Там у Lets Encrypt была бага в проверке подписчиков при валидации контроля над доменом. В связи с этим компания планирует отозвать сегодня 3 млн сертификатов.

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

Больше инфы тут
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

А тут можно проверить, затронут ли ваш хост
https://checkhost.unboundtest.com/

Давайте поучаствуем в хорошем деле. Компания PwC проводит опрос об отношении к облачным технологиям в России. За участие дадут отчет по результатам исследования. Расскажите им там, как информация опасносте во всех этих облаках и вообще.
https://www.pwc.ru/fear-of-the-cloud-2020

секретная информация опасносте. Министерство юстиции США выдвинуло обвинение против лингвиста министерства обороны. Которая, судя по обвинению, сотрудничала с террористической организацией (Хезболла) и передавала ей секретные данные, включая имена "человеческих активов". нуничоси
https://www.justice.gov/opa/pr/defense-department-linguist-charged-espionage

Интересное видео с выступлением менеджеров Microsoft, отвечающих за IT-безопасность продуктов компании. Выступление было записано на конференции RSA в феврале, и в нем идет речь о безопасности учетных записей Azure Active Directory. Из него можно, в частности, узнать, что каждый месяц 0,5% пользователей AAD взламывают — то есть в результате злоумышленник получает доступ к внутренним ресурсам компании. Это может быть чемто невинным в виде рассылки спама, а может быть взломом с поднятием привелегий для последующих более серьезных действий. большая часть атак (40%) происходит с помощью credentials stuffing — то есть использования данных с ранее утекших ресурсов для подбора информации. Еще 40% — это перебор статистически возможных паролей, типа password/123456 и тд. Около 20% — это фишинг. Но самое важное, о чем говорят эксперты — это то, что взлом аккаунта на 99.9% означает, что у пользователя не была активирована функция мультифакторной аутентификации. Поэтому вывод простой: MFA помогает (сюрприз)
https://www.youtube.com/watch?v=B_mhJO2qHlQ

Let’s Encrypt пока что не будет отзывать часть сертификатов, выписанных с багом (я писал об этом пару дней назад)

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

аппаратная дыра в процессорах Intel, а точнее в движке Converged Security and Management Engine, который отвечает за Trusted Platform Module, используемый для аутентификации прошивки UEFI BIOS, Microsoft System Guard и BitLocker, и другие системы безопасности. Проблема находится в части, отвечающей за управление вводом-выводом памяти, и уязвимость позволяет другим компонентам процессора исполнять вредоносный код в самом начале процесса загрузки с максимальными правами доступа. Intel выпустила апдейты, снижающие вероятность атаки, но полностью её исправить нельзя, так как она прямо "отлита в камне". Само проведение атаки — нетривиальный процесс, требующий доступа к компьютеру и специального оборудования, но риски все равно сохраняются и никогда не уйдут. Детали по ссылке:

https://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html

В Штатах, кажется, хотят сделать очень невыгодным для компаний предлагать шифрование в своих продуктах. Прикрываются, конечно, обязательно важной и нужной целью — защитой детей от сексуальной эксплуатации в онлайне, но последствия этих действий могут повлиять на наличие шифрования во многих продуктах и сервисах.

Вчера в сенате США был представлен законопроект EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies) Act, который должен создать стимулы для компаний для “заработка” защиты государства от нарушений законодательства, которые связаны с размещением в онлайне материалов эксплуатации детей”, как-то так, ужасная калька с английского, но идея должна быть понятна. Суть такая, что на данный момент раздел 230 закона Communications Decency Act предоставляет защиту операторам вебсайта от ответственности за размещение чужого контента (то есть ФБ не виновен в том, что кто-то может разместить там материалы, нарушающие закон). Этот же акт, если он будет принят, предполагает, что “операторы” будут нести ответственность, если они не предпримут необходимые (какие именно — пока не уточняется) действия по обнаружению и удалению материалов, связанных с сексуальной эксплуатацией и насилием над детьми. Цель традиционно благородная, кто ж будет против предотвращения насилия над детьми? Разве Facebook, Google, Twitter или Apple против? Нет, конечно.

Однако, в рамках этого законопроекта также предполагается, что будет создана специальная комиссия, которая разработает “лучшие практики для провайдеров интерактивных компьютерных сервисов по предотвращению онлайн-эксплуатации детей (regarding the prevention of online child exploitation conduct)”. Эта комиссия будет проводить сертификацию соответствия провайдеров этим “лучшим практикам”, а если компании не будут им соответствовать, то “отключат иммунитет” от судебных исков. Эта комиссия будет состоять из поредставителей правоохранительных органов, которые давно призывают компании “ослабить” шифрование в своих продуктах. Разумеется, бекдор в продуктах, как лучшая практика, рекомендуемая комиссией, чтобы обеспечить возможность мониторинга и слежки за онлайн-эксплуатацией детей, становится вполне реальным вариантом. Тем более, что генеральный прокурор США Уильям Барр, который лоббирует этот законопроект, давно выступает за то, что шифрование — это зло, и у всех правоохранительных органов должен быть доступ к зашифрованному контенту. Чем комиссия, скорей всего, и воспользуется, чтобы осложнить жизнь компаниям, предлагающим сквозное шифрование чатов, почты, облачных хранилищ, и тд. В общем, вся тема с этим законопроектом требует пристального внимания, и очень интересно, чем это все закончится. Такие дела, и других новостей у меня для вас нет.


