Страница телеграм канала Информация опасносте

alexmakus logo

Информация опасносте

12879 подписчиков

Чаще про infosex (зачеркнуто) про infosec @alexmaknet mail: alexmak@alexmak.net


Входит в категории: Технологии
Информация опасносте
13.12.2018 23:12
1. Статья о том, как исследователи напечатали на 3D-принтере голову человека (одного из исследователей) и проверяли системы биометрической аутентификации на смартфонах. Смартфоны с Android (LG G7 Linq, Samsung S9, Samsung Note 8 и OnePlus 6) радостно разблокировались, а вот смартфоны Apple и устройства Microsoft с Windows Hello устояли против такой атаки. 2. Полезная ссылка от читателя о том, как хеширование паролей https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d 3. Как полиция ловит воришек, ворующих посылки Amazon (с помощью фальшивых коробок, камер и GPS-трекеров) https://www.apnews.com/c654020c42b94055a19801b849d337a2 4. Сразу несколько ссылок для читателей из Украины (ссылки тоже прислали читатели). Там бушует эпидемия рассылки вирусов по почте, прикидываясь письмами из госучреждений. Открывайте почту в перчатках! - https://mc.today/ne-otkryvajte-pismo-iz-suda-eto-hakery-rassylayut-virusy-kak-ne-stat-zhertvoj-takih-atak/ - https://www.npu.gov.ua/ua/news/kiberzlochini/kiberpolicziya-fiksuje-vipadki-rozpovsyudzhennya-virusu-zamaskovanogo-pid-povidomlennya-vid-derzhustanov/ - https://cert.gov.ua/news/49
Читать

Информация опасносте
12.12.2018 21:12
А помните историю про "взлом канатной дороги"? Там еще был такой пассаж: Как правильно указал один из читателей, "судя по всему страшные хакеры, напавшие на системы свежеоткрытой канатной дороги в Москве, оказались обычным вирусом-шифровальщиком". В связи с этим особенно интересно смотрятся утверждения о том, что "личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена". Мне интересно, как этого злоумышленника зовут на самом деле: Петя? НотПетя? ВоннаКрай? А вот и ответ! «В период отладки и работы было организовано удаленное управление, чтобы она из штаб-квартиры могла производить отладочные работы. К сожалению, никаких мер по обеспечению безопасности этого удаленного управления предпринято не было. В результате чего появилось то, что должно было появиться. Это был вирус-шифровальщик» Но главное, что “личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена”, ведь так?
Читать

Информация опасносте
12.12.2018 21:12
1. Тот взлом SPG/Marriott, при котором за 4 года утекло данных на 500 млн человек? NYT пишет, что это дело китайских хакеров, работавших на министерство государственной безопасности https://www.nytimes.com/2018/12/11/us/politics/trump-china-trade.html 2. Больше года назад я писал о взломе Equifax — кредитного бюро в США, при взломе которого утекло данных на почти 150 млн американцев, причем там все — от имени до номера социального страхования, и последствия для многих — на всю жизнь. Так вот, Конгресс США опубликовал доклад об этом взломе, из которого следует, что этот взлом вполне можно было предотвратить. Я просто оставлю цитату из отчета тут: Equifax did not see the data exfiltration because the device used to monitor ACIS network traffic had been inactive for 19 months due to an expired security certificate. On July 29, 2017, Equifax d the expired certificate and immediately noticed suspicious web traffic. Рука, встречай лицо. 3. История с австралийским законом о шифровании точно пока не закончилась. Вот большое открытое письмо, подписанное огромным количеством экспертов по безопасности. Вот хорошая статья с FAQ об этом законе: https://www.zdnet.com/article/whats-actually-in-australias-encryption-laws-everything-you-need-to-know/. А вот, например, что пишут об этом разработчики менеджера пароля 1Password, часть из которых работает в Австралии — они реально опасаются, что правительство Австралии может склонить кого-то из сотрудников к тому, чтобы вставить бэкдор в продукт.
Читать

Информация опасносте
11.12.2018 21:12
Еще несколько ссылок по теме: 1. Большой материал о работе системы видеонаблюдения (включая распознавания лиц) в Москве: http://codaru.com/war-on-reason/chto-vnutri-bolshogo-brata/ 2. Цепочка багов в инфраструктуре Microsoft позволяла получить доступ к учетным записям пользователей в системе Microsoft и получить контроль над ними (всеми 400 млн) https://www.safetydetective.com/blog/microsoft-outlook/ 3. Американские технологические компании, включая Apple, Microsoft, Facebook, Google, высказались с критикой против законопроекта, принятого в Австралии касательно шифрования данных и доступа правоохранительных органов к ним https://techcrunch.com/2018/12/10/silicon-valley-denounce-australia-encryption-law/ 4. Коллекция крупнейших взломов и утечек пользовательских данных в 2018 году https://www.businessinsider.com/data-hacks-breaches-biggest-of-2018-2018-12#3-exactis-340-million-19 5. Новый троян для Android, маскирующийся под "оптимизатор батарейки" и ворующий данные с аккаунтов PayPal https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
Читать

