Популярное объяснение о том, как работает сквозное шифрование Signal
https://medium.com/@justinomora/demystifying-the-signal-protocol-for-end-to-end-encryption-e2ee-ad6a567e6cb4
https://medium.com/@justinomora/demystifying-the-signal-protocol-for-end-to-end-encryption-e2ee-ad6a567e6cb4
Medium
Demystifying the Signal Protocol for End-to-End Encryption (E2EE)
Many people merrily go about their life without worrying at all about encryption. Posting photos on Facebook and Instagram, Snapchat, and…
Вчера Apple выпустила бета-версию iOS 13.5 (для разработчиков и публичных тестировщиков), в рамках которой появилась первая реализация уведомлений о контактах с зараженными коронавирусом. (я писал об этой технологии тут https://t.me/alexmakus/3432)
сама технология представляет собой API в системе, и предполагается, что разработчики различных медицинских госорганов будут создавать на разных локальных рынках приложения, которые будут это API использовать. А дальше уже благодаря информации о ключах, полученных через Bluetooth, пользователи смогут получать информацию о том, находились ли они поблизости с кем-то, кто мог быть носителем вируса.
И все бы хорошо, но 3 из 5 опрошенных пользователей в США утверждают, что не хотят или не смогут участвовать в такой системе обмена информацией. Это и проблемы отсутствия смартфонов, и вопрос недоверия к технологическим компаниям, с которым Apple и Google еще, видимо, долго придется бороться. (наверняка, отказываются участвовать примерно те же люди, которые радостно заливают на ФБ всю свою личную жизнь с фотками и координатами). Интересно, что в некоторых странах уже существуют свои собственные приложения, которые гораздо более активно используют информацию о местоположении и, возможно, представляют собой потенциально больше опасности для персональных данных. Но кто там будет разбираться.
https://www.washingtonpost.com/technology/2020/04/29/most-americans-are-not-willing-or-able-use-an-app-tracking-coronavirus-infections-thats-problem-big-techs-plan-slow-pandemic/
сама технология представляет собой API в системе, и предполагается, что разработчики различных медицинских госорганов будут создавать на разных локальных рынках приложения, которые будут это API использовать. А дальше уже благодаря информации о ключах, полученных через Bluetooth, пользователи смогут получать информацию о том, находились ли они поблизости с кем-то, кто мог быть носителем вируса.
И все бы хорошо, но 3 из 5 опрошенных пользователей в США утверждают, что не хотят или не смогут участвовать в такой системе обмена информацией. Это и проблемы отсутствия смартфонов, и вопрос недоверия к технологическим компаниям, с которым Apple и Google еще, видимо, долго придется бороться. (наверняка, отказываются участвовать примерно те же люди, которые радостно заливают на ФБ всю свою личную жизнь с фотками и координатами). Интересно, что в некоторых странах уже существуют свои собственные приложения, которые гораздо более активно используют информацию о местоположении и, возможно, представляют собой потенциально больше опасности для персональных данных. Но кто там будет разбираться.
https://www.washingtonpost.com/technology/2020/04/29/most-americans-are-not-willing-or-able-use-an-app-tracking-coronavirus-infections-thats-problem-big-techs-plan-slow-pandemic/
Telegram
Информация опасносте
Google и Apple, которые разрабатывают совместно технологию отслеживания контактов с людьми, которые могли быть носителями нового коронавируса, сегодня сообщили дополнительную информацию о методах, которые компании планируют применять для реализации этого…
никогда такого не было и вот опять. “бэкдор с функциональностью телефона” — смартфоны Xiaomi — отправляют на сервера компании информацию о поведении пользователя на телефоне. все посещенные вебсайты, запросы в поисковиках, все прочитанные элементы в читалке новостей, открытие папок, и тд. Веб-браузеры компании Mi Browser Pro и the Mint Browser, которые доступны в Google Play, собирают ту же информацию о посещенных сайтах и запросах, даже если окно находится в режиме “инкогнито”. Как обычно, низкая стоимость устройства отбивается информацией о пользователях, которую потом можно монетизировать.
https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/
https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/
Forbes
Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s ‘Private’ Web And Phone Use
Xiaomi is collecting users’ browser habits and phone usage, raising red flags for privacy researchers.
