И еще одна популярная рубрика в канале — умные IoT устройства. Камера, которая позволяла неавторизованным пользователям смотреть и слушать то, что снимали чужие камеры.
https://www.zdnet.com/article/flaw-let-anyone-snoop-on-smart-cameras/

Привет. Вы все, наверно, получили уведомление в Телеграме о запуске сервиса Passport:

Introducing Telegram Passport in Version 4.9:

- Telegram Passport – a unified authorization method for services that require personal identification.
- Store your identity documents and personal data in the Telegram cloud using End-to-End Encryption.
- Instantly share your data with services that require real-world ID (finance, ICOs, etc.).

вам, поди, еще и на русском пришло :) но не важно. Суть сервиса достаточно простая - Телеграм выступает неким идентификационным центром, проверив ваши документы, а затем сообщает другим сервисам, что вы - тот, за кого вы себя выдаёте. Чисто теоретически сервис в чем-то похож на современные платежные системы с помощью телефона - Apple Pay, Android Pay, и тд. Там компания (Apple) выступает таким «проверяльщиком», убедившись, что у вас есть карта и есть счёт в банке, а при попытке оплаты в ритейле уже Apple подтверждает транзакцию, и все чики-пуки. Так и в случае с Телеграм Паспортом - внешний сервис верит Телеграму. Вопрос в том, сколько таких сервисов, которые будут готовы поверить Телеграму, чтобы это стало критичной точкой и смогло драйвить массовое принятие пользователями такого сервиса? ну и пользователи тоже ведь достаточно подозрительны в последнее время, и я не уверен, что многие прям толпами ломанутся нести свои паспортные данные в компанию, слухи о которой ходят самые разные. Думаю, предложи Apple подобный сервис, реакция была бы другой.

По пятничному безумная история про то, как одна тетка, обидевшись на другую тетку за комментарий в ФБ, разместила на одном сайте информацию, порочащую репутацию второй тетки (типа та, занимаясь продажей недвижимости, занималась сексом с мужем первой тетки). Информация расползлась по интернету, и вторая тетка потеряла массу клиентов и денег. В итоге она наняла адвокатов, которые вычислили и первую тетку, и особо буйную распространительницу этой информации (просто из вредности), но вред уже нанесён. информация расползлась по куче сайтов в интернете, и во многих случаях даже с решением суда (о том, что информация не соответствует действительности), сайты отказываются снимать информацию, и это продолжает портить жизнь человеку. ОПАСНОСТЕ
https://gizmodo.com/when-a-stranger-decides-to-destroy-your-life-1827546385

Но есть и прекрасная новость. 364 заключённых в тюрьмах штата Айдахо использовали выдаваемые им в тюрьмах планшеты (что само по себе уже прекрасно) и обнаружили в них некую уязвимость. Дальше из статьи не очень понятно, что именно происходило - якобы заключённые использовали свои учетки, привязанные к планшетам, для того, чтобы получить некие «цифровые зачеты-бонусы», у которых была вполне ощутимая фискальная стоимость суммой в 225 тыс долларов. Они использовали их для покупки музыки, игр и проч. Ну не молодцы ли? (Хотя историю про чуваков, построивших компьютер в тюрьме из запчастей и хранивших их в нычке под потолком, и получивших доступ в интернет с аккаунта охранников, это не перебьёт).

https://www.bleepingcomputer.com/news/security/364-idaho-inmates-hacked-their-prison-tablets-for-free-credits/

Вот, кстати, та история про чуваков, собравших компьютер в тюрьме. Тот пост тоже вышел в пятницу :)

https://t.me/alexmakus/1088

И регулярное напоминание про то, что Spectre (уязвимость в процессорах) никуда не делась. Вот первая атака с использованием этой уязвимости по сети - NetSpectre (когда на компьютере жертвы даже нет кода, контролируемого злоумышленником, если я правильно понял документ)

https://misc0110.net/web/files/netspectre.pdf

В Штатах несколько дней поломали сеть одной из крупнейших компаний по перевозке грузов - COSCO. Так вот, их сеть до сих пор не работает - ни почта, ни телефоны, ни даже вебсайт. Компания пострадала от вируса-вымогателя, но деталей пока нет. И так уже несколько дней.


