кроме темы инфосека мне интересна еще тема велосипедов. Тот редкий случай, когда два в одном: хакеры взломали систему "умных" станков для велосипеда, и научились подменять данные, которые передаются со станка в систему. сидишь, ничего не делаешь, а тебе засчитывают киловатты жима педалей. красота.
https://www.bicycling.com/news/a28912281/zwift-hacking/
https://www.bicycling.com/news/a28912281/zwift-hacking/
Bicycling
Zwift Hackers Expose the Next Generation of Cycling Doping
E-sports are just as vulnerable to cheats as real-life races. Here’s how it can be done.
открытые MongoDB, являющиеся частью GootKit сети — банковского трояна. адреса имейлов, пароли, логины, все как обычно. забавно, что базу оставили открытой, видимо, как раз участники группы. https://securitydiscovery.com/banking-trojan-database-exposed-millions-of-users-at-risk/
Security Discovery
Banking Trojan Database Exposed - Millions of Users At Risk - Security Discovery
On July 5th I discovered two (!) open and publicly accessible MongoDB instances which appeared to be part of the GootKit network – one of the most advanced banking Trojans discovered in the wild in the...
а вот еще про открытые сервера. сотни серверов с фото рентгенов и МРТ, с простыми паролями или вообще без них. заходи кто хочешь, смотри что хочешь.
както кто-то из читателей спросил у меня "вот ты пишешь про эти все ужасы, а что с этим всем нам делать?". да вот хрен его знает. отвечать за все миллионы кривых рук админов, которые настраивают все эти системы, не думая вообще о том, что будет происходить с персональными данными — непонятно как. теоретически какой-нибудь GDPR мог бы применяться за подобную халатность, но в Штатах и его даже нет. нужно от всех требовать некую сертификацию, единый стандарт "безопасности хранения данных". Но это больше похоже на сизифов труд.
https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet
както кто-то из читателей спросил у меня "вот ты пишешь про эти все ужасы, а что с этим всем нам делать?". да вот хрен его знает. отвечать за все миллионы кривых рук админов, которые настраивают все эти системы, не думая вообще о том, что будет происходить с персональными данными — непонятно как. теоретически какой-нибудь GDPR мог бы применяться за подобную халатность, но в Штатах и его даже нет. нужно от всех требовать некую сертификацию, единый стандарт "безопасности хранения данных". Но это больше похоже на сизифов труд.
https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet
ProPublica
Millions of Americans’ Medical Images and Data Are Available on the Internet. Anyone Can Take a Peek.
Hundreds of computer servers worldwide that store patient X-rays and MRIs are so insecure that anyone with a web browser or a few lines of computer code can view patient records. One expert warned about it for years.
Я тут пару дней назад писал про SIM Jacker, возможную уязвимость в ПО SIM-карт, позволяющую заражать смартфоны вне зависимости от платформы.
https://t.me/alexmakus/3048
Пока технических деталей нет, но вот два интересных треда в твиттере, которые высказывают сомнения в том, что проблема имеет место быть, и в тех масштабах, о которых о ней говорят
тред 1 https://twitter.com/VessOnSecurity/status/1173625466894393344
тред 2 https://twitter.com/sawaba/status/1173828001848541186
https://t.me/alexmakus/3048
Пока технических деталей нет, но вот два интересных треда в твиттере, которые высказывают сомнения в том, что проблема имеет место быть, и в тех масштабах, о которых о ней говорят
тред 1 https://twitter.com/VessOnSecurity/status/1173625466894393344
тред 2 https://twitter.com/sawaba/status/1173828001848541186
Telegram
Информация опасносте
воу-воу, тут серьезная тема. Название дня: SimJacker, уязвимость, которая находится в ПО S@T Browser, внедренном в SIM-карты, используемые огромным количеством операторов мобильной связи. Уязвимость, по утверждениям исследователей, её обнаруживших, может…
если вы пользуетесь менеджером паролей LastPass, там надо бы до последней версии обновиться, где исправлена бага, позволявшая сайтам подцепить последний использованный пароль. LastPass 4.33.0 или более поздняя — ок.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1930
https://bugs.chromium.org/p/project-zero/issues/detail?id=1930
ОГОГО. Короче, похоже, сотрудник Nokia Networks тут сильно лоханулся. Он подключил диск к компьютеру, а диск, в связи с неправильной конфигурацией, стал доступен в интернет без какой-либо аутентификации.
