Project Zero, как всегда, прекрасен с рассказом про 7 уязвимостей нулевого дня, обнаруженные в октябре 2020 года, для Windows, iOS и Android. Речь идёт о неких сайтах, которые хостили эксплойты, и при заходе на них могли получать данные с устройств. Схемка там с разными серверами для разных устройств красивая.

https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html

Постоянные читатели канала помнят стартап Clearview AI, компанию, которая собрала несколько миллиардов фотографий людей из разных социальных сетей и прочих сайтов, куда мы все так любим постить фотографии о себе, а потом открыла сервис для частных и государственных организаций по поиску людей. Спорность и легитимность сервиса обсуждают до сих пор многие, но правоохранительным органам в США, похоже, все равно на эти обсуждения, поэтому и полиция, и ФБР часто обращаются за услугами к этой компании.


Я оставлю вам на выходные длинный, но очень интересный профайл об этой компании в NYT (да, на английском, но автоматические переводчики нынче очень неплохо подобный контент переводят). В статье есть много всего про историю основания компании, людей, к этому причастных, про судебные разбирательства и легитимность использования систем распознавания лиц в принципе. Отличный материал, я с удовольствием почитал и вам рекомендую. Возможно, там окажется пейволл, но разве это может остановить того, кому на самом деле это интересно?

https://www.nytimes.com/interactive/2021/03/18/magazine/facial-recognition-clearview-ai.html

Про Cellebrite, которая, как и Grayshift, продает оборудование для взлома смартфонов, интересная новость. Эта компания часто тут фигурирует в канале, и обычно клянется, что тщательно пытается фильтровать покупателей своих устройств, но на самом деле обычно продает их тем, кто дает им деньги.

>> В материалах дела, расследование по которому уже завершено, есть документы о попытке следствия получить доступ к содержимому запароленных айфона и телефона Xiaomi, изъятых при обыске у Соболь. Попытка оказалась неудачной — разработка Cellebrite не смогла вскрыть телефоны.

Интересно, что эксперты подтверждают, что Xiaomi действительно трудно ломать, почти также трудно, как iPhone. Все зависит от прямоты рук разработчиков, похоже.

https://zona.media/news/2021/03/19/cellebrite

Так, я прерву ваше затишье пятничного вечера, для того, чтобы озвучить свое недоумение фактом того, что разводы с сайтом twibe.co возможны еще в наше-то время. поскольку в связи с моей локацией вопросы замедления и доступа твиттера для меня неактуальны, я както совершенно пропустил мимо эту драму, которая привела к тому, что люди добровольно заливали свои паспортные данные неизвестно куда, неизвестно кому. Как указал читатель, там весело:

«...на волне грядущего запрета твиттера буквально третьего дня всплыл на коленке сделанный twibe.co, который, внимание, просил видео с паспортом.

С контактным адресом на mail.ru, а в политике обработки перс. данных - Beon.

Сегодня сервиса в сети нет, но зато есть твиты подобного вида:
https://twitter.com/git_huh/status/1372689414858674181

Вот и говори потом о сетевой гигиене, безопасности персональных данных…»

Действительно, почитаешь такие истории и руки опускаются. ты тут пишешь, пишешь про то, как информация ОПАСНОСТЕ, а все без толку.

И вот еще туда же
https://t.me/vamolaru/166

ну как так, как же так…

Упустил на прошлой неделе парочку новостей. Например, вот про вредоносное ПО XcodeSpy, которое нацелено против разработчиков на macOS. Злоумышленники используют функцию Run Script в IDE Xcode для заражения разработчиков через общие проекты. Вирус устанавливается на macOS вместе с механизмом работы после перезагрузки компьютера, и умеет захватывать микрофон, камеру и клавиатуру.

https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/

Подробный отчёт об исследовании, которое привело к написанию 1-кликового RCE в ТикТоке

https://medium.com/@dPhoeniixx/tiktok-for-android-1-click-rce-240266e78105

На прошлой неделе компания F5, разработчик серверов для управления входящим и исходящим трафиком в крупных сетях, сообщила о серьезной уязвимости и выпустила апдейт, её исправляющий

https://support.f5.com/csp/article/K02566623

Однако, этого недостаточно, и вот уже аналитики пишут о том, что в сети началась активная эксплуатация этой уязвимости - которая позволяет без аутентификации исполнять команды на уязвимых устройствах

https://twitter.com/buffaloverflow/status/1372861157317435394?s=21

Мало было Exchange, теперь ещё это

https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/

=== Реклама ===

24 марта в 16:00 эксперты «Инфосистемы Джет» в прямом эфире разберут особенности решения Microsoft Defender for Endpoint для продвинутой защиты конечных станций и покажут его работу в боевых условиях.

В программе:
🔹 Особенности и нюансы Microsoft Defender for Endpoint
🔹 Конкурентные преимущества решения
🔹 Кейсы и сценарии использования
🔹 Демонстрация решения в боевых условиях

Вебинар будет интересен тем, кто рассматривает и выбирает решение для продвинутой защиты конечной станции от современных угроз.

