Ох

сайт для «проверки хакерского IQ», который запустила консалтинговая компания Deloitte, оказался с файлом, в котором открытым текстом лежал логин и пароль к базе данных с пользовательской информацией

https://twitter.com/antiproprietary/status/1324006900401426434?s=21

к тому же сайт без https, и со старым Ubuntu, который уже не поддерживается. это просто прекрасно, прекрасно

сегодня вышли апдейты iOS 14.2 для iPhone и iPad. так вот, там есть исправленные уязвимости, о которых известно их реальное применение. Так что апдейт-апдейт!

Дополнение: Также с исправлениями по безопасности вышли апдейты iOS 12.4.9 и macOS 10.15.7

https://support.apple.com/en-us/HT211929
https://twitter.com/benhawkes/status/1324422885830610944

РАБОТУ ПО ТЕМАТИКЕ КАНАЛА КОМУ?
===========

Всем привет! 🙂

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

🎓 Мы ищем лектора, который знает следующие темы:

⚙️ Современная разработка ПО:
🔹 Популярные языки, системы сборки, управления зависимостями;
🔹 Системы хранения данных;
🔹 Развёртывание приложений;
🔹 DevSecOps и AppSec

⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение

Какие есть возможности:

📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;

💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

💎 Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @rsklyarov или на почту r.sklyarov@netology.ru!

«База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома»

Так просто попытка или таки успешная попытка?

https://habr.com/ru/news/t/526852/

Я, конечно, многое понимаю и всякое бываете но они же потом этими же руками рассказывают, как все производители ПО и оборудования должны для ФБР и Ко делать бэкдоры, и это будет безопасно и хорошо

https://www.zdnet.com/article/fbi-hackers-stole-source-code-from-us-government-agencies-and-private-companies/

А в Австрии после теракта решили, что если запретить сквозное шифрование в мессенджерах, то сразу не станет терактов. И собираются это сделать прям вот-вот. Очень интересно будет на это все посмотреть

https://fm4.orf.at/stories/3008930/

Дополнение: возможно, что все же прямо о запрете речь не идёт, но детали пока что не до конца понятны

неплохо, утечка пользовательских данных у Mashable
https://portswigger.net/daily-swig/data-breach-at-mashable-leaks-users-nbsp-personal-information-online

Очень, очень странная история про zero day баги в iOS и Android, которые обнаружила Google, но после этого наступила подозрительная тишина. Апдейты вышли даже для старых версий iOS, что означает, что все плохо было, но дополнительной информации все равно нет

https://www.vice.com/en/article/xgzxmk/google-project-zero-bugs-used-to-hack-iphones-and-android-phones

Ну и раз уж идёт речь о системных апдейтах, у Microsoft и Adobe там тоже вышли важные патчи для их продуктов, и при этом информация о некоторых уязвимостях не раскрывается. Что-то странное происходит

https://krebsonsecurity.com/2020/11/patch-tuesday-november-2020-edition/

Кто главный рассадник вредоносного ПО на Android? Google Play Store!

https://arxiv.org/pdf/2010.10088.pdf

какойто ужас про систему распознавания лиц в Москве и доступ к ней за всего 16 тысяч рублей. Неужели нельзя больше денег брать за это?

https://news.trust.org/item/20201109090922-3k4a5/

А помните вот эту прекрасную историю? У Washington Post продолжение, потому что они добыли отчёт о расследовании этого скандала в парламенте Швейцарии. Там и про то, что швейцарская разведка знала об этом, и какой это ущерб нанесло репутации страны. Как будто шпионский роман читаешь

https://www.washingtonpost.com/national-security/swiss-report-reveals-new-details-on-cia-spying-operation/2020/11/10/c93ca7fc-2386-11eb-8672-c281c7a2c96e_story.html

А вот ещё ссылка от читателя про различные ужасы в телевизорах и других устройствах бренда TLC, одного из крупнейших производителей подобного рода техники. Вход на устройства с root:root, масса открытых портов, доступ к файловой системе, апдейты, которые делают хуже, и всякое разное

https://sick.codes/extraordinary-vulnerabilities-discovered-in-tcl-android-tvs-now-worlds-3rd-largest-tv-manufacturer/

Многие из вас наверняка уже видели вот этот пост про “кошмар на улице Эпол”
https://sneak.berlin/20201112/your-computer-isnt-yours/
(Вот его перевод на Хабре
https://habr.com/ru/post/528104/)

Вкратце: на волне проблем с серверами обновлений в день выхода апдейта macOS 11 Big Sur у Apple возникли проблемы также с серверами проверки сертификатов разработчиков при запуске приложений на Маках. В итоге приложения на старте жутко тормозили или вообще падали (потому что упс, лажа, система была заточена на то, что сервер может быть недоступен, но не заточена на то, что сервер может отвечать медленно). Что и породило текст со ссылкой выше, где в весьма драматических тонах со ссылками на Столлмана и прочее было рассказано, как Apple все о вас знает, и ваш компьютер больше вам не принадлежит.

Сама технология проверки приложений на старте не нова, она называется GateKeeper, и более детально о ней можно прочитать тут:
https://support.apple.com/guide/security/gatekeeper-and-runtime-protection-sec5599b66df/1/web/1

Справедливости ради также хочу дать ссылку на пост с комментариями о том, почему полный драмы и ссылок на PRISM пост не совсем корректный, и не стоит принимать всю информацию, в нем перечисленную, за чистую монету.
https://blog.jacopo.io/en/post/apple-ocsp/

Система проверяет на первом старте (и потом с какой-то вероятностью еще иногда) валидность сертификата разработчика, и отсутствие приложения в базе известных вредоносных приложений. Тут кроется первая неточность статьи — то, что на сервера Apple уходит информация о каждом приложении, которое запускает пользователь. На самом деле на сервере проверяет некий кусок девелоперского сертификата, и если у разработчика несколько приложений, то это один и тот же кусок.

