Apple продолжает модифицировать режим защиты iOS-устройств от подключения внешних USB-устройств в бета-версиях iOS, а ребята из Элкомсофт продолжают исследовать, что в этот раз поломали ребята из Эпол
https://blog.elcomsoft.com/2018/07/ios-12-beta-5-one-step-forward-two-steps-back/
https://blog.elcomsoft.com/2018/07/ios-12-beta-5-one-step-forward-two-steps-back/
ElcomSoft blog
iOS 12 Beta 5: One Step Forward, Two Steps Back
The release of iOS 11.4.1 marked the introduction of USB restricted mode, a then-new protection scheme disabling USB data pins after one hour. The USB restricted mode was not invincible; in fact, one could circumvent protection by connecting the device to…
Европейский ритейлер Dixons Carphone, ещё в июне рассказывавший об утечке всего 1.2 млн записей с информацией о покупателях, вчера честно признался, что записей было украдено на самом деле около 10 млн.
http://www.dixonscarphone.com/~/media/Files/D/Dixons-Carphone/documents/dixons-carphone-update-on-unauthorised-data-access.pdf
http://www.dixonscarphone.com/~/media/Files/D/Dixons-Carphone/documents/dixons-carphone-update-on-unauthorised-data-access.pdf
Почему двухфакторная авторизация через СИМ-карты с получением кода по СМС - не очень хорошая идея? SIM card hijacking - популярный механизм для перехвата доступа к аккаунтам, в том числе к кошелькам криптовалют и социальным сервисам. (У Motherboard есть большая статья про студента, которого недавно арестовала полиция штата Калифорния именно за хайджекинг СИМ-карт с целью получения доступа к чужим криптокошелькам https://motherboard.vice.com/en_us/article/a3q7mz/hacker-allegedly-stole-millions-bitcoin-sim-swapping). Подход на удивление хорошо работает с американскими операторами мобильной связи, которые действительно переводят номера на другие СИМ-карты. https://www.digitaltrends.com/mobile/sim-swap-fraud-explained/
Короче, берегите там свои симки :)
Короче, берегите там свои симки :)
Vice
‘TELL YOUR DAD TO GIVE US BITCOIN:’ How a Hacker Allegedly Stole Millions by Hijacking Phone Numbers
California authorities say a 20-year-old college student hijacked more than 40 phone numbers and stole $5 million, including some from cryptocurrency investors at a blockchain conference Consensus.
читатель тут напомнил про «умный дом» от Samsung, в прошивке которого эксперты компании Cisco Talos обнаружили массу уязвимостей (20!), включая такие, которые позволяли злоумышленникам выполнять удаленный код на уязвимых устройствах. Речь идёт о хабе SmartThings Hub, который выступает, как следует из названия, неким центральным блоком для остальных устройств в доме. Например, используя обнаруженные уязвимости, можно было:
- открывать умные замки
- видеть картинку с камер
- отключать детекторы движения
- управлять термостатами и проч.
Эксперты компании работали вместе с Самсунг для исправления этих уязвимостей, и уже вышло обновление прошивки для хаба. Умный дом такой умный
https://blog.talosintelligence.com/2018/07/samsung-smartthings-vulns.html
- открывать умные замки
- видеть картинку с камер
- отключать детекторы движения
- управлять термостатами и проч.
Эксперты компании работали вместе с Самсунг для исправления этих уязвимостей, и уже вышло обновление прошивки для хаба. Умный дом такой умный
https://blog.talosintelligence.com/2018/07/samsung-smartthings-vulns.html
Cisco Talos Blog
Vulnerability Spotlight: Multiple Vulnerabilities in Samsung SmartThings Hub
These vulnerabilities were discovered by Claudio Bozzato of Cisco Talos.
