1. Тот взлом SPG/Marriott, при котором за 4 года утекло данных на 500 млн человек? NYT пишет, что это дело китайских хакеров, работавших на министерство государственной безопасности
https://www.nytimes.com/2018/12/11/us/politics/trump-china-trade.html

2. Больше года назад я писал о взломе Equifax — кредитного бюро в США, при взломе которого утекло данных на почти 150 млн американцев, причем там все — от имени до номера социального страхования, и последствия для многих — на всю жизнь. Так вот, Конгресс США опубликовал доклад об этом взломе, из которого следует, что этот взлом вполне можно было предотвратить. Я просто оставлю цитату из отчета тут:

Equifax did not see the data exfiltration because the device used to monitor ACIS network traffic had been inactive for 19 months due to an expired security certificate. On July 29, 2017, Equifax updated the expired certificate and immediately noticed suspicious web traffic.

Рука, встречай лицо.

3. История с австралийским законом о шифровании точно пока не закончилась. Вот большое открытое письмо, подписанное огромным количеством экспертов по безопасности.

Вот хорошая статья с FAQ об этом законе: https://www.zdnet.com/article/whats-actually-in-australias-encryption-laws-everything-you-need-to-know/.

А вот, например, что пишут об этом разработчики менеджера пароля 1Password, часть из которых работает в Австралии — они реально опасаются, что правительство Австралии может склонить кого-то из сотрудников к тому, чтобы вставить бэкдор в продукт.

А помните историю про "взлом канатной дороги"? Там еще был такой пассаж:

Как правильно указал один из читателей, "судя по всему страшные хакеры, напавшие на системы свежеоткрытой канатной дороги в Москве, оказались обычным вирусом-шифровальщиком". В связи с этим особенно интересно смотрятся утверждения о том, что "личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена". Мне интересно, как этого злоумышленника зовут на самом деле: Петя? НотПетя? ВоннаКрай?

А вот и ответ!

«В период отладки и работы было организовано удаленное управление, чтобы она из штаб-квартиры могла производить отладочные работы. К сожалению, никаких мер по обеспечению безопасности этого удаленного управления предпринято не было. В результате чего появилось то, что должно было появиться. Это был вирус-шифровальщик»

Но главное, что “личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена”, ведь так?

1. Статья о том, как исследователи напечатали на 3D-принтере голову человека (одного из исследователей) и проверяли системы биометрической аутентификации на смартфонах. Смартфоны с Android (LG G7 Linq, Samsung S9, Samsung Note 8 и OnePlus 6) радостно разблокировались, а вот смартфоны Apple и устройства Microsoft с Windows Hello устояли против такой атаки.

2. Полезная ссылка от читателя о том, как хеширование паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

3. Как полиция ловит воришек, ворующих посылки Amazon (с помощью фальшивых коробок, камер и GPS-трекеров)
https://www.apnews.com/c654020c42b94055a19801b849d337a2

4. Сразу несколько ссылок для читателей из Украины (ссылки тоже прислали читатели). Там бушует эпидемия рассылки вирусов по почте, прикидываясь письмами из госучреждений. Открывайте почту в перчатках!
- https://mc.today/ne-otkryvajte-pismo-iz-suda-eto-hakery-rassylayut-virusy-kak-ne-stat-zhertvoj-takih-atak/
- https://www.npu.gov.ua/ua/news/kiberzlochini/kiberpolicziya-fiksuje-vipadki-rozpovsyudzhennya-virusu-zamaskovanogo-pid-povidomlennya-vid-derzhustanov/
- https://cert.gov.ua/news/49

Вчера я упомянул историю про то, как Амазон и полиция ловят преступников, устанавливая камеры и подкладывая фальшивые коробки с GPS-трекерами. Вчитываясь в статью, я обратил внимание на тот факт, что камеры были предоставлены компанией Amazon. Это значит, что, скорей всего, речь идёт о дверных звонках Ring, разработчика и производителя которых Amazon купил какое-то время назад.

