Компания Medtronic уже несколько раз фигурировала в этом канале, в основном с новостями об уязвимостях в кардиостимуляторах компании. Но компания также производит и дозаторы инсулина, которые (сюрприз!) тоже имеют в себе программные уязвимости. Два года назад исследователи обнаружили уязвимости в инсулиновых помпах , которые позволяют удаленно управлять этими помпами (радиоканал, по которому управляется такая помпа, достаточно легко вычислить, и он не зашифрован. достаточно знать серийный номер помпы). Однако, компания почему-то не хочет исправлять эти уязвимости, и ограничилась просто предупреждением к своим пользователям. Исследователи хотят донести реальную опасность этой уязвимости, и выпустили код, демонстрирующий действие этой уязвимости, надеясь, что это привлечет больше внимания.
https://www.wired.com/story/medtronic-insulin-pump-hack-app/

Читатель вот прислал ссылку. Казалось бы, что может пойти не так?
https://thebell.io/v-rossii-poyavitsya-baza-so-vsemi-dannymi-grazhdan-vesti-ee-budut-nalogoviki/

Корпоративные VPN-сервисы Palo Alto Networks, Pulse Secure и Fortinet содержат в себе уязвимости, которые делают их уязвимыми для проникновения внутрь сетей пользователей этих сервисов
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/

Апдейты уже выкатывают
https://securityadvisories.paloaltonetworks.com/Home/Detail/158
https://fortiguard.com/psirt/FG-IR-18-384

ну как так вообще? Компания с сервисом для финансовых операций, и пароли в plain text, пусть даже во внутренних системах. Кстати, FB, Twitter, Google тоже этим отличились в свое время

Познакомтесь с Monokle, шпионским ПО, разработанным российской компанией Special Technology Centre, Ltd. ПО предназначено для перехвата коммуникаций Android-устройств путем контроля TCP-портов устройства. А дальше начинается веселье по доступу к практически всей информации на устройстве, включая календари, трафик, почту, текстовые сообщения, запись звонков, информации о местоположении и тд.

https://blog.lookout.com/monokle
https://arstechnica.com/information-technology/2019/07/advanced-mobile-surveillanceware-made-in-russia-found-in-the-wild/

http://supertracker.delian.io - простой проект по созданию своего пикселя для трекинга почты и мониторинга данных из этого пикселя. ВСЁ, ВСЁ ОПАСНОСТЕ

анонимных данных не существует 🙁 Исследователи разработали алгоритм, который позволяет по как минимум 15 анонимным аттрибутам идентифицировать определенного человека (американского человека, надо отметить, а их не жалко!).

https://www.nature.com/articles/s41467-019-10933-3/

и код проекта https://cpg.doc.ic.ac.uk/individual-risk/

не то, чтобы это новость — вот, например, похожее исследование по метаданным кредитных карт http://science.sciencemag.org/content/347/6221/536.full?ijkey=4rZ2eFPUrlLGw&keytype=ref&siteid=sci, или вот еще по данным местоположения смартфонов https://www.nature.com/articles/srep01376

В общем, только избушка в лесу, без интернета и электричества!

По наводке читателей кино по теме канала! https://www.netflix.com/title/80117542?s=i&trkid=254015180

Еще вот по наводке читателя полезная ссылка для пользователей iOS-устройств. Приложение Lockdown, такой типа firewall для iPhone, позволяющий блокировать определенные домены для того, чтобы, например, предотвратить сбор сервисами на этих доменах трекинговой информации. Ну, или если вы хотите перестать пользоваться Facebook, но не можете себя заставить, можно с помощью этого приложения заблокировать домен ФБ и тогда приложение не будет работать. И сайт не будет загружаться. Полезно! Программа бесплатная, и данные все на устройстве, поэтому ничего не утечет. Она использует API для VPN, хотя таковым не является и ваш IP адрес не изменит.

(на Маке, кстати, это хорошо решается редактированием /etc/hosts)
https://lockdownhq.com/

(да, кстати, я по просьбе читателей в виде теста добавил DiscussBot к каналу, так что если вам не хватало возможности обсуждать новости канала, то теперь она есть!)

А помните уязвимость CVE-2019-0708, для которой Microsoft даже для Win XP патч выпускала? (https://t.me/alexmakus/2836) Да-да, тот самый BlueKeep, способный сделать так, что даже NotPetya покажется мелочью, и к патчу которого призывала даже NSA (https://t.me/alexmakus/2879). Почему я внезапно вспомнил об этом? Во вторник компания Immunity анонсировала релиз эксплойта, который войдет в состав их инструмента для пентестов Canvas (https://twitter.com/Immunityinc/status/1153752470130221057). В интернете все еще полно компьютеров, которые не пропатчились от этой уязвимости, но, как по мне, кто не проапдейтился до этого момента, заслуживает последствий.

Маркус Хатчинс (он же MalwareTech), остановивший в свое время WannaCry (но замешанный в банковском вредоносном ПО Kronos и за это арестованный в США), легко отделался. Ему засчитали уже отсиженный за время следствия год, отменили штрафы и вернут домой в Великобританию, с запретом возвращаться в США. Легко обделался.

https://techcrunch.com/2019/07/26/marcus-hutchins-sentenced-kronos/
https://www.vice.com/en_us/article/9kxewv/malwaretech-wannacry-ransomware-sentencing

Последняя тема с голосовыми помощниками - материал в Guardian о том, что у Apple, как и у Google, Amazon и Яндекс, есть команда людей, которые получают небольшие сегменты голосовых записей команд Siri для последующей обработки и улучшения систем распознавания.

https://www.theguardian.com/technology/2019/jul/26/apple-contractors-regularly-hear-confidential-details-on-siri-recordings

В результате к прослушивающим попадают и записи от случайных срабатываний, в том числе содержащие какую-то личную информацию. Что отличает этот кейс от других - позиция Apple, которая давно и много говорит о защите частной информации. И хотя проверяемые аудиозаписи составляют небольшой объём от общего количества запросов (менее 1%) и отвязаны от данных типа Apple ID, но что-то личное просочиться все равно может. При этом Apple до этого момента открыто не раскрывала тот факт, что часть аудиозаписей прослушивается живыми людьми. В политике конфиденциальности компании есть только такой момент:

We may collect and store details of how you use our services, including search queries. This information may be used to improve the relevancy of results provided by our services. Except in limited instances to ensure quality of our services over the Internet, such information will not be associated with your IP address.

Официальный комментарий компании по этому поводу следующий:
“A small portion of Siri requests are analysed to improve Siri and dictation. User requests are not associated with the user’s Apple ID. Siri responses are analysed in secure facilities and all reviewers are under the obligation to adhere to Apple’s strict confidentiality requirements.” The company added that a very small random subset, less than 1% of daily Siri activations, are used for grading, and those used are typically only a few seconds long.

Короче, формально как-то и не придерёшься, а по сути какая-то фигня. Для компании, которая использует свой подход к конфиденциальности пользовательских данных в качестве отличия от конкурентов, это прям очень существенное упущение. Неважно, что там прослушивание происходит «анонимно и в защищённых местах», у пользователей должна быть четкая возможность узнать о такой функциональности и принять решение о том, могут ли записи использоваться для изучения, или не могут. Либо трусы, либо крестик.

в рамках минимизации политоты в канале просто набор ссылок про кибервойны . там и Россия, и США, и Германия, и Иран, и много кибер-убер-пупер. Попкорна и пива нужно много. За часть ссылок спасибо читателям.

https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html
https://web.br.de/interaktiv/winnti/english/
https://www.nytimes.com/2019/06/17/world/europe/russia-us-cyberwar-grid.html
https://www.wired.com/story/triton-hackers-scan-us-power-grid/
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
https://techcrunch.com/2019/07/22/cyber-threats-from-the-u-s-and-russia-are-now-focusing-on-civilian-infrastructure/

Воу, воу, мегаутечка у банка Сaptial One в США.

19 июля банк обнаружил, что была взломана база заявок на открытие кредитных карт банка. Сам несанкционированный взлом произошёл 22 и 23 марта 2019 года. Были украдены заявки людей, которые подавались на открытие карт в период между 2005 и 2019 годом.

Это около примерно 100 млн человек в США и еще около 6 млн человек в Канаде.

Среди украденных данных:
- персональная информация: имена, адреса, номера телефонов, адреса электронной почты, даты рождения и самостоятельно указанный доход
- финансовая информация: кредитный рейтинг, текущий баланс, история платежей
- около 140 тысяч номеров социального страхования в США, около 1 млн канадских номеров социального страхования
- данные о транзакциях за примерно 23 дня, которые «размазаны» между 2016 и 2018 годами.

http://press.capitalone.com/phoenix.zhtml?c=251626&p=irol-newsArticle&ID=2405043

Что отличает этот взлом от многих других — злоумышленник, осуществивший взлом, уже арестован. Ею оказалась женщина из Сиэтла по имени Paige A. Thompson, причем арестовали её по результатам заявлений, которые она сама делала в онлайне, хвастаясь этим взломом. Она работала в неназванной на данный момент компании по предоставлению облачных услуг, и (сюрприз!) банк был клиентом этой компании. Хорошие новости также в том, что она, похоже, никуда не успела продать эти данные.

https://www.washingtonpost.com/national-security/capital-one-data-breach-compromises-tens-of-millions-of-credit-card-applications-fbi-says/2019/07/29/72114cc2-b243-11e9-8f6c-7828e68cb15f_story.html

IT NEVER ENDS, THIS SHIT

Наташенька (она же Натали Сильванович, http://natashenka.ca/about/), сотрудник Google Project Zero, обнаружила 6 уязвимостей в iMessage (системе сообщений для iOS-устройств Apple). Информация о 5 уязвимостях опубликована, так как в последнем апдейте iOS 12.4 Apple исправила эти баги:
https://bugs.chromium.org/p/project-zero/issues/list?q=label%3AiMessage&can=1

а вот информация о шестой (CVE-2019-8641) пока что скрыта, так как выкаченный фикс не исправил ее. 4 из 6 уязвимостей приводили к исполнению вредоносного кода на удаленном iOS-устройстве, без участия пользования. То есть при получении сообщения код исполнялся без какого-либо взаимодействия со стороны пользователя. остальные уязвимости приводили к утечке памяти и чтению файлов на устройстве жертвы. Детальная презентация этих уязвимостей пройдет на Black Hat в Лас Вегасе на следующей неделе.

Надо отдать должное исследователям, которые находят такие баги и передают информацию о них разработчикам. Подобные уязвимости iOS на рынке могут стоить 1-2 млн долл за штуку. А пользователям айфонов хочется только посоветовать включить автоматические апдейты, и убедиться, что 12.4 уже установлена.

10 серьезных утечек 2019 года (пока что):
https://searchsecurity.techtarget.com/news/252467602/2019-data-breach-disclosures-10-of-the-biggest-so-far