немножко бесстыжего самопиара. редакция этого канала в моем лице написала небольшую заметку о новой кнопке логина Sign In with Apple, которую представила на прошлой неделе Эпол на своей конференции разработчиков. Поскольку кнопка имеет непосредственное отношение к приватности/конфиденциальности, материал для канала более чем уместный. В статье рассказывается о том, какие преимущества несет для пользователей эта кнопка и какие геморрои - для разработчиков приложений и сайтов.
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/
alexmak.net
Впечатления от WWDC2019 — Sign In with Apple
Я со своей колокольни “информационной опасносте” хотел бы отметить один из интереснейших анонсов на WWDC, касающийся вопросов приватности и конфиденциальности пользовательских данных — сервис Sign …
Это прекрасно сразу на нескольких уровнях
https://twitter.com/SamsungSupport/status/1140409768743452672
https://twitter.com/SamsungSupport/status/1140409768743452672
Читатель прислал ссылку на сервис Мозиллы по проверке утечек учетных записей (как альтернативы HaveIBeenPwned)
АПД заметка себе — надо быть внимательней. Данные в сервисе мозиллы предоставлены Have I Been Pwned 🙂
https://monitor.firefox.com
АПД заметка себе — надо быть внимательней. Данные в сервисе мозиллы предоставлены Have I Been Pwned 🙂
https://monitor.firefox.com
Mozilla Monitor
Find out if you’ve been part of a data breach with Mozilla Monitor. We’ll help you understand what to do next and continuously monitor for any new breaches.
Сразу две новости про смартфоны и их взлом. Про компанию Grayshift в этом канале я писал неоднократно. Компания известна тем, что разработала “коробочку”, которая умеет взламывать iPhone и добывать из него данные. По слухам, компания решила расширить свою сферу деятельности и поддержать в своих устройствах смартфоны на базе Android
https://www.forbes.com/sites/thomasbrewster/2019/06/12/feds-favorite-iphone-hacker-grayshift-plans-to-crack-android/
В то же время другая компания, которая занимается примерно тем же (и которая тоже неоднократно фигурировала в этом канале) — Cellebrite — анонсировала, что их новое устройство умеет теперь разблокировать все смартфоны и планшеты на iOS, включая последнюю релизную версию iOS 12.3. Кроме этого, поддерживаются многие модели смартфонов на Android. Речь идет о разблокировке заблокированных устройств и получению данных с устройств.
https://www.cellebrite.com/en/ufed-premium/
https://twitter.com/Cellebrite_UFED/status/1139569499206643715
Звучит неприятно, и, я надеюсь, какие-то пуканы в офисе Apple по этому поводу дымятся. Обычным пользователям вроде нас это особо ничем не грозит, обе компании продают устройства правоохранительным и разведывательным органам. Но хотелось бы, чтобы Apple, Google и другие производители смартфонов в этой игре “кошек и мышек” бежали быстрее и исправляли недостатки в своих устройствах и ПО быстрее.
https://www.forbes.com/sites/thomasbrewster/2019/06/12/feds-favorite-iphone-hacker-grayshift-plans-to-crack-android/
В то же время другая компания, которая занимается примерно тем же (и которая тоже неоднократно фигурировала в этом канале) — Cellebrite — анонсировала, что их новое устройство умеет теперь разблокировать все смартфоны и планшеты на iOS, включая последнюю релизную версию iOS 12.3. Кроме этого, поддерживаются многие модели смартфонов на Android. Речь идет о разблокировке заблокированных устройств и получению данных с устройств.
https://www.cellebrite.com/en/ufed-premium/
https://twitter.com/Cellebrite_UFED/status/1139569499206643715
Звучит неприятно, и, я надеюсь, какие-то пуканы в офисе Apple по этому поводу дымятся. Обычным пользователям вроде нас это особо ничем не грозит, обе компании продают устройства правоохранительным и разведывательным органам. Но хотелось бы, чтобы Apple, Google и другие производители смартфонов в этой игре “кошек и мышек” бежали быстрее и исправляли недостатки в своих устройствах и ПО быстрее.
Forbes
Leaked: The Feds’ Favorite iPhone Hackers Plan To Crack Android
Grayshift, one of the government's favorite iPhone hackers, is planning to hack Androids too. But it'll master hacks of Apple products first, the CEO says.
Я в целом стараюсь избегать темы политики в канале, поэтому просто оставлю тут две ссылки без комментариев:
США и атаки на энергосистему России https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
Атаки на энергосистему США https://www.eenews.net/stories/1060575609
США и атаки на энергосистему России https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
Атаки на энергосистему США https://www.eenews.net/stories/1060575609
Nytimes
U.S. Escalates Online Attacks on Russia’s Power Grid (Published 2019)
The Trump administration is using new authority to take more aggressive digital action in a warning to Moscow and in a demonstration of its abilities.
