Я понимаю, что, возможно, тема Exchange надоела,но на 9 марта в интернете из 400 тысяч активных систем только 100 тысяч получили обновление. Тем временем, на сервера начались атаки вымогательнрго вредоносного ПО. Пока что весело. Интересно, как это скажется на репутации Microsoft? Хотя они давно говорили «все в облако, все в облако!»

https://twitter.com/msftsecintel/status/1370236539427459076?s=21

https://www.microsoft.com/security/blog/2021/03/12/protecting-on-premises-exchange-servers-against-recent-attacks/

А на фоне всего этого Microsoft еще расследует, не ликнул ли кто-то из важных клиентов или партнеров информацию об уязвимости раньше времени. Там, как оказалось, некоторые получили информацию об уязвимости вместе с PoC еще 23 февраля.
https://www.wsj.com/articles/microsoft-probing-whether-leak-played-role-in-suspected-chinese-hack-11615575793

А кто помнит Spectre? нет, не фильм о Джеймсе Бонде, а уязвимость в современных процессорах, о которой стало известно три года назад. Meltdown и Spectre — близнецы братья, уязвимости в том, как работают современные процессоры на принципиальном уровне, что теоретически может приводить к утечкам данных между приложениями, работающими на компьютере.

В общем, команда Google Security — молодцы, потому что провели исследование о том, как подобная уязвимость может быть использована в браузере против пользователей, и даже опубликовали PoC на JavaScript, который демонстрирует возможность утечки информации из памяти пользователя. И что интересно, никто не в безопасности:

The demonstration website can leak data at a speed of 1kB/s when running on Chrome 88 on an Intel Skylake CPU. Note that the code will likely require minor modifications to apply to other CPUs or browser versions; however, in our tests the attack was successful on several other processors, including the Apple M1 ARM CPU, without any major changes.

Очень страшно жить
https://security.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html

И моя любимая тема — прайваси (она же — конфиденциальность). CNBC поговорила с несколькими бывшими сотрудниками Facebook, которые рассказали, как именно Facebook пострадает после того, как Apple выкатит свои изменения в iOS. Там, напомню, для различных социально-рекламных сетей появится правило, что пользователь должен будет согласиться на трекинг его информации между приложениями и сайтами (Фейсбук уже пару недель активно крутит по телевизору в США рекламу, которая рассказывает, что таргетированная реклама — это очень хорошо. Кто ж спорит с этим простым утверждением? Вопрос в том, как это таргетирование достигается). Но неважно, короче, в iOS приложения будут запрашивать согласие у пользователя, и Facebook от этого очень сильно припекает. Короче, хорошее объяснение почему так. в двух словах — потеря возможности замеров «просмотр-конверсия», когда реклама в ФБ приводит через какоето время к покупке на сайте.

https://www.cnbc.com/2021/03/11/why-facebook-is-so-upset-about-apple-idfa-change-insiders-spill.html

=== РЕКЛАМА ===
18 марта в 16:00 приглашаем вас на вебинар, посвященный практике защиты сред Microsoft 365.

Внедрение Microsoft 365 - масштабный проект, кардинально меняющий ИТ-ландшафт организации. Из понятной контролируемой зоны внутренней сети обработка данных перемещается куда-то в облако. Насколько это безопасно, остается открытым вопросом для большинства ИТ и ИБ-специалистов.

Эксперт компании «Инфосистемы Джет» на живых кейсах расскажет о всех нюансах защиты сервисов и пользователей вне периметра организации.

Кому будет полезно?
Всем, кто занимается эксплуатацией Microsoft 365 или только планирует переход в облако.

Регистрация на мероприятие

Деньги опасносте, но отличное информационное расследование, показывающее, что информация опасносте давно и все потеряно

https://tjournal.ru/stories/343427-kak-ya-popalsya-na-oflayn-razvod-v-tindere-a-zatem-vyyasnil-kto-za-etim-stoit

ОК, когда-нибудь сага с Exchange закончится, но не сегодня. Microsoft выпустила утилитку, которая одним кликом установить обновления и изменить соответствующие настройки для минимизации ущерба от уязвимости Microsoft Exchange. Специально для тех, у кого нет команды IT для подобных вещей. (может быть, тогда у них не должно быть и своего сервера on-prem, я не знаю)

https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/

Но тут гораздо интересней история про уязвимость в системах пересылки текстовых сообщений. И речь как бы не совсем о технической уязвимости. В двух словах: это эксплуатация системы Sakari, сервиса пересылки текстовых сообщений, которая позволяет различным компаниям рассылать СМС-напоминания, подтверждения, уведомления и рекламу. Создание учетной записи там бесплатно, и самый дешевый тариф — всего лишь 16 долларов. После этого у владельца учетной записи есть «право» переключать номера телефонов, что дает возможность прописать там телефон жертвы и получать текстовые сообщения, предназначенные жертве, даже без её ведома. Технически Sakari получает возможность контроля над перенаправлением текстовых сообщений от компании под названием Bandwidth. Та, в свою очередь, управляет назначением номеров еще через другую компанию — NetNumber. У NetNumber есть своя собственная централизованная база данных Override Service Registry, которую использует большое количество игроков (короче, иголка в яйце).

Насколько этот метод используется для атак сегодня — неизвестно. Но компаний, подобных Sakari, полно, и некоторые уже подтверждают, что они замечают подозрительную активность и блокируют таких пользователей. Очень хочется надеяться, что это может быть последним гвоздем в гроб аутентификации через получение SMS (например, при всем моем желании от него отказаться, есть сервисы, где подтверждение не получить никаким другим способом, кроме СМС — включая банковские). Но рекомендация общая: если есть возможность не получать код через SMS — не получайте, настраивайте TOTP/OTP пароли, это гораздо лучше, чем SMS.

Пост от журналиста Motherboard:
https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber

пост от исследователя, который демонстрировал ему уязвимость
https://lucky225.medium.com/its-time-to-stop-using-sms-for-anything-203c41361c80

Инструмент для проверки, не зарегистрировал ли кто-то где-то ваш номер для каких-то своих дел (от компании, где работает Lucky225)
https://okeymonitor.com

Вот, кстати, тоже интересная история про опасности даже с обычными, «не смарт» телефонами от читателя канала. Жаль, тайна так и осталась нераскрытой. Но все равно берегите бабушек!

https://tjournal.ru/351729

=== РАБОТА ===

#вакансия #удалённо #job #remote #parttime #преподаватель #devsecops

Компания: Otus расширяет команду курса и ищет руководителя и преподавателя он-лайн курса

Devsecops

Otus не обучает с нуля, а предлагает углубленные знания для опытных разработчиков. У нас более 60 авторских курсов.

Ты будешь:
✔️Проводить живые вебинары с учениками (1-2 раза в неделю по вечерам по 1.5 часа);
✔️Перерабатывать материал под себя;
✔️Проверять домашние задания.

Работа с нами:
✔️Возможность научиться: работать с аудиторией, давать обратную связь, публично выступать и структурировать свои знания;
✔️Удобное совмещение с текущей фул-тайм загрузкой: график можно выстроить индивидуально;
✔️Делиться знаниями из любой точки мира;
✔️Взаимодействие с сильной технической командой, которая уже обучила около 10000 студентов.

Условия:
✔️Полностью удаленно, от 1 раза в неделю, вечером с 20 до 21:30 по мск.
✔️Скидка 50% на любой курс otus.ru

Узнать подробнее о преподавании в Otus можно тут

Рада ответить на любые ваши вопросы!
Контакты: @Elena_Munirova
e.munirova@otus.ru

ссылка для регистрации

iPhone, как известно, не умеет записывать телефонные разговоры, да и приложений к нему, которые могли бы напрямую их писать, тоже нет. Поэтому существуют некоторые сервисы с мобильными приложениями, которые, по сути, гоняют через себя звонок, передавая его на iPhone пользователю, и у себя его зписывают. Казалось бы, что может пойти не так? В сервисе была обнаружена уязвимость, которая позволяла запросить номер телефона пользователя и в ответ получить информацию о том, где хранились записи без какой-либо дополнительной верификации. Плюс история звонков. А тем временем это было одно из самых популярных приложений в категории Бизнес в App Store

https://www.pingsafe.ai/blog/how-we-could-have-listened-to-anyones-call-recordings?=7194ef805fa2d04b0f7e8c9521f97343

Из редкой, но не менее любимой рубрики «преступление и наказание»: хакер, который взломал в прошлом году Твиттер (на самом деле методом социальной инженерии получил доступ к контрольной панели одного из сотрудников) — когда многие популярные аккаунты начали твитить про биткойны, согласился на три года заключения в тюрьме для молодежи. Ему всего 17 лет, иначе бы грозил срок 10 лет. всю криптовалюту он передал правоохранительным органам, ему запрещено пользоваться компьютерами без разрешения и соответствующего наблюдения, и он должен передать пароли ко всем своим учетным записям.

https://www.tampabay.com/news/crime/2021/03/16/tampa-twitter-hacker-agrees-to-three-years-in-prison-in-plea-deal/

Ну и, конечно, если у вас есть желание и соответствующий уровень английского языка, рекомендую почитать не очень длинный документ, который совместно опубликовали министерство юстиции США и министерство национальной безопасности США, включая ФБР, и агентство по кибербезопасности и безопасности инфраструктуры. В документе изложены ключевые факты, обнаруженные в результате исследования утверждений о взломах избирательной инфраструктуры в США во время выборов президента в 2020 году. В частности, расследовались заявления про то, что различные правительства других стран якобы контролировали инфраструктуру, используемую в выборах, применяли схемы по манипуляции этой инфраструктурой, а также якобы могли менять или манипулировать другим образом подсчетом голосов. Наверно, не будет сюрпризом, если я заспойлерю, что в результате расследования эти заявления оказались голословными и не соответствовали действительности. В некоторых случаях были замечены действия российских, иранских и китайских оперативников, но они не повлияли существенным образом на результаты выборов. В некоторых случаях утверждения о взломах и изменении результатов распространялись самими группировками, при этом не соответствовали действительности.

(PDF)
https://www.justice.gov/opa/press-release/file/1376761/download

=== РАБОТА ===

Всем привет! 🙂

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

🎓 Мы ищем лектора, который знает следующие темы:


⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение

⚙️ Организация безопасности:
🔹 Настройка и администрирование СЗИ;
🔹 Мониторинг событий безопасности;
🔹 Регламентация процесса;

Какие есть возможности:

📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;

💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

💎 Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту r.pshenichnikov@netology.ru!

Фаза 1
Берем данные о геолокации из приложений для молитв мусульман — и продаем армии. кому профит, кому данные для дронов
https://t.me/alexmakus/3727

Фаза 2
Берем данные о той же геолокации из автомобилей, через производителей собираем их у агрегатора — и продаем армии. Так-то, глядишь, и для дронов тоже данные найдутся, а там и профит пойдет.

Короче, не скроешься. Умные машины, говорили они, подключение к интернету в каждой машине, говорили они. Ну что может пойти не так в этой схеме? В статье все именно настолько плохо, как можно подумать: агрегатор питчит военным ведомствам возможность получить информацию о реальном местоположении определенного автомобиля в почти любой стране мира (за исключением Кубы и Северной Кореи).

"Vehicle telematics is data transmitted from the vehicle to the automaker or OEM through embedded communications systems in the car. Among the thousands of other data points, vehicle location data is transmitted on a constant and near real time basis while the vehicle is operating."

https://www.vice.com/en/article/k7adn9/car-location-data-telematics-us-military-ulysses-group

https://www.documentcloud.org/documents/20515640-ulysses-document

=== РЕКЛАМА ===
Сетевые песочницы: ваш опыт

Positive Technologies проводит исследование о том, как ИБ-специалисты используют продукты класса «песочница»: какие задачи и каким образом решают, находят ли реальные угрозы.

Если вы работаете с сетевой песочницей любого вендора, поделитесь своим опытом – ответьте анонимно на несколько вопросов:
https://ru.surveymonkey.com/r/2ZG3MRY

Отчет по результатам исследования будет опубликован на сайте Positive Technologies.

