А, ну и уже несколько дней забываю написать. Давние читатели канала наверняка помнят о публикациях Wikileaks под названием Vault 7, в рамках которых ресурс выкладывал различные хакерские инструменты ЦРУ. Хакера поймали - это Joshua Adam Schulte, бывший сотрудник ЦРУ в период с 2010 по 2016 год. Оказалось, что пока он работал в ЦРУ, у него был проект на Гитхабе, где в том числе оказался и внутренний проект ЦРУ, что никто не заметил, в том числе и в самом ЦРУ (отлично у них там безопасность устроена, да). Сам проект никакой особой опасности не представлял, но тем не менее.
https://www.thedailybeast.com/exclusive-cia-leaker-josh-schulte-posted-agency-code-onlineand-cia-never-noticed
По этому поводу есть парочка комментариев.
Во-первых, помните об этом каждый раз, когда будете читать об очередных призывах государства к технологическим компаниям (будь то Apple, Telegram и др) сделать какой-нибудь бэкдор в софте или железе, сдать ключи шифрования и проч. Эти госорганизации не способны обеспечить защиту подобных вещей, что в будущем подвергнет опасности информацию более широкой публики, чем изначально предполагалось.
Второй момент больше про всякие утечки. Викиликс, публикуя информацию о Vault 7, идентифицировали источник как «бывшего хакера из ЦРУ».Это позволило ФБР и ЦРУ, расследуя утечку, заузить круг подозреваемых, и быстрее вычислить Джошуа Шульта. Вот такая медвежья услуга
https://www.thedailybeast.com/exclusive-cia-leaker-josh-schulte-posted-agency-code-onlineand-cia-never-noticed
По этому поводу есть парочка комментариев.
Во-первых, помните об этом каждый раз, когда будете читать об очередных призывах государства к технологическим компаниям (будь то Apple, Telegram и др) сделать какой-нибудь бэкдор в софте или железе, сдать ключи шифрования и проч. Эти госорганизации не способны обеспечить защиту подобных вещей, что в будущем подвергнет опасности информацию более широкой публики, чем изначально предполагалось.
Второй момент больше про всякие утечки. Викиликс, публикуя информацию о Vault 7, идентифицировали источник как «бывшего хакера из ЦРУ».Это позволило ФБР и ЦРУ, расследуя утечку, заузить круг подозреваемых, и быстрее вычислить Джошуа Шульта. Вот такая медвежья услуга
The Daily Beast
Exclusive: CIA ‘Leaker’ Josh Schulte Posted Agency Code Online—And CIA Never Noticed
He’s been fingered as the man who gave away some of the CIA’s most important secrets. And for years, he was practically hiding in plain sight.
И снова наступили прекрасные трудо выебудни, с чем вас и поздравляю! В качестве понедельничного бонуса вот вам история о TeenSafe, сервисе для родителей по мониторингу активности детей на смартфонах. Сама идея присматривания за подростками в целом спорная и по этому поводу есть разные мнения, но тут все сильно усугубилось кривыми руками разработчиков сервиса. Эти молодцы держали на серверах Амазона в открытом виде пользовательскую информацию, включая имейл родителей (которые, собственно, открывали учетные записи), а также имейл/Apple ID детей, имя и уникальный идентификатор устройства, а также пароли к Apple ID детей в открытом виде. Видимо, получая AppleID и пароль от аккаунта детей, сервис обеспечивал контроль за установленными приложениями и местоположением детей. Более того, для обеспечения «наблюдения» за Apple ID на аккаунте должна была быть отключена двухфакторная авторизация, что добавляет изюминки в момент с хранением паролей от Apple ID в открытом виде. Непонятно, успели ли злоумышленники воспользоваться доступом к этим данным, но это был бы неплохой улов. Такие дела.
https://www.zdnet.com/article/teen-phone-monitoring-app-leaks-thousands-of-users-data/
https://www.zdnet.com/article/teen-phone-monitoring-app-leaks-thousands-of-users-data/
ZDNet
Teen phone monitoring app leaked thousands of user passwords
Exclusive: A server stored teenagers' Apple ID email addresses and plaintext passwords.
