Ох (спасибо читателю за ссылку)
tl;dr доступ к шлагбаумам, в том числе управление ими, а также к персональным данным жильцов, которые пользуются этими шлагбаумами, ну и прочая вакханалия
https://habr.com/ru/company/postuf/blog/596293/
tl;dr доступ к шлагбаумам, в том числе управление ими, а также к персональным данным жильцов, которые пользуются этими шлагбаумами, ну и прочая вакханалия
https://habr.com/ru/company/postuf/blog/596293/
Хабр
Как открыть 1500 шлагбаумов Москвы
Случилось как-то, что рядом с офисом Postuf жильцы соседнего дома поставили себе шлагбаум. С парковкой в центре Москвы и так проблемы, а если еще и офисное здание неподалеку...в общем, жильцов можно...
Я бы и сказал, что информация опасносте в данном случае, но уже все пропало. университет Киото потерял 77ТБ различных исследовательских данных. И прежде чем вы скажете «ну есть же наверняка бэкапы», я скажу, что потеря произошла как раз из-за ошибки системы резервного копирования :( 34 миллиона файлов 14 исследовательских групп - все пропало из-за ошибки в бэкапе суперкомпьютера Hewlett-Packard.
Анонс университета (на японском)
http://www.iimc.kyoto-u.ac.jp/ja/whatsnew/trouble/detail/211216056978.html
Результаты расследования (тоже на японском)
https://www.iimc.kyoto-u.ac.jp/ja/whatsnew/information/detail/211228056999.html
И новость на английском
https://www.bleepingcomputer.com/news/security/university-loses-77tb-of-research-data-due-to-backup-error/
Анонс университета (на японском)
http://www.iimc.kyoto-u.ac.jp/ja/whatsnew/trouble/detail/211216056978.html
Результаты расследования (тоже на японском)
https://www.iimc.kyoto-u.ac.jp/ja/whatsnew/information/detail/211228056999.html
И новость на английском
https://www.bleepingcomputer.com/news/security/university-loses-77tb-of-research-data-due-to-backup-error/
www.iimc.kyoto-u.ac.jp
【スパコン】ストレージのデータ消失について | 障害情報 | 京都大学情報環境機構
スーパーコンピューティングサービス利用者各位 本日、ストレージシステムのバックアッププログラムの不具合により、/LARGE0 の
Всех подписчиков с Новым годом! Всем новых уязвимостей, взломов, утечек и … ой, подождите, кажется, не то. Ну, короче, чтобы всё!
Ну начнём, пожалуй.
Для старта небольшой лол, что уж там - для перевода сообщений в Телеграм на Андроид сообщения отправляются в Google Translate, что уже само по себе несколько спорно с точки зрения конфиденциальности: во-первых, пользователь об этом ничего не знает (поправка - знает), во-вторых, переводы могут содержать конфиденциальные данные, в-третьих, непонятно, что из этого и как идентифицируется гуглом в процессе. Отдельно доставляет тот факт, что Телеграм делает это все полуофициальным методом, для того, чтобы избежать оплаты за использование API (мессенджер прикидывается разными браузерами, и тд). Пост Дурова о «Что лучше, перевод личных сообщений в Гугле или полная блокировка Телеграм в России?» через 3… 2… 1…
https://danpetrov.xyz/programming/2021/12/30/telegram-google-translate.html
Для старта небольшой лол, что уж там - для перевода сообщений в Телеграм на Андроид сообщения отправляются в Google Translate, что уже само по себе несколько спорно с точки зрения конфиденциальности: во-первых, пользователь об этом ничего не знает (поправка - знает), во-вторых, переводы могут содержать конфиденциальные данные, в-третьих, непонятно, что из этого и как идентифицируется гуглом в процессе. Отдельно доставляет тот факт, что Телеграм делает это все полуофициальным методом, для того, чтобы избежать оплаты за использование API (мессенджер прикидывается разными браузерами, и тд). Пост Дурова о «Что лучше, перевод личных сообщений в Гугле или полная блокировка Телеграм в России?» через 3… 2… 1…
https://danpetrov.xyz/programming/2021/12/30/telegram-google-translate.html
Не могу уже с этих жуликов с их обезьянами
According to reports, roughly $2.2 million worth of Bored Ape Yacht Club (BAYC) and Mutant Ape Yacht Club (MAYC) non-fungible tokens (NFTs) were stolen from a collector. The owner of the NFTs Todd Kramer said the incident was “arguably the worst night” of his life. Furthermore, there’s claims that the NFT marketplace Opensea froze the collectibles, and crypto advocates are complaining about the lack of decentralization.
