Кстати, о Facebook. Если вы ещё пользуетесь этой рекламной сетью, которую по какому-то недоразумению ещё называют социальной сетью, они тут улучшили процесс двухфакторной авторизации - теперь её можно сделать без номера телефона, как они пишут
https://www.facebook.com/notes/facebook-security/two-factor-authentication-for-facebook-now-easier-to-set-up/10155341377090766/
(Что странно, потому что я настроил 2ФА в ФБ через Google Authenticator достаточно давно, поэтому я не очень понимаю, в чем именно новость. Возможно, в том, что теперь то уж точно номер телефона не требуется)
https://www.facebook.com/notes/facebook-security/two-factor-authentication-for-facebook-now-easier-to-set-up/10155341377090766/
(Что странно, потому что я настроил 2ФА в ФБ через Google Authenticator достаточно давно, поэтому я не очень понимаю, в чем именно новость. Возможно, в том, что теперь то уж точно номер телефона не требуется)
Бесплатный VPN от создателей Porhhub - VPNHub!
https://www.vpnhub.com/
https://www.vpnhub.com/
И снова здравствуйте! Сегодня мы начнём с рубрики «все как я люблю», также известной как «умные гаджеты наносят ответный удар». Пока большинство из вас спало, в интернете разворачивалась драма по поводу умной колонки Amazon Echo и «живущего в ней» ассистента Alexa. Одна пара, у которых стояла дома такая колонка, обнаружила, что колонка записала их разговор и отправила его запись их знакомому (коллеге мужа)
https://www.kiro7.com/news/local/woman-says-her-amazon-device-recorded-private-conversation-sent-it-out-to-random-contact/755507974
Объяснение Amazon звучит так, что в процессе разговора Алекса воспринялась некоторые слова в разговоре как команды и поэтому записала сообщение и отправила человеку в адресной книге (речь идёт об этой фиче колонки https://www.amazon.com/gp/help/customer/display.html?nodeId=202136270):
Echo woke up due to a word in background conversation sounding like “Alexa.” Then, the subsequent conversation was heard as a “send message” request. At which point, Alexa said out loud “To whom?” At which point, the background conversation was interpreted as a name in the customers contact list. Alexa then asked out loud, “[contact name], right?” Alexa then interpreted background conversation as “right”. As unlikely as this string of events is, we are evaluating options to make this case even less likely.”
Подозрительно выглядит такая череда совпадений, да ещё и утверждения, что Алекса якобы должна была громко задавать вопросы в процессе, хотя наверно владельцы бы это заметили. Хотя, конечно, исключать такую возможность не стоит. Но если вы параноик, то, конечно, это станет только дополнительным аргументом к тому, чтобы все эти умные колонки в дом не пускать.
PS я, кстати, в яблочном HomePod тоже несколько раз замечал, как Siri без очевидной команды « Hey Siri» вдруг говорила «хм?». Эти ложные срабатывания, да ещё как в случае с амазоном, когда куда-то уходит аудиозапись разговора, только ещё больше напрягают. Умные колонки особенно хороши, когда в них нет микрофона :)
Интересно, что если на амазоновском устройстве включить доступ к контактам и функцию звонков и сообщений, то для отключения надо звонить в поддержку. Удобно!
https://www.buzzfeed.com/nicolenguyen/how-to-deactivate-alexa-calling-and-messaging
https://www.kiro7.com/news/local/woman-says-her-amazon-device-recorded-private-conversation-sent-it-out-to-random-contact/755507974
Объяснение Amazon звучит так, что в процессе разговора Алекса воспринялась некоторые слова в разговоре как команды и поэтому записала сообщение и отправила человеку в адресной книге (речь идёт об этой фиче колонки https://www.amazon.com/gp/help/customer/display.html?nodeId=202136270):
Echo woke up due to a word in background conversation sounding like “Alexa.” Then, the subsequent conversation was heard as a “send message” request. At which point, Alexa said out loud “To whom?” At which point, the background conversation was interpreted as a name in the customers contact list. Alexa then asked out loud, “[contact name], right?” Alexa then interpreted background conversation as “right”. As unlikely as this string of events is, we are evaluating options to make this case even less likely.”
Подозрительно выглядит такая череда совпадений, да ещё и утверждения, что Алекса якобы должна была громко задавать вопросы в процессе, хотя наверно владельцы бы это заметили. Хотя, конечно, исключать такую возможность не стоит. Но если вы параноик, то, конечно, это станет только дополнительным аргументом к тому, чтобы все эти умные колонки в дом не пускать.
