О сервисах, которые анонсировала Apple

Вчера было очень необычное мероприятие Apple, и когда я говорю “необычное”, я скорее имею в виду “странное”, чем “волнующее”. С одной стороны, совершенно очевидно, что в эпоху закончившегося безумного роста продаж iPhone “сервисы всякие нужны, сервисы разные нужны”. С другой стороны, вчерашний анонс был в основном именно анонсом (а не релизом), и большинство анонсированных сервисов не будут доступны в ближайшее время. На многие вопросы, возникшие еще до мероприятия (машина Apple по раскрутке хайпа и наличие сторонних партнеров позволило утечь большей части информации о том, что анонсировали), остались без ответа. Да и вообще как-то все то действо, происходившее на сцене, сильно выбивалось из духа обычных презентаций Apple.

Интересно еще и то, что часть сервисов, анонсированных вчера, либо актуальны только для пользователей в США, либо какое-то еще время будут доступны только в США и паре других стран. Что объясняет разочарование некоторых: “Вроде бы ничего не показали”. Зато это дает возможность другим компаниям попробовать скопировать и запустить что-то подобное на локальных рынках, куда Apple пока не дотянулась. В любом случае, пройдемся по тому, что же вчера показала Apple, и как это вписывается в то, что уже есть на рынке США. В данном случае моя перспектива с взглядом отсюда может оказаться полезной.
Continue reading

Apple Card

На прошедшем вчера анонсе Apple рассказала о неком повороте компании в банковскую сферу, в частности анонсировав кредитную карту, выпускаемую совместно с MasterCard и Goldman Sachs. Карта представляет собой, по сути, виртуальную карту в приложении Wallet и работающую через Apple Pay. Система позволяет видеть на телефоне все транзакции в читаемом виде, получать ежедневно начисляемый возврат по всем покупкам в размере 2% (3% от покупок в Apple), а также в удобном и понятном виде будет обеспечивать возможность оплаты долга по карте, показывая переплату по процентам в разных кейсах. Поддержка по карте будет предоставляться по чату Messages. Доступна карта будет только в США летом этого года.


Continue reading

Бэкдор через ASUS

Совершенно адовейшая история о производителе компьютеров ASUS — между прочим, один из крупнейших мировых производителей! Исследователи из Лаборатории Касперского обнаружили, что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, и, что самое ужасное — подписанный настоящим сертификатом ASUS, так что файл выглядел абсолютно легитимно для пользователей.

Этот файл распространялся на протяжении (как минимум) 5 месяцев, и, по некоторым оценкам, был установлен на около 500 тысяч компьютеров с Windows. Предполагается, что злоумышленники поставили себе целью скомпрометировать с помощью вредоносного ПО около 600 целей, которые идентифицировались по MAC-адресам компьютеров. Интересно, что большинство зараженных машин, обнаруженных ПО от Лаборатории Касперского, находились в России (около 18%). По информации от Symantec, это вредоносное ПО было у 15% пользователей Symantec в США. ЛК обнаружила взлом сервера в январе, и планирует рассказать об этом в деталях в апреле на Security Analyst Summit. Сама компания ASUS, по словам представителей ЛК, была достаточно некоммуникабельна и пока что не проинформировала своих пользователей об этой проблеме. Более того, ASUS до сих пор не признал недействительным два скомпроментированых сертификата, что означает, что злоумышленники, имеющие доступ к этим сертификатам, могут подписать свое ПО с его помощью, и это ПО будет выглядеть как легитимное ПО ASUS.

https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

Cybersecus дайжест #66

Кроме Facebook, новостями нас радуют многие другие компании и продукты.

Microsoft выпустила для macOS Microsoft Defender Advanced Threat Protection (ATP). Раньше он назывался Windows Defender ATP, но с выходом версии для Маков сделали более универсальное название. Продукт на данный момент предназначен для корпоративных пользователей Office 365.
Подавать заявки на участие в испытаниях можно сюда
https://www.microsoft.com/en-us/wdsi/support/macpreviewsignup
https://www.theverge.com/2019/3/21/18275443/microsoft-defender-atp-mac-support

Creepy история из Кореи, где арестовали двух перцев, установивших втихаря камеры в гостиницах, и организовавших стриминг видео из номеров. Пострадали, по некоторым оценкам, 1600 человек, которые попали в стримы. Стримы смотрели на сайте, у которого около 4 тысяч подписчиков, плативших 45 долларов в месяц за возможность доступа к контенту.
http://www.koreaherald.com/view.php?ud=20190320000610