Информация опасносте
11.12.2018 21:12
Помните историю года про чипы в серверах Supermicro, собранных для Apple и Amazon, опубликованную в издании Bloomberg? (что я спрашиваю, конечно, помните). У той новости было много дополнений, в основном в виде опровержений от Apple, от Amazon, от разведывательных ведомств разных стран, и даже от Supermicro. Издание Bloomberg продолжает хранить гордое молчание, не предоставив никаких дополнительных доказательств к этому материалу, ни отозвав материал, как призывали представители Apple и Amazon. Подозреваю, что Bloomberg пытается собрать дополнительные материалы, чтобы доказать, что они все-таки опубликовали не полный bullshit, но пока что эта статья является темным пятном на репутации вполне уважаемого издания. Но вспомнил я об этой истории сегодня, потому что именно сегодня компания Supermicro разослала своим клиентам письмо о том, что компания закончила расследование по материалам, озвученным в статье Bloomberg. Компания пишет, что во время расследования она не обнаружила никаких доказательств вредоносного аппаратного внедрения ни в текущих, ни в старых моделях материнских плат в серверах компании. Расследование было проведено компанией Nardello & Co, которая тестировала в том числе и материнские платы, проданные в Apple и Amazon. Supermicro все еще рассматривает различные юридические опции касательно этого материала. Хотя, конечно, негативный эффект распространяется и на Amazon/Apple, но, скорей всего, эти компании не будут подавать на Bloomberg в суд — это плохо с точки зрения PR, когда огромные корпорации судятся с журналистами.
Читать

Информация опасносте
11.12.2018 06:12
ложений. Но, как известно, бесплатного ничего не бывает — даже простые бесплатные приложения требуют усилий на разработку, и финансирование этих приложений должно откуда-то появиться. Если пользователи не платят денег за приложения, значит, они платят чем-то другим. (К сожалению, правда, даже платные приложения не гарантируют чистоты обращения с данными пользователей). Так что, возможно, подобный материал — это знак, что нужно провести геноцид приложений на устройстве, удалить всякий бесплатный одноразовый треш с непонятными политиками. Может быть, даже купить что-то взамен бесплатных "шпионов" на ваших телефонах.
Читать

Информация опасносте
11.12.2018 06:12
В западных интернетах бурлит вчерашняя статья в The New York Times о сборе информации о местоположении пользователей приложениями, установленными на смартфонах пользователей. Статья рассказывает о том, что есть целая группа компаний (около 75), которые скупают анонимную информацию о местоположении пользователей, собранную из различных мобильных приложений. Некоторые из этих компаний утверждают, что они собирают данные с почти 200 миллионов мобильных устройств в США. Данные, по информации в NYT, анонимизированы, и собираются якобы с целью предоставления пользователям актуальных местных новостей, данных о погоде и тд. Данные затем продаются, используются и анализируются рекламодателями, розничными сетями и даже финансовыми компаниями. Её точность, а также частота отправки (в некоторых случаях — каждые несколько секунд) позволяет получить весьма интересные результаты с детальным пересечением некоторых пользователей. Например, кто-то в финансовой аналитической компании может проанализировать данные о количестве сотрудников на заводе или о количестве посетителей в магазине, чтобы представить себе, как идут дела у какой-нибудь компании. Подобные данные покупаются за 0,5-2 цента в месяц за пользователя, говорится в статье NYT. В статье также говорится о том, что теоретически сотрудники компаний, которые собирают такие данные, могут при желании деанонимизировать полученные данные без согласия пользователей. Например, достаточно вычислить точку, где человек проводит ночи, чтобы узнать домашний адрес, после чего можно использовать публичную информацию, чтобы выяснить, кто там живет. Или же, наоборот, зная домашний адрес человека, можно следить за перемещением конкретного человека. Ничего в этом мегарадикально нового нет. Основная претензия, озвученная в статье, заключается в том, что приложения, собирающие и отправляющие эту информацию о местоположении пользователей, зачастую не раскрывают действительную причину для сбора информации о местоположении. Кроме этого, компании могут не раскрывать, что происходит с собранными данными (или скрывать это за юридическими формулировками в лицензионном соглашении) — что они могут быть переданы третьим лицам или проданы. В США сбор подобной информации не регулируется федеральным законодательством. Подобных приложений, говорится в статье NYT, насчитали почти 1,5 тысячи, согласно данным компании MightySignal, собирающей мобильную аналитику: около 1200 для Android, и около 200 на iOS. (Надеюсь, что когда-нибудь NYT напишет подобную статью и о компаниях, собирающих мобильную аналитику). И Apple, и Google заинтересованы в том, чтобы разработчики для их платформы были довольны, хотя Apple вроде как чуть более внимательно изучает использование данных о местоположении, которые запрашивает приложение, чем Google. В какой-то из последних версий Android Google также изменила поведение, когда приложения, находящиеся в фоне, могут получать данные о местоположении только несколько раз в час. Можно ли как-то бороться с этим? Кроме самой статьи, NYT также опубликовали статью о том, как ограничить доступ к информации о местоположении приложениям на iOS и Android. У Android в настройках можно указать, что приложение не должно иметь доступа к данным о местоположении. У iOS это сделано немного проще, более того, настройки прав доступа чуть более гибкие, позволяющие указать доступ к информации либо "всегда", либо "никогда", либо "только когда приложение используется". Я рекомендую пройтись по списку приложений в настройках ваших смартфонов, и отключить доступ к данным тем приложениям, которые, по вашему мнению, не должны обладать таким доступом. И, самое главное, никаких смартфонов и никакого интернета! Более глобальный вопрос, конечно, что именно порождает такие бизнес-модели, когда пользователи и их информация становятся продуктом. И Apple, и Google своими магазинами приложений стимулируют экономику бесплатных при
Читать

Информация опасносте
10.12.2018 20:12
Помните, в октябре была история про то, что в Google+ обнаружилась уязвимость, которая позволяла видеть данные пользователей? Тогда Google сказала, что "в течение двух недель были доступны данные на 500 тысяч пользователей", при том, что уязвимость существовала три года. После этого Google даже пообещала и закрыть Google+ в 2019 году. Так вот, сегодня Google призналась, что еще одна уязвимость в API Google+ привела к тому, что данные на 52,5 млн пользователей были доступны из приложений, которые использовали Google+ API. Сам баг существовал только 6 дней в ноябре этого года, и позволял приложениям получать информацию о профиле пользователя, включая имя, адрес электронной почты, пол, дату рождения, возраст и тд, даже если эти данные были непубличными. Более того, уязвимость позволяла через профиль пользователя получать данные и на других пользователей. Google говорит, что нет свидетельств того, что эта уязвимость была эксплуатирована каким-либо приложением, но на всякий случай Google приняла решение ускорить процесс сворачивания Google+: доступ к API закроется через 90 дней, а сама социальная сеть вместо августа 2019 года закроется в апреле 2019 года. Спешите что-нибудь туда запостить, пока не закрыли! https://www.blog.google/technology/safety-security/expediting-changes-google-plus/
Читать

Информация опасносте
07.12.2018 21:12
Отдельным бонусом история про чувака, который в Великобритании убил свою жену, для того, чтобы воссоединиться со своим бойфрендом в Австралии. И завести детей с помощью замороженных эмбрионов (а также собрать выплату в 2 млн фунтов по страховке жизни жены) . При этом он инсценировал ограбление, чтобы отвести от себя подозрение. "ЧТО ЭТО ЗА ХРЕНЬ И ЗАЧЕМ ЭТО ЗДЕСЬ?", спросите вы? Дело в том, что полиция смогла подтвердить обвинение в убийстве, получив данные об активности (в частности, шагов) с телефона подозреваемого и телефона его жены. В статье говорится, что на телефоне подозреваемого сразу через минуту после смерти жены было зафиксировано большое количество шагов, включая бег по лестнице вверх и вниз, когда он метался по дому, инсценируя ограбление. В то же время телефон жены оставался без движения, а потом записал 14 шагов, когда подозреваемый взял телефон с трупа жены, и вынес его на улицу рядом с домом, чтобы это выглядело, как будто телефон выпал у грабителя, покинувшего дом. С одной стороны, технологии, конечно, это хорошо, когда помогают в таких случаях. А с другой — слежка, никакой конфиденциальности, вот это все. Черт его знает, как с этим мириться. 
Читать

Информация опасносте
07.12.2018 21:12
Пятничный дайджест (я бы и хотел сказать "еженедельный", но тут уж как получится). Ссылок много, но они все очень интересные.  Ко вчерашней новости про изменение в законодательстве Австралии касательно шифрования и доступа к данным. Как указывает Arstechnica, "The statute says that companies cannot be compelled to introduce a "systemic weakness" or a "systemic vulnerability" into their software or hardware to satisfy government demands". То есть формально вроде как правительство не может требовать от технологических компаний создания бэкдоров в продуктах. Однако, пока что четкого определения этих "systemic weakness" и "systemic vulnerability" в законопроекте нет, поэтому нужно будет следить, что же именно они там напишут. Как поддержка Bethesda слила данные пользователей. Очередная утечка данных из базы MongoDB, хранившей в себе данные, собранные с LinkedIn. 66 миллионов записей.   Недавно я писал об уязвимости в Kubernetes (системе управления контейнерами). А вот полезная новость о том, что многие кластеры доступны из интернета и не содержат соответствующих настроек против несанкционированного доступа.   Как вчера прилегла мобильная связь во многих странах (11!), потому что у Ericsson протух сертификат. Интересный пост от президента Microsoft о том, что повсеместное распространение технологий распознавания лиц нуждается в контроле, иначе в будущем это может иметь непредсказуемые последствия для будущего 
Читать

Информация опасносте
06.12.2018 20:12
1. Хорошие новости (это редкость, но все же). В Safari появится поддержка аппаратных ключей безопасности — в превью уже встроили поддержку WebAuthn! https://www.cnet.com/news/safari-tests-hardware-security-key-support-to-fix-password-problems/ 2. Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн за установку зловреда Superfish https://habr.com/company/globalsign/blog/432120/ 3. Не совсем по теме, но все равно очень интересно. В Канаде арестовали финансового директора Huawei (по совместительству — дочка основателя компании) по обвинению компании в нарушении санкций против Ирана. Теперь ей грозит экстрадиция в США, а компании, если докажут факт нарушения, могут грозить весьма серьезные ограничения в продажах её продукции (это не только смартфоны, разумеется, но и огромное количество телекоммуникационного оборудования). К Huawei давно были вопросы о бэкдорах и "постукиванию" в сторону китайского правительства, а тут многие страны вполне могут одним махом и выскочку наказать, и отечественного производителя поддержать, если что. Об аресте О потенциальном эффекте
Читать

Информация опасносте
06.12.2018 20:12
Новость дня (нетерпеливые читатели прислали мне примерно 100500 миллионов ссылок на эту тему) — поправка к закону 1997 года Telecommunications Act, принятая вчера парламентом Австралии в виде дополнительного законопроекта Telecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018. Согласно этому законопроекту, принятому в весьма сложных условиях, технологические компании должны предоставлять всевозможную помощь австралийским правоохранительным органам по запросу. Компании должны будут помогать расшифровывать сообщения (например, WhatsApp, Telegram или Signal), или даже внедрять код в свои приложения и сервисы для перехвата данных. От технологических компаний также могут потребовать разработки новых инструментов для обхода установленных методов безопасности или для взлома паролей, если возникнет такая необходимость. По сути, речь идет в том числе и о разработке бэкдоров в сервисах и устройствах, что может иметь очень далеко идущие последствия. С этим в свое время боролась Apple, сопротивляясь запросу ФБР о написании ПО для разблокировки защищенного паролем iPhone террориста. Штрафы за отказ от сотрудничества для организаций могут достигать до 10 млн австралийских долларов (7,3 млн долл США), а также тюремные сроки для физических лиц, отказывающихся передать данные, которые могут иметь отношение к незаконной деятельности. Разумеется, компании, которые затрагивает этот законопроект, против, утверждая, что это существенно ослабит безопасность пользовательских данных в целом. Законопроект должен вступить в силу в начале следующего года, но для этого ему еще придется пройти верхнюю палату парламента, где ожидаются дополнительные изменения. Напомню, что Австралия входит в альянс Five Eyes (там еще США, Канада, Великобритания и Новая Зеландия), которые давно призывают технологические компании к "сотрудничеству" в виде бэкдоров в устройства и системы шифрования. Принятие такого закона и его вступление в силу — это опасный прецедент, который в худшем случае сделает так, что в Австралии многие сервисы и устройства могут стать недоступными, а в еще более худшем случае — этот метод будет взят на вооружение и в других странах (хотя там, может, парламент окажется чуть умнее).
Читать

Информация опасносте
05.12.2018 22:12
А потом человек, сидящий в Facebook, задает там вопрос: Конечно, ему даже в голову не придет, что там не нужно микрофон слушать, чтобы и так о нем все знать.
Читать

