криптомайнинг везде, или как рекламные сети избегают бллокировщиков рекламы, чтобы использовать ресурсы ваших компьютеров
https://blog.netlab.360.com/who-is-stealing-my-power-iii-an-adnetwork-company-case-study-en/

я упоминал ранее на неделе, что появился интересный сервис проверки утекших паролей, и о том, что 1Password прикручивают его у себя на сайте. Но это доступно только если вы платите подписку за сервис. Тем, кто, как я, купил perpetual лицензию, надо ждать апдейта приложения, либо же можно воспользоваться сторонним скриптом, который может анализировать экспорт паролей из 1Password. опасный момент — скрипт генерит CSV файл с паролями в открытом тексте, поэтому надо потом обязательно его удалить.

Но пересмотреть видео выше, придумать для важных сервисов сложные пароли, и не использовать re-use тоже не помешает!
https://github.com/eblin/1passpwnedcheck

меня тут просят напомнить, что не 1Password-ом единым. Есть много разных других менеджеров паролей, закрытых и открытых, платных и бесплатных. Мол, менеджер паролей, коду которого проведен аудит, будет лучше, чем тот, который проприетарный. Моя точка зрения от этого мнения немного отличается, но помните, что у вас всегда есть выбор. Вот несколько статей с обзорами разных менеджеров паролей:
https://thewirecutter.com/reviews/best-password-managers/
https://www.techradar.com/news/software/applications/the-best-password-manager-1325845
https://lifehacker.com/5529133/five-best-password-managers
https://www.pcmag.com/article2/0,2817,2407168,00.asp

PS нет, я не рекламирую 1Password, я просто им пользуюсь уже много лет, и у меня не было необходимости искать ему альтернативу

так, котаны. Я старательно избегал темы с GetContact, исходя из того, что читатели этого канала достаточно умны, чтобы этим сервисом не пользоваться. Но поскольку все мы общаемся с самыми разными людьми, пожалуй, упомянуть это стоит, тем более, что мне уже не один раз об этом сервисе написали. Сервис (формально) позволяет более лучше идентифицировать звонящих вам, но для этого вам нужно закачать туда свою адресную книгу. в итоге люди устанавливают приложени, чтобы узнать, как их или чей-то еще номер записан в чужих телефонах. Добровольно отдать непонятно кому свою адресную книгу — это даааааааа…. Ладно бы еще человек просто свои персональные данные отдает, так он еще и чужие имена-телефоны и, возможно, другую информацию, записанную в его адресную книгу, в этот сервис отдает.

а ведь часто в адресных книгах хранят не только имена-телефоны, а тут вот такое: “Политикой конфиденциальности данного приложения предусмотрена передача третьим лицам телефонных номеров, учетных записей социальных сетей, фотографий, адресов электронной почты, вплоть до записей телефонных разговоров. Кроме того, в контактных данных телефона может находиться информация о кредитных картах, их PIN и пароли от личных кабинетов.”

Короче, по совету читателей: “Что - можно сделать: Если приложение Get Contact уже установлено в вашем мобильном телефоне, рекомендуем сначала удалить свой аккаунт (это можно сделать в настройках приложения в пункте "О GetContact"), после этого удалить само приложение;
• Скрыть свой номер телефона в базе данных GetContact можно, перейдя по
https://www.getcontact.com/en/unlist

АПД. Кстати, учитывая общую “серость” этого сервиса, я уже не уверен, что вбивать свой номер телефона в unlist — тоже хорошая идея.

берегите там себя, свою информацию, и чужую тоже берегите!

АПД 2 а вообще, как пишут некоторые читатели, проблема не только в этом приложении, а более глобальная, и никак от нее не спастись. Пора переезжать в лесную избушку без интернета

вообще я посмотрел на сайте — там ни адреса, ни телефона, ни толком информации о юрлице этого GetContact нет. как можно в здравом уме отдавать непонятно кому непонятно куда и непонятно зачем свою адресную книгу — это у меня в голове не укладывается. Впрочем, у меня такая неудобная голова, что там многое не укладывается.

еще полезная цитата: “По поводу GetConnet. Там все намного хуже. Штука в том, что уже распарили API до уровня “запрос номера телефон - ответ всего что доступно”, а доступно там дофига чего. То есть, ссылки на соц.сети, адреса, ФИО и тыды. С учетом того, что их серверы отдают 500 и 504 постоянно, их парсят и сливают всю БД тупым перебором. Так что скоро мы увидим глобальную телефонную книжечку в удобненьком формате.”