Уязвимости:
– Критичная уязвимость в Chromium, позволяющая воровать конфиденциальные персональные данные (исправлена)
https://www.ptsecurity.com/ww-en/about/news/high-risk-vulnerability-in-android-devices-discovered-by-positive-technologies/

– На Pwn2Own показали две уязвимости в Safari, включая такую, которая позволяет получить полный контроль над компьютером (там же по ссылке – дыры в VirtualBox, VMware Workstation)
https://www.thezdi.com/blog/2019/3/20/pwn2own-vancouver-2019-day-one-results

– Уязвимости нулевого дня в WordPress
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

Многолетняя уязвимость в Android и проблемы фрагментации платформы
https://www.wired.com/story/android-vulnerability-five-years-fragmentation/

Уязвимости в популярном SSH клиенте PuTTY
https://www.theregister.co.uk/2019/03/19/putty_patched_rsa_key_exchange_vuln/

Еще ссылка от читателя про интересную “пасхалку” в Android
https://m.habr.com/ru/post/442872/

Facebook и пароли в plain-text

С новостями из мира Facebook очень сложно фейспалмами не разбить лицо. Последняя новость из мира социальной сети, о которой рассказала сама компания — во время внутреннего аудита обнаружилось, что пароли “некоторых пользователей” хранились в открытом виде во внутренней системе, и были доступны для просмотра сотрудниками компании. Несмотря на то, что аудит показал, что вроде как к данным никто (кроме 2 тысяч сотрудников) доступа не имел, в предупредительных целях компания напишет затронутым пользователям о том, что неплохо бы изменить пароль.

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

А теперь разберемся с термином “некоторые пользователи”. Туда входят:
– сотни миллионов пользователей Facebook Lite
– десятки миллионов пользователей Facebook
– десятки тысяч пользователей Instagram.

примерно как “во время Второй мировой войны некоторые участники боевых действий и некоторые гражданские лица погибли”. Пора заводить хэштэг #facebookкаквсегда

Дополнительные материалы по теме:
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

Лаборатория К как Спотифай — тоже против Apple

Вчера Лаборатория Касперского опубликовала пост в блоге, рассказав о том, что компания подала против Apple жалобу в Федеральную Антимонопольную Службу (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:
– у ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
– С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
– В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
– ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что — я так и не уловил четко это из статьи в блоге. В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать “вырванные из текста и контекста” утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.
Continue reading

Cybersecus дайджест #65

Привет, новости из мира инфосека одной (ну почти) строкой.

Производитель алюминия Norsk Hydro оказался жертвой атаки вредоносного ПО-вымогателя LockerGoga
https://newsweb.oslobors.no/message/472389
https://www.facebook.com/norskhydroasa/posts/2214813535207638
https://www.zdnet.com/article/aluminium-producer-switches-to-manual-operations-after-extensive-cyber-attack/

Помните Ghidra (тоже Гидра, но другая)? Тот самый инструмент NSA для reverse engineering и уязвимость в нем? Теперь есть proof-of-concept, показывающий, как эту уязвимость можно эксплуатировать:
https://threatpost.com/nsa-ghidra-bug-rce/142937/

Прекрасная история о том, что вся музыка, залитая на Myspace в период с 2003 по 2015 год, была утеряна.
https://www.reddit.com/r/technology/comments/b2381s/myspace_lost_all_music_uploaded_from_2003_to_2015/
Continue reading

Cybersecus дайджест #64

Компания GearBest, китайский онлайн-ритейлер, как оказалось, хранит данные своих клиентов совсем не так, как обещает. Исследователи компании vpnMentor опубликовали материал расследования, в котором обнаружилось, что:
– политика компании о конфиденциальности пользовательских данных не соответствует действительности
– в базе хранятся личные данные покупателей, включая имейл и пароли, которые никак не шифруются. Кроме этого, магазин хранит информацию, которая необязательна для хранения, как, например, IP-адрес
– в базе также хранятся платежные данные, в том числе и о виртуальных картах платежной системы из Бразилии, а также банковские данные пользователей.
Как это часто бывает, сервер Elasticsearch без пароля.
https://www.vpnmentor.com/blog/gearbest-hack/
https://techcrunch.com/2019/03/14/gearbest-orders-exposed/
https://vc.ru/trade/61307-hakery-nashli-uyazvimost-na-serverah-gearbest-vse-dannye-klientov-onlayn-magazina-hranyatsya-v-otkrytom-vide
PS Спасибо всем читателям, которые прислали мне ссылки на эту историю

