Cybersecus дайджест

Привет,

Сегодня нет времени объяснять, поэтому коллекция ссылок (зато большая) по теме:

1. Ошибка в Facebook, позволявшая сайтам видеть лайки пользователей и их друзей
https://techcrunch.com/2018/11/13/facebook-bug-website-leak-likes-interests-profile/

2. Женщина, арестованная за участие в перестрелке, удаленно очистила iPhone X, который у нее изъяла полиция
https://dailygazette.com/article/2018/11/08/police-woman-remotely-wipes-phone-in-evidence-after-shooting

3. Исследователь обнаружил уязвимость в Steam, позволявшую ему получать лицензии на любые игры, и награда нашла героя!
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

4. Уязвимость в VirtualBox, дающая выход из виртуальной машины (много интересных деталей)
https://www.voidsecurity.in/2018/11/virtualbox-vmsvga-vm-escape.html

5. странная история с тем, что некоторые владельцы учетных записей Apple ID обнаружили их заблокированными “по соображениям безопасности” (возможно, какой-то массовый брут-форс)
https://9to5mac.com/2018/11/13/some-iphone-users-finding-their-apple-id-accounts-have-been-inexplicably-locked-requiring-password-resets/

6. проект по разработке безопасных аппаратных хранилищ
https://keystone-enclave.org

7. Раздел на GitHub касательно уязвимости в Safari/macOS 10.13.3 c Pwn2Own2018, приводящей к удаленному исполнению кода
https://github.com/saelo/pwn2own2018

И Фреймворк с ней для metasploit
https://github.com/rapid7/metasploit-framework/pull/10944

CloudFlare 1.1.1.1 для iOS и Android

Быстрый и безопасный DNS 1.1.1.1 теперь доступен на мобильных платформах в виде удобного и простого приложения:

Для Android
https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone

Для iOS
https://itunes.apple.com/us/app/1-1-1-1-faster-internet/id1423538627?mt=8

Больше здесь:
https://blog.cloudflare.com/1-thing-you-can-do-to-make-your-internet-safer-and-faster/

Cybersecus дайджест

Сегодня опять коллекция, и к тому же очень интересных.

1. Помните, несколько дней назад я писал про целый набор всяких лаж разной степени лажовости в аппаратном шифровании данных внешних дисков? Там еще возникала дополнительная коллизия в случае с программным шифрованием с помощью BitLocker, где BitLocker, обнаружив аппаратное шифрование на диске, говорил “ну, мне тут делать больше нечего”.

Так вот, Microsoft выпустила рекомендации по поводу того, как правильно сконфигурировать BitLocker, чтобы шифрование BitLocker применялось даже в случае обнаружения аппаратного шифрования на дисках:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028

2. Полиция расшифровала 258 тысяч сообщений после взлома шифрования приложения IronChat, которое продвигало себя как приложение для безопасного чата. Интересная статья о том, почему это шифрование вообще могли взломать (потому что самопальное шифрование – это очень сильный риск, кгхм… Телеграм… кгхм…)
https://arstechnica.com/information-technology/2018/11/police-decrypt-258000-messages-after-breaking-pricey-ironchat-crypto-app/
Continue reading

Впечатления от iPhone XS Max

Вот уже почти две недели, как я переехал с iPhone X на iPhone XS Max, и у меня накопилось некоторое количество впечатлений, которыми я хочу поделиться с читателями блога. Честно говоря, мне кажется, что год назад, после выхода iPhone X, я не получал столько просьб рассказать о впечатлениях от устройства, как сейчас, когда Apple выпустила этот “максимальный” размер смартфона. Для меня этот переход оказался тоже весьма необычным, потому что я всегда весьма скептично относился к гигантским размерам устройств такого класса. Я остановил свой выбор на Max версии как раз с целью “выйти из зоны комфорта” и посмотреть, как оно там, в мире гигантов.

Немного бэкграунда для понимания моих впечатлений: на iPhone XS Max я перешел с iPhone X, которым пользовался около года. Каждый раз, когда я думаю об XS Max в категории “гигантский”, я вспоминаю слова Стива Джобса, представлявшего самый первый iPhone в 2007 году со словами “гигантский экран с диагональю в 3,5 дюйма”. Я специально пробежался по своим обзорам различных моделей iPhone в этом блоге, вспоминая, что я говорил раньше о размерах устройств. Когда-то я искренне считал, что 4 дюйма — это идеальный для меня размер экрана, но, впрочем, я до сих пор считаю, что для использования комфортно одной рукой экран должен быть диагональю в 4-5 дюймов. Но рынок посчитал по-другому, и постепенно устройства с диагональю в 5,5-5,8 дюймов стали практически нормой. Так я уговорил себя перейти на iPhone X с iPhone 7 год назад.
Continue reading

Cybersecus дайджест

Еще несколько интересных ссылок на тему инфобезопасности:

1. Кстати, о Facebook. На прошлой неделе встретил информацию о том, что в интернете появились на продажу 81 тысяча учетных записей пользователей социальной сети.
https://www.digitalshadows.com/blog-and-research/81000-hacked-facebook-accounts-for-sale-5-things-to-know/
Тут есть дополнительная информация от компании, которая помогала BBC с оригинальной статьей:
– 81 тысяча аккаунтов — это только те, для которых в архиве есть личная переписка (и другие данные). Данные профиля включают в себя имена, адреса. контактную информацию, список друзей и переписку. Фотографий в профилях нет. Общее количество профилей в архиве — 257 256. Большинство этих аккаунтов (30%) — пользователи ФБ из Украины, еще 9% – пользователи из России. Продавец также утверждает, что у него есть 120 млн аккаунтов. Метод, которым получены эти данные, неизвестен, хотя есть подозрение на какое-то расширение в браузере.