а вот прекрасная история о современных технологиях. Я уже как-то писал, что неоднократно натыкался на чужие адресные книги из телефонов в мультимедия-системах прокатных автомобилей. А тут даже круче история. Tesla апгрейдит в некоторых автомобилях системы управления мультимедией, но внезапно оказывается, что старые компоненты обнаруживаются на eBay. и если их купить, то внутри этих систем можно обнаружить массу личной информации, включая домашние и рабочие адреса владельцев, сохраненные пароли WiFi, события из календарей, сохраненные куки различных сервисов, и тд. В случае с кукисами Netflix вообще можно управлять учетной записью видеосервиса. Замечательный отчет об этом всем по ссылке. Безусловно, наличие Tesla в названии добавляет кликбейтности конкретно этой истории, но по мере “компьютеризации” автомобилей это будет затрагиватьи других производителей. (именно поэтому мы тут собираем реплику машины 1965 года без всякой электроники. на самом деле, конечно, не поэтому, но все равно релевантно)
https://insideevs.com/news/419525/tesla-data-leak-personal-info-ebay/
https://insideevs.com/news/419525/tesla-data-leak-personal-info-ebay/
InsideEVs
Tesla Data Leak: Old Components With Personal Info Find Their Way On eBay
Evidence emerges Tesla doesn't erase personal data from replaced components and they're winding up for sale online.
Сегодня Apple и Google передают новые ресурсы разработчикам, которые создают мобильные приложения для врачей и организаций, работающих в сфере общественного здравоохранения во всем мире. Это поможет им создавать приложения для отслеживания контактов лиц, заразившихся новым коронавирусом. Разработчики получат пользовательские интерфейсы (UI) и образцы кода для iOS и Android. С учётом того, что Google и Apple не будут принимать непосредственное участие в создании приложений, эти обновления являются частью постоянных усилий компаний по поддержке разработчиков, создающих приложения для организаций, работающих в сфере общественного здравоохранения.
• Образец пользовательского интерфейса UI доступен для загрузки представителями СМИ только здесь — изображения очищены по правам для публикации.
• Образец кода iOS доступен для ознакомления здесь, а образец кода Android доступен для ознакомления здесь.
Apple и Google сегодня также независимо друг от друга выпустили политики, которым разработчики должны будут следовать при распространении своих приложений, созданных на базе интерфейса программирования приложений (API), в App Store и Google Play. Вот некоторые требования Apple и Google, предназначенные для увеличения эффективности этих усилий и обеспечения конфиденциальности, согласия и контроля пользователей, которые должны соблюдать все разработчики, использующие API для отслеживания контактов лиц, заразившихся новым коронавирусом:
• Приложения должны быть созданы государственным органом здравоохранения или для него; их можно использовать только для действий, препятствующих распространению COVID-19.
• Приложения должны запрашивать согласие пользователей, прежде чем приложение сможет использовать API для отслеживания контактов лиц, заразившихся новым коронавирусом.
• Приложения должны требовать получения от пользователя согласия, прежде чем предоставлять положительный результат теста и «Ключи диагностики», связанные с их устройствами, в орган здравоохранения.
• Приложения должны собирать только минимальный объем необходимых данных и могут использовать эти данные только для противодействия распространению COVID-19. Любое другое использование пользовательских данных, включая таргетирование рекламы, запрещено.
• Приложениям запрещено запрашивать разрешение на доступ к геолокации.
• Использование API для отслеживания контактов лиц, заразившихся новым коронавирусом, будет ограничено одним приложением для каждой страны, чтобы обеспечить высокую степень внедрения и загрузки пользователями и во избежание фрагментации. Компании готовы поддержать различные органы здравоохранения, если в стране действует дробление на регионы с автономным самоуправлением.
На прошлой неделе Apple выпустила первую бета-версию Xcode 11.5 – это предварительная версия инструментов разработчика Apple, содержащая новую версию iOS SDK, включающую API для отслеживания контактов лиц, заразившихся новым коронавирусом. Кроме того, компания выпустила бета-версию iOS 13.5, содержащую код, необходимый для запуска приложений, созданных с использованием API для отслеживания контактов лиц, заразившихся новым коронавирусом. Аналогичным образом, Google представила бета-обновление Google Play Services с API для отслеживания контактов лиц, заразившихся новым коронавирусом, и прилагаемым SDK, чтобы разработчики могли начать тестирование с помощью Android Developer Studio.
Google и Apple обновили документацию по использованию технологий Bluetooth и криптографии также как и структуру интерфейса программирования приложений. Последнюю версию документации и часто задаваемые вопросы можно скачать здесь для Apple и здесь для Google, с историями изменений для удобства их отслеживания.
