ZombieLoad

Обнаружен новый набор уязвимостей в процессорах Intel (вплоть до 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.

Ссылки по теме:
Информация об атаке

Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
Continue reading

Новое приложение Apple TV

На прошлой неделе у меня была возможность послушать рассказ “от первоисточников”, так сказать, о новом приложении Apple TV для iOS и tvOS. (Написать эти заголовок и строку было не так просто, как может показаться — нужно было не запутаться в упоминаниях Apple TV как приложения, которое выпущено в том числе и для Apple TV как приставки). It just works!™

Так вот, вместе со вчерашним выходом обновлений iOS 12.3 и tvOS 12.3 пользователи получили обновленное приложение Apple TV. Оно было анонсировано в марте на мероприятии Apple по запуску новых сервисов компании. Кстати, это приложение вышло не только для устройств Apple, но и для смарт-телевизоров Samsung (это показали еще в январе на CES, хотя и под именем iTunes Store). Осенью также выйдет и приложение для macOS. Именно в этом приложении тоже осенью появится собственный контент Apple TV+ со своими собственными сериалами и фильмами, но вчерашний апдейт приложения не о нем. Некоторые изменения в новом приложении не очень актуальны для пользователей Apple TV в России, но не все так безнадежно, судя по ответам представителей компании.
Continue reading

Cybersecus дайджест #81

Сразу две хорошие новости, я отлучился на небольшой отпуск, и за это время ничего катастрофического не произошло! Если, например, не считать того, что из-за проблем с сертификатом у Firefox, что привело к тому, что уже установленные расширения не запускались, а новые не устанавливались. Те 2,5 пользователя Firefox, которые пострадали, уже знают, что проблема была исправлена:
https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/

А вот в китайском аналоге AWS — на облачной платформе Alibaba Cloud — обнаружилась база данных жителей из нескольких районов Пекина, которую собрали власти города с помощью системы распознавания лиц. “Умный город”, говорили они, “общественный транспорт вовремя”, говорили они, устанавливая камеры наблюдения. Только базу забыли закрыть паролем, и она лежала доступной для кого угодно в интернете. Elasticsearch, гигабайты данных, включая данные о распознавании сотен лиц за несколько месяцев. Базу обнаружил эксперт по кибербезопасности Джон Ветингтон, рассказавший об этом изданию TechCrunch.
https://techcrunch.com/2019/05/03/china-smart-city-exposed/

Компания 1Password, разработчик одноименного менеджера паролей, предлагает бесплатную версию своего приложения для журналистов. Нужно зарегистрироваться на странице, компания проверит статус зарегистрировавшегося как журналиста, и после этого зарегистрировавшийся получит бесплатную версию приложения.
https://blog.1password.com/world-press-freedom-day-1password-journalism/
Continue reading

Квартальные результаты Apple, второй квартал 2019 года

И снова с вами, несмотря на праздники, регулярная ежеквартальная рубрика “Хроники краха Apple” (или, как я еще её называю, комментарии к озвученным результатам деятельности компании за прошедший квартал).

Сначала главные финансовые показатели квартала (как известно, Apple прекратила раскрывать количество проданных единиц своих устройств). Общая выручка составила 58 млрд долларов, что на 5% ниже по сравнению с годом ранее, когда была зафиксирована выручка в объеме 61,1 млрд долл.
Из этих 58 млрд:
– $31,05 млрд: iPhone
– $11.45 млрд: Сервисы (новый рекорд)
– $5,51 млрд: Мак
– $5,13 млрд: Носимая электроника, электроника для дома и аксессуары
– $4.87 млрд: iPad

На следующий квартал Apple прогнозирует выручку в объеме между 52,5 и 53,5 млрд долл (годом ранее выручка составила 53,3 млрд). Похоже, что маховик сервисов набирает обороты и дальнейшее снижение выручки прекращается. Уже все не так ужасно, как в предыдущем квартале, после которого в этом периоде действительно ожидалась некая стабилизация. Интересно, что обычно июньский квартал показывал снижение против мартовского на 15%, а в этом году Apple прогнозирует снижение всего лишь на 8%

