Я достаточно много писал в канале про USB Accessories Mode в iOS, который снижает риски по копированию данных с iPhone с использованием устройств от компаний Cellebrite и Grayshift. Там, напомню, начиная с iOS 11.4, разъем Lightning блокируется на передачу данных через час после последней разблокировки смартфона, что предотвращает доступ к информации на телефоне для "коробочек" Cellebrite и GrayKey.

А вот ребята из Элкомсофт обнаружили еще одно улучшение алгоритма блокировки порта Lightning в финальной версии iOS 12:

“In addition, on iOS 12 if it’s been more than three days since a USB connection has been established, the device will disallow new USB connections immediately after it locks. This is to increase protection for users that don’t often make use of such connections. USB connections are also disabled whenever the device is in a state where it requires a passcode to re-enable biometric authentication.”

Если пользователь три дня не подключал телефон к USB (используя, например, беспроводную зарядку для аккумулятора), то подключение к USB-устройствам с передачей данных будет заблокировано сразу после того, как экран устройства будет заблокирован. Apple все окапывается по защите доступа к телефону. Интересно будет узнать, поменялось ли что-то в новых iPhone Xs и Xs Max в плане получения доступа к файловой системе, как делают это Cellebrite/Grayshift.

Эта информация будет актуальна для пользователей браузера Google Chrome. Начиная с версии 69, если вы логинитесь в какой-то сайт Google со своим аккаунтом, то этот аккаунт также будет автоматически использован для логина в сам браузер Google Chrome. До этой версии подобный вход давал пользователю опцию отказаться от логина в сам браузер, отказываясь от функциональности по синхронизации закладок, истории и прочей, которая требует аккаунта пользователя. То есть можно было не логинясь в браузер, по-прежнему использовать, например, сервис GMail.

С 69 версии это поведение изменилось, так что однажды войдя своей учетной записью в какой-то сайт Google, вы будете автоматически залогинены этой учеткой и в браузер (автокорректировка исправила "залогинены" на "запоганены", и что-то в этом есть). Это позволило некоторым пользователям в интернете тут же заявить, что таким скрытым образом Google сразу начинает получать закладки и историю пользователя, но это не так, синхронизация этих данных по-прежнему требует отдельного подтверждения со стороны пользователя. Правда, теперь, залогинившись в браузер, ваш логин будет использован не только для Gmail, но и для поиска в Google, так что что-то Google о вас все равно узнает. Объяснение, которое дает Google этому изменению, что это упрощает ситуацию с общими компьютерами, когда пользователь А мог быть залогинен в Gmail, а пользователь Б - в браузер. Звучит так себе.

Правда, это изменение вызывает другие вопросы. До этого браузер и контент в браузере были отдельными сущностями, что позволяло браузеру быть как бы нейтральным по отношению к сервисам Google. Теперь же это разделение уходит, и теперь Chrome становится неотделимой частью сервисов Google. Мириться или не мириться с этим — на ваше усмотрение.

Еще по ссылке много интересных мыслей по этому поводу:
https://blog.cryptographyengineering.com/2018/09/23/why-im-leaving-chrome/

все тлен
https://habr.com/post/423947/

Ну и какой релиз новой macOS без 0-day по обходу ограничений на доступ к пользовательским данным?

https://twitter.com/patrickwardle/status/1044221338120941568

На видео показано, как операционная система вначале отказывает в доступе к данным, но затем копирует полностью адресную книгу после запуска скрипта. Технических деталей уязвимости автор не раскрывает. Жалуется, что у Apple нет программы выплаты на обнаружение уязвимостей в macOS (для iOS такая программа есть).