• Образец пользовательского интерфейса UI доступен для загрузки представителями СМИ только здесь — изображения очищены по правам для публикации.
• Образец кода iOS доступен для ознакомления здесь, а образец кода Android доступен для ознакомления здесь.
Apple и Google сегодня также независимо друг от друга выпустили политики, которым разработчики должны будут следовать при распространении своих приложений, созданных на базе интерфейса программирования приложений (API), в App Store и Google Play. Вот некоторые требования Apple и Google, предназначенные для увеличения эффективности этих усилий и обеспечения конфиденциальности, согласия и контроля пользователей, которые должны соблюдать все разработчики, использующие API для отслеживания контактов лиц, заразившихся новым коронавирусом:
• Приложения должны быть созданы государственным органом здравоохранения или для него; их можно использовать только для действий, препятствующих распространению COVID-19.
• Приложения должны запрашивать согласие пользователей, прежде чем приложение сможет использовать API для отслеживания контактов лиц, заразившихся новым коронавирусом.
• Приложения должны требовать получения от пользователя согласия, прежде чем предоставлять положительный результат теста и «Ключи диагностики», связанные с их устройствами, в орган здравоохранения.
• Приложения должны собирать только минимальный объем необходимых данных и могут использовать эти данные только для противодействия распространению COVID-19. Любое другое использование пользовательских данных, включая таргетирование рекламы, запрещено.
• Приложениям запрещено запрашивать разрешение на доступ к геолокации.
• Использование API для отслеживания контактов лиц, заразившихся новым коронавирусом, будет ограничено одним приложением для каждой страны, чтобы обеспечить высокую степень внедрения и загрузки пользователями и во избежание фрагментации. Компании готовы поддержать различные органы здравоохранения, если в стране действует дробление на регионы с автономным самоуправлением.
На прошлой неделе Apple выпустила первую бета-версию Xcode 11.5 – это предварительная версия инструментов разработчика Apple, содержащая новую версию iOS SDK, включающую API для отслеживания контактов лиц, заразившихся новым коронавирусом. Кроме того, компания выпустила бета-версию iOS 13.5, содержащую код, необходимый для запуска приложений, созданных с использованием API для отслеживания контактов лиц, заразившихся новым коронавирусом. Аналогичным образом, Google представила бета-обновление Google Play Services с API для отслеживания контактов лиц, заразившихся новым коронавирусом, и прилагаемым SDK, чтобы разработчики могли начать тестирование с помощью Android Developer Studio.
Google и Apple обновили документацию по использованию технологий Bluetooth и криптографии также как и структуру интерфейса программирования приложений. Последнюю версию документации и часто задаваемые вопросы можно скачать здесь для Apple и здесь для Google, с историями изменений для удобства их отслеживания.
GitHub
GitHub - google/exposure-notifications-android: Exposure Notifications Android Reference Design
Exposure Notifications Android Reference Design. Contribute to google/exposure-notifications-android development by creating an account on GitHub.
Очень странная история про то, как некий злоумышленник дал взятку сотруднику компании Roblox для того, чтобы иметь возможность просматривать личные данные пользователей популярного сервиса (более 100 млн активных пользователей). Он мог видеть имейлы пользователей, менять пароли, удалять двухфакторную аутентификацию, банить пользователей и тд. А также выдавать внутриигровую валюту. Цель хакера, по его словам, заключалась только в том, чтобы доказать то, что данные пользователей можно получить без проблем много где. WTF вообще
https://www.vice.com/en_us/article/qj4ddw/hacker-bribed-roblox-insider-accessed-user-data-reset-passwords
https://www.vice.com/en_us/article/qj4ddw/hacker-bribed-roblox-insider-accessed-user-data-reset-passwords
Vice
Hacker Bribed 'Roblox' Insider to Access User Data
The hacker was able to lookup information on high profile Roblox users as well as reset passwords and take other actions on accounts.