В пятницу можно и пошутить на скользкую тему:
Russians are so good at hacking because a lot of them come from Cyberia

так, сейчас будет небольшой long read про GetContact, не переключайтесь 🙂

И снова здравствуйте! У меня тут есть немножко информации вдогонку про GetContact, которую мне рассказал читатель канала — он просто мимо, так сказать, проходил :), а я немножко её отформатировал и дополнил. (я уже говорил, что у этого канала лучшие читатели, но не устану это повторять!)

Сначала про юрлицо. Сама компания зарегистрирована двумя турками (BURAK SELAHATTIN SAGLIK и MUSTAFA SEVINÇ, 79 и 80 годов рождения) в Лондоне. Адрес регистрации популярен среди оффшорных компаний, это адрес компании, которая подавала заявку о регистрации компании GetContact LLP. Все очень надежно, можно доверять свои самые заветные данные такой компании, нечего переживать.

Теперь мякотка! Вот поля в базе, которые хранит GetContact о своих пользователях:

"id": "9f29a2fb5532",
"name": "",
"surname": "",
"display_name": "",
"msisdn": "+",
"email": "@",
"gender": null,
"fb_id": null,
"company": null,
"job": null,
"profile_image": null,
"country_id": "192",
"country": "RUSSIA",
"city": null,
"main_street": null,
"street": null,
"zip_code": null,
"accessibility": 2,
"suggestion": "1",
"view_notifications": null,
"language": "ru",
"type": "user",
"is_owner": "0",
"name_count": 14,
"other_names": [

Уже прекрасно, я представляю себе, что с их миллиардами записей (как они утверждают) к ним уже стоит большая очередь купить эту всю информацию. Но это еще не все. При попытке отписаться от сервиса туда передается IMEI устройства.

GET /api/version?os=android&os_version=5.1.1&lang=en_&gt_version=3.2.7&token=null&device_id=ff917ed173746ce7&device_imei=358022070321072&network_iso=de&network_mcc=262&network_mnc=01&network_type=UNKNOWN&sim_state=ABSENT HTTP/1.1
Content-Type: application/json; charset=utf-8
GTC-OS-TYPE: Android
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1.1; SM-G800F Build/LMY47X)
Host: getcontact.com
Connection: close

Так что если вы поменяете номер телефона, но потом каким-то образом засветите свой новый номер, вас тут же “скрестят” с уже имеющейся информацией. И необязательно в GetContact — кто-либо другой, кто купит базу информации у GectContact, тоже сможет получить о вас гораздо больше информации, чем вы себе представляете

Впрочем, покупать данные совсем необязательно, многое из этой базы лежит или в открытом, или в полуоткрытом виде, и при желании многое можно выкачать и просто так.
Например, часть информации по юзерпикам лежит в совершенно открытом бакете AWS — https://cdn.getcontact.com — добавив любой из имени файла profile_image, можно посмотреть фотографии различных красавчиков и красавиц.

Вот, например, часть информации, которую можно вытащить по ID пользователя (кое-что я скрыл буквами ХХ по понятным причинам):
id": "86f7f851746b2b8b2329e9a43d0ab64f2be32dbe",
"name": "AykXX”,
"surname": "DoğXX”,
"display_name": "AykXX DoğXX”,
"msisdn": "+90537206XXXX”,
"email": "aykXX.dogXX34@gmail.com",
"gender": "1",
"fb_id": "1015384821978XXXX”,
"company": "",
"job": "",
"profile_image": "http://graph.facebook.com/1015384821978XXXX/picture?type=large",
"country_id": "1",
"country": "TURKEY",
"city": "",
"main_street": "",
"street": null,
"zip_code": "",
"accessibility": 2,
"suggestion": "1",
"view_notifications": "0",
"language": "tr",
"type": "user",
"is_owner": "0",
"name_count": 18,
"total_tag_count": 17,
"list_editable": false,

Забавно, что этого человека залили человек 20, поэтому его разные имена перечислены в списке. Там даже есть такое:
"AykXX Abi",
"Рустем Проблемалы",
"Squartile",
"Abim"

А так, конечно, ему тоже, наверно, нечего скрывать.