Один маленький нюанс: это был диск, на котором хранилась информация о том, как работает СОРМ у мобильного оператора МТС. На диске также была информация о том, как власти России получают доступ к звонкам, сообщениям и другой информации клиентов мобильного оператора. Эксперты получили доступ к диску, скачали с него информацию, а также проинформировали сотрудника Nokia Networks о том, что почти 2 ТБ данных торчат в интернет голой жопой.
Планы размещения коробочек СОРМ, фотографии самих устройств, информация о том, как устройства Malvin Systems перехватывают данные абонентов, всякие схемы подключения устройств, и много всего другого интересного. Красота.
https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/
Один маленький нюанс: это был диск, на котором хранилась информация о том, как работает СОРМ у мобильного оператора МТС. На диске также была информация о том, как власти России получают доступ к звонкам, сообщениям и другой информации клиентов мобильного оператора. Эксперты получили доступ к диску, скачали с него информацию, а также проинформировали сотрудника Nokia Networks о том, что почти 2 ТБ данных торчат в интернет голой жопой.
Планы размещения коробочек СОРМ, фотографии самих устройств, информация о том, как устройства Malvin Systems перехватывают данные абонентов, всякие схемы подключения устройств, и много всего другого интересного. Красота.
https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/
Upguard
Telecommunications Breakdown: How Russian Telco Infrastructure was Exposed | UpGuard
A storage device containing 1.7 terabytes of information detailing telecommunications installations throughout the Russian Federation was exposed to the public internet.
целых три страницы рекламы Google о безопасности личных данных в сегодняшнем Washington Post. Наверно, это важно.
По материалам об утечке данных
https://t.me/alexmakus/3049
есть также опровержение (спасибо читателю канала)
https://www.kommersant.ru/amp/4095088
https://t.me/alexmakus/3049
есть также опровержение (спасибо читателю канала)
https://www.kommersant.ru/amp/4095088
Telegram
Информация опасносте
⚡️Ушли из базы: в Сеть утекли 14 млн записей компаний и покупателей.
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию…
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию…
Оставлю вам на выходные большое исследование «британских ученых» различных IoT устройств. В рамках изучения исследователи посмотрели на десятки смарт-телевизоров, спикеров, видеозвонков от компаний Google, Roku, Amazon и других. Цель исследования —понять, какие данные собирают эти устройства о пользователях, и с кем разработчики этих систем делятся собранными данными. Результаты, как вы понимаете, неутешительные (иначе материала бы не было в этом канале): IP-адреса, информация об устройствах, паттерны использования, информация о геолокации и др. - все это попадает в руки создателей гаджетов и расползается по сторонним компаниям.
Традиционный вопрос: а что с этим всем знанием делать? как минимум, проводить изучение продуктов перед покупкой, выбирать устройства без обязательного подключения к интернету или требований создавать аккаунты. минимизировать покупку устройств с камерами и микрофонами. И,самое главное, НИКАКОГО ИНТЕРНЕТА!
https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf
Традиционный вопрос: а что с этим всем знанием делать? как минимум, проводить изучение продуктов перед покупкой, выбирать устройства без обязательного подключения к интернету или требований создавать аккаунты. минимизировать покупку устройств с камерами и микрофонами. И,самое главное, НИКАКОГО ИНТЕРНЕТА!
