Читатель Марк тут задал вопрос, ответ на который, думаю, может пригодиться многим читателям этого канала: “ а как свой мак и телефон эпловский проверить? А то паранойя мучает теперь, если комп тупит или телефон, сразу кажется что это пакистанские хакеры мне зла хотят. “ Отвечает Александр Друзь… Ой, в смысле Пацай:
Для Мака есть несколько программ, которые позволяют видеть странную активность на компьютере:
- например, BlockBlock — показывает, если какое-то приложение прописывает себя в “долгосрочные” файлы типа startup items (так часто поступают всякие зловредные приложения). Нюанс в том, что автор — бывший сотрудник NSA, и поэтому в кругах экспертов существует определенный скепсис по поводу его тулзов)
https://objective-see.com/products/blockblock.html

- LittleSnitch — утилита, которая показывает различные сетевые соединения, которые происходят в системе. Как раз поможет против “пакистанских хакеров”, сосущих информацию из компьютера.
https://www.obdev.at/products/littlesnitch/index.html

- LittleFlocker — примерно как LittleSnitch, только не для сетевых соединений, а для файлового доступа на компьютере. Показывает полезные алерты, если какое-то приложение внезапно решило получить доступ к файлам в системе, к которым оно вроде как не должно доступаться.
https://www.littleflocker.com

Для iPhone, к сожалению, подобных тулзов нет, в связи с ограничениями самой операционной системы. но там изначально система запросов на доступы к информации построена лучше.

Компания F-Secure опубликовала тут отчет — “состояние кибербезопасности в 2017 году”. Сам отчет можно скачать по ссылке тут (https://business.f-secure.com/the-state-of-cyber-security-2017/) — там требуется бесплатная регистрация для этого. Там вообще много всего интересного — и про Mirai, и про IoT, и даже человек, похожий на Путина

но вообще мне этот отчет еще был интересен данными о вредоносном ПО для Android. По информации из отчета, для Android существует более 19 миллионов вредоносных программ разных типов — вирусы, трояны, бэкдоры, и ransomware, и они составляют 99% всех вредоносных программ для мобильных систем. график вообще не очень хороший, если смотреть на увеличение количества, хотя если посмотреть на красную часть графика, то можно сделать вывод, что основное количество — это все-таки клоны одних и тех же программ, просто в некоторых вариациях. так что, в теории, при наличии антивируса на Android должно быть относительно нестрашно. хотя все равно страшно.

но раз уж о вредоносном ПО… Bitdefender тут рассказывают о трояне для macOS, который умеет воровать пароли, делать скриншоты на компьютере и красть бекапы iPhone, если они есть на Маке. Интересно, что троян связывают с группой APT28 (она же — Fancy Bear, Pawn Storm, Sofacy Group, Sednit and STRONTIUM), считается, что эта группа хакеров связана с российским ГРУ. Пока что информации о самом трояне мало, bitdefender продолжает изучение https://labs.bitdefender.com/2017/02/new-xagent-mac-malware-linked-with-the-apt28/

Дратути! Поскольку у меня накопилась коллекция интересных ссылок, чтобы не забивать ленту лишними нотификациями, будет один пост с этими ссылками и комментариями. Никакого ранжирования в последовательности ссылок нет, просто так получилось.

1. Ссылка, которую прислал читатель Александр — Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика. Группа, в которую вошли исследователи из ряда известных университетов, а также представители Mozilla, Cloudflare и Google, провела анализ распространения методов локального перехвата HTTPS-трафика и влияния такого перехвата на сетевую безопасность. Результаты превзошли ожидания исследователей, оказалось, что 4-11% HTTPS-трафика перехватывается и анализируется сторонним ПО на стороне клиента (антивирусное ПО, межсетевые экраны), при этом в большинстве случаев подобный перехват приводит к уменьшению уровня защиты соединения.
http://www.opennet.ru/opennews/art.shtml?num=45996

2. Очень интересное расследование Брайана Кребса об авторе сайта LeakedSource.com, который недавно закрылся — сайт занимался продажей доступа к информации о пользовательских данных, полученных из разных утечек.
https://krebsonsecurity.com/2017/02/who-ran-leakedsource-com/