Вот как на эти новости отреагировал рынок — акции компании выросли на 5% на торгах после закрытия рынка:

Continue reading

Cybersecus дайджест #80

1. Bloomberg, издание, которое в свое время опубликовало материал о наличии китайских “жучков” в серверах Apple и Amazon, теперь публикует статью об обнаруженных в сети Vodafone Italy бэкдорах в оборудовании Huawei. Уязвимости были обнаружены в период с 2009 по 2011 год в роутерах для домашнего интернета, а также в инфраструктурном оборудовании оператора. В статье также говорится, что уязвимости существовали и после 2012 года, и присутствовали в сетях компании в Великобритании, Германии, Испании и Португалии.

В отличии от истории про сервера Apple и Amazon, где обе компании активно опровергали информацию Bloomberg, в этом случае Vodafone подтвердил, что уязвимости действительно были обнаружены, но проблема была решена в 2011-2012 годах. Huawei со своей стороны утверждает, что это не намеренное включение бэкдоров в оборудование, а “технические ошибки, которые были обнаружены и исправлены”.
Материал Bloomberg https://www.bloomberg.com/news/articles/2019-04-30/vodafone-found-hidden-backdoors-in-huawei-equipment-jv3fmbrc
Дополнительный материал в ZDNet https://www.zdnet.com/article/huawei-denies-existence-of-backdoors-in-vodafone-networking-equipment-brands-them-technical-flaws/
Continue reading

Apple vs мониторилки использования смартфонов

Пару недель назад я писал о том, как Лаборатория Касперского подала жалобу против Apple по поводу блокировки апдейтов для их приложения по мониторингу активности детей. Я там подробно разобрал и сам пост ЛК, и технические ограничения самой iOS, которые требуют определенных приседаний для того, чтобы такие приложения вообще работали (и как эти приседания, вероятней всего, нарушают требования Apple к мобильным приложениям в iOS).

На прошлой неделе к этой теме еще подключилась The New York Times, опубликовавшая материал на эту тему, в котором тоже активно педалируется месседж, что Apple ограничивает приложения сторонних разработчиков в пользу функции Screen Time в iOS 12. Статья изобилует цитатами разработчиков, которые жалуются, что их приложения начали блокировать с бухты-барахты, без всяких предупреждений. Вся эта активность привела к тому, что Фил Шиллер, вице-президент Apple по продуктовому маркетингу ответил в письме одному из пользователей, в котором описал позицию компании и отметил, что статья в NYT подала информацию только с одной стороны, не озвучив позицию компании полностью.
Continue reading

Cybersecus дайджест #79

После небольшого затишья редакция возвращается в строй с коллекцией интересных ссылок из мира информационных опасностей.

Россиянам на заметку: материал от BBC о том, как продают ваши данные и доступ к ним.
“В России расцвел нелегальный рынок “онлайн-пробива”, на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу.”
https://www.bbc.com/russian/features-48037582

Полезные советы от ЛК по хоть каким-то усилиям, которые могут предпринять пользователи по улучшению безопасности своих данных.
“Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.”
https://www.kaspersky.ru/blog/privacy-ten-tips-2018/

В пятницу Docker Hub объявил о взломе и утечке данных на 190 тыс пользовательских записей (менее 5% от общего количества пользователей), включая логины, хешированные пароли, и токены доступа к GitHub и Bitbucket. Пользователям рекомендуется сменить пароли в Docker Hub, и переподключить их к репозитория, так как токены были отозваны. Также стоит проверить логи в Github и Bitbucket на предмет несанционированного доступа.
https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/
Continue reading

Cybersecus дайджест #78

1. Прекрасная по своей трагичности история про студента, который использовал устройство USB killer (флешка, которая вставляется в USB-порт, и приводит к преждевременной смерти компьютера) для того, чтобы нанести вред колледже, в котором он учился. Он воткнул флешку в 66 компьютеров на кампусе, и наверняка получил от этого какое-то удовлетворение. Вреда на 58 тыс долларов, а штраф светит до 250 тыс долларов, плюс еще до 10 лет тюрьмы. Мотивация такого поступка что-то не очень ясна.
Тут можно почитать больше про эти самые USB Killer
https://arstechnica.com/information-technology/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
О признании вины студента
https://www.justice.gov/usao-ndny/pr/former-student-pleads-guilty-destroying-computers-college-st-rose