2. Обнаружена еще одна side-channel уязвимость в процессорах Intel, позволяющая злоумышленникам получить доступ к криптографическим ключам и другой конфиденциальной информации. Встречайте PortSmash!
Дополнительная информация тут: https://seclists.org/oss-sec/2018/q4/123. Во всем виноват Hyper-Threading, когда, грубо говоря, одно приложение из своего треда на процессоре может, по сути, заглянуть в другой тред — изучив доступ к кэшам и тайминг выполнения операций. Выход один — отключать HT, хотя Intel считает, что проблемы нет, и нужно просто писать такой код, который будет устойчив к атакам подобного рода. Эта история не имеет отношения к Spectre и проч. уязвимостям спекулятивного исполнения.
Continue reading

рекламная крипота

DuckDuckGo тут напомнили, что можно заглянуть в рекламные настройки Facebook, чтобы увидеть список рекламодателей, которые загрузили вашу контактную информацию в ФБ для показа рекламы. То есть не просто таргетирование “белый мужчина такого-то возраста в таком-то городе с интересом к автомобилям”, а именно конкретно вашу информацию – имейл или номер телефона.

Settings > Ad preferences > Advertisers you’ve interacted with > Advertisers who uploaded a contact list with your info > See all

(Эту функциональность Facebook никогда и не скрывал — если вы оставляете свою информацию в какой-то компании, и она потом хочет показать вам рекламу, то она может загрузить свой контактный список в Фейсбук и показывать рекламу совершенно конкретным людям).

Но я решил ради интереса заглянуть в свой список, что там у меня, и увидел ТАКОЕ… Кликай скорей, чтобы узнать!
Continue reading

Пользовательские данные Apple

Пару недель назад я писал о том, что Apple обновила раздел “Конфиденциальность” на своем сайте, и в том числе рассказывал о запуске возможности загрузки данных, которые хранятся у компании о пользователе. Тогда эти данные были доступны только пользователям из Австралии, США, Новой Зеландии и Канады, но теперь их можно заказывать и пользователям из России.

Для этого вам нужно зайти на эту страницу, залогиниться со своим Apple ID, и выбрать опцию “Получение копии данных”. Там нужно отметить чекбоксы, чтобы получить соответствующие данные:


Continue reading

Идентификация пользователей мессенджеров

В России происходит какое-то веселье с проверкой пользователей мессенджеров. Теперь, я так понимаю, компания, оперирующая тем или иным мессенджером, должна будет вместе с операторами связи обеспечивать идентификацию пользователя по номеру его мобильного телефона. Видимо, нужно будет проверить, что человек, регистрирующийся в мессенджере, и человек, пользующийся этим номером телефона ( владелец SIM-карты) – это одно и то же лицо.

Изначально материал об этом появился в газете Известия:
https://iz.ru/808022/inna-grigoreva/polzovatelskoe-oglashenie-messendzhery-berut-pod-totalnyi-kontrol

Постановление об этом уже опубликовано на правительственном портале:
http://publication.pravo.gov.ru/Document/View/0001201811060001

Разбираться с этой историей пытаются в TJournal:
Раз https://tjournal.ru/79496-medvedev-podpisal-novye-pravila-identifikacii-polzovateley-messendzherov
Два https://tjournal.ru/79507-pravitelstvo-rossii-zapretilo-anonimnoe-ispolzovanie-messedzherov-eto-budet-rabotat-est-mnogo-voprosov

Главное — теперь надо помнить, что при авторизации в некоторых мессенджерах после 5 мая 2019 года информация об аккаунтах может передаваться операторам связи, а значит властям. Вместе с законом Яровой, обязывающим хранить и выдавать недавнюю переписку пользователя, власти будут не только знать, кому, когда и что писал пользователь, но и кто этот пользователь по паспорту. В остальном, судя по всему, почти ничего не изменится.

Статья Саши Плющева https://www.dw.com/ru/комментарий-власти-целились-в-мессенджеры-а-попали-во-в-контакте/a-46172226

Шифрование SSD-дисков

Очередная “история дня”, связанная с фейлом в шифровании, в этот раз — в SSD-дисках. Исследователи университета Radboud в Нидерландах сообщили об обнаруженных уязвимостях в некоторых дисках SSD, которые позволяют обойти функцию шифрования диска и получилось доступ к данным на диске без использования пароля для расшифровки данных. Уязвимость затрагивает только те SSD-модели, поддерживающие аппаратное шифрование, где функции шифрования перенесены в отдельный встроенный чип, отдельный от главного процессора (модели Samsung, Crucial). Проблема заключается в кривой реализации спецификаций ATA Security и TCG Opal по внедрению аппаратного шифрования в самошифрующихся дисках.

Полный отчет можно получить тут (PDF), но вот из него сразу список некоторых затронутых моделей дисков:

(это только те, что были протестированы в рамках исследования)
Continue reading

Акадо и конфиденциальные данные клиентов

За выходные мне примерно миллион раз прислали ссылку на историю о том, как оператор «Комкор» (оперирующий под торговой маркой «АКАДО Телеком») в течение длительного времени размещал персональную информацию о клиентах в открытом доступе. Эту утечку данных из базы RIPE обнаружил основатель сервиса TgVPN Владислав Здольников, о чем он рассказал в своем посте:

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.

После обращения оператор убрал данные по IP-адресам в блоке person базы данных RIPE в двух приведенных примерах, при этом они отказались скрыть информацию из блока inetnum, где указывается ФИО (или название компании) пользователей.

Собственно, чем это плохо:

Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.

Рекомендую почитать весь пост для ознакомления с деталями.