DuckDuckGo тут напомнили, что можно заглянуть в рекламные настройки Facebook, чтобы увидеть список рекламодателей, которые загрузили вашу контактную информацию в ФБ для показа рекламы. То есть не просто таргетирование "белый мужчина такого-то возраста в таком-то городе с интересом к автомобилям", а именно конкретно вашу информацию - имейл или номер телефона.

Settings > Ad preferences > Advertisers you've interacted with > Advertisers who uploaded a contact list with your info > See all

(Эту функциональность Facebook никогда и не скрывал — если вы оставляете свою информацию в какой-то компании, и она потом хочет показать вам рекламу, то она может загрузить свой контактный список в Фейсбук и показывать рекламу совершенно конкретным людям).

Но я решил ради интереса заглянуть в свой список, что там у меня, и увидел ТАКОЕ... Кликай скорей, чтобы узнать!


Я просто покажу конец списка, чтобы вы увидели, сколько там всего позиций:
(https://alexmak.net/wp-content/uploads/2018/11/Screen-Shot-2018-11-07-at-8.29.09-PM.png)

973 позиции, большинство из которых — это автодилеры всех возможных автомобильных марок, в основном из тех мест, о которых я никогда не слышал, и которые вообще далеко от меня. Подозреваю, кто-то из тех дилеров, в которых я бывал или покупал автомобили, слил мой адрес электронной почты в некую единую базу, которую затем либо покупают, либо которой просто пользуются сотни автодилеров по всей стране, и вот результат. И, главное, никак от этого не избавиться, кроме как самовыпилиться из ФБ (ну, или менять телефон, имейл, имя и планету проживания).

Инструкцию, чтобы посмотреть рекламодателей по вашей информации, дали DuckDuckGo в своем твите. Я смог получить полный список в одной странице только на мобильной версии Facebook (кликайте сюда, чтобы сразу видеть ваш список), но, возможно, это ФБ, как всегда, экспериментирует с A/B тестами, и десктопная страница ваших настроек будет выглядеть немного по-другому, чем моя. Хорошо, что я редко хожу в ФБ и еще реже читаю там ленту, что избавляет меня от просмотров рекламы.

Еще несколько интересных ссылок на тему инфобезопасности:

1. Кстати, о Facebook. На прошлой неделе встретил информацию о том, что в интернете появились на продажу 81 тысяча учетных записей пользователей социальной сети.
https://www.digitalshadows.com/blog-and-research/81000-hacked-facebook-accounts-for-sale-5-things-to-know/
Тут есть дополнительная информация от компании, которая помогала BBC с оригинальной статьей:
- 81 тысяча аккаунтов — это только те, для которых в архиве есть личная переписка (и другие данные). Данные профиля включают в себя имена, адреса. контактную информацию, список друзей и переписку. Фотографий в профилях нет. Общее количество профилей в архиве — 257 256. Большинство этих аккаунтов (30%) — пользователи ФБ из Украины, еще 9% - пользователи из России. Продавец также утверждает, что у него есть 120 млн аккаунтов. Метод, которым получены эти данные, неизвестен, хотя есть подозрение на какое-то расширение в браузере.

2. Обнаружена еще одна side-channel уязвимость в процессорах Intel, позволяющая злоумышленникам получить доступ к криптографическим ключам и другой конфиденциальной информации. Встречайте PortSmash!
Дополнительная информация тут: https://seclists.org/oss-sec/2018/q4/123. Во всем виноват Hyper-Threading, когда, грубо говоря, одно приложение из своего треда на процессоре может, по сути, заглянуть в другой тред — изучив доступ к кэшам и тайминг выполнения операций. Выход один — отключать HT, хотя Intel считает, что проблемы нет, и нужно просто писать такой код, который будет устойчив к атакам подобного рода. Эта история не имеет отношения к Spectre и проч. уязвимостям спекулятивного исполнения.