Помните про Spectre и Meltdown? Наверняка многие помнят, возможно, о самой главной новости инфосека этого года. Так вот, а история-то не закончилась! Microsoft и Google совместно сообщили о новой обнаруженной уязвимости под названием Speculative Store Bypass, эксплуатирующей спекуляционные исполнения в современных процессорах. Обновления в Safari, Edge, Chrome, минимизирующие риски Meltdown, вроде как работают и для SSB, но против SSB еще отдельно будет выпущено обновление микрокода процессора, которое приводит к снижению производительности процессора на 2-8%. В обновлении защита от SSB будет выключена по умолчанию, так что админам придется делать выбор между безопасностью и производительностью.
https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
Вчера в новостях активно обсуждали проект Amazon под названием Rekognition (да, это не опечатка - https://aws.amazon.com/rekognition/) - сервис компании по распознаванию лиц на фотографиях.
Сервис может распознавать до 100 человек на одном снимке и сравнивать лица против базы данных с миллионами лиц. Сервис уже используется некоторыми подразделениями полиции для сравнения лиц с базой данных преступников, а сейчас Амазон ведёт переговоры о создании проекта, который позволял распознавать лица на камерах по городу. https://www.aclunc.org/docs/20180522_ARD.pdf#page=8
https://www.youtube.com/watch?v=sUzuJc-xBEE&feature=youtu.be&t=31m16s
Сама история вроде как и не выходит за рамки чего-то экстранеобычного, но в Штатах есть организации, которые борются с идеями подобного постоянного наблюдения, так что скандал нешуточный. С учётом того, что Амазон при этом продаёт потребителям железки со встроенными камерами, вопросы к Амазоне возникают вполне конкретные. А там, глядишь, и до распознавания отпечатка голоса недалеко благодаря популярности голосового помощника Alexa, и уж совсем никуда не скроешься от постоянного наблюдения. В общем, страшно жить, вот это все.
Сервис может распознавать до 100 человек на одном снимке и сравнивать лица против базы данных с миллионами лиц. Сервис уже используется некоторыми подразделениями полиции для сравнения лиц с базой данных преступников, а сейчас Амазон ведёт переговоры о создании проекта, который позволял распознавать лица на камерах по городу. https://www.aclunc.org/docs/20180522_ARD.pdf#page=8
https://www.youtube.com/watch?v=sUzuJc-xBEE&feature=youtu.be&t=31m16s
Сама история вроде как и не выходит за рамки чего-то экстранеобычного, но в Штатах есть организации, которые борются с идеями подобного постоянного наблюдения, так что скандал нешуточный. С учётом того, что Амазон при этом продаёт потребителям железки со встроенными камерами, вопросы к Амазоне возникают вполне конкретные. А там, глядишь, и до распознавания отпечатка голоса недалеко благодаря популярности голосового помощника Alexa, и уж совсем никуда не скроешься от постоянного наблюдения. В общем, страшно жить, вот это все.
Amazon
Image Recognition Software, ML Image & Video Analysis - Amazon Rekognition - AWS
Amazon Rekognition automates image recognition and video analysis for your applications without machine learning (ML) experience.
Минкульт поручил Ростуризму изучить целесообразность ограничения работы http://Booking.com в России
https://meduza.io/news/2018/05/22/minkult-poruchil-rosturizmu-izuchit-tselesoobraznost-ogranicheniya-raboty-booking-com-v-rossii
Потому что зачем вообще это всё
АПД
Министерство культуры РФ выступает категорически против запрета использования сервиса бронирования гостиниц Booking.com. Об этом заявила директор департамента туризма и региональной политики Ольга Ярилова.
