Вдогонку о вчерашней новости о том, как ЛК начала определять своим ПО инструменты шпионажа:
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/
securelist.ru
Stalkerware: средства повседневного шпионажа
Может показаться, что шпионские программы – это что-то из голливудских фильмов, однако коммерческие версии таких программ (т.н. stalkerware) являются реальностью.
А еще про полумиллиардные утечки. Исследователи обнаружили за первые три месяца этого года около 590 миллионов резюме, утекших через незащищенные базы MongDB и ElasticSearch:
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/
ZDNet
Chinese companies have leaked over 590 million resumes via open databases
Leaks have taken place in the first three months of the year, via either ElasticSearch or MongoDB databases.
И немного крипоты на закуску. Сюжет о компании, которая разработала бейдж сотрудника, который может мониторить разговоры сотрудников, движения и перемещение по офису. Информация, собираемая бейджем, интегрируется с календарями и почтой сотрудников. Компания, разрабатывающая эти бейджи, рассказывает, что это для “улучшения производительности сотрудников”, но наверняка какие-то работодатели захотят использовать это и для более тщательного наблюдения за сотрудниками. Где заканчиваются права работодателя, который платит зарплату за работу, и начинается прайваси сотрудника, сказать сложно.
https://twitter.com/TheEconomist/status/1112778211262332928
https://twitter.com/TheEconomist/status/1112778211262332928
Twitter
The Economist
A technology company has created an electronic badge that can monitor workers’ conversations, posture and even time spent in the toilet. This type of office surveillance raises concerns about workers’ rights and privacy https://t.co/q38PoYn9A9
Наверно, новость дня — это утечка базы данных пациентов подмосковной скорой помощи
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f
И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f
И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
РБК
В Сети появилась база данных пациентов подмосковной скорой помощи
В открытом доступе в интернете появилась база данных пациентов скорой помощи нескольких подмосковных городов. Из нее можно узнать имена, адреса и телефоны, а также о состоянии здоровья обратившихся к врачам
Я уже как-то писал про шпионское ПО Exodus, которое обнаружили в приложениях, находящихся в Google. Интересно, что эксперты обнаружили подобное приложение и для iOS — приложение прикидывалось приложением для поддержки мобильных операторов Италии и Туркменистана, и распространялось с корпоративным сертификатом разработчика для iOS (ранее было много новостей о том, как Google, Facebook и другие разработчики тоже распространяли в обход App Store приложения, подписанные корпоративным сертификатом). С точки зрения функциональности приложение могло украсть данные адресной книги пользователя, видео, фотографии, а также сгрузить информацию о местоположении пользователей. Apple уже отозвала сертификат разработчика, так что приложение невозможно больше установить. Есть подозрение, что разработчиком приложения является компания Connexxa, которая разрабатывает приложения для госорганов Италии с целью слежки.
https://blog.lookout.com/esurv-research
https://blog.lookout.com/esurv-research
Lookout
Phishing Sites Distributing IOS & Android Surveillanceware | Lookout
Lookout researchers have been tracking Android and iOS surveillanceware, that can exfiltrate contacts, recordings, photos, & more. Discover what was found.
Очередная прекрасная история про AirBnB и то, как туристы из Новой Зеландии обнаружили в в доме скрытую камеру, которая транслировала картинку из гостиной. Камеру обнаружил один из гостей, просканировав сеть и обнаружив трансляцию. Камера была спрятана во что-то, замаскированное под датчик дыма. Там еще длинная история о том, как хозяин отмазывался, да и AirBnB не то, чтобы демонстрировало чудеса поддержки гостям. Так что если вы вдруг останавливаетесь в чьем-то AirBnB, первое, что нужно там сделать — это найти роутер от интернета и отключить его нафиг.
https://www.facebook.com/photo.php?fbid=10156325018207239&set=a.440220892238&type=3&theater
https://www.facebook.com/photo.php?fbid=10156325018207239&set=a.440220892238&type=3&theater
А помните историю с китайской шпионкой, пойманной на курорте, принадлежащем президенту Дональду Трампу? У истории есть и продолжение о расследовании, и, в частности, рассказ о том, как анализировали её флешку:
Secret Service agent Samuel Ivanovich, who interviewed Zhang on the day of her arrest, testified at the hearing. He stated that when another agent put Zhang’s thumb drive into his computer, it immediately began to install files, a “very out-of-the-ordinary” event that he had never seen happen before during this kind of analysis. The agent had to immediately stop the analysis to halt any further corruption of his computer, Ivanovich testified. The analysis is ongoing but still inconclusive, he said.
Вот так вставил флешку, и понеслась! Забавно про срочную остановку с выключением компьютера, хотя, как потом пояснили, речь шла о том, что а) это был специальный компьютер для подобных исследований, а выключение было произведено с целью фиксации действий вредоносного ПО на компьютере. Такие дела.
https://www.miamiherald.com/news/politics-government/article228963409.html
Secret Service agent Samuel Ivanovich, who interviewed Zhang on the day of her arrest, testified at the hearing. He stated that when another agent put Zhang’s thumb drive into his computer, it immediately began to install files, a “very out-of-the-ordinary” event that he had never seen happen before during this kind of analysis. The agent had to immediately stop the analysis to halt any further corruption of his computer, Ivanovich testified. The analysis is ongoing but still inconclusive, he said.
Вот так вставил флешку, и понеслась! Забавно про срочную остановку с выключением компьютера, хотя, как потом пояснили, речь шла о том, что а) это был специальный компьютер для подобных исследований, а выключение было произведено с целью фиксации действий вредоносного ПО на компьютере. Такие дела.
https://www.miamiherald.com/news/politics-government/article228963409.html
Miami Herald
‘She lies to everyone’: Feds say Mar-a-Lago intruder had hidden-camera detector in hotel
A federal prosecutor argued in court Monday that Yujing Zhang, the Chinese woman arrested trying to enter President Donald Trump’s private Mar-a-Lago club in Palm Beach, “lies to everyone she encounters,” adding that a search of her hotel room uncovered more…
Накопилось очень много новостей, включая и присланные читателями, поэтому поехали!
Обнаружены сразу две уязвимости в недавно представленном протоколе Wi-Fi WPA3, позволяющие злоумышленникам получить пароль к беспроводной сети. Безопасное аутентификационное “рукопожатие” у WPA3 называется Dragonfly, поэтому уязвимости назвали DragonBlood. По сути, WPA3-устройства умеют работать в “переходном режиме”, обеспечивая совместимость с WPA2, и в таком случае исследователи заставляют устройства подключаться по 4-стороннему “рукопожатию” WPA2, которое уже уязвимо к взлому. Wi-Fi Alliance работает над исправлением проблемы в сертифицированных устройствах.
https://wpa3.mathyvanhoef.com
Обнаружены сразу две уязвимости в недавно представленном протоколе Wi-Fi WPA3, позволяющие злоумышленникам получить пароль к беспроводной сети. Безопасное аутентификационное “рукопожатие” у WPA3 называется Dragonfly, поэтому уязвимости назвали DragonBlood. По сути, WPA3-устройства умеют работать в “переходном режиме”, обеспечивая совместимость с WPA2, и в таком случае исследователи заставляют устройства подключаться по 4-стороннему “рукопожатию” WPA2, которое уже уязвимо к взлому. Wi-Fi Alliance работает над исправлением проблемы в сертифицированных устройствах.
https://wpa3.mathyvanhoef.com
Mathyvanhoef
Dragonblood: Analysing WPA3's Dragonfly Handshake
This website presents the Dragonblood Attack. It is a collection of attacks against the WPA3 protocol, which mainly abuse the password element generation algorithm of WPA3's Dragonfly handshake.
Большая статья у Bloomberg о том, что сотрудники Amazon имеют доступ к аудио-записям, которые делают устройства Amazon Echo. Amazon говорит, что речь идет о небольшом поднаборе записей, который используется для прослушивания, аннотации и последующего улучшения алгоритма. Также в Bloomberg пишут о том, что у Apple и Google тоже есть подобные живые слушатели записей голосовых записей, сделанных через соответствующие голосовые помощники. (В данном случае у Bloomberg есть и подтверждения этих материалов со стороны компаний. А вообще Bloomberg — это то издание, которое в прошлом году опубликовало материал о китайских чипах в серверах Apple и Amazon, и с тех пор так и не предоставило доказательств этого материала).
https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio
https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio
Роскомнадзор пригрозил блокировкой OpenVPN, причем речь идет не столько о сервисе, сколько о блокировке протокола. Кажется, будет весело.
https://meduza.io/feature/2019/04/10/roskomnadzor-prigrozil-blokirovkoy-openvpn-esli-ispolnyat-eto-reshenie-bukvalno-posledstviya-budut-kak-s-telegramom
https://meduza.io/feature/2019/04/10/roskomnadzor-prigrozil-blokirovkoy-openvpn-esli-ispolnyat-eto-reshenie-bukvalno-posledstviya-budut-kak-s-telegramom
Meduza
Роскомнадзор пригрозил блокировкой OpenVPN. Если исполнять это решение буквально, последствия будут как с телеграмом
В конце марта 2019 года Роскомнадзор обратился к владельцам 10 VPN-сервисов и потребовал подключиться к «черному списку» сайтов, которые блокируют в России. В случае отказа от сотрудничества сервисам грозит блокировка во второй половине мая — тем не менее…
«Лаборатория Касперского» обнаружила теневой интернет-магазин Genesis, в котором продаются более 60 тысяч украденных цифровых личностей стоимостью от 5 до 200 долл. США, в том числе логины и пароли к интернет-магазинам и платёжным сервисам. https://www.plusworld.ru/daily/cat-security-and-id/post-428359/
PLUSworld.ru – единое медийное пространство, охватывающее финансовое обслуживание населения, банковскую розницу и платежную индустрию.
«Лаборатория Касперского» обнаружила интернет-магазин цифровых личностей » Безопасность
В феврале 2019 года «Лаборатория Касперского» обнаружила теневой интернет-магазин Genesis, в котором продаются более 60 тысяч украденных цифровых личностей.
Сканер отпечатков пальцев в Samsung Galaxy S10 успешно обманули. Никогда такого не было (что с Самсунгами, что с айфонами), и вот опять!
https://www.grahamcluley.com/the-samsung-galaxy-s10s-ultrasonic-fingerprint-scanner-is-hacked/
https://www.grahamcluley.com/the-samsung-galaxy-s10s-ultrasonic-fingerprint-scanner-is-hacked/
Graham Cluley
The Samsung Galaxy S10’s ultrasonic fingerprint scanner is hacked • Graham Cluley
As hacker claims the entire process can be completed in just three minutes, you would be wise to remember that fingerprints are not the same as passwords.
Патчи месяца
– Microsoft выпустила апрельский апдейт, в котором исправляются 74 уязвимости, включая несколько уязвимостей нулевого дня
https://portal.msrc.microsoft.com/en-us/security-guidance/summary
– Кроме Microsoft, свой регулярный апдейт выпустила Adobe, исправив 43 уязвимости в продуктах компании.
https://blogs.adobe.com/psirt/?p=1735
– У Intel тоже патчи 4 уязвимостей
https://www.zdnet.com/article/intel-finally-issues-spoiler-attack-alert-now-non-spectre-exploit-gets-cve-but-no-patch/
– Microsoft выпустила апрельский апдейт, в котором исправляются 74 уязвимости, включая несколько уязвимостей нулевого дня
https://portal.msrc.microsoft.com/en-us/security-guidance/summary
– Кроме Microsoft, свой регулярный апдейт выпустила Adobe, исправив 43 уязвимости в продуктах компании.
https://blogs.adobe.com/psirt/?p=1735
– У Intel тоже патчи 4 уязвимостей
https://www.zdnet.com/article/intel-finally-issues-spoiler-attack-alert-now-non-spectre-exploit-gets-cve-but-no-patch/
ZDNet
Intel finally issues Spoiler attack alert: Now non-Spectre exploit gets CVE but no patch
No patch for Spoiler attack affecting all Intel chips, but a security advisory gives it an official CVE identifier.
Интересный материал о том, почему же сегодня из посольства Эквадора вынесли Джулиана Ассанжа и какие обвинения ему предъявляет США, запросившие экстрадицию Ассанжа из Великобритании. (Спойлер:помощь Челси Мэннинг во взломе секретной компьютерной системы).
https://motherboard.vice.com/en_us/article/mb8qyn/julian-assange-charged-with-hacking-conspiracy-not-publishing
https://motherboard.vice.com/en_us/article/mb8qyn/julian-assange-charged-with-hacking-conspiracy-not-publishing
Vice
Julian Assange’s Charges Are Centered on Hacking, Not Publishing Classified Information
For years, it has been publicly reported that Julian Assange offered to help Chelsea Manning break into a classified computer system. Now the Department of Justice has charged Assange for that.
И хорошие новости! Теперь ваш смартфон с Android, начиная с версии 7.0, может стать физическим ключом безопасности для двухфакторной авторизации. То есть не надо покупать дополнительно отдельный ключ, и можно просто использовать телефон.
https://support.google.com/accounts/answer/9289445?p=phone-security-key&visit_id=636905117624892527-1197655510&rd=1
https://support.google.com/accounts/answer/9289445?p=phone-security-key&visit_id=636905117624892527-1197655510&rd=1
Google
Use your phone's built-in security key - Android - Google Account Help
You can use 2-Step Verification to help protect your account from hackers, even if they’ve stolen info like your password. You can set up your phone’s built-in security key to safely sign in on Ch
TL;DR: An attacker gained access to the servers hosting Matrix.org. The intruder had access to the production databases, potentially giving them access to unencrypted message data, password hashes and access tokens. As a precaution, if you're a matrix.org user you should change your password now.
https://matrix.org/blog/2019/04/11/security-incident/
https://matrix.org/blog/2019/04/11/security-incident/
не втыкайте в устройства какие попало кабели
https://twitter.com/RfidGroup/status/1116371463118835712
https://twitter.com/RfidGroup/status/1116371463118835712
Twitter
RFIDResearchGroup
Someone told us making the USBninja into the Type-A socket is crazy enough. BLE, hall sensor and BadUSB. How can you fit all the things inside. Now you can say we are totally insane. #anotherlevel #infosec #badusb #usbninja
Вот это, я понимаю, офисный фишинг (Shawn то ли админ, то ли чел из HR)