компенсируя за вчерашнюю паузу, сегодня сразу много ссылок на самые разные и специфичные вкусы, да.
1. История о том, как кто-то хакнул "видеоняню" (как по мне, дурацкий перевод термина "baby monitor") и требовал выкупа за якобы выкраденного ребенка. Похоже, что имел место reuse паролей, благодаря которому злоумышленник вошел в аккаунт Nest пользователя.
https://www.nbcnews.com/news/us-news/nest-camera-hacker-threatens-kidnap-baby-spooks-parents-n949251
2. Мемасики в Твиттере, дающие команду вредоносному ПО, кто бы мог подумать! Ничего святого не осталось у этих киберпреступников!
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/
3. Google согласилась не продавать свои API для распознавания лиц, чтобы избежать злоупотреблений этой технологией
https://www.blog.google/around-the-globe/google-asia/ai-social-good-asia-pacific/amp/
4. Уязвимость в SQLite c RCE
https://blade.tencent.com/magellan/index_en.html
Детальное описание
PoC
5. Разработчик приложения для создания анимированных аватаров оставил доступной в интернете и не защищенной паролем ElasticSearch базу с данными на 5 миллионов пользователей, включая имена, страну и местоположение (для примерно 400 тыс пользователей), а также адресную книгу тех пользователей, кто разрешил доступ приложению к адресной книге
https://techcrunch.com/2018/12/13/popular-boomoji-app-exposed-millions-contact-lists-location-data/
6. Блог-пост Signal по поводу австралийского закона
https://signal.org/blog/setback-in-the-outback/
1. История о том, как кто-то хакнул "видеоняню" (как по мне, дурацкий перевод термина "baby monitor") и требовал выкупа за якобы выкраденного ребенка. Похоже, что имел место reuse паролей, благодаря которому злоумышленник вошел в аккаунт Nest пользователя.
https://www.nbcnews.com/news/us-news/nest-camera-hacker-threatens-kidnap-baby-spooks-parents-n949251
2. Мемасики в Твиттере, дающие команду вредоносному ПО, кто бы мог подумать! Ничего святого не осталось у этих киберпреступников!
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/
3. Google согласилась не продавать свои API для распознавания лиц, чтобы избежать злоупотреблений этой технологией
https://www.blog.google/around-the-globe/google-asia/ai-social-good-asia-pacific/amp/
4. Уязвимость в SQLite c RCE
https://blade.tencent.com/magellan/index_en.html
Детальное описание
PoC
5. Разработчик приложения для создания анимированных аватаров оставил доступной в интернете и не защищенной паролем ElasticSearch базу с данными на 5 миллионов пользователей, включая имена, страну и местоположение (для примерно 400 тыс пользователей), а также адресную книгу тех пользователей, кто разрешил доступ приложению к адресной книге
https://techcrunch.com/2018/12/13/popular-boomoji-app-exposed-millions-contact-lists-location-data/
6. Блог-пост Signal по поводу австралийского закона
https://signal.org/blog/setback-in-the-outback/
NBC News
Nest camera hacker threatens to kidnap baby, spooks parents
"I’m in your baby’s room," the hacker said. But the baby was alone and safe.
Я чуть позже напишу об этом, но пока что можете почитать очередной скандал про Фейсбук и как он раздавал своим «партнерам» пользовательские данные направо и налево через специальные договоренности и доступ. Там и Microsoft, и Netflix, иApple, и Amazon, и Spotify. И ещё целых 13 дней осталось в этом году для какого-то очередного скандала с Фейсбуком https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html
NY Times
As Facebook Raised a Privacy Wall, It Carved an Opening for Tech Giants (Published 2018)
Internal documents show that the social network gave Microsoft, Amazon, Spotify and others far greater access to people’s data than it has disclosed.
Интереснейшая статья о spear-phishing атаках иранских хакеров, близких к Islamic Revolutionary Guard Corps (IRGC) против активистов, журналистов и представителей госорганов США. Интересная она прежде всего тем, что в атаках применялись методики, позволяющие обходить двухфакторную аутентификацию, установленную пользователями на учетных записях Gmail и Yahoo. Если вкратце, то нападающие злоумышленники мониторили с помощью встроенного в письма невидимого изображения открытие письма (поскольку атака была направлена на конкретного человека, это облегчало мониторинг). Если жертва повелась на полученное письмо, и начинала вход путем ввода логина и пароля, то при вводе пароля в фейковую страницу нападающие тут же получали логин и пароль. Они тут же вводили полученные реквизиты учетной записи в настоящую страницу. Если при логине показывался запрос на двухфакторную аутентификацию, атакующие тут же перенаправляли жертву на такую же, но фейковую страницу для ввода одноразового пароля, и после этого перехватывали и вводили у себя полученный одноразовый код.
