring_tech/1729»
https://www.wired.com/story/they-hacked-mcdonalds-ice-cream-makers-started-cold-war/
ДОПОЛНЕНИЕ от читателя
«Я сделал пересказ лонгрида, вот: https://t.me/notboring_tech/1729»
WIRED
The Cold War Over Hacking McDonald’s Ice Cream Machines
Secret codes. Legal threats. Betrayal. How one couple built a device to fix McDonald’s notoriously broken soft-serve machines—and how the fast-food giant froze them out.
Вот это будет интересно. Хакеры взломали сеть компании Quanta - производителя ноутбуков для разных компаний, включая Apple. И якобы получили схемы нового ноутбука, а теперь требуют выкуп 50млн доллларов за то, чтобы не публиковать украденную информацию
https://www.bloomberg.com/news/articles/2021-04-21/apple-targeted-in-50-million-ransomware-hack-of-supplier-quanta
https://www.bloomberg.com/news/articles/2021-04-21/apple-targeted-in-50-million-ransomware-hack-of-supplier-quanta
Bloomberg.com
Apple Targeted in $50 Million Ransomware Hack of Supplier Quanta
As Apple Inc. was revealing its newest line of iPads and flashy new iMacs on Tuesday, one of its primary suppliers was enduring a ransomware attack from a Russian operator claiming to have stolen blueprints of the U.S. company’s latest products.
блииииииииииин, ну это же невозможно просто. Cellebrite, компания, которая занимается добыванием данных с телефонов, недавно объявила, что теперь «поддерживает данные Signal». Ребята в Signal не обиделись, а случайно нашли упавший с грузовика гаджет Cellebrite, изучили его и нашли в нем уязвимости, о которых радостно опубликовали пост. (например, библиотека FFmpeg, которая не обновлялась с 2012 года, к которой просто мегатонна исправлений безопасности была). Поэтому теперь, например, если разместить на смартфоне невинный файл, и подключить устройство к Cellebrite, на нем можно начать исполнять код. Сама тема исполнения кода путем размещения файла на изучаемом устройстве — не новость, но Signal нашли новые способы. Молодцы.
А еще они нашли чужие библиотеки в коде Cellebrite, на использование которых компания вряд ли получала разрешение (например, DLL от iTunes).
какая прелесть всетаки. Хорошо представляю себе панику в Cellebrite, которая там царит.
https://signal.org/blog/cellebrite-vulnerabilities/
А еще они нашли чужие библиотеки в коде Cellebrite, на использование которых компания вряд ли получала разрешение (например, DLL от iTunes).
какая прелесть всетаки. Хорошо представляю себе панику в Cellebrite, которая там царит.
https://signal.org/blog/cellebrite-vulnerabilities/
Signal
Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective
Cellebrite makes software to automate physically extracting and indexing data from mobile devices. They exist within the grey – where enterprise branding joins together with the larcenous to be called “digital intelligence.” Their customer list has included…
Берегите свои QNAP-ы!
https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qnap-nas-devices-per-day/
https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qnap-nas-devices-per-day/
therecord.media
New Qlocker ransomware is hitting hundreds of QNAP NAS devices per day
A new ransomware strain named Qlocker is on a rampage and infecting hundreds of QNAP network-attached storage (NAS) devices every day, taking over hard drives, moving users\' files inside password-protected 7zip archives, and asking for a $550 ransom payment.
Просто хороший тред в твиттере https://twitter.com/christogrozev/status/1384885575073902592
X (formerly Twitter)
ChristoGrozev@bsky.social (@christogrozev) on X
Dear GRU, a bit dumb to try to phish-hack exactly the journos who just outed your largest black-op ever. You might have waited a day or two. And generally you might improve your phishing tradecraft. A .ru hop-over server? Bumbling idiots.
У второй по размерам страховой в США что-то там взломали и что-то там украли, возможно, номера водительских удостоверений. А непонятно потому что они толком рассказать не могут пока что
https://www.theverge.com/2021/4/19/22392566/geico-data-breach-exposed-customer-drivers-license-numbers-security
https://www.theverge.com/2021/4/19/22392566/geico-data-breach-exposed-customer-drivers-license-numbers-security
The Verge
Geico data breach exposed customers’ driver’s license numbers for more than a month
It’s not clear how widespread the breach was.
Сегодня у Apple день апдейтов (не так, конечно, как у MSFT patch tuesday, но все равно). Функциональность функциональностью, а список фиксов безопасности в iOS/macOS еще предстоит разобрать, но! Если у вас Мак, рекомендуется установить вышедший апдейт 11.3 как можно скорее. Апдейт для macOS содержит в себе исправление уязвимости, которая позволяла обходить многие защитные механизмы macOS. Баг тривиально эксплуатировать двойным кликом по файлу, и, что даже важнее, уязвимость вроде как действительно эксплуатировалась в 2021 году. Некоторые исследователи уже назвали эту уязвимость одной из худших в macOS за последние годы. Большой пост с разбором уязвимости и механизма её эксплуатации тут:
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
TechCrunch
A software bug let malware bypass macOS’ security defenses
The Shlayer malware has been exploiting this newly discovered vulnerability since at least January.
Так, и пока у редакции этого великолепного издания выходной, хочу вас просто оставить с напоминанием о том, что в iOS 14.5, которая вышла вчера, появилась новая функция для улучшения конфиденциальности данных пользователей. App Tracking Transparency (ATT) — та самая опция, от которой сильно печет у Фейсбука. Суть её в том, что теперь приложения, которые хотят получить доступ к advertising identifier на устройстве, (чтобы потом следить за пользователем на сайтах и в других приложениях) должны спросить разрешения у пользователя. Но спрашивать — это плохо, считает ФБ, что ж… Ну и тут видео сама Эпол подогнала о том, как работает эта функциональность
https://www.youtube.com/watch?v=Ihw_Al4RNno
Берегите свои данные! И не сломайте тут интернет.
https://www.youtube.com/watch?v=Ihw_Al4RNno
Берегите свои данные! И не сломайте тут интернет.
История со Стравой и возможностью посмотреть перемещения солдат вокруг военных баз, пока они бегают, были первыми звоночками, что неконтролируемый сбор информации о геолокации до добра не доведёт
https://www.wsj.com/articles/the-ease-of-tracking-mobile-phones-of-u-s-soldiers-in-hot-spots-11619429402
https://www.wsj.com/articles/the-ease-of-tracking-mobile-phones-of-u-s-soldiers-in-hot-spots-11619429402
WSJ
The Ease of Tracking Mobile Phones of U.S. Soldiers in Hot Spots
The armed forces are facing a challenge of how to protect personnel in an age when highly revealing data are being bought and sold in bulk, and available for purchase by America’s adversaries.