https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf
кстати, несмотря на всякие там опровержения, тут опять пишут про очередную утечку у Дримкас, теперь уже на 76 млн записей (речь, как я понимаю, об информации о физических и юридических лицах, включая персональные данные, данные о покупках, и об уплаченных налогах). Я, правда, не нашел первоисточника, поэтому извините, если кого-то обидит ссылка на Известия
https://iz.ru/924297/2019-09-23/v-set-utekli-fiskalnye-dannye-eshche-76-mln-rossiian
https://iz.ru/924297/2019-09-23/v-set-utekli-fiskalnye-dannye-eshche-76-mln-rossiian
Известия
В Сеть утекли фискальные данные еще 76 млн россиян
В открытом доступе в Сети оказалась персональная информация о еще 76 млн россиянах. Утечка произошла от оператора фискальных данных «Дримкас».Ранее «Известия» писали, что в Сети появилось 14 млн записей о юридических и физических лицах, включая информацию…
Знаете, что полезно сделать с утра? пойти и поставить обновления Microsoft. пропатченые zero-day (RCE в IE) и denial of service в Windows Defender. от Win 7 до Win 10
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
инфоопасносте везде. Например, принтеры HP отправляют на родину информацию о количестве напечатанных страниц, режимах печати, информацию о чернилах или тонере, о файлах, которые печатаются, о приложениях, из которых идет печать, время печати. Также информацию о самом устройстве, часовой пояс, какие-то UUID и другую техническую информацию. Все это описано в лицензионном соглашении, и отдельно указано, что сами распечатываемые данные в эту аналитику не попадают. Осадок, традиционно, остается.
https://robertheaton.com/2019/09/15/hp-printers-send-data-on-what-you-print-back-to-hp/
https://robertheaton.com/2019/09/15/hp-printers-send-data-on-what-you-print-back-to-hp/
Robert Heaton
HP printers try to send data back to HP about your devices and what you print | Robert Heaton
Last week my in-laws politely but firmly asked me to set up their new HP printer. I protested that I’m completely clueless about that sort of thing, despite my tax-return-job-title of “software engineer”. Still remonstrating, I was gently bundled into their…
если вы мечтали позвламывать спутники, ваш час настал
https://www.nextgov.com/cybersecurity/2019/09/nsa-running-satellite-hacking-experiment/160057/
https://www.nextgov.com/cybersecurity/2019/09/nsa-running-satellite-hacking-experiment/160057/
Nextgov.com
The NSA Is Running a Satellite Hacking Experiment
Low Earth orbit will soon be awash in small satellites, and the national security community is increasingly concerned about their security.
на прошлой неделе Apple выпустила апдейт iOS 13 для iPhone, на этой неделе уже вышел апдейт iOS 13.1 для iPhone и iPad, и все равно в релизы просочилась неприятная бага. Сторонние клавиатуры, как пишет Apple, в новых версиях системы могут получить "полный доступ" к iPhone, как пишет Apple в своем документе. Если я правильно понимаю, то "полный доступ" в этом случае означает возможность этим клавиатурам анализировать набираемый текст, даже если эти клавиатуры отключены в настройках. Так что если вы опасаетесь подслушивающих клавиатур, то временно их лучше удалить. Исправить это Apple обещает в следующем обновлении. (куда наверняка добавят еще каких-нибудь веселых багов, как же без них).
https://support.apple.com/en-us/HT210613?/en-us/advisory
https://support.apple.com/en-us/HT210613?/en-us/advisory
Apple Support
About an issue that impacts third-party keyboard apps in iOS 13 and iPadOS
Update to iOS 13.1.1 or iPadOS 13.1.1 to fix an issue that impacts third-party keyboards on your iPhone, iPad, or iPod touch.
вот интересный отчет об изучении российских APT-группировок.
практически цитата из отчета: "русские группировки, спонсируемые государством, редко делятся кодом друг с другом, а когда делятся, то это происходит в рамках групп, управляемых одним разведывательным ведомством".
https://research.checkpoint.com/russianaptecosystem/
еще там есть красивая визуализация карты
https://apt-ecosystem.com/russia/map/
практически цитата из отчета: "русские группировки, спонсируемые государством, редко делятся кодом друг с другом, а когда делятся, то это происходит в рамках групп, управляемых одним разведывательным ведомством".
https://research.checkpoint.com/russianaptecosystem/
еще там есть красивая визуализация карты
https://apt-ecosystem.com/russia/map/
Check Point Research
Mapping the connections inside Russia's APT Ecosystem - Check Point Research
For the first time, thousands of Russian APT samples were gathered, classified and analyzed in order to map connections between different cyber espionage organizations in Russia.