https://www.bleepingcomputer.com/news/security/ransomware-infection-cripples-shipping-giant-coscos-american-network/

http://www.cosco-usa.com

Развлечение тихим субботним вечером :)

Все забывал рассказать об одном разводе, в последнее время встречающемся в интернете. Это происходит не очень часто, но есть подозрение, что этот скам может активизироваться (недавно похожее письмо получил один из моих знакомых, и рассказал мне об этом). Короче, в чем фишка: вам приходит письмо, в котором в теме письма может быть либо ваш пароль, либо комбинация имейла или логина и пароля. Это может быть пароль от какого-то сервиса, которым пользуетесь в данный момент, или пользовались когда-то - деталей по этому поводу в письме нет. Но фокус письма на том, что «злоумышленник знает ваш пароль», и этого, как правило, достаточно для того, чтобы привлечь ваше внимание.

Дальше в тексте письма все достаточно просто. Злоумышленник пишет о том, что разместил вирус на каком-нибудь порно-сайте, и когда вы зашли туда, вирус включил камеру и записал происходящее перед компьютером. А заодно сохранил ввод с клавиатуры, контакты из почты, фейсбука и проч. Так что теперь вы должны заплатить выкуп в виде какой-то части биткойна (сумма, как правило, колеблется от 1000 до 2000 долл), иначе через 24 часа сохранённое видео будет разослано всем вашим контактам из скопированной адресной книги.

Большинство из вас, скорей всего, получив такое письмо, с недоверием хмыкнуло бы и отправило его в спам. К сожалению, менее квалифицированные пользователи вполне могут запаниковать или даже заплатить (https://www.bleepingcomputer.com/news/security/adult-site-blackmail-spammers-made-over-50k-in-one-week/). Я, конечно, не готов дать 100% гарантию, но с вероятностью 99.99% могу утверждать, что это развод, не имеющий под собой фактической базы. К сожалению, утечек пользовательских записей в последние годы было предостаточно, чтобы злоумышленники могли скомбинировать из этих утечек достаточно массовые списки из логинов и паролей, чтобы рассылать такие письма и пугать пользователей. Вот почему я думаю, что подобного спама в будущем будет больше. Рекомендации в этом случае стандартные для гигиены паролей: заводите сложные и длинные пароли, заведите менеджер паролей, не повторяйте пароли на разных сайтах, и если возможно - включайте двухфакторную авторизацию.

Если опасаетесь записи с камеры на порносайте (да и не только на порносайте) - можно, конечно, заклеить и камеру (если у компьютера нет специальной шторки).

PS и ни в коем случае не платите этим жуликам.

Вот, кстати, пример такого письма

Вот еще письмо - другого плана. вирусы в почте бывают разные - в данном случае на диске Word-документы с вредоносными VBA-файлами

Apple продолжает модифицировать режим защиты iOS-устройств от подключения внешних USB-устройств в бета-версиях iOS, а ребята из Элкомсофт продолжают исследовать, что в этот раз поломали ребята из Эпол

https://blog.elcomsoft.com/2018/07/ios-12-beta-5-one-step-forward-two-steps-back/

Европейский ритейлер Dixons Carphone, ещё в июне рассказывавший об утечке всего 1.2 млн записей с информацией о покупателях, вчера честно признался, что записей было украдено на самом деле около 10 млн.

http://www.dixonscarphone.com/~/media/Files/D/Dixons-Carphone/documents/dixons-carphone-update-on-unauthorised-data-access.pdf

Почему двухфакторная авторизация через СИМ-карты с получением кода по СМС - не очень хорошая идея? SIM card hijacking - популярный механизм для перехвата доступа к аккаунтам, в том числе к кошелькам криптовалют и социальным сервисам. (У Motherboard есть большая статья про студента, которого недавно арестовала полиция штата Калифорния именно за хайджекинг СИМ-карт с целью получения доступа к чужим криптокошелькам https://motherboard.vice.com/en_us/article/a3q7mz/hacker-allegedly-stole-millions-bitcoin-sim-swapping). Подход на удивление хорошо работает с американскими операторами мобильной связи, которые действительно переводят номера на другие СИМ-карты. https://www.digitaltrends.com/mobile/sim-swap-fraud-explained/

