немножко бесстыжего самопиара. редакция этого канала в моем лице написала небольшую заметку о новой кнопке логина Sign In with Apple, которую представила на прошлой неделе Эпол на своей конференции разработчиков. Поскольку кнопка имеет непосредственное отношение к приватности/конфиденциальности, материал для канала более чем уместный. В статье рассказывается о том, какие преимущества несет для пользователей эта кнопка и какие геморрои - для разработчиков приложений и сайтов.
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/

Это прекрасно сразу на нескольких уровнях
https://twitter.com/SamsungSupport/status/1140409768743452672

Читатель прислал ссылку на сервис Мозиллы по проверке утечек учетных записей (как альтернативы HaveIBeenPwned)

АПД заметка себе — надо быть внимательней. Данные в сервисе мозиллы предоставлены Have I Been Pwned 🙂

https://monitor.firefox.com

Сразу две новости про смартфоны и их взлом. Про компанию Grayshift в этом канале я писал неоднократно. Компания известна тем, что разработала “коробочку”, которая умеет взламывать iPhone и добывать из него данные. По слухам, компания решила расширить свою сферу деятельности и поддержать в своих устройствах смартфоны на базе Android

https://www.forbes.com/sites/thomasbrewster/2019/06/12/feds-favorite-iphone-hacker-grayshift-plans-to-crack-android/

В то же время другая компания, которая занимается примерно тем же (и которая тоже неоднократно фигурировала в этом канале) — Cellebrite — анонсировала, что их новое устройство умеет теперь разблокировать все смартфоны и планшеты на iOS, включая последнюю релизную версию iOS 12.3. Кроме этого, поддерживаются многие модели смартфонов на Android. Речь идет о разблокировке заблокированных устройств и получению данных с устройств.

https://www.cellebrite.com/en/ufed-premium/

https://twitter.com/Cellebrite_UFED/status/1139569499206643715

Звучит неприятно, и, я надеюсь, какие-то пуканы в офисе Apple по этому поводу дымятся. Обычным пользователям вроде нас это особо ничем не грозит, обе компании продают устройства правоохранительным и разведывательным органам. Но хотелось бы, чтобы Apple, Google и другие производители смартфонов в этой игре “кошек и мышек” бежали быстрее и исправляли недостатки в своих устройствах и ПО быстрее.

Я в целом стараюсь избегать темы политики в канале, поэтому просто оставлю тут две ссылки без комментариев:
США и атаки на энергосистему России https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

Атаки на энергосистему США https://www.eenews.net/stories/1060575609

парочка новостей, которые я уже неоднократно прокомментировал читателям, которые писали мне. первая — о “фатальной уязвимости” ключей Yubico, серию которых выпускали специально для госорганов. (про “фатальную” я не шучу, реальный заголовок). Речь на самом деле идет о том, что случайные числа, генерируемые ключом, на первой генерации после включения ключа имели уменьшенную случайность. поскольку речь идет о ключах для госорганов с поддержкой федерального стандарта FIPS, то Yubico организовало обмен ключей (после соответствующей ре-сертификации). Лажа, конечно, но фатальная ли? Вряд ли.
https://www.yubico.com/support/security-advisories/ysa-2019-02/

Вторая тема касается некоего бота, сообщающего про утечки логинов и паролей. (отправляешь боту адрес имейла, а бот в ответ сообщает пароли, утекшие к этому адресу). Про этого бота мне написали примерно 100501 раз. Я видел новости о нем вчера, но я сознательно не хотел писать о нем в канале, потому что слишком мало мы знаем об этом боте. Проблема утёкших паролей не в вопросе идентификации канала утечки, которые якобы дает получение утекшего пароля. Большинство пользователей повторно используют одинаковые пароли в разных сервисах, поэтому даже показанный утекший пароль большинству юзеров ничего не скажет для идентификации того, откуда он. Баз с информацией о логинах и паролях полно, поэтому использование уникальных паролей, менеджеров паролей и двухфакторной аутентификации — гораздо более надежный способ защиты, чем какие-то проверки. Я в канале неоднократно писал про Have I Been Pwned, но это известный на всю отрасль проект, верифицированный многими экспертами. В моем представлении это гораздо более безопасный метод узнать о факте утечки, без риска случайно раскрыть информацию, которую, возможно, не стоило бы раскрывать. А бот - тема подозрительная, и что там и как собирается, хранится, передаётся - совершенно неизвестно. Автор декларирует благие намерения по привлечению внимания к проблеме персональных данных, но, мне кажется, это можно делать более безопасными методами. Короче, на ваш страх и риск (мнение редакции может быть излишне параноидальным и не совпадать со здравым смыслом).
https://tjournal.ru/tech/102298-v-telegram-poyavilsya-bot-kotoryy-agregiruet-vse-izvestnye-utechki-baz-dannyh-mozhno-uznat-slitye-paroli-ot-pochty

АЛЯРМА, КОТАНЫ! Срочный патч для Firefox, исправляет обнаруженную zero day, эксплуатация которой подтверждена.

