а РКН, похоже, не успокоился. А сколько разговоров было про то, что «вот скоро все нормализуется».
Size: a a a
2018 May 17
Пишут, что под эту бомбардировку попали WhatsApp, AirBnB и App Store. Молодцы они там, что уж там
Ладно, а вот про Телеграм, но не о блокировках (необычно, да?) Читатель прислал ссылку на исследование о вредоносном ПО, которое нацелено на различные файлы Telegram Desktop (мобильные клиенты не затронуты). ПО не эксплуатирует никакой уязвимости в самом Телеграме. В общих чертах: вредоносное ПО собирает доступные кэши и файлы ключей в десктопной версии Телеграма (как и информацию о логине в Стим), и используя эту информацию, может получать доступ к предыдущим сессиям в Телеграме и списку контактов. ПО нацелено на русскоязычных пользователей и явно написано русско-язычными авторами. Повторюсь, к мобильным клиентам Телеграма это не относится, уязвимостью не является.
https://blog.talosintelligence.com/2018/05/telegrab.html
https://blog.talosintelligence.com/2018/05/telegrab.html
2018 May 18
Парочка приколов для читателей из Украины (приехало через твитор). Например, база предпринимателей, где по фамилии сразу находишь адрес, телефон и кучу другой информации о человеке
https://usr.minjust.gov.ua/ua/freesearch
Удобно, да, персональные данные, вот это все
АПД. Мне несколько человек написало, что, мол, такой закон принят в 2015 году, что данные всех индивидуальных предпринимателей открыты. Закон - это замечательно, конечно, но задним числом выложить все персональные данные предпринимателей, включая номера телефонов и адреса (например, я нашёл там известное мне предпринимательство, открытое в 2004 году и закрытое году в 2008) - это как-то несколько спорно, с учетом того, что в 2004 году никто не говорил, что эти данные станут публично доступными. Прозрачность, борьба с коррупцией - это хорошо, но выплескивать все ясли приватности вместе с водой как-то многовато, имхо.
https://usr.minjust.gov.ua/ua/freesearch
Удобно, да, персональные данные, вот это все
АПД. Мне несколько человек написало, что, мол, такой закон принят в 2015 году, что данные всех индивидуальных предпринимателей открыты. Закон - это замечательно, конечно, но задним числом выложить все персональные данные предпринимателей, включая номера телефонов и адреса (например, я нашёл там известное мне предпринимательство, открытое в 2004 году и закрытое году в 2008) - это как-то несколько спорно, с учетом того, что в 2004 году никто не говорил, что эти данные станут публично доступными. Прозрачность, борьба с коррупцией - это хорошо, но выплескивать все ясли приватности вместе с водой как-то многовато, имхо.
Ну и тоже вот красота
И ещё о трекинге телефонов (помните, я на прошлой неделе давал парочку ссылок на историю о том, как сервис, предназначенный для слежения за телефонами заключённых, позволял следить за местоположением любого телефона в США?)
https://t.me/alexmakus/2065
Если вкратце, то есть такая компания Securus, предоставляющая озвученные выше услуги пенитенциарным заведениям. Сама компания является клиентом компании LocationSmart, которая и обладает неким тайным знанием (а точнее - вроде как контрактами с основными мобильными операторам в США) на получение информации о местоположении пользователей мобильной связи. Причём неважно, смартфон у вас или обычный телефон. У этой конторы был сервис на сайте, который позволял, получив согласие с помощью СМС, увидеть местоположение согласившегося абонента. Однако, на сайте также обнаружили ещё и уязвимость, которая давала возможность следить за местоположением пользователей без запроса на разрешение получения такой информации (сейчас эти страницы уже убрали). Использовался метод триангуляции по базовым станциям сотовой связи, поэтому точность до квартала, а не конкретного адреса, но тем не менее.
Короче, многоуровневый clusterfuck, который начинается с того, что мобильные операторы почему-то продают информацию о местоположении абонентов в LocationSmart (https://www.zdnet.com/article/us-cell-carriers-selling-access-to-real-time-location-data/)
Затем эта контора перепродаёт эту информацию в Securus, которая вроде как должна следить только за телефонами заключённых, а эту информацию используют практически как попало (https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html)
И вдобавок ко всему на сайте LocationSmart находят уязвимость, благодаря которой вообще вся информация о местоположении абонентов становится доступной всем
https://krebsonsecurity.com/2018/05/tracking-firm-locationsmart-leaked-location-data-for-customers-of-all-major-u-s-mobile-carriers-in-real-time-via-its-web-site/
Можно сколько угодно заморачиваться над личной безопасностью со всякими 2ФА, сложными паролями, минимизацией своего цифрового отпечатка, а тут такое. Хочется всех сжечь.