‌В отсутствие свежих новостей (что по-своему - отличные новости) я добрался до просто хороших статей на тему инфосека, поэтому сегодня парочка ссылок на почитать:

1. Статья в Motherboard о компании NSO — известной израильской компании, разработчике шпионского ПО для мобильных устройств. Интересным в статье мне показался пример от анонимного источника, который побывал на продуктовой презентации компании. Там рассказывается, что присутствовавший на презентации дал представителям компании свой номер телефона, и положил телефон (iPhone, но неизвестно, какой модели и с какой версией iOS) на стол. Через 5-7 минут содержимое телефона было выведено на экран, включая сообщения и электронную почту. Какая-то fucking magic. В статье много рассказывается о самой компании - очень интересно, в общем.

https://motherboard.vice.com/en_us/article/qvakb3/inside-nso-group-spyware-demo


2. Совершенно чумовая статья о Китае и системе "Большого брата", которая должна войти в строй в 2020 году. Про Китай и так пишут, что цифровое наблюдение там построено на зависть многим другим странам, но тут просто какой-то совершенно другой уровень. Постоянное наблюдение за людьми будет привязано к некоему социальному баллу, и в зависимости от поведения эти баллы могут добавляться или отбираться. Например, покупка большого количества алкоголя снизит баллы, так как будет свидетельствовать о зависимости. Покупка детских подгузников будет говорить об ответственности, и добавлять баллы. Затем наличие определенного уровня будет позволять как получать бонусы (скидки на перелеты или более низкие ставки на кредит, например), так и попадать в черные списки, что усложнит поиск работы или передвижения по стране.

http://www.abc.net.au/news/2018-09-18/china-social-credit-a-model-citizen-in-a-digital-dictatorship/10200278

После небольшой паузы собралась небольшая коллекция интересных новостей, которые можно сообщить одной строкой (ну, почти).

1. Код сайта «Аэрофлота» и информация из служебных сервисов оказались в открытом доступе из-за ошибки авиакомпании. Сервер компании работает на программном обеспечении Docker и, оказалось, что к нему можно получить доступ без авторизации.

На английском: https://www.theregister.co.uk/2018/09/26/aeroflot_server_code_open/

Ещё пара ссылок от читателя
https://github.com/aeroflotsrc/webapp + открытый стейджинг http://afl-staging.test.aeroflot.ru/ru-ru/test0410_1

На русском: https://tjournal.ru/77247-aeroflot-po-oshibke-otkryl-dostup-k-kodu-svoih-servisov-i-sluzhebnoy-informacii

2. Сайт AnilibriaTV (специализируется на озвучке на русский язык аниме-сериалов) допустил утечку пользовательских данных, что привело к сбросу паролей всех пользователей. Из анонса не очень понятно, что произошло, но есть подозрение, что утекли адреса и пароли (причем непонятно, в каком именно виде были зашифрованы пароли). В общем, берегите там свои пароли!
https://www.anilibria.tv/novosti/vnimanie-utechka-dannykh/

3. На прошлой неделе я писал про Google, которая решила объединить логин в сервисы Google и в браузер Chrome. Похоже, шумиха Google пошла на пользу, потому что они вроде как решили отменить это изменение. Теперь в настройках Chrome будет опция по отключению синхронизации логина в сервисы и браузер (правда, она будет включена по умолчанию, так что придется еще найти и отключить её)

https://www.blog.google/products/chrome/product-updates-based-your-feedback/amp/

Еще в августе я писал про австралийского подростка, который накопал каких-то бэкдоров в системы Apple, и накачал оттуда гигабайты данных (тогда фигурировало число в 90ГБ). В процессе расследования у него в итоге обнаружилось более 1 терабайта(!) деликатной информации Apple, которую он накачал за время своих похождений. Его взломы проходили в период с июня 2015г до ноября 2016 года, а также в апреле 2017 года. Apple утверждает, что утечки пользовательских данных не было. Теперь он получил 8 месяцев испытательного срока за свои преступления.

https://www.bloomberg.com/news/articles/2018-09-27/teen-apple-hacker-sentenced-to-8-months-probation-in-australia

PS Совет: если занимаетесь взломами, не храните на столе папку "Hacky Hack Hack Methods Exclude" с описанием методов взломов (как делал это герой этой истории).