В августе прошлого года проскакивала история про некоего Егора Игоревича Крючкова, который предлагал взятку в 1 млн долларов сотруднику Tesla за возможность установить вредоносное ПО в сети компании

https://t.me/alexmakus/3623

Но сотрудник сообщил об этой попытке в ФБР, и Егора Игоревича арестовали. Раньше он отрицал вину и хотел судебного процесса с разбирательством, но вот признал свою вину, и вместо «до 5 лет» в тюрьме получит от 4 до 10 месяцев. Интересно, по условиям соглашения, не рассказал ли он, кто там его на такое надоумил?

https://therecord.media/russian-who-tried-to-hack-tesla-last-summer-pleads-guilty/

Project Zero, как всегда, прекрасен с рассказом про 7 уязвимостей нулевого дня, обнаруженные в октябре 2020 года, для Windows, iOS и Android. Речь идёт о неких сайтах, которые хостили эксплойты, и при заходе на них могли получать данные с устройств. Схемка там с разными серверами для разных устройств красивая.

https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html

Постоянные читатели канала помнят стартап Clearview AI, компанию, которая собрала несколько миллиардов фотографий людей из разных социальных сетей и прочих сайтов, куда мы все так любим постить фотографии о себе, а потом открыла сервис для частных и государственных организаций по поиску людей. Спорность и легитимность сервиса обсуждают до сих пор многие, но правоохранительным органам в США, похоже, все равно на эти обсуждения, поэтому и полиция, и ФБР часто обращаются за услугами к этой компании.


Я оставлю вам на выходные длинный, но очень интересный профайл об этой компании в NYT (да, на английском, но автоматические переводчики нынче очень неплохо подобный контент переводят). В статье есть много всего про историю основания компании, людей, к этому причастных, про судебные разбирательства и легитимность использования систем распознавания лиц в принципе. Отличный материал, я с удовольствием почитал и вам рекомендую. Возможно, там окажется пейволл, но разве это может остановить того, кому на самом деле это интересно?

https://www.nytimes.com/interactive/2021/03/18/magazine/facial-recognition-clearview-ai.html

Про Cellebrite, которая, как и Grayshift, продает оборудование для взлома смартфонов, интересная новость. Эта компания часто тут фигурирует в канале, и обычно клянется, что тщательно пытается фильтровать покупателей своих устройств, но на самом деле обычно продает их тем, кто дает им деньги.

>> В материалах дела, расследование по которому уже завершено, есть документы о попытке следствия получить доступ к содержимому запароленных айфона и телефона Xiaomi, изъятых при обыске у Соболь. Попытка оказалась неудачной — разработка Cellebrite не смогла вскрыть телефоны.

Интересно, что эксперты подтверждают, что Xiaomi действительно трудно ломать, почти также трудно, как iPhone. Все зависит от прямоты рук разработчиков, похоже.

https://zona.media/news/2021/03/19/cellebrite

Так, я прерву ваше затишье пятничного вечера, для того, чтобы озвучить свое недоумение фактом того, что разводы с сайтом twibe.co возможны еще в наше-то время. поскольку в связи с моей локацией вопросы замедления и доступа твиттера для меня неактуальны, я както совершенно пропустил мимо эту драму, которая привела к тому, что люди добровольно заливали свои паспортные данные неизвестно куда, неизвестно кому. Как указал читатель, там весело:

«...на волне грядущего запрета твиттера буквально третьего дня всплыл на коленке сделанный twibe.co, который, внимание, просил видео с паспортом.

С контактным адресом на mail.ru, а в политике обработки перс. данных - Beon.

Сегодня сервиса в сети нет, но зато есть твиты подобного вида:
https://twitter.com/git_huh/status/1372689414858674181

Вот и говори потом о сетевой гигиене, безопасности персональных данных…»

Действительно, почитаешь такие истории и руки опускаются. ты тут пишешь, пишешь про то, как информация ОПАСНОСТЕ, а все без толку.

И вот еще туда же
https://t.me/vamolaru/166

ну как так, как же так…