Очень лонгрид, суть которого сводится к тому, что якобы сообщения в WhatsApp не защищены сквозным шифрованием, и якобы сотрудники Facebook имеют доступ к содержимому переписки:
WhatsApp has more than 1,000 contract workers filling floors of office buildings in Austin, Texas, Dublin and Singapore, where they examine millions of pieces of users’ content. Seated at computers in pods organized by work assignments, these hourly workers use special Facebook software to sift through streams of private messages, images and videos that have been reported by WhatsApp users as improper and then screened by the company’s artificial intelligence systems. These contractors pass judgment on whatever flashes on their screen — claims of everything from fraud or spam to child porn and potential terrorist plotting — typically in less than a minute.
Там дальше идёт речь о том, что когда кто-то жалуется на какие-то сообщения, то они расшифровываются для анализа:
WhatsApp reviewers gain access to private content when users hit the “report” button on the app, identifying a message as allegedly violating the platform’s terms of service. This forwards five messages — the allegedly offending one along with the four previous ones in the exchange, including any images or videos — to WhatsApp in unscrambled form, according to former WhatsApp engineers and moderators. Automated systems then feed these tickets into “reactive” queues for contract workers to assess.
Выглядит это все очень странно и совсем не похоже на то, как должно работать настоящее сквозное шифрование. Ответ Фейсбука как-то не внушает доверия тоже:
“We build WhatsApp in a manner that limits the data we collect while providing us tools to prevent spam, investigate threats, and ban those engaged in abuse, including based on user reports we receive. This work takes extraordinary effort from security experts and a valued trust and safety team that works tirelessly to help provide the world with private communication.”
Напрямую тут как бы и нет опровержения, что весьма странно. Всё-таки если окажется, что ФБ врали о шифровании в WhatsApp, то это как-то совсем за гранью.
ДОПОЛНЕНИЕ: алярма, как и предполагалось, отменяется. там ФБ дополнительно разъяснил, что все это недоразумение, и речь идёт именно о, по сути, форвардинге сообщений модераторам. В этом случае сообщение в расшифрованном виде пересылается с устройства пользователя, никакой дополнительной расшифровки другого контента не происходит. Как обычно, «учёные изнасиловали журналиста».
https://www.propublica.org/article/how-facebook-undermines-privacy-protections-for-its-2-billion-whatsapp-users
WhatsApp has more than 1,000 contract workers filling floors of office buildings in Austin, Texas, Dublin and Singapore, where they examine millions of pieces of users’ content. Seated at computers in pods organized by work assignments, these hourly workers use special Facebook software to sift through streams of private messages, images and videos that have been reported by WhatsApp users as improper and then screened by the company’s artificial intelligence systems. These contractors pass judgment on whatever flashes on their screen — claims of everything from fraud or spam to child porn and potential terrorist plotting — typically in less than a minute.
Там дальше идёт речь о том, что когда кто-то жалуется на какие-то сообщения, то они расшифровываются для анализа:
WhatsApp reviewers gain access to private content when users hit the “report” button on the app, identifying a message as allegedly violating the platform’s terms of service. This forwards five messages — the allegedly offending one along with the four previous ones in the exchange, including any images or videos — to WhatsApp in unscrambled form, according to former WhatsApp engineers and moderators. Automated systems then feed these tickets into “reactive” queues for contract workers to assess.
Выглядит это все очень странно и совсем не похоже на то, как должно работать настоящее сквозное шифрование. Ответ Фейсбука как-то не внушает доверия тоже:
“We build WhatsApp in a manner that limits the data we collect while providing us tools to prevent spam, investigate threats, and ban those engaged in abuse, including based on user reports we receive. This work takes extraordinary effort from security experts and a valued trust and safety team that works tirelessly to help provide the world with private communication.”
Напрямую тут как бы и нет опровержения, что весьма странно. Всё-таки если окажется, что ФБ врали о шифровании в WhatsApp, то это как-то совсем за гранью.
ДОПОЛНЕНИЕ: алярма, как и предполагалось, отменяется. там ФБ дополнительно разъяснил, что все это недоразумение, и речь идёт именно о, по сути, форвардинге сообщений модераторам. В этом случае сообщение в расшифрованном виде пересылается с устройства пользователя, никакой дополнительной расшифровки другого контента не происходит. Как обычно, «учёные изнасиловали журналиста».
https://www.propublica.org/article/how-facebook-undermines-privacy-protections-for-its-2-billion-whatsapp-users
ProPublica
How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users
WhatsApp assures users that no one can see their messages — but the company has an extensive monitoring operation and regularly shares personal information with prosecutors.
