Конфиденциальность Apple

И говоря о сборе данных (как в истории с GM, например). Вчера Apple существенно обновила страницу Конфиденциальность, как компания регулярно делает к выходу новых версий своих операционных систем. На этой странице пользователи могут узнать о тех шагах, которые предпринимает Apple для сохранения конфиденциальной информации своих пользователей и их данных от самой себя, от сторонних приложений и других интересующихся этой информацией. Тут же отражены и те изменения, которые Apple внесла в последние версии iOS и macOS, например улучшения Internet Tracking Prevention в браузере Safari для ограничения слежки за пользователями в интернете. Очень полезная страница для тех, кто верит в то, что Apple действительно считает себя ответственной за сохранность конфиденциальности пользовательских данных (тех, кто не верит и считает это все маркетингом, никакая страница, конечно, не убедит).
Continue reading

Сбор данных через автомобиль

Detroit Free Press рассказывает об эксперименте General Motors, которая на протяжении трех месяцев в 2017 году собирала данные по прослушиванию радио из автомобилей. Детали собираемых данных включали в себя выбор радиостанции, уровень громкости, почтовый индекс владельца.

Какие выводы из этого собирается делать GM и что будет делать с этими данными – пока непонятно, но ясно, что это может быть шагом к таргетированию рекламой водителей прямо в автомобиле. Представитель GM рассказывает, например, о том, что они обнаружили, что владельцы Cadillac Escalade и GMC Yukon (родственные большие внедорожники) будут, скорей всего, слушать разную музыку. А любитель музыки стиля кантри может чаще останавливаться в определенной сети ресторанов традиционной американской кухни. У GM есть приложение Marketplace в мультимедийной системе автомобилей для совершения покупок прямо в автомобилях, и собранная статистика от прослушивания радиостанций может помочь GM при работе с партнерами в этой системе.
Continue reading

Facebook такой Facebook

Я недавно писал про анонсированный Facebook “умный” гаджет для дома – Portal. Он должен обеспечивать видео-звонки с другими устройствами Portal и приложением на смартфонах, а также наличие умного помощника в доме. Во время анонса представители Facebook утверждали, что у Portal не будет рекламы, а данные, собранные Facebook о пользователях Portal (использование приложений, прослушивание музыки в Spotify, и тд) не будут использованы для таргетирования пользователей рекламой.

В итоге, это оказалось неправдой. То есть часть про “не будет рекламы” все еще пока что правда, а вот с данными как-то нехорошо получилось.
Continue reading

libssh

Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: “can i log in?”

server: “no. you need a password.”

me: “hacker voice i’m in”

server: “login successful. you’re in”

Ленивые мошенники

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

Еще в июле я писал об этом в Телеграм-канале. Далее привожу текст из поста, на случай, если у вас нет Телеграма:
Continue reading

Cybersecus ссылки, 16 окт 2018

– если занимаетесь мошенничеством в интернете, то убедитесь, что архив с софтом для этого мошенничества не называется Very Big Fraud Package.zip (“Очень большой пакет для мошенничества”). Чувак, кстати, получил 14 лет тюрьмы, но не за название архива, конечно
https://www.washingtonpost.com/local/public-safety/md-man-who-called-fraud-the-best-job-in-the-whole-world-gets-14-years-in-prison/2018/10/12/cabdb854-cd85-11e8-a3e6-44daa3d35ede_story.html?utm_term=.7ed1f12efbd4

– уязвимость в SQL-мониторе, позволявшая получить доступ к некоторым данным в SQL Monitor
https://www.red-gate.com/products/dba/sql-monitor/entrypage/security-vulnerability-october-2018

– Свежесозданная социальная сеть для дейтинга сторонников Президента США Дональда Трампа начала с утечки данных своих пользователей
https://motherboard.vice.com/en_us/article/mbdwb3/the-donald-daters-trump-dating-app-exposed-a-load-of-its-users-data

Wall Street Journal пишет о том, что Apple очень извиняется перед китайскими пользователями по поводу взлома их Apple ID аккаунтов. Я писал об этой истории тут, но проблема в том, что даже сейчас из статьи WSJ не ясно, что же именно там на самом деле произошло – ни как был получен доступ к аккаунтам, ни сколько денег при этом украли. Известно только, что аккаунты не были защищены двухфакторной аутентификацией. Какая-то мутная история.

Хакер, но не совсем

Из категории “хорошие новости в мире инфосека”. Я неоднократно писал о проблемах роутеров MikroTik (раз, два, три), которые доставляют неудобства уязвимостями своим владельцам. Как правило, проблемы уязвимостей чинятся установкой обновленной прошивки, но большинство пользователей этого, к сожалению, не делает.

Поэтому за дело взялись специалисты. ZDNet пишет о русскоязычном хакере Алексее, который патчит роутеры, оставленные без присмотра. Он подключается к уязвимым роутерам и добавляет правило на firewall для блокировки внешних подключений. В статье говорится, что он уже исправил правила на более чем 100 тысячах роутеров, из чего я делаю вывод, что, скорей всего, это доброе дело за него делает какой-то скрипт. Также в материале рассказывается, что пользователи, которым он рассказал об этом в телеграм-канале, посвященном безопасности роутеров MikroTik, в основном расстроились такими действиями добровольца. Еще ни одно доброе дело не осталось безнаказанным!

Cybersecus ссылки

– Пентагон заявил о взломе информационной системы, вследствие чего, похоже, утекли данные на 30 тысяч сотрудников военного ведомства, включая имена и данные кредитных карт военного и гражданского персонала:

http://apnews.com/7f6f4db35b0041bdbc5467848225e67d

— Европейское расследование Твиттера по сбору информации через ссылки для сокращения адресов (GDPR такой GDPR)
http://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/

– Устанавливаете дома камеры наблюдения для собственной безопасности? Учтите, что правоохранительные органы могут запросить у разработчика камер данные, хранящиеся в облаке, так что лучше вам под камерами не заниматься ничем предосудительным или нарушающим закон. Первый такой случай, когда данные были переданы (камера Nest, данные, соответственно, у Google), появился в США. А вообще Nest получила уже более 300 подобных запросов, так что практика вполне жива.

– много интересной информации о черве CRASHOVERRIDE, он же известен как “Industroyer”. Отчет Dragos об угрозе и возможных путях защиты от вредоносного ПО, направленного на нанесение ущерба электросети.
https://dragos.com/blog/crashoverride/

Про Apple Watch пропавшего журналиста

В интернете нарезает круги история про Apple Watch журналиста Washington Post, пропавшего после визита в консульство Саудовской Аравии (и, возможно, убитого там). Сама по себе история c его пропажей и возможным убийством ужасна, но я хотел поговорить именно о технологическом аспекте той части истории, где фигурирует Apple Watch. Если вкратце, то пишут, что журналист смог записать аудио своего убийства на Apple Watch, после чего это аудио то ли было передано в облако, то ли на телефон, и таким образом стало известно, что именно произошло с ним после того, как он зашел в здание посольства.

Если честно, то у меня есть большие сомнения в правдивости этой истории. Ноги у этой новости растут из статьи турецкой газеты Sabah, и изобилуют странными деталями, вроде той, что когда убийцы журналиста заметили, что часы ведут запись, они пытались разблокировать часы, прикладывая палец к экрану часов. Но в часах, как известно, нет сканера распознавания отпечатков пальцев.

На первоисточник ссылается Washington Post:

The newspaper also alleged Saudi officials tried to delete the recordings first by incorrectly guessing Khashoggi’s PIN on the watch, then later using the journalist’s finger.

Continue reading