https://t.me/alexmakus/2065
Если вкратце, то есть такая компания Securus, предоставляющая озвученные выше услуги пенитенциарным заведениям. Сама компания является клиентом компании LocationSmart, которая и обладает неким тайным знанием (а точнее - вроде как контрактами с основными мобильными операторам в США) на получение информации о местоположении пользователей мобильной связи. Причём неважно, смартфон у вас или обычный телефон. У этой конторы был сервис на сайте, который позволял, получив согласие с помощью СМС, увидеть местоположение согласившегося абонента. Однако, на сайте также обнаружили ещё и уязвимость, которая давала возможность следить за местоположением пользователей без запроса на разрешение получения такой информации (сейчас эти страницы уже убрали). Использовался метод триангуляции по базовым станциям сотовой связи, поэтому точность до квартала, а не конкретного адреса, но тем не менее.
Короче, многоуровневый clusterfuck, который начинается с того, что мобильные операторы почему-то продают информацию о местоположении абонентов в LocationSmart (https://www.zdnet.com/article/us-cell-carriers-selling-access-to-real-time-location-data/)
Затем эта контора перепродаёт эту информацию в Securus, которая вроде как должна следить только за телефонами заключённых, а эту информацию используют практически как попало (https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html)
И вдобавок ко всему на сайте LocationSmart находят уязвимость, благодаря которой вообще вся информация о местоположении абонентов становится доступной всем
https://krebsonsecurity.com/2018/05/tracking-firm-locationsmart-leaked-location-data-for-customers-of-all-major-u-s-mobile-carriers-in-real-time-via-its-web-site/
Можно сколько угодно заморачиваться над личной безопасностью со всякими 2ФА, сложными паролями, минимизацией своего цифрового отпечатка, а тут такое. Хочется всех сжечь.
Социальная инженерия остаётся одним из самых популярных векторов атаки. Как может выглядеть перехват двухфакторной авторизации методом запудривания мозгов
А, ну и уже несколько дней забываю написать. Давние читатели канала наверняка помнят о публикациях Wikileaks под названием Vault 7, в рамках которых ресурс выкладывал различные хакерские инструменты ЦРУ. Хакера поймали - это Joshua Adam Schulte, бывший сотрудник ЦРУ в период с 2010 по 2016 год. Оказалось, что пока он работал в ЦРУ, у него был проект на Гитхабе, где в том числе оказался и внутренний проект ЦРУ, что никто не заметил, в том числе и в самом ЦРУ (отлично у них там безопасность устроена, да). Сам проект никакой особой опасности не представлял, но тем не менее.
https://www.thedailybeast.com/exclusive-cia-leaker-josh-schulte-posted-agency-code-onlineand-cia-never-noticed
По этому поводу есть парочка комментариев.
Во-первых, помните об этом каждый раз, когда будете читать об очередных призывах государства к технологическим компаниям (будь то Apple, Telegram и др) сделать какой-нибудь бэкдор в софте или железе, сдать ключи шифрования и проч. Эти госорганизации не способны обеспечить защиту подобных вещей, что в будущем подвергнет опасности информацию более широкой публики, чем изначально предполагалось.
Второй момент больше про всякие утечки. Викиликс, публикуя информацию о Vault 7, идентифицировали источник как «бывшего хакера из ЦРУ».Это позволило ФБР и ЦРУ, расследуя утечку, заузить круг подозреваемых, и быстрее вычислить Джошуа Шульта. Вот такая медвежья услуга
https://www.thedailybeast.com/exclusive-cia-leaker-josh-schulte-posted-agency-code-onlineand-cia-never-noticed
По этому поводу есть парочка комментариев.
Во-первых, помните об этом каждый раз, когда будете читать об очередных призывах государства к технологическим компаниям (будь то Apple, Telegram и др) сделать какой-нибудь бэкдор в софте или железе, сдать ключи шифрования и проч. Эти госорганизации не способны обеспечить защиту подобных вещей, что в будущем подвергнет опасности информацию более широкой публики, чем изначально предполагалось.
