Cybersecus дайджест

Еще несколько ссылок на почитать на выходных, если будет много свободного времени.

– интереснейший лонгрид о Facebook и о том, как компания пыталась митигировать последствия одного кризиса за другим:
https://www.nytimes.com/2018/11/14/technology/facebook-data-russia-election-racism.html?module=inline
(там и про российское влияние на выборы, и про лоббисткие компании, которые очерняли активистов, и про реакцию на скандал с Cambridge Analytica, и про дружбу с законодателями в Вашингтоне. Это как бы не совсем по теме канала и инфосека, но надо понимать, что Фейсбук — обладатель одной из крупнейших коллекций персональных данных на жителей планеты. Поэтому очень полезно понимать, как компания функционирует на самом верху)

– как использовать давно не обновляемый Apple iPod Touch можно использовать в виде безопасного коммуникационного устройства вместо смартфона:
https://motherboard.vice.com/en_us/article/439dk9/how-to-use-ipod-touch-secure-device-instead-of-phone

– интересный гид Mozilla Foundation по популярным подаркам в этом году. Как это связано с информационной безопасностью? К каждому подарку есть параметры о возможности сбора информации или прослушки, и насколько эти подарки пугающе неприятны или неприятно пугающие (камеры, умные колонки, детские мониторы, игрушки и тд):
https://foundation.mozilla.org/en/privacynotincluded/

Хороших выходных!

Сгенеренные отпечатки пальцев

На Motherboard статья об исследовательском проекте, в рамках которого продемонстрировали, как искусственный интеллект может генерить отпечатки пальцев, которые могут быть мастер-ключами для сенсоров сканирования отпечатков пальцев. Речь не о повторении ваших уникальных отпечатков и капилляров, а именно о создании искусственных отпечатков, которые могут стать ключом сразу для большой группы людей. Ой.

https://arxiv.org/abs/1705.07386

Рекомендую почитать весь отчет, там очень интересно:

Они там тренировали свои сети на прокатанных на бумаге отпечатках, и на отпечатках с ёмкостных сенсоров, которые можно обнаружить в современных телефонах. Вопрос, конечно, в том числе и в уровне разрешения, которое сканируют сенсоры, в отчете есть статистика, что на качественных сенсорах уровень “обмана” — меньше 1,2%. Но я хотел сказать о другом. Никто никогда и не говорил, насколько я помню, что сенсоры сканеров отпечатков пальцев (или лица) нельзя обмануть. Если у вас такой уровень паранойи, то лучше всегда пользоваться PIN-кодом, который формально вас не могут принудить раскрыть (неформально-то разное бывает, конечно). Но если у вас есть опасения, что за вами охотится кто-то с таким уровнем знаний, оборудования и желания разблокировать ваш телефон, то о биометрии вам лучше забыть. Большинство же пользователей, которым не грозит такой уровень угрозы, и нужно, чтобы в телефон не залезли коллеги, дети или воришка, стащивший телефон, могут расслабиться и продолжать пользоваться сенсорами отпечатков пальцев или сканирования лица.

Сервер с SMS-сообщениями

Исследователи обнаружили в интернете сервер компании Voxox (бывшая Telcentris), который служил шлюзом для передачи в SMS различных одноразовых паролей, ссылок для сбросов паролей, и тд. Компании, подобные Vovox, предоставляют сервисы многим компаниям-разработчикам других приложений или сервисов, для того, чтобы обеспечивать доставку подобных текстовых сообщений — они конвертируют коды в SMS и отправляют их в сотовые сети.

https://techcrunch.com/2018/11/15/millions-sms-text-messages-leaked-two-factor-codes/

Сервер был доступен в интернете, без какой-либо защиты паролем, и позволял желающим (и знающим, куда смотреть) увидеть практически в реальном времени поток различных сообщений. Кроме того, на сервере была настроена Kibana, что позволяло легко и удобно просматривать всю информацию, формировать поисковые запросы, и тд. Вопрос лишь в том, знали ли об этом какие-нибудь злоумышленники и могли ли они применить сценарий, при котором доступ к этой информации мог быть использован с пользой для них.

Очередное доказательство того, что SMS-подтверждения — зло, и лучше пользоваться приложениями-аутентификаторами.