В статье говорится, что были зафиксированы методы успешного фишинга в случае с 2FA кодами, полученными жертвами по SMS. Особенно помогало успешности атак то, что страницы постились на sites.google.com, и использовали адреса notifications.mailservices@gmail.com и noreply.customermails@gmail.com, что для большинства пользователей выглядит достаточно убедительно. Подтвержденных случаев успеха с 2FA-кодами из аутентификационных приложений вроде как нет, по словам Certfa Lab, но, судя по схеме, ничего не мешает в случае такой атаки перехватить и их. В реальности от таких направленных атак могут защитить только аппаратные ключи безопасности (вот как это работает для Google). Большинству читателей канала, наверно, пока не стоит беспокоиться, вряд ли вы или я станем целью такой направленной атаки, но меня беспокоит то, что этот механизм вполне может быть автоматизирован в будущем, и тогда без ключа будет уже никуда. Chrome поддерживает ключи уже давно, Safari скоро тоже подтянется, а если вы действительно беспокоитесь о безопасности своего почтового аккаунта Gmail, рассмотрите вариант с Advanced Protection Program.
Первоисточник с огромным количеством деталей об атаках:
https://blog.certfa.com/posts/the-return-of-the-charming-kitten/
Забавно, что статья называется "Возвращение очаровательных котят", потому что методика и сервера, использованные для атаки, очень похожи на деятельность хакерской группировки Charming Kittens, и авторы расследования делают вывод, что это они и есть. Хорошее название у группировки.
В статье говорится, что были зафиксированы методы успешного фишинга в случае с 2FA кодами, полученными жертвами по SMS. Особенно помогало успешности атак то, что страницы постились на sites.google.com, и использовали адреса notifications.mailservices@gmail.com и noreply.customermails@gmail.com, что для большинства пользователей выглядит достаточно убедительно. Подтвержденных случаев успеха с 2FA-кодами из аутентификационных приложений вроде как нет, по словам Certfa Lab, но, судя по схеме, ничего не мешает в случае такой атаки перехватить и их. В реальности от таких направленных атак могут защитить только аппаратные ключи безопасности (вот как это работает для Google). Большинству читателей канала, наверно, пока не стоит беспокоиться, вряд ли вы или я станем целью такой направленной атаки, но меня беспокоит то, что этот механизм вполне может быть автоматизирован в будущем, и тогда без ключа будет уже никуда. Chrome поддерживает ключи уже давно, Safari скоро тоже подтянется, а если вы действительно беспокоитесь о безопасности своего почтового аккаунта Gmail, рассмотрите вариант с Advanced Protection Program.
Первоисточник с огромным количеством деталей об атаках:
https://blog.certfa.com/posts/the-return-of-the-charming-kitten/
Забавно, что статья называется "Возвращение очаровательных котят", потому что методика и сервера, использованные для атаки, очень похожи на деятельность хакерской группировки Charming Kittens, и авторы расследования делают вывод, что это они и есть. Хорошее название у группировки.
Telegram
Информация опасносте
А вот еще про тему почты, фишинга и безопасности. Представители Google рассказали, что с начала 2017 года компания установила требование, что все сотрудники должны использовать физические ключи безопасности для двухфакторной авторизации. И начиная с этого…
Под конец года что-то увеличилось количество материалов, которые достойны упоминания в канале, но, к сожалению, вселенная забыла увеличить количество доступного для этого времени. Короче, очередная подборка ссылок, зато там много всего интересного!
1. "Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей"
https://www.bbc.com/russian/features-46596673
2. "Наши с вами персональные данные по-прежнему нагло продаются"
https://habr.com/post/433384/
3. из-за внутренней ошибки Amazon случайно отправил 1700 голосовых записей, сделанных помощником Alexa, случайному человеку. Записи из гостиной, спальни, душа. Устанавливайте больше спикеров и камер в своих домах, говорили они... Это будет хорошо, говорили они!
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html
4. Microsoft выпустила срочное обновление безопасности для Internet Explorer, исправляющее уязвимость, используемую в целенаправленных атаках.
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
Сама уязвимость https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EMGAC
5. Какие-то слухи о взломе сервера с данными о сотрудниках в NASA
https://www.theregister.co.uk/2018/12/18/nasa_server_hack/
6. Квантовые вычисления и искусственный интеллект как угроза национальной безопасности
https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/
7. Непонятные телодвижения Google вокруг запуска отцензурированного поиска в Китае (за ссылку спасибо читателю)
https://www.bbc.co.uk/news/amp/technology-46604085
8. С сайта мэрии Москвы произошла утечка личных данных родителей школьников
В Сети появились оплаченные с сайта mos.ru квитанции физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД (спасибо читателю за ссылку)
1. "Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей"
https://www.bbc.com/russian/features-46596673
2. "Наши с вами персональные данные по-прежнему нагло продаются"
https://habr.com/post/433384/
3. из-за внутренней ошибки Amazon случайно отправил 1700 голосовых записей, сделанных помощником Alexa, случайному человеку. Записи из гостиной, спальни, душа. Устанавливайте больше спикеров и камер в своих домах, говорили они... Это будет хорошо, говорили они!
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html
4. Microsoft выпустила срочное обновление безопасности для Internet Explorer, исправляющее уязвимость, используемую в целенаправленных атаках.
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
Сама уязвимость https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EMGAC
5. Какие-то слухи о взломе сервера с данными о сотрудниках в NASA
https://www.theregister.co.uk/2018/12/18/nasa_server_hack/
6. Квантовые вычисления и искусственный интеллект как угроза национальной безопасности
https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/
7. Непонятные телодвижения Google вокруг запуска отцензурированного поиска в Китае (за ссылку спасибо читателю)
https://www.bbc.co.uk/news/amp/technology-46604085
8. С сайта мэрии Москвы произошла утечка личных данных родителей школьников
В Сети появились оплаченные с сайта mos.ru квитанции физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД (спасибо читателю за ссылку)
BBC News Русская служба
Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей - BBC News Русская служба
В 2019 году Роскомнадзор может внедрить новую технологию борьбы с запрещенными сайтами и сервисами, в том числе с Telegram. Как выяснила Би-би-си, власти готовы потратить на это до 20 млрд рублей. До сих пор попытки блокировать мессенджер Павла Дурова были…
Если вы предпочитаете новости слушать, а не читать, то вышел очередной выпуск подкаста BeardyCast с модулем про инфосек. Много говорим о фейсбуке
https://t.me/beardycast/3997
https://t.me/beardycast/3997
Telegram
BeardyCast
Новый выпуск BeardyCast! К нам на тест наконец-то добрались новые iPad Pro третьего поколения (сразу 11″ и 12.9″) и iPhone XR. Также мы обсудили роутер Google Wifi (Сергей купил его себе), эксклюзивные сериалы YouTube Originals и потрясающий фильм «Человек…
И снова здравствуйте! Нет времени объяснять, поэтому ссылки!
1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны "предоставить все возможности и помощь учреждениям". За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/
2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626
3. О программе "Hemisphere", в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea
4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью "Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook".
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and
5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/
6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/
7. Статья в NY Post, из которой я приведу одну цитату:
But Huawei is much more than an innocent manufacturer of smartphones.
It is a spy agency of the Chinese Communist Party.
https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/
1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны "предоставить все возможности и помощь учреждениям". За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/
2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626
3. О программе "Hemisphere", в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea
4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью "Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook".
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and
5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/
6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/
7. Статья в NY Post, из которой я приведу одну цитату:
But Huawei is much more than an innocent manufacturer of smartphones.
It is a spy agency of the Chinese Communist Party.
https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/
VentureBeat
Indian government to intercept, monitor, and decrypt citizens’ computers
The Indian government has authorized central agencies to intercept, monitor, and decrypt data on any computer.
На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:
- Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
- Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
- Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
- Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
- Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
- Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
- Вопросы, касающиеся национальной безопасности США.
- Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.
Вся статистика разбита по времени, можно посмотреть роста количества запросов по практически всем категориям. Там же есть разбивка и по странам. Важно, что на страницах отчетов также есть статистика и о том, какое количество запросов было удовлетворено (то есть переданы данные).
Вот, например, отчет по России:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.35.39-PM.png)
А вот по Украине:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.36.02-PM.png)
Но Apple не единственная, кто предоставляет такие отчеты. Вот отчет о прозрачности Google (тоже обновлен две недели назад). Тут тоже наблюдается устойчивый тренд роста:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.39.53-PM.png)
- Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
- Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
- Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
- Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
- Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
- Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
- Вопросы, касающиеся национальной безопасности США.
- Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.
Вся статистика разбита по времени, можно посмотреть роста количества запросов по практически всем категориям. Там же есть разбивка и по странам. Важно, что на страницах отчетов также есть статистика и о том, какое количество запросов было удовлетворено (то есть переданы данные).
Вот, например, отчет по России:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.35.39-PM.png)
А вот по Украине:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.36.02-PM.png)
Но Apple не единственная, кто предоставляет такие отчеты. Вот отчет о прозрачности Google (тоже обновлен две недели назад). Тут тоже наблюдается устойчивый тренд роста:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.39.53-PM.png)
Apple Legal
Apple Legal - Privacy - Government Information Requests - Apple (RU)
Для тех, кто не сильно занят покупкой подарков и нарезанием оливье, очередная подборка актуальных новостей и интересных статей на тему информации, которая опасносте.
1. В Китае, который, как знают читатели канала, пытаются наблюдать за всеми и везде, не остаются без внимания и школьники. В одной из провинций страны для школьников ввели "умную" форму, которая включает в себя трекинг местоположения школьников по GPS. Если школьник прогуливает школу без разрешения, то родители об этом немедленно узнают (система работает только на территории школы). Распознавание лиц дополняет информацию о пребывании и поведении школьников. Правильно, население должно с малых лет знать, что все под контролем.
https://www.abc.net.au/news/2018-12-28/microchipped-school-uniforms-monitor-students-in-china/10671604
2. На проходящей в Германии конференции Chaos Communication Congress исследователи продемонстрировали обход системы аутентификации по венам под кожей с помощью руки из воска.
https://motherboard.vice.com/en_us/article/59v8dk/hackers-fake-hand-vein-authentication-biometrics-chaos-communication-congress
3. Уязвимости в камерах наблюдения компании Guardzilla позволяют злоумышленникам получить доступ к хранилищу записей с камер. Потому что захардкоженные ключи позволили получить доступ к AWS-серверам компании.
https://www.0dayallday.org/guardzilla-video-camera-hard-coded-aws-credentials/
4. Статья в NYT под говорящим названием "Our Cellphones Aren’t Safe". Притворяющиеся настоящими базовые станции Stingray, и уязвимости в SS7, вот это все.
https://www.nytimes.com/2018/12/26/opinion/cellphones-security-spying.html
1. В Китае, который, как знают читатели канала, пытаются наблюдать за всеми и везде, не остаются без внимания и школьники. В одной из провинций страны для школьников ввели "умную" форму, которая включает в себя трекинг местоположения школьников по GPS. Если школьник прогуливает школу без разрешения, то родители об этом немедленно узнают (система работает только на территории школы). Распознавание лиц дополняет информацию о пребывании и поведении школьников. Правильно, население должно с малых лет знать, что все под контролем.
https://www.abc.net.au/news/2018-12-28/microchipped-school-uniforms-monitor-students-in-china/10671604
2. На проходящей в Германии конференции Chaos Communication Congress исследователи продемонстрировали обход системы аутентификации по венам под кожей с помощью руки из воска.
https://motherboard.vice.com/en_us/article/59v8dk/hackers-fake-hand-vein-authentication-biometrics-chaos-communication-congress
3. Уязвимости в камерах наблюдения компании Guardzilla позволяют злоумышленникам получить доступ к хранилищу записей с камер. Потому что захардкоженные ключи позволили получить доступ к AWS-серверам компании.
https://www.0dayallday.org/guardzilla-video-camera-hard-coded-aws-credentials/
4. Статья в NYT под говорящим названием "Our Cellphones Aren’t Safe". Притворяющиеся настоящими базовые станции Stingray, и уязвимости в SS7, вот это все.
https://www.nytimes.com/2018/12/26/opinion/cellphones-security-spying.html
alexmak.net
Китайское наблюдение
Я уже как-то давал ссылку на статью о китайской системе наблюдения и распознавания лиц с последующим учетом поведения в некий социальный балл (t.me/alexmakus/2424). Теперь об этой системе и её ввод…
забыл еще вот ссылку добавить, прислал читатель. веселая история про кастомные прошивки к Android https://telegra.ph/Kulstori-ob-Android-proshivkah-voruyushchih-klyuchi-u-nas-i-privatnost-u-svoih-polzovatelej-12-20
Telegraph
Кулстори об Андроид-прошивках, ворующих ключи у AudD и приватность у своих пользователей
Началось с этого письма. Наше API по-умолчанию отклоняет запросы от IP-адресов, которые были замечены другими сервисами в поиске уязвимостей, подборе паролей и так далее. Иногда отклоняются запросы пользователей, использующих VPN или просто невезучих. Сначала…
Последний выпуск в этом году, но в следующем году мы обязательно продолжим, потому что, как известно, информация опасносте!
Несколько ссылок на почитать в новом году (а то у вас поди уже оливье, вот это все):
1. Вирусная атака на издательские системы компании Tribune System, которая издает и распространяет на западном побережье США сразу нескольких крупных газет в США — LA Times, WSJ, NYT. Технические детали атаки неизвестны, но представители уже заявили, что "атака из-за рубежа". Я не удивлюсь, если окажется, как с московской канатной дорогой, что кто-то не поставил важный апдейт, и какой-то очередной WannaCry пробрался в сеть
https://www.latimes.com/local/lanow/la-me-ln-times-delivery-disruption-20181229-story.html
2. Когда-то в прошлом, когда смартфоны были маленькими... В смысле, когда они были не сильно распространены, у Twitter была фича "отправить твит по SMS". Если отправить твит с номера телефона, привязанного к аккаунту, то твит опубликуется в ленте. Компания INSINIA SECURITY продемонстрировала, что уязвимость в Twitter, позволяющая публиковать твиты в чужих аккаунтах с помощью спуфинга номера телефона, по-прежнему существует, несмотря на утверждения Twitter, что уязвимость была исправлена. Спорный момент в том, что компания решила продемонстрировать это, опубликовав твиты в аккаунтах различных известных личностей.
Пост компании
О постах в аккаунтах селебритис (и рассуждения о том, нарушает ли это закон)
3. Презентация с проходившей в Германии конференции 35c3 об истории джейлбрейка iOS. Очень познавательно и будет интересно тем, кто пользуется айфоном с самого начала, когда без джейлбрейка вообще мало что можно было сделать
https://api.tihmstar.net/35c3slides.pdf
4. Европейский Союз объявил о том, что будет выплачивать премию за обнаружение уяюзвимостей в популярных проектах с открытым исходным кодом, включая KeePass, 7-zip, VLC, Drupal и FileZilla
https://juliareda.eu/2018/12/eu-fossa-bug-bounties/
Несколько ссылок на почитать в новом году (а то у вас поди уже оливье, вот это все):
1. Вирусная атака на издательские системы компании Tribune System, которая издает и распространяет на западном побережье США сразу нескольких крупных газет в США — LA Times, WSJ, NYT. Технические детали атаки неизвестны, но представители уже заявили, что "атака из-за рубежа". Я не удивлюсь, если окажется, как с московской канатной дорогой, что кто-то не поставил важный апдейт, и какой-то очередной WannaCry пробрался в сеть
https://www.latimes.com/local/lanow/la-me-ln-times-delivery-disruption-20181229-story.html
2. Когда-то в прошлом, когда смартфоны были маленькими... В смысле, когда они были не сильно распространены, у Twitter была фича "отправить твит по SMS". Если отправить твит с номера телефона, привязанного к аккаунту, то твит опубликуется в ленте. Компания INSINIA SECURITY продемонстрировала, что уязвимость в Twitter, позволяющая публиковать твиты в чужих аккаунтах с помощью спуфинга номера телефона, по-прежнему существует, несмотря на утверждения Twitter, что уязвимость была исправлена. Спорный момент в том, что компания решила продемонстрировать это, опубликовав твиты в аккаунтах различных известных личностей.
Пост компании
О постах в аккаунтах селебритис (и рассуждения о том, нарушает ли это закон)
3. Презентация с проходившей в Германии конференции 35c3 об истории джейлбрейка iOS. Очень познавательно и будет интересно тем, кто пользуется айфоном с самого начала, когда без джейлбрейка вообще мало что можно было сделать
https://api.tihmstar.net/35c3slides.pdf
4. Европейский Союз объявил о том, что будет выплачивать премию за обнаружение уяюзвимостей в популярных проектах с открытым исходным кодом, включая KeePass, 7-zip, VLC, Drupal и FileZilla
https://juliareda.eu/2018/12/eu-fossa-bug-bounties/
Los Angeles Times
Malware attack disrupts delivery of L.A. Times and Tribune papers across the U.S.
What first arose as a server outage was identified Saturday as a malware attack, which appears to have originated from outside the United States and hobbled computer systems and delayed weekend deliveries of the Los Angeles Times and other newspapers across…
С Новым годом, земляне! Если вдруг вы уже наелись оливье и вам хочется почитать что-то интересное, очень рекомендую эту статью про количество фейковой информации в интернете - фейковых юзеров, фейковый трафик, фейковый контент и тд. Реальная информация опасносте!
http://nymag.com/intelligencer/2018/12/how-much-of-the-internet-is-fake.html
http://nymag.com/intelligencer/2018/12/how-much-of-the-internet-is-fake.html
New York
How Much of the Internet Is Fake? Turns Out, a Lot of It, Actually.
Turns out, a lot of it, actually.
Тут развивается интересная и в чем-то даже забавная история с устройствами с поддержкой технологии трансляций видео-контента Chromecast. В декабре я рассказывал про то, как кто-то рассылает на доступные в интернете принтеры с призывом подписываться на канал видеоблоггера в YouTube. Так вот, сейчас происходит нечто подобное, но теперь с медиаплеером Google Chromecast. Хакер Жираф, который уже рассылал приветы на принтеры, поделился новой находкой. Обычно устройства Chromecast, Smart ТВ, и устройства Google Home используют порты 8008, 8009 и 8443 для функций по их управлению, и по умолчанию это работает внутри локальной сети. Некоторые неправильно настроенные роутеры с включенным UPnP делают эти порты доступными в интернете, а дальше дело техники: скрипт ищет такие устройства с портами в интернете, а, обнаружив такое устройство, второй скрипт пытается заставить устройство проиграть определенное видео с YouTube. В видео говорится о том, что "ваше устройство раскрывает вашу информацию", а также призывает подписаться на видеоблогера Pewdiepie на YouTube. В целом ничего нового они не придумали — об этом было известно еще в 2014 году, но тем не менее. Сам факт, что устройство с Chromecast можно такой командой заставить проиграть произвольное видео, должен как минимум у Google вызвать жжение в определенной точке.
Страничка проекта со статистикой и FAQ здесь https://casthack.thehackergiraffe.com
Видео также призывает посмотреть вот эту инструкцию о том, как исправить проблему. Хотя проще всего, конечно, либо отключить UPnP на роутере, или убедиться, что роутер не прокидывает порты 8008, 8009 и 8443 в интернет. Кто-то уже предположил, например, что атаку можно сделать еще более "веселой": можно заставить телевизор проиграть видео, в котором голос даст команду колонке Amazon Echo купить какой-нибудь товар на Amazon, или установить будильник на 3 часа утра, или отключить систему сигнализации в доме. Будущее со всеми его подключенными к интернету устройствами будет, безусловно, прекрасным!
Страничка проекта со статистикой и FAQ здесь https://casthack.thehackergiraffe.com
Видео также призывает посмотреть вот эту инструкцию о том, как исправить проблему. Хотя проще всего, конечно, либо отключить UPnP на роутере, или убедиться, что роутер не прокидывает порты 8008, 8009 и 8443 в интернет. Кто-то уже предположил, например, что атаку можно сделать еще более "веселой": можно заставить телевизор проиграть видео, в котором голос даст команду колонке Amazon Echo купить какой-нибудь товар на Amazon, или установить будильник на 3 часа утра, или отключить систему сигнализации в доме. Будущее со всеми его подключенными к интернету устройствами будет, безусловно, прекрасным!
Twitter
c (@HackerGiraffe) | Twitter
The latest Tweets from c (@HackerGiraffe)
Небольшая коллекция ссылок, накопившаяся за последние пару дней. Часть из ссылок прислана читателями, за что им спасибо!
1. Взлом и последующая утечка пользовательских данных компании BlankMediaGames, около 8,4 млн записей, включая адреса электронной почты и платежную информацию
https://blog.dehashed.com/town-of-salem-blankmediagames-hacked/
2. Хакер, рассылавший приветы от Pewdiepie на принтеры и Chromecast-устройства, срочно выпилился из интернета. Потому что после своих приколов он решил собрать денег на Patreon, что оказалось опасным для потенциального деанона
https://pastebin.com/pfX5p4ze
3. Новая израильская компания, специализирующаяся на киберопасности (фокус компании — продажа инструментов для агрессивного внедрения в компьютерные системы), называется Candiru (рыба-паразит, проникающая в тело человека через доступные отверстия, включая анус или пенис. брррррр)
https://www.haaretz.com/israel-news/business/.premium-top-secret-israeli-cyberattack-firm-revealed-1.6805950
4. Полезные советы, почему очень важно оберегать свой номер телефона (в штатах, например, перевод номера на другого оператора или другую СИМ-карту методом социальной инжинирии со службой поддержки — популярная тема, благодаря этому было украдено немало криптовалюты в прошлом году). Статья актуальна для США в первую очередь, но я рекомендую изучить со своими операторами возможность дополнительной защиты вашего номера от мошенничества.
https://techcrunch.com/2018/12/25/cybersecurity-101-guide-protect-phone-number/
5. First-Ever UEFI Rootkit Tied to Sednit APT
https://threatpost.com/uefi-rootkit-sednit/140420/
6. Biological One‐Way Functions for Secure Key Generation
https://onlinelibrary.wiley.com/doi/full/10.1002/adts.201800154
1. Взлом и последующая утечка пользовательских данных компании BlankMediaGames, около 8,4 млн записей, включая адреса электронной почты и платежную информацию
https://blog.dehashed.com/town-of-salem-blankmediagames-hacked/
2. Хакер, рассылавший приветы от Pewdiepie на принтеры и Chromecast-устройства, срочно выпилился из интернета. Потому что после своих приколов он решил собрать денег на Patreon, что оказалось опасным для потенциального деанона
https://pastebin.com/pfX5p4ze
3. Новая израильская компания, специализирующаяся на киберопасности (фокус компании — продажа инструментов для агрессивного внедрения в компьютерные системы), называется Candiru (рыба-паразит, проникающая в тело человека через доступные отверстия, включая анус или пенис. брррррр)
https://www.haaretz.com/israel-news/business/.premium-top-secret-israeli-cyberattack-firm-revealed-1.6805950
4. Полезные советы, почему очень важно оберегать свой номер телефона (в штатах, например, перевод номера на другого оператора или другую СИМ-карту методом социальной инжинирии со службой поддержки — популярная тема, благодаря этому было украдено немало криптовалюты в прошлом году). Статья актуальна для США в первую очередь, но я рекомендую изучить со своими операторами возможность дополнительной защиты вашего номера от мошенничества.
https://techcrunch.com/2018/12/25/cybersecurity-101-guide-protect-phone-number/
5. First-Ever UEFI Rootkit Tied to Sednit APT
https://threatpost.com/uefi-rootkit-sednit/140420/
6. Biological One‐Way Functions for Secure Key Generation
https://onlinelibrary.wiley.com/doi/full/10.1002/adts.201800154
Pastebin
HackerGiraffe out. I'm sorry. - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
Журнал Bild опубликовал сегодня (статья на немецком) материал о взломе, который затрагивает различных публичных людей в Германии. Частная переписка, адреса электронной почты, контрактная информация, включая мобильные номера телефонов, а также финансовая информация на сотни политиков была опубликована в Твиттере (еще в декабре, но обратили на нее внимание только сейчас). Среди жертв утечки — канцлер Германии Ангела Меркель и президент республики Франк-Вальтер Штайнмайер. Также, кроме политиков, в материалы попала информация о журналистах, и даже популярных исполнителях.
Какой-либо системы в материалах не видно, поэтому не очень понятно, откуда появились эти данные. Объем материалов намекает на то, данные могли собираться на протяжении длительного времени, и там было потрачено немало усилий на их сбор. Кроме источника утечки (хотя главное подозрение падает на фишинг и последующую добычу информации из других онлайн-учеток), непонятна и цель публикации этих материалов, среди которых могут оказаться и вброшенные ненастоящие данные.
Вот еще материал на английском, если по немецки вы не verstehen.
https://www.theregister.co.uk/2019/01/04/germany_mass_hack_merkel/
Какой-либо системы в материалах не видно, поэтому не очень понятно, откуда появились эти данные. Объем материалов намекает на то, данные могли собираться на протяжении длительного времени, и там было потрачено немало усилий на их сбор. Кроме источника утечки (хотя главное подозрение падает на фишинг и последующую добычу информации из других онлайн-учеток), непонятна и цель публикации этих материалов, среди которых могут оказаться и вброшенные ненастоящие данные.
Вот еще материал на английском, если по немецки вы не verstehen.
https://www.theregister.co.uk/2019/01/04/germany_mass_hack_merkel/
bild.de
Warum sehe ich Bild.de nicht
Warum sehe ich BILD.de nicht? Sie sehen diese Seite, weil Sie einen Adblocker eingeschaltet haben. Deaktivieren Sie diesen bitte für BILD.de, um unsere A...
В ноябре я писал про Marriott, отельной сети, которая раскрыла информацию о том, что на протяжении 4 лет кто-то сифонил из сети Starwood данные. Злоумышленники получили доступ к базе данных резервирования и скачали персональные данные на 500 миллионов постояльцев отелей, как было озвучено 30 ноября.
Есть дополнительные новости, которые сегодня опубликовала компания в апдейте к расследованию:
Во-первых, как оказалось, что затронутыми оказалось максимум 383 миллиона записей постояльцев отелей. Речь не идет о 383 млн человек, потому что во многих случаях информация дублируется, но вообще компания также говорит, что не может с уверенностью сказать, сколько же именно человек было затронуто этой утечкой.
Во вторых, стало известно, что около 5,25млн номеров паспортов тоже находились среди информации, доступ к которой был получен злоумышленниками, а также 20,3 млн зашифрованных номеров паспортов.
В третьих, около 8,6 млн зашифрованных данных о платежных картах были "вовлечены в инцидент", как пишет компания. На сентябрь 2018 года около 354 тыс этих карт обладали актуальным сроком действия.
В четвертых, базу данных Starwood для резервирования вообще вывели из оборота, и все резервирования теперь идут через систему Marriott (не знаю, действительно ли это хорошие новости).
Такие дела.
Есть дополнительные новости, которые сегодня опубликовала компания в апдейте к расследованию:
Во-первых, как оказалось, что затронутыми оказалось максимум 383 миллиона записей постояльцев отелей. Речь не идет о 383 млн человек, потому что во многих случаях информация дублируется, но вообще компания также говорит, что не может с уверенностью сказать, сколько же именно человек было затронуто этой утечкой.
Во вторых, стало известно, что около 5,25млн номеров паспортов тоже находились среди информации, доступ к которой был получен злоумышленниками, а также 20,3 млн зашифрованных номеров паспортов.
В третьих, около 8,6 млн зашифрованных данных о платежных картах были "вовлечены в инцидент", как пишет компания. На сентябрь 2018 года около 354 тыс этих карт обладали актуальным сроком действия.
В четвертых, базу данных Starwood для резервирования вообще вывели из оборота, и все резервирования теперь идут через систему Marriott (не знаю, действительно ли это хорошие новости).
Такие дела.
alexmak.net
Утечка данных Starwood/Marriott
Новость дня — это, безусловно, анонс компании Marriott об обнаружении утечки данных на 500 миллионов гостей гостиниц сети Starwood, которую Marriott приобрел в 2016 году. Во время расследования обн…
На прошлой неделе я писал о том, как в Германии сотни известных людей обнаружили, что их личные данные оказались публично доступны в интернете. Журналисты успели понаписывать версии о том, как за этими взломами и утечкой могут стоять хакеры какой-нибудь страны, но все может оказаться проще (по крайней мере, на сегодня кажется так). Полиция в воскресенье арестовала 20-летнего молодого человека, который признался в том, что он действовал сам. Это, по его словам, касалось как добычи данных, так и последующей их публикации.
Молодой человек из города Hesse, живущий с родителями утверждает, что его мотиватором стало раздражение на различные публичные заявления, сделанные политиками, журналистами и другими публичными личностями. Об этом заявил прокурор на пресс-конференции во вторник, 8 января. Интересно, что на данный момент подозреваемый отпущен домой. Интересно, что в материале также говорится, что изначальные масштабы "атаки" были существенно раздуты. Да, в сливе фигурировали данные на "1000 человек", но для большинства из них это ограничивалось номером телефона, адресом электронной почты и физическим адресом. Больше данных, включая личные фотографии и фото из чатов, оказалось доступными только для около 50 человек. Посмотрим, получит ли эта история дальнейшее развитие.
https://motherboard.vice.com/de/article/9k4pw5/polizei-findet-datenleak-hacker-schueler-aus-hessen-datenklau-hackerangriff-bka
(нем.)
Молодой человек из города Hesse, живущий с родителями утверждает, что его мотиватором стало раздражение на различные публичные заявления, сделанные политиками, журналистами и другими публичными личностями. Об этом заявил прокурор на пресс-конференции во вторник, 8 января. Интересно, что на данный момент подозреваемый отпущен домой. Интересно, что в материале также говорится, что изначальные масштабы "атаки" были существенно раздуты. Да, в сливе фигурировали данные на "1000 человек", но для большинства из них это ограничивалось номером телефона, адресом электронной почты и физическим адресом. Больше данных, включая личные фотографии и фото из чатов, оказалось доступными только для около 50 человек. Посмотрим, получит ли эта история дальнейшее развитие.
https://motherboard.vice.com/de/article/9k4pw5/polizei-findet-datenleak-hacker-schueler-aus-hessen-datenklau-hackerangriff-bka
(нем.)
alexmak.net
Германия опасносте
Журнал Bild опубликовал сегодня (статья на немецком) материал о взломе, который затрагивает различных публичных людей в Германии. Частная переписка, адреса электронной почты, контрактная информация…