Совершенно какая-то странная история с британским экспертом по информационной безопасности, известным под ником MalwareTech. Он стал очень известным во время эпидемии WannaCry, потому что это именно он нашёл тогда "kill switch" (ссылку на несуществующий домен в коде, зарегистрировав который, он смог остановить распространение вируса). Он был в Лас-Вегасе на конференции DEFCON, где его арестовала ФБР и обвинила в создании банковского трояна Kronos. Интересно, что Kronos впервые засветился то ли в 2014, то году в 2015 году, и считался трояном, написанным русскими хакерами (конечно, кто же ещё?). Но пост на форуме, где анонсировались доступность и начало продаж, был написан ломаным русским языком, с кусками, явно переведенными с помощью какого-то автоматического переводчика. Говорят, что MalwareTech признал своё авторство в Kronos и теперь ему грозит многолетнее тюремное заключение. Более того, ещё и пошли слухи, что kill switch в WannaCry он не просто так внезапно быстро нашёл, так что история мутноватая, но интересная.

А тем временем в армии США запретили использование дронов DJI. Основание - опасения в информационной безопасности таких дронов, произведённых китайской компанией. Везде враги, везде! https://www.suasnews.com/2017/08/us-army-calls-units-discontinue-use-dji-equipment/

Эту неделю обновления будут нерегулярными, так как редакция канала в виде меня улетела в отпуск, но помните, что информация все равно остается опасносте! Об этом сейчас хорошо в курсе HBO, которая борется с вымогателями, взломавшими её сеть и украдшими полтора терабайта данных. Недавно вымогатели (требующие, кстати, порядка 50-60 млн долл выкупа) опубликовал 3,5ГБ из украденных данных, где среди переписки топ-менеджеров и описания инфраструктуры сети компании обнаружились персональные данные актеров из сериала Игры Престолов. Весело там у них сейчас, поди https://www.theguardian.com/technology/2017/aug/08/game-of-thrones-stars-personal-details-leaked-hbo-hackers-demand-ransom

И снова здравствуйте! У меня закончилась активная фаза отпуска, и я снова с вами, и вместе со мной - самые свежие новости из мира информационной опасносте. Поскольку интересных ссылок за время отсутствия меня накопилось много, то я их сразу скопом набросаю:

1. Новейшие рекомендации о создании паролей для разных сервисов. Если вы не доверяете менеджерам паролей, то следование этим рекомендациям - лучшее, что можно придумать. И ни в коем случае не покупайте записные книжки для хранения паролей ;) https://geektimes.ru/post/291907/

2. В git обнаружена и исправлена критическая уязвимость, налетай, качай, исправляй! http://marc.info/?l=git&m=150238802328673&w=2

3. Ирония: в утилите, которая утверждает, что с её помощью можно украсть чей-то пароль от Фейсбука, обнаружился троян, ворующий пароли у того, кто пытается подобрать пароль от ФБ https://techcrunch.com/2017/08/10/facebook-password-stealing-software-comes-packed-with-a-trojan-that-steals-your-passwords/

4. Вот это мегатема, и ссылку на информацию об этом мне прислало сразу несколько читателей. Исследователи закодировали в ДНК информацию, которая позволяет получить контроль над компьютером, который разбирает и анализирует ДНК. Специально сконфигуриванная последовательность данных в ДНК при расшифровке использует известные уязвимости в стандартном ПО, используемом для работы с ДНК, и позволяет захватить контроль над ним. Вот где будущее, блин - смычка биологической и компьютерной информации. Вот так чихнёшь потом на компьютер, и заразишь его вирусом-вымогателем. Настоящий киберпанк. http://boingboing.net/2017/08/10/computer-viruses.html

5. И моя любимая история за последние несколько дней - о том, как ФБР поймала вымогателя ню-фотографий у подростков в интернете. Чувак находил подростков, рассказывал им, что у него есть их фото в обнаженном виде (полученные, например, от бойфренда жертвы), и требовал прислать новые, а то он старые в интернете опубликует. В итоге ФБР послала ему видео со специальным DRM-кодом, и когда он попробовал авторизоваться для воспроизведения видео, его реальный IP-адрес был отправлен в ФБР. Так его и вычислили. История с деталями - по ссылке https://arstechnica.com/tech-policy/2017/08/how-the-fbi-used-a-booby-trapped-video-to-id-a-sextortion-suspect-on-tor/

И традиционно не очень хорошие новости для жителей Российской Федерации

все как я люблю в мире IoT — производитель "умных" замков выпустил апдейт прошивки, которая установилась на замки, после чего они перестали открываться или закрываться. и после этого еще люди у меня спрашивают, как это я, человек из IT-отрасли, могу избегать IoT-устройств. Как там было в Советском Союзе — кто работал на мясокомбинате, тот колбасу не покупает? Так и с IoT :) https://arstechnica.com/information-technology/2017/08/500-smart-locks-arent-so-smart-anymore-thanks-to-botched-update/