Executive Summary
Cisco Talos recently discovered several vulnerabilities present within the firmware of the Samsung SmartThings Hub. In accordance with our coordinated disclosure…
Executive Summary
Cisco Talos recently discovered several vulnerabilities present within the firmware of the Samsung SmartThings Hub. In accordance with our coordinated disclosure…
Трём украинцам - Dmytro Fedorov, 44, Fedir Hladyr, 33 и Andrii Kopakov, 30 - сегодня предъявлено обвинение в организации хакерской группировки FIN17, обвиняемой в хакерских атаках на более чем 100 американских компаний. Вот документы министерства юстиции США
https://www.justice.gov/opa/pr/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100
Воровство данных банковских карт, взлом терминалов оплаты, компьютерных сетей компаний - все по-настоящему
https://www.justice.gov/opa/pr/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100
Воровство данных банковских карт, взлом терминалов оплаты, компьютерных сетей компаний - все по-настоящему
www.justice.gov
Three Members of Notorious International Cybercrime Group “Fin7” In
Three high-ranking members of a sophisticated international cybercrime group operating out of Eastern Europe have been arrested and are currently in custody facing charges filed in U.S. District
Я вчера писал о том, что двухфакторная авторизация по СМС не очень безопасная и лучше пользоваться другими механизмами для реализации 2ФА https://t.me/alexmakus/2285.
Так вот, у меня есть свежая новость, подтверждающая этот тезис. Reddit опубликовали пост о том, что их инфраструктура в июне подверглась атаке, в связи с чем данные о пользователях, которые зарегистрировались до 2007 года (включительно), а также имейл-дайджесты попали в руки к злоумышленникам. Доступ к системам нападавшие получили, «перехватив» СМС коды двухфакторной авторизации некоторых сотрудников. К сожалению, технической информации о методе перехвата СМС в посте Реддит нет, но в целом этой информации должно быть достаточно, чтобы еще раз убедиться, что лучше выбирать более безопасные методы 2ФА. Реддит в своём посте тоже призывает переходить на 2ФА на базе токенов.
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
(За ссылку спасибо читателю канала и также сотруднику Reddit)
Так вот, у меня есть свежая новость, подтверждающая этот тезис. Reddit опубликовали пост о том, что их инфраструктура в июне подверглась атаке, в связи с чем данные о пользователях, которые зарегистрировались до 2007 года (включительно), а также имейл-дайджесты попали в руки к злоумышленникам. Доступ к системам нападавшие получили, «перехватив» СМС коды двухфакторной авторизации некоторых сотрудников. К сожалению, технической информации о методе перехвата СМС в посте Реддит нет, но в целом этой информации должно быть достаточно, чтобы еще раз убедиться, что лучше выбирать более безопасные методы 2ФА. Реддит в своём посте тоже призывает переходить на 2ФА на базе токенов.
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
(За ссылку спасибо читателю канала и также сотруднику Reddit)
Telegram
Информация опасносте
Почему двухфакторная авторизация через СИМ-карты с получением кода по СМС - не очень хорошая идея? SIM card hijacking - популярный механизм для перехвата доступа к аккаунтам, в том числе к кошелькам криптовалют и социальным сервисам. (У Motherboard есть большая…
Наверно, стоит добавить вдогонку к рекомендации не пользоваться методом 2ФА по СМС еще рекомендацию по возможности использовать методы генерации дополнительного пароля по ключу и времени - то, что делают Google Authenticator, Authy, Microsoft Authenticator, и др. Это та самая фигня, где надо для настройки просканировать QR Code, а потом уже просто брать код из приложения, работающего на телефоне. Никаких рисков с СМС, проблема только в том, что далеко не все сервисы поддерживают именно такой метод двухфакторной авторизации. Вот хорошая статья на Wired о том, что это такое, как это работает и как это настраивать. Рекомендации лучших собаководов!
https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/
https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/
WIRED
How to Secure Your Accounts With Better Two-Factor Authentication
Two-factor authentication is a must, but don't settle for the SMS version. Use a more secure authenticator app instead.