Ведомство заверило, что работе сервиса на территории России ничего не угрожает, а также выступило против каких-либо планов регулирования его деятельности.
https://meduza.io/news/2018/05/23/minkult-vystupil-protiv-zapreta-booking-com-v-rossii
https://meduza.io/news/2018/05/22/minkult-poruchil-rosturizmu-izuchit-tselesoobraznost-ogranicheniya-raboty-booking-com-v-rossii
Потому что зачем вообще это всё
АПД
Министерство культуры РФ выступает категорически против запрета использования сервиса бронирования гостиниц Booking.com. Об этом заявила директор департамента туризма и региональной политики Ольга Ярилова.
Ведомство заверило, что работе сервиса на территории России ничего не угрожает, а также выступило против каких-либо планов регулирования его деятельности.
https://meduza.io/news/2018/05/23/minkult-vystupil-protiv-zapreta-booking-com-v-rossii
Booking.com
Booking.com: The largest selection of hotels, homes, and vacation rentals
Whether you’re looking for hotels, homes, or vacation rentals, you’ll always find the guaranteed best price. Browse our 2,563,380 accommodations in over 85,000 destinations.
Кстати, о наблюдении и распознавании лиц на видео. Вот как в Китае следят за лицами школьников - сканируют каждые 30 секунд, распознают эмоции, а также используют лицо как идентификационный документ для библиотеки или покупки обедов.
http://www.businessinsider.com/china-school-facial-recognition-technology-2018-5
http://www.businessinsider.com/china-school-facial-recognition-technology-2018-5
Business Insider
A school in China is monitoring students with facial-recognition technology that scans the classroom every 30 seconds
The system is analyzing students' emotions and actions in the classroom to tell whether they are happy, angry, or confused and to monitor whether they are working or sleeping at their desk. The facial-recognition technology has also replaced ID cards and…
Apple в рамках подготовки к GDPR в Европе запустила новый сайт по Privacy - privacy.apple.com, где можно посмотреть данные, которые есть у компании на пользователей (пока что доступно только пользователям из ЕС, международное выкатывание произойдёт позже в этом году), а также можно удалить оттуда свой аккаунт (это уже доступно всем). Налетай, аккаунт удаляй!
Привет! С вами снова рубрика «что сломали в этот раз?». Я, следя за новостями из мира информационной опасносте, уже давно стал луддитом, и всякие новости из автомобильного мира, когда я читаю, как в очередной раз в машину добавили какую-то компьютерную систему, скорее расстраиваюсь, чем радуюсь. Прогресс прогрессом, но когда я вижу, как Мерседес хвастается, что «в наших машинах 100 млн строк кода», я вижу в основном потенциал для уязвимостей в этих строках, а не доказательство прогресса. Тут вот вышли также новости и про BMW, в программном обеспечении которых исследователи нашли 14 уязвимостей. С их помощью можно получить доступ как к мультимедийной системе, так и к системе управления телематикой, и к CAN-шине. Некоторые из уязвимостей требуют физического доступа (например, подключение к USB-портам или OBD-II), но 6 уязвимостей могут быть эксплуатированы удаленно через беспроводные интерфейсы (Bluetooth и мобильное подключение). (Включая отправку NGTP сообщения по SMS, которое приводит к удаленному исполнению кода без взаимодействия с пользователем). Затронуты модели серии i, X, 3, 5, 7.
отчёт об исследовании можно почитать тут (PDF)
https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf
Исследователи работают с BMW, и полный отчёт будет опубликован в 2019 году.
А в этом твите можно почитать о том, что BMW думает об этой истории
https://twitter.com/0xcharlie/status/998982979165806592
Так себе ответ, если честно.
PS был недавно какой-то дурацкий фильм с Пирсом Броснаном, где его героя и дом, в котором он жил (устройства, автомобиль и тд), решил взломать какой-то мегахацкер. И Пирс Броснан спасался в Мустанге семидесятых. Короче, не такая уж плохая идея купить машину без всяких компьютеров. И при зомби-апокалипсисе пригодится.
отчёт об исследовании можно почитать тут (PDF)
https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf
Исследователи работают с BMW, и полный отчёт будет опубликован в 2019 году.
А в этом твите можно почитать о том, что BMW думает об этой истории
https://twitter.com/0xcharlie/status/998982979165806592
Так себе ответ, если честно.
PS был недавно какой-то дурацкий фильм с Пирсом Броснаном, где его героя и дом, в котором он жил (устройства, автомобиль и тд), решил взломать какой-то мегахацкер. И Пирс Броснан спасался в Мустанге семидесятых. Короче, не такая уж плохая идея купить машину без всяких компьютеров. И при зомби-апокалипсисе пригодится.
Пользуетесь Quora? У них, оказывается, есть трекинг пользователей через «пиксель» - система, похожая на то, что использует Facebook для слежки за пользователями, когда они ходят по другим сайтам.
https://www.quora.com/about/pixel_privacy
Персонализация контента, вот это все. Но если вам не нравится, то можно отключить тут
https://www.quora.com/optout
АПД Учтите, что отключать это надо на каждом устройстве в каждом браузере отдельно. И в каждом контейнере Firefox.
https://www.quora.com/about/pixel_privacy
Персонализация контента, вот это все. Но если вам не нравится, то можно отключить тут
https://www.quora.com/optout
АПД Учтите, что отключать это надо на каждом устройстве в каждом браузере отдельно. И в каждом контейнере Firefox.
Кстати, о Facebook. Если вы ещё пользуетесь этой рекламной сетью, которую по какому-то недоразумению ещё называют социальной сетью, они тут улучшили процесс двухфакторной авторизации - теперь её можно сделать без номера телефона, как они пишут
https://www.facebook.com/notes/facebook-security/two-factor-authentication-for-facebook-now-easier-to-set-up/10155341377090766/
(Что странно, потому что я настроил 2ФА в ФБ через Google Authenticator достаточно давно, поэтому я не очень понимаю, в чем именно новость. Возможно, в том, что теперь то уж точно номер телефона не требуется)
https://www.facebook.com/notes/facebook-security/two-factor-authentication-for-facebook-now-easier-to-set-up/10155341377090766/
(Что странно, потому что я настроил 2ФА в ФБ через Google Authenticator достаточно давно, поэтому я не очень понимаю, в чем именно новость. Возможно, в том, что теперь то уж точно номер телефона не требуется)
Бесплатный VPN от создателей Porhhub - VPNHub!
https://www.vpnhub.com/
https://www.vpnhub.com/
И снова здравствуйте! Сегодня мы начнём с рубрики «все как я люблю», также известной как «умные гаджеты наносят ответный удар». Пока большинство из вас спало, в интернете разворачивалась драма по поводу умной колонки Amazon Echo и «живущего в ней» ассистента Alexa. Одна пара, у которых стояла дома такая колонка, обнаружила, что колонка записала их разговор и отправила его запись их знакомому (коллеге мужа)
https://www.kiro7.com/news/local/woman-says-her-amazon-device-recorded-private-conversation-sent-it-out-to-random-contact/755507974
Объяснение Amazon звучит так, что в процессе разговора Алекса воспринялась некоторые слова в разговоре как команды и поэтому записала сообщение и отправила человеку в адресной книге (речь идёт об этой фиче колонки https://www.amazon.com/gp/help/customer/display.html?nodeId=202136270):
Echo woke up due to a word in background conversation sounding like “Alexa.” Then, the subsequent conversation was heard as a “send message” request. At which point, Alexa said out loud “To whom?” At which point, the background conversation was interpreted as a name in the customers contact list. Alexa then asked out loud, “[contact name], right?” Alexa then interpreted background conversation as “right”. As unlikely as this string of events is, we are evaluating options to make this case even less likely.”
Подозрительно выглядит такая череда совпадений, да ещё и утверждения, что Алекса якобы должна была громко задавать вопросы в процессе, хотя наверно владельцы бы это заметили. Хотя, конечно, исключать такую возможность не стоит. Но если вы параноик, то, конечно, это станет только дополнительным аргументом к тому, чтобы все эти умные колонки в дом не пускать.
