Cybersecus дайджест

Привет! После неожиданного затишья — снова большая коллекция интересных ссылок на тему того, как практически вся информация находится опасносте! В ней каждый найдет для себя что-то интересное.

1. Хакеры взламывают и управляют промышленными кранами
https://www.forbes.com/sites/thomasbrewster/2019/01/15/exclusive-watch-hackers-take-control-of-giant-construction-cranes/

2. Новый отчет о состоянии кибербезопасности в министерстве обороны США . Незакрытые серверные боксы, передача незашифрованных данных через USB-флешки, отсутствие двухфакторной аутентификации, пароли по умолчанию во многих системах — это только некоторые из сотен проблем, обнаруженных комиссией по исследованию проблемы.
https://media.defense.gov/2019/Jan/11/2002078551/-1/-1/1/DODIG-2019-044.PDF

2а. Кстати, а вот еще интересный PDF — “Национальная стратегия разведки США” на 2019 год.
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf

3. Полиция в США часто применяет камеры для распознавания номеров автомобилей. Журналист TechCrunch обнаружил более 150 устройств для распознавания автомобильных номеров, которые подключены к интернету, и данные на которых доступны к просмотру. Как правило, речь идет о паролях по умолчанию, которые описаны в документации, и которые никто не меняет.
https://techcrunch.com/2019/01/22/police-alpr-license-plate-readers-accessible-internet/

4. Все, как я люблю — хакеры подключились к камере Nest и напугали владельцев камеры объявлением, что на США летят ракеты Северной Кореи. А все потому, что повторное использование паролей — зло!
https://www.mercurynews.com/2019/01/21/it-was-five-minutes-of-sheer-terror-hackers-infiltrate-east-bay-familys-nest-surveillance-camera-send-warning-of-incoming-north-korea-missile-attack/

5. Apple выпустила вчера апдейты для своих операционных систем, и там всегда интересно читать содержимое исправлений безопасности
iOS 12.1.3
macOS Mojave 10.14.3
tvOS 12.1.2
watchOS 5.1.3

(10 исправлений уязвимостей, обнаруженных разработчиками Google, в iOS 12.1.3)

6. Эксперт и архитектор по безопасности, работавший в Apple, перешел в правозащитную организацию ACLU и рассказывает в интервью о наблюдении, опасности бэкдоров и других интересных вещах
https://motherboard.vice.com/en_us/article/wjmqgw/apples-security-expert-joined-the-aclu-to-tackle-authoritarian-fever

7. Забавный хэштег в Твиттере — shodansafari, где выкладывают всякие интересности в широко известном в узких кругах поисковике Shodan. Этот поисковик используется для обнаружения незащищенных и открытых устройств и баз данных. Камеры, роутеры, устройства для обнаружения взрывчатки и много всего другого… Иногда интересно, иногда вызывает депрессию.
https://twitter.com/hashtag/shodansafari?src=hash&ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1062457924679811073&ref_url=https%3A%2F%2Ftechcrunch.com%2F2019%2F01%2F21%2Fshodan-safari%2F

8. Апдейт от Google про 2018 год в G Suite. Из которого, в частности, мне было интересно узнать, что каждую минуту система обрабатывает почти 10 млн спам и фишинговых писем.
https://cloud.google.com/blog/products/g-suite/2018-in-g-suite-a-year-in-review

9. Уязвимость в WiFi прошивке затрагивает ноутбуки, смартфоны, роутеры. Уязвимость в прошивке чипсета Marvell Avastar 88W8897, используемого в Sony PlayStation 4, Xbox One, ноутбуках Microsoft Surface и Samsung Chromebooks, в смартфонах Samsung Galaxy J1 и тд.
https://www.zdnet.com/article/wifi-firmware-bug-affects-laptops-smartphones-routers-gaming-devices/

Cybersecus дайджест

Оставлю вас на выходные с большой коллекцией ссылок на почитать.