Привет! Пока редакция канала борется с временно возникшими трудностями касательно другого проекта, вот вам немного интересных ссылок на почитать:
1. Саша Плющев подал жалобу в ЕСПЧ на блокировку Телеграма
https://www.dw.com/ru/еспч-рассмотрит-жалобу-на-блокировку-telegram/a-44927857?maca=rus-tco-dw
2. Кстати, о Телеграме. Вот тут уже изучили безопасность недавно запущенного сервиса Telegram Passport, и, скажем так, к нему ЕСТЬ ВОПРОСЫ
https://virgilsecurity.com/telegram-passport-vulnerability/
3. ну и раз уж про Телеграм и паспорта - вот Сноб пишет о торговле документами в Телеграме
https://snob.ru/news/164005
1. Саша Плющев подал жалобу в ЕСПЧ на блокировку Телеграма
https://www.dw.com/ru/еспч-рассмотрит-жалобу-на-блокировку-telegram/a-44927857?maca=rus-tco-dw
2. Кстати, о Телеграме. Вот тут уже изучили безопасность недавно запущенного сервиса Telegram Passport, и, скажем так, к нему ЕСТЬ ВОПРОСЫ
https://virgilsecurity.com/telegram-passport-vulnerability/
3. ну и раз уж про Телеграм и паспорта - вот Сноб пишет о торговле документами в Телеграме
https://snob.ru/news/164005
dw.com
ЕСПЧ рассмотрит жалобу на блокировку Telegram
По мнению заявителей, блокировка Telegram Роскомнадзором нарушает их право на свободу выражения мнения. Срок рассмотрения жалобы в суде в Страсбурге пока не объявлен.
Тем временем на Аляске небольшой город стал жертвой вымогателей с ransomware. Пока компьютеры заблокированы, госучреждения перешли на работу на печатных машинках
https://www.bbc.com/news/technology-45032132
https://www.bbc.com/news/technology-45032132
Bbc
Town dusts off typewriters after cyber-attack
The ransomware attack has spread to email, telephone and door entry systems.
Кстати, про двухфакторную авторизацию. Читатель прислал парочку полезных статей об этой теме:
http://www.outsidethebox.ms/18372/
http://www.outsidethebox.ms/18835/
http://www.outsidethebox.ms/18372/
http://www.outsidethebox.ms/18835/
www.outsidethebox.ms
А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
Вы когда-нибудь выполняли вход по коду из SMS? А с помощью приложения, генерирующего код? Сегодня я расскажу о том, в чем разница между этими способами, и почему важно защищать аккаунты Интернет-сервисов и мессенджеров двухфакторной или двухэтапной аутентификацией.
Про USB Accessories mode в iOS я писал уже много раз. Там, как в своё время обнаружили эксперты Элкомсофт, можно задержать включение режима блокировки подключения новых устройств - именно путём подключения аксессуаров ДО ТОГО, как истёк таймер в 1 час с момента последней разблокировки устройства. Вот по ссылке - список устройств, которые протестированы экспертами и их статус в возможности отложить активацию режима известен
https://www.magnetforensics.com/blog/ios-11-4-1-follow-up-delaying-usb-restricted-mode/
https://www.magnetforensics.com/blog/ios-11-4-1-follow-up-delaying-usb-restricted-mode/
Magnet Forensics
iOS 11.4.1 Follow-up: Delaying USB Restricted Mode | Magnet Forensics
After our previous blog post and webinar talking about some changes that came to iOS 11, some of the examiners here at Magnet Forensics decided to dive in deeper to figure out ways to help delay the one-hour timer that comes along with USB Restricted Mode…
Тут накопали, что Epic Games собираются версию Fortnite Mobile для Android распространять со своего сайта - очевидно, экономя 30%, которые берет Google за покупки внутри приложения.
https://www.xda-developers.com/fortnite-mobile-on-android-google-play-store/
Один важный момент, который связан с безопасностью - это то, что пользователям придётся в Android указать опцию установки из Unknown sources, что, скорей всего, приведёт к ухудшению ситуации с безопасностью для миллионов пользователей, которые не до конца понимают последствия включения такой опции.
https://www.xda-developers.com/fortnite-mobile-on-android-google-play-store/
Один важный момент, который связан с безопасностью - это то, что пользователям придётся в Android указать опцию установки из Unknown sources, что, скорей всего, приведёт к ухудшению ситуации с безопасностью для миллионов пользователей, которые не до конца понимают последствия включения такой опции.
xda-developers
Fortnite Mobile on Android may not be available on the Google Play Store
The massively popular Fortnite Mobile on Android battle royale game is coming soon, but it might not be available on the Google Play Store at launch.