3. Обнаружены две уязвимости в Bluetooth Low Energy чипах Texas Instruments - чипы, которые используются в корпоративных роутерах производителей таких как Aruba, Cisco и Meraki. Первая уязвимость называется Bleeding Bit, вторая вроде бы без названия, но в итоге одна обеспечивает memory overflow и последующее исполнение кода на устройстве, а вторая позволяет установить зараженную прошивку на роутеры Aruba, потому что устройство не проверяет доверенность прошивки. Для эксплойта нужно быть в пределах досягаемости Bluetooth

Ссылки по теме:
https://www.kb.cert.org/vuls/id/317277/
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-006.txt
https://meraki.cisco.com/blog/cisco-meraki-customer-advisories/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181101-ap

4. 0-day в Virtual Box
https://github.com/MorteNoir1/virtualbox_e1000_0day/blob/master/README.md

5. Утечка данных клиентов американского отделения банка HSBC
https://www.databreachtoday.com/hsbc-bank-alerts-us-customers-to-data-breach-a-11685

Сегодня опять коллекция, и к тому же очень интересных.

1. Помните, несколько дней назад я писал про целый набор всяких лаж разной степени лажовости в аппаратном шифровании данных внешних дисков? Там еще возникала дополнительная коллизия в случае с программным шифрованием с помощью BitLocker, где BitLocker, обнаружив аппаратное шифрование на диске, говорил "ну, мне тут делать больше нечего".

Так вот, Microsoft выпустила рекомендации по поводу того, как правильно сконфигурировать BitLocker, чтобы шифрование BitLocker применялось даже в случае обнаружения аппаратного шифрования на дисках:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028

2. Полиция расшифровала 258 тысяч сообщений после взлома шифрования приложения IronChat, которое продвигало себя как приложение для безопасного чата. Интересная статья о том, почему это шифрование вообще могли взломать (потому что самопальное шифрование - это очень сильный риск, кгхм... Телеграм... кгхм...)
https://arstechnica.com/information-technology/2018/11/police-decrypt-258000-messages-after-breaking-pricey-ironchat-crypto-app/

3. Сайт производителя дронов DJI оказался насыщен не только информацией о дронах, но и уязвимостями, которые могли позволить злоумышленникам получить доступ к пользовательским логам, картам и хранящимся видео. Сама уязвимость требовала тех еще танцев в гамаке, но DJI все равно позакрывала соответствующие дыры:
https://techcrunch.com/2018/11/08/security-flaw-in-dji-apps-exposed-accounts-to-hackers-and-drone-live-feeds/

MUST READ
4. И в рамках чтения на выходные — ФЕЕРИЧНЕЙШАЯ история о том, как спецслужбы Ирана смогли с помощью Google вычислить сайты, через которые общались агенты ЦРУ со своими источниками, что привело к смерти десятков источников. Сама история не новая, описанные в статье события происходили почти 10 лет назад, с 2009 по 2013 год, но масштабность и последствия от этого меньше не становятся. Некий двойной агент показал определенный сайт, через который происходил обмен информацией, и иранская разведка смогла с помощью Google обнаружить подобные сайты, которые использовали некий общий компонент (который, видимо, как раз и можно было идентифицировать с помощью Google и продвинутых операторов поиска). Читается это все как увлекательнейший шпионский роман, пока не вспоминаешь, что за этими буквами стоят реальные жизни людей:
https://www.yahoo.com/news/cias-communications-suffered-catastrophic-compromise-started-iran-090018710.html

Быстрый и безопасный DNS 1.1.1.1 теперь доступен на мобильных платформах в виде удобного и простого приложения:

Для Android
https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone

Для iOS
https://itunes.apple.com/us/app/1-1-1-1-faster-internet/id1423538627?mt=8

Больше здесь:
https://blog.cloudflare.com/1-thing-you-can-do-to-make-your-internet-safer-and-faster/

Привет,

Сегодня нет времени объяснять, поэтому коллекция ссылок (зато большая) по теме:

1. Ошибка в Facebook, позволявшая сайтам видеть лайки пользователей и их друзей
https://techcrunch.com/2018/11/13/facebook-bug-website-leak-likes-interests-profile/