Второй момент — что эти данные пересылаются в открытом виде по HTTP, без какого-либо шифрования. Проверка проводится по OCSP — Online Certificate Status Protocol, открытом проколе, работающем по HTTP. Там есть некая лажа в том, что, используя шифрованный OCSP, можно попасть в бесконечный цикл валидации самого протокола и HTTPS соединения, но вообще да, Apple могла бы как раз напрячься и зашифровать эти данные, чтобы они не попадали неизвестно каким третьим сторонам.

Третье, и у меня пока что нет 100% подтверждения этому (апд: подтвердилось), но информация о запусках приложений и верификации сертификатов не привязана к Apple ID пользователя. Соответственно, месседж статьи о том, как “Apple знает о том, что вы делали у себя дома и какие приложения запускали”, на 99% процентов не соответствует действительности. Apple всячески рандомизирует данные пользователя о геолокации, меняя идентификаторы у себя в бэкенде каждые несколько часов, и, скорей всего, проверка сертификатов по OCSP происходит с фокусом на именно сертификатах, а не на Apple ID, который эти приложения запускает. Короче, как только у меня будет достоверная информация, я дополню. (Но все равно тот факт, что третьи стороны типа провайдера (или СОРМ) могут видеть куски информации о сертификате разработчика, привязанные, например, к IP адресу — лажа Apple, и мы возвращаемся к теме работы этой проверки по HTTP).

Дополнение: уже после того, как был написан этот текст, Apple выпустила новую статью с разъяснениями, в которой подтвердила, что проверки сертификатов никак не привязаны к Apple ID пользователя.

https://support.apple.com/en-us/HT202491

Кроме этого, компания пообещала в следующем году выпустить обновление, где проверки будут идти по зашифрованному каналу связи. Будет добавлена поддержка на случай проблем с сервером, и появится опция отключения такой функциональности.

Ну и самая главная и непонятная история во всем этом история, на которой первоначальная статья фокусируется меньше всего — это ContentFilterExclusionList (/System/Library/Frameworks/NetworkExtension.framework/Versions/A/Resources/Info.plist), некий список приложений и системных сервисов в macOS, которые Apple решила роутить в системе самостоятельно. То есть если даже вы пользуетесь VPN, macOS решает, что уж эти приложения могут идти в интернет мимо VPN. Что вообще подрывает концепцию восприятия безопасности пользователем на корню, так как он, сидя на открытом вайфае, думает, что все его данные ходят через зашифрованный тоннель, а на самом деле это не так. В принципе, читая этот список, можно по каждому пункту придумать объяснение за Apple, почему они это делают, но какого хрена мы как пользователи должны это придумывать? Почему нет четкого и понятного объяснения этому повороту, но есть шаг со стороны Apple, который вызывает вопросы? Я практически уверен, что в этом решении, которое настолько заметно экспертам практически сразу, не было злого умысла, но осадок все равно остался. Более того, как было продемонстрировано экспертами, эта реализация чревата тем, что вредоносное ПО тоже может воспользоваться такими правилами обхода
https://twitter.com/patrickwardle/status/1327726496203476992

Короче, резюмируя. Статья по самой первой ссылке лично мне показалась излишне драматизирующей и кликбейтной. Проблемы действительно есть, и я думаю, что OCSP по HTTPS скоро появится, как и объяснение с ContentFilterExclusionList. Ждем, далеко попкорн не прячьте.

=== РЕКЛАМА ===
Предпоказ нового продукта — MaxPatrol VM. 16 ноября в рамках глобальной конференции и кибербитвы The Standoff (https://standoff365.com/ru) мы проведем предпоказ нового продукта - средства управления уязвимостями следующего поколения MaxPatrol VM.
https://bit.ly/38cC6Mz
=== РЕКЛАМА ===

Почти 28 миллионов записей водительских удостоверений в штате Техас утекли у страховой компании Vertafore, которая имела доступ к записям местного «ГАИ». Имена, номера автомобилей, даты рождения, адреса, прочая информация о регистрации автомобиля утекла для тех жителей Техаса, которые получали ВУ до февраля 2019 года. Ничего святого нет у этих хакеров. Теперь они могут попытаться открывать банковские счета, например, или еще каким-то образом выдавать себя за других людей. А все потому, что бараны в страховой хранили данные в незапароленном онлайн-хранилище

https://www.fox26houston.com/news/nearly-28-million-licensed-texas-drivers-hit-by-data-breach

Как армия США покупает данные из приложений, которые безобидны на вид, но на самом деле собирают данные о пользователях и продают эту информацию, включая данные о геолокации третьим сторонам. Один из примеров - приложение Muslim Pro, для молитв, которое хвастается почти 100млн закачек. И таких приложений много. Данные собирает брокер X-Mode, который затем продаёт их разным заказчикам в министерстве обороны. Атака дроном с помощью таких данных пока что не проводилась, но, чувству, недолго уже осталось.

https://www.vice.com/en/article/jgqm5x/us-military-location-data-xmode-locate-x

Игровая компания Capcom опубликовала информацию о том, что в результате недавнего взлома и атаки вируса-вымогателя данные 350 тысяч пользователей утекли к злоумышленникам

http://www.capcom.co.jp/ir/english/news/html/e201116.html