Ссылка на новость
https://www.judiciary.senate.gov/press/rep/releases/graham-blumenthal-hawley-feinstein-introduce-earn-it-act-to-encourage-tech-industry-to-take-online-child-sexual-exploitation-seriously
Ссылка на законопроект
https://www.eff.org/files/2020/01/31/graham-blumenthal.pdf
Хороший материал по поводу этого законопроекта
https://cyberlaw.stanford.edu/blog/2020/01/earn-it-act-how-ban-end-end-encryption-without-actually-banning-it

Нет, я вспомнил. есть хорошие новости, с которыми вас можно оставить на длинные выходные. DuckDuckGo, популярный поисковик с фокусом на конфиденциальности пользовательских данных, опубликовал в виде открытого исходного кода проект Tracker Radar, который содержит список из более чем 5 тыс доменов, принадлежащих почти 2 тысячам компаний, которые следят за пользователями в онлайне. Сами DDG используют этот список в своих блокировщиках трекинга, и предлагают другим компаниям использовать этот список в своих продуктах. Хорошее дело, в общем
https://spreadprivacy.com/duckduckgo-tracker-radar/

Веселая история сразу про оба мои хобби: прайваси и велосипед. Чувак часто проезжал на велосипеде по определенному маршруту, иногда несколько раз в день. Свои заезды он отмечал с помощью смартфона (Android) и приложения RunKeeper, что приводило к попаданию информации о геолокации к Google. В один из дней на маршруте произошла кража (бабуля написала заявление, что кто-то украл её семейные бриллианты). Полиция, в отсутствие подозреваемых запросила у Гугл информацию об устройствах, которые фигурировали в тот день в определенном радиусе от места преступления (что они часто делают). Гугл до того, как выдать информацию полиции, написала этому чуваку, мол «мы тут сейчас о тебе полиции расскажем». Он понервничал, взял адвоката, короче, в итоге отбились от полиции, но осадочек остался. Я не знаю, какой из этого делать вывод, хаха.
https://www.nbcnews.com/news/us-news/google-tracked-his-bike-ride-past-burglarized-home-made-him-n1151761

чтобы Intel не было скучно, с sideloading атаками к нему присоединяется AMD
https://www.tomshardware.com/uk/news/new-amd-side-channel-attacks-discovered-impacts-zen-architecture

Buzzfeed пишет о том, как компания по сбору аналитики из приложений (Senson Tower) для скрытого сбора подобной аналитики, но уже из других приложений также выпускает приложения как VPN-сервисы и блокировщики рекламы: Free and Unlimited VPN, Luna VPN, Mobile Data и Adblock Focus. Будучи установленными, эти приложения предлагали поставить корневой сертификат, после чего пропусткали через себя весь трафик с телефона. Компания утверждает, что собирала анонимные данные по использованию приложений. Проблема, как говорят эксперты, в том, что пользователи думают, что речь идет о блокировке рекламы или о том, что "соединение безопасно и данные никто не видит", но на самом деле все совсем не так. Ну и то, что компания никак не раскрывала принадлежность таких приложений и сбор данных через них, доверия всей этой схеме не добавляет. Google и Apple удалили некоторые приложения из магазинов, с остальными разбираются. Бесплатные продукты иногда бывают такими, да
https://www.buzzfeednews.com/article/craigsilverman/vpn-and-ad-blocking-apps-sensor-tower

Продолжение интереснейшей истории по борьбе со спамерами, начало которой, кстати, возникло из поста в этом канале еще в 2017 году. Там был рассказ о том, как у читателя канала украли телефон, а потом злоумышленники пытались всякими фишинговыми хитростями выманить пароль к Apple ID у владельца телефона, чтобы отвязать его от аккаунта. Так вот, автору поста, на который ссылка ниже, все это стало интересно, и он провел дальнейшее расследование того, как устроена вся экосистема подобных сервисов, где мошенники пытаются получить разблокировку телефона от владельца. Там очень много текста и картинок, так что запаситесь чаем, попкорном или печеньками, и усаживайтесь поудобней.
https://bo0om.ru/icloud-phishers