Есть еще отдельная и непонятная тема — это ответы на запросы на русском языке, и фигурирование некоторых названий на русском языке. Почему так — пока что непонятно, и я, пожалуй, не буду спекулировать на эту тему. Но это выглядит так, например:

{
"meta": {
"requestId": "job.localdomain-REQ-5a997f43e5d7b",
"httpStatusCode": 403,
"errorMessage": "Вы достигли максимального дневного лимита запросов.",
"errorCode": -4291


Или вот про названия на русском языке. Некоторые номера, похоже, записаны как “забаненные” для исключения их идентификации при звонках:

GET /api/phone/ban?token=3f248b01e250406ec37b38ab34342104&lang=en_ HTTP/1.1
Content-Type: application/json; charset=utf-8
GTC-OS-TYPE: Android
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1.1; SM-G800F Build/LMY47X)
Host: getcontact.com
Connection: close


{
"meta": {
"httpStatusCode": 200,
"requestId": "api4.localdomain-REQ-5a99327c04677"
},
"status": 1,
"error": {},
"response": {
"list": [
{
"type": "country",
"id": "14571",
"msisdn": "+78002509890",
"name": "Мтс",
"banned_count": "12",
"create_date": "2018-03-02 00:10:22"
},
{
"type": "country",
"id": "14572",
"msisdn": "+78005551534",
"name": "Тинькофф Банк",
"banned_count": "11",
"create_date": "2018-03-02 00:10:22"
},
{
"type": "country",
"id": "14573",
"msisdn": "+78007552771",
"name": "Тинькофф",
"banned_count": "11",
"create_date": "2018-03-02 00:10:22"
}
],
"sms": [
{
"type": "user",
"id": 1,
"msisdn": "+905464039500",
"name": null,
"banned_count": 1
},
{
"type": "user",
"id": 2,
"msisdn": "+905418376041",
"name": null,
"banned_count": 1
},
{
"type": "user",
"id": 3,
"msisdn": "+905389837455",
"name": null,
"banned_count": 1
},
{
"type": "user",
"id": 4,
"msisdn": "+905372064704",
"name": null,
"banned_count": 1
}
]
}
}

Вот такая история, да. Но в любом случае, я бы посоветовал все-таки донести окружающим вас друзьям и знакомым, что отдавать свои и, самое главное, чужие данные кому попало все-таки не самая лучшая идея.

не так, чтобы сюрприз, но просто забавные формулировки:

Россия технически готова к отключению от мирового интернета, но процесс не будет безболезненным. Об этом заявил советник президента России по вопросам развития интернета Герман Клименко в интервью программе «Поздняков» на телеканале НТВ.

«Но само по себе аппаратно-программно нет никаких противопоказаний, чтобы мы жили хорошо и нормально, даже если нам объявят такую войну, как крымская изоляция», — сказал советник президента.

Он отметил, что при переходе с одной технологии на другую сбои бывают всегда. Любая система характеризуется не ошибками и сбоями, а реакцией на ошибки и сбои, отметил Клименко. «Где-нибудь у кого-нибудь что-нибудь отключится. Наверное, выяснится, что кто-то хранил свои данные за рубежом, хотя есть постановление хранить здесь. Кто-то домены свои хостил за рубежом. Поэтому они, наверное, будут испытывать некоторые трудности», — пояснил он.

Так что смотрите там, осторожно с хранением данных за рубежом, а то будут некоторые трудности!

Страховались в АльфаСтрахование? Ваши данные могут быть доступны неизвестно кому
https://geektimes.ru/post/298763/

АПД: данные вычистили, кто не успел — тот опоздал.

А вот еще ссылка от читателя канала — тут в облаке Мейлру лежат публично доступные всякие базы данных клиентов организаций, граждан, форумов, сайтов, паролей, майнеров, и много всякого другого разного. качайте, конечно, на свой страх и риск, если оно вам надо
https://cloud.mail.ru/public/8hWf/qzFXQC1H1

Забавный апдейт про эту выкладку материалов на Мейлру (https://t.me/alexmakus/1821), которую быстренько убрали. Знакомый открыл эту ссылку на домашнем компьютере сразу после публикации, и оставил открытой. Вечером пришёл домой, когда контент уже был недоступен для просмотра (если кликать по ссылке), но окно со списком у него оставалось открытым. И угадайте что? Правильно, все скачалось! Я уж не знаю, это техническая бага у Мейлру или провал в логике, но выглядит это, скажем так, нехорошо. Так что осторожно вы там!

Вчера был длинный и сложный день, поэтому было немного не до канала. Но новости-то на месте не стоят! Поэтому вдогонку за вчера ссылками всякие интересные штуке из мира информационных опасносте:

1. Интересный твит-тред чувака, у жены которого увели iPhone, и как пытались фишингом выдурить у него пароль для iCloud, чтобы отвязать телефон от аккаунта
https://twitter.com/kapowaz/status/970778193950138368

2. Несколько дней назад я писал о VPN-клиенте, который предлагает установить приложение Facebook (https://t.me/alexmakus/1770). По ссылке — статья с более детальным анализом этого приложения и информации, которая о вас собирается и передается в ФБ, если вы пользуетесь этим приложением
https://medium.com/@chronic_9612/notes-on-analytics-and-tracking-in-onavo-protect-for-ios-904bdff346c0