Вчера же читатель обратил мое внимание на вот эту статью на сайте ACLU, известной правозащитной организации в США. В статье рассказывается о заявке на патент от Amazon об объединении системы распознавания лиц Rekognition с дверными звонками Ring. Про Rekognition я уже как-то писал, что Amazon рассматривает этот проект как часть возможного сотрудничества с правоохранительными органами для распознавания лиц на камерах, установленных в городах. Собственно, в патентной заявке идёт речь примерно о том же, только теперь Amazon хочет подключить звонки Ring к базам данных правоохранительных органов, чтобы определять "подозрительные лица", проходящие мимо звонков, в которые встроены камеры. Более того, владельцы звонков тоже могли быть добавлять фото "подозрительных" людей в систему, и тогда программное обеспечение уведомляло бы владельца, если такие люди приближаются к звонку у двери. В любом случае, конечная идея в том, что при совпадении "подозрительности" можно было бы автоматически слать уведомление в правоохранительные органы, а они бы реагировали соответствующим образом.

Звучит достаточно неприятно, особенно в рамках всех историй про системы наблюдения в Китае, хотя это всего лишь патентная заявка и её наличие вовсе не означает существования такого продукта или системы в будущем. (Там еще много всякого про идентификацию людей по другим биометрическим параметрам, включая анализ текстуры кожи, системы вен на ладонях, геометрии рук, распознавание запаха, и т.п.) Но вообще потенциальные юридические последствия внедрения такой системы сложно себе представить. Это и постоянное наблюдения вашего перемещения даже в случаях, когда вы этого совершенно не ожидаете, и тот факт, что подобные системы распознавания дискриминируют против людей с кожей более темного цвета, и тд. Не говоря уже о передаче и хранении подобной информации, и постоянных утечках данных, о которых мы постоянно читаем. Что-то на фоне этих новостей про Amazon Facebook начинает выглядеть безобидной песочницей для обмена мемасиками.

В эту историю с визуальным наблюдением и распознаванием лиц странным образом вписывается новость про то, как на концерте Тейлор Свифт была задействована система по распознаванию лиц для определения известных преследователей певицы. ШТО? На концерте был установлен специальный киоск, на котором крутилось видео с репетиции. Всех, кто останавливались посмотреть видео, система фотографировала и отправляла фотографии в центр безопасности Тейлор Свифт, и там уже фото прогонялись через базу известных "нежелательных ухажеров" певицы. Что, разумеется, вызывает вопросы конфиденциальности персональной информации ничего не подозревающих посетителей концерта: кто и как хранит эту информацию, сколько времени, кто имеет к ней доступ и тд. Хотя, конечно, было бы интересно узнать, удалось ли распознать кого-то, ради чего эта система устанавливалась. Подозреваю, что скоро к билетам на концерты и другие массовые мероприятия будет прилагаться длинное пользовательское соглашение, в котором посетители будут отдавать все свои права на визуальное наблюдение и распознавание в обмен на возможность посмотреть само мероприятие. (Которые проводятся чаще всего в частных помещениях-зданиях-комплексах, и посетители все равно достаточно бесправные).

А вообще, конечно, будет интересно посмотреть на "цифровое сопротивление" этому бесконечному наблюдению, от которого, к сожалению, очень сложно и практически невозможно скрыться. Маскировщики лица? Подмена лиц на чужие? Глушилки камер? Впрочем, большинству людей все равно, что там происходит с информацией о них и их местоположении, так что, скорей всего, ничего не изменится в этом прогрессе.

Компания SplashData выпустила список самых популярных паролей в 2018 году. Список формируется с помощью анализа различных утечек, произошедших в этом году, поэтому в списке появляются даже новые позиции. Но в большинстве своем список, конечно, все тот же, и это расстраивает еще больше.

Вот топ-25:
123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
football
123123
monkey
654321
!@#$%^&* (хитро, это 12345678 c зажатым Shift)
charlie
aa123456
Donald (хмммммм)
password1
qwerty123

Полный список тут:
https://www.teamsid.com/100-worst-passwords

Кажется, где-то в районе сентября в канале была целая череда новостей про различные истории с Маками в плане инфобезопасности, и тогда создавалось впечатление, что канал только про Маки. Теперь же у меня создается впечатление, что канал про Facebook, потому что никогда такого не было и вот опять!