За саму историю благодарности автору канала https://t.me/webpwn

The suspect, named Kirill Victorovich Firsov, was arrested on Saturday, March 7, at the John F. Kennedy Airport, in New York

ФБР арестовала гражданина России, который подозревается в авторстве проекта Deer.io — платформы, на которой размещались онлайн-магазины с рекламой и продажей взломанных аккаунтов и украденной пользовательской информацией. В теории платформа могла использоваться для магазинов с вполне легитимными товарами, однако практически все магазины на платформе продавали аккаунты в ВК, ОК, ФБ, ТГ и тд.

https://www.scribd.com/document/451008612/Firsov-Arrest
https://www.scribd.com/document/451009057/Firsov-Indictment
https://www.zdnet.com/article/fbi-arrests-russian-behind-deer-io-a-shopify-like-platform-for-cybercrime/

=======РЕКЛАМА======
Специалисты Positive Technologies обнаружили признаки компрометации в 97% корпоративных сетей. В них нашли майнеров, шпионское ПО, пароли в открытом виде, сканирования внутренней сети. Читайте отчет, чтобы подробнее узнать о топ угрозах и чем они опасны.
======РЕКЛАМА======

Сериал "Во все тяжкие" помните? Там учитель химии занялся тем, что умел. Вот и тут, учитель математики из Северной Каролины, видимо, решил применить свои математические знания в хакинге учетных записей знаменитостей, спортсменов, журналистов, и тд. 29-летний Эдвард Рафф прикупил базу данных с набором утекших пользовательских данных, и решил использовать эту базу по назначению — для взлома учеток iCloud и Google в надежде добыть обнаженных фото своих жертв. Похоже, что даже успел к кому-то вломиться. Короче, теперь он проходит подозреваемым по уголовному делу, сам все отрицает — "май аккаунт уоз хакед", вот это все.
https://www.thedailybeast.com/math-teacher-edward-raff-allegedly-impersonated-kenny-chesney-hacked-celeb-emails-to-steal-nudes

Помните приложение Whisper, аппликушку для анонимных признаний и других секретов? Её разработчики оставили открытой базу в интернете, в которой для всех желающих лежали пользовательские данные. Без имен, все действительно анонимно, но в базе были данные о возрасте, пол, город, никнейм, принадлежность к группам в приложении, а также координаты геолокации для последней записи пользователя. Эксперты опасаются, что обладая этой информацией, можно вычислить некоторых пользователей и раскрыть их анонимные личности.

https://www.washingtonpost.com/technology/2020/03/10/secret-sharing-app-whisper-left-users-locations-fetishes-exposed-web/

Motherboard провели титаническую работу по анализу 500 судебных ордеров на разблокировку iPhone в рамках различных расследований, которые проводят в США полиция, ФБР и другие правоохранительные органы. Все это исследование было сделано в рамках обсуждения темы шифрования данных и обеспечения передачи ключей шифрования правоохранительным органам, или других методов для бэкдоров.

Из этого материала можно, например, узнать, что далеко не всем органам удается разблокировать телефоны и получить из них данные. Но эксперты сходятся на одном вопросе: должны ли правоохранительные органы иметь гарантированный доступ к данным на iPhone (или других смартфонах) в обмен на снижение общей безопасности устройств при наличии такого доступа? Мир не идеален, и даже в случае "обычных" расследований сотрудникам органов приходится оперировать с нехваткой информации. Что также правда и для цифровых расследований.


статья
https://www.vice.com/en_us/article/4ag5yj/unlock-apple-iphone-database-for-police

Исходные материалы
https://drive.google.com/drive/folders/1l20Kgp77tG7BBDnblx8vH_VWevuCbPkg

Разработчики антивируса Avast отрубили поддержку JavaScript в продукте, так как в нем была обнаружена серьезная уязвимость. Она позволяла исполнять код внутри движка JS, причем с уровнем SYSTEM. Для её эксплуатации достаточно было прислать пользователю файл по почте, например.
https://www.zdnet.com/article/avast-disables-javascript-engine-in-its-antivirus-following-major-bug/

еще один мартовский патч Microsoft к уязвимости, детали которой утекли пару дней назад в рамках March Patch Tuesday. Апдейты для Windows 10 и Windows Server 2019. Уязвимость в протоколе SMBv3 - в Server Message Block, если быть точным. позволяет злоумышленникам подключаться к удаленным системам, на которых включен сервис SMB, и исполнять код с привилегиями SYSTEM. рекомендовано к установке.

KB https://portal.msrc.microsoft.com/en-us/security-guidance
CVE https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

COVID-19 добрался и до этого канала. Несколько примеров того, как злодеи уже используют панику вокруг заболевания для фишинга, в расчете на то, что жертва кликнет по ссылке или файлу

https://www.recordedfuture.com/coronavirus-panic-exploit/
https://research.checkpoint.com/2020/vicious-panda-the-covid-campaign/