https://news.bitcoin.com/2-2m-worth-of-bored-ape-yacht-club-nfts-stolen-victim-says-incident-was-arguably-the-worst-night-of-his-life/
According to reports, roughly $2.2 million worth of Bored Ape Yacht Club (BAYC) and Mutant Ape Yacht Club (MAYC) non-fungible tokens (NFTs) were stolen from a collector. The owner of the NFTs Todd Kramer said the incident was “arguably the worst night” of his life. Furthermore, there’s claims that the NFT marketplace Opensea froze the collectibles, and crypto advocates are complaining about the lack of decentralization.
https://news.bitcoin.com/2-2m-worth-of-bored-ape-yacht-club-nfts-stolen-victim-says-incident-was-arguably-the-worst-night-of-his-life/
Anywayкстати, о жуликах. Слышали ли вы о Norton Crypto? А это, между прочим, часть антивируса Norton 360, которая майнит эфирную крипту на компьютерах пользователя, так еще и берет с пользователей 15% за майнинг. Совсем там уже охренели. (пока что только в штатах)
https://twitter.com/doctorow/status/1478479483585933312?s=20
https://community.norton.com/en/forums/faq-norton-crypto
(за ссылку спасибо читателю)
https://twitter.com/doctorow/status/1478479483585933312?s=20
https://community.norton.com/en/forums/faq-norton-crypto
(за ссылку спасибо читателю)
Twitter
Cory Doctorow
This is fucking wild. Norton "Antivirus" now sneakily installs cryptomining software on your computer, and then SKIMS A COMMISSION. community.norton.com/en/forums/faq-…
ОК, хотя многие среди вас там еще отдыхают до 10 числа, у меня уже все равно отпуск закончился, так что периодически будут появляться обновления канала. Но для начала — череда всяких новостей, которые я пропустил за время моего отсутствия, а они мне кажутся интересными с той или иной точки зрения. Итак, поехали!
Помните Log4J, да? Ну еще бы не помнить. там изначально уязвимость обнаружили в компании Alibaba, и сообщили о ней авторам проекта. И что за это получила Alibaba? Приостановку на 6 месяцев контрактов с министерством промышленности и информационных технологий Китая, потому что “надо было сначала своим сообщить о такой уязвимости”.
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud
Помните Log4J, да? Ну еще бы не помнить. там изначально уязвимость обнаружили в компании Alibaba, и сообщили о ней авторам проекта. И что за это получила Alibaba? Приостановку на 6 месяцев контрактов с министерством промышленности и информационных технологий Китая, потому что “надо было сначала своим сообщить о такой уязвимости”.
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud
South China Morning Post
China disciplines Alibaba Cloud for handling of Log4j bug
The Ministry of Industry and Information Technology said it will suspend work with Alibaba Cloud as a cybersecurity threat intelligence partner after the firm reported a critical security flaw to Apache.
А вот еще, помните идиотскую историю про то, как журналист нашел в исходном коде сайта различные персональные данные учителей штата Миссури, а его за это обвинили во взломе и хакерства?
https://t.me/alexmakus/4337
https://t.me/alexmakus/4378
Так они там в своем этом штате Миссури не успокаиваются, и губернатор штата утверждает, что журналисту, скорей всего, грозит предъявление обвинения. Мол, в штате есть закон, который говорит, что человек совершает преступление, если он “сознательно и без разрешения… модифицирует или уничтожает данные, раскрывает или копирует данные, или получает доступ к компьютерной сети и намеренно изучает персональную информацию”.
Естественно, издание, сообщившее об уязвимости, а) вначале сообщило о ней администраторам сайта, б) опубликовало отчет об уязвимости, не раскрывая никакой персональной информации. А вся информация была видна в HTML коде сайта. Даже ФБР говорит, что “не было никакого сетевого взлома”. Но губернатор в этом штате не любит журналистов и поэтому объявил об уголовном преследовании журналиста и издания. Так что не так далек тот день, когда команда “посмотреть исходный код сайта” будет рассматриваться как намеренный взлом и караться по всей строгости закона.
https://www.stltoday.com/news/local/govt-and-politics/parson-says-he-believes-prosecutor-will-bring-charges-in-post-dispatch-case/article_c4d88dae-fbf7-565f-a96c-e3589a626273.html
https://t.me/alexmakus/4337
https://t.me/alexmakus/4378
Так они там в своем этом штате Миссури не успокаиваются, и губернатор штата утверждает, что журналисту, скорей всего, грозит предъявление обвинения. Мол, в штате есть закон, который говорит, что человек совершает преступление, если он “сознательно и без разрешения… модифицирует или уничтожает данные, раскрывает или копирует данные, или получает доступ к компьютерной сети и намеренно изучает персональную информацию”.