PS я, кстати, в яблочном HomePod тоже несколько раз замечал, как Siri без очевидной команды « Hey Siri» вдруг говорила «хм?». Эти ложные срабатывания, да ещё как в случае с амазоном, когда куда-то уходит аудиозапись разговора, только ещё больше напрягают. Умные колонки особенно хороши, когда в них нет микрофона :)
Интересно, что если на амазоновском устройстве включить доступ к контактам и функцию звонков и сообщений, то для отключения надо звонить в поддержку. Удобно!
https://www.buzzfeed.com/nicolenguyen/how-to-deactivate-alexa-calling-and-messaging
KIRO 7 News Seattle
This website is unavailable in your location. – KIRO 7 News Seattle
Все последние теракты, произошедшие в том числе в России, координировались через мессенджер Telegram. Об этом, как передает корреспондент РБК, глава Роскомнадзора Александр Жаров заявил журналистам на Петербургском международном экономическом форуме (ПМЭФ).
«Доказательства неопровержимые: к сожалению, все последние террористические акты, которые произошли и в нашей стране, и за рубежом, координировались через Telegram», — сказал он, заметив, что «это подтверждено результатами оперативно-разыскной деятельности Федеральной службы безопасности».
Это я к чему? К тому, что лучше с Телеграмом не станет, так что осваивайте VPN и вот это все.
«Доказательства неопровержимые: к сожалению, все последние террористические акты, которые произошли и в нашей стране, и за рубежом, координировались через Telegram», — сказал он, заметив, что «это подтверждено результатами оперативно-разыскной деятельности Федеральной службы безопасности».
Это я к чему? К тому, что лучше с Телеграмом не станет, так что осваивайте VPN и вот это все.
Сегодня день, когда в рамках европейского закона по охране частных данных (та самая аббревиатура GDPR, из-за которой в почтовые ящики вам наверняка сыпется куча апдейтов политик конфиденциальности) вступают в силу штрафные санкции за несоответствие требованиям получения, хранения и обработки данных, поэтому на примере одного сайта хочу продемонстрировать масштабы катастрофы. Есть такой известный сайт TechCrunch. Когда-то его купила компания AOL, которую в свою очередь купила компания Verizon. Ещё она купила Yahoo, и объединила все это в контентный проект Oath. Так вот, если кликнуть на политику конфиденциальности TechCrunch, попадаешь на сайт Oath.
https://policies.oath.com/us/en/oath/privacy/index.html
И там можно зайти в раздел «третьих сторон» - различных компаний, предоставляющих их всякие сервисы Oath, и таким образом тоже имеющим возможность собирать ваши данные, включая местоположение. Это аналитика, рекламные компании, провайдеры контента и тд. Oath обещает, что получаемая ими информация не позволяет им идентифицировать вас лично, но мы-то знаем, как всякий кросс-матчинг позволяет вычислить индивидуальных пользователей. Просто зайдите по этой странице и посмотрите на список. Попробуйте его поскроллить.
https://policies.oath.com/us/en/oath/privacy/topics/thirdparties/index.html
https://policies.oath.com/us/en/oath/privacy/index.html
И там можно зайти в раздел «третьих сторон» - различных компаний, предоставляющих их всякие сервисы Oath, и таким образом тоже имеющим возможность собирать ваши данные, включая местоположение. Это аналитика, рекламные компании, провайдеры контента и тд. Oath обещает, что получаемая ими информация не позволяет им идентифицировать вас лично, но мы-то знаем, как всякий кросс-матчинг позволяет вычислить индивидуальных пользователей. Просто зайдите по этой странице и посмотрите на список. Попробуйте его поскроллить.
https://policies.oath.com/us/en/oath/privacy/topics/thirdparties/index.html
Помните, я тут как-то много писал про модное в какой-то момент приложение GetContact, в которое пользователи радостно сливали свои адресные книги с чужими номерами телефонов? Можете поискать по каналу, тут было много интересных записей об этом сервисе и о том, как там все устроено. Вот и нашёлся метод его применения (по крайней мере, так пишут). Издание The Insider опубликовало статью о поиске подозреваемых в истории со сбитым над территорией Украины Боингом.
«СБУ утверждала, что «Андрей Иванович» с позывным «Орион» является сотрудником ГРУ, но никак не обосновывала это предположение. В выложенных прослушках СБУ есть телефон «Ориона», — +380634119133 — и этот номер действительно можно найти в открытых базах: например, в приложении TrueCaller (которое, по сути, является объединенным телефонным справочником всех пользователей этого популярного приложения). В TrueCaller этот номер обозначен как Oreon (такое же написание — через «E» — использовала и СБУ).
