Позавчера вышел апдейт к Chrome, и лучше бы его всетаки поставить - в нем исправлено несколько уязвимостей, к которым уже есть публичные эксплойты

https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html?m=1
https://blog.exodusintel.com/2020/02/24/a-eulogy-for-patch-gapping/

не забывайте обновлять сертификаты, лол

А помните, я несколько недель назад писал о компании Clearview AI?

tl;dr версия: основатель натаскал фоточек из мест, которые это запрещают (социальные сети и все такое), пропарсил их алгоритмами и начал продавать доступ к системе распознавания лиц всяким правоохранительным органам
https://t.me/alexmakus/3242

Владельцы сервисов, с которых наскрейпили фоточки, разумеется, возмутились немного
https://t.me/alexmakus/3271

Но новость сейчас, разумеется, не об этом. Вчера компания уведомила своих клиентов, что злоумышленники получили доступ к полному списку клиентов компании, включая количество аккаунтов, а также количество поисковых запросов, которые производили клиенты. (Видимо, взломали какой-то CRM/billing или чтото такое, потому что Clearview утверждает, что "системы компании не были взломаны", и сами поисковые запросы не утекли)

https://www.thedailybeast.com/clearview-ai-facial-recognition-company-that-works-with-law-enforcement-says-entire-client-list-was-stolen

Что еще может пойти не так? не переключайтесь!

​​======РЕКЛАМА========
Где вы можете узнать почему Касперский зарезал всех DevOps'ов, как поссорились Илья Константинович с Антоном Юрьевичем и причем здесь инновационные методы headhunting'а?

А еще - как Samsung'и восстали против человеков, почему ЦРУ и АНБ косплеят Чипа и Дейла и многое другое.

Канал SecAtor - интересно про инфосек и не только.
======РЕКЛАМА========

Как оказалось, вопрос «что может пойти не так?» оказался провидческим. Пойти может не так всё

в качестве бонуса — информация о новой уязвимости, которая затрагивает более миллиарда устройств, как пишут обнаружившие её эксперты. Речь идет об уязвимости под названием KrØØk (CVE-2019-15126), которая является родственницей уязвимости KRACK (о ней на канале я писал в 2017 году). KrØØk затрагивает устройства с Wi-Fi-чипами производства Broadcom и Cypress, и она может присутствовать на смартфонах, планшетах, устройствах IoT, в роутерах Wi-Fi и маршрутизаторах. Она позволяет нападающим расшифровать сетевые пакеты, передаваемые по беспроводной сети с устройства, затронутого уязвимостью (подвержены WPA2-Personal и WPA2-Enterprise).

если я правильно понимаю, то простым языком ситуация выглядит так:
при получении специального пакета, которое даже не должно быть в той же сети, контроллер WiFi перезапишет общий ключ шифрования нолем. Но чип продолжит передавать данные с обнуленным ключом, а нападающий сможет расшифровать данные траффика (запросы DNS и HTTP), так как ключ теперь известен (ноль). Трафик, передаваемый в HTTPS, VPN, SSH, остается в безопасности — ломается только шифрование WiFi.

Среди потенциально затронутых устройств — iPhone 6 и позже, MacBook-и, Google Nexus 5 и 6, Amazon Kindle, Raspbeery Pi 3, роутеры Asus, Huawei. Хоть уязвимость и в железе, но она патчится софтовым методом, и Broadcom и Cypress уже выпустили обновления для своих чипсетов. Правда, какоето время займет, чтобы они дошли по цепочке до конечных пользователей (у многих производителей уже дошли, как пишут уже исследователи). Короче, ставить апдейты — это полезно.

https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices/
и еще PDF с деталями
https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf

огого если так (лучше на рабочем месте не гуглить, что такое onlyfans. это типа платформа для монетизации контента, которую очень любят для продажи контента с повышенной степенью обнаженности)
https://twitter.com/broderick/status/1233097681742049281

Алярма (наверно). Вышло исследование о том, что на Android появилось вредоносное ПО, которое может перехватывать разовые пароли, сгенеренные в Google Authenticator. Появившийся летом этого Cerberus может злоупотреблть правами Accessibility в Android, и таким образом может перехватить содержимое контента в интерфейсе приложения, и переслать его на сервер. Пока что эта функциональность недоступна в версии Cerberus, который продается на форумах, но эксперты каким-то образом узнали о ней заранее.