парочка новостей, которые я уже неоднократно прокомментировал читателям, которые писали мне. первая — о “фатальной уязвимости” ключей Yubico, серию которых выпускали специально для госорганов. (про “фатальную” я не шучу, реальный заголовок). Речь на самом деле идет о том, что случайные числа, генерируемые ключом, на первой генерации после включения ключа имели уменьшенную случайность. поскольку речь идет о ключах для госорганов с поддержкой федерального стандарта FIPS, то Yubico организовало обмен ключей (после соответствующей ре-сертификации). Лажа, конечно, но фатальная ли? Вряд ли.
https://www.yubico.com/support/security-advisories/ysa-2019-02/
https://www.yubico.com/support/security-advisories/ysa-2019-02/
Yubico
Security advisory YSA-2019-02 - Yubico
This security advisory is for anyone who uses or manages YubiKey FIPS Series devices.
Вторая тема касается некоего бота, сообщающего про утечки логинов и паролей. (отправляешь боту адрес имейла, а бот в ответ сообщает пароли, утекшие к этому адресу). Про этого бота мне написали примерно 100501 раз. Я видел новости о нем вчера, но я сознательно не хотел писать о нем в канале, потому что слишком мало мы знаем об этом боте. Проблема утёкших паролей не в вопросе идентификации канала утечки, которые якобы дает получение утекшего пароля. Большинство пользователей повторно используют одинаковые пароли в разных сервисах, поэтому даже показанный утекший пароль большинству юзеров ничего не скажет для идентификации того, откуда он. Баз с информацией о логинах и паролях полно, поэтому использование уникальных паролей, менеджеров паролей и двухфакторной аутентификации — гораздо более надежный способ защиты, чем какие-то проверки. Я в канале неоднократно писал про Have I Been Pwned, но это известный на всю отрасль проект, верифицированный многими экспертами. В моем представлении это гораздо более безопасный метод узнать о факте утечки, без риска случайно раскрыть информацию, которую, возможно, не стоило бы раскрывать. А бот - тема подозрительная, и что там и как собирается, хранится, передаётся - совершенно неизвестно. Автор декларирует благие намерения по привлечению внимания к проблеме персональных данных, но, мне кажется, это можно делать более безопасными методами. Короче, на ваш страх и риск (мнение редакции может быть излишне параноидальным и не совпадать со здравым смыслом).
https://tjournal.ru/tech/102298-v-telegram-poyavilsya-bot-kotoryy-agregiruet-vse-izvestnye-utechki-baz-dannyh-mozhno-uznat-slitye-paroli-ot-pochty
https://tjournal.ru/tech/102298-v-telegram-poyavilsya-bot-kotoryy-agregiruet-vse-izvestnye-utechki-baz-dannyh-mozhno-uznat-slitye-paroli-ot-pochty
TJ
В Telegram появился бот, который агрегирует все известные утечки баз данных. Можно узнать «слитые» пароли от почты — Технологии…
Достаточно просто ввести email-адрес, а бот пришлёт известные от неё пароли.
АЛЯРМА, КОТАНЫ! Срочный патч для Firefox, исправляет обнаруженную zero day, эксплуатация которой подтверждена.
A type confusion vulnerability can occur when manipulating JavaScript objects due to issues in Array.pop. This can allow for an exploitable crash. We are aware of targeted attacks in the wild abusing this flaw.
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
A type confusion vulnerability can occur when manipulating JavaScript objects due to issues in Array.pop. This can allow for an exploitable crash. We are aware of targeted attacks in the wild abusing this flaw.
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
Mozilla
Security vulnerabilities fixed in Firefox 67.0.3 and Firefox ESR 60.7.1
сколько можно про уязвимости-то. Давайте про умные гаджеты, которые не очень-то и умные. Тут вот оказалось, что если у пользователя была камера Google Nest, подключенная через сторонний хаб Wink, то с помощью сторонних приложений. совместимых с этим хабом, можно было просматривать видео с камер, даже если вы уже продали камеру кому-то другому, удалив её из своего аккаунта. Кейс, конечно, не самый тривиальный, но вполне может служить рекомендацией очень осторожно относиться к покупке бывших в использовании домашних гаджетов.
https://thewirecutter.com/blog/used-nest-cams-can-let-people-spy-on-you/
https://thewirecutter.com/blog/used-nest-cams-can-let-people-spy-on-you/
Wirecutter: Reviews for the Real World
Buyer Beware: Used Nest Cams Can Let People Spy on You
We love a bargain as much as the next person, but we just discovered a good reason you may want to buy new when it comes to Nest cameras.