Впечатления от iPhone XR

В тот же день, когда я опубликовал свой набор впечатлений от iPhone XS Max, я сделал бекап телефона и накатил этот бекап на iPhone XR прекрасного кораллового цвета. Изначально предназначавшийся для жены смартфон стал для меня своего рода экспериментом, потому что мне было интересно попробовать телефон, который так нахваливает Apple (что неудивительно) и огромная часть обзорщиков и пользователей (что по-своему удивительно). В итоге получился, наверно, самый необычный обзор iPhone, который я делал. Обычно я стараюсь описать свои впечатления от флагмана линейки в этом году и фокусируюсь на одной модели (за исключением 2013 года, когда вышел iPhone 5C). С цветной моделью iPhone 5С было все понятно — это была явная попытка Apple зацепить рынок чувствительных к цене покупателей. Правда, они этот порыв Apple оценили не на том уровне, на котором хотелось бы Apple, в том числе и из-за того, что телефон выглядел откровенно слабее на фоне флагмана того года – iPhone 5s.

В этом году у Apple в дополнение к флагманам — iPhone XS и XS Max — есть новая цветная модель iPhone XR, которая позиционируется совсем по-другому, чем когда-то iPhone 5C. Месседж, который я уловил от Apple, заключается в том, что iPhone XR “не хуже, чем XS, просто другой”. Любители характеристик и циферок с этим утверждением не соглашаются, тыкая направо и налево то разрешением экрана, то одной камерой устройства (вместо пяти, например). Но они забывают, что в мире Apple характеристики играют роль гораздо менее важную, чем в мире Android, а на первое место выходит его величество ”пользовательские впечатления”. Хотите впечатлений? Их есть у меня. После нескольких дней использования iPhone XR я поймал себя на мысли, что мне совсем не хочется отдавать его жене и переезжать обратно на iPhone XS Max. Правда, она сказала, что зимой откапывать подъезд к гаражу с помощью XS Max она не собирается.
Continue reading

Доступ к удаленным фото на iOS

Forbes пишет о том, что два исследователя обнаружили уязвимость в iPhone, позволяющую получить доступ к уже удаленным фотографиям на устройстве (и заработали на этом 50 тыс долл).

Они продемонстрировали эту уязвимость на конкурсе Mobile Pwn2Own, и информацию об уязвимости передали в Apple. В статье на Forbes фигурирует информация, что уязвимость была продемонстрирована на iOS 12.1, которая является на данный момент последней публично выпущенной версией iOS. Уязвимость в just-in-time (JIT) компиляторе позволяет получить доступ к тем фотографиям, которые пользователь удалил из фотобиблиотеки, но они до 40 дней лежат в типа “чистилище”, и эксплуатируемая уязвимость позволила им получить доступ (причем через роутер Wifi, то есть сценарий, как они его называют, “в кофейне”). К сожалению, технических деталей нет (видимо, они появятся, когда выйдет апдейт, исправляющий эту проблему), но из статьи на Forbes можно сделать вывод, что доступ можно получить и к другим файлам, а удаленное фото было использовано как пример, первым попавшийся под руку.

Инфосек 85 уровня (на самом деле нет)

Сегодня уже несколько читателей прислали мне ссылку на статью про японского министра кибербезопасности Yoshitaka Sakurada, который признался, что никогда не пользовался компьютером:

https://www.theguardian.com/world/2018/nov/15/japan-cyber-security-ministernever-used-computer-yoshitaka-sakurada

Моя первая реакция была “о, вот это он защитился”, а также я сразу вспомнил анекдот про лучшую защиту от СПИДа — “никакого секса”. Но заголовок статьи — это лишь часть истории. Там сразу фигирует момент, в котором у этого министра спрашивают, пользуются ли USB-флешками на атомных станциях, и он просто не понимает, о чем идет речь.

Аргумент Sakurada заключается в том, что у него всегда есть помощники, которым он выдает инструкции. Но как человек, который не в курсе базовых понятий, может оценить, какую именно инструкцию выдать — это вне моего понимания. Реально странная история.

Впрочем, в огромном количестве стран чиновники, которые не используют компьютеры или не знакомы с основными концепциями информационных технологий — это не новость. Проблемы начинаются, когда эти чиновники и депутаты пытаются придумывать законодательство о информационной безопасности и криптографии, не понимая, о чем это вообще.

PS зато украсть цифровые данные у Yoshitaka Sakurada будет реально непростой задачей!

IoT и Cellebrite

Продолжая тему сбора информации с IoT устройств, нельзя не отметить также и старания компании Cellebrite. Компания известна тем, что предоставляет правоохранительным органам услуги по взлому смартфонов и получению информации с них. Наиболее известный кейс с участием этой компании — это, вероятней всего, их помощь во взломе iPhone террориста Саида Фарука, который расстрелял людей в Сан Бернардино, штат Калифорния.