Регистрация

Тем временем сообщают, что взлому подверглась корпоративная сеть компании Acer. Взломщики вымогают, по разным данным, от 50 до 100 млн долларов выкупа за расшифровку данных, которые зашифрованы REvil. (50 млн - это если заплатят быстро). Есть версия, что для получения доступа к сети был использован уязвимый сервер Microsoft Exchange Acer, который был замечен как цель.

https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/

https://www.forbes.com/sites/leemathews/2021/03/21/acer-faced-with-ransom-up-to-100-million-after-hackers-breach-network/

Прелестная история из серии «преступление и наказание», а также о том, что недовольные сотрудники или подрядчики - это тоже угроза. Инженер из компании-интегратора помогал клиенту переезжать на Office 365, в процессе что-то пошло не так, клиент остался недоволен, пожаловались на инженера, того уволили. Он улетел домой в Индию, а потом удаленно зашёл в сеть своего бывшего работодателя и удалил 80% учетных записей Microsoft Office 365. Компании 2 месяца боролась с последствиями, не забыв пожаловаться в правоохранительные органы. Злоумышленник почему-то решил, что ему ничего за это не будет, и полгода спустя опять полетел в Штаты, где его и приняли ФБР. Теперь инженер проведёт 2 года в тюрьме, потом ещё 3 года под наблюдением, а также должен будет выплатить штраф более 500 тыс долларов

https://www.zdnet.com/article/it-admin-with-axe-to-grind-lands-two-years-behind-bars-for-wiping-microsoft-user-accounts/

Один из самых популярных сайтов по продаже оружия в США взломали в январе, а теперь весь архив сайта, включая базу данных пользователей и исходники самого сайта, выставлен на продажу. Среди информации о пользователях - физический адрес и данные о покупках, в том числе и данные о финансовых транзакциях.

https://www.hackread.com/hacker-dumps-guns-com-database-customers-admin-data/

Полезная визуализация разных степеней защиты — паролей и комбинаций пароль+2ФА

https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/

Около 10 дней назад я публиковал тут материал про уязвимость в системе пересылки CMC-сообщений, которая позволяла желающим за небольшие деньги начать перехватывать сообщения других номеров

https://t.me/alexmakus/3960

Motherboard, который тогда сообщил об этой проблеме, теперь сообщает, что все крупные американские сотовые операторы изменили процесс перессылки CMC-сообщений, что должно предотвратить возможность их перехвата. В кои-то веки хорошие новости, наверно.
https://www.vice.com/en/article/5dp7ad/tmobile-verizon-att-sms-hijack-change

Как-то пропустил, что в марте взломали Carding Mafia — форум для воровства и обмена информацией об украденных банковских карт. почти 300 тысяч данных, включая имейлы и IP-адреса участников форума. Вроде как данные форума уже появились на площадках для продажи, и, подозреваю, кто-то из участников форума может понервничать

https://haveibeenpwned.com/PwnedWebsites#CardingMafia

Ну и в рамках пятницы - внезапное возрождение истории про мужской «пояс» целомудрия: устройство, которое надевается на соответствующий орган, и управляется удаленно через интернет. Там была длинная история (можно поискать по ключевому слову «целомудрие» в канале) про то, как в таком устройстве была обнаружена уязвимость, и про то, как якобы кто-то такой уязвимостью воспользовался.

Была даже статья на Motherboard с разговором с жертвой, у которой требовали выкуп за разблокировку устройства
https://t.me/alexmakus/3860

Теперь же некий австралийский стендап-комик утверждает, что это он разыграл Motherboard рассказом про эту блокировку, и об этом он рассказывает на видео
https://www.youtube.com/watch?v=vEM6SHbjY7Y

В обновлении к статье Motherboard пишет, что они проводили расследование, и общались с двумя разными жертвами, а Sam Summers — то есть Lewis Spears — был третьим. Но поскольку он сфабриковал дооказательства, то теперь, мол, все, статья более не актуальна
https://www.vice.com/en/article/4ad5xp/we-spoke-to-a-guy-who-got-his-dick-locked-in-a-cage-by-a-hacker

Вот тут я писал про 7 уязвимостей для разных операционных систем, которые обнаружили разработчики из инициативы Project Zero

https://t.me/alexmakus/3970

Там все интересней и интересней, потому что а) самих уязвимостей нулевого дня было 11 штук, и б) пост PZ как-то интересно умалчивал про то, чьи же сайты с этими уязвимостями были, и кто во всем этом виноват.

Оказалось, что владельцами сайтов были правительства некоторых западных стран, а сами сайты были организованы в рамках антитеррористической операции. В итоге опеацию пришлось прекратить. Что по своему представляет очень интересную моральную дилемму. Интересный материал у MIT Trechnology Review об этом:

https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/

iOS and iPadOS 14.4.2 address a vulnerability that Apple says may have been actively exploited

CVE-2021-1879: Clement Lecigne of Google Threat Analysis Group and Billy Leonard of Google Threat Analysis Group

Impact: Processing maliciously crafted web content may lead to universal cross site scripting. Apple is aware of a report that this issue may have been actively exploited.

никогда такого не было, и вот опять!

Как сообщают читатели, в репозитории php появились бэкдоры - после коммитов от имени разработчиков. Детали пока не до конца понятны, но разработчики подозревают возможную компрометацию git.php.net.

https://news-web.php.net/php.internals/113838

Вдогонку к новости про PHP — комментарий CEO Zerodium по поводу того, что якобы их компания может быть причастна к взлому

Cheers to the troll who put "Zerodium" in today's PHP git compromised commits. Obviously, we have nothing to do with this.

Likely, the researcher(s) who found this bug/exploit tried to sell it to many entities but none wanted to buy this crap, so they burned it for fun 😃

https://twitter.com/cBekrar/status/1376469666084757506

Хоть и не пятница, но лол же: полиция поймала скрывающегося участника мафиозной организации, потому что он запостил видео с готовкой еды на Ютюбе. Лицо он тщательно скрыл, но идентифицировали его по татуировкам. Чувак 7 лет скрывался, а теперь вот придётся вернуться на родину

https://www.bbc.com/news/world-europe-56563182