Короче, берегите там свои симки :)

читатель тут напомнил про «умный дом» от Samsung, в прошивке которого эксперты компании Cisco Talos обнаружили массу уязвимостей (20!), включая такие, которые позволяли злоумышленникам выполнять удаленный код на уязвимых устройствах. Речь идёт о хабе SmartThings Hub, который выступает, как следует из названия, неким центральным блоком для остальных устройств в доме. Например, используя обнаруженные уязвимости, можно было:
- открывать умные замки
- видеть картинку с камер
- отключать детекторы движения
- управлять термостатами и проч.

Эксперты компании работали вместе с Самсунг для исправления этих уязвимостей, и уже вышло обновление прошивки для хаба. Умный дом такой умный

https://blog.talosintelligence.com/2018/07/samsung-smartthings-vulns.html

Трём украинцам - Dmytro Fedorov, 44, Fedir Hladyr, 33 и Andrii Kopakov, 30 - сегодня предъявлено обвинение в организации хакерской группировки FIN17, обвиняемой в хакерских атаках на более чем 100 американских компаний. Вот документы министерства юстиции США
https://www.justice.gov/opa/pr/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100

Воровство данных банковских карт, взлом терминалов оплаты, компьютерных сетей компаний - все по-настоящему

Я вчера писал о том, что двухфакторная авторизация по СМС не очень безопасная и лучше пользоваться другими механизмами для реализации 2ФА https://t.me/alexmakus/2285.

Так вот, у меня есть свежая новость, подтверждающая этот тезис. Reddit опубликовали пост о том, что их инфраструктура в июне подверглась атаке, в связи с чем данные о пользователях, которые зарегистрировались до 2007 года (включительно), а также имейл-дайджесты попали в руки к злоумышленникам. Доступ к системам нападавшие получили, «перехватив» СМС коды двухфакторной авторизации некоторых сотрудников. К сожалению, технической информации о методе перехвата СМС в посте Реддит нет, но в целом этой информации должно быть достаточно, чтобы еще раз убедиться, что лучше выбирать более безопасные методы 2ФА. Реддит в своём посте тоже призывает переходить на 2ФА на базе токенов.

https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
(За ссылку спасибо читателю канала и также сотруднику Reddit)

Наверно, стоит добавить вдогонку к рекомендации не пользоваться методом 2ФА по СМС еще рекомендацию по возможности использовать методы генерации дополнительного пароля по ключу и времени - то, что делают Google Authenticator, Authy, Microsoft Authenticator, и др. Это та самая фигня, где надо для настройки просканировать QR Code, а потом уже просто брать код из приложения, работающего на телефоне. Никаких рисков с СМС, проблема только в том, что далеко не все сервисы поддерживают именно такой метод двухфакторной авторизации. Вот хорошая статья на Wired о том, что это такое, как это работает и как это настраивать. Рекомендации лучших собаководов!
https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/

Привет! Пока редакция канала борется с временно возникшими трудностями касательно другого проекта, вот вам немного интересных ссылок на почитать:

1. Саша Плющев подал жалобу в ЕСПЧ на блокировку Телеграма
https://www.dw.com/ru/еспч-рассмотрит-жалобу-на-блокировку-telegram/a-44927857?maca=rus-tco-dw

2. Кстати, о Телеграме. Вот тут уже изучили безопасность недавно запущенного сервиса Telegram Passport, и, скажем так, к нему ЕСТЬ ВОПРОСЫ
https://virgilsecurity.com/telegram-passport-vulnerability/

3. ну и раз уж про Телеграм и паспорта - вот Сноб пишет о торговле документами в Телеграме
https://snob.ru/news/164005

Тем временем на Аляске небольшой город стал жертвой вымогателей с ransomware. Пока компьютеры заблокированы, госучреждения перешли на работу на печатных машинках

https://www.bbc.com/news/technology-45032132