хороший тред от бывшего директора по безопасности Facebook о статье ProPublic, где они обвинили WhatsApp в обмане по поводу сквозного шифрования
https://twitter.com/alexstamos/status/1435285445336715265
https://twitter.com/alexstamos/status/1435285445336715265
Twitter
Alex Stamos
This ProPublica article on WhatsApp is terrible. It is inconsistent with much of what ProPublica has written in the past, it incorrectly conflates responsible reporting mechanisms with proactive moderation, and creates the wrong incentive structure for E2EE…
Астрологи объявили день блютуса!
1. https://www.bleepingcomputer.com/news/security/bluetooth-braktooth-bugs-could-affect-billions-of-devices/
Какая-то очередная смертельная уявзимость на чипсетах кучи производителей — BrakTooth, потенциально затрагивающая миллиарды устройств, включая смартфоны, наушники, клавиатуры и тд. Потенциальный ущерб — от DoS атак и отрубания BT, до исполнения кода. Некоторые вендоры уже пропатчили свои платформы, но далеко не все, как это обычно бывает.
2. https://nrkbeta.no/2021/09/02/someone-could-be-tracking-you-through-your-headphones/
чувак тут ездит по городу со сканером BT-устройств и показывает, как легко можно трекать местоположение и перемещение устройств. а все потому, что далеко не все производители в своих устройствах применяют рандомизаторы MAC-адресов. Умник какой, вы посмотрите на него.
1. https://www.bleepingcomputer.com/news/security/bluetooth-braktooth-bugs-could-affect-billions-of-devices/
Какая-то очередная смертельная уявзимость на чипсетах кучи производителей — BrakTooth, потенциально затрагивающая миллиарды устройств, включая смартфоны, наушники, клавиатуры и тд. Потенциальный ущерб — от DoS атак и отрубания BT, до исполнения кода. Некоторые вендоры уже пропатчили свои платформы, но далеко не все, как это обычно бывает.
2. https://nrkbeta.no/2021/09/02/someone-could-be-tracking-you-through-your-headphones/
чувак тут ездит по городу со сканером BT-устройств и показывает, как легко можно трекать местоположение и перемещение устройств. а все потому, что далеко не все производители в своих устройствах применяют рандомизаторы MAC-адресов. Умник какой, вы посмотрите на него.
BleepingComputer
Bluetooth BrakTooth bugs could affect billions of devices
Vulnerabilities collectively referred to as BrakTooth are affecting Bluetooth stacks implemented on system-on-a-chip (SoC) circuits from over a dozen vendors.
Пользователи крупных игровых и стриминговых сервисов, включая World of Tanks, Twitch, FlashScore и BitTorrent, начали испытывать сложности с доступом. Компании и операторы связи связывают проблемы с блокировками VPN-сервисов, которые Роскомнадзор начал 3 сентября, хотя в самом ведомстве так не считают. Сбои будут происходить по мере расширения списка ресурсов, угрожающих устойчивости рунета, полагают эксперты.
https://www.kommersant.ru/doc/4977444
https://www.kommersant.ru/doc/4977444
Коммерсантъ
Танки трафика боятся
После блокировок VPN-сервисов проблемы возникли у пользователей игровых ресурсов
Статья о багбаунти программе в Apple. В двух словах: информацию компания получать любит. А вот платить за неё не любит, несмотря на обещания высоких выплат
https://www.washingtonpost.com/technology/2021/09/09/apple-bug-bounty/
https://www.washingtonpost.com/technology/2021/09/09/apple-bug-bounty/
Но ладно про Apple, новая уязвимость в Windows 10 и различных версиях Windows Server. Уязвимость в MSHTL компоненте Internet Explorer, который постепенно выпиливают, но этот компонент также используется в приложениях Microsoft Office для отрисовки веб-контента. Злоумышленник может создать вредоносный элемент ActiveX, и встроить его в документ Office, затем остаётся только убедить пользователя открыть файл (что обычно не сложно). После этого, если юзер с админскими правами, то «заходи, кто хочет». Патча для уязвимости пока не , но можно отключить установку всех компонентов ActiveX в настройках Internet Explorer.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/microsoft-releases-mitigations-and-workarounds-cve-2021-40444
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/microsoft-releases-mitigations-and-workarounds-cve-2021-40444
us-cert.cisa.gov
Microsoft Releases Mitigations and Workarounds for CVE-2021-40444 | CISA
Microsoft has released mitigations and workarounds to address a remote code execution vulnerability (CVE-2021-40444) in Microsoft Windows. Exploitation of this vulnerability may allow a remote attacker to take control of an affected system. This vulnerability has…
=== РЕКЛАМА ===
У компании Positive Technologies к вам есть несколько вопросов 🕵🏻♂️
🎯Расскажите, как ваши компании защищаются от таргетированных атак, и сталкивались ли вы со сложными киберугрозами.
Пожалуйста, ответьте на несколько вопросов.
