и как обычно, ученые придумали новый и слабореалистичный метод удаленного взлома, когда оперативная память превращается в транслятор беспроводного сигнала для передачи данных с изолированного компьютера

https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-steal-data-from-air-gapped-systems/

Apple опубликовала документ с рекомендациями о том, как управлять своей инфомацией на устройствах компании — iPhone и iPad: как проверить различные настройки конфиденциальности, что и как оптимально настроить для уменьшения рисков лишней раздачи своей информации. Кроме того, документ пригодится тем пользователям, которые подозревают, что их информация подвергается несанкционированному доступу — что проверить, и как обезопасить эту инфу. Информация безопасносте!

https://manuals.info.apple.com/MANUALS/1000/MA1976/en_US/device-and-data-access-when-personal-safety-is-at-risk.pdf

И снова жопа в iOS, ну что ж такое. Похоже, NSO group то ли сами нашли, то ли купили у кого-то уязвимость в мессенджера iMessage, и заказчик компании. использовали её для взлома журналистов и других сотрудников канала Al Jazeera. Нюанс в том, что использовалась цепочка уязвимостей, которая, видимо, включала в себя эксплойт iMessage, который был незаметен пользователям и не требовал никаких действий с их стороны. Предполагается, что эта цепочка под названием KISMET применялась в период с октября по декабрь 2019 года, возможными исполнителями взлома были Саудовская Аравия и Объединённые Арабские Эмираты. Как результат взлома, телефон мог удаленно записывать аудио с микрофона, и звонка, и делать снимки камерой. Также, считают исследователи, имплант мог сообщать о местоположении телефона и иметь доступ к паролям на устройстве. Потенциально это лишь часть жертв, и, возможно, о других мы ещё узнаем в будущем. Цепочка KISMET работала вплоть до iOS 13.5.1 ещё в июле 2020 года, а в iOS 14, похоже, новые изменения безопасности сделали её эксплуатацию невозможной. Подробный отчёт об обнаружении результатов этих взломов по ссылке. Но вообще звучит как ситуация, которая на пиз начинается, на дец заканчивается. CitizenLab призывает всех, а особенно журналистов, обновиться до iOS 14, хотя стоимость таких эксплойтов и решений NSO Group такова, что использоваться это будет только очень таргетированно, против конкретных людей. Но все равно лучше проапдейтиться.

https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

PS а ведь кто-то за такую цепочку уязвимостей вполне мог получить 3-5млн долларов

Пару недель назад мне один из читателей писал о том, что в Казахстане опять начали внедрять государственный сертификат для перехвата HTTPS трафика. Доступ к многим зарубежным сайтам был заблокирован без установки этого сертификата. Официальная версия — "учения по кибербезопасности", но кто ж им поверит? Наверно, не станет сюрпризом тот факт, что разработчики всех браузеров — Apple, Google, Microsoft и Mozilla — забанили этот рутовый сертификат, так что его нельзя будет установить в браузерах.

https://www.zdnet.com/article/apple-google-microsoft-and-mozilla-ban-kazakhstans-mitm-https-certificate/

Я как-то пропустил, что в июле компанию-производителя аппаратных кошельков для криптовалюты Ledger взломали, украв оттуда базу данных клиентов. База включала в себя около 1 млн записей, содержащих имена, адреса электронной почты, а также настоящие адреса и номера телефонов примерно 270 тысяч реальных покупателей. При этом там история даже интересней, потому что компании сообщили об уязвимости в сайте, они её исправили, а через несколько дней кто-то все-таки взломал инфраструктуру и добрался до базы данных маркетинга.

https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

Теперь же эту уведённую базу кто-то выложил в интернете

https://support.ledger.com/hc/en-us/articles/360015559320-E-commerce-and-Marketing-data-breach-FAQ

Там даже есть данные почти 6 тыс клиентов из России и Украины
https://amp.rbc.ru/crypto/news/5fe057879a794768cb14040c

А поскольку среди людей с криптокошельками есть некоторое количество людей с высоким доходом, то эта утёкшая информация уже, похоже, стала применяться «по назначению», то есть для шантажа

Пишут, что Apple наконец-то начала рассылать отобранным экспертам по безопасности специальные исследовательские айфоны с рутом для более тщательного изучения потенциальных уязвимостей в системе. Интересно, насколько пинком для них стала последняя история со взломанными айфонами журналистов Аль Джазира, о которой я писал пару дней назад? Там от сообщества раздавались жалобы о том, что если бы Apple была более открытой с сообществом (в том числе и с помощью таких специальных устройств), то, возможно, что подобные баги можно было бы раньше отловить

https://www.macrumors.com/2020/12/22/apple-security-research-device-program-launches/

=== РЕКЛАМА ===

🌲 Начните Новый 2021 год с новыми скиллами в ИБ!

