Всех подписчиков с Новым годом! Всем новых уязвимостей, взломов, утечек и … ой, подождите, кажется, не то. Ну, короче, чтобы всё!

Ну начнём, пожалуй.

Для старта небольшой лол, что уж там - для перевода сообщений в Телеграм на Андроид сообщения отправляются в Google Translate, что уже само по себе несколько спорно с точки зрения конфиденциальности: во-первых, пользователь об этом ничего не знает (поправка - знает), во-вторых, переводы могут содержать конфиденциальные данные, в-третьих, непонятно, что из этого и как идентифицируется гуглом в процессе. Отдельно доставляет тот факт, что Телеграм делает это все полуофициальным методом, для того, чтобы избежать оплаты за использование API (мессенджер прикидывается разными браузерами, и тд). Пост Дурова о «Что лучше, перевод личных сообщений в Гугле или полная блокировка Телеграм в России?» через 3… 2… 1…

https://danpetrov.xyz/programming/2021/12/30/telegram-google-translate.html

Не могу уже с этих жуликов с их обезьянами

According to reports, roughly $2.2 million worth of Bored Ape Yacht Club (BAYC) and Mutant Ape Yacht Club (MAYC) non-fungible tokens (NFTs) were stolen from a collector. The owner of the NFTs Todd Kramer said the incident was “arguably the worst night” of his life. Furthermore, there’s claims that the NFT marketplace Opensea froze the collectibles, and crypto advocates are complaining about the lack of decentralization.

https://news.bitcoin.com/2-2m-worth-of-bored-ape-yacht-club-nfts-stolen-victim-says-incident-was-arguably-the-worst-night-of-his-life/


Anyway…

кстати, о жуликах. Слышали ли вы о Norton Crypto? А это, между прочим, часть антивируса Norton 360, которая майнит эфирную крипту на компьютерах пользователя, так еще и берет с пользователей 15% за майнинг. Совсем там уже охренели. (пока что только в штатах)

https://twitter.com/doctorow/status/1478479483585933312?s=20

https://community.norton.com/en/forums/faq-norton-crypto

(за ссылку спасибо читателю)

ОК, хотя многие среди вас там еще отдыхают до 10 числа, у меня уже все равно отпуск закончился, так что периодически будут появляться обновления канала. Но для начала — череда всяких новостей, которые я пропустил за время моего отсутствия, а они мне кажутся интересными с той или иной точки зрения. Итак, поехали!

Помните Log4J, да? Ну еще бы не помнить. там изначально уязвимость обнаружили в компании Alibaba, и сообщили о ней авторам проекта. И что за это получила Alibaba? Приостановку на 6 месяцев контрактов с министерством промышленности и информационных технологий Китая, потому что “надо было сначала своим сообщить о такой уязвимости”.
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud

А вот еще, помните идиотскую историю про то, как журналист нашел в исходном коде сайта различные персональные данные учителей штата Миссури, а его за это обвинили во взломе и хакерства?

https://t.me/alexmakus/4337
https://t.me/alexmakus/4378

Так они там в своем этом штате Миссури не успокаиваются, и губернатор штата утверждает, что журналисту, скорей всего, грозит предъявление обвинения. Мол, в штате есть закон, который говорит, что человек совершает преступление, если он “сознательно и без разрешения… модифицирует или уничтожает данные, раскрывает или копирует данные, или получает доступ к компьютерной сети и намеренно изучает персональную информацию”.

Естественно, издание, сообщившее об уязвимости, а) вначале сообщило о ней администраторам сайта, б) опубликовало отчет об уязвимости, не раскрывая никакой персональной информации. А вся информация была видна в HTML коде сайта. Даже ФБР говорит, что “не было никакого сетевого взлома”. Но губернатор в этом штате не любит журналистов и поэтому объявил об уголовном преследовании журналиста и издания. Так что не так далек тот день, когда команда “посмотреть исходный код сайта” будет рассматриваться как намеренный взлом и караться по всей строгости закона.

https://www.stltoday.com/news/local/govt-and-politics/parson-says-he-believes-prosecutor-will-bring-charges-in-post-dispatch-case/article_c4d88dae-fbf7-565f-a96c-e3589a626273.html