1. Федеральный судья в США постановил, что полиция не может принудить человека разблокировать iPhone c помощью Face ID или Touch ID, таким образом приравняв биометрическую безопасность устройств к паролям. Я как-то писал об этой коллизии между биометрией и паролями “в голове”, так что официальное решение суда по этому поводу вносит какую-то ясность в этот вопрос.

https://www.documentcloud.org/documents/5684083-Judge-Says-Facial-Recognition-Unlocks-Not.html

2. У The Verge вышло интервью с техническим директором компании Vizio, крупного производителя телевизоров в США. В свое время компания оказалась участником скандала, в рамках которого обнаружилось, что компания скрытно собирала информацию о том, что пользователи смотрят на экране телевизоров. Эта история опять всплыла, когда на CES Apple анонсировала, что в телевизорах Vizio (а также Samsung, LG, Sony) появится поддержка AirPlay и HomeKit. Тут же последовали вопросы, как Apple, которая борется за конфиденциальность данных своих пользователей, будет мириться с такими практиками в современном телемире. (ответ на этот вопрос был такой, что у Apple условие с телепроизводителями, что данные, идущие по AirPlay/HomeKit, собираться и обрабатываться не могут). Но речь немного не об этом. Так вот, в интервью он признал, что сбор данных, по сути, частично отбивает стоимость телевизоров, иначе телевизоры (без smart-функциональности) были бы просто дороже. (Прекрасно, прекрасно!). Так что за дешевые телевизоры пользователи просто платят своими данными, и очевидно, что дальше будет хуже.

https://www.theverge.com/2019/1/7/18172397/airplay-2-homekit-vizio-tv-bill-baxter-interview-vergecast-ces-2019

3. Тим Кук, генеральный директор Apple, опубликовал заметку в журнале Time, в которой призвал к принятию в США закона о конфиденциальности пользовательских данных. Все, как он неоднократно говорил: 1. минимизация сбора данных, 2. право на знание о том, что за данные собираются и зачем, 3. Право на доступ пользователей к своей информации, включая изменение и удаление, и 4. право на безопасность данных. Не то, чтобы европейский GDPR внезапно сделал нам всем хорошо и безопасно, но лучше, конечно, чтобы и на этой стороне водоема под названием Атлантический океан что-то такое было.

http://time.com/collection/davos-2019/5502591/tim-cook-data-privacy/

4. Твиттер рассказал о баге, который привел к тому, что часть твитов у защищенных аккаунтов на смартфонах с Android оказывалась публично доступной. На протяжении нескольких лет.
https://help.twitter.com/en/protected-tweets-android

5. Популярный плагин для WordPress — Social Network Tabs, используемый для подключения аккаунтов социальных сетей к сайту, оставлял токены прямо в исходном коде сайтов на WordPress.
https://twitter.com/fs0c131y/status/1085828186708066304

Cybersecus дайджест

Еще несколько интересных и актуальных ссылок на тему канала:

1. Заметка о модной штуке в ФБ и других соцмедиа — постах с фотографиями за 10 лет. Автор рассуждает на тему того, что такие посты хорошо помогают тренировать алгоритмы об изменениях человека с возрастом, что дает социальным сетям дополнительную информацию о нас. Что само по себе как бы не плохо, просто факт.
https://www.wired.com/story/facebook-10-year-meme-challenge/

2. Исследование о том, что пользователи очень плохо представляют себе масштабы сбора информации Фейсбук о них. Я с этим сталкиваюсь каждый раз, когда натыкаюсь на очередное обсуждение слухов о том, что “фейсбук нас слушает через микрофон смартфона”.
http://www.pewinternet.org/2019/01/16/facebook-algorithms-and-personal-data/

3. Интересный feature request к Google для того, чтобы внедрить специальный PIN на телефоне, который бы приводил к удалению данных на устройстве. Конечно, риски случайно удалить данные есть, но для некоторых ситуаций это может оказаться полезным
https://issuetracker.google.com/issues/121372590

