И снова здравствуйте! сегодня у нас (впрочем, как и всегда) — день плохих новостей. Начнем с Телеграма, в котором Лаборатория Касперского еще в октябре в клиенте Телеграм для Windows обнаружила уязвимость, позволявшую майнить криптовалюты. Для рассылки вирусов хакеры использовали символ кодировки Unicode – RLO (right-to-left override), который может менять название файла, отображая его зеркально. Об уязвимости разработчики ЛК сообщили в Телеграм, уязвимость была закрыта. Однако, надо отметить, что известны факты эксплуатации этой уязвимости. Детальный отчет по ссылке
https://securelist.com/zero-day-vulnerability-in-telegram/83800/

Сразу две новости про Facebook.
1. Немецкий суд решил, что использование Фейсбуком пользовательских данных незаконно, так как запрос на использование персональных данных сложный, неполный, а пользователи плохо об этом информированы. Ясен-красен, ФБ будет подавать апелляцию на решение
https://www.reuters.com/article/us-germany-facebook/german-court-rules-facebook-use-of-personal-data-illegal-idUSKBN1FW1FI?il=0

2. Вторая новость гораздо более "ближе к телу", так сказать, потому что Германия далеко и вообще буржуи и фашисты. А вот тут появилась информация о том, как ФБ может собирать ваши данные, даже если вы не пользуетесь приложением ФБ.
Несколько лет назад ФБ купил израильскую компанию Onavo, у которой был продукт Onavo Protect, бесплатный VPN-клиент. Onavo известна тем, что собирает аналитику о том, куда и как ходят пользователи через этот VPN, и ранее продавала эти данные "на сторону" интересующимся компаниям.
Теперь в мобильном приложении ФБ на iOS (пока что только в iOS) — заметили, как я хитро тему с в/на ввернул? — появилась кнопка Protect, после чего пользователь перенаправляется на страницу Onavo Protect в App Store с рекомендацией установить VPN-клиент.

Так-то, конечно, прямой угрозы вам вроде бы и нет, но если вас напрягает, что ФБ знает о вас слишком много, то вас напряжет то, что при использовании этого VPN-клиента он будет знать о вас еще больше — сайты, на которые вы ходите, приложения, которыми вы пользуетесь, и тд. Ну и помните, что бесплатные сервисы тоже должны на чем-то зарабатывать, и чаще всего это именно на ваших данных.

Новость тут https://techcrunch.com/2018/02/12/facebook-starts-pushing-its-data-tracking-onavo-vpn-within-its-main-mobile-app/

на русском тут https://meduza.io/feature/2018/02/13/facebook-predlagaet-polzovatelyam-ustanovit-na-telefon-besplatnyy-vpn-luchshe-etogo-ne-delat

Еще ссылку подкинул читатель * :), за что ему спасибо!

"можно подкинуть доку либреоффису, чтобы он сливал контент локальных файлов в инет."
https://github.com/jollheef/libreoffice-remote-arbitrary-file-disclosure

Что может быть лучше, чем почитать за обедом про уязвимость в Skype, которую Microsoft обещает исправить когда-нибудь потом в будущем, "когда мы перепишем все заново"?
Речь идет об этом баге в системе обновлений Skype:
seclists.org/fulldisclosure/2018/Feb/33

Уязвимость, если её эксплуатировать, обеспечивает эскалацию привелегий локального пользователя до уровня system, обеспечивая доступ во все возможные закоулки операционной системы. Грубо говоря, путем подмены нужной DLL (да, забыл сказать, проблема касается только Skype для Windows) можно заставить апдейтер исполнять вредоносный код, а дальше уже "как по маслу". Злоумышленники могут копировать файлы, удалять данные, запускать ransomware, и тд.
Об этой проблеме в Microsoft обнаруживший её разработчик сообщил еще в сентябре прошлого года, но Microsoft говорит, что для исправления требуется существенная ревизия кода, которая, по сути, приведет к новой версии продукта, а не просто к обновлению безопасности. Так что Microsoft уже вроде как пишет новый клиент, но даты его доступности пока нет. А информация о баге есть, и, похоже, эту уязвимость вполне реально эксплуатировать. Берегите там себя!