Так вот, Cellebrite, видя, как развиваются различные устройства для дома, считает, что из них можно получить массу полезной информации при расследовании преступлений. Так выглядит, по их мнению, набор источников информации из гипотетического сценария с убийством, когда в квартире обнаружены, кроме тела жертвы, Amazon Echo, роутер Google OnHub, хаб Samsung Smart THings, датчики движения, сенсоры на дверях, и свич IPTime.

Собрав данные с этих устройств, можно, по мнению Cellebrite, получить достаточно много информации, которая способна помочь в расследовании убийства. Короче, преступникам скоро придется быть еще и хакерами, чтобы хорошенько замести следы.

https://www.cyberscoop.com/cellebrite-iot-data/

Домашние наблюдатели

Умные домашние колонки — они не только полезны, но и … (я хотел, было, написать, что “вредны”, но в этом случае все не так однозначно). Особенно если дело касается преступления, его расследования и предоставления доказательств. В 2017 году в штате Нью-Гемпшир произошло убийство, в котором погибли две женщины. Обвиняемый свою вину отрицает. В доме была обнаружена умная колонка Amazon Echo, и теперь суд принял решение, по которому Amazon обязаны предоставить не только записи, сделанные колонкой в районе произошедших событий, но и различные метаданные, включая и то, какие телефоны были “спарены” с колонкой.

https://arstechnica.com/tech-policy/2018/11/amazon-must-give-up-echo-recordings-in-double-murder-case-judge-rules/

Карточный фрод

У меня накопилось сразу несколько ссылок на похожу тему, и я решил их собрать сразу в одном месте. Я уже несколько раз писал о закладках в платежных системах некоторых популярных сайтов — например, про Newegg, а вот про British Airways, и вкусные детали об этом), которые приводят к утечке данных платежных карт покупателей. Каждый раз обстоятельства указывают на то, что к взлому причастна группа Magecart, о которой до последнего времени было мало что известно. Но пару дней назад был опубликован отчет, который проливает свет на эту группу хакеров, и как именно она работает и какие векторы атак использует. Скачав отчет (бесплатно, но с регистрацией), вы узнаете не только о самой группе, но и том, как можно обезопасить сайты от подобных взломов.

Отчет https://www.riskiq.com/research/inside-magecart/

И пока я писал эту заметку, увидел в новостях, что Magecart побывала на известном крайне правом сайте, толкающем всякие странные теории заговоров, Infowars, и данные карточек около 1,5 тыс пользователей оказались скомпрометированы.

Вот еще большой и интересный материал о безопасности (или скорее — опасносте) банковских карт в США, где за последние 12 месяцев украдено данных 60 млн банковских карт. Основная проблема в том, что, несмотря на (наконец-то!) распространенность карт с чипами, многие ритейлеры продолжают прокатывать карты магнитной лентой. Почему? потому что в плане всего, что касается платежей картами, США — какая-то страна третьего мира, невероятно консервативная и медленно двигающаяся. Европа в плане тех же чипов и бесконтактных платежей настолько впереди США, что это уже какая-то параллельная вселенная. Извините, наболело.
https://threatpost.com/u-s-chip-cards-are-being-compromised-in-the-millions/139028/

Cybersecus дайджест

Привет,

Сегодня нет времени объяснять, поэтому коллекция ссылок (зато большая) по теме:

1. Ошибка в Facebook, позволявшая сайтам видеть лайки пользователей и их друзей
https://techcrunch.com/2018/11/13/facebook-bug-website-leak-likes-interests-profile/

2. Женщина, арестованная за участие в перестрелке, удаленно очистила iPhone X, который у нее изъяла полиция
https://dailygazette.com/article/2018/11/08/police-woman-remotely-wipes-phone-in-evidence-after-shooting

3. Исследователь обнаружил уязвимость в Steam, позволявшую ему получать лицензии на любые игры, и награда нашла героя!
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

4. Уязвимость в VirtualBox, дающая выход из виртуальной машины (много интересных деталей)
https://www.voidsecurity.in/2018/11/virtualbox-vmsvga-vm-escape.html

5. странная история с тем, что некоторые владельцы учетных записей Apple ID обнаружили их заблокированными “по соображениям безопасности” (возможно, какой-то массовый брут-форс)
https://9to5mac.com/2018/11/13/some-iphone-users-finding-their-apple-id-accounts-have-been-inexplicably-locked-requiring-password-resets/

6. проект по разработке безопасных аппаратных хранилищ
https://keystone-enclave.org

7. Раздел на GitHub касательно уязвимости в Safari/macOS 10.13.3 c Pwn2Own2018, приводящей к удаленному исполнению кода
https://github.com/saelo/pwn2own2018

И Фреймворк с ней для metasploit
https://github.com/rapid7/metasploit-framework/pull/10944