Опасные айфоны

После предостережения ФСБ членам правительства запретили проносить айфоны на заседания кабинета министров📱

Буквально на той неделе мы умилялись чиновникам и госменеджерам, которые фотографировали на ПМЭФе вражескими айфонами вопреки пугалкам от ФСБ. Спецслужба заявляла, что Вашингтон следит за владельцами техники Apple, и мы еще тогда подумали, что после этого для чиновников могут ввести новые ограничения.

Так и вышло. Как рассказывают наши собеседники, теперь в зал заседаний правительства запрещено заходить с устройствами Apple. Это касается вице-премьеров, министров и других участников заседаний правительства.

Кроме того, сотрудникам Белого дома разослали указание руководителя аппарата правительства о том, что пользоваться айфонами на рабочем месте (и вообще по работе) больше нельзя. Ранее о такой директиве писал канал Brief. Пресс-служба правительства это де-факто подтвердила.

Такая практика (не заходить с телефонами в зал заседаний правительства) существовала 15 лет назад. ФСО ввело ее в 2008 году сразу после того, как премьер-министром стал Путин. От вице-премьеров, министров и приглашённых участников заседания правительства требовали сдавать не только айфоны (их тогда почти ни у кого не было), а вообще все телефоны. Впрочем, через несколько месяцев запрет почему-то сняли, и члены правительства стали не только проносить свой девайсы в зал, но и разговаривать по ним перед заседаниями, а также класть на стол во время обсуждений.

Еще забавнее вспоминать, что Дмитрий Медведев в бытность и президентом, и премьером сам приходил на совещания с iPad и всячески поощрял подобную цифровизацию и среди подчиненных. У Медведева в правительстве было аж два служебных (!) айпэда, куда закачивались материалы к заседаниям кабинета министров и к другим совещаниям. В командировки за Медведевым ездил специальный человек, который следил, чтобы в айпэдах была самая актуальная информация (к интернету девайсы не подключали, поэтому все закачивалось вручную).

Нынешнего премьера Мишустина тоже принято считать любителем современных девайсов. В 10-е годы он был одним из немногих чиновников, у кого в рабочем кабинете стоял компьютер iMac от Apple. Но то были другие времена...

На фото: стол с телефонами членов правительства перед совещанием у Путина, 2011 год. Коммерсант

@faridaily24

Популярный производитель аксессуаров для мобильных устройств iOttie уведомляет, что их сайт был взломан и на протяжении 2 месяцев собирал данные кредиток покупателей, а также их персональные данные

https://apps.web.maine.gov/online/aeviewer/ME/40/6bbb2a98-50b3-4fb1-844f-9572cf363b2a.shtml

Apple выпустила обновления для iOS, в котором исправлено три новых zero-day уязвимости — о них компании сообщили специалисты компании Kaspersky Lab. Сотрудники компании, по заявлениям компании, также стали жертвами атак с применением этих уязвимостей.
https://support.apple.com/en-us/HT213814
https://support.apple.com/en-us/HT213811
(и другие ОС Apple)

ЛК также опубликовали дополнительные детали об уязвимостях, которые обнаружила компания. Они затрагивают iOS до версии 15.7, а фсб рф утверждала, что эти уязвимости были заложенными бэкдорами для применения разведорганами США против российских чиновников

https://securelist.com/triangledb-triangulation-implant/110050/

DuckDuckGo выпускает веб-браузер, ориентированный на максимальную конфиденциальность, для Windows (для macOS/iOS/Android они выпустили его уже какоето время назад)

https://duckduckgo.com/windows

Microsoft вот тоже продвигает passkey в Windows 11

https://blogs.windows.com/windows-insider/2023/06/22/announcing-windows-11-insider-preview-build-23486/

продолжение рубрики “преступление и наказание”: вот коллега этого молодого человека уехал на 5 лет отдохнуть от интернета (история про взлом твиттера и размещение криптоскама на аккаунтах популярных пользователей в соцсети)

https://techcrunch.com/2023/06/23/twitter-hacker-sentenced-prison/

Большая статья о том, как многочисленные автопроизводители собирают огромные объемы данных о пользователях автомобилей

https://www.wired.co.uk/article/car-data-privacy-toyota-honda-ford

посмотрел на роутере статистику по машине за месяц. компьютер на колесах, который еще и следит за тобой. удобно.

Большой отчет о мессенджерах и безопасности данных, о которой так много говорят. Изучены Messenger (Meta), WhatsApp, Signal, Telegram, Messages by Google, Apple Messages

https://techpolicy.press/wp-content/uploads/2023/06/What-Is-Secure-An-Analysis-of-Popular-Messaging-Apps-20-June-2023.pdf

- отсутствие шифрования по умолчанию, как у Телеграма и Мессенджера Меты, плохо
- пользователи мало понимают отличия цветов, как в iMessages
- минимизация и шифрование метаданных, как у Signal — хорошо
- мессенджеры, расширяющие свою функциональсть фичами социальных сетей, повышают риски безопасности для пользователей

Sony, которая допустила утечку корпоративных данных просто потому что плохо замазали данные фломастером (данные оказались видны после сканирования) — это просто прелестно

https://www.theverge.com/2023/6/28/23777298/sony-ftc-microsoft-confidential-documents-marker-pen-scanner-oops

еще несколько ссылок от читателей, которые накопились в ТГ

https://arstechnica.com/security/2023/06/prominent-cryptocurrency-exchange-infected-with-previously-unseen-mac-malware/

“Недавно Mikrotik исправили уязвимость, выявленную в декабре прошлого года. ZDI в свою очередь утверждает, что сообщили перед проведением Pwn2Own об этом Mikrotik, и также в ходе конференции одному из их сотрудников.”

https://blog.mikrotik.com/security/cve-2023-32154.html

https://www.zerodayinitiative.com/advisories/ZDI-23-710/

о криминализации шифрования
https://www.laquadrature.net/en/2023/06/05/criminalization-of-encryption-the-8-december-case/

прекрасная история для пятницы. Школа в штате Иллинойс, в рамках аудита(!) кибербезопасности(!) случайно(!) сбросила пароли всех(!) учеников — ну ладно, их вендор это сделал, но не суть. А суть в том, что гении в школе решили, что лучший выход из этой ситуации — это поменять всем(!) ученикам пароль на ОДИН И ТОТ ЖЕ — “Ch@ngeme!”, и сообщить об этом ВСЕЙ!!! школе!

на следующий день администрации школы донесли, что это глупость несусветная, и они занялись улучшением процедуры, но это не помешало некоторым родителям залогиниться в учетки других учеников и обнаружить там различные материалы.

https://techcrunch.com/2023/06/29/high-school-changes-every-students-password-to-chngeme/

(оказывается, телеграм не умеет прикреплять стикер к написанному сообщению, и просто отправляет стикер, убирая сообщение)

интересная история развивается в Казахстане, где власти время назад арестовали бывшего менеджера Group-IB Никиту Кислицина по запросу США в рамках дела о взломах многолетней давности. Видимо, чтобы не допустить экстрадиции Кислицина в США, суд в москве срочно выписал ордер на его арест.

https://www.cnews.ru/news/top/2023-06-28_arestovan_byvshij_glavred

топ 25 слабых мест программного обеспечения с точки зрения информационной безопасности — то есть типичные ошибки, которые приводят потом к уязвимостям

https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html#tableView