2. Женщина, арестованная за участие в перестрелке, удаленно очистила iPhone X, который у нее изъяла полиция
https://dailygazette.com/article/2018/11/08/police-woman-remotely-wipes-phone-in-evidence-after-shooting

3. Исследователь обнаружил уязвимость в Steam, позволявшую ему получать лицензии на любые игры, и награда нашла героя!
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

4. Уязвимость в VirtualBox, дающая выход из виртуальной машины (много интересных деталей)
https://www.voidsecurity.in/2018/11/virtualbox-vmsvga-vm-escape.html

5. странная история с тем, что некоторые владельцы учетных записей Apple ID обнаружили их заблокированными "по соображениям безопасности" (возможно, какой-то массовый брут-форс)
https://9to5mac.com/2018/11/13/some-iphone-users-finding-their-apple-id-accounts-have-been-inexplicably-locked-requiring-password-resets/

6. проект по разработке безопасных аппаратных хранилищ
https://keystone-enclave.org

7. Раздел на GitHub касательно уязвимости в Safari/macOS 10.13.3 c Pwn2Own2018, приводящей к удаленному исполнению кода
https://github.com/saelo/pwn2own2018

И Фреймворк с ней для metasploit
https://github.com/rapid7/metasploit-framework/pull/10944

Привет! Если вы вдруг пропустили историю про Bloomberg, китайские чипы, Apple и Amazon (а что вы тогда в канале делаете?), то она теперь есть еще и в аудио-формате!

​​В новом Бородокасте сразу две необычных штуки. Во-первых, модуль с Алексом Пацаем из канала об информационной безопасности теперь будет регулярным; в этом выпуске он рассказал о ситуации с Bloomberg и Super Micro. Во-вторых, Владимир Плотников составил нам компанию вместо Антона и оживил подкаст своим жизненным опытом.

А так, мы рассказали, как контролируем расходы (и контролируем ли), обсудили закон об обязательной идентификации пользователей в мессенджерах и мультфильм Next Gen.

• Слушать подкаст на сайте
• Скачать MP3

У меня накопилось сразу несколько ссылок на похожу тему, и я решил их собрать сразу в одном месте. Я уже несколько раз писал о закладках в платежных системах некоторых популярных сайтов — например, про Newegg, а вот про British Airways, и вкусные детали об этом), которые приводят к утечке данных платежных карт покупателей. Каждый раз обстоятельства указывают на то, что к взлому причастна группа Magecart, о которой до последнего времени было мало что известно. Но пару дней назад был опубликован отчет, который проливает свет на эту группу хакеров, и как именно она работает и какие векторы атак использует. Скачав отчет (бесплатно, но с регистрацией), вы узнаете не только о самой группе, но и том, как можно обезопасить сайты от подобных взломов.

Отчет https://www.riskiq.com/research/inside-magecart/

И пока я писал эту заметку, увидел в новостях, что Magecart побывала на известном крайне правом сайте, толкающем всякие странные теории заговоров, Infowars, и данные карточек около 1,5 тыс пользователей оказались скомпрометированы.

Вот еще большой и интересный материал о безопасности (или скорее — опасносте) банковских карт в США, где за последние 12 месяцев украдено данных 60 млн банковских карт. Основная проблема в том, что, несмотря на (наконец-то!) распространенность карт с чипами, многие ритейлеры продолжают прокатывать карты магнитной лентой. Почему? потому что в плане всего, что касается платежей картами, США — какая-то страна третьего мира, невероятно консервативная и медленно двигающаяся. Европа в плане тех же чипов и бесконтактных платежей настолько впереди США, что это уже какая-то параллельная вселенная. Извините, наболело.
https://threatpost.com/u-s-chip-cards-are-being-compromised-in-the-millions/139028/

Умные домашние колонки — они не только полезны, но и ... (я хотел, было, написать, что "вредны", но в этом случае все не так однозначно). Особенно если дело касается преступления, его расследования и предоставления доказательств. В 2017 году в штате Нью-Гемпшир произошло убийство, в котором погибли две женщины. Обвиняемый свою вину отрицает. В доме была обнаружена умная колонка Amazon Echo, и теперь суд принял решение, по которому Amazon обязаны предоставить не только записи, сделанные колонкой в районе произошедших событий, но и различные метаданные, включая и то, какие телефоны были "спарены" с колонкой.

