Полезно-образовательная статья об улучшениях безопасности в Android 11

https://www.wired.com/story/android-11-privacy-and-security-features/

======РЕКЛАМА========

Управление уязвимостями. Кто кого?

Задумывались ли вы, насколько эффективно выявляете и устраняете уязвимости? Positive Technologies решили выяснить, как ИБ-специалисты оценивают качество управления уязвимостями в своих компаниях. Приглашаем принять участие в опросе. Результаты будут опубликованы в виде аналитической статьи на сайте Positive Technologies. Опрос анонимный https://ru.research.net/r/JN9T5Q6

======РЕКЛАМА========

периодически встречающаяся в этом канале рубрика “преступление и наказание”. Российский хакер Евгений Никулин был осужден на 88 месяцев судом в Калифорнии за взлом LinkedIn в 2012 году, а также за взлом Formspring и Dropbox.

https://therecord.media/russian-hacker-nikulin-sentenced-to-over-7-years-in-prison-for-tech-industry-breaches/

Полезный совет с Реддита: при регистрации на сайтах в поле имени (или отчества, если есть), указывать название сайта. Тогда при получении спама можно вычислить, кто слил инфу. Фокус с + в адресе почты тоже можно применять, но он работает не везде
https://reddit.com/r/LifeProTips/comments/j2mm1b/lpt_when_you_sign_up_for_anything_online_put_the/

Прикольно, что слухи об утечке исходников Windows XP подтвердились — чувак смог скомпилировать исходники в продукт (Win XP, а из другого пакета утечки — даже Windows Server 2003). Там не хватает winlogon.exe и всяких драйверов, но принципиально все работает. Похоже, что также утекли исходники для Windows 2000, Embedded (CE 3, CE 4, CE 5, CE, 7), Windows NT (3.5 и 4) и MS-DOS (3.30 и 6.0). Интересно узнать, откуда это все

АПД. NT/CE — старые утечки, а вот XP - новая.

https://www.zdnet.com/article/windows-xp-leak-confirmed-after-user-compiles-the-leaked-code-into-a-working-os/

В тему канала

https://twitter.com/martinshovel/status/1312328072839000066?s=21

История о том, как в приложении Grinder, которое популярно в LGBTQ-сообществе для поиска партнеров, была обнаружена уязвимость, позволявшая получить контроль над чужим аккаунтом, зная адрес электронной почты пользователя. А все было просто — страница сброса пароля содержала в себе токен для этого самого сброса. То есть тот, кто знал имейл пользователя, мог затриггерить сброс пароля, выцепить токен из страницы, и войти в аккаунт. Упс.
https://techcrunch.com/2020/10/02/grindr-account-hijack-flaw/
https://www.troyhunt.com/hacking-grindr-accounts-with-copy-and-paste/

===== РЕКЛАМА ======
7 октября в 16.00 пройдет ток-шоу ANTI-APT ONLINE 2.0, посвященное всегда актуальной теме защиты от целенаправленных атак и атак нулевого дня. На онлайн-мероприятии соберутся представители 4 вендоров, чтобы ответить на «острые» вопросы модератора:

⁉️Электронная почта: сито или решето?
⁉️Анализ веба онлайн. Профанация или это действительно работает?
⁉️ANTI-APT и файловые хранилища, а это действительно нужно?
⁉️У меня уже есть антивирус, зачем мне еще и EDR?

На эти вопросы и не только вы узнаете ответы на нашем ток-шоу ANTI-APT ONLINE 2.0. У каждого участника онлайн-мероприятия будет возможность высказаться, поспорить и рассказать, где он обходит конкурентов. 

Регистрируйтесь на мероприятие и готовьте порцию своих «острых» вопросов для участников: https://events.webinar.ru/jet/antiapt2

===== РЕКЛАМА ======

Еще с прошлой недели тянется новость про то, что хакерам удалось разработать и выпустить джейлбрейк для процессоров Т2. Процессоры Т2, кто не знает, это специальные чипы, обеспечивающие безопасность в компьютерах Мак. Там есть своя операционная система SepOS, в которой еще летом была обнаружена уязвимость.

Комбинируя два эксплойта — checkra1n и blackbird — вместе с физическим доступом к устройству, можно провести джейлбрейк процессора, потому что «Apple оставила интерфейс дебаггинга в процессорах, что позволяет любому войти в режим DFU без аутентификации». Короче, используя эту информацию, потенциально можно создать USB-C кабель, который будет «взламывать» Мак при загрузке. Потенциально это может обеспечить злоумышленникам доступ к данным, которые хранятся на устройствах зашифрованными, но не сразу. Автоматически доступа к зашифрованным файлам получать нельзя, но можно воткнуть кейлоггер в прошивку Мака, и собрать пароль к расшифровке файлов.

Еще большая часть проблемы — в том, что уязвимость на процессоре Т2 неисправима, поскольку она аппаратная. Короче, если все так ужасно (а обещают, что это еще не все новости), то владельцам текущих Маков теперь можно посоветовать не оставлять свои компьютеры без присмотра в обозримом будущем. Apple пока что не комментирует эту проблему, и интересно, смогут ли каким-то софтверным апдейтом хотя бы уменьшить вероятность успешной атаки с использованием этих уязвимостей.