Естественно, издание, сообщившее об уязвимости, а) вначале сообщило о ней администраторам сайта, б) опубликовало отчет об уязвимости, не раскрывая никакой персональной информации. А вся информация была видна в HTML коде сайта. Даже ФБР говорит, что “не было никакого сетевого взлома”. Но губернатор в этом штате не любит журналистов и поэтому объявил об уголовном преследовании журналиста и издания. Так что не так далек тот день, когда команда “посмотреть исходный код сайта” будет рассматриваться как намеренный взлом и караться по всей строгости закона.
https://www.stltoday.com/news/local/govt-and-politics/parson-says-he-believes-prosecutor-will-bring-charges-in-post-dispatch-case/article_c4d88dae-fbf7-565f-a96c-e3589a626273.html
Telegram
Информация опасносте
В штате Миссури история. Журналист на одном из правительственных сайтов нашёл информацию о сотрудниках, работающих в сфере обучения - все,включая номера социального страхования. Причём нашёл просто в исходника сайта:
Though no private information was clearly…
Though no private information was clearly…
👍1
После всех приколов с локальными серверами Microsoft Exchange в 2021 году знаменательным стало завершение года, в котором стрельнула бага, которую окрестили 2YK22. Суть такая, что в движке сканирования на спам и вирусы FIP-FS, который включен по умолчанию, обнаружилась бага, в рамках которой дата 1 января 2022 года записывалась в виде значения 2,201,010,001, что больше максимального значения 2,147,483,647, которое выдерживает переменная int32, отвечающая за хранение даты. Упс, и движок не сканирует почту, и почта больше не ходит.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
BleepingComputer
Microsoft Exchange year 2022 bug in FIP-FS breaks email delivery
Microsoft Exchange on-premise servers cannot deliver email starting on January 1st, 2022, due to a "Year 2022" bug in the FIP-FS anti-malware scanning engine.
Полиция Токио потеряла носитель информации с персональными данными на жителей Токио!!! Правда, потеряли они ДВЕ(!) ДИСКЕТЫ(!) с записями на 38 человек - людей, кто подал заявку на госжилье в определенном общежитии. Данные, судя по тексту, надо было передать данные для проверки на принадлежность подававших заявки к ОПГ, а потом полиция данные проверяет. И вот в декабре обнаружилось, что дискеты куда-то исчезли, по всей вероятности их просто выбросили. Полиция Токио очень извиняется перед этими 38 людьми, и пообещала выпустить рекомендации по улучшению обращения с персональными данными. Вот все бы так…
https://mainichi.jp/english/articles/20211227/p2a/00m/0na/072000c
https://mainichi.jp/english/articles/20211227/p2a/00m/0na/072000c
The Mainichi
Tokyo police lose 2 floppy disks containing personal info on 38 public housing applicants
TOKYO -- The Metropolitan Police Department (MPD) has lost two floppy disks containing personal information on 38 people, the department announced on
Интересный эксперимент протяженностью в три года — настроенные приманки из IoT устройств, точнее из эмуляторов таких устройств. Они были настроены таким образом, чтобы выглядеть настоящими устройствами на Shodan и Censys, а к инфраструктуре были подключены также инструменты захвата и анализа данных. Собственно, идея эксперимента заключалась в том, чтобы понять, зачем злоумышленники могут пытаться получать доступ к таким устройствам. Три устройства получили более 22 млн обращений, и большинство из атак предполагали "вербовку" устройств для участия в DDoS атаках, а также чаще всего их заражали вирусом Mirai или устанавливали майнеры криптовалюты.
Большой отчет о проделанной работе тут
https://arxiv.org/pdf/2112.10974.pdf
Собственно, выводы из этого всего простые: менять аккаунты с по умолчанию на что-то уникальное, отделять IoT в отдельные сети, устанавливать апдейты, как только появились, и мониторить устройства на предмет эксплуатации.
Большой отчет о проделанной работе тут
https://arxiv.org/pdf/2112.10974.pdf
Собственно, выводы из этого всего простые: менять аккаунты с по умолчанию на что-то уникальное, отделять IoT в отдельные сети, устанавливать апдейты, как только появились, и мониторить устройства на предмет эксплуатации.