Эта функциональность разработана для перехвата кодов двухфаторной аутентификации в банковских приложениях. Получив функциональность удаленного контроля, вредоносное ПО может затриггерить доступ к банковскому онлайн-аккаунту, а затем перехватить одноразовый код в Google Authenticator. В принципе, очевидно, что на банковских аккаунтах останавливаться необязательно.

В отчете по ссылке — о Cerberus и других подобных троянах с удаленным контролем.
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html

Скандалы вокруг компании Clearview AI продолжают набирать обороты. Мало того, что этот "предприниматель" натырил фоток с чужих ресурсов и начал продавать доступ к натренированному алгоритму для распознавания лиц. Мало того, что у этого эксперта список клиентов украли. Так теперь еще оказалось, что, несмотря на его утверждения, что он продает доступ к распознаванию лиц вообще кому попало, включая больших ритейлеров и даже NBA. СЕО компании утверждал, что речь идет о доступе только правоохранительных органов в США и Канаде к данным приложения, но среди клиентов компании — компании и организации из 27 стран. Кристальной честности человек, очевидно же.

https://www.buzzfeednews.com/article/ryanmac/clearview-ai-fbi-ice-global-law-enforcement

А Gizmodo пошли еще дальше, и нашли само приложение этой компании, и попытались разобраться с его функциональность. Супердетальная информация о геолокации, возможность отправлять фотографии лица на распознавание, прямо из приложения, поддержка очков дополненной реальности. Короче, все то, что нас ждет в будущем.
https://gizmodo.com/we-found-clearview-ais-shady-face-recognition-app-1841961772?rev=1582861547126

чето у меня подгорает по поводу таких предпринимателей-любителей, хотя, конечно, компании типа Palantir работают в этом направлении давно и на гораздо более высоком уровне. Все равно надеюсь, что Clearview ФБ и прочие засудят за скрейпинг фотографий, потому что нефиг.

Про возможный взлом Onlyfans, о котором я писал вчера, пишут, что вроде как это не новая инфа, а просто коллекция украденного контента
https://www.vice.com/en_us/article/884dgx/onlyfans-leak-isnt-anything-new

на выходные оставлю вас с интересным документом. Это рекомендации издания The New York Times своим журналистам о том, как минимизировать информацию о себе в интернете для того, чтобы снизить возможности doxxing (сбора личной информации). По сути, небольшая инструкция о том, как и где можно немного подчистить о себе инфу и сделать её менее публичной в соцсетях и других ресурсах. И ссылки там тоже полезные.

https://docs.google.com/document/d/1WleGh4D3_p7TYPhjfKRHQyMYwhZayYZayYY7AZSSzPs/edit

И вдогонку - за то, что Clearview AI распространяла приложение мимо App Store, нарушая правила соглашения программы для разработчиков, Apple отозвала сертификат. Приложение превратилось в тыкву

https://www.buzzfeednews.com/article/loganmcdonald/apple-clearview-app-violates-tos-supension

как израильская маркетинговая компания допустила утечку 140ГБ контактных данных физлиц в США и Европе? Как-как, оставив(!) случайно(!) логин и пароль(!) от Elasticsearch в открытом тексте(!) на одном из доменов, принадлежащих компании. 49млн уникальных адресов электронной почты, номера телефонов, адреса и тд. Все, что нажито непосильным трудом.
(кстати, а логин с паролем нашел эксперт, которого просто утомила компания своей спам-рассылкой). Отсюда урок: слать спам - плохо. Впрочем, оставлять логин с паролем где попало — тоже плохо.
https://www.databreachtoday.com/israeli-marketing-company-exposes-contacts-database-a-13785