Второй момент больше про всякие утечки. Викиликс, публикуя информацию о Vault 7, идентифицировали источник как «бывшего хакера из ЦРУ».Это позволило ФБР и ЦРУ, расследуя утечку, заузить круг подозреваемых, и быстрее вычислить Джошуа Шульта. Вот такая медвежья услуга
2018 May 21
И снова наступили прекрасные трудо выебудни, с чем вас и поздравляю! В качестве понедельничного бонуса вот вам история о TeenSafe, сервисе для родителей по мониторингу активности детей на смартфонах. Сама идея присматривания за подростками в целом спорная и по этому поводу есть разные мнения, но тут все сильно усугубилось кривыми руками разработчиков сервиса. Эти молодцы держали на серверах Амазона в открытом виде пользовательскую информацию, включая имейл родителей (которые, собственно, открывали учетные записи), а также имейл/Apple ID детей, имя и уникальный идентификатор устройства, а также пароли к Apple ID детей в открытом виде. Видимо, получая AppleID и пароль от аккаунта детей, сервис обеспечивал контроль за установленными приложениями и местоположением детей. Более того, для обеспечения «наблюдения» за Apple ID на аккаунте должна была быть отключена двухфакторная авторизация, что добавляет изюминки в момент с хранением паролей от Apple ID в открытом виде. Непонятно, успели ли злоумышленники воспользоваться доступом к этим данным, но это был бы неплохой улов. Такие дела.
https://www.zdnet.com/article/teen-phone-monitoring-app-leaks-thousands-of-users-data/
https://www.zdnet.com/article/teen-phone-monitoring-app-leaks-thousands-of-users-data/
2018 May 22
Помните про Spectre и Meltdown? Наверняка многие помнят, возможно, о самой главной новости инфосека этого года. Так вот, а история-то не закончилась! Microsoft и Google совместно сообщили о новой обнаруженной уязвимости под названием Speculative Store Bypass, эксплуатирующей спекуляционные исполнения в современных процессорах. Обновления в Safari, Edge, Chrome, минимизирующие риски Meltdown, вроде как работают и для SSB, но против SSB еще отдельно будет выпущено обновление микрокода процессора, которое приводит к снижению производительности процессора на 2-8%. В обновлении защита от SSB будет выключена по умолчанию, так что админам придется делать выбор между безопасностью и производительностью.
https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
Что может пойти не так, если подавать в Facebook свои обнаженные фотографии?
2018 May 23
Вчера в новостях активно обсуждали проект Amazon под названием Rekognition (да, это не опечатка - https://aws.amazon.com/rekognition/) - сервис компании по распознаванию лиц на фотографиях.
Сервис может распознавать до 100 человек на одном снимке и сравнивать лица против базы данных с миллионами лиц. Сервис уже используется некоторыми подразделениями полиции для сравнения лиц с базой данных преступников, а сейчас Амазон ведёт переговоры о создании проекта, который позволял распознавать лица на камерах по городу. https://www.aclunc.org/docs/20180522_ARD.pdf#page=8
https://www.youtube.com/watch?v=sUzuJc-xBEE&feature=youtu.be&t=31m16s
Сама история вроде как и не выходит за рамки чего-то экстранеобычного, но в Штатах есть организации, которые борются с идеями подобного постоянного наблюдения, так что скандал нешуточный. С учётом того, что Амазон при этом продаёт потребителям железки со встроенными камерами, вопросы к Амазоне возникают вполне конкретные. А там, глядишь, и до распознавания отпечатка голоса недалеко благодаря популярности голосового помощника Alexa, и уж совсем никуда не скроешься от постоянного наблюдения. В общем, страшно жить, вот это все.
Сервис может распознавать до 100 человек на одном снимке и сравнивать лица против базы данных с миллионами лиц. Сервис уже используется некоторыми подразделениями полиции для сравнения лиц с базой данных преступников, а сейчас Амазон ведёт переговоры о создании проекта, который позволял распознавать лица на камерах по городу. https://www.aclunc.org/docs/20180522_ARD.pdf#page=8
https://www.youtube.com/watch?v=sUzuJc-xBEE&feature=youtu.be&t=31m16s
Сама история вроде как и не выходит за рамки чего-то экстранеобычного, но в Штатах есть организации, которые борются с идеями подобного постоянного наблюдения, так что скандал нешуточный. С учётом того, что Амазон при этом продаёт потребителям железки со встроенными камерами, вопросы к Амазоне возникают вполне конкретные. А там, глядишь, и до распознавания отпечатка голоса недалеко благодаря популярности голосового помощника Alexa, и уж совсем никуда не скроешься от постоянного наблюдения. В общем, страшно жить, вот это все.
Минкульт поручил Ростуризму изучить целесообразность ограничения работы http://Booking.com в России
https://meduza.io/news/2018/05/22/minkult-poruchil-rosturizmu-izuchit-tselesoobraznost-ogranicheniya-raboty-booking-com-v-rossii
Потому что зачем вообще это всё
АПД
Министерство культуры РФ выступает категорически против запрета использования сервиса бронирования гостиниц Booking.com. Об этом заявила директор департамента туризма и региональной политики Ольга Ярилова.