Детали всего этого безобразия по ссылке

https://ironpeak.be/blog/crouching-t2-hidden-danger/

https://www.zdnet.com/article/hackers-claim-they-can-now-jailbreak-apples-t2-security-chip/

Сегодня я а) узнал, что есть устройства для контроля мужского целомудрия, и б) что они подключены к интернету, и могут управляться с мобильного приложения. Оставим за кадром вопрос «ЗАЧЕМ», но в рамках нашего канала я просто поделюсь ссылкой на исследование по безопасности такого устройства. Оказалось, что дырявое API у разработчика устройства позволяет злоумышленникам (кстати, автокоррект исправил на «злоумышленницам» почему-то) удаленно заблокировать эти «замки целомудрия» пользователям. После чего их бы пришлось спиливать с понятно какой части организма. Как это бывает часто с интернет-гаджетами, уместной будет фраза из Парка Юрского периода:

«Ваши ученые были настолько заняты вопросом, смогут они это сделать или нет, что никто из них не задумался о том, а надо ли это вообще делать»

https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/

✋ Сбербанк активно собирает биометрию не только у взрослых, но и у детей. С 2015 года в российских школах запущен его проект «Ладошки» — и хотя законом сбор биометрических данных у несовершеннолетних не предусмотрен, ладошки собраны уже у сотен тысяч школьников по всей стране. The Bell нашел недовольных родителей и разобрался в юридической стороне вопроса.

Окей, эта история просто заслуживает войти в the best этого канала!

Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе

https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html

Интересный отчет группы экспертов по информационной безопасности, которые в период с июля по октябрь занимались взломами информационных систем Apple в рамках программы по получению вознаграждений при обнаружении проблем. Были найдены 55 уязвимостей различной степени опасности, большинство из которых уже исправлены Apple. Очень интересный материал, включая описание гигантской инфраструктуры Apple.

https://samcurry.net/hacking-apple/

Включая, например, доступ к репозиторию с исходными кодами iOS
https://samcurry.net/hacking-apple/#vuln5

Дополнение к предыдущему посту про поиск уязвимостей в системах Apple. Общая сумма выплат за обнаруженные проблемы составила 288 тысяч долларов.

Кроме этого, Apple официально прокомментировала результаты этого исследования:

“As soon as the researchers alerted us to the issues they detail in their report, we immediately fixed the vulnerabilities and took steps to prevent future issues of this kind. Based on our logs, the researchers were the first to discover the vulnerabilities so we feel confident no user data was misused. We value our collaboration with security researchers to help keep our users safe and have credited the team for their assistance and will reward them from the Apple Security Bounty program.”
(как только мы получили информацию, мы все исправили. поскольку они были первыми, кто это обнаружил, мы считаем, что пользовательские данные не пострадали. Мы за все хорошее и будем впредь вознаграждать за участие в нашей программе)

Продолжение к теме с уязвимостями в процессоре Т2 в Маках. Если вкратце, то, как пишет Wired, все не так плохо: надо помнить, что а) у самого джейлбрейка есть ограничения, б) к устройству нужен физический доступ, в) джейбрейк не сохраняется после рестарта

https://www.wired.com/story/apple-t2-chip-unfixable-flaw-jailbreak-mac/

Тут интересный тред из твиттера, который прислал читатель. В нем есть рассказ из мира виртуальных минетов, json, XSS уязвимость, а, впрочем, этого достаточно

https://twitter.com/sarahjamielewis/status/933150566347284481?s=21

случай успешной кооперации между компаниями — Microsoft, FS-ISAC, ESET, Black Lotus Labs, NTT и Symantec поучаствовали в закрытии ботнета TrickBot, распространявшего, кроме ботов, и ПО-вымогатели

https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/

Давненько у нас не было новостей о моем любимом типе устройств — детские смартчасы. Вот и тут все как я люблю — смартчасы на Андроиде, и бэкдор в часах, который может по команде отправлять на сервер информацию о геолоакции. А еще может снимать регулярно скриншоты и тоже отправлять их на сервер. И даже это еще все — можно удаленно заставить часы включить звонок, который будет отправлять на сервер звуки, которые происходят в радиусе чувствительности микрофона часов. Там еще и приложения на часах разработаны компанией Qihoo 360, которая находится в бан-листе правительства США, как несущая угрозу национальной безопасности. Хорошие часы доступны в США и Европе под брендом Xplora, если что

https://www.mnemonic.no/blog/exposing-backdoor-consumer-products

Если ввести в стране повсеместное видеонаблюдение с распознаванием лиц, то вполне закономерно, что вскоре можно будет данные об этом самом распознавании купить где угодно кому угодно. Речь о Китае, а вы о чем подумали?
https://www.scmp.com/abacus/tech/article/3104512/facial-recognition-data-leaks-rampant-across-china-covid-19-pushes

Тем временем государства группы “5 Глаз” (США, Великобритания, Австралия, Канада, Новая Зеландия), а также Индия и Япония, продолжают призывать технологические компании к созданию бэкдоров в своих продуктах, которые используют сквозное шифрование. Конечно, что может пойти не так? Они же, блин, не учатся вообще нихрена.
https://www.justice.gov/opa/pr/international-statement-end-end-encryption-and-public-safety