Привет! С вами снова рубрика «что сломали в этот раз?». Я, следя за новостями из мира информационной опасносте, уже давно стал луддитом, и всякие новости из автомобильного мира, когда я читаю, как в очередной раз в машину добавили какую-то компьютерную систему, скорее расстраиваюсь, чем радуюсь. Прогресс прогрессом, но когда я вижу, как Мерседес хвастается, что «в наших машинах 100 млн строк кода», я вижу в основном потенциал для уязвимостей в этих строках, а не доказательство прогресса. Тут вот вышли также новости и про BMW, в программном обеспечении которых исследователи нашли 14 уязвимостей. С их помощью можно получить доступ как к мультимедийной системе, так и к системе управления телематикой, и к CAN-шине. Некоторые из уязвимостей требуют физического доступа (например, подключение к USB-портам или OBD-II), но 6 уязвимостей могут быть эксплуатированы удаленно через беспроводные интерфейсы (Bluetooth и мобильное подключение). (Включая отправку NGTP сообщения по SMS, которое приводит к удаленному исполнению кода без взаимодействия с пользователем). Затронуты модели серии i, X, 3, 5, 7.

отчёт об исследовании можно почитать тут (PDF)
https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf

Исследователи работают с BMW, и полный отчёт будет опубликован в 2019 году.

А в этом твите можно почитать о том, что BMW думает об этой истории
https://twitter.com/0xcharlie/status/998982979165806592
Так себе ответ, если честно.

PS был недавно какой-то дурацкий фильм с Пирсом Броснаном, где его героя и дом, в котором он жил (устройства, автомобиль и тд), решил взломать какой-то мегахацкер. И Пирс Броснан спасался в Мустанге семидесятых. Короче, не такая уж плохая идея купить машину без всяких компьютеров. И при зомби-апокалипсисе пригодится.

Пользуетесь Quora? У них, оказывается, есть трекинг пользователей через «пиксель» - система, похожая на то, что использует Facebook для слежки за пользователями, когда они ходят по другим сайтам.

https://www.quora.com/about/pixel_privacy

Персонализация контента, вот это все. Но если вам не нравится, то можно отключить тут
https://www.quora.com/optout

АПД Учтите, что отключать это надо на каждом устройстве в каждом браузере отдельно. И в каждом контейнере Firefox.

Кстати, о Facebook. Если вы ещё пользуетесь этой рекламной сетью, которую по какому-то недоразумению ещё называют социальной сетью, они тут улучшили процесс двухфакторной авторизации - теперь её можно сделать без номера телефона, как они пишут
https://www.facebook.com/notes/facebook-security/two-factor-authentication-for-facebook-now-easier-to-set-up/10155341377090766/

(Что странно, потому что я настроил 2ФА в ФБ через Google Authenticator достаточно давно, поэтому я не очень понимаю, в чем именно новость. Возможно, в том, что теперь то уж точно номер телефона не требуется)

Бесплатный VPN от создателей Porhhub - VPNHub!
https://www.vpnhub.com/

И снова здравствуйте! Сегодня мы начнём с рубрики «все как я люблю», также известной как «умные гаджеты наносят ответный удар». Пока большинство из вас спало, в интернете разворачивалась драма по поводу умной колонки Amazon Echo и «живущего в ней» ассистента Alexa. Одна пара, у которых стояла дома такая колонка, обнаружила, что колонка записала их разговор и отправила его запись их знакомому (коллеге мужа)
https://www.kiro7.com/news/local/woman-says-her-amazon-device-recorded-private-conversation-sent-it-out-to-random-contact/755507974

Объяснение Amazon звучит так, что в процессе разговора Алекса воспринялась некоторые слова в разговоре как команды и поэтому записала сообщение и отправила человеку в адресной книге (речь идёт об этой фиче колонки https://www.amazon.com/gp/help/customer/display.html?nodeId=202136270):

Echo woke up due to a word in background conversation sounding like “Alexa.” Then, the subsequent conversation was heard as a “send message” request. At which point, Alexa said out loud “To whom?” At which point, the background conversation was interpreted as a name in the customers contact list. Alexa then asked out loud, “[contact name], right?” Alexa then interpreted background conversation as “right”. As unlikely as this string of events is, we are evaluating options to make this case even less likely.”

Подозрительно выглядит такая череда совпадений, да ещё и утверждения, что Алекса якобы должна была громко задавать вопросы в процессе, хотя наверно владельцы бы это заметили. Хотя, конечно, исключать такую возможность не стоит. Но если вы параноик, то, конечно, это станет только дополнительным аргументом к тому, чтобы все эти умные колонки в дом не пускать.

PS я, кстати, в яблочном HomePod тоже несколько раз замечал, как Siri без очевидной команды « Hey Siri» вдруг говорила «хм?». Эти ложные срабатывания, да ещё как в случае с амазоном, когда куда-то уходит аудиозапись разговора, только ещё больше напрягают. Умные колонки особенно хороши, когда в них нет микрофона :)

Интересно, что если на амазоновском устройстве включить доступ к контактам и функцию звонков и сообщений, то для отключения надо звонить в поддержку. Удобно!
https://www.buzzfeed.com/nicolenguyen/how-to-deactivate-alexa-calling-and-messaging

Все последние теракты, произошедшие в том числе в России, координировались через мессенджер Telegram. Об этом, как передает корреспондент РБК, глава Роскомнадзора Александр Жаров заявил журналистам на Петербургском международном экономическом форуме (ПМЭФ).

«Доказательства неопровержимые: к сожалению, все последние террористические акты, которые произошли и в нашей стране, и за рубежом, координировались через Telegram», — сказал он, заметив, что «это подтверждено результатами оперативно-разыскной деятельности Федеральной службы безопасности».

Это я к чему? К тому, что лучше с Телеграмом не станет, так что осваивайте VPN и вот это все.

Сегодня день, когда в рамках европейского закона по охране частных данных (та самая аббревиатура GDPR, из-за которой в почтовые ящики вам наверняка сыпется куча апдейтов политик конфиденциальности) вступают в силу штрафные санкции за несоответствие требованиям получения, хранения и обработки данных, поэтому на примере одного сайта хочу продемонстрировать масштабы катастрофы. Есть такой известный сайт TechCrunch. Когда-то его купила компания AOL, которую в свою очередь купила компания Verizon. Ещё она купила Yahoo, и объединила все это в контентный проект Oath. Так вот, если кликнуть на политику конфиденциальности TechCrunch, попадаешь на сайт Oath.

https://policies.oath.com/us/en/oath/privacy/index.html

И там можно зайти в раздел «третьих сторон» - различных компаний, предоставляющих их всякие сервисы Oath, и таким образом тоже имеющим возможность собирать ваши данные, включая местоположение. Это аналитика, рекламные компании, провайдеры контента и тд. Oath обещает, что получаемая ими информация не позволяет им идентифицировать вас лично, но мы-то знаем, как всякий кросс-матчинг позволяет вычислить индивидуальных пользователей. Просто зайдите по этой странице и посмотрите на список. Попробуйте его поскроллить.

https://policies.oath.com/us/en/oath/privacy/topics/thirdparties/index.html

Помните, я тут как-то много писал про модное в какой-то момент приложение GetContact, в которое пользователи радостно сливали свои адресные книги с чужими номерами телефонов? Можете поискать по каналу, тут было много интересных записей об этом сервисе и о том, как там все устроено. Вот и нашёлся метод его применения (по крайней мере, так пишут). Издание The Insider опубликовало статью о поиске подозреваемых в истории со сбитым над территорией Украины Боингом.

«СБУ утверждала, что «Андрей Иванович» с позывным «Орион» является сотрудником ГРУ, но никак не обосновывала это предположение. В выложенных прослушках СБУ есть телефон «Ориона», — +380634119133 — и этот номер действительно можно найти в открытых базах: например, в приложении TrueCaller (которое, по сути, является объединенным телефонным справочником всех пользователей этого популярного приложения). В TrueCaller этот номер обозначен как Oreon (такое же написание — через «E» — использовала и СБУ).

Более того, в аналогичном сервисе с базой телефонов Get Contact The Insider и Bellingcat удалось обнаружить некий российский номер, обозначенный как «Андрей Иванович Иванников, ГРУ» причем подписан он был «от Хаски» («Хаски» — название одно из военных подразделений в ДНР).»

Политота политотой, а вот и информация опасносте....

https://theins.ru/politika/103853

Как хорошо знают постоянные читатели этого канала, двухфакторная авторизация - это не только полезно, но и безопасно. Один из лучших методов двухфакторной авторизации - это хардварные ключи Yubico. Однако, до последнего времени с ними была одна проблема - ими было невозможно пользоваться на iOS-устройствах. Но теперь компания выпустила SDK для разработчиков, которые могут добавить поддержку ключей с NFC в iOS-приложения.
https://developers.yubico.com/Software_Projects/Mobile%20iOS%20SDK/1.0.0/

Из приложений, которые уже поддерживают эти ключи, есть только менеджер паролей LastPass, но, глядишь, с публичным выходом SDK таких приложений появится больше

вот, в кои-то веки хорошие новости в канале

Утечка данных сотрудников на заводе Jaguar Land Rover, из которой многие сотрудники узнали о том, что их скоро уволят. Упс.

https://www.huffingtonpost.co.uk/entry/jaguar-landrover-data-breach_uk_5b06a053e4b05f0fc84541e5

Сервис Ghostery - разработчик блокировщика рекламы и трекеров для браузеров - отпраздновал день GDPR, разослав своим пользователям письмо с адресами в поле CC. Молодцы

Привет! Закрываю гештальт с темой про VPNFilter - вредоносное ПО для роутеров, но которое писали на прошлой неделе, а у меня все никак руки не доходили написать. Короче, есть такая зараза для роутеров MicroTik, NETGEAR, Linksys и TP-Link и некоторых NAS-устройств, которая перехватывает трафик в роутерах, а также может превратить роутер в тыкву. Утверждается, что сеть зараженных устройств находится под контролем группировки Sofacy Group, также известной как A.P.T. 28и Fancy Bear (считается, что это группировка под управлением российского разведывательного управления). Всего заражено около 500 тыс устройств в 54 странах, и вроде как большинство из них - в Украине.

Детальное исследование этого зловреда можно почитать тут про методы заражения и тд

https://blog.talosintelligence.com/2018/05/VPNFilter.html

Но есть и хорошие новости! ФБР получило контроль над доменом, который якобы является ключевым компонентом системы управления инфраструктурой зараженных роутеров, что должно предотвратить повторное заражение устройств.

https://www.justice.gov/opa/press-release/file/1066036/download

Теперь ФБР советует перезапустить роутеры владельцам, что должно на время вывести вредоносное ПО из строя, и обновить прошивку на устройстве, отключить функции удаленного управления, а также установить логины и пароли покрепче.

https://www.ic3.gov/media/2018/180525.aspx

Берегите себя и свои роутеры!

РОСКОМНАДЗОР НАПРАВИЛ В APPLE ТРЕБОВАНИЕ ПРЕКРАТИТЬ РАСПРОСТРАНЕНИЕ В РОССИИ ПРИЛОЖЕНИЯ TELEGRAM В ОН-ЛАЙН МАГАЗИНЕ APPSTORE, А ТАКЖЕ РАССЫЛКУ ПУШ-УВЕДОМЛЕНИЙ МЕССЕНДЖЕРА - ПРЕСС-СЛУЖБА ВЕДОМСТВА

Сейчас как заблокируют весь App Store и все push-месседжи вместе с ним

В рамках бесстыдной саморекламы дам ссылку на небольшой свой блогпост по поводу App Store, Telegram и РосКомНадзора, раз уж это по теме канала

https://alexmak.net/blog/2018/05/28/telegram-appstore/

Я какое-то время назад писал тут про eFail - обнаруженную уязвимость в PGP и S/Mime, позволяющую получить доступ к текстам писем
https://t.me/alexmakus/2066

Так вот, в случае с почтовым клиентом Mail на Маке оказалось, что предлагаемый воркараунд с отключением загрузки удаленного контента этот метод не работает, и разработчики GPGTools работают над апдейтом, который должен будет решить эту проблему. Поможет на данный момент только использование другого почтового клиента

https://theintercept.com/2018/05/25/in-apple-mail-theres-no-protecting-pgp-encrypted-messages/

Вредоносное ПО в прошивке 141 дешевых смартфонов на Android, никогда такого не было и вот опять!
https://www.bleepingcomputer.com/news/security/malware-found-in-the-firmware-of-141-low-cost-android-devices/