3. Интересный отчет еще из 2014 года о семействе вредоносного ПО X-agent, о котором я писал вчера. Вчера я упоминал, что считается, что X-Agent принадлежит группе APT28, которая вроде как “записана” за ГРУ. Так вот, отчет (ссылка на PDF ниже) называется “заглядывая в Аквариум”, что, подозреваю, может являться отсылкой именно на ГРУ (была такая книга у перебежчика Суворова, где он рассказывает, что якобы “аквариумом” называли главное здание 2-го Главного управления Генерального штаба).
https://assets.documentcloud.org/documents/3461560/Google-Aquarium-Clean.pdf

4. Статья об уязвимости в ASLR — это, грубо говоря, механизм рандомизации данных приложения в памяти, чтобы хакерам было сложнее взламывать приложения. Исследователи выяснили, что с помощью хитро-написанного JavaScript можно скомпрометировать практически все современные процессоры. В статье также есть информация о том, как можно защититься от этого вектора атаки
https://www.vusec.net/projects/anc/


В качестве бонуса — не совсем по теме канала, но все равно интересная история о том, как чувак хотел нанять киллера за биткойны для своей жены в darknet, его там развели на деньги и никакого киллера он не получил, в итоге убил жену сам, но полиция раскусила его и теперь он арестован и ждет суда
https://www.deepdotweb.com/2017/02/06/man-tried-hire-hitman-darknet-kill-wife-got-scammed-arrested-instead/

Традиционное пожелание беречь себя и свою информацию (и да, жен своих тоже берегите)

мир “умных” устройств наносит очередной удар по вере в счастливое будущее, в котором мы окружены умными и полезными устройствами. Например, в Германии регулирующие органы посоветовали родителям избавиться от кукл Cayla. Эти куклы, со встроенным Bluetooth и WiFi, умеют отвечать на вопросы детей. Оказалось, что уязвимости (в чипе Bluetooth), позволяют хакерам через куклу разговаривать с детьми (подключившись удаленно к микрофону и спикеру через этот самый Bluetooth). Родители же, по идее, не должны хотеть, чтобы с их детьми через куклу разговаривали вообще неизвестно кто. Ну и, поскольку в таком случае кукла превращается в незаконный инструмент наблюдения, то по немецкому законодательству владеть таким инструментом противозаконно. Уверен, таких “дырявых” кукл в будущем будет все больше. Покупайте детям аналоговые игрушки! http://www.bbc.com/news/world-europe-39002142

Интересное расширение для Chrome — показывает, сколько и какой информации о вас собирает Facebook (я сам проверить не могу, потому что заблокировал себе Facebook на компьютере, но вам может пригодиться). Штука вроде как open-source, данные себе не собирает, так что вроде как с точки зрения вашей приватности не должно быть вопросов, зато позволяет вам увидеть (и ужаснуться) тому, сколько всякой информации о вас собирает Facebook http://dataselfie.it/#/about

не только в России есть законодатели, желающие войти в историю излишне проактивными законопроектами. Вот и в Штатах, например, молодой конгрессмен Джим Бэнкс зарегистрировал законопроект Visa Investigation and Social Media Act (VISA), по которому любой человек, подающий заявку на визу в США (в том числе туристическую), должен указать свои никнеймы-аккаунты в социальных сетях. возникает, конечно, сразу много вопросов: как в DHS будут вести список популярных социальных сетей в тех или иных странах (например, надо требовать аккаунт ВК в России?)? Действительно ли у них хватит ресурсов просматривать всех котиков и прочую ерунду в социальных сетях? Что мешает аппликанту сказать “у меня нет аккаунта”, удалив его предварительно? Или указать чужой аккаунт (если это сеть типа твиттера, где нет такой привязки к реальному имени (ну и вообще со странными twitter-handles типа там “любитель_сисек_и_жоп” может быть стыдно подаваться на визу). Короче, все указывает на то, что такой законопроект никуда не пойдет и вряд ли будет принять в виде закона. Что, конечно, не мешает уже сейчас на границе при въезде в США требовать информацию о социальных сетях и отбирать устройства для последующего копирования данных с них. полицейское государство.

страшная угроза

И снова здравствуйте! Как обычно на этом канале, у меня только хорошие новости. И под хорошими новостями на самом деле я подразумеваю не очень хорошие новости :) Например, что Android-приложения, которые используются для управления некоторыми функциями автомобилей (например, разблокировать двери, найти машину на парковке и тд), оказались источниками огромного количества уязвимостей, позволяющих злоумышленникам в том числе и получить контроль над автомобилем. Само исследование проводили сотрудники Лаборатории Касперского, по ссылке — информация о приложениях и проблемах с ними. Учитывая серьезность интеграции с таким устройством как автомобиль, вообще странно, конечно, наблюдать отсутствие даже самых базовых механизмов защиты пользовательских данных и коммуникаций между устройствами. Короче, берегите себя! (и покупайте старые автомобили без всей этой компьютеризации) https://securelist.com/analysis/publications/77576/mobile-apps-and-stealing-a-connected-car/

интересный рассказ о том, как злодеи генерят сертификаты для своих субдоменов для того, чтобы делать фишинговые сайты похожими на настоящие и при этом получать подтверждение о том, что сайт безопасный https://textslashplain.com/2017/01/16/certified-malice/

а тут один стартап, связанный с криптовалютой (в данном случае — Zerocoin) рассказывает о том, как опечатка в коде привела к тому, что злоумышленники смогли создать фальшивую транзакцию и украсть немношк денег https://zcoin.io/language/en/important-announcement-zerocoin-implementation-bug/ (у BusinessInsider есть еще немного информации по этому поводу http://www.businessinsider.com/typo-bitcoin-rival-zcoin-attacker-steals-400000-2017-2)

я тут уже неоднократно ныл по поводу того, что на границе США при въезде в страну всё как-то сильно непросто с гаджетами и информацией на них. То пишут о том, что пограничники могут отобрать устройство и скопировать с него все данные (а потом эти данные начнут циркулировать между разными правоохранительными органами), то пишут о том, что будут требовать при получении визы сдавать аккаунты социальных сетей. Короче, тут Politico добыло где-то предложение пограничной службы о том, чтобы китайские граждане (почему именно китайские — непонятно), с визами B1, B2 и B1/B2 сдавали свои аккаунты (только логины) при вылете в направлении США. типа тогда эта система сможет сразу определить, стоит ли пускать этого человека на борт, а то, может, его все равно в страну не пустят. звучит как какой-то бардак вообще http://www.politico.com/f/?id=0000015a-4d60-d693-abda-efe5d8430001 а вообще вся эта тема с контролем гаджетов при въезде в США настолько уже актуальна, что даже BBC опубликовала материал о том, стоит ли брать с собой смартфон при поездках в США (вопрос не в том, что вам есть или нечего скрывать, а в том, что ваши личные данные могут оказаться вообще непонятно у кого) http://www.bbc.com/news/technology-39003392

Исправляюсь со вчерашним затишьем. начнем с забавного. Boeing тут опубликовал уведомление (очевидно, как в том числе военный контрактор, компания должна раскрывать подобную информацию) — оказывается, один сотрудник отправил своей жене Excel, чтобы она что-то там помогла ему с форматированием файла. Только вот в файле в скрытых колонках оказались данные на 36 тысяч сотрудников Boeing, что, видимо, является секретной информацией. Поэтому Boeing выслал зондер-команду, которая делала зачистку компьютера жены (и сотрудника тоже), чтобы убедиться, что данные нигде не остались и не скопировались. Интересно, они потом дрелью диски просверлили? http://agportal-s3bucket.s3.amazonaws.com/Breach%20The%20Boeing%20Company%202017-02-08.pdf

а компания ESET тут опубликовала документ о последних трендах в мире ransomware для Android. Сам PDF можно почитать по ссылке ниже, но интересно, что один из популярных методов заражения телефонов ransomware — это установка приложений, которые прикидываются приложениями для Pornhub. Только вместо порно эти приложения внезапно сообщают, что телефон заражен вирусами, и нужно срочно-срочно полечиться, ну а потом уже по накатанной дорожке…. http://www.welivesecurity.com/wp-content/uploads/2017/02/ESET_Trends_2017_in_Android_Ransomware.pdf

а есть еще интересная тема с ransomware, где эти вредоносные вымогатели прикидываются приложениями от правоохранительных органов