После всех приколов с локальными серверами Microsoft Exchange в 2021 году знаменательным стало завершение года, в котором стрельнула бага, которую окрестили 2YK22. Суть такая, что в движке сканирования на спам и вирусы FIP-FS, который включен по умолчанию, обнаружилась бага, в рамках которой дата 1 января 2022 года записывалась в виде значения 2,201,010,001, что больше максимального значения 2,147,483,647, которое выдерживает переменная int32, отвечающая за хранение даты. Упс, и движок не сканирует почту, и почта больше не ходит.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/

Полиция Токио потеряла носитель информации с персональными данными на жителей Токио!!! Правда, потеряли они ДВЕ(!) ДИСКЕТЫ(!) с записями на 38 человек - людей, кто подал заявку на госжилье в определенном общежитии. Данные, судя по тексту, надо было передать данные для проверки на принадлежность подававших заявки к ОПГ, а потом полиция данные проверяет. И вот в декабре обнаружилось, что дискеты куда-то исчезли, по всей вероятности их просто выбросили. Полиция Токио очень извиняется перед этими 38 людьми, и пообещала выпустить рекомендации по улучшению обращения с персональными данными. Вот все бы так…

https://mainichi.jp/english/articles/20211227/p2a/00m/0na/072000c

Интересный эксперимент протяженностью в три года — настроенные приманки из IoT устройств, точнее из эмуляторов таких устройств. Они были настроены таким образом, чтобы выглядеть настоящими устройствами на Shodan и Censys, а к инфраструктуре были подключены также инструменты захвата и анализа данных. Собственно, идея эксперимента заключалась в том, чтобы понять, зачем злоумышленники могут пытаться получать доступ к таким устройствам. Три устройства получили более 22 млн обращений, и большинство из атак предполагали "вербовку" устройств для участия в DDoS атаках, а также чаще всего их заражали вирусом Mirai или устанавливали майнеры криптовалюты.

Большой отчет о проделанной работе тут
https://arxiv.org/pdf/2112.10974.pdf

Собственно, выводы из этого всего простые: менять аккаунты с по умолчанию на что-то уникальное, отделять IoT в отдельные сети, устанавливать апдейты, как только появились, и мониторить устройства на предмет эксплуатации.

А вот в швейцарской армии запретили пользоваться WhatsApp, а также Telegram и Signal до кучи. Можно только Threema.

https://news.yahoo.com/swiss-army-knifes-whatsapp-121159440.html

Хороший пост с описанием всех историй вредоносного ПО для macOS в 2021 году - ссылки, описания, семплы, всё, как вы любите

https://objective-see.com/blog/blog_0x6B.html

Salesforce объявила, что перевёл всех пользователей системы на использование мультифакторной аутентификации в следующем месяце (или отключит газ). Никаких СМС, имейлов и прочих устаревших методов, только ТОТР в приложении или сторонних аутентификаторах, аппаратные ключи или встроенная биометрия устройств.

https://therecord.media/salesforce-to-require-mfa-for-all-users-starting-next-month/

В прошлом году Apple анонсировала фичу iCloud Private Relay — некий псевдоVPN, по сути, чтобы убрать возможность мониторинга того, куда пользователь ходит в интернете. С одной стороны, эта технология должна спрятать от провайдеров то, куда ходит пользователь, а с другой — спрятать от сайтов информацию о пользователе.

собственно, Apple в декабре еще опубликовала документ с деталями того, как это должно работать (на данный момент iCloud Private Relay работает в бета-версии).

https://www.apple.com/privacy/docs/iCloud_Private_Relay_Overview_Dec2021.PDF

tl;dr При выходе в интернет все запросы идут к серверу Apple, куда приходит IP пользователя, и зашифрованный запрос DNS (ODoH), который Apple не видит. Этот сервер перенаправляет запрос к серверу партнера, который уже не знает IP адреса пользователя, но может расшифровать запрос DNS. После этого пользователь уже переходит на тот сайт, куда он собрался изначально, но сайт не видит реальной информации о пользователе. (страну поменять с помощью iCloud Private Relay нельзя)

Технология красивая, конечно, но это присказка. Потому что, например, в Европе мобильные операторы не в восторге от этой идеи и начали блокировать iCloud PRivate Relay. Так-то они, конечно, утверждают, что не могут получить важнейшей информации к сетевым данным и метаданным, и это, значит, подрывает цифровой суверенитет Европы. Также эта функция, по их словам, влияет на возможности операторов эффективно управлять телекоммуникационными сетями.
https://www.telegraph.co.uk/business/2022/01/09/apple-fire-iphone-encryption-tech/

И в Штатах оператор Tmobile тоже начал блокировать работу этой функции
https://9to5mac.com/2022/01/10/t-mobile-block-icloud-private-relay/

Очень интересно узнать, за счет чего они эту фичу блокируют, и какие возможности обхода будут у Apple или пользователей. Интересно, что ни один оператор пока что VPN не блокирует, хотя формально для операторов эффекты не отличаются. Возможно, за счет того, что iCloud Private Relay предполагается как гораздо более массовая технология.

Дополнение: вот тут пишут, что Тмобил в Штатах блокирует private relay только для аккаунтов, у которых включена фильтрация контента

https://tmo.report/2022/01/t-mobile-blocking-icloud-private-relay-for-some-but-its-not-what-you-think/

ЗЫ В Китае, России и еще нескольких странах iCloud Private Relay работать не будет.

Брайан Актон, один из сооснователей WhatsApp, стал генеральным директором Signal

https://signal.org/blog/new-year-new-ceo/

Помните историю про криптомайнер в составе Norton? У меня сразу две новости по этому поводу есть. Во-первых, The Verge нормально разобрались в этой теме, и все прояснили.

а) Нортон публично анонсировали эту "функцию" еще летом прошлого года, хотя сейчас в процессе установки неочевидно, что криптомайнер устанавливается
б) изначально функция была доступна только ограниченному количеству пользователей, но теперь её, похоже, выпустили в паблик для всех
в) по умолчанию она выключена и требует сознательного включения пользователем
г) работать она будет только если устройство соответствует системным требованиям.
д) удалить её можно, предварительно отключив защитную функцию Нортона
https://www.theverge.com/2022/1/7/22869528/norton-crypto-miner-security-software-reaction

Во-вторых, на всякий случай хочу добавить, что антивирус Avira тоже этим промышляет. Что, впрочем, неудивительно, учитывая, что Avira принадлежит Norton.

https://support.avira.com/hc/en-us/articles/4407469485585-What-is-Avira-Crypto-

Интересная история от Microsoft о том, как они обнаружили уязвимость в macOS, которая позволяла злоумышленникам пройти различные защитные механизмы системы и получить доступ к защищенным данным пользователя. Апдейт macOS 12.1 в декабре прошлого года исправляет эту уязвимость.

Детальный отчет о работе уязвимости: https://www.microsoft.com/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/

Уязвимость https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30970

апдейт с фиксом https://support.apple.com/en-us/HT212978

Данные в безопасности, может быть? Тут тоже веселая история про то, как европейский регулятор European Data Protection Supervisor (EDPS) обнаружил, что Европол собрал слишком много информации, которая не имеет отношения к преступлениям. 4 петабайта данных, собранных из различных отчетов о преступлениях, полученной из взломанных телефонных сервисов, и тд — миллиарды различных записей из различных источников за 6 лет. Теперь организация должна удалять подобные данные, которые хранятся больше 6 месяцев, а с текущим архивом организация должна разобраться за год.

https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data

кстати, вчера же у Microsoft был Patch Tuesday!

вот детальная разбивка содержимого апдейтов — 126 CVE исправлено:
https://isc.sans.edu/forums/diary/Microsoft+Patch+Tuesday+January+2022/28230/

6 из уязвимостей были уже публично известны раньше, одна из уязвимостей wormable, по словам Microsoft (сама может распространяться от одного уязвимого компьютера к другому). 9 уязвимостей помечены как критичные, одна из самых проблемных — CVE-2022-21907 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907)

Доп. Три — RCE в Exchange, информация об одной из них получена из NSA. В целом, понятно, что надо обновляться.

Свежий кроссплатформенный вирус, в том числе и для macOS. Более того, даже с поддержкой новых Arm процессоров! (Microsoft все ещё не выпустила свой Teams для М1, а вирусописатели впереди планеты всей)

https://objective-see.com/blog/blog_0x6C.html

Никогда такого не было и вот опять - уязвимость в различных роутерах NetGear, TP-Link и тд. Дыра в модуле KCodes NetUSB, позволяет удаленное исполнение кода в ядре, обнаружена в прошлом году, вендоры патчат её с октября, вредоносного использования замечено не было.

https://www.sentinelone.com/labs/cve-2021-45608-netusb-rce-flaw-in-millions-of-end-user-routers/