Привет, с вами после длинного викенда снова воодушевленная разными новостями редакция канала “информация опасносте” в моем лице.
1. Начнем с поправки касательно Fortnite и её распространения на Android мимо Google Play. Меня несколько человек поправили, что в целом инсталляция одного приложения на android без Google Play в последнее время немного модифицировалась и можно временно “снять” галку для одной установки, после чего опция установки из других источников выключится (или включится?) обратно. То есть конкретно для этого кейса это как бы безопасно, хотя сам факт распространения приложения не через официальный канал потенциально несет в себе угрозу для пользователей. Уже даже сейчас в интернете встречаются вредоносные приложения для Android, маскирующиеся под Fortnite, а с выходом официальной наверняка появятся и перепакованные версии, несущие в себе отдельные “бонусы”. Короче, имхо, жадность за 30% выручки перевесила потенциальные эффекты для безопасности пользователей, и это немножко удручает.
https://www.eurogamer.net/articles/digitalfoundry-2018-fortnite-on-android-doesnt-use-google-play-confirmed
АПД Эти ваши Андроиды хрен разберешь. Читатель пишет, что “Опция, которая автоматически отключается — фича производителя, а не ОС. Первым её сделал Самсунг 3 года назад. В самой ОС же механизм изменился только в 8-ке: теперь опции нет. Теперь есть пермишен
https://myachinqa.blogspot.com/2017/10/android-80-2-target-android-80-api.html?m=1”
2. А вот тут еще вчера Wall Street Journal писал о переговорах Facebook с банками в США по совместному обмену данными. Заголовок звучит достаточно устращающе — “Facebook to Banks: Give Us Your Data, We’ll Give You Our Users”
https://www.wsj.com/articles/facebook-to-banks-give-us-your-data-well-give-you-our-users-1533564049
Известно, что Фейсбук собирает много оффлайн-данных для скрещивания с онлайн-данными для получения более полной картины о пользователях. Так-то вроде бы речь идет о том, что ФБ предлагал бы пользователям возможность продажи-покупки товаров в социальной сети, проверку баланса счета, уведомления о мошеннических операциях. При этом, конечно, в этот список попадает и такая полезная информация, как данные по транзакциям по картам. Фейсбук, правда, утверждает, что он не будет использовать эту информацию для таргетирования рекламы или передавать эти данные третьим лицам, но все равно звучит как-то стремно и неприятно. К счастью, банки в США — те еще консерваторы и любят хранить данные о своих клиентах у себя и не делиться ими по возможности с кем попало, поэтому я надеюсь, что ФБ их так легко не уговорит.
3. На прошлой неделе я писал про развод по почте с вымогательством выкупа за якобы имеющиеся записи неприличного поведения получателя письма на каком-то порно-сайте (https://t.me/alexmakus/2280). Вот еще по этому поводу статья https://www.the-parallax.com/2018/08/06/porn-extortion-scam-breached-passwords/, резюмировать которую можно так:
- Игнорируйте это
- Не реюзайте пароли
- Пользуйтесь менеджерами паролей
- Чаще применяйте двухфакторную авторизацию.
4. 200 тысяч роутеров Mikrotik в Бразилии заразили вредоносным ПО для майнинга криптовалюты.
https://twitter.com/bad_packets/status/1024868429797322753
Злоумышленники использовали уязвимость в прошивке роутера для, по сути того, чтобы организовать MiTM атаку, и вставлять майнинговый html/js код в страницы, которые загружали пользователи на устройствах, подключающихся через роутеры
https://threatpost.com/huge-cryptomining-attack-on-isp-grade-routers-spreads-globally/134667/
1. Начнем с поправки касательно Fortnite и её распространения на Android мимо Google Play. Меня несколько человек поправили, что в целом инсталляция одного приложения на android без Google Play в последнее время немного модифицировалась и можно временно “снять” галку для одной установки, после чего опция установки из других источников выключится (или включится?) обратно. То есть конкретно для этого кейса это как бы безопасно, хотя сам факт распространения приложения не через официальный канал потенциально несет в себе угрозу для пользователей. Уже даже сейчас в интернете встречаются вредоносные приложения для Android, маскирующиеся под Fortnite, а с выходом официальной наверняка появятся и перепакованные версии, несущие в себе отдельные “бонусы”. Короче, имхо, жадность за 30% выручки перевесила потенциальные эффекты для безопасности пользователей, и это немножко удручает.
https://www.eurogamer.net/articles/digitalfoundry-2018-fortnite-on-android-doesnt-use-google-play-confirmed
АПД Эти ваши Андроиды хрен разберешь. Читатель пишет, что “Опция, которая автоматически отключается — фича производителя, а не ОС. Первым её сделал Самсунг 3 года назад. В самой ОС же механизм изменился только в 8-ке: теперь опции нет. Теперь есть пермишен
https://myachinqa.blogspot.com/2017/10/android-80-2-target-android-80-api.html?m=1”
2. А вот тут еще вчера Wall Street Journal писал о переговорах Facebook с банками в США по совместному обмену данными. Заголовок звучит достаточно устращающе — “Facebook to Banks: Give Us Your Data, We’ll Give You Our Users”
https://www.wsj.com/articles/facebook-to-banks-give-us-your-data-well-give-you-our-users-1533564049
Известно, что Фейсбук собирает много оффлайн-данных для скрещивания с онлайн-данными для получения более полной картины о пользователях. Так-то вроде бы речь идет о том, что ФБ предлагал бы пользователям возможность продажи-покупки товаров в социальной сети, проверку баланса счета, уведомления о мошеннических операциях. При этом, конечно, в этот список попадает и такая полезная информация, как данные по транзакциям по картам. Фейсбук, правда, утверждает, что он не будет использовать эту информацию для таргетирования рекламы или передавать эти данные третьим лицам, но все равно звучит как-то стремно и неприятно. К счастью, банки в США — те еще консерваторы и любят хранить данные о своих клиентах у себя и не делиться ими по возможности с кем попало, поэтому я надеюсь, что ФБ их так легко не уговорит.
3. На прошлой неделе я писал про развод по почте с вымогательством выкупа за якобы имеющиеся записи неприличного поведения получателя письма на каком-то порно-сайте (https://t.me/alexmakus/2280). Вот еще по этому поводу статья https://www.the-parallax.com/2018/08/06/porn-extortion-scam-breached-passwords/, резюмировать которую можно так:
- Игнорируйте это
- Не реюзайте пароли
- Пользуйтесь менеджерами паролей
- Чаще применяйте двухфакторную авторизацию.
4. 200 тысяч роутеров Mikrotik в Бразилии заразили вредоносным ПО для майнинга криптовалюты.
https://twitter.com/bad_packets/status/1024868429797322753
Злоумышленники использовали уязвимость в прошивке роутера для, по сути того, чтобы организовать MiTM атаку, и вставлять майнинговый html/js код в страницы, которые загружали пользователи на устройствах, подключающихся через роутеры
https://threatpost.com/huge-cryptomining-attack-on-isp-grade-routers-spreads-globally/134667/
Eurogamer.net
The rumours are true - Fortnite on Android doesn't use Google Play
The full install procedure revealed plus comments from Epic's Tim Sweeney.
По просьбе знакомых даю ссылку на вакансию директора по IT-безопасности. уверен, в канале найдется немало подходящих кандидатов
https://www.rferl.org/jobs/detail/TEC2039-1801.html
https://www.rferl.org/jobs/detail/TEC2039-1801.html
RadioFreeEurope/RadioLiberty
RFE/RL jobs
RFE/RL journalists report the news in 27 languages in 23 countries where a free press is banned by the government or not fully established. We provide what many people cannot get locally: uncensored news, responsible discussion, and open debate.
Хотел завтра опубликовать (то есть позже сегодня по времени многих из вас), но держаться нету сил. У Snapchat, оказывается, утекла часть исходного кода приложения для iOS, который обнаружился на GitHub. Snapchat прислал тут же DMCA запрос на блокировку доступа
https://github.com/github/dmca/commit/7f359b0798e924363ac16910514b1f0e5a9d6fa1
Правда, в интернете как утекло, так уже и не вырубишь топором, потому что некоторые юзеры пишут, что у них код остался
https://twitter.com/iSn0we/status/1026738393353465858
https://github.com/github/dmca/commit/7f359b0798e924363ac16910514b1f0e5a9d6fa1
Правда, в интернете как утекло, так уже и не вырубишь топором, потому что некоторые юзеры пишут, что у них код остался
https://twitter.com/iSn0we/status/1026738393353465858
GitHub
Process DMCA request · github/dmca@7f359b0
Repository with text of DMCA takedown notices as received. GitHub does not endorse or adopt any assertion contained in the following notices. Users identified in the notices are presumed innocent until proven guilty. Additional information about our DMCA…
Немножко смешной (и одновременно грустный) твит чувака, который купил машину и тут же у дилера, используя известную уязвимость, хакнул мультимедийную систему и поставил туда Android Auto. Автопроизводители еще долго будут осознавать, что software is hard
https://twitter.com/0xAmit/status/1027341134228533250
https://twitter.com/0xAmit/status/1027341134228533250
Twitter
Amit Serper
Got my new car, already used an exploit in its infotainment system (while still in the dealership lol) to install Android auto 😀. The vuln and exploits aren't mine (mzd aio) but I did patch some things there myself. Oh, and it drives like a dream!
какой интересный проект — Social Mapper. использует распознавание лиц для того, чтобы находить людей в разных социальных сервисах. Видимо, чтото типа нашумевшего FindFace, распознававшего пользователей в ВК, но тут поддерживается список сетей побольше:
LinkedIn
Facebook
Twitter
GooglePlus
Instagram
VKontakte
Weibo
Douban
Можно использовать для поиска информации о жертве в разных соцсетях (не то, чтобы я призываю вас это делать)
https://github.com/SpiderLabs/social_mapper
GooglePlus
VKontakte
Douban
Можно использовать для поиска информации о жертве в разных соцсетях (не то, чтобы я призываю вас это делать)
https://github.com/SpiderLabs/social_mapper
GitHub
GitHub - Greenwolf/social_mapper: A Social Media Enumeration & Correlation Tool by Jacob Wilkin(Greenwolf)
A Social Media Enumeration & Correlation Tool by Jacob Wilkin(Greenwolf) - Greenwolf/social_mapper
современные СМИ такие СМИ. Статья о том, что ААААА, МИЛЛИОНЫ СМАРТФОНОВ С УЯЗВИМОСТЯМИ, блаблабла (якобы Министерство безопасности США обладает информацией о уязвимостях в смартфонах, позволяющих получить полный контроль над телефоном, доступ к данным и тд), но никакой технической информации в статье не присутствует — что за платформа, какие версии, какие производители, и тд, и тп.). Так и рождаются мифы о том, что “к микрофонам всех телефонов можно скрытно подключиться и слушать их”
https://www.fifthdomain.com/show-reporters/black-hat/2018/08/07/manufacturing-bugs-allow-millions-of-phones-to-be-taken-over-dhs-project-to-announce/
https://www.fifthdomain.com/show-reporters/black-hat/2018/08/07/manufacturing-bugs-allow-millions-of-phones-to-be-taken-over-dhs-project-to-announce/
Fifth Domain
New bugs leave millions of phones vulnerable to hackers
Phones used by major carriers have underlying flaws giving hackers the ability “to escalate privileges and take over the device.”