В Малайзии взломали гигантский экран с Windows
АПД пишут, что экран не взламывали, он просто сам завис на Пейнте, а народ уже нафотошопил разного.

в США во время слушаний в Конгрессе шесть руководителей разведывательных органов (включая ЦРУ, АНБ, ФБР) рекомендовали американцам не использовать смартфоны китайского производителя Huawei. Мол, Хуавей страшно дружит с китайским правительством, и это подвергает пользовательскую информацию рискам.

https://www.cnbc.com/2018/02/13/chinas-hauwei-top-us-intelligence-chiefs-caution-americans-away.html

Я не буду в данном случае комментировать историю с Huawei, но хочу отметить, что позиция этих руководителей достаточно лицемерна. Именно они же призывают Apple сделать для них бэкдор в систему, чтобы обеспечить доступ правительству к данным на устройствах.

по просьбе редакции издания Snob.ru набросал небольшую колонку о персональной информационной опасносте 🙂 (в очень популярном виде, конечно, но как иначе донести месседж до людей с паролем 123456?)
https://snob.ru/selected/entry/134380

Иногда журналисты как отмочат. Все наслышаны о проблемах с WannaCry, где пострадали именно мечтатели, которые не поставили выпущенные обновления Microsoft для Windows. Но нет, все равно на сайте Computerworld выходит статья "как отключить апдейты Windows". Мало им вирусных эпидемий https://www.computerworld.com/article/3254746/microsoft-windows/get-windows-update-locked-down-in-preparation-for-this-month-s-problems.html

воу — U.S. Charges 13 Russians, 3 Companies for Hacking Election (выдвинуто обвинение против 13 физлиц и трех компаний в хакерской активности во время выборов в США)

Некоторые имена вполне знакомы

утечка 18 миллионов пользовательских записей https://blog.8tracks.com/2017/06/27/password-security-alert/

И снова здравствуйте! Пока у вас там не наступила ночь, парочка интересных ссылок из мира информационных опасностей! На прошлой неделе в твиттере несколько раз встретил упоминание про скрипт для майнинга криптовалюты в favicon.ico файле (вот новость типа этой https://vc.ru/33544-skrytyy-mayner-nashli-na-sayte-v-fayle-favicon-ico)
Так вот, там исследование показало, что просто все ресурсы сайта были заражены этим скриптом, так что ко всем УРЛам он добавлялся. Поэтому это не то, что "в килобайтный фавикон засунули майнера, не такого будущего мы хотели!!!"
Но в одном статья права — майнинг нынче везде и надо проявлять осторожность

не уязвимость, но информация все равно опасносте! тут обнаружили багу в реализации APFS (это такая новая модная файловая система на Маках) для дисковых образов. Короче, при неудачном стечение обстоятельств можно потерять все данные. Как-то даже не поворачивается язык назвать это "мелочью", когда речь идет о потере данных https://bombich.com/blog/2018/02/15/macos-may-lose-data-on-apfs-formatted-disk-images

а вот тут Google обнаружила багу в браузере Microsoft Edge, и дала Microsoft три месяца на её исправление (нормальная практика, кстати). А потом дала еще 14 дней на то, чтобы исправление попало в февральский security patch. Но Microsoft сказала, что исправление этого бага оказалось сложнее, чем изначально предполагалось, и пока что фикса не сделали. а Google решила не дожидаться фикса — мол, время отведенное прошло, а бага не смертельная, а всего лишь средней тяжести, и зарелизила информацию об уязвимости в Edge. Подозреваю, после этого в Microsoft кому-то придется убирать обгорелые обломки кресла и покупать новое
https://bugs.chromium.org/p/project-zero/issues/detail?id=1435

если вам кажется, что в последнее время с уязвимостями и проч становится хуже, у меня для вас хорошие новости — ВАМ НЕ КАЖЕТСЯ. Вот отчет, из которого следует, что в 2017 году был поставлен грустный рекорд по количеству раскрытых уязвимостей (правда, возможно, что обнаружены они были и раньше, а информация о них только стала доступна в в 2017 году, но тем не менее)...