Интересный материал в NYT о том, как в Китае применяют технологии для того, чтобы определить, кому из жителей можно выходить на публику, а кто должен оставаться на карантине во время вспышки коронавируса. Для этого применяется система Alipay Health Code, и что там внутри нее и по какому алгоритму она работает, непонятно. Приложение требует от человека доступ к информации о геолокации, и отправляет эту информацию на сервер. Затем приложение по этому своему неизвестному алгоритму выдает QR код гражданам в определенном цвете (зеленый, желтый, красный), который идентифицирует статус здоровья человека. Зеленый разрешает перемещение без ограничений, желтый — требование оставаться дома 7 дней, красный — карантин на две недели. QR коды проверяют на улицах городов. Предполагается, что желтые или красные коды получают те люди, кто потенциально мог быть в контакте с зараженными людьми или находиться в потенциально опасной зоне. Видимо, система черпает инфу из разных источников систем наблюдения, бронировки билетов на транспорт и тд. Сканированные QR-коды тоже отсылаются на сервер, что также добавляет информацию о перемещениях человека. при этом цвет кода может в любой момент поменяться.

Большой брат и вот это всё.
https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html

Там у Lets Encrypt была бага в проверке подписчиков при валидации контроля над доменом. В связи с этим компания планирует отозвать сегодня 3 млн сертификатов.

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

Больше инфы тут
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

А тут можно проверить, затронут ли ваш хост
https://checkhost.unboundtest.com/

Давайте поучаствуем в хорошем деле. Компания PwC проводит опрос об отношении к облачным технологиям в России. За участие дадут отчет по результатам исследования. Расскажите им там, как информация опасносте во всех этих облаках и вообще.
https://www.pwc.ru/fear-of-the-cloud-2020

секретная информация опасносте. Министерство юстиции США выдвинуло обвинение против лингвиста министерства обороны. Которая, судя по обвинению, сотрудничала с террористической организацией (Хезболла) и передавала ей секретные данные, включая имена "человеческих активов". нуничоси
https://www.justice.gov/opa/pr/defense-department-linguist-charged-espionage

Интересное видео с выступлением менеджеров Microsoft, отвечающих за IT-безопасность продуктов компании. Выступление было записано на конференции RSA в феврале, и в нем идет речь о безопасности учетных записей Azure Active Directory. Из него можно, в частности, узнать, что каждый месяц 0,5% пользователей AAD взламывают — то есть в результате злоумышленник получает доступ к внутренним ресурсам компании. Это может быть чемто невинным в виде рассылки спама, а может быть взломом с поднятием привелегий для последующих более серьезных действий. большая часть атак (40%) происходит с помощью credentials stuffing — то есть использования данных с ранее утекших ресурсов для подбора информации. Еще 40% — это перебор статистически возможных паролей, типа password/123456 и тд. Около 20% — это фишинг. Но самое важное, о чем говорят эксперты — это то, что взлом аккаунта на 99.9% означает, что у пользователя не была активирована функция мультифакторной аутентификации. Поэтому вывод простой: MFA помогает (сюрприз)
https://www.youtube.com/watch?v=B_mhJO2qHlQ

Let’s Encrypt пока что не будет отзывать часть сертификатов, выписанных с багом (я писал об этом пару дней назад)

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

аппаратная дыра в процессорах Intel, а точнее в движке Converged Security and Management Engine, который отвечает за Trusted Platform Module, используемый для аутентификации прошивки UEFI BIOS, Microsoft System Guard и BitLocker, и другие системы безопасности. Проблема находится в части, отвечающей за управление вводом-выводом памяти, и уязвимость позволяет другим компонентам процессора исполнять вредоносный код в самом начале процесса загрузки с максимальными правами доступа. Intel выпустила апдейты, снижающие вероятность атаки, но полностью её исправить нельзя, так как она прямо "отлита в камне". Само проведение атаки — нетривиальный процесс, требующий доступа к компьютеру и специального оборудования, но риски все равно сохраняются и никогда не уйдут. Детали по ссылке:

https://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html