A type confusion vulnerability can occur when manipulating JavaScript objects due to issues in Array.pop. This can allow for an exploitable crash. We are aware of targeted attacks in the wild abusing this flaw.


https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/

сколько можно про уязвимости-то. Давайте про умные гаджеты, которые не очень-то и умные. Тут вот оказалось, что если у пользователя была камера Google Nest, подключенная через сторонний хаб Wink, то с помощью сторонних приложений. совместимых с этим хабом, можно было просматривать видео с камер, даже если вы уже продали камеру кому-то другому, удалив её из своего аккаунта. Кейс, конечно, не самый тривиальный, но вполне может служить рекомендацией очень осторожно относиться к покупке бывших в использовании домашних гаджетов.
https://thewirecutter.com/blog/used-nest-cams-can-let-people-spy-on-you/

Немножко любительских размышлений и вопросов о криптографии и безопасности персональных данных в рамках фичи поиска оффлайновых устройств, которую представила Apple на конференции разработчиков в этом месяце. А фича, если она будет работать так, как обещают, вообще может оказаться весьма полезной
https://alexmak.net/2019/06/20/find-my/

Преступление и наказание

Преступление — утечка персональных данных клиентов компаний Quest Diagnostics и LabCorp через инфраструктуру компании, принимавшей платежи
https://t.me/alexmakus/2881

Наказание — компания AMCA, принимавшая платежи и допустившая взлом, подала на банкротство и идет к ликвидации
https://healthitsecurity.com/news/amca-files-chapter-11-after-data-breach-impacting-quest-labcorp

Журналисты делают открытия
https://www.washingtonpost.com/technology/2019/06/21/google-chrome-has-become-surveillance-software-its-time-switch/

Воу, в Microsoft запретили использовать Slack, и вовсе не по причине конкуренции с Teams

Slack Free, Slack Standard and Slack Plus versions do not provide required controls to properly protect Microsoft Intellectual Property (IP). Existing users of these solutions should migrate chat history and files related to Microsoft business to Microsoft Teams, which offers the same features and integrated Office 365 apps, calling and meeting functionality. Learn more about the additional features that Teams can provide your workgroup. Slack Enterprise Grid version complies with Microsoft security requirements; however, we encourage use of Microsoft Teams rather than a competitive software.


https://www.geekwire.com/2019/no-slack-microsoft-puts-rival-app-internal-list-prohibited-discouraged-software/

Интернет был сегодня немножко опасносте

https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/

Л О Л (чувак в протестах, бросая коктейли Молотова, уронил флешку, по которой его идентифицировали и арестовали. И посадили, в том числе за всякий хакинг)
https://www.zdnet.com/article/anonymous-hacker-exposed-after-dropping-usb-drive-while-throwing-molotov-cocktail/

внимание Мак-юзерам. Тут нашли уязвимость в macOS, включая 10.14.5 (самая последняя релизная версия), которая позволяет обойти встроенную защиту Gatekeeper и запустить неподписанный код без какого-либо взаимодействия с пользователем. Много деталей по ссылке ниже. Интересно, что исследователь подал информацию об уязвимости в Apple, но на протяжении 90 дней компания не ответила, и поэтому информация об уязвимости раскрыта. Пишут, что инструменты, эксплуатирующие эту дыру, уже появились. Метод защиты для пользователей – не качать что попало из интернетов
https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass

Ахахаха, как же это прекрасно. Отличная идея фишинга: «ваша дебетная карта может загореться, поэтому мы объявляем её срочный отзыв. Пожалуйста, верните её по этому адресу вместе с ПИН-кодом.» и ведь наверняка кто-то поверит.

а вот хорошая новость. Новая фича у OneDrive, которая позволит создавать специальную защищенную папку в хранилище, доступ к которой будет обеспечиваться только через двухфакторную аутентификацию. Если вы пользуетесь OneDrive, то это может быть полезно для хранения там особо чувствительных данных. Просмотр папки на любом устройстве каждый раз будет приводить к запросу второго фактора. Информация безопасносте! (хотя я лично не люблю OneDrive, но мало ли)
https://www.theverge.com/2019/6/25/18744045/microsoft-onedrive-personal-fault-secure-folder-storage-2fa