Немножко любительских размышлений и вопросов о криптографии и безопасности персональных данных в рамках фичи поиска оффлайновых устройств, которую представила Apple на конференции разработчиков в этом месяце. А фича, если она будет работать так, как обещают, вообще может оказаться весьма полезной
https://alexmak.net/2019/06/20/find-my/

Преступление и наказание

Преступление — утечка персональных данных клиентов компаний Quest Diagnostics и LabCorp через инфраструктуру компании, принимавшей платежи
https://t.me/alexmakus/2881

Наказание — компания AMCA, принимавшая платежи и допустившая взлом, подала на банкротство и идет к ликвидации
https://healthitsecurity.com/news/amca-files-chapter-11-after-data-breach-impacting-quest-labcorp

Журналисты делают открытия
https://www.washingtonpost.com/technology/2019/06/21/google-chrome-has-become-surveillance-software-its-time-switch/

Воу, в Microsoft запретили использовать Slack, и вовсе не по причине конкуренции с Teams

Slack Free, Slack Standard and Slack Plus versions do not provide required controls to properly protect Microsoft Intellectual Property (IP). Existing users of these solutions should migrate chat history and files related to Microsoft business to Microsoft Teams, which offers the same features and integrated Office 365 apps, calling and meeting functionality. Learn more about the additional features that Teams can provide your workgroup. Slack Enterprise Grid version complies with Microsoft security requirements; however, we encourage use of Microsoft Teams rather than a competitive software.


https://www.geekwire.com/2019/no-slack-microsoft-puts-rival-app-internal-list-prohibited-discouraged-software/

Интернет был сегодня немножко опасносте

https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/

Л О Л (чувак в протестах, бросая коктейли Молотова, уронил флешку, по которой его идентифицировали и арестовали. И посадили, в том числе за всякий хакинг)
https://www.zdnet.com/article/anonymous-hacker-exposed-after-dropping-usb-drive-while-throwing-molotov-cocktail/

внимание Мак-юзерам. Тут нашли уязвимость в macOS, включая 10.14.5 (самая последняя релизная версия), которая позволяет обойти встроенную защиту Gatekeeper и запустить неподписанный код без какого-либо взаимодействия с пользователем. Много деталей по ссылке ниже. Интересно, что исследователь подал информацию об уязвимости в Apple, но на протяжении 90 дней компания не ответила, и поэтому информация об уязвимости раскрыта. Пишут, что инструменты, эксплуатирующие эту дыру, уже появились. Метод защиты для пользователей – не качать что попало из интернетов
https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass

Ахахаха, как же это прекрасно. Отличная идея фишинга: «ваша дебетная карта может загореться, поэтому мы объявляем её срочный отзыв. Пожалуйста, верните её по этому адресу вместе с ПИН-кодом.» и ведь наверняка кто-то поверит.

а вот хорошая новость. Новая фича у OneDrive, которая позволит создавать специальную защищенную папку в хранилище, доступ к которой будет обеспечиваться только через двухфакторную аутентификацию. Если вы пользуетесь OneDrive, то это может быть полезно для хранения там особо чувствительных данных. Просмотр папки на любом устройстве каждый раз будет приводить к запросу второго фактора. Информация безопасносте! (хотя я лично не люблю OneDrive, но мало ли)
https://www.theverge.com/2019/6/25/18744045/microsoft-onedrive-personal-fault-secure-folder-storage-2fa

Ну наконец-то, первый компьютер, который нельзя хакнуть (по утверждениям его создателя, а также его мамы). Несите ваши денежки побыстрее, идея компьютера пришла ему во сне!
https://www.kickstarter.com/projects/microsafex/worlds-first-patented-unhackable-computer-ever

Когда-нибудь в прекрасном будущем СМИ перестанут иллюстрировать хакеров в таком виде. Но мы вряд ли доживем до этих светлых времён

Я как-то пропустил совершенно на прошлой неделе новость у Reuters о том, что якобы западные разведывательные организации в прошлом году взломали Яндекс в попытках слежки за пользовательскими аккаунтами. Статья в целом изобилует интересными деталями (такими, как название malware, использованного для взлома - Regin), которое применяется разведками 5 стран, известных как Five Eyes. Взлом произошел в период с октября по ноябрь 2018 года. Целью были разработчики Яндекса и технология аутентификации пользователей сервиса. Яндекс подтвердил историю, но заявил, что попытка была быстро нейтрализована без ущерба для пользовательских данных.