Топ 10 продуктов с самыми критическими уязвимостями уровня 9 и 10:
Google Pixel/Nexus devices (354 issues)
Ubuntu (285)
SilentOS (257)
Red Had Enterprise Linux (253)
Firefox (246)
SUSE Linux Enterprise Desktop (226)
Samsung Mobile Devices (226)
SUSE Linux Enterprise Server (197)
OpenSUSE Leap (196)
FreeFlow Print Server (191).

Отчет (PDF) https://pages.riskbasedsecurity.com/hubfs/Reports/2017/2017%20Year%20End%20Vulnerability%20QuickView%20Report.pdf

майнеры — это какая-то эпидемия, чессслово https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/ (за ссылку спасибо читателю)

Хотя вот эта история мне нравится больше! Модуль к авиасимулятору устанавливает вредоносное ПО, которое ворует из Хрома логины и пароли, если обнаруживает пиратскую версию игры.
Экстремальный DRM. Интересно, что они собирались делать с украденными данными

https://motherboard.vice.com/en_us/article/pamzqk/fs-labs-flight-simulator-password-malware-drm

полезная инфа из ФБ (я запощу сюда текст целиком, если кто-то не хочет в ФБ ходить)

Друзья, а вот у меня вся лента забита очередным тестом "как бы ты выглядел, если бы был бабой/мужиком". Вы все люди технически грамотные, наверняка перед использованием сервиса ознакомились с политикой конфиденциальности компании Yoto Media Group LTD., согласно которой сайт Kueez.com в процессе использования с вашего полного одобрения:
- узнаёт ваше местоположение
- собирает любой принадлежащий пользователю контент, передаваемый через сервис, причём пользователь отказывается от любых ожиданий о приватности этого контента (то есть сервис может пользоваться вашими загруженными фото по своему усмотрению: вы же сами ему их отдали)
- делает это не только при помощи куки, но и трекинговых программ и скриптов
- знает ваше имя, картинку в профиле, ID вашего аккаунта в фейсбуке, видит все ваши фотографии, списки друзей, контактные данные
- а также тип, модель, серийный номер вашего устройства, операционную систему, браузер, его настройки и историю посещений, ваши IP и MAC-адреса, ваш пол, группы, участником которых вы являетесь, ваши интересы, URL, с которого вы пришли на сайт сервиса и сколько времени там провели и сколько кликов сделали — впрочем, это все персональной информацией по соглашению не является, так что и беспокоиться вам не о чём
- но всей этой информацией сервис может поделиться со своими партнёрами во имя улучшения качества услуг
- сервис принимает все возможные меры для обеспечения сохранности ваших данных, но гарантировать её не может, так что делитесь вы своими данными с сервисом на свой страх и риск
- тем более если сервис попросят поделиться вашими данными по решению суда любой страны, согласно законам или указам этой страны, тут уж ничего не попишешь
- если вы вдруг захотите удалить свои данные с сайта сервиса, вы можете попробовать, но сервис не гарантирует, что они оттуда всё-таки исчезнут
- претензии не принимаются, но если они всё-таки возникнут, разрешаться споры будут по законам Государства Израиль в суде г. Тель-Авив.
Но вы же всё это знали, раз согласились с условиями использования этого сервиса — а вы с ними согласились — ведь правда, друзья?

https://www.facebook.com/kovalever/posts/10156178549739570

как облачная инфраструктура Tesla криптовалюту майнила: сначала через консоль Kubernetes вошли в систему, где получили доступ к учетной записи AWS Теслы (в процессе также вроде как получили доступ и к данным телеметрии автомобилей)

https://blog.redlock.io/cryptojacking-tesla

Полный отчет о популярности криптомайнинга тут (PDF)
https://cdn2.hubspot.net/hubfs/2254955/WebsiteResources/RL_CSI_report_Feb2018.pdf