Более того, в аналогичном сервисе с базой телефонов Get Contact The Insider и Bellingcat удалось обнаружить некий российский номер, обозначенный как «Андрей Иванович Иванников, ГРУ» причем подписан он был «от Хаски» («Хаски» — название одно из военных подразделений в ДНР).»
Политота политотой, а вот и информация опасносте....
https://theins.ru/politika/103853
«СБУ утверждала, что «Андрей Иванович» с позывным «Орион» является сотрудником ГРУ, но никак не обосновывала это предположение. В выложенных прослушках СБУ есть телефон «Ориона», — +380634119133 — и этот номер действительно можно найти в открытых базах: например, в приложении TrueCaller (которое, по сути, является объединенным телефонным справочником всех пользователей этого популярного приложения). В TrueCaller этот номер обозначен как Oreon (такое же написание — через «E» — использовала и СБУ).
Более того, в аналогичном сервисе с базой телефонов Get Contact The Insider и Bellingcat удалось обнаружить некий российский номер, обозначенный как «Андрей Иванович Иванников, ГРУ» причем подписан он был «от Хаски» («Хаски» — название одно из военных подразделений в ДНР).»
Политота политотой, а вот и информация опасносте....
https://theins.ru/politika/103853
Как хорошо знают постоянные читатели этого канала, двухфакторная авторизация - это не только полезно, но и безопасно. Один из лучших методов двухфакторной авторизации - это хардварные ключи Yubico. Однако, до последнего времени с ними была одна проблема - ими было невозможно пользоваться на iOS-устройствах. Но теперь компания выпустила SDK для разработчиков, которые могут добавить поддержку ключей с NFC в iOS-приложения.
https://developers.yubico.com/Software_Projects/Mobile%20iOS%20SDK/1.0.0/
Из приложений, которые уже поддерживают эти ключи, есть только менеджер паролей LastPass, но, глядишь, с публичным выходом SDK таких приложений появится больше
вот, в кои-то веки хорошие новости в канале
https://developers.yubico.com/Software_Projects/Mobile%20iOS%20SDK/1.0.0/
Из приложений, которые уже поддерживают эти ключи, есть только менеджер паролей LastPass, но, глядишь, с публичным выходом SDK таких приложений появится больше
вот, в кои-то веки хорошие новости в канале
Утечка данных сотрудников на заводе Jaguar Land Rover, из которой многие сотрудники узнали о том, что их скоро уволят. Упс.
https://www.huffingtonpost.co.uk/entry/jaguar-landrover-data-breach_uk_5b06a053e4b05f0fc84541e5
https://www.huffingtonpost.co.uk/entry/jaguar-landrover-data-breach_uk_5b06a053e4b05f0fc84541e5
HuffPost UK
Jaguar Land Rover Workers Facing Layoffs Learn Fate Through Huge ‘Data Leak’
Exclusive: 'Breach' of agency staff data reveals disciplinary records and medical information.
Привет! Закрываю гештальт с темой про VPNFilter - вредоносное ПО для роутеров, но которое писали на прошлой неделе, а у меня все никак руки не доходили написать. Короче, есть такая зараза для роутеров MicroTik, NETGEAR, Linksys и TP-Link и некоторых NAS-устройств, которая перехватывает трафик в роутерах, а также может превратить роутер в тыкву. Утверждается, что сеть зараженных устройств находится под контролем группировки Sofacy Group, также известной как A.P.T. 28и Fancy Bear (считается, что это группировка под управлением российского разведывательного управления). Всего заражено около 500 тыс устройств в 54 странах, и вроде как большинство из них - в Украине.
Детальное исследование этого зловреда можно почитать тут про методы заражения и тд
https://blog.talosintelligence.com/2018/05/VPNFilter.html
Но есть и хорошие новости! ФБР получило контроль над доменом, который якобы является ключевым компонентом системы управления инфраструктурой зараженных роутеров, что должно предотвратить повторное заражение устройств.
https://www.justice.gov/opa/press-release/file/1066036/download
Теперь ФБР советует перезапустить роутеры владельцам, что должно на время вывести вредоносное ПО из строя, и обновить прошивку на устройстве, отключить функции удаленного управления, а также установить логины и пароли покрепче.
https://www.ic3.gov/media/2018/180525.aspx
Берегите себя и свои роутеры!