Практический онлайн-курс «Этичный хакинг. Практика тестирования на проникновение» стартует уже 21 декабря.
Успейте пройти вступительный тест и присоединиться к группе с новогодней скидкой 30% https://otus.pw/h75O/

Освойте must have практики Реверс-инжиниринга на виртуальной машине с реальными малварами, найденными в сети. Единственный в России онлайн-курс, где вас ждет 4 месяца практики, интенсивных вебинаров и общения с опытным специалистом по информационной безопасности.
Старт уже 23 декабря! Успейте пройти вступительный тест и занять место с новогодней скидкой -30%

https://otus.pw/Ryxt/

Если вам надоели новости про SolarWinds, то ничем не могу помочь, у меня есть еще апдейты по этому поводу!

Например, очень большой анализ от Microsoft по поводу того, как обнаруживать соответствующие бэкдоры и вредоносное ПО
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/

https://www.microsoft.com/security/blog/2020/12/21/advice-for-incident-responders-on-recovery-from-systemic-identity-compromises/

И вообще у Microsoft целый портал уже есть по поводу этого взлома
http://aka.ms/solorigate

В одном из постов вообще было интереснейшее:
Additional malware discovered
In an interesting turn of events, the investigation of the whole SolarWinds compromise led to the discovery of an additional malware that also affects the SolarWinds Orion product but has been determined to be likely unrelated to this compromise and used by a different threat actor.

То есть при анализе обнаружили ЕЩЕ ОДИН вирус, затрагивавший SolarWinds Orion, но при этом не имевший отношения к «оригинальному» взлому. Интересный поворот.

рука и лицо... Сотрудники Годедди получили письмо с информацией о том, что на Рождество компания выплатит им 600 долларов, и надо было зарегистрироваться для его получения. Только бонуса им никто не дал, потому что это было фишинговое письмо. Более того, это был фишинговый тест от компании, и около 500 сотрудников тест провалили. С одной стороны, конечно, тест хороший — злоумышленники-то могут использовать любую тему для фишинга. Но, наверно, есть некие этические пределы для тестов, особенно в это время, с праздниками, кризисом и тд.

PS вот вы пишете, что не должно быть этических пределов, потому что у преступников их нет. Ок, можно ли разослать фишинг с угрозами убийством, например? Нет, конечно. Пределы есть, просто они у каждого из вас свои.

https://www.engadget.com/godaddy-sent-fake-phising-email-promising-holiday-bonus-220756457.html

Есть такая компания TCL, производит телевизоры. Много телевизоров, один из крупнейших производителей телевизоров в мире. Недавно исследователи обнаружили несколько уязвимостей в телевизорах под управлением операционной системы Android. Одна позволяла просматривать файловую систему устройства без пароля, вторая была интересней: похоже, что она отправляла скриншоты и логи пользовательской активности на сервер в Китае. Без ведома пользователя, конечно же. После информирования об этих недоразумениях китайцы выкатили патч, который поставился втихаря без информирования пользователей об этом. Что потенциально может значить, что TCL имеет полный контроль над устройствами, которые находятся у пользователя, по словам одного из исследователей (хотя надо отметить, что многие современные операционные системы умеют обновляться без всякого интерактива). Короче, теперь вроде как министерство нацбезопасности США собирается исследовать, нет ли там в телевизорах бэкдоров. TCL все отрицает.