4. Илон Маск выставил Tesla в соревновании по взлому Pwn2Own
https://www.theverge.com/2019/1/14/18182539/teslas-model-3-pwn2own-cansec-west-bug-bounty-hacked

5. Уязвимость в Fortnite позволяла злоумышленникам перехватывать учетные записи пользователей.
https://research.checkpoint.com/hacking-fortnite/

6. Большой материал о Magecart, группировке, которая взламывает сайты и подключает свое вредоносное ПО для кражи данных о банковских картах
https://www.riskiq.com/blog/labs/magecart-adverline/

7. Как Твиттер раскрывал информацию о местоположении пользователей
https://arxiv.org/pdf/1901.00897.pdf

Insecurity cameras

Накопившихся за последние несколько дней материалов оказалось столько, что его можно группировать по категориям. Вот, например, сразу несколько материалов о камерах.

1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит камеры наблюдения и рекламирует их конечным потребителям. Камеры могут быть установлены в дверные звонки или просто где-то дома, и обеспечивают трансляцию происходящего в объективе камеры на смартфоны пользователей. Алгоритмы, распознавание объектов и лиц, вплоть до в будущем уведомлений полиции о подозрительных лицах в кадре, вот это все. Правда, тут оказалось, что для распознавания компания использовала во многих случаях не алгоритмы, а сотрудников в Украине. Видео передавалось и хранилось в незашифрованном виде, а ко всем видео имелся доступ у сотрудников, которые просматривали видео и классифицировали объекты, когда AI фейлился. Более того, многие сотрудники и менеджеры в офисе в США тоже имели доступ к прямой трансляции многих пользователей камер. Говорят, что с момента приобретения компании Amazon были внедрены более строгие правила доступа к видео, но, по словам бывшего сотрудника компании, у сотрудников все равно есть методы обхода этих правил. Представители Ring опровергают материалы расследования.

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

2. Камеры наблюдения, которые устанавливают владельцы квартир и домов, могут иметь и другие последствия. Например, вот прекрасная история о том, как в квартире, которую автор снял через AirB&B, оказалась камера наблюдения, о которой владелец квартиры не рассказал. Автор отключил камеру, и какой потом спор с владельцем и сервисом развернулся. Но чужие камеры — это и правда стремно, и никогда не знаешь, кто и как за тобой наблюдает.
http://jeffreybigham.com/blog/2019/who-is-watching-you-in-your-airbnb.html

3. По этому поводу пригодится статья, присланная читателем, о том, как можно находить скрытые камеры:
https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/

4. Ну и полезный тред в твиттере по этому поводу: “there is no such thing as an IoT security camera”.
https://twitter.com/ErrataRob/status/1084567735990919168

Cybersecus дайджест утечек

Привет! После небольшого, но приятного перерыва, редакция с новыми силами врывается в мир новостей информационных опасностей. Поскольку за время отсутствия редакции появилось много интересного материала, то начнем с коллекции ссылок про различные утечки.

1. Исследователь обнаружил некорректно настроенный сервер Jira, принадлежащий NASA, на котором любой желающий мог узнать имена и электронные адреса сотрудников NASA, а также проекты, над которыми они работали.

https://medium.com/@logicbomb_1/bugbounty-nasa-internal-user-and-project-details-are-out-2f2e3580421b

2. Незащищенный сервер с миллионами записей о звонках и текстовых сообщениях на протяжении длительного времени был доступен в интернете с открытым доступом. Если вам кажется, что вы испытываете чувство дежавю, то вам не кажется. В ноябре похожая история была с компанией Vovox (https://t.me/alexmakus/2513), на серверах которой хранились миллионы текстовых сообщений, включая коды сбросов паролей и двухфакторной аутентификации. Теперь отличилась компания Voipo с десятками гигабайт пользовательской информации.
https://rainbowtