а кто помнит скандал с публикацией фотографий обнаженных знаменитостей в далеком 2014 году? Скандал, который подарил нам ню-фото Дженнифел Лоурен, Кирстен Данст и других знаменитостей? Я пару раз писал об этом:
https://t.me/alexmakus/448
https://t.me/alexmakus/774

А вспомнил я об этом сейчас потом, что на этой неделе еще один фигурант этого дела получил 8 месяцев тюрьмы за это преступление. Другие участники этой истории тоже получили сроки от 9 до 18 месяцев в тюрьме

https://www.theguardian.com/technology/2018/aug/29/nude-photo-hacker-prison-sentence-jennifer-lawrence-victims

И, как всегда, очень интересное исследование от компании Элкомсофт, которая специализируется по добыванию информации с компьютеров и смартфонов. В этот раз они решили покопаться в транзакциях Apple Pay, хранящихся в телефоне, и обнаружили... да, в общем-то, не так много они и обнаружили. Хорошие новости (для пользователей) заключаются в том, что данные не попадают ни в локальный бекап, ни в бекап в iCloud. Транзакции, проведённые часами, не попадают в телефон, и не хранятся в бекапе часов. Но в целом, применив один из инструментов Элкомсофт, кое-какую информацию с телефона получить всё-таки можно (что пригодится, например, правоохранительным органам в их расследованиях)

https://blog.elcomsoft.com/2018/08/analysing-apple-pay-transactions/

Ещё небольшой анонс. На следующей неделе я попробую поэкспериментировать с ботом @CyberSecusBot. Он будет делать сюда репосты из блога, где будут изначально появляться новости, а затем уже будут ретранслироваться сюда. Я предполагаю, что формат не должен измениться, зато у контента добавится читателей: а) те, у кого нет Телеграма, б) те, кто хочет читать по RSS, как мне написали несколько читателей, и в) на случай, если Телеграм в России все-таки заблокируют. Так что не удивляйтесь, если тут будет что-то нестандартное на время экспериментов, или что-то вдруг пойдёт не так (а что-то обязательно пойдёт не так, подсказывает мне опыт)

Веселая история о том, как сотрудник Google обнаружил уязвимость в программном обеспечении для системы, обеспечивающей пропускной режим и открытие двери в здания Google. а все потому, что он нашел захардкоженный ключ для шифрования команд, и таким образом смог сам отправлять команды, в том числе и на открытие двери, а также на блокировку входа других пользователей. Причем делать это он мог со своего рабочего места, что вызвало еще один вопрос об операционной безопасности разделения сетевых сегментов в компании. Но поскольку он был сотрудником google, он сообщил об обнаруженной проблеме, и компания, обеспечивающая работу двери, проблему починила. Но там обнаружился другой подвох: переход на шифрование TLS потребовал замены аппаратной части, так как первоначальной системе не хватало памяти для работы с TLS. Так что сколько еще таких клиентов компании (Software House) по миру, использующих уязвимую систему — знает только сама компания.
https://www.forbes.com/sites/thomasbrewster/2018/09/03/googles-doors-hacked-wide-open-by-own-employee/

Если тут есть игроки в Mortal Online (популярной MMORPG), то вам лучше сменить пароль в сервисе. В июле злоумышленники добрались до базы пользователей и вынесли около 570 тысяч записей, включая логины и пароли в MD5, которые потенциально вполне можно расшифровать.

https://www.bleepingcomputer.com/news/security/cracked-logins-of-570-000-mortal-online-players-sold-on-forums/

А правительства все не успокаиваются против бэкдоров. На прошлой неделе группа из правительств пяти стран (США, Австралия, Великобритания, Канада и Новая Зеландия) повстречались, обсудили и решили, что надо призвать крупные технологические компании к сотрудничеству и обеспечению бэкдоров в их устройствах и сервисах, а не то им придется столкнуться с юридическими последствиями отказов от такого сотрудничества. Так то, конечно, утверждают правительства, бэкдоры смогут обеспечить необходимую приватность и права пользователей, и будут использоваться только для уголовных расследований и вопросов, связанных с национальной безопасностью. Когда-то, когда Apple спорила с ФБР по поводу бекдора для iPhone, я написал, возможно, немного сгущающий и несколько романтический пост на эту тему, но по сути ничего не поменялось. Правда, с тех пор стало известно о различных и многочисленных утечках информации и инструментов из Агентства Национальной Безопасности США (NSA), и Центрального Разведывательного Управления (ЦРУ), но, видимо, представители этих "Пяти Глаз" живут в параллельной вселенной, в которой ничего этого не было, а бэкдоры существуют в полной безопасности и надежно хранятся от посторонних глаз. А также они хотят выиграть гонку против математики и стараются провернуть фарш назад. Эх...

Ссылка на заявление

Сразу пара читателей прислали мне ссылку на историю с приложением в App Store, обманным путем пытающимся подписать пользователей на регулярную подписку стоимостью в 100 долларов в неделю. Приложение маскируется названием под популярный сервис для поиска дальних родственников Ancestry, но в процессе заведения аккаунта просит пользователя приложить палец к сканеру Touch ID, чтобы "начать поиск", а затем немедленно подставляет диалог для авторизации платежа за подписку



Как только приложение начали обсуждать на Reddit, его выпилили из App Store, но все равно непонятно, куда смотрели принимающие ревьюверы Apple, часто цепляющиеся к совершенно ненужным мелочам в приложении, и пропустившие такой явный скам (вот сюда смотрели https://t.me/brodetsky/1302). Короче, осторожней прикладывайте свои пальчики :)


https://twitter.com/3raxton/status/1035802674778624001?s=21

В связи с десятилетием браузера Google Chrome компания анонсировала новый редизайн браузера, и о деталях этого редизайна можно почитать вот здесь (https://www.tomsguide.com/us/get-chrome-69-material-design-update,news-27969.html). Но интересующимся темой инфобезопасности будет интересно узнать, что в новую версию Chrome вошел также и обновленный встроенный менеджер паролей, который теперь более проактивно предлагает сложные пароли, что должно помочь в борьбе против повторного использования паролей пользователями (известная головная боль)

Тоже хороший тред в Твиттере о том, как два предприимчивых молодых человека увели 30 тысяч долларов у клиентов чешского Vodafone, у многих из которых был пароль 1234 (в целом там было требование на 4-6 значный пароль, и есть версия, что для многих клиентов пароль 1234 устанавливался автоматически). Злоумышленники рандомно пробовали логин и пароль, и логинились в личные кабинеты клиентов, а затем переводили деньги на свои счета

https://twitter.com/spazef0rze/status/1037106596113989632

Статья (на чешском)
https://zpravy.idnes.cz/vodafone-kradez-penez-heslo-1234-internetova-samoobsluha-mobil-pud-/domaci.aspx?c=A180903_213827_domaci_zaz

Кстати, о Хроме. Тут вот среди официальных расширений для браузера обнаружили, что официальное расширение MEGA скомпрометировали и оно занималось всяким непотребством, включая воровство паролей и приватных ключей для кошельков с криптовалютой. Расширение пересылало все собранные данные на сервер в Украине. Если вы устанавливали расширения в Chrome и не помните какие — самое время пересмотреть их список и удалить лишние, которыми вы не пользуетесь. Если же у вас оказалось расширение MEGA.nz (уже выпиленное из Chrome Web Store и заблокированное Google), то лучше сменить пароли на всяких важных сервисах (Amazon, Google, Microsoft, GitHub, the MyEtherWallet и MyMonero)

https://www.zdnet.com/article/mega-nz-chrome-extension-caught-stealing-passwords-cryptocurrency-private-keys/

тут просто без комментариев
https://krebsonsecurity.com/2018/09/for-2nd-time-in-3-years-mobile-spyware-maker-mspy-leaks-millions-of-sensitive-records/

Сегодня как-то накопилось несколько интересных ссылок, поэтому выпуск сегодня скорее похож на дайджест. Итак, поехали.

1. Полиция Нью-Йорка установила массу камер по городу для наблюдения и предотвращения угроз. IBM использовала изображения с этих камер для обучения системы по идентификации объектов и поиска по различным характеристикам: цвет волос, оттенки цвета кожи, и тд.
https://theintercept.com/2018/09/06/nypd-surveillance-camera-skin-tone-search/

2. Департамент юстиции США выдвинул обвинения против северокорейского хакера Park Jin Hyok (Пак Джин Хьёк), и список заслуживает практически уважения. Это и взлом Sony Pictures в 2014 году (на волне выхода фильма "Интервью" про убийство Ким Чен Ына), и участие во взломе банка Бангладеша, что привело к краже десятков миллионов долларов, и разработка вируса WannaCry. Так-то его, конечно, никто не выдаст, поэтому все, что могут делать представители департамента — надувать щеки и назначать санкции.

А вот тут интересный тред в твиттере о всякой информации, которую можно получить из материалов дела об этом корейском хакере:
https://twitter.com/razhael/status/1037757255507169280



Документ Департамента юстиции
Анонс санкций




3. Apple на своей странице о информационных запросах со стороны государств анонсировала, что компания запускает программу по поддержке правоохранительных органов, которые хотят подать запросы на получение информации от Apple. Собственно, это не значит (как уже некоторые успели предположить), что Apple начнет раздавать информацию направо и налево, это значит, что будет стандартизирован формат подачи информации. Появится специальный портал, куда полицейские со всего мира (но специальным образом авторизованные, хотя непонятно, что это значит), смогут вводить данные запроса и надеяться на ответ от специальной команды юристов и экспертов Apple.

https://www.apple.com/privacy/government-information-requests/

4. British Airways сообщила о утечке пользовательских данных со своего сайта ba.com, и о том, что "380 тысяч платежей банковскими картами было скомпрометировано". Деталей о том, что именно произошло, к сожалению, нет.