Пару дней назад я давал ссылку на общеобразовательную статью о доступности персональных данных за деньги. Вот в тему ссылка, которую прислал читатель, про менеджера "ПриватБанка" (один из крупнейших банков Украины), который продавал личные данные клиентов, используя служебное положение. Чаще бы таких ловили.

https://bykvu.com/bukvy/99979-menedzhera-privatbanka-pojmali-na-prodazhe-dannykh-klientov

Каждый раз, когда мне пишут "фейсбук точно меня слушает", я закатываю глаза и думаю "мы даже не представляем себе, сколько всего о нас знает Facebook для того, чтобы попадать в нас рекламой". На неделе вышла интересная статья в Gizmodo об исследовании про так называемые "теневые" профили пользователей. Речь идет об информации, которую пользователь как бы напрямую в Facebook не загружал, но у Facebook она есть, и может быть использована для таргетирования пользователя рекламой.

Давно известный пример, о котором я как-то уже писал. Вы, может, и не хотели бы отдавать свой номер телефона в Facebook, но кто-то из ваших друзей умудрился залить в ФБ всю свою адресную книгу, и привет — ваш номер телефона и ваше имя уже есть у ФБ, и, скорей всего, будет привязано к вашему профилю. А потом рекламодатели приходят в ФБ, загружают туда списки номеров телефонов или адресов электронной почты, и таргетируют прямо конкретных пользователей социальной сети. Но в статьей есть и хуже пример.


Необязательно вводить свой номер телефона в свою "контактную" часть профиля, чтобы он стал доступен для рекламодателей. До недавнего времени (мая этого года), чтобы настроить двухфакторую аутентификацию для входа в Facebook (понятное дело, для защиты аккаунта), нужно было ввести номер телефона, а на него потом приходили сообщения с кодом. В мае ситуация изменилась, но номера-то у Facebook остались, плюс далеко не все перешли на безтелефонную 2FA. Так вот, оказалось, что номера телефонов, которые пользователи вводили для 2FA, могут тоже быть использованы для таргетинга рекламой, хотя никакой информации об этом на странице настроек безопасности, разумеется, не было.

Но основное резюме, конечно, это то, что пользователи просто не имеют возможности контролировать то, что Facebook знает о них, когда речь заходит о теневых профилях и информации, которую пользователь самостоятельно не отдавал Facebook. В общем, спасения нет и всё тлен.

PS пока я писал эту статью, на The New York Times вышла новость о том, что Facebook стал жертвой компьютерного взлома, в результате которого до 50 млн пользовательских записей могло быть прочитано злоумышленниками (якобы некая уязвимость позволяла получить контроль над учетной записью пользователя). fuck this shit.

Немножко жопы в связи со вчерашним взломом фейсбука
https://twitter.com/WillOremus/status/1045784543607894016

История со взломом Facebook, о которой стало известно вчера, обрастает новыми деталями, от которых не становится комфортнее, а очень даже наоборот.

Сейчас речь идёт о 90 миллионах учетных записей (точно подтверждённые 50 млн и еще дополнительно 40 млн, которых это могло затронуть). Взлом заключается в том, что хакеры украли доступ к токенам доступа этих пользователей. Токен может генериться мобильным приложением, для того, чтобы когда пользователь загружает веб-страницу с каким-то модулем Facebook, пользователь оставался залогинен в свой аккаунт. В нем нет пароля, но поскольку токен позволяет пользователю оставаться залогиненным, то это означает, что хакеры могли полностью контролировать учетную запись пользователя. Потенциально, как я понимаю, это означает, что даже если у вас в учетной записи была настроена двухфакторная авторизация, то она от этого взлома не защищала.


Для взлома были использованы три уязвимости в загрузчике видео на Facebook, которые относились к функциональности «просмотреть свой аккаунт как будто ты другой человек». Эта функциональность существует для того, например, чтобы вы, создавая пост, который надо спрятать от кого-то, могли посмотреть как будто вы этот «кто-то», чтобы убедиться, что пост ему не виден. (Например, вы пишете пост о своей новой девушке, и хотите убедиться, что ваша бывшая девушка этого поста не увидит) Это не давало вам доступа к аккаунту этого «кого-то», просто позволяло просматривать ваши записи, как будто это он. Короче, комбинация этой функциональности и трёх багов в загрузчике видео приводили к тому, что загрузчик генерил токен для того пользователя, которым надо было прикинуться, таким образом давая возможность войти этим аккаунтом. УПС

Технически, говорят, у злоумышленников с токенами могла быть возможность использовать их для доступа к сторонним приложениям и сайтам, где вы использовали аккаунт Facebook для создания учетной записи. Хотя Facebook утверждает, что у них нет свидетельств того, что это произошло.