2.Помните WannaCry? ((если не помните, то можно освежить память поиском по каналу запросами WCry, WannaCry, WannaCrypt, ETERNALBLUE). Короче, страшный вирус-вымогатель, эпидемию которого удалось остановить только благодаря тому, что в коде нашли незарегистрированный домен для kill-switch.

Герой, который остановил эту эпидемию — Marcus Hutchins, британский исследователь, которого потом неожиданно арестовали в Лас Вегасе на конференции Def Con в 2017 году. В итоге оказалось, что он в свое время написал ПО для воровства данных к банковским учетным записям. На прошлой неделе он признал свою вину по двум инцидентам, и теперь ему светит до 5 лет тюрьмы за каждый инцидент, и до 250 тыс долларов штрафа. Забавно, что после этого в infosec-сообществе развернулось бурное обсуждение на тему “кто из нас в детстве не был хакером, взламывающим банки”, но, кажется, все остались при своем мнении (и со своими скелетами в шкафах).
https://www.malwaretech.com/public-statement

Continue reading

Cybersecus дайджест #77, Facebook edition

Свежие апдейты про Facebook

Я несколько дней назад писал о том, как Facebook при создании новой учетной записи в социальной сети требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса, чтобы провести некую автоматическую проверку. У меня было тогда подозрение, что этим все не ограничится, и действительно, оказалось, что пароль это было только начало. Потому что дальше Facebook без запроса разрешения пользователя загружал адресную книгу пользователей себе на сервер. Business Insider запросили подтверждение у Facebook, и компания признала, что действительно “случайно” загрузила данные адресных книг 1,5 млн пользователей, и теперь собирается удалить эти данные.
https://www.businessinsider.in/Facebook-says-it-unintentionally-uploaded-1-5-million-peoples-email-contacts-without-their-consent/articleshow/68930320.cms

Еще один follow-up к истории про Facebook из марта, когда компания обнаружила в служебных файлах данные 600 млн паролей пользователей. Тогда шла речь о том, что среди этих паролей также “завалялись” пароли десятков тысяч пользователей Instagram. Сегодня у поста появилось обновление:
Continue reading

Cybersecus дайджест #76

Пользователям Evernote для Мак рекомендуется убедиться, что их приложение обновилось до последней версии. В приложении была исправлена уязвимость, позволявшая исполнение вредоносного кода на компьютере жертвы:
https://www.inputzero.io/2019/04/evernote-cve-2019-10038.html

У систем удаленного управления некоторыми функциями автомобилей (обогрев салона, открытие-закрытие дверей, контроль сигнализации, и тд) MyCar обнаружили лажу — в мобильном приложении были прошиты логин-пароль для работы с системой. Они могли быть использованы вместо пользовательских логина и пароля для подключения к автомобилю и активации вышеуказанных функций кем-то вместо владельца автомобиля. Удобно!
https://kb.cert.org/vuls/id/174715/

Покупаете детям умные часы для мониторинга детей? Будьте готовы к тому, что кроме вас, их могут мониторить и другие люди, в том числе получать информацию об их местоположении и даже подслушивать их разговоры. Об этом узнала компания Tic Toc Track, продающая подобные часы под своим брендом. А на самом деле они продавали чужие часы Gator Kids GPS watch с незащищенной системой, позволявшей злоумышленникам наблюдать за чужими детьми.
https://www.pentestpartners.com/security-blog/tic-toc-pwned/
https://www.pentestpartners.com/security-blog/tracking-and-snooping-on-a-million-kids/

Взлом крупного аутсорсера Wipro, через сеть которого впоследствии были организованы атаки на клиентов компании
https://krebsonsecurity.com/2019/04/experts-breach-at-it-outsourcing-giant-wipro/