NSFW

Почему кибербезопасность - полезная штука

https://reddit.com/r/WTF/comments/lgri4h/this_official_city_of_zurich_switzerland_tourist/

Там у Microsoft во вторник вышел февральский патч безопасности, и он исправляет несколько критичных уязвимостей, некоторые из которых имеют активные эксплуатации, так что учтите это

https://threatpost.com/exploited-windows-kernel-bug-takeover/163800/

А вот тоже весело. Примерно месяц Slack сохранял пароли на Андроиде открытым текстом, так что теперь его лучше поменять

«Точная причина массовой волны уведомлений неизвестна — почему это происходит, можно только догадываться.»

«Никто не знает, как предотвратить получение уведомлений о подозрительном входе в будущем — смена пароля и двухфакторная аутентификация не дают гарантий.»

WTF

https://tjournal.ru/internet/338094-my-obnaruzhili-neobychnuyu-popytku-vhoda-polzovateli-instagrama-massovo-zhaluyutsya-na-podozritelnye-uvedomleniya-glavnoe

Служба безопасности Яндекса раскрыла внутреннюю утечки информации – скомпрометированы 4887 почтовых ящиков. владельцы получили уведомление о необходимости смены пароля

https://yandex.ru/company/press_releases/2021/2021-02-12

Хех, продавцы утечки CDProjectRed на русском пишут лучше, чем на английском

https://twitter.com/Intel_by_KELA/status/1359856145205239812

Модный на сегодня проект социальной сети с голосовым чатом Clubhouse, как оказалось, при разработке своего приложения слегка расслабил булки с точки зрения защиты конфиденциальности пользовательских данных. Clubhouse применил в своём проекте разработки китайской компании Agora Lab, а она в свою очередь занимается  разработкой RTC-решений для передачи данных во время голосовых и видео звонков, а также во время стриминга. Короче, при подключении  в комнату для разговоров Clubhouse, который существует пока что только для iOS, передает в открытом виде уникальные ID пользователя и ID комнаты. Таким образом можно собрать информацию и сделать выводы о том, в какие комнаты ходит конкретный пользователь. Более того, есть вероятность, что Angora имеет доступ к самому аудио, что, по сути, делает это аудио доступным и китайскому правительству. Clubhouse сказали, что они больше так не будут и все исправят.

https://cyber.fsi.stanford.edu/io/news/clubhouse-china

Ну и кстати раз уж мы про Clubhouse, не могу не отметить то, что бесит меня невероятно в этом (и многих других) приложении — доступ к адресной книге. Нет, я не хочу раскрывать все свои контакты с кучей конфиденциальной информации неизвестно кому и неизвестно как хранящим эту информацию. И тем не менее, приложение настаивает на том, чтобы получить доступ к адресной книге, чтобы можно было раздать инвайты в сервис. Жаль, что многие пользователи, не задумываясь, нажимают «разрешить».

https://onezero.medium.com/clubhouse-is-suggesting-users-invite-their-drug-dealers-and-therapists-a8161b3062fc

Тысячи их, тысячи

https://www.theregister.com/2021/02/15/solarwinds_microsoft_fireeye_analysis/

Читатель прислал о местных утечках:

В Литве утекла база сервиса каршеринга: https://raidforums.com/Thread-CityBee-LT-Database-Leaked-Download (вот тут продавали за 1000$)

https://www.delfi.lt/verslas/transportas/teisingumo-ministre-apie-citybee-skandala-rizika-del-duomenu-panaudojimo-yra-bet-ji-zema.d?id=86495451
тут по-литовски - тут министр юстиции втирает, што ничего страшного. банковские карты и права рекомендует не менять. хз, насколько в современном мире это ценный совет.
https://www.delfi.lt/ru/news/economy/glava-kompanii-citybee-prizyvaet-klientov-menyat-paroli.d?id=86494971
тут по-русски

данные не самые свежие, но потекло: имена, фамилии, персональные коды (National Identity Card Number), номера телефонов, эл. почта, адреса, номера водительских удостоверений