Возникает вопрос о том, что же именно хотели злоумышленники (и кто они), и на это ответов пока что нет. Теоретически, получив доступ к аккаунту, можно разослать по контактам информацию с просьбой прислать денег, или разослать вредоносные ссылки. Может быть, они хотели собрать скрытую/приватную информацию, которая есть у этих пользователей, начиная от информации в профиле и заканчивая перепиской. Геоинформация, номера телефонов, информация о всех ваших друзьях (а на уровне доступа к 50 млн аккаунтов это означает, что могли выкачать списки вообще всех миллиардов пользователей Facebook). Короче, чем больше об этом думаю, тем это все выглядит неприятней.

И традиционный вопрос - что с этим делать. Если вы не готовы полностью удалить аккаунт Facebook, то стоит сделать следующее:
1. Это не прямой, но хороший повод сменить пароль, особенно если вы его давно не меняли, он у вас не сильно сложный, или повторяется на других сайтах (кстати, на этих сайтах, если там использует со тот же логин, тоже лучше поменять)
2. используйте это как знак для того, чтобы настроить двухфакторную аутентификацию (даже если в этом случае она не могла защитить, она поможет в другом каком-нибудь случае). И желательно, чтобы 2fa была с одноразовыми кодами из приложения, а не через SMS.
3. Изучите историю доступа к вашему аккаунту в Facebook (надо зайти на страницу Security and Login и там найти раздел локаций для логина). Я там вчера вечером обнаружил какой-то странный логин из Нью-Йорка за несколько часов до аудита, хотя я живу совсем не в НЙ, и у меня включена 2ФА
4. Изучите список подключённых к вашему аккаунту приложений и сервисов. Подумайте над тем, чтобы отключить те, которыми вы уже не пользуетесь. Если там есть что-то критичное из сервисов, то подумайте над тем, чтобы изменить в этом сервисе вход с «через фейсбук» на вход со своим логином. Вся эта история с single sign on через Facebook или Google  удобная, конечно, но в случае со взломом таких сервисов может привести к нереальной катастрофе.
И, главное, никакого интернета! От него все зло!

Если вы пользуетесь Telegram на Маке или Windows, вам будет интересно узнать об обнаруженной в продукте функциональности, позволявшей выяснить IP адрес собеседника при голосовом p2p звонке. В вышедшем обновлении Telegram теперь появилась  возможность настроить и другие опции при голосовых звонках, что минимизирует риски с этой проблемой. Есть мнение, что подобная тема есть во всех p2p звонилках, но важна именно возможность выбирать другие виды звонков

О проблеме
https://www.inputzero.io/2018/09/bug-bounty-telegram-cve-2018-17780.html

Ответ Павла Дурова
https://t.me/durov/92

Сегодня в новостях фигурирует история, опубликованная в Forbes  о том, что ФБР принудило подозреваемого в получении и обладании детской порнографией разблокировать его iPhone X путём использования функции Face ID.  У агентов ФБР был соответствующий ордер суда на обыск помещения и обнаруженной электроники на предмет наличия незаконных материалов. Во время обыска агент ФБР сказал подозреваемому посмотреть в экран iPhone Х, после чего экран был разблокирован.

С точки зрения американского законодательства ситуация выглядит легитимно, так как ордер суда включал в себя информацию о смартфоне. Кроме того, как я уже как-то писал в канале, американское законодательство по-разному рассматривает информацию о биометрических данных и информации, находящейся в сознании человека. В первом случае отпечаток пальца или лицо не защищаются пятой поправкой к конституции США о возможности не свидетельствовать против себя, так как физические характеристики не являются «свидетельствованием». В отличие от пароля, который находится в сознании человека и он может не говорить его (даже если его принуждают к этому), так как это может быть расценено как свидетельствование против самого себя. Очень мутная тема, которая в очередной раз показывает, как законодательство может отставать от современных технологий.