Опрос, как всегда, анонимный: https://ru.surveymonkey.com/r/YJZ9P59
У компании Positive Technologies к вам есть несколько вопросов 🕵🏻♂️
🎯Расскажите, как ваши компании защищаются от таргетированных атак, и сталкивались ли вы со сложными киберугрозами.
Пожалуйста, ответьте на несколько вопросов.
Опрос, как всегда, анонимный: https://ru.surveymonkey.com/r/YJZ9P59
Surveymonkey
Целевые кибератаки на компании и защита от них
Positive Technologies проводит опрос среди специалистов по информационной безопасности, чтобы узнать, как ваши компании защищаются от таргетированных атак, и сталкивались ли вы со сложными киберугрозами. Пожалуйста, ответьте на несколько вопросов. Опрос анонимный.
айайай, как же так
Xiaomi начали блокировать активацию смартфонов в различных «санкционных» регионах — в Иране, Кубе, и в том числе в Крыму
https://www.xda-developers.com/xiaomi-blocking-devices-export-regulations/
Xiaomi начали блокировать активацию смартфонов в различных «санкционных» регионах — в Иране, Кубе, и в том числе в Крыму
https://www.xda-developers.com/xiaomi-blocking-devices-export-regulations/
XDA Developers
[Update: Xiaomi says it’s not targeting any specific market] Xiaomi is proactively blocking devices in certain regions to comply…
Xiaomi is proactively blocking its devices in Cuba, Iran, Syria, North Korea, Sudan, and Crimea to comply with export regulations.
Интересно, Твиттер говорит, что у них только 2,3% пользователей защищают учетки с помощью 2FA. В принципе, это объяснимо тем, что люди, возможно, не видят ценности в твиттере. Интересно было бы посмотреть статистику по чему-то типа Gmail, правда, там непонятно, как спамеров и всякий другой мусор отделить
https://www.bleepingcomputer.com/news/security/twitter-reveals-surprisingly-low-two-factor-auth-2fa-adoption-rate/
https://www.bleepingcomputer.com/news/security/twitter-reveals-surprisingly-low-two-factor-auth-2fa-adoption-rate/
BleepingComputer
Twitter reveals surprisingly low two-factor auth (2FA) adoption rate
Twitter has revealed in its latest transparency report that only 2.3% of all active accounts have enabled at least one method of two-factor authentication (2FA) between July and December 2020.
вышли апдейты безопасности:
iOS 14.8
iPadOS 14.8
watchOS 7.6.2
macOS Big Sur 11.6
исправлены две уязвимости:
CVE-2021-30860
CVE-2021-30858
как это часто бывает в последнее время, «Apple is aware of a report that this issue may have been actively exploited.»
поскольку одну из уязвимостей отрепортили Citizen Lab, то, похоже, это наконец-то полноценный фикс дыры, которую эксплуатировала NSO, и которая обходила Blastdoor защиту в Messages
iOS 14.8
iPadOS 14.8
watchOS 7.6.2
macOS Big Sur 11.6
исправлены две уязвимости:
CVE-2021-30860
CVE-2021-30858
как это часто бывает в последнее время, «Apple is aware of a report that this issue may have been actively exploited.»
поскольку одну из уязвимостей отрепортили Citizen Lab, то, похоже, это наконец-то полноценный фикс дыры, которую эксплуатировала NSO, и которая обходила Blastdoor защиту в Messages
Ок, детали о фиксах во вчерашнем апдейте для операционок Apple, где исправили zero-day, используемый NSO для взлома iPhone.
вжух!
Devices affected by CVE-2021-30860 per Apple:
All iPhones with iOS versions prior to 14.8, All Mac computers with operating system versions prior to OSX Big Sur 11.6, Security Update 2021-005 Catalina, and all Apple Watches prior to watchOS 7.6.2.
https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/
вжух!
Devices affected by CVE-2021-30860 per Apple:
All iPhones with iOS versions prior to 14.8, All Mac computers with operating system versions prior to OSX Big Sur 11.6, Security Update 2021-005 Catalina, and all Apple Watches prior to watchOS 7.6.2.
https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/
The Citizen Lab
FORCEDENTRY
While analyzing the phone of a Saudi activist infected with NSO Group’s Pegasus spyware, we discovered a zero-day zero-click exploit against iMessage. The exploit, which we call FORCEDENTRY, targets Apple’s image rendering library, and was effective against…
=== РАБОТА ===
Вакансия, бомба, пушка:
Whoami: компания "AntiBot"
Формат работы: офис/удаленка
Город и адрес офиса: Москва, Митинская 16
Занятость: полная
Зарплатная вилка: от 3000$ до 4500$ на руки
Контакты: @sergeevnaxoxo_hr
О нас:
Наш продукт смесь ИБ и аналитики. Он выявляет и блокирует автоматизированную активность.