PS я, кстати, в яблочном HomePod тоже несколько раз замечал, как Siri без очевидной команды « Hey Siri» вдруг говорила «хм?». Эти ложные срабатывания, да ещё как в случае с амазоном, когда куда-то уходит аудиозапись разговора, только ещё больше напрягают. Умные колонки особенно хороши, когда в них нет микрофона :)
Интересно, что если на амазоновском устройстве включить доступ к контактам и функцию звонков и сообщений, то для отключения надо звонить в поддержку. Удобно!
https://www.buzzfeed.com/nicolenguyen/how-to-deactivate-alexa-calling-and-messaging
https://www.kiro7.com/news/local/woman-says-her-amazon-device-recorded-private-conversation-sent-it-out-to-random-contact/755507974
Объяснение Amazon звучит так, что в процессе разговора Алекса воспринялась некоторые слова в разговоре как команды и поэтому записала сообщение и отправила человеку в адресной книге (речь идёт об этой фиче колонки https://www.amazon.com/gp/help/customer/display.html?nodeId=202136270):
Echo woke up due to a word in background conversation sounding like “Alexa.” Then, the subsequent conversation was heard as a “send message” request. At which point, Alexa said out loud “To whom?” At which point, the background conversation was interpreted as a name in the customers contact list. Alexa then asked out loud, “[contact name], right?” Alexa then interpreted background conversation as “right”. As unlikely as this string of events is, we are evaluating options to make this case even less likely.”
Подозрительно выглядит такая череда совпадений, да ещё и утверждения, что Алекса якобы должна была громко задавать вопросы в процессе, хотя наверно владельцы бы это заметили. Хотя, конечно, исключать такую возможность не стоит. Но если вы параноик, то, конечно, это станет только дополнительным аргументом к тому, чтобы все эти умные колонки в дом не пускать.
PS я, кстати, в яблочном HomePod тоже несколько раз замечал, как Siri без очевидной команды « Hey Siri» вдруг говорила «хм?». Эти ложные срабатывания, да ещё как в случае с амазоном, когда куда-то уходит аудиозапись разговора, только ещё больше напрягают. Умные колонки особенно хороши, когда в них нет микрофона :)
Интересно, что если на амазоновском устройстве включить доступ к контактам и функцию звонков и сообщений, то для отключения надо звонить в поддержку. Удобно!
https://www.buzzfeed.com/nicolenguyen/how-to-deactivate-alexa-calling-and-messaging
KIRO 7 News Seattle
This website is unavailable in your location. – KIRO 7 News Seattle
Все последние теракты, произошедшие в том числе в России, координировались через мессенджер Telegram. Об этом, как передает корреспондент РБК, глава Роскомнадзора Александр Жаров заявил журналистам на Петербургском международном экономическом форуме (ПМЭФ).
«Доказательства неопровержимые: к сожалению, все последние террористические акты, которые произошли и в нашей стране, и за рубежом, координировались через Telegram», — сказал он, заметив, что «это подтверждено результатами оперативно-разыскной деятельности Федеральной службы безопасности».
Это я к чему? К тому, что лучше с Телеграмом не станет, так что осваивайте VPN и вот это все.
«Доказательства неопровержимые: к сожалению, все последние террористические акты, которые произошли и в нашей стране, и за рубежом, координировались через Telegram», — сказал он, заметив, что «это подтверждено результатами оперативно-разыскной деятельности Федеральной службы безопасности».
Это я к чему? К тому, что лучше с Телеграмом не станет, так что осваивайте VPN и вот это все.