Apple и Google со своей стороны пытаются, насколько это возможно, защитить пользователя от подобных ситуаций. iOS-устройства требуют пароль, если устройство не было разблокировано в течение последних 48 часов. Также есть опция мгновенной блокировки функции биометрии - на iPhone можно зажать кнопки для вызова экрана выключения смартфона, или вызвать режим Emergency SOS, после чего устройство потребует ввести пароль для его разблокировки. Можно, в конце концов, отключить функции биометрии полностью, хотя тогда теряется уровень удобства, который они предоставляют.

Интересно, что из статьи в Forbes следует, что агент ФБР прощёлкал и устройство в какой-то момент все-таки заблокировалось, после чего они больше не применяли разблокировку с помощью Face ID. Теперь, чтобы добыть данные из телефона, они собираются применить некое «технологическое устройство, которое может получить данные из заблокированного iPhone без знания пароля». Как известно, этим обычно занимаются компании Cellebrite и Grayshift. Для защиты от этого метода получения данных с телефонов у Apple есть другая функция - USB restrictions mode, которая отключает передачу данных по разъему Lightning через 1 час после последней разблокировки смартфона (плюс другие условия). Короче, it never ends, this shit.

какой прекрасный опрос у NSA в твиттере

‌Новость дня, безусловно, это статья на Bloomberg о микрочипе на платах для серверов компании Supermicro. Якобы во время сборки материнских плат для серверов компании Supermicro на платы устанавливался микроскопический чип, разработанный военным ведомством Китая. Эти материнские платы затем использовались в серверах, которые собирала компания Supermicro в США. А сервера, в свою очередь, использовались в дата-центрах других американских компаний, включая Amazon, Apple, Microsoft и еще несколько десятков компаний. Чип, исходя из материалов статьи, обеспечивал удаленный доступ к серверам, модифицируя код операционной системы (интересно, как это позволяло ему оставаться незамеченным?). Статья в Bloomberg изобилует массой деталей, как и информацией о многолетнем расследовании всей этой истории.

В статье говорится также о том, что якобы Apple заподозрила что-то еще в 2015 году, когда планировала большую закупку серверов для своих дата-центров (я даже припоминаю такие новости 3 года назад). Была вот еще такая история из 2017 года про проблемы в прошивках серверов. Но также нужно отметить, что и Amazon, и Apple заявили, что они не обладают информацией ни о подобных уязвимостях в серверах Supermicro, ни о расследовании этой истории, и сами неоднократно проводили аудиты серверов Supermicro, и никаких лишних чипов не обнаруживали. Правда, Apple также говорит, что однажды обнаружили зараженный драйвер в сервере, но никаких чипов не было. Вообще заявление Apple довольно жесткое и прямолинейное, утверждающее, что Bloomberg было бы неплохо усомниться в осведомленности или искренности их источников.

АПД А вот еще не менее жесткий ответ от Amazon:
There are so many inaccuracies in ‎this article as it relates to Amazon that they’re hard to count.
https://aws.amazon.com/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/

Правда, осадочек остается — дыма-то без огня не бывает, но непонятно, какой дым за какой огонь принимают журналисты Bloomberg.

Еще одна история дня касается поимки и высылки из Нидерландов двух офицеров военной разведки Российской Федерации, которые занимались там попытками взлома Организации по запрету химического оружия. Тут есть целый тред в Твиттере с пресс-конференции в Гааге, с информацией об используемым оборудовании и прочими интересными деталями.

Кроме этого, Министерство Юстиции США выдвинуло обвинение против 7 офицеров ГРУ РФ, которые разъезжали по миру (Бразилия, США, Канада, Швейцария), и пытались взламывать различные организации: анти-допинговое агентство, спортивные федерации и другие спортивные организации. Также среди жертв оказались Westinghouse Electric Corporation — находящаяся в Пенсильвании компания по ядерной энергетике, и уже указанная выше Организации по запрету химического оружия, расследовавшая применение химического оружия в Сирии и отравление бывшего офицера ГРУ в Великобритании.

Имена из обвинения:
Aleksei Sergeyevich Morenets, 41
Evgenii Mikhaylovich, Serebriakov, 37
Ivan Sergeyevich Yermakov, 32
Artem Andreyevich Malyshev, 30
Dmitriy Sergeyevich Badin, 27
Oleg Mikhaylovich Sotnikov, 46
Alexey Valerevich Minin, 46,

PS Это провал, подумал Штирлиц.