Также вот - у 28 тыс клиентов GoDaddy украли данные логинов SSH
https://www.theregister.co.uk/2020/05/05/godaddy_ssh_login_details_compromised/
https://www.theregister.co.uk/2020/05/05/godaddy_ssh_login_details_compromised/
Theregister
GoDaddy hack: Miscreant goes AWOL with 28,000 users' SSH login creds after vandalizing server-side file
Now might be a good time to change your passwords, folks
А тем временем, если у вас смартфон Samsung, то рекомендуют обновиться на апдейт, который вышел на этой неделе. Уязвимость была обнаружена в коде Android для смартфонов корейской компании, который отвечает за обработку изображений формата Qmage. Полезно знать, что уязвимость может быть эксплуатирована без всякого участия со стороны пользователей, а как Android автоматически пересылает все изображения, полученные на устройстве в Skia (графическую библиотеку Android). Угадывая положение библиотеки Skia в памяти, можно было с помощью Qmage доставить на телефон исполняемый код.
https://security.samsungmobile.com/securityUpdate.smsb
https://nvd.nist.gov/vuln/detail/CVE-2020-8899
https://security.samsungmobile.com/securityUpdate.smsb
https://nvd.nist.gov/vuln/detail/CVE-2020-8899
еще ссылка от читателя:
Вкратце: email передавался через GET запрос, потом появлялся везде, где можно появиться, в Referer заголовках различных трекерах, включая Google Analytics, Facebook и прочих
https://medium.com/@thezedwards/the-2020-url-querystring-data-leaks-millions-of-user-emails-leaking-from-popular-websites-to-39a09d2303d2
Вкратце: email передавался через GET запрос, потом появлялся везде, где можно появиться, в Referer заголовках различных трекерах, включая Google Analytics, Facebook и прочих
https://medium.com/@thezedwards/the-2020-url-querystring-data-leaks-millions-of-user-emails-leaking-from-popular-websites-to-39a09d2303d2
Medium
The 2020 URL Querystring Data Leaks — Millions of User Emails Leaking from Popular Websites to…
Breaches have been found on websites including Wish.com, JetBlue.com, Quibi.com, WashingtonPost.com, NGPVan.com and numerous other…
Британское министерство здравоохранения опубликовало исходный код приложений для мониторинга контактов с людьми, которые могли быть носителями вируса
✅Android: https://github.com/nhsx/COVID-19-app-Android-BETA
✅iOS: https://github.com/nhsx/COVID-19-app-iOS-BETA
✅Documentation: https://github.com/nhsx/COVID-19-app-Documentation-BETA
✅Android: https://github.com/nhsx/COVID-19-app-Android-BETA
✅iOS: https://github.com/nhsx/COVID-19-app-iOS-BETA
✅Documentation: https://github.com/nhsx/COVID-19-app-Documentation-BETA
GitHub
GitHub - nihp-public/COVID-19-app-Android-BETA: Source code of the Beta of the NHS COVID-19 Android app
Source code of the Beta of the NHS COVID-19 Android app - GitHub - nihp-public/COVID-19-app-Android-BETA: Source code of the Beta of the NHS COVID-19 Android app
ууууу, шикарная и полезная штука — список различных приложений в разных странах для мониторинга Covid-19 контактов, информация, которую они собирают, прозрачность проектов, и вообще общий уровень отношения к конфиденциальности данных пользователей
https://public.flourish.studio/visualisation/2241702/
https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/
https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0
https://public.flourish.studio/visualisation/2241702/
https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/
https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0
Flourish
Contact Tracing Tracker
A Flourish data visualisation by Tate Ryan-Mosley
в начале апреля я давал ссылку на опрос компании Positive Technologies об организации удаленной работы в компаниях. Спасибо всем за участие!
Cпециалисты по IT и ИБ рассказали Positive Technologies, как изменилась инфраструктура в их компаниях в связи с переходом на удаленку. Какое самое популярное ПО для организации удаленного доступа, как много сотрудников работают с домашних устройств, что чаще всего выводят на периметр – все это в отчете по итогам опроса.
Cпециалисты по IT и ИБ рассказали Positive Technologies, как изменилась инфраструктура в их компаниях в связи с переходом на удаленку. Какое самое популярное ПО для организации удаленного доступа, как много сотрудников работают с домашних устройств, что чаще всего выводят на периметр – все это в отчете по итогам опроса.
ptsecurity.com
Как организована удаленная работа в России и странах СНГ
776 специалистов по IT и ИБ рассказали, как изменилась инфраструктура в их компаниях в связи с переходом на удаленную работу. Какое самое популярное ПО для организации удаленного доступа, как много сотрудников работают с домашних устройств, что чаще всего…
иногда мне кажется, что достаточно просто репостить старые новости, и это будет все равно дайджест новых. в 2019 году я писал об уязвимости в стандарте подключений Thunderbolt (под названием Thunderclap). и вот снова новая уязвимость - Thunderspy, которая позволяет злоумышленникам получить доступ к данным диска залоченнго компьютера. Да, требует физического доступа к компьютеру, но зато дает возможность получить данные, даже если диск зашифрован. Затрагивает все ПК, выпущенные до 2019 года. Intel утверждает, что уязвимость была исправлена в апдейтах операционных систем в прошлом году.