https://arstechnica.com/tech-policy/2018/11/amazon-must-give-up-echo-recordings-in-double-murder-case-judge-rules/

Продолжая тему сбора информации с IoT устройств, нельзя не отметить также и старания компании Cellebrite. Компания известна тем, что предоставляет правоохранительным органам услуги по взлому смартфонов и получению информации с них. Наиболее известный кейс с участием этой компании — это, вероятней всего, их помощь во взломе iPhone террориста Саида Фарука, который расстрелял людей в Сан Бернардино, штат Калифорния.

Так вот, Cellebrite, видя, как развиваются различные устройства для дома, считает, что из них можно получить массу полезной информации при расследовании преступлений. Так выглядит, по их мнению, набор источников информации из гипотетического сценария с убийством, когда в квартире обнаружены, кроме тела жертвы, Amazon Echo, роутер Google OnHub, хаб Samsung Smart THings, датчики движения, сенсоры на дверях, и свич IPTime.

Собрав данные с этих устройств, можно, по мнению Cellebrite, получить достаточно много информации, которая способна помочь в расследовании убийства. Короче, преступникам скоро придется быть еще и хакерами, чтобы хорошенько замести следы.

https://www.cyberscoop.com/cellebrite-iot-data/

Сегодня уже несколько читателей прислали мне ссылку на статью про японского министра кибербезопасности Yoshitaka Sakurada, который признался, что никогда не пользовался компьютером:

https://www.theguardian.com/world/2018/nov/15/japan-cyber-security-ministernever-used-computer-yoshitaka-sakurada

Моя первая реакция была "о, вот это он защитился", а также я сразу вспомнил анекдот про лучшую защиту от СПИДа — "никакого секса". Но заголовок статьи — это лишь часть истории. Там сразу фигирует момент, в котором у этого министра спрашивают, пользуются ли USB-флешками на атомных станциях, и он просто не понимает, о чем идет речь.

Аргумент Sakurada заключается в том, что у него всегда есть помощники, которым он выдает инструкции. Но как человек, который не в курсе базовых понятий, может оценить, какую именно инструкцию выдать — это вне моего понимания. Реально странная история.

Впрочем, в огромном количестве стран чиновники, которые не используют компьютеры или не знакомы с основными концепциями информационных технологий — это не новость. Проблемы начинаются, когда эти чиновники и депутаты пытаются придумывать законодательство о информационной безопасности и криптографии, не понимая, о чем это вообще.

PS зато украсть цифровые данные у Yoshitaka Sakurada будет реально непростой задачей!

Forbes пишет о том, что два исследователя обнаружили уязвимость в iPhone, позволяющую получить доступ к уже удаленным фотографиям на устройстве (и заработали на этом 50 тыс долл).

Они продемонстрировали эту уязвимость на конкурсе Mobile Pwn2Own, и информацию об уязвимости передали в Apple. В статье на Forbes фигурирует информация, что уязвимость была продемонстрирована на iOS 12.1, которая является на данный момент последней публично выпущенной версией iOS. Уязвимость в just-in-time (JIT) компиляторе позволяет получить доступ к тем фотографиям, которые пользователь удалил из фотобиблиотеки, но они до 40 дней лежат в типа "чистилище", и эксплуатируемая уязвимость позволила им получить доступ (причем через роутер Wifi, то есть сценарий, как они его называют, "в кофейне"). К сожалению, технических деталей нет (видимо, они появятся, когда выйдет апдейт, исправляющий эту проблему), но из статьи на Forbes можно сделать вывод, что доступ можно получить и к другим файлам, а удаленное фото было использовано как пример, первым попавшийся под руку.