Пресс-релиз МинЮста США
Текст обвинения

Вчерашняя история с якобы китайским чипом, установленным в серверах Apple и Amazon за сутки, к сожалению, понятней не стала. С одной стороны есть издание Bloomberg, методы журналистских расследований которого известны и считаются одними из лучших в мире. Расследование этой темы заняло не один месяц, и прошло перед публикацией соответствующие проверки.

С другой стороны, есть вполне жесткие и однозначные ответы Apple и Amazon, которые во вполне конкретных формулировках опровергают утверждения из статьи Bloomberg про осведомленность компаний о расследовании и ситуации с чипами в целом. (Ниже в статье есть перевод на русский язык заявления Apple). Им вторит (втроит?) и заявление компании Supermicro, акции которой вчера провалились на 50% на новостях об устанавливаемых во время сборки на китайских фабриках секретных чипов. Надо понимать, что подобные статьи — это не просто PR-активность. Для публичных компаний подобные заявления — это официальные документы, которые проходят проверку у юристов и в случае сообщения ложных сведений руководство компании несет полную ответственность, включая уголовную, за ложные данные (подобные заявления регулируются Комиссией по ценным бумагам). Так что если ориентироваться на ситуацию "статья vs заявления", тут уже каждый должен выбрать, кому верить.

Я пока что опубликую ту информацию, которую я видел по этой теме и нашел интересной:

- Как продолжение расследования Bloomberg, есть еще одна статья о том, что Facebook в 2015 году обнаружил программные модицификации на серверах Supermicro

- Интересный тред в твиттере об аппаратных имплантах. TL;DR версия: что-то в этой истории есть, но, похоже, что там многое потерялось/поменялось при передаче информации по испорченному телефону.

- еще одна интересная статья об аппаратных имплантах

- британское разведывательное агенство говорит, что не видит оснований сомневаться в заявлениях Apple и Amazon

- Так-так-так, а что тут у нас?
(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-05-at-12.14.33-PM.png)

Определенно есть схожесть с тем, что иллюстрировала Bloomberg вчера в статье:
(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-05-at-12.15.58-PM.png)

- Хороший вопрос о том, что в первоначальной статье фигурирует информация о "примерно 30 компаниях", но почему-то никого другого, кроме Apple и Amazon, не называют. Даже если история с чипом соответствует действительности, и следователи проинформировали пострадавшие компании, то, наверно, уж Apple и Amazon точно бы в этот список попали. Однако, компании однозначно утверждают, что они не в курсе ничего подобного.

В общем, можно сказать пока что, что пока до конца не понятно, кто прав, а кто нет. Но ясно одно: это большой и жирный гвоздь в любые стремления Китая развивать свою отрасль микропроцессоров. Кто же им теперь после такого доверится?

Перевод заявления Apple:

Businessweek сообщает неверные сведения об Apple

В выпуске журнала Bloomberg Businessweek от 8 октября 2018 г. сообщается недостоверная информация о том, что в 2015 г. компания Apple обнаружила на серверах своей сети «вредоносные чипы». В течение

последних 12 месяцев компания Apple неоднократно разъясняла корреспондентам и редакторам Bloomberg, что эти утверждения неверны.

Прежде чем материал Bloomberg Businessweek был опубликован, компания Apple отправила в журнал следующее заявление.

За прошедший год компания Bloomberg многократно обращалась к нам с различного рода запросами, как общими, так и конкретными, которые касались предполагаемых проблем с безопасностью. По каждому из этих запросов мы всякий раз проводили тщательное внутреннее расследование, и ни одно из них не выявило фактов, которые могли бы подтвердить какое-либо подозрение. Мы систематически предоставляли официальные фактологические отчеты, опровергавшие практически все утверждения об Apple, опубликованные в материале Bloomberg.

Мы можем прямо утверждать: ни на одном из серверов Apple не были найдены намеренно внедрённые вредоносные чипы или другие элементы оборудования, а также источники уязвимости. Компания Apple никогда не обращалась в ФБР или другое агентство по поводу подобного инцидента. Нам и нашим представителям, взаимодействующим с правоохранительными органами, ничего неизвестно о проводимых в ФБР расследованиях по этому поводу.

В ответ на последнюю версию материала Bloomberg мы предоставили следующие факты: Siri и система Topsy никогда не работали на одних и тех же серверах; для работы Siri никогда не использовались сервера, предоставленные компанией Super Micro; хранение данных Topsy ограничивалось приблизительно моделями 2000 Super Micro, а не 7000. Ни на одном из этих серверов ни разу не были найдены вредоносные чипы.

Наша практика такова: прежде чем включать сервера в работу систем Apple, мы всегда исследуем их на предмет наличия угроз безопасности. Кроме того, для всего оборудования и программного обеспечения мы устанавливаем новейшие системы защиты. При подготовке оборудования и ПО в соответствии со стандартными процедурами мы не обнаружили уязвимостей на серверах, приобретённых у Super Micro.

Мы глубоко разочарованы тем, что, взаимодействуя с нами, корреспонденты Bloomberg не допускают возможности того, что они сами или их источники могут ошибаться или владеть неверной информацией. Вероятнее всего, они путают нынешнюю ситуацию с описанным ранее случаем 2016 года, в котором на одном из серверов Super Micro в нашей лаборатории был обнаружен драйвер, содержавший вредоносное ПО. Это единичное происшествие было признано случайностью, а не целенаправленной атакой на Apple.

Хотя утверждения об угрозе для пользовательских данных и не звучали, мы серьёзно относимся к подобным ситуациям и хотим, чтобы наши пользователи знали: мы делаем всё возможное, чтобы защитить информацию, которую они нам доверяют. Мы также хотим сообщить нашим покупателям, что сведения об Apple, предоставляемые компанией Bloomberg, являются некорректными.

Компания Apple всегда придерживалась принципа прозрачности в отношении обработки и защиты данных. Если бы произошло нечто подобное тому, что описывает Bloomberg News, мы бы охотно предоставили все имеющиеся у нас сведения и активно сотрудничали бы с правоохранительными органами. Инженеры Apple регулярно проводят тщательные проверки, чтобы убедиться в том, что наши системы надёжно защищены. Нам известно, что безопасность — это сфера, в которой нельзя останавливаться на достигнутом. Именно поэтому мы постоянно усиливаем защиту наших систем от активно развивающихся хакерских технологий и киберпреступников, стремящихся украсть наши данные.



В опубликованном материале Businessweek также утверждается, что компания Apple «сообщила о происшествии в ФБР, но утаила подробности об обнаруженной проблеме, в том числе от собственных сотрудников». В ноябре 2017 года, как только мы впервые столкнулись с этим утверждением, мы предоставили компании Bloomberg следующие сведения в составе подробного и объёмного официального отчёта. В первую очередь он давал ответ на необоснованные высказывания корреспондентов о предполагаемом внутреннем расследовании.

Несмотря на многочисленные обсуждения

в различных отделах и организациях, никто в Apple не слышал о таком расследовании. Журнал Businessweek отказался предоставить нам какую-либо информацию, которая помогла бы отыскать сведения о ходе предполагаемого расследования или его результатах. Представители издания также не смогли объяснить, какие именно стандартные процедуры якобы были нарушены.

Никто из Apple не обращался в ФБР по поводу такой ситуации, и мы никогда не получали от ФБР сведений о подобном расследовании, не говоря уже о том, чтобы помешать ему.

В своём сегодняшнем утреннем выступлении на канале Bloomberg Television корреспондент Джордан Робертсон сделал ещё ряд заявлений о якобы обнаруженных вредоносных чипах. Он сказал: «Насколько мы понимаем, компании Apple случайно удалось обнаружить проблему в ходе выборочной проверки нескольких некорректно работающих серверов».

Как мы ранее сообщили агентству Bloomberg, это совершенно неверно. Компания Apple никогда не обнаруживала вредоносные чипы на своих серверах.

И наконец, отвечая на вопросы, полученные от других новостных организаций с момента публикации материала Businessweek, мы сообщаем, что, предоставляя информацию по этой ситуации, мы не находимся под запретом на разглашение сведений и что на нас не наложены иные юридические ограничения.