https://www.tomsguide.com/news/tcl-wolf-dhs-china-bashing

Журналисты канала NBC в очередной раз решили нам напомнить о том, что всё цифровое вокруг нас собирает информацию. В этот раз речь идёт об автомобилях и новых методах расследований - цифровая форензика автомобилей. Тут вам и информация о геолокации начала и конца поездки, скорость и ускорение, время открытия и закрытия дверей, информация о звонках и текстовых сообщениях, голосовые команды и история браузера. Всё это есть в компьютерных хранилищах многих автомобилей и представители правоохранительных органов все чаще используют эту информацию в своих расследованиях. Но с этим всем есть пару проблем: безопасность этих данных (хранение, шифрование, передача и тд), а также то, что и производители автомобилей к этим данным могут относиться гораздо более расслабленно, чем производители, например, смартфонов. Короче, все плохо (а статья интересна примерами, например).

https://www.nbcnews.com/tech/tech-news/snitches-wheels-police-turn-car-data-destroy-suspects-alibis-n1251939

Большая победа против Apple - судья отказал Apple в иске (по крайней мере, в его копирайтной части) против компании Corellium, разработчика решения по виртуализации iOS. Компания продаёт это как облачный сервис, предлагая виртуальные айфоны, которые можно «использовать» на компьютерах для, например, поиска уязвимостей в операционных системах. Apple подала иск, обвиняя Corellium в нарушении копирайта их программного обеспечения, судья же решил, что никакого нарушения не происходит. Apple также утверждала, что существует риск, что уязвимости, найденные с помощью решений Corellium, могут быть использованы для взлома всех других айфонов, что подвергает риску пользователей, но судья указал, что решения Corellium в данном случае благо, так как помогают улучшить безопасность для пользователей айфонов, и не являются конкурентным продуктом. Особой пикантности добавляет еще нюанс, что Apple в какой-то момент вела переговоры с Corellium о приобретении компании, и смогла тщательно изучить продукт изнутри. Часть иска, связанная с DMCA и утверждениями о том, что Corellium обходит защитные меры программного обеспечения, пока что остаётся.

https://www.washingtonpost.com/technology/2020/12/29/apple-corellium-lawsuit/

Благотворительная организация GetSchooled, которая помогает школьникам с поступлением в университеты, оставила открытой базу данных пользователей. В итоге то ли 250 тысяч, то ли больше 900 тысяч персональных данных школьников, включая имена и адреса, оказались доступными в сети

https://welpmagazine.com/bill-melinda-gates-foundations-charity-getschooled-breaches-900k-childrens-details/

Новости из категории WTF - сервис по продаже билетов на концерты и другие мероприятия Ticketmaster платит штрафы за взлом систем конкурента с целью получения информации о конкуренте

https://apnews.com/article/technology-new-york-new-york-city-courts-hacking-5aeb56e25c788681250cfd3d350cdbb0

Ну и с наступающим. Чтобы меньше утечек и уязвимостей, и больше информации безопасносте

Ну что ж, продолжим и в новом году. Вчера было некогда об этом писать, но вообще тут интересные танцы про SolarWinds и Microsoft. Несмотря на то, что Microsoft раньше отрицала, что её системы были взломаны в рамках большого взлома SolarWinds, позже оказалось, что это не так. (Microsoft называет историю с этим взломом Solorigate). А вчера ещё Microsoft опубликовала пост, в котором компания рассказала, что хакеры (подозревается, что группировка работает на СВР России) получили доступ к исходному коду некоторых продуктов компании. Отдельно компания уточняет, что нет доказательств доступа к рабочим системам или пользовательской информации. Судя по посту Microsoft, был скомпрометирован аккаунт сотрудника, через который просматривали, но не модифицировали) код в некоторых репозиториях. Хотя на первый взгляд это звучит ужасно, но все не так плохо: подход Microsoft заключается как раз в том, что код не является секретным для сотрудников компании, и компания исходит из того, что злоумышленники знают исходный код, когда Microsoft рассматривает модели угроз:

At Microsoft, we have an inner source approach – the use of open source software development best practices and an open source-like culture – to making source code viewable within Microsoft. This means we do not rely on the secrecy of source code for the security of products, and our threat models assume that attackers have knowledge of source code. So viewing source code isn’t tied to elevation of risk.

Чтение кода - это не изменение процессов сборки или механизмов обновлений, как это было в случае с SolarWinds. Надо помнить, что Microsoft уже давно раскрывает свой исходный код многим правительствам (около 45 стран). Да и исходники у компании неоднократно утекали, даже в прошлом году был пост об этом в этом канале. Так что эта новость интересна тем, что Microsoft таки была жертвой взлома, и о самих масштабах доступа, но, наверно, не более.

https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/