site:http://s3.amazonaws.com CONFIDENTIAL {company_name}

https://twitter.com/x0rz/status/1063467587592486912

‌На Motherboard статья об исследовательском проекте, в рамках которого продемонстрировали, как искусственный интеллект может генерить отпечатки пальцев, которые могут быть мастер-ключами для сенсоров сканирования отпечатков пальцев. Речь не о повторении ваших уникальных отпечатков и капилляров, а именно о создании искусственных отпечатков, которые могут стать ключом сразу для большой группы людей. Ой.

https://arxiv.org/abs/1705.07386

Рекомендую почитать весь отчет, там очень интересно:

(https://alexmak.net/wp-content/uploads/2018/11/Screen-Shot-2018-11-16-at-3.10.06-PM.png)

Они там тренировали свои сети на прокатанных на бумаге отпечатках, и на отпечатках с ёмкостных сенсоров, которые можно обнаружить в современных телефонах. Вопрос, конечно, в том числе и в уровне разрешения, которое сканируют сенсоры, в отчете есть статистика, что на качественных сенсорах уровень "обмана" — меньше 1,2%. Но я хотел сказать о другом. Никто никогда и не говорил, насколько я помню, что сенсоры сканеров отпечатков пальцев (или лица) нельзя обмануть. Если у вас такой уровень паранойи, то лучше всегда пользоваться PIN-кодом, который формально вас не могут принудить раскрыть (неформально-то разное бывает, конечно). Но если у вас есть опасения, что за вами охотится кто-то с таким уровнем знаний, оборудования и желания разблокировать ваш телефон, то о биометрии вам лучше забыть. Большинство же пользователей, которым не грозит такой уровень угрозы, и нужно, чтобы в телефон не залезли коллеги, дети или воришка, стащивший телефон, могут расслабиться и продолжать пользоваться сенсорами отпечатков пальцев или сканирования лица.

Исследователи обнаружили в интернете сервер компании Voxox (бывшая Telcentris), который служил шлюзом для передачи в SMS различных одноразовых паролей, ссылок для сбросов паролей, и тд. Компании, подобные Vovox, предоставляют сервисы многим компаниям-разработчикам других приложений или сервисов, для того, чтобы обеспечивать доставку подобных текстовых сообщений — они конвертируют коды в SMS и отправляют их в сотовые сети.

https://techcrunch.com/2018/11/15/millions-sms-text-messages-leaked-two-factor-codes/

Сервер был доступен в интернете, без какой-либо защиты паролем, и позволял желающим (и знающим, куда смотреть) увидеть практически в реальном времени поток различных сообщений. Кроме того, на сервере была настроена Kibana, что позволяло легко и удобно просматривать всю информацию, формировать поисковые запросы, и тд. Вопрос лишь в том, знали ли об этом какие-нибудь злоумышленники и могли ли они применить сценарий, при котором доступ к этой информации мог быть использован с пользой для них.

Очередное доказательство того, что SMS-подтверждения — зло, и лучше пользоваться приложениями-аутентификаторами.

Еще несколько ссылок на почитать на выходных, если будет много свободного времени.

- интереснейший лонгрид о Facebook и о том, как компания пыталась митигировать последствия одного кризиса за другим:
https://www.nytimes.com/2018/11/14/technology/facebook-data-russia-election-racism.html?module=inline
(там и про российское влияние на выборы, и про лоббисткие компании, которые очерняли активистов, и про реакцию на скандал с Cambridge Analytica, и про дружбу с законодателями в Вашингтоне. Это как бы не совсем по теме канала и инфосека, но надо понимать, что Фейсбук — обладатель одной из крупнейших коллекций персональных данных на жителей планеты. Поэтому очень полезно понимать, как компания функционирует на самом верху)

- как использовать давно не обновляемый Apple iPod Touch можно использовать в виде безопасного коммуникационного устройства вместо смартфона:
https://motherboard.vice.com/en_us/article/439dk9/how-to-use-ipod-touch-secure-device-instead-of-phone

- интересный гид Mozilla Foundation по популярным подаркам в этом году. Как это связано с информационной безопасностью? К каждому подарку есть параметры о возможности сбора информации или прослушки, и насколько эти подарки пугающе неприятны или неприятно пугающие (камеры, умные колонки, детские мониторы, игрушки и тд):
https://foundation.mozilla.org/en/privacynotincluded/

Хороших выходных!