Немножко любительских размышлений и вопросов о криптографии и безопасности персональных данных в рамках фичи поиска оффлайновых устройств, которую представила Apple на конференции разработчиков в этом месяце. А фича, если она будет работать так, как обещают, вообще может оказаться весьма полезной
https://alexmak.net/2019/06/20/find-my/
https://alexmak.net/2019/06/20/find-my/
alexmak.net
Find My
Один из самых интересных для меня анонсов на WWDC 2019 – это функция мониторинга устройств Apple пользователями, которую Apple назвала Find My. Общая идея возможности пользователю видеть свои…
Преступление и наказание
Преступление — утечка персональных данных клиентов компаний Quest Diagnostics и LabCorp через инфраструктуру компании, принимавшей платежи
https://t.me/alexmakus/2881
Наказание — компания AMCA, принимавшая платежи и допустившая взлом, подала на банкротство и идет к ликвидации
https://healthitsecurity.com/news/amca-files-chapter-11-after-data-breach-impacting-quest-labcorp
Преступление — утечка персональных данных клиентов компаний Quest Diagnostics и LabCorp через инфраструктуру компании, принимавшей платежи
https://t.me/alexmakus/2881
Наказание — компания AMCA, принимавшая платежи и допустившая взлом, подала на банкротство и идет к ликвидации
https://healthitsecurity.com/news/amca-files-chapter-11-after-data-breach-impacting-quest-labcorp
Telegram
Информация опасносте
Сегодня с утра ездил сдавать кровь на анализы. Чем это примечательно для тематики канала? Я сдавал их в лаборатории компании Quest Diagnostics, которая на прошлой неделе объявила о том, что взлом через инфраструктуру их партнера, принимавшего платежи, привел…
Воу, в Microsoft запретили использовать Slack, и вовсе не по причине конкуренции с Teams
Slack Free, Slack Standard and Slack Plus versions do not provide required controls to properly protect Microsoft Intellectual Property (IP). Existing users of these solutions should migrate chat history and files related to Microsoft business to Microsoft Teams, which offers the same features and integrated Office 365 apps, calling and meeting functionality. Learn more about the additional features that Teams can provide your workgroup. Slack Enterprise Grid version complies with Microsoft security requirements; however, we encourage use of Microsoft Teams rather than a competitive software.
https://www.geekwire.com/2019/no-slack-microsoft-puts-rival-app-internal-list-prohibited-discouraged-software/
Slack Free, Slack Standard and Slack Plus versions do not provide required controls to properly protect Microsoft Intellectual Property (IP). Existing users of these solutions should migrate chat history and files related to Microsoft business to Microsoft Teams, which offers the same features and integrated Office 365 apps, calling and meeting functionality. Learn more about the additional features that Teams can provide your workgroup. Slack Enterprise Grid version complies with Microsoft security requirements; however, we encourage use of Microsoft Teams rather than a competitive software.
https://www.geekwire.com/2019/no-slack-microsoft-puts-rival-app-internal-list-prohibited-discouraged-software/
GeekWire
No Slack for you! Microsoft puts rival app on internal list of ‘prohibited and discouraged’ software
Slack is on an internal Microsoft list of prohibited technology — software, apps, online services and plug-ins that the company doesn't want its employees using as part of their day-to-day work. But the document, obtained by GeekWire, asserts that the primary…
Интернет был сегодня немножко опасносте
https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/
https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/
The Cloudflare Blog
How Verizon and a BGP Optimizer Knocked Large Parts of the Internet Offline Today
Today at 10:30UTC, the Internet had a small heart attack. A small company in Northern Pennsylvania became a preferred path of many Internet routes through Verizon (AS701), a major Internet transit provider.
Л О Л (чувак в протестах, бросая коктейли Молотова, уронил флешку, по которой его идентифицировали и арестовали. И посадили, в том числе за всякий хакинг)
https://www.zdnet.com/article/anonymous-hacker-exposed-after-dropping-usb-drive-while-throwing-molotov-cocktail/
https://www.zdnet.com/article/anonymous-hacker-exposed-after-dropping-usb-drive-while-throwing-molotov-cocktail/
ZDNet
Anonymous hacker exposed after dropping USB drive while throwing Molotov cocktail
Anonymous Belgium hacker sentenced to 18 months in prison for past cyber-crimes.
внимание Мак-юзерам. Тут нашли уязвимость в macOS, включая 10.14.5 (самая последняя релизная версия), которая позволяет обойти встроенную защиту Gatekeeper и запустить неподписанный код без какого-либо взаимодействия с пользователем. Много деталей по ссылке ниже. Интересно, что исследователь подал информацию об уязвимости в Apple, но на протяжении 90 дней компания не ответила, и поэтому информация об уязвимости раскрыта. Пишут, что инструменты, эксплуатирующие эту дыру, уже появились. Метод защиты для пользователей – не качать что попало из интернетов
https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass
https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass
а вот хорошая новость. Новая фича у OneDrive, которая позволит создавать специальную защищенную папку в хранилище, доступ к которой будет обеспечиваться только через двухфакторную аутентификацию. Если вы пользуетесь OneDrive, то это может быть полезно для хранения там особо чувствительных данных. Просмотр папки на любом устройстве каждый раз будет приводить к запросу второго фактора. Информация безопасносте! (хотя я лично не люблю OneDrive, но мало ли)
https://www.theverge.com/2019/6/25/18744045/microsoft-onedrive-personal-fault-secure-folder-storage-2fa
https://www.theverge.com/2019/6/25/18744045/microsoft-onedrive-personal-fault-secure-folder-storage-2fa
The Verge
Microsoft’s new OneDrive Personal Vault protects a folder with 2FA
It’ll be available to everyone by the end of the year.