очень полезная и, главное, написанная простым языком ссылка от Electronic Frontier Foundation (EFF, организация, которая часто выступает в защиту журналистов и экспертов по информационной безопасности), о том, как избежать фишинговых атак (точнее, конечно, как избежать того, чтобы стать жертвой атаки) https://ssd.eff.org/en/module/how-avoid-phishing-attacks

для гиков будет интересным анализ тулзов BothanSpy и Gyrfalcon — инструментов ЦРУ по взлому SSH https://www.ssh.com/ssh/cia-bothanspy-gyrfalcon

кстати, про IoT. вот еще интересный документ с исследованием возможностей взломов медицинских гаджетов, имплантируемых пациентам. Ладно там замкам прошивку сломали, а если это кардиостимулятор? а дальше там начнутся искусственные почки с подключением к WiFi или еще что-нибудь в этом роде, а хакеры ведь не дремлют http://sine.ni.com/cs/app/doc/p/id/cs-17466

и традиционно "хорошие" новости для пользователей Android. Исследователи обнаружили более 1000 приложений со шпионским софтом семейства SonicSpy, причем многие приложения были официально доступны в Google Play. Приложения с этим трояном могли втихаря записывать аудио, делать фото, совершать звонки и отправлять СМС, ну и еще кучу всякой информации с телефона собирать. как говорится, никогда такого не было, и вот опять! https://blog.lookout.com/sonicspy-spyware-threat-technical-research

читатель Яков прислал ссылку на iClarifed (http://www.iclarified.com/62025/hacker-decrypts-apples-secure-enclave-processor-sep-firmware), где пишут о том, что хакер @xerub расшифровал прошивку Secure Enclave Processor — хранилища, которое хранит на iOS-устройствах данные об отпечатке пальца. Ключ к прошивке опубликован тут https://www.theiphonewiki.com/wiki/Greensburg_14G60_%28iPhone6,1%29

важно понимать вот что — расшифровка прошивки SEP не означает, что данные ваших отпечатков пальцев внезапно стали доступны всему интернету. Это лишь, так сказать, первый шаг — возможность начать исследование внутренностей SEP, и потенциальных уязвимостей в нем. И, например, при обнаружении таковых, может быть, удастся докопаться до каких-то данных, там хранящихся (а может, и не удастся). Так что точно не нужно поддаваться панике (пока что), и точно не стоит верить статьям из серии "хакеры взломали TouchID и теперь украдут все ваши деньги через Apple Pay"

меня тут обвинили в том, что я намеренно пытаюсь минимизировать потенциальный ущерб от расшифровки SEP. вряд ли человек, прочитавший и не понявший первое сообщение, поймет второе, но все же я сделаю попытку. между расшифровкой прошивки SEP и реальным ущербом для пользователей — пропасть, которую еще надо перейти. "виртуально" её перепрыгнут в первую очередь белки-истерички и современные журналисты-писаки, которые, не разбираясь в теме, накропают линк-бейт "ваши отпечатки пальцев теперь знают все". поэтому пока что я не вижу ущерба для пользователей iOS. В отличие от ситуаций, когда для какой-нибудь, пусть и устаревшей, версии Андроид, на которой все еще сидят сотни миллионов пользователей, находят реальную уязвимость, которая эксплуатируется приложениями, доступными каждому в Google Play. а так — да, никакой разницы. Вообще не понимаю, зачем я это поясняю.

кстати, про iPhone и Touch ID есть более интересная тема. В Штатах уже неоднократно возникали судебные коллизии по поводу разблокировки телефона подозреваемых или преступников. Коллизия заключается в том, что правоохранительные органы или суд не могут заставить вас свидетельствовать против себя — то есть, например, если у вас на телефоне есть какие-то компрометирующие вас данные, то вы имеете право не сообщать пароль к телефону, который вы знаете. А вот отпечаток пальца — это как бы не "знание", и поэтому его применение не считается "свидетельствованием против себя. Поэтому неоднократно были ситуации, когда полиция принуждала задержанных прикладывать палец к сканеру отпечатка пальцев, чтобы разблокировать телефон. У iPhone до этого была фича, что токен touchID регулярно "протухал", поэтому iPhone периодически просит ввести пароль. Другой метод защититься в подобной ситуации — выключить телефон, потому что после рестарта он тоже попросит пароль (и тут опять вступает в действие правило с приобретенными знаниями). Короче, в iOS 11 появился механизм попроще — достаточно быстро нажать 5 раз кнопку питания, чтобы вызвать режим SOS, и, как оказалось, при вызове этого режима телефон перестает принимать touch id и требует ввести пароль. Так, видимо, получится быстрее, чем выключать телефон. Журналисты уже окрестили это "cop button", как механизм защиты от излишне активных полицейских.

С начала 2016 года система телеметрии ESET зафиксировала 15 млн инцидентов, в которых загрузка вредоносного кода была связана с популярными торрент-приложениями и файлообменными сервисами.