А вот в швейцарской армии запретили пользоваться WhatsApp, а также Telegram и Signal до кучи. Можно только Threema.
https://news.yahoo.com/swiss-army-knifes-whatsapp-121159440.html
https://news.yahoo.com/swiss-army-knifes-whatsapp-121159440.html
Yahoo
Swiss army knifes WhatsApp at work
Switzerland's army has banned the use of WhatsApp whilst on duty, a spokesman confirmed Thursday, in favour of a Swiss messaging service deemed more secure in terms of data protection.
Хороший пост с описанием всех историй вредоносного ПО для macOS в 2021 году - ссылки, описания, семплы, всё, как вы любите
https://objective-see.com/blog/blog_0x6B.html
https://objective-see.com/blog/blog_0x6B.html
Salesforce объявила, что перевёл всех пользователей системы на использование мультифакторной аутентификации в следующем месяце (или отключит газ). Никаких СМС, имейлов и прочих устаревших методов, только ТОТР в приложении или сторонних аутентификаторах, аппаратные ключи или встроенная биометрия устройств.
https://therecord.media/salesforce-to-require-mfa-for-all-users-starting-next-month/
https://therecord.media/salesforce-to-require-mfa-for-all-users-starting-next-month/
The Record
Salesforce to require MFA for all users starting next month
Salesforce, the world's largest customer relationship management (CRM) platform, said that customers must have a form of multi-factor authentication (MFA) turned on starting next month, or they won't be able to access their accounts.
В прошлом году Apple анонсировала фичу iCloud Private Relay — некий псевдоVPN, по сути, чтобы убрать возможность мониторинга того, куда пользователь ходит в интернете. С одной стороны, эта технология должна спрятать от провайдеров то, куда ходит пользователь, а с другой — спрятать от сайтов информацию о пользователе.
собственно, Apple в декабре еще опубликовала документ с деталями того, как это должно работать (на данный момент iCloud Private Relay работает в бета-версии).
https://www.apple.com/privacy/docs/iCloud_Private_Relay_Overview_Dec2021.PDF
tl;dr При выходе в интернет все запросы идут к серверу Apple, куда приходит IP пользователя, и зашифрованный запрос DNS (ODoH), который Apple не видит. Этот сервер перенаправляет запрос к серверу партнера, который уже не знает IP адреса пользователя, но может расшифровать запрос DNS. После этого пользователь уже переходит на тот сайт, куда он собрался изначально, но сайт не видит реальной информации о пользователе. (страну поменять с помощью iCloud Private Relay нельзя)
Технология красивая, конечно, но это присказка. Потому что, например, в Европе мобильные операторы не в восторге от этой идеи и начали блокировать iCloud PRivate Relay. Так-то они, конечно, утверждают, что не могут получить важнейшей информации к сетевым данным и метаданным, и это, значит, подрывает цифровой суверенитет Европы. Также эта функция, по их словам, влияет на возможности операторов эффективно управлять телекоммуникационными сетями.
https://www.telegraph.co.uk/business/2022/01/09/apple-fire-iphone-encryption-tech/
И в Штатах оператор Tmobile тоже начал блокировать работу этой функции
https://9to5mac.com/2022/01/10/t-mobile-block-icloud-private-relay/
Очень интересно узнать, за счет чего они эту фичу блокируют, и какие возможности обхода будут у Apple или пользователей. Интересно, что ни один оператор пока что VPN не блокирует, хотя формально для операторов эффекты не отличаются. Возможно, за счет того, что iCloud Private Relay предполагается как гораздо более массовая технология.
Дополнение: вот тут пишут, что Тмобил в Штатах блокирует private relay только для аккаунтов, у которых включена фильтрация контента
https://tmo.report/2022/01/t-mobile-blocking-icloud-private-relay-for-some-but-its-not-what-you-think/
ЗЫ В Китае, России и еще нескольких странах iCloud Private Relay работать не будет.
собственно, Apple в декабре еще опубликовала документ с деталями того, как это должно работать (на данный момент iCloud Private Relay работает в бета-версии).
https://www.apple.com/privacy/docs/iCloud_Private_Relay_Overview_Dec2021.PDF
tl;dr При выходе в интернет все запросы идут к серверу Apple, куда приходит IP пользователя, и зашифрованный запрос DNS (ODoH), который Apple не видит. Этот сервер перенаправляет запрос к серверу партнера, который уже не знает IP адреса пользователя, но может расшифровать запрос DNS. После этого пользователь уже переходит на тот сайт, куда он собрался изначально, но сайт не видит реальной информации о пользователе. (страну поменять с помощью iCloud Private Relay нельзя)
Технология красивая, конечно, но это присказка. Потому что, например, в Европе мобильные операторы не в восторге от этой идеи и начали блокировать iCloud PRivate Relay. Так-то они, конечно, утверждают, что не могут получить важнейшей информации к сетевым данным и метаданным, и это, значит, подрывает цифровой суверенитет Европы. Также эта функция, по их словам, влияет на возможности операторов эффективно управлять телекоммуникационными сетями.
https://www.telegraph.co.uk/business/2022/01/09/apple-fire-iphone-encryption-tech/
И в Штатах оператор Tmobile тоже начал блокировать работу этой функции
https://9to5mac.com/2022/01/10/t-mobile-block-icloud-private-relay/
Очень интересно узнать, за счет чего они эту фичу блокируют, и какие возможности обхода будут у Apple или пользователей. Интересно, что ни один оператор пока что VPN не блокирует, хотя формально для операторов эффекты не отличаются. Возможно, за счет того, что iCloud Private Relay предполагается как гораздо более массовая технология.
Дополнение: вот тут пишут, что Тмобил в Штатах блокирует private relay только для аккаунтов, у которых включена фильтрация контента
https://tmo.report/2022/01/t-mobile-blocking-icloud-private-relay-for-some-but-its-not-what-you-think/
ЗЫ В Китае, России и еще нескольких странах iCloud Private Relay работать не будет.
Брайан Актон, один из сооснователей WhatsApp, стал генеральным директором Signal
https://signal.org/blog/new-year-new-ceo/
https://signal.org/blog/new-year-new-ceo/
Signal
New year, new CEO
It’s a new year, and I’ve decided it’s a good time to replace myself as the CEO of Signal.I have now been working on Signal for almost a decade. It has always been my goal for Signal to grow and sustain beyond my involvement, but four years ago that would…
Помните историю про криптомайнер в составе Norton? У меня сразу две новости по этому поводу есть. Во-первых, The Verge нормально разобрались в этой теме, и все прояснили.
а) Нортон публично анонсировали эту "функцию" еще летом прошлого года, хотя сейчас в процессе установки неочевидно, что криптомайнер устанавливается
б) изначально функция была доступна только ограниченному количеству пользователей, но теперь её, похоже, выпустили в паблик для всех
в) по умолчанию она выключена и требует сознательного включения пользователем
г) работать она будет только если устройство соответствует системным требованиям.
д) удалить её можно, предварительно отключив защитную функцию Нортона
https://www.theverge.com/2022/1/7/22869528/norton-crypto-miner-security-software-reaction
Во-вторых, на всякий случай хочу добавить, что антивирус Avira тоже этим промышляет. Что, впрочем, неудивительно, учитывая, что Avira принадлежит Norton.
https://support.avira.com/hc/en-us/articles/4407469485585-What-is-Avira-Crypto-
а) Нортон публично анонсировали эту "функцию" еще летом прошлого года, хотя сейчас в процессе установки неочевидно, что криптомайнер устанавливается
б) изначально функция была доступна только ограниченному количеству пользователей, но теперь её, похоже, выпустили в паблик для всех
в) по умолчанию она выключена и требует сознательного включения пользователем
г) работать она будет только если устройство соответствует системным требованиям.
д) удалить её можно, предварительно отключив защитную функцию Нортона
https://www.theverge.com/2022/1/7/22869528/norton-crypto-miner-security-software-reaction
Во-вторых, на всякий случай хочу добавить, что антивирус Avira тоже этим промышляет. Что, впрочем, неудивительно, учитывая, что Avira принадлежит Norton.
https://support.avira.com/hc/en-us/articles/4407469485585-What-is-Avira-Crypto-
The Verge
Here’s the truth about the crypto miner that comes with Norton Antivirus
Doesn’t go behind your back, does have a tax.
Интересная история от Microsoft о том, как они обнаружили уязвимость в macOS, которая позволяла злоумышленникам пройти различные защитные механизмы системы и получить доступ к защищенным данным пользователя. Апдейт macOS 12.1 в декабре прошлого года исправляет эту уязвимость.
Детальный отчет о работе уязвимости: https://www.microsoft.com/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/
Уязвимость https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30970
апдейт с фиксом https://support.apple.com/en-us/HT212978
Детальный отчет о работе уязвимости: https://www.microsoft.com/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/
Уязвимость https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30970
апдейт с фиксом https://support.apple.com/en-us/HT212978
Microsoft News
New macOS vulnerability, “powerdir,” could lead to unauthorized user data access
A new macOS vulnerability, “powerdir,” could allow an attacker to bypass the operating system’s TCC technology and gain unauthorized access to a user’s protected data. We shared our findings with Apple through Coordinated Vulnerability Disclosure (CVD) and…