Facebook сегодня объявили, что в Photo API закралась ошибка, которая привела к тому, что фотографии 6,8 млн пользователей стали доступны приложениям, которые не должны были их видеть. Эти приложения были авторизованы для доступа к ограниченным наборам фотографий, но из-за ошибки приложениям стали доступны фотографии из историй, а также фотографии, которые пользователи загрузили в Facebook, но не опубликовали их.

Ошибка произошла в период с 12 сентября по 25 сентября, когда Facebook обнаружили проблему и исправили её. Но информация о ней стала доступна только сейчас, потому что Facebook, видимо, вынужден был разгребать историю с гораздо большей утечкой данных. Facebook пришлет тем пользователям, которых затронула эта проблема, уведомление с извинениями (Facebook вообще много приходится извиняться в последнее время), а также будет работать с теми разработчиками, приложения которых получили доступ к фотографиям. Таких разработчиков, по словам Facebook, 876, а приложений — около 1500.

кому-то было скучно, и он пропарсил базу HaveIbeenpwned на предмет частоты использования числа Пи в качестве пароля.

Надеюсь, что человек с 25 символами после запятой все-таки пользуется менеджером паролей, а не набирает этот пароль каждый раз вручную. Очень двойственные чувства по поводу такого пароля :)

(https://alexmak.net/wp-content/uploads/2018/12/DunqgzKU0AIuBG2.jpg-large.jpeg)

компенсируя за вчерашнюю паузу, сегодня сразу много ссылок на самые разные и специфичные вкусы, да.

1. История о том, как кто-то хакнул "видеоняню" (как по мне, дурацкий перевод термина "baby monitor") и требовал выкупа за якобы выкраденного ребенка. Похоже, что имел место reuse паролей, благодаря которому злоумышленник вошел в аккаунт Nest пользователя.
https://www.nbcnews.com/news/us-news/nest-camera-hacker-threatens-kidnap-baby-spooks-parents-n949251

2. Мемасики в Твиттере, дающие команду вредоносному ПО, кто бы мог подумать! Ничего святого не осталось у этих киберпреступников!
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

3. Google согласилась не продавать свои API для распознавания лиц, чтобы избежать злоупотреблений этой технологией
https://www.blog.google/around-the-globe/google-asia/ai-social-good-asia-pacific/amp/

4. Уязвимость в SQLite c RCE
https://blade.tencent.com/magellan/index_en.html
Детальное описание
PoC

5. Разработчик приложения для создания анимированных аватаров оставил доступной в интернете и не защищенной паролем ElasticSearch базу с данными на 5 миллионов пользователей, включая имена, страну и местоположение (для примерно 400 тыс пользователей), а также адресную книгу тех пользователей, кто разрешил доступ приложению к адресной книге
https://techcrunch.com/2018/12/13/popular-boomoji-app-exposed-millions-contact-lists-location-data/

6. Блог-пост Signal по поводу австралийского закона
https://signal.org/blog/setback-in-the-outback/

Я чуть позже напишу об этом, но пока что можете почитать очередной скандал про Фейсбук и как он раздавал своим «партнерам» пользовательские данные направо и налево через специальные договоренности и доступ. Там и Microsoft, и Netflix, иApple, и Amazon, и Spotify. И ещё целых 13 дней осталось в этом году для какого-то очередного скандала с Фейсбуком https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html

Интереснейшая статья о spear-phishing атаках иранских хакеров, близких к Islamic Revolutionary Guard Corps (IRGC) против активистов, журналистов и представителей госорганов США. Интересная она прежде всего тем, что в атаках применялись методики, позволяющие обходить двухфакторную аутентификацию, установленную пользователями на учетных записях Gmail и Yahoo. Если вкратце, то нападающие злоумышленники мониторили с помощью встроенного в письма невидимого изображения открытие письма (поскольку атака была направлена на конкретного человека, это облегчало мониторинг). Если жертва повелась на полученное письмо, и начинала вход путем ввода логина и пароля, то при вводе пароля в фейковую страницу нападающие тут же получали логин и пароль. Они тут же вводили полученные реквизиты учетной записи в настоящую страницу. Если при логине показывался запрос на двухфакторную аутентификацию, атакующие тут же перенаправляли жертву на такую же, но фейковую страницу для ввода одноразового пароля, и после этого перехватывали и вводили у себя полученный одноразовый код.

В статье говорится, что были зафиксированы методы успешного фишинга в случае с 2FA кодами, полученными жертвами по SMS. Особенно помогало успешности атак то, что страницы постились на sites.google.com, и использовали адреса notifications.mailservices@gmail.com и noreply.customermails@gmail.com, что для большинства пользователей выглядит достаточно убедительно. Подтвержденных случаев успеха с 2FA-кодами из аутентификационных приложений вроде как нет, по словам Certfa Lab, но, судя по схеме, ничего не мешает в случае такой атаки перехватить и их. В реальности от таких направленных атак могут защитить только аппаратные ключи безопасности (вот как это работает для Google). Большинству читателей канала, наверно, пока не стоит беспокоиться, вряд ли вы или я станем целью такой направленной атаки, но меня беспокоит то, что этот механизм вполне может быть автоматизирован в будущем, и тогда без ключа будет уже никуда. Chrome поддерживает ключи уже давно, Safari скоро тоже подтянется, а если вы действительно беспокоитесь о безопасности своего почтового аккаунта Gmail, рассмотрите вариант с Advanced Protection Program.

Первоисточник с огромным количеством деталей об атаках:
https://blog.certfa.com/posts/the-return-of-the-charming-kitten/

Забавно, что статья называется "Возвращение очаровательных котят", потому что методика и сервера, использованные для атаки, очень похожи на деятельность хакерской группировки Charming Kittens, и авторы расследования делают вывод, что это они и есть. Хорошее название у группировки.

кабели — штука опасная. хорошее правило opsec — везде ходить со своими кабелями

Под конец года что-то увеличилось количество материалов, которые достойны упоминания в канале, но, к сожалению, вселенная забыла увеличить количество доступного для этого времени. Короче, очередная подборка ссылок, зато там много всего интересного!

1. "Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей"
https://www.bbc.com/russian/features-46596673

2. "Наши с вами персональные данные по-прежнему нагло продаются"
https://habr.com/post/433384/

3. из-за внутренней ошибки Amazon случайно отправил 1700 голосовых записей, сделанных помощником Alexa, случайному человеку. Записи из гостиной, спальни, душа. Устанавливайте больше спикеров и камер в своих домах, говорили они... Это будет хорошо, говорили они!
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html

4. Microsoft выпустила срочное обновление безопасности для Internet Explorer, исправляющее уязвимость, используемую в целенаправленных атаках.
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
Сама уязвимость https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EMGAC

5. Какие-то слухи о взломе сервера с данными о сотрудниках в NASA
https://www.theregister.co.uk/2018/12/18/nasa_server_hack/

6. Квантовые вычисления и искусственный интеллект как угроза национальной безопасности
https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

7. Непонятные телодвижения Google вокруг запуска отцензурированного поиска в Китае (за ссылку спасибо читателю)
https://www.bbc.co.uk/news/amp/technology-46604085

8. С сайта мэрии Москвы произошла утечка личных данных родителей школьников
В Сети появились оплаченные с сайта mos.ru квитанции физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД (спасибо читателю за ссылку)

Если вы предпочитаете новости слушать, а не читать, то вышел очередной выпуск подкаста BeardyCast с модулем про инфосек. Много говорим о фейсбуке
https://t.me/beardycast/3997

run DELETE HACKERS

И снова здравствуйте! Нет времени объяснять, поэтому ссылки!

1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны "предоставить все возможности и помощь учреждениям". За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/

2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

3. О программе "Hemisphere", в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea

4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью "Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook".
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and

5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/

6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/

7. Статья в NY Post, из которой я приведу одну цитату:
But Huawei is much more than an innocent manufacturer of smartphones.

It is a spy agency of the Chinese Communist Party.
https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/

смешной проект

На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:

- Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
- Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
- Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
- Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
- Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
- Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
- Вопросы, касающиеся национальной безопасности США.
- Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.


Вся статистика разбита по времени, можно посмотреть роста количества запросов по практически всем категориям. Там же есть разбивка и по странам. Важно, что на страницах отчетов также есть статистика и о том, какое количество запросов было удовлетворено (то есть переданы данные).

Вот, например, отчет по России:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.35.39-PM.png)

А вот по Украине:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.36.02-PM.png)

Но Apple не единственная, кто предоставляет такие отчеты. Вот отчет о прозрачности Google (тоже обновлен две недели назад). Тут тоже наблюдается устойчивый тренд роста:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.39.53-PM.png)

Для тех, кто не сильно занят покупкой подарков и нарезанием оливье, очередная подборка актуальных новостей и интересных статей на тему информации, которая опасносте.

1. В Китае, который, как знают читатели канала, пытаются наблюдать за всеми и везде, не остаются без внимания и школьники. В одной из провинций страны для школьников ввели "умную" форму, которая включает в себя трекинг местоположения школьников по GPS. Если школьник прогуливает школу без разрешения, то родители об этом немедленно узнают (система работает только на территории школы). Распознавание лиц дополняет информацию о пребывании и поведении школьников. Правильно, население должно с малых лет знать, что все под контролем.

https://www.abc.net.au/news/2018-12-28/microchipped-school-uniforms-monitor-students-in-china/10671604

2. На проходящей в Германии конференции Chaos Communication Congress исследователи продемонстрировали обход системы аутентификации по венам под кожей с помощью руки из воска.
https://motherboard.vice.com/en_us/article/59v8dk/hackers-fake-hand-vein-authentication-biometrics-chaos-communication-congress

3. Уязвимости в камерах наблюдения компании Guardzilla позволяют злоумышленникам получить доступ к хранилищу записей с камер. Потому что захардкоженные ключи позволили получить доступ к AWS-серверам компании.

https://www.0dayallday.org/guardzilla-video-camera-hard-coded-aws-credentials/

4. Статья в NYT под говорящим названием "Our Cellphones Aren’t Safe". Притворяющиеся настоящими базовые станции Stingray, и уязвимости в SS7, вот это все.
https://www.nytimes.com/2018/12/26/opinion/cellphones-security-spying.html

забыл еще вот ссылку добавить, прислал читатель. веселая история про кастомные прошивки к Android https://telegra.ph/Kulstori-ob-Android-proshivkah-voruyushchih-klyuchi-u-nas-i-privatnost-u-svoih-polzovatelej-12-20

Последний выпуск в этом году, но в следующем году мы обязательно продолжим, потому что, как известно, информация опасносте!

Несколько ссылок на почитать в новом году (а то у вас поди уже оливье, вот это все):

1. Вирусная атака на издательские системы компании Tribune System, которая издает и распространяет на западном побережье США сразу нескольких крупных газет в США — LA Times, WSJ, NYT. Технические детали атаки неизвестны, но представители уже заявили, что "атака из-за рубежа". Я не удивлюсь, если окажется, как с московской канатной дорогой, что кто-то не поставил важный апдейт, и какой-то очередной WannaCry пробрался в сеть
https://www.latimes.com/local/lanow/la-me-ln-times-delivery-disruption-20181229-story.html

2. Когда-то в прошлом, когда смартфоны были маленькими... В смысле, когда они были не сильно распространены, у Twitter была фича "отправить твит по SMS". Если отправить твит с номера телефона, привязанного к аккаунту, то твит опубликуется в ленте. Компания INSINIA SECURITY продемонстрировала, что уязвимость в Twitter, позволяющая публиковать твиты в чужих аккаунтах с помощью спуфинга номера телефона, по-прежнему существует, несмотря на утверждения Twitter, что уязвимость была исправлена. Спорный момент в том, что компания решила продемонстрировать это, опубликовав твиты в аккаунтах различных известных личностей.
Пост компании
О постах в аккаунтах селебритис (и рассуждения о том, нарушает ли это закон)

3. Презентация с проходившей в Германии конференции 35c3 об истории джейлбрейка iOS. Очень познавательно и будет интересно тем, кто пользуется айфоном с самого начала, когда без джейлбрейка вообще мало что можно было сделать
https://api.tihmstar.net/35c3slides.pdf

4. Европейский Союз объявил о том, что будет выплачивать премию за обнаружение уяюзвимостей в популярных проектах с открытым исходным кодом, включая KeePass, 7-zip, VLC, Drupal и FileZilla
https://juliareda.eu/2018/12/eu-fossa-bug-bounties/