Сегодня день, когда в рамках европейского закона по охране частных данных (та самая аббревиатура GDPR, из-за которой в почтовые ящики вам наверняка сыпется куча апдейтов политик конфиденциальности) вступают в силу штрафные санкции за несоответствие требованиям получения, хранения и обработки данных, поэтому на примере одного сайта хочу продемонстрировать масштабы катастрофы. Есть такой известный сайт TechCrunch. Когда-то его купила компания AOL, которую в свою очередь купила компания Verizon. Ещё она купила Yahoo, и объединила все это в контентный проект Oath. Так вот, если кликнуть на политику конфиденциальности TechCrunch, попадаешь на сайт Oath.
https://policies.oath.com/us/en/oath/privacy/index.html
И там можно зайти в раздел «третьих сторон» - различных компаний, предоставляющих их всякие сервисы Oath, и таким образом тоже имеющим возможность собирать ваши данные, включая местоположение. Это аналитика, рекламные компании, провайдеры контента и тд. Oath обещает, что получаемая ими информация не позволяет им идентифицировать вас лично, но мы-то знаем, как всякий кросс-матчинг позволяет вычислить индивидуальных пользователей. Просто зайдите по этой странице и посмотрите на список. Попробуйте его поскроллить.
https://policies.oath.com/us/en/oath/privacy/topics/thirdparties/index.html
https://policies.oath.com/us/en/oath/privacy/index.html
И там можно зайти в раздел «третьих сторон» - различных компаний, предоставляющих их всякие сервисы Oath, и таким образом тоже имеющим возможность собирать ваши данные, включая местоположение. Это аналитика, рекламные компании, провайдеры контента и тд. Oath обещает, что получаемая ими информация не позволяет им идентифицировать вас лично, но мы-то знаем, как всякий кросс-матчинг позволяет вычислить индивидуальных пользователей. Просто зайдите по этой странице и посмотрите на список. Попробуйте его поскроллить.
https://policies.oath.com/us/en/oath/privacy/topics/thirdparties/index.html
Помните, я тут как-то много писал про модное в какой-то момент приложение GetContact, в которое пользователи радостно сливали свои адресные книги с чужими номерами телефонов? Можете поискать по каналу, тут было много интересных записей об этом сервисе и о том, как там все устроено. Вот и нашёлся метод его применения (по крайней мере, так пишут). Издание The Insider опубликовало статью о поиске подозреваемых в истории со сбитым над территорией Украины Боингом.
«СБУ утверждала, что «Андрей Иванович» с позывным «Орион» является сотрудником ГРУ, но никак не обосновывала это предположение. В выложенных прослушках СБУ есть телефон «Ориона», — +380634119133 — и этот номер действительно можно найти в открытых базах: например, в приложении TrueCaller (которое, по сути, является объединенным телефонным справочником всех пользователей этого популярного приложения). В TrueCaller этот номер обозначен как Oreon (такое же написание — через «E» — использовала и СБУ).
Более того, в аналогичном сервисе с базой телефонов Get Contact The Insider и Bellingcat удалось обнаружить некий российский номер, обозначенный как «Андрей Иванович Иванников, ГРУ» причем подписан он был «от Хаски» («Хаски» — название одно из военных подразделений в ДНР).»
Политота политотой, а вот и информация опасносте....
https://theins.ru/politika/103853
«СБУ утверждала, что «Андрей Иванович» с позывным «Орион» является сотрудником ГРУ, но никак не обосновывала это предположение. В выложенных прослушках СБУ есть телефон «Ориона», — +380634119133 — и этот номер действительно можно найти в открытых базах: например, в приложении TrueCaller (которое, по сути, является объединенным телефонным справочником всех пользователей этого популярного приложения). В TrueCaller этот номер обозначен как Oreon (такое же написание — через «E» — использовала и СБУ).
Более того, в аналогичном сервисе с базой телефонов Get Contact The Insider и Bellingcat удалось обнаружить некий российский номер, обозначенный как «Андрей Иванович Иванников, ГРУ» причем подписан он был «от Хаски» («Хаски» — название одно из военных подразделений в ДНР).»
Политота политотой, а вот и информация опасносте....
https://theins.ru/politika/103853