Ведомство заверило, что работе сервиса на территории России ничего не угрожает, а также выступило против каких-либо планов регулирования его деятельности.
https://meduza.io/news/2018/05/23/minkult-vystupil-protiv-zapreta-booking-com-v-rossii
https://meduza.io/news/2018/05/22/minkult-poruchil-rosturizmu-izuchit-tselesoobraznost-ogranicheniya-raboty-booking-com-v-rossii
Потому что зачем вообще это всё
АПД
Министерство культуры РФ выступает категорически против запрета использования сервиса бронирования гостиниц Booking.com. Об этом заявила директор департамента туризма и региональной политики Ольга Ярилова.
Ведомство заверило, что работе сервиса на территории России ничего не угрожает, а также выступило против каких-либо планов регулирования его деятельности.
https://meduza.io/news/2018/05/23/minkult-vystupil-protiv-zapreta-booking-com-v-rossii
Кстати, о наблюдении и распознавании лиц на видео. Вот как в Китае следят за лицами школьников - сканируют каждые 30 секунд, распознают эмоции, а также используют лицо как идентификационный документ для библиотеки или покупки обедов.
http://www.businessinsider.com/china-school-facial-recognition-technology-2018-5
http://www.businessinsider.com/china-school-facial-recognition-technology-2018-5
Apple в рамках подготовки к GDPR в Европе запустила новый сайт по Privacy - privacy.apple.com, где можно посмотреть данные, которые есть у компании на пользователей (пока что доступно только пользователям из ЕС, международное выкатывание произойдёт позже в этом году), а также можно удалить оттуда свой аккаунт (это уже доступно всем). Налетай, аккаунт удаляй!
2018 May 24
Привет! С вами снова рубрика «что сломали в этот раз?». Я, следя за новостями из мира информационной опасносте, уже давно стал луддитом, и всякие новости из автомобильного мира, когда я читаю, как в очередной раз в машину добавили какую-то компьютерную систему, скорее расстраиваюсь, чем радуюсь. Прогресс прогрессом, но когда я вижу, как Мерседес хвастается, что «в наших машинах 100 млн строк кода», я вижу в основном потенциал для уязвимостей в этих строках, а не доказательство прогресса. Тут вот вышли также новости и про BMW, в программном обеспечении которых исследователи нашли 14 уязвимостей. С их помощью можно получить доступ как к мультимедийной системе, так и к системе управления телематикой, и к CAN-шине. Некоторые из уязвимостей требуют физического доступа (например, подключение к USB-портам или OBD-II), но 6 уязвимостей могут быть эксплуатированы удаленно через беспроводные интерфейсы (Bluetooth и мобильное подключение). (Включая отправку NGTP сообщения по SMS, которое приводит к удаленному исполнению кода без взаимодействия с пользователем). Затронуты модели серии i, X, 3, 5, 7.
отчёт об исследовании можно почитать тут (PDF)
https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf
Исследователи работают с BMW, и полный отчёт будет опубликован в 2019 году.
А в этом твите можно почитать о том, что BMW думает об этой истории
https://twitter.com/0xcharlie/status/998982979165806592
Так себе ответ, если честно.
PS был недавно какой-то дурацкий фильм с Пирсом Броснаном, где его героя и дом, в котором он жил (устройства, автомобиль и тд), решил взломать какой-то мегахацкер. И Пирс Броснан спасался в Мустанге семидесятых. Короче, не такая уж плохая идея купить машину без всяких компьютеров. И при зомби-апокалипсисе пригодится.
отчёт об исследовании можно почитать тут (PDF)
https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf
Исследователи работают с BMW, и полный отчёт будет опубликован в 2019 году.
А в этом твите можно почитать о том, что BMW думает об этой истории
https://twitter.com/0xcharlie/status/998982979165806592
Так себе ответ, если честно.
PS был недавно какой-то дурацкий фильм с Пирсом Броснаном, где его героя и дом, в котором он жил (устройства, автомобиль и тд), решил взломать какой-то мегахацкер. И Пирс Броснан спасался в Мустанге семидесятых. Короче, не такая уж плохая идея купить машину без всяких компьютеров. И при зомби-апокалипсисе пригодится.
Пользуетесь Quora? У них, оказывается, есть трекинг пользователей через «пиксель» - система, похожая на то, что использует Facebook для слежки за пользователями, когда они ходят по другим сайтам.
https://www.quora.com/about/pixel_privacy
Персонализация контента, вот это все. Но если вам не нравится, то можно отключить тут
https://www.quora.com/optout
АПД Учтите, что отключать это надо на каждом устройстве в каждом браузере отдельно. И в каждом контейнере Firefox.
https://www.quora.com/about/pixel_privacy
Персонализация контента, вот это все. Но если вам не нравится, то можно отключить тут
https://www.quora.com/optout
АПД Учтите, что отключать это надо на каждом устройстве в каждом браузере отдельно. И в каждом контейнере Firefox.