FYI — там у Microsoft в Azure прилегла MFA, поэтому у пользователей, у которых корпоративное требование MFA, испытывают некоторые сложности
https://azure.microsoft.com/en-us/status/

Привет,

Сегодня, к сожалению, еще один апдейт со ссылками, потому что редакция зашивается с кучей других дел. Но зато ссылок много, и они интересные!

1. История на Реддите, где сисадмин нашел вредоносное устройство, подключенное к сети (спойлер — подключено бывшим сотрудником)
https://www.reddit.com/r/sysadmin/comments/9xveq5/rogue_raspberrypi_found_in_network_closet_need/

2. Владелец Tesla пожаловался в поддержку форума Tesla на проблемы с редактированием поста, в ответ поддержка случайно выдала ему админские права на весь форум:
https://motherboard.vice.com/en_us/article/7xy8ey/customer-complains-about-tesla-forums-tesla-accidentally-gives-him-control-over-them

3. Топ-менеджеры сети кинотеатров повелись на мошенническое письмо (типа фейкового счета к оплате), что обошлось компании в 19 млн евро.
https://www.databreachtoday.com/blogs/french-cinema-chain-fires-dutch-executives-over-ceo-fraud-p-2681

4. Патент Facebook на то, что они будут распознавать на ваших фотографиях ваших членов семьи и таким образом создавать профиль всего семейства для улучшения эффективности таргетирования рекламой
http://appft.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PG01&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.html&r=1&f=G&l=50&s1=%2220180332140%22.PGNR.&OS=DN/20180332140&RS=DN/20180332140

5. Отчет о том, как Microsoft собирает данные на индивидуальных пользователей в рамках корпоративных продуктов (и это нигде не афишируется)
(PDF) PDF https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office/DPIA+Microsoft+Office+2016+and+365+-+20191105.pdf

6. Статья о SenseTime, компании, которая помогает строить в Китае сети видеонаблюдения с распознаванием лиц и других объектов
https://www.bloomberg.com/news/articles/2018-11-19/this-company-is-helping-build-china-s-panopticon-it-won-t-stop-there?srnd=businessweek-v2

7. Большая статья о банкоматах и методах их взломов
(PDF) https://www.ptsecurity.com/upload/corporate/ww-en/analytics/ATM-Vulnerabilities-2018-eng.pdf

Также в связи с праздниками редакция прощается с вами до следующей недели! Берегите себя и свою информацию!

После затянувшегося перерыва редакция нашла в себе силы продолжить публикацию обновлений, которых накопилось большое количество. Начнем с "технических ошибок", в которых за прошедшую неделю отметились парочка крупных компаний.

В рамках реализации функциональности по закачке пользовательских данных, которая была предоставлена пользователям благодаря европейскому законодательству GDPR, Instagram для небольшого количества пользователей засветила пароли. В частности, когда пользователи запрашивали информацию о себе у Instagram, то в ссылке был прописан пароль пользователя открытым текстом. Упс. Нехорошо как-то получилось, особенно если кто-то делал это на компьютере, к которому может иметь доступ кто-то еще. Если вы получили письмо от Instagram об этой истории, рекомендация сменить пароль лишней не будет.

https://www.theinformation.com/articles/new-instagram-bug-raises-security-questions?shared=6cc196d735a0f678
https://nakedsecurity.sophos.com/2018/11/20/instagram-accidentally-reveals-plaintext-passwords-in-urls/

А британский Амазон разослал некоторым пользователям в Великобритании письмо о том, что в результате некой технической ошибки сайт раскрыл информацию о пользователях — имя и имейл. Кому раскрыл, как это произошло и какое количество пользователей было затронуто — неизвестно. Но письмо с уведомлением выглядело так, что многие пользователи восприняли его за попытку фишинга.

https://www.theregister.co.uk/2018/11/21/amazon_data_breach/