От вас хотим увидеть:
🍃Умение писать на нативном JavaScript без фреймворков
🍃Знания DOM, Web API, WebSocket, WebRTC, Service Workers
🍃Опыт работы с Linux, Git, GitHub
Будет также плюсом:
🍃Умение работать с WebAssembly, Babel API
🍃Глубокие знания особенностей языка и браузеров
Задачи можно обозначить таким образом:
🍂Написание средств для сбора данных о браузере и его окружении
🍂Применение в продакшене разных Web API и браузерных фишек
🍂Участие в исследовании и разработке новых методов обнаружения автоматизированных браузеров (Chrome Headless, PhantomJS, ZennoPoster, etc)
Подробности: https://bit.ly/AntiBot_NativeJS
Вакансия, бомба, пушка:
Whoami: компания "AntiBot"
Формат работы: офис/удаленка
Город и адрес офиса: Москва, Митинская 16
Занятость: полная
Зарплатная вилка: от 3000$ до 4500$ на руки
Контакты: @sergeevnaxoxo_hr
О нас:
Наш продукт смесь ИБ и аналитики. Он выявляет и блокирует автоматизированную активность.
От вас хотим увидеть:
🍃Умение писать на нативном JavaScript без фреймворков
🍃Знания DOM, Web API, WebSocket, WebRTC, Service Workers
🍃Опыт работы с Linux, Git, GitHub
Будет также плюсом:
🍃Умение работать с WebAssembly, Babel API
🍃Глубокие знания особенностей языка и браузеров
Задачи можно обозначить таким образом:
🍂Написание средств для сбора данных о браузере и его окружении
🍂Применение в продакшене разных Web API и браузерных фишек
🍂Участие в исследовании и разработке новых методов обнаружения автоматизированных браузеров (Chrome Headless, PhantomJS, ZennoPoster, etc)
Подробности: https://bit.ly/AntiBot_NativeJS
antibot.ru
Антибот - защита от ботов
Адаптивные решения защиты от ботов для владельцев сайтов, бизнеса и разработчиков.
=== РЕКЛАМА ====
Хотите использовать реверс-инжиниринг в работе?
Начните 21-22 сентября с открытого интенсива «Типовые алгоритмы работы файловых инфекторов».
За два дня вы разберете структуры РЕ формата и пройдетесь в них в HEX редакторе. Добьетесь необходимых изменений для внедрения кода. Автоматизируете действия, проделанные на первом дне, реализовав алгоритм на языке С.
Остальные практические навыки будут ждать вас на онлайн-курсе «Reverse-Engineering» от OTUS. Для регистрации на интенсив пройдите вступительный тест
https://otus.pw/GoZh/
Хотите использовать реверс-инжиниринг в работе?
Начните 21-22 сентября с открытого интенсива «Типовые алгоритмы работы файловых инфекторов».
За два дня вы разберете структуры РЕ формата и пройдетесь в них в HEX редакторе. Добьетесь необходимых изменений для внедрения кода. Автоматизируете действия, проделанные на первом дне, реализовав алгоритм на языке С.
Остальные практические навыки будут ждать вас на онлайн-курсе «Reverse-Engineering» от OTUS. Для регистрации на интенсив пройдите вступительный тест
https://otus.pw/GoZh/
Так, что ли, только Apple апдейты с фиксами выкатывать? Вчера patch Tuesday у Microsoft, куча фиксов, включая такие, которые активно эксплуатируются:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36965
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38639
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36975
Вы знаете, вот это всё.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36965
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38639
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36975
Вы знаете, вот это всё.
Кстати, там еще и у Google апдейт к Chrome сразу с 9 фиксами уязвимостей, две из которых - в эксплуатации:
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 93.0.4577.82 for Windows, Mac and Linux which will roll out over the coming days/weeks A full list of...
Тут ещё какая-то весёлая история про компанию Dark Matter из трёх бывших сотрудников разведывательных органов США, которые продали в ОАЭ информацию об уязвимости нулевого дня. Они также помогли интегрировать эту уязвимость в инструменты взлома компанию которая была также замечена в своих атаках на граждан США. Там нарушение правил международной торговли оружием, хакерство и прочие нарушения.
Интересно вот что ещё, если я правильно понял: один из участников этой группы - бывший CIO известного провайдера ExpressVPN но это не точно). Интересное как там у них дела и что они на самом деле делают.
https://www.nytimes.com/2021/09/14/us/politics/darkmatter-uae-hacks.html
Интересно вот что ещё, если я правильно понял: один из участников этой группы - бывший CIO известного провайдера ExpressVPN но это не точно). Интересное как там у них дела и что они на самом деле делают.
https://www.nytimes.com/2021/09/14/us/politics/darkmatter-uae-hacks.html
NY Times
Ex-U.S. Intelligence Officers Admit to Hacking Crimes in Work for Emiratis (Published 2021)
They were among a trend of Americans working for foreign governments trying to build their cyberoperation abilities.