2/3 антивирусных приложений для Android — обман
https://www.zdnet.com/article/two-thirds-of-all-android-antivirus-apps-are-frauds/

Adware (рекламное ПО) в сотнях приложений для Android, с общей суммой установок более 150 млн. Там все хорошо: вредоносное ПО, маскирующееся под рекламную сеть, закачивало через бэкдор дополнительный модуль, который прятал свою иконку и работал в фоне, загружаясь на старте приложения. А дальше показ рекламы в фоне с целью генерации фейковых просмотров.
https://www.documentcloud.org/documents/5766854-SimBad-AppList-Package.html

Я писал ранее на этой неделе о том, как недавно обнаружилась неприятная лажа с плохо настроенным сервером Box для общего доступа к файлам, из-за чего некоторые компании случайно сделали доступными свои файлы, в том числе и конфиденциальные. Так вот, Box выкатил тут полезные изменения, которые должны будут в будущем предотвратить подобные лажи:
https://blog.box.com/blog/improvements-sharing-securely-box

Cybersecus дайджест #63

После небольшого затишья редакция снова выходит на связь с очередной коллекцией того, как в мире все плохо.

• Apple
• Amadeus
• Discovery
• Edelman
• Herbalife
• Schneider Electric
• PointCare
• Opportunity International
• Box
Что объединяет эти компании? Все они настроили свои корпоративные папки на файловом сервисе несколько неудачно, что позволило исследователям обнаружить внутренние файлы компаний, включая даже критические корпоративные данные.
https://www.adversis.io/research/pandorasbox

В России продолжается борьба с почтой ProtonMail, по ссылкам, присланным читателями, хорошее резюме ситуации
https://roskomsvoboda.org/45632/
https://habr.com/ru/company/tm/blog/443222/
Continue reading

Cybersecus дайджест, #62

как это иногда бывает, некогда объяснять, сегодня ссылки, зато много и интересных!

800 миллионов адресов электронной почты в 150ГБ незащищенной MongoDB. Часть записей также содержала дополнительную персональную информацию, включая адреса и номера телефонов, а также пол, дату рождения, привязанные аккаунты социальных сетей, и проч. Компания Verifications.io, молодцы какие.
https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/

Программа NSA, в рамках которой организация следила за звонками и текстовыми сообщениями американцев, кажется, закрывается:
https://www.nytimes.com/2019/03/04/us/politics/nsa-phone-records-program-shut-down.html

Очень интересная статья о том, как хакеры добывают прототипы iPhone (у которых некоторые средства безопасности отключены), для дальнейшего исследования на предмет поиска уязвимостей:
https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days

Кстати, о 0-day. Комбинация все еще неисправленной уязвимости в Windows и уязвимости в Chrome, которую Google исправила на прошлой неделе, позволяет злоумышленникам выйти из песочницы браузера.
https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html

Crowdfense, компания, которая скупает уязвимости нулевого дня и продает их правительственным организациям, объявила о том, что в 2019 году выделила общий фонд на покупку уязвимостей в размере 15 млн долларов. Интересно то, что в этом году, кроме телефонов и компьютеров, Crowdfense покупает эксплойты для роутеров и прочих сетевых устройств.
https://www.crowdfense.com/bug-bounty-program.html

Баг в Facebook Messenger, позволявший видеть веб-сайтам информацию о том, с кем переписывался пользователь (уже исправлена). Вроде как затрагивает только Windows 7.
https://www.imperva.com/blog/mapping-communication-between-facebook-accounts-using-a-browser-based-side-channel-attack/

История о двух популярных производителях автосигнализаций — Pandora и Viper, уязвимости в которых позволяли с помощью манипуляций в серверных API, следить за перемещением автомобилей, а также удаленно управлять сигнализациями, установленными на автомобилях (включая удаленную блокировку двигателя)
https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms/

Citrix сообщает о том, что компания расследует неавторизованный доступ к внутренней сети компании (о котором компании сообщили в ФБР). Вроде как злоумышленники получили доступ к бизнес-документам компании, но деталей пока нет.
https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/