https://www.reuters.com/article/us-usa-cyber-yandex-exclusive/exclusive-western-intelligence-hacked-russias-google-yandex-to-spy-on-accounts-sources-idUSKCN1TS2SX

а вот еще одна история из прошлой недели, которую я пропустил. Если пред-сохранить альбом перед выходом в Spotify, нужно согласиться на дополнительные права лейблам, которые дают им возможность следить за всей музыкой, которую прослушивает этот пользователь, за какими исполнителями следит. Не то, чтобы это незаконно — это не так, но передача этих прав происходит както так легко и незаметно, что пользователи и не догадываются, что стали передавать гораздо больше информации о себе, чем раньше. Слежка — она везде.
https://www.billboard.com/articles/business/8517869/when-you-listen-they-watch-pre-saving-albums-allow-labels-track-users-spotify

вредоносное ПО для Мака — OSX/CrescentCore, причем реально циркулирует. не ставится, если есть антивирус (удобно), когда ставится, маскируется под Flash (кто вообще ставит себе Flash в эти дни?), и потом пытается скачать и установить какой-то дополнительный мусор в систему
https://www.intego.com/mac-security-blog/osx-crescentcore-mac-malware-designed-to-evade-antivirus/

Мощный отчет Motherboard/Guardian/Süddeutsche Zeitung/NYT о том, как при пересечении границы Китая туристов заставляют устанавливать шпионское ПО на их смартфоны с Android, которое сканирует сообщения, адресную книгу, фотографии и тд.

The following information is gathered:
• All calendar entries, phone contacts, country codes and dialed numbers;
• General information about the Phone (IMEI, IMSI, PhoneSN, WifiMac,
BluetoothMac, and if the device is rooted);
• Information about the Android Model (CPU_ABI, BOARD, HARDWARE);
• All stored text messages (SMS);
• Information about the current base-station;
• Information about the used hardware (Mac Addresses);
• All information accessible for various installed apps + an MD5 hash of the app;
• Mac Addresses;
• Current phone number;
• Extracted information searched by the GetVirAccount application which searches
the /sdcard for specific data of specific China-related apps. This information contains phone numbers and email addresses.

статья
https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware

и технический отчет
https://cure53.de/analysis-report_bxaq.pdf

немножко ссылок про умные гаджеты, умный дом, IoT, все как вы любите
https://blackmarble.sh/zipato-smart-hub/
https://www.vpnmentor.com/blog/report-orvibo-leak/
https://www.kaspersky.ru/blog/hacking-things/23017/?es_p=9633637

модный стартап почты Superhuman использует всякие хитрости типа скрытого пикселя, чтобы радовать пользователей неожиданными функциями типа информации о том, сколько раз получатель открывал письмо
https://mikeindustries.com/blog/archive/2019/06/superhuman-is-spying-on-you

Привет! После длинных выходных редакции канала мы возобновляем свежие трансляции в мире инфоопасностей. К счастью, за время отсутствия обновлений интернет сломали всего лишь два раза (и починили), так что вы ничего особенного не пропустили. Для разминки предлагаю посмотреть на мнение организации OpenID Foundation по поводу системы Sign In With Apple (о которой я писал недавно тут
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/). Это система аутентификации пользователей с применением Apple ID, которую Apple построила на базе OpenID, но без полной совместимости со стандартном. Это, по мнению организации, создаёт определенные риски для пользователей, которые будут пользоваться Sign In With Apple, поэтому организация призывает довести соответствие стандарту до полной совместимости.

Письмо организации
https://openid.net/2019/06/27/open-letter-from-the-openid-foundation-to-apple-regarding-sign-in-with-apple/
Список отличий реализации Apple
https://bitbucket.org/openid/connect/src/default/How-Sign-in-with-Apple-differs-from-OpenID-Connect.md

пользуясь случаем, компания Logitech передаёт привет своим пользователям! В нескольких клавиатурах, мышах и других устройствах компании, использующих Unifying USB Receiver, обнаружены уязвимости, позволяющие перехватывать набранный текст, а также отправлять свои текстовые команды на компьютер жертвы. Часть уязвимостей уже исправлена компанией Logitech, но некоторые пока остаются активными. Logitech обещает исправить их в августе. Как показывает материал по ссылке (за неё спасибо читательнице канала), найти и обновить прошивку устройства тоже не так просто.

https://www.heise.de/ct/artikel/Logitech-keyboards-and-mice-vulnerable-to-extensive-cyber-attacks-4464533.html