отчет https://thunderspy.io
статья о ней https://www.wired.com/story/thunderspy-thunderbolt-evil-maid-hacking/
ответ Intel https://blogs.intel.com/technology/2020/05/more-information-on-thunderspy/
отчет https://thunderspy.io
статья о ней https://www.wired.com/story/thunderspy-thunderbolt-evil-maid-hacking/
ответ Intel https://blogs.intel.com/technology/2020/05/more-information-on-thunderspy/
Wired
Thunderbolt Flaws Expose Millions of PCs to Hands-On Hacking
The so-called Thunderspy attack takes less than five minutes to pull off with physical access to a device, and it affects any PC manufactured before 2019.
три года с момента атаки WannaCry, помните, как весело всем было?
https://t.me/alexmakus/1131
https://t.me/alexmakus/1131
Telegram
Информация опасносте
Стоило мне сегодня отлучиться от интернета по семейным обстоятельствам, как на интернет обрушилась крупная вирусная атака "вымогательского" ПО. Первой большой жертвой стали больницы в Великобритании, компьютеры которых оказались заблокированными, а файлы…
Пара ссылок от читателей на новости, которые я пропустил:
1. https://siguza.github.io/psychicpaper/
0day (все еще) sandbox escape уязвимость для iOS приложений, которую автор нашел аж в 2017 году, поправлена в последней бэте
2. Индийскую платформу Unacademy взломали, утекло от 11М до 22М учётных записей. Думаю, из хорошего - то, что пароли не хранились в открытом виде, и хеши сгенерированы на PBKDF2 (надеюсь, что с солью), так что быстро и массово все пароли rainbow таблицей не подберут, но простые пароли из словаря всё равно обнаружатся. Так что рекомендация всем пользователям Unacademy (и вообще): поменять пароль, использовать сложный пароль, включить 2FA. https://gbhackers.com/unacademy-hacked/
1. https://siguza.github.io/psychicpaper/
0day (все еще) sandbox escape уязвимость для iOS приложений, которую автор нашел аж в 2017 году, поправлена в последней бэте
2. Индийскую платформу Unacademy взломали, утекло от 11М до 22М учётных записей. Думаю, из хорошего - то, что пароли не хранились в открытом виде, и хеши сгенерированы на PBKDF2 (надеюсь, что с солью), так что быстро и массово все пароли rainbow таблицей не подберут, но простые пароли из словаря всё равно обнаружатся. Так что рекомендация всем пользователям Unacademy (и вообще): поменять пароль, использовать сложный пароль, включить 2FA. https://gbhackers.com/unacademy-hacked/
GBHackers On Security
India's Largest Online Education Platform's Unacademy Hacked
Unacademy, which is based in Bangalore, is reported to be hacked, hackers gained access to Unacademy's, and to steal more than 22 million users' data.
ну и большая новость на прошлой неделе, которую мало кто пока что понимает — Zoom приобрел сервис Keybase для организации сквозного шифрования
https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/
https://keybase.io/blog/keybase-joins-zoom
https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/
https://keybase.io/blog/keybase-joins-zoom
Zoom
Zoom Acquires Keybase and Announces Goal of Developing the Most Broadly Used Enterprise End-to-End Encryption Offering
Zoom announces the acquisition of Keybase and announces a plan to build end-to-end encryption that can reach current Zoom scalability.
Forwarded from Информация опасносте
в бесконечно далеком 2017 году я писал о компании Vizio — американском производителе телевизоров. Там выяснилось, что они собирали информацию об изображении на телевизоре для последующей аналитики и продажи рекламы, не предупреждая об этом пользователей. На компанию подали в суд, и компания согласилась выплатить компенсацию. Вот мне пришло письмо о том, что уже скоро придут денежки. Наверно, целых 5 долларов!
Компания Zerodium известна тем, что покупает уязвимости для различных устройств и операционных систем. Твит об уязвимостях для iOS примерно такой: “прекратите нам это слать, у нас и так уже этого барахла полно”
https://twitter.com/Zerodium/status/1260541578747064326
https://twitter.com/Zerodium/status/1260541578747064326
Twitter
Zerodium
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors. Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop…