Facebook такой Facebook

Я недавно писал про анонсированный Facebook “умный” гаджет для дома – Portal. Он должен обеспечивать видео-звонки с другими устройствами Portal и приложением на смартфонах, а также наличие умного помощника в доме. Во время анонса представители Facebook утверждали, что у Portal не будет рекламы, а данные, собранные Facebook о пользователях Portal (использование приложений, прослушивание музыки в Spotify, и тд) не будут использованы для таргетирования пользователей рекламой.

В итоге, это оказалось неправдой. То есть часть про “не будет рекламы” все еще пока что правда, а вот с данными как-то нехорошо получилось.
Continue reading

libssh

Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: “can i log in?”

server: “no. you need a password.”

me: “hacker voice i’m in”

server: “login successful. you’re in”

Ленивые мошенники

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

Еще в июле я писал об этом в Телеграм-канале. Далее привожу текст из поста, на случай, если у вас нет Телеграма:
Continue reading

Cybersecus ссылки, 16 окт 2018

– если занимаетесь мошенничеством в интернете, то убедитесь, что архив с софтом для этого мошенничества не называется Very Big Fraud Package.zip (“Очень большой пакет для мошенничества”). Чувак, кстати, получил 14 лет тюрьмы, но не за название архива, конечно
https://www.washingtonpost.com/local/public-safety/md-man-who-called-fraud-the-best-job-in-the-whole-world-gets-14-years-in-prison/2018/10/12/cabdb854-cd85-11e8-a3e6-44daa3d35ede_story.html?utm_term=.7ed1f12efbd4

– уязвимость в SQL-мониторе, позволявшая получить доступ к некоторым данным в SQL Monitor
https://www.red-gate.com/products/dba/sql-monitor/entrypage/security-vulnerability-october-2018

– Свежесозданная социальная сеть для дейтинга сторонников Президента США Дональда Трампа начала с утечки данных своих пользователей
https://motherboard.vice.com/en_us/article/mbdwb3/the-donald-daters-trump-dating-app-exposed-a-load-of-its-users-data

Wall Street Journal пишет о том, что Apple очень извиняется перед китайскими пользователями по поводу взлома их Apple ID аккаунтов. Я писал об этой истории тут, но проблема в том, что даже сейчас из статьи WSJ не ясно, что же именно там на самом деле произошло – ни как был получен доступ к аккаунтам, ни сколько денег при этом украли. Известно только, что аккаунты не были защищены двухфакторной аутентификацией. Какая-то мутная история.

Хакер, но не совсем

Из категории “хорошие новости в мире инфосека”. Я неоднократно писал о проблемах роутеров MikroTik (раз, два, три), которые доставляют неудобства уязвимостями своим владельцам. Как правило, проблемы уязвимостей чинятся установкой обновленной прошивки, но большинство пользователей этого, к сожалению, не делает.

Поэтому за дело взялись специалисты. ZDNet пишет о русскоязычном хакере Алексее, который патчит роутеры, оставленные без присмотра. Он подключается к уязвимым роутерам и добавляет правило на firewall для блокировки внешних подключений. В статье говорится, что он уже исправил правила на более чем 100 тысячах роутеров, из чего я делаю вывод, что, скорей всего, это доброе дело за него делает какой-то скрипт. Также в материале рассказывается, что пользователи, которым он рассказал об этом в телеграм-канале, посвященном безопасности роутеров MikroTik, в основном расстроились такими действиями добровольца. Еще ни одно доброе дело не осталось безнаказанным!

Cybersecus ссылки

– Пентагон заявил о взломе информационной системы, вследствие чего, похоже, утекли данные на 30 тысяч сотрудников военного ведомства, включая имена и данные кредитных карт военного и гражданского персонала:

http://apnews.com/7f6f4db35b0041bdbc5467848225e67d

— Европейское расследование Твиттера по сбору информации через ссылки для сокращения адресов (GDPR такой GDPR)
http://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/

– Устанавливаете дома камеры наблюдения для собственной безопасности? Учтите, что правоохранительные органы могут запросить у разработчика камер данные, хранящиеся в облаке, так что лучше вам под камерами не заниматься ничем предосудительным или нарушающим закон. Первый такой случай, когда данные были переданы (камера Nest, данные, соответственно, у Google), появился в США. А вообще Nest получила уже более 300 подобных запросов, так что практика вполне жива.

– много интересной информации о черве CRASHOVERRIDE, он же известен как “Industroyer”. Отчет Dragos об угрозе и возможных путях защиты от вредоносного ПО, направленного на нанесение ущерба электросети.
https://dragos.com/blog/crashoverride/

Про Apple Watch пропавшего журналиста

В интернете нарезает круги история про Apple Watch журналиста Washington Post, пропавшего после визита в консульство Саудовской Аравии (и, возможно, убитого там). Сама по себе история c его пропажей и возможным убийством ужасна, но я хотел поговорить именно о технологическом аспекте той части истории, где фигурирует Apple Watch. Если вкратце, то пишут, что журналист смог записать аудио своего убийства на Apple Watch, после чего это аудио то ли было передано в облако, то ли на телефон, и таким образом стало известно, что именно произошло с ним после того, как он зашел в здание посольства.

Если честно, то у меня есть большие сомнения в правдивости этой истории. Ноги у этой новости растут из статьи турецкой газеты Sabah, и изобилуют странными деталями, вроде той, что когда убийцы журналиста заметили, что часы ведут запись, они пытались разблокировать часы, прикладывая палец к экрану часов. Но в часах, как известно, нет сканера распознавания отпечатков пальцев.

На первоисточник ссылается Washington Post:

The newspaper also alleged Saudi officials tried to delete the recordings first by incorrectly guessing Khashoggi’s PIN on the watch, then later using the journalist’s finger.

Continue reading

Cybersecus ссылки

несколько интересных ссылок по теме канала на почитать:

1. [Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей
https://habr.com/post/416835/
(спасибо читателю канала)

2. Отчет агентства по ответственности правительства (US Government Accountability Office) о состоянии цифровой безопасности Министерства обороны США (по результатам “учений”, в которых специально отобранные хакеры пытались взламывать – вполне успешно – различные системы министерства). Публичная версия отчета не содержит в себе конкретных технических деталей, но все равно интересно почитать:
https://www.gao.gov/products/GAO-19-128

3. Еще одна фитнес-компания не уберегла данные своих пользователей, оставив базу открытой на AWS:
https://www.infosecurity-magazine.com/news/fitmetrix-exposes-millions-of/

4. Украденные Apple ID используются для воровства денег у пользователей Alipay и WeChat (я так понимаю, там все завязано на том, что Apple ID требует в Китае номера телефона, а потом получается привязка к реальным аккаунтам платежных систем. Как-то сложно, но, видимо, работает):
https://www.reuters.com/article/us-china-alipay-apple/chinas-alipay-says-stolen-apple-ids-behind-thefts-of-users-money-idUSKCN1ML0QO

5. Про пароль Kanye West
https://motherboard.vice.com/en_us/article/j53n87/kanye-west-worst-iphone-passcode

Дополнение о взломе Facebook

Неделю назад стало известно о том, что социальную сеть Facebook взломали и злоумышленники получили доступ к примерно 50 млн пользовательских записей. Сегодня Facebook опубликовал дополнительную информацию об этом взломе, из которой можно узнать:

– расследование показало, что из первоначальной оценки 50 млн пользовательских записей, которые могли быть затронуты, реально украдены токены были у 30 млн пользователей.
– из этих 30 млн пользователей у 15 млн пользователей хакеры получили доступ к базовой контактной информации (адрес электронной почты и/или номер телефона)
– у 14 млн пользователей хакеры получили доступ к гораздо большему набору информации: всё та же контактная информация, плюс никнейм, пол, язык, статус отношений, религия, город рождения, текущий город, указанный в профиле, дату рождения, типы устройств, используемые для доступа к Facebook, информацию об образовании, работе, последние 10 мест чекина или отмеченных, адрес сайта, список людей или страниц, которые пользователи фолловят, а также 15 последних поисковых запросов.
– у 1 млн человек нападавшие не получили никакой информации.
Continue reading