3. И еще о сборе пользовательских данных. Есть тут в Штатах такой стартап, называется MoviePass. Идея в целом благородная, платишь регулярную абонплату и ходишь в кинотеатры смотреть фильмы сколько угодно (ну, не сколько угодно, там есть целый ряд ограничений, но тем не менее). Так вот, тут их CEO внезапно начал хвастаться тем, что приложение собирает о пользователях кучу всякой информации даже когда они не пользуются приложением: как пользователи едут из дома в кино, что они делают после сеанса, и тд. Мне кажется, кто-то пропустил историю о том, как Uber заловили за сбором информации о пользователях после поездки, и кому-то придется извиняться перед пользователями.
https://www.mediaplaynews.com/ceo-mitch-lowe-says-moviepass-will-reach-5-million-subs-by-end-of-year/

4. Еще одна компания утверждает, что они тоже могут разблокировать iPhone вплоть до телефонов с версией iOS 11 — за 15 тыс долларов дается 300 попыток, за 30 тыс долларов — с неограниченными попытками. Очевидно, они, как и Cellebrite, обладают знанием о какой-то уязвимости в iOS, причем включая даже iPhone X, позволяющие обойти защиту Apple и получить данные с телефона. Мне кажется, кому-то в Купертиновке стоит пересмотреть свою позицию по поводу того, каким защищенным является iPhone
https://www.forbes.com/sites/thomasbrewster/2018/03/05/apple-iphone-x-graykey-hack/#298d17442950


5. Passhunt is a simple tool for searching of default credentials for network devices, web applications and more. Search through 523 vendors and their 2084 default passwords.
https://github.com/Viralmaniar/Passhunt

6. а вот этот скрипт можно использовать для проверки паролей в менеджере паролей LastPass против базы уже утекших паролей
https://github.com/dionysio/haveibeenpwned_lastpass

в рамках почти пятницы — как выглядят хакеры, которые что-то там взламывают (тру стори)

Несколько вредоносных приложений для Мака за последнее время, включая такие с возможностью удаленного доступа (Remote Access tools):

OSX/Coldroot: This newly detected RAT can spy on users by logging their keystrokes, capturing screenshots or keeping track of apps in use. It may also delete files or download additional malware based on instructions received from its command-and-control server.
https://www.intego.com/mac-security-blog/osxcoldroot-and-the-rat-invasion/

CrossRAT: Cross-platform Java software designed to infect Macs, Windows, and Linux systems. This RAT is associated with Dark Caracal, a global cyber-espionage campaign believed to have nation-state backing.
https://www.intego.com/mac-security-blog/new-crossrat-malware-used-in-global-cyber-espionage-campaign/

EvilOSX: First discovered in May 2017, its February 2018 variant may have been flagged after the detection of OSX/Coldroot prompted further investigation into Mac RATs. Among other things, the new version can steal your browser history and passwords, or spy on you through your webcam.
https://www.intego.com/mac-security-blog/new-evilosx-malware-spotlights-risk-of-poor-password-hygiene/

OSX/Shlayer: Though not a RAT, malware researchers uncovered multiple variants of new Mac malware showcasing an interesting new twist on a classic malware attack in order to install adware on infected Macs. What’s unusual is that it leverages code-signed shell scripts to do its dirty work.
https://www.intego.com/mac-security-blog/osxshlayer-new-mac-malware-comes-out-of-its-shell/

Берегите свои Маки!

Тут ещё читатель канала прислал:

Добрый день! Раз уж на канале зашла речь про проверки менеджеров паролей по базам утёкших паролей, такая штука есть и для Keepass: https://github.com/andrew-schofield/keepass2-haveibeenpwned

Вот ещё ссылка от читателя. Не столько про потерю данных, но тоже забавно:

Привет. Хотел бы поделиться прекрасной новостью на канал про инфосек.

Разработчики Oculus Rift забыли продлить сертификат безопастности на Oculus Runtime и из-за этого все до единого "Окулусы" превратились в кирпичи. На данный момент единственный workaround - отмотать на сутки назад часы на компьютере. Так что за ssl сертификатами надо следить, а не только настраивать их при первоначальной настройке :)

https://twitter.com/oculus/status/971436953534107649

Привет! Несмотря на праздники и прочее, у меня все равно для вас есть интересные новости. Например, помните, я писал про memchached атаки (вот тут https://t.me/alexmakus/1800 и тут https://t.me/alexmakus/1807). Так вот, есть интересная заметка о том, как простым сканом по интернету находятся тысячи уязвимых серверов, и как можно подобные атаки нейтрализовать

http://blog.erratasec.com/2018/03/some-notes-on-memcached-ddos.html