кстати, вот пару дней назад пропустил еще тему. Эпол, похоже, решила поругаться со всеми соседями по долине. В браузерах Safari есть тема, что там показываются предупреждения о потенциально вредоносных сайтах (фишинг там, вот это все), а эта система использует данные Google Safe Browsing. Формально там Safari отправляет Google не весь УРЛ, а только хешированную часть, и технически Google не получает от браузера информации о том, какой именно УРЛ запрашивает пользователь. Тем не менее, Google могла получать IP-адрес пользователя, и вот в новой версии iOS Apple выкатила изменение, в котором Google Safe Browsing работает через прокси-сервер Apple, и таким образом Google вообще никакой информации о пользователе не получает.


https://the8-bit.com/apple-proxies-google-safe-browsing-privacy/

https://www.reddit.com/r/iOSBeta/comments/lg10f3/ios_145_beta_1_apple_proxies_google_safebrowsing/

как мне напоминают читатели, надо обратить внимание на то, что менеджер паролей LastPass вводит новую политику монетизации, по которой бесплатная версия может работать только на одном типа устройства пользователя — компьютере или смартфоне. Что в современном мире несколько неудобно и, соответственно, потребует либо заплатить денег, либо искать другой менеджер паролей. удачи!

https://blog.lastpass.com/2021/02/changes-to-lastpass-free/

красиво (как полиция Нидерландов и Украины получила контроль над инфраструктурой ботнета Emotet)
https://www.youtube.com/watch?v=vXEUUZ1tWjs

Тут вот уже пишут, что современные вирусописатели вирусов для Мак осознали, что надо идти в ногу со временем, и начали компилировать свои вирусы под новую Arm-архитектуру процессоров М1. Само приложение - рекламное, показывает в браузере всякую рекламу и купоны, но сам факт, что оно уже нативно на М1 Маке, забавен

https://objective-see.com/blog/blog_0x62.html

=== Реклама ===
DevSecOps Wine

В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.

В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.

В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.

В 2021 уязвимость Dependency Confusion позволила внедрить вредоносный пакет в цепочки поставок Microsoft, Apple и сотни других компаний.  

Все это является следствием упущений в обеспечении DevSecOps.

DevSecOps Wine  - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.

=== Реклама ===

Действительно смешно https://twitter.com/0xw2w/status/1362078365835014146?s=21

Если вы в прошлом году бывали на Ямайке, то у меня для вас плохие новости. База данных сайта, который подрядчик разрабатывал для правительства Ямайки, и на котором хранились записи о посетителях острова, оказалась незащищенной паролем и доступной в интернете, и все эти данные, скорей всего, утекли. Там еще и данные с тестами на Ковид19 тех, кто на остров прилетал, были, и все это, что нажито непосильным трудом, все было в интернете. Правительство пока организовало расследование, чтобы выяснить, был ли доступ к данным, собственно. Никогда такого не было, и вот опять

https://techcrunch.com/2021/02/17/jamaica-immigration-travelers-data-exposed/

Там вчера Apple опубликовала обновленную версию своего документа Platform Security Guide, в котором есть очень много разных и интересных деталей про то, как работает в устройствах и сервисах компании обеспечение безопасности и самих устройств, и информации пользователей.

https://support.apple.com/guide/security/welcome/web

Вот ПДФ https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf

Из того, что обновилось, рассказы про изменения в новых версиях операционных систем для смартфонов, планшетов (iOS/iPadOS 14) и Маков (macOS Big Sur). Изменения в Маках с процессорами Arm (отказ от kernel extensions в будущем, изменения в процессе загрузки, бинарная трансляция приложений в Rosetta, и тд.
Про фичу мониторинга паролей, где система проверяет хеши паролей на предмет их утечки (https://support.apple.com/guide/security/password-monitoring-sec78e79fc3b/web), или же про изменения процесса загрузки айфонов (https://support.apple.com/guide/security/memory-safe-iboot-implementation-sec30d8d9ec1/web). Я неоднократно говорил, что это один из самых интересных документов, который публикует Apple, и он даёт возможность посмотреть на то, как компания обеспечивает многослойный уровень защиты, от комплилятора до операционных систем, и до железа.