Информация опасносте
05.12.2018 22:12
Парламент Великобритании выложил в открытый доступ 250 страниц документов и внутренней переписки компании Facebook, которая была изъята у основателей стартапа Six4Three в рамках судебного разбирательства между стартапом и социальной сетью. Вот ссылка на документ (PDF): https://www.parliament.uk/documents/commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-Six4Three.pdf Из этих документов можно узнать массу интересного о том, как Facebook использует пользовательские данные, их политику при работе с разработчиками приложений, и как они используют свое доминантное положение на рынке социальных сетей. Документ разбит на несколько разделов: White lists О неких белых списках компаний, которые сохранили данные о пользователях и их друзьях после изменения политики Facebook в 2014-2015 годах касательно доступа к пользовательским данным Value of friends data О том, как Facebook оценивал доступ к пользовательским данным и данным о друзьях, и как это влияло на выручку, получаемую разработчиками приложений Reciprocity Об обмене данных о пользователях между разработчиками и Facebook после внедрения новой версии платформы социальной сети Android О том, как Facebook внедрял возможность получить доступ к информации о звонках и сообщениях пользователей на смартфонах с Android (осознавая, что это может быть проблемой с точки зрения PR), и как компания пыталась замаскировать этот факт — чтобы не показывать соответствующее уведомление при обновлении приложения (УДОБНО!). Эта информация впоследствии была использована для подсказок о "людях, которых вы можете знать". Onavo Я писал (ссылка на пост у нас несколько (ссылка на пост у нас раз в канале об Onavo — VPN-клиенте, который купила Facebook, и предлагала пользователям сети установить на смартфоны (и как его выперла из App Store Apple ссылка на пост у нас Кстати, для Android он все еще доступен в Google Play). Из документа можно узнать, что Facebook это все делал намеренно, пытаясь еще больше узнать о своих пользователях, в том числе о том, какие приложения они используют и как часто — чтобы принимать решение о том, какие приложения копировать и каких разработчиков покупать. Targeting competitor apps Как Facebook реагировал на приложения, которые им не нравились, и как принимались решения о перекрытии кислорода (доступа к данным) таким приложениям. Сплошная корпорация добра, скажу я вам, этот Facebook. Connecting the world требует этого всего, как я понимаю. Вот, например, письмо Цукерберга, в котором он размышляет о продаже пользовательских денег за деньги: https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-05-at-2.41.10-PM.png Короче, там много такого. Впереди как раз выходные, можно будет усесться поудобней и почитать повнимательней весь документ. А сколько всего мы еще не знаем.
Читать

Информация опасносте
05.12.2018 22:12
1. Недавно я писал о том, что была раскрыта целая сеть по рекламному обману — когда с помощью накруток и зараженных бот-сетей формировались огромные показы рекламы, в результате чего организаторы получали миллионы долларов рекламных платежей. Вот еще на эту же тему — Google выперла из App Store несколько приложений от китайских разработчиков Cheetah Mobile и Kika Tech, которые были участниками этой схемы с помощью скрытых механизмов click injection и/или click flooding (даже не знаю, стоит ли это переводить на русский). Одно из приложений — Kika Keyboard — было самой популярной клавиатурой в Google Play и установлено более 200 млн раз! https://www.buzzfeednews.com/article/craigsilverman/google-removes-cheetah-kika-apps 2. На страницах канала дебютирует Канье Уэст! Он тут недавно посоветовал своим миллионам фолловеров в Твиттере свое любимое приложение-Библию. Оказалось, что у приложения на Android довольно обширные интересы в плане пермишинов: android.permission.ACCESSCOARSELOCATION android.permission.CHANGEWIFIMULTICASTSTATE android.permission.CHANGEWIFISTATE android.permission.INTERNET android.permission.READCONTACTS android.permission.READPROFILE android.permission.USECREDENTIALS android.permission.WRITEEXTERNALSTORAGE com.sirma.mobile.bible.android.permission.C2DMESSAGE android.permission.ACCESSNETWORKSTATE android.permission.ACCESSWIFISTATE android.permission.GETACCOUNTS android.permission.RECEIVEBOOTCOMPLETED android.permission.VIBRATE android.permission.WAKELOCK church.life.biblelens.carouselprovider.READ church.life.biblelens.youversion.tokens com.amazon.device.messaging.permission.RECEIVE com.google.android.c2dm.permission.RECEIVE com.google.android.providers.gsf.permission.READGSERVICES com.sirma.mobile.bible.android.permission.RECEIVEADMMESSAGE com.sirma.mobile.bible.android.youversion.tokens Контакты, местоположение, доступ к фотографиям и видео, запись с микрофона, и полный доступ к подключению в интернет. А вы думали, как еще боженька о своих последователях узнает все?
Читать