Детальное исследование этого зловреда можно почитать тут про методы заражения и тд
https://blog.talosintelligence.com/2018/05/VPNFilter.html
Но есть и хорошие новости! ФБР получило контроль над доменом, который якобы является ключевым компонентом системы управления инфраструктурой зараженных роутеров, что должно предотвратить повторное заражение устройств.
https://www.justice.gov/opa/press-release/file/1066036/download
Теперь ФБР советует перезапустить роутеры владельцам, что должно на время вывести вредоносное ПО из строя, и обновить прошивку на устройстве, отключить функции удаленного управления, а также установить логины и пароли покрепче.
https://www.ic3.gov/media/2018/180525.aspx
Берегите себя и свои роутеры!
Cisco Talos Blog
New VPNFilter malware targets at least 500K networking devices worldwide
For several months, Talos has been working with public- and private-sector threat intelligence partners and law enforcement in researching an advanced, likely state-sponsored or state-affiliated actor's widespread use of a sophisticated modular malware system…
РОСКОМНАДЗОР НАПРАВИЛ В APPLE ТРЕБОВАНИЕ ПРЕКРАТИТЬ РАСПРОСТРАНЕНИЕ В РОССИИ ПРИЛОЖЕНИЯ TELEGRAM В ОН-ЛАЙН МАГАЗИНЕ APPSTORE, А ТАКЖЕ РАССЫЛКУ ПУШ-УВЕДОМЛЕНИЙ МЕССЕНДЖЕРА - ПРЕСС-СЛУЖБА ВЕДОМСТВА
Сейчас как заблокируют весь App Store и все push-месседжи вместе с ним
В рамках бесстыдной саморекламы дам ссылку на небольшой свой блогпост по поводу App Store, Telegram и РосКомНадзора, раз уж это по теме канала
https://alexmak.net/blog/2018/05/28/telegram-appstore/
https://alexmak.net/blog/2018/05/28/telegram-appstore/
alexmak.net
Удалить нельзя заблокировать
К этому моменту вы уже наверняка из каждого утюга услышали новость о том, что РосКомНадзор потребовал от Apple удалить приложение Telegram из App Store: «Во избежание возможных действий Роскомнадзо…
Я какое-то время назад писал тут про eFail - обнаруженную уязвимость в PGP и S/Mime, позволяющую получить доступ к текстам писем
https://t.me/alexmakus/2066
Так вот, в случае с почтовым клиентом Mail на Маке оказалось, что предлагаемый воркараунд с отключением загрузки удаленного контента этот метод не работает, и разработчики GPGTools работают над апдейтом, который должен будет решить эту проблему. Поможет на данный момент только использование другого почтового клиента
https://theintercept.com/2018/05/25/in-apple-mail-theres-no-protecting-pgp-encrypted-messages/
https://t.me/alexmakus/2066
Так вот, в случае с почтовым клиентом Mail на Маке оказалось, что предлагаемый воркараунд с отключением загрузки удаленного контента этот метод не работает, и разработчики GPGTools работают над апдейтом, который должен будет решить эту проблему. Поможет на данный момент только использование другого почтового клиента
https://theintercept.com/2018/05/25/in-apple-mail-theres-no-protecting-pgp-encrypted-messages/
Telegram
Информация опасносте
Привет! Все, надеюсь, отдохнули от праздников (и вся картошка посажена), поэтому возвращаемся к регулярным трансляциям плохих новостей из нашего мира, в котором информация опасносте! Пользуетесь PGP? Тут какие-то очень плохие новости по этому поводу: вроде…
Вредоносное ПО в прошивке 141 дешевых смартфонов на Android, никогда такого не было и вот опять!
https://www.bleepingcomputer.com/news/security/malware-found-in-the-firmware-of-141-low-cost-android-devices/
https://www.bleepingcomputer.com/news/security/malware-found-in-the-firmware-of-141-low-cost-android-devices/
BleepingComputer
Malware Found in the Firmware of 141 Low-Cost Android Devices
Two years after being outted, a criminal operation that has been inserting malware in the firmware of low-cost Android devices is still up and running, and has even expanded its reach.
Кстати, о Телеграме: Читатель пишет, что вышел официальный релиз https://github.com/TelegramMessenger/MTProxy, бот для управления @mtproxybot (c галочкой). https://hub.docker.com/r/telegrammessenger/proxy/
GitHub
GitHub - TelegramMessenger/MTProxy
Contribute to TelegramMessenger/MTProxy development by creating an account on GitHub.
Пару дней назад вышли апдейты для операционных систем Apple — iOS, macOS, watchOS и tvOS. Традиционно в апдейтах наверняка полно всяких обновлений безопасности, но вот что нетрадиционно — это отсутствие информации о содержимом этих обновлений (информация обычно публикуется тут https://support.apple.com/en-gb/HT201222).