https://techcrunch.com/2018/09/06/british-airways-customer-data-stolen-in-data-breach/

АПД официальное заявление BA тут
https://www.britishairways.com/en-gb/information/incident/data-theft/latest-information

Известный эксперт по безопасности macOS Патрик Вордл обнаружил, что популярное в Mac App Store приложение Adware Doctor копировало у пользователей историю просмотров веб-страниц в браузере и отправляло его на сервер в Китае. Приложение было не просто "популярное", а четвертое в списке платных ($4.99) приложений в Mac App Store, а в своей категории — вообще первое. Приложение активно сканировало историю всех браузеров, установленных на Маке (Safari, Chrome, Firefox), архивировало её в запароленный архив и передавало её на сервер adscan.yelabapp.com.

Теоретически ограничения песочницы Mac App Store должны были такое предотвратить, но приложение запрашивало доступ к пользовательской директории (что вроде как само по себе легитимно - надо же сканировать файлы от вредоносного ПО), но явно злоупотребило этим правом на доступ. Плюс использование комбинации методов для получения списка запущенных процессов, и сбора истории браузеров — и вуаля. После получения жалобы на приложение Apple убрала его из Mac App Store, но осадок, как обычно, остался. Mac App Store, you had one job!

Кстати, в 10.14, которая выйдет осенью, Apple уже "укрепила" macOS по поводу доступа к данным браузера на уровне файловой системы (если включена System Integrity Protection), так что, по идее, даже выход из sandbox такого приложения не должен принести ему пользы, но в Mac App Store тоже должны внимательней изучать приложения, которые туда попадают.

1Password теперь поддерживает YubiKey для двухфакторной авторизации в аккаунт сервиса https://support.1password.com/yubikey/

Я вчера писал о том, что British Airway рассказала об утечке пользовательских данных со своего сайта, и речь, в частности, шла об утечке 380 тысяч данных банковских карт клиентов. Технических деталей взлома не было, но есть подозрения. Вот хороший пост о том, как многие авиакомпании (да если бы только они) напичкивают свои сайты сторонними JavaScript/CSS/HTML, которые они не контролируют, а потом происходит то, что происходит. По ссылке — большое количество примеров с сайтами популярных авиакомпаний.

https://huagati.blogspot.com/2018/05/things-you-probably-dont-want-to-do-on.html

Защитить сервер от...

вот еще пример из личной жизни. Компания по чистке водосточных желобов сделала рассылку по клиентам с напоминанием - с указанием имейлов и стоимости чистки. Рука, встречай лицо.

На прошлой неделе я писал про популярное приложение в Mac App Store, которое, как оказалось, отправляло пользовательские данные на сервер в Китае. Оказалось, что такое приложение не единственное, и есть еще несколько приложений в MAS, которые занимаются подобной активностью (не всегда это Китай, но тем не менее, утечка пользовательских данных имеет место быть). И, разумеется, пользователи ни сном, ни духом не в курсе происходящего.

Adware Doctor отправляет
- Историю браузеров
- Список запущенных процессов
- Список установленных приложений (и откуда они были установлены)

Open Any Files: RAR Support отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Dr. Antivirus отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Dr. Cleaner отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Из этого всего можно сделать вывод, что нельзя быть уверенным на 100% в надежности ПО, которое проходит проверку Apple и размещается в Mac App Store. Так что даже устанавливая приложения из этого источника, обращайте внимание на права, которые приложения запрашивают.

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах


Список приложений и компаний, занимающихся сбором такой информации, можно почитать тут. Что со всем этим делать? Как минимум, в настройках iOS можно включить опцию для минимизации рекламной слежки. Там же можно сбросить рекламный идентификатор (и делать это периодически). И, опять же, внимательно следить за тем, какие права запрашивают приложения, устанавливаемые на смартфон. В частности, если какое-то приложение просит доступ к местоположению "всегда", а не только когда это приложение работает, я бы напрягся. Кстати, также в настройках iOS можно посмотреть, какие приложения запрашивали такой доступ, и либо отключить им доступ "всегда" (если им не нужно это для функциональности - например, приложению-навигатору нужен), либо удалить такие приложения. Берегите свое местоположение!

PS И, конечно же, хотелось бы, чтобы Эпол ужесточила контроль за такими приложениями, обращая больше внимания на то, какие SDK и зачем используются в приложениях.

‌И снова с вами новости из мира, в котором информация ежесекундно подвергается опасносте!

На прошлой неделе я писал о том, что British Airways стала жертвой взлома, который привел к утечке данных 380 тысяч карт клиентов авиакомпании. Тогда компания решила не делиться информацией о том, как произошел взлом, а сейчас информация стала доступной благодаря расследованию компании RiskIQ. Та же группа злоумышленников (Magekart, которая взломала сервис по продаже билетов Ticketmaster UK, смогла вставить 22 строки кода JavaScript в страницу оплаты при покупке билетов, что позволило одновременно атаковать и покупки на вебе, и в мобильном приложении