Хакеры используют файлообменные сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах».

В частности, в 2016 году злоумышленники атаковали пользователей macOS, взломав сайт торрент-клиента Transmission. Они переработали приложение, включив в его состав вредоносный код.

В апреле 2016 года с сайта Transmission загружался под видом легитимного приложения шифратор KeRanger. Разработчики удалили зараженный дистрибутив уже через несколько часов, но от угрозы пострадали тысячи пользователей. Авторы KeRanger использовали стойкий алгоритм шифрования, что свело к минимуму шансы на восстановление данных.

В августе 2016 года хакеры повторили атаку на сайт Transmission. На этот раз вместе с торрент-клиентом на компьютер устанавливалась вредоносная программа Keydnap, предназначенная для кражи паролей от «Связки ключей iCloud» и удаленного доступа к системе. Команда Transmission удалила опасное приложение с сайта в течение нескольких минут после обращения специалистов ESET.

Не все инциденты связаны с программным обеспечением, существует также риск загрузки вредоносных торрентов. В апреле 2017 года эксперты ESET обнаружили троян Sathurbot, который распространялся таким способом – он скрывался в торрентах с пиратским софтом или фильмом, маскируясь под кодек.

Зараженные Sathurbot компьютеры входили в состав ботнета, который на момент исследования насчитывал 20 000 устройств. Ботнет искал в сети сайты на базе WordPress и взламывал их путем перебора паролей. Скомпрометированные сайты использовались для дальнейшего распространения вредоносных торрентов.

В феврале 2017 года злоумышленники раздавали через торрент-трекеры новый шифратор, замаскированный под Patcher – приложение для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта. Восстановить зашифрованные файлы невозможно даже в случае оплаты выкупа – в лже-Patcher не предусмотрена функция связи с командным сервером, поэтому у операторов шифратора нет ключа расшифровки.

ссылку на интересную лажу в iOS прислал читатель Андрей, за что ему спасибо. Якобы (я сам не проверял) если на телефон установить прошивку в режиме DFU, то система на загрузке попросит ввести пароль (что логично), но при этом у системы не будет активировано ограничение на 10 попыток, и, соответственно, количество попыток ввода пароля может быть неограниченным. Упс. Дальше дело техники и гигиены паролей: если у вас 4-значный цифровой пароль на телефоне, то даже вручную 10 тыс вариантов можно перебрать в течение суток, не говоря уже о том, что есть устройства, позволяющие существенно ускорить этот процесс. Короче, не зря Apple просит при настройке iPhone сделать пароль посложнее; в идеале — буквенно-цифровой, тогда этот метод не поможет злоумышленникам. А вообще лажа, да (хотя я бегло погуглил и что-то не заметил "активного обсуждения в сети", как утверждается в статье). Ну, если будет активно обсуждаться, что Apple, думаю, исправит эту проблему — они обычно на такие вещи достаточно оперативно реагируют. http://click-or-die.ru/2017/08/ios-vulnerable/

и говоря о безопасности смартфонов. На Арстехнике интересная статья про результаты исследования, в рамках которого специалисты продемонстрировали возможность захвата данных с экрана устройства после установки модифицированного экрана. Представьте себе, что вы разбили экран телефона, пришли его поменять в сервис, а вам там вместо разбитого экрана поставили новенький, целый, но со специальным чипом, который установлен между экраном и системой. и этот чип может собирать данные с экрана, в том числе логи с клавиатуры, даже устанавливать приложения и отправлять собранные данные злоумышленникам. концепт, конечно, но вообще стремно. в рамках этого исследования результат был продемонстрирован на устройствах с Android, но в статье говорится, что iOS тоже может быть уязвима к подобным атакам. лучше не разбивать экран, конечно. статья https://arstechnica.com/information-technology/2017/08/a-repair-shop-could-completely-hack-your-phone-and-you-wouldnt-know-it/, и сам отчет об исследовании https://iss.oy.ne.ro/Shattered.pdf

ну и в качестве пятничного юмора

и еще интересная ссылка от читателя Александра - о взломанных кошельках trezor https://medium.com/@Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8

Ну и вдогонку про кошелек trezor (как поправляет меня Дмитрий) - апдейт прошивки для кошелька https://blog.trezor.io/fixing-physical-memory-access-issue-in-trezor-2b9b46bb4522

Короче, про подбор паролей через DFU-восстановление iPhone — это, похоже, какое-то разводилово. нам пишут эксперты из компании Элкомсофт:

"Поменять прошивку без потери данных в DFU насколько я знаю нельзя, а только через iTunes (но для этого уже надо разлочить телефон). Похоже на грандиозный фейк, призванный собирать по $500 баксов с доверчивых покупателей :)"

так что, возможно, лажа никакая не лажа, а красиво закрафченное видео для того, чтобы лучше продавалась коробочка. Неудивительно, что больше нигде эта тема не обсуждается, только журналисты журнализдят друг у друга.