Натяну поглубже шапочку из фольги и притворюсь конспирологом. Я тут неоднократно писал, что в апдейте 11.4 для iPhone должна выйти фича USB Restrictive Mode — якобы после установки обновления при отсутствии логинов в течение 7 дней порт LIghtning блокируется для передачи данных и начинает работать только для зарядки устройства (t.me/alexmakus/1954, t.me/alexmakus/2058).
Официальных подтверждений от Apple по этой функции не было. А что, если Apple специально не апдейтит страницу с информацией об исправлениях безопасности, чтобы как можно больше устройств установило апдейт, прежде чем информация об исправлении в нем станет публично доступной? (собака-подозревака.жпг). Вряд ли, конечно, но в роли конспиролога так комфортно, оказывается… Можно придумывать вообще что угодно, предел - только собственная фантазия…
Натяну поглубже шапочку из фольги и притворюсь конспирологом. Я тут неоднократно писал, что в апдейте 11.4 для iPhone должна выйти фича USB Restrictive Mode — якобы после установки обновления при отсутствии логинов в течение 7 дней порт LIghtning блокируется для передачи данных и начинает работать только для зарядки устройства (t.me/alexmakus/1954, t.me/alexmakus/2058).
Официальных подтверждений от Apple по этой функции не было. А что, если Apple специально не апдейтит страницу с информацией об исправлениях безопасности, чтобы как можно больше устройств установило апдейт, прежде чем информация об исправлении в нем станет публично доступной? (собака-подозревака.жпг). Вряд ли, конечно, но в роли конспиролога так комфортно, оказывается… Можно придумывать вообще что угодно, предел - только собственная фантазия…
Apple Support
Apple security updates
This document lists security updates for Apple software.
Кстати, еще про Apple. На прошлой неделе Apple опубликовала интересный документ — Отчет об обращениях правительственных организацией и частных лиц за пользовательскими данными за вторую половину 2017 года. Запросы включают в себя обращения правоохранительных органов по расследованию украденных устройств Apple, по расследованию фрода кредитных карт, использованных для покупки устройств Apple, по незаконному использованию аккаунтов, и тд. Обращения частных лиц, как правило, относятся к различным частным судебным разбирательствам в рамках гражданских и уголовных разбирательств.
Документ также перечисляет какого плана информацию запрашивают в таких обращениях. В случае украденных устройств — информация о пользователях и подключениях к сервисам Apple. В случае фрода кредиток — информация о транзакциях. Правительственные организации (как правило, правоохранительные органы) должны предоставить ордер суда на получение такой информации. Apple может предоставить запрошенную информацию, а может и отказать, если по какой-то причине запрос оказывается не полностью легитимен.
В общем, большой и красивый ПДФ с данными по разным параметрам — по странам и по типам запросов. Информация включает в себя общее количество запросов и количество удовлетворенных запросов. Почитайте, интересно.
Например, по количеству запросов по устройствам как-то особенно отличилась Германия. А еще мне понравилась спрятанная внутри документа табличка про запросы, связанные с национальной безопасностью США, без особой детализации. Например, что подобных запросов Apple получила гдето между 16 тыс и 16 тыс 249 штук, и затрагивали они между 8 тыс и 8 тыс 249 штук учетных записей.
такие, в общем, дела.
https://www.apple.com/legal/privacy/transparency/requests-2017-H2-en.pdf
Документ также перечисляет какого плана информацию запрашивают в таких обращениях. В случае украденных устройств — информация о пользователях и подключениях к сервисам Apple. В случае фрода кредиток — информация о транзакциях. Правительственные организации (как правило, правоохранительные органы) должны предоставить ордер суда на получение такой информации. Apple может предоставить запрошенную информацию, а может и отказать, если по какой-то причине запрос оказывается не полностью легитимен.
В общем, большой и красивый ПДФ с данными по разным параметрам — по странам и по типам запросов. Информация включает в себя общее количество запросов и количество удовлетворенных запросов. Почитайте, интересно.
Например, по количеству запросов по устройствам как-то особенно отличилась Германия. А еще мне понравилась спрятанная внутри документа табличка про запросы, связанные с национальной безопасностью США, без особой детализации. Например, что подобных запросов Apple получила гдето между 16 тыс и 16 тыс 249 штук, и затрагивали они между 8 тыс и 8 тыс 249 штук учетных записей.
такие, в общем, дела.
https://www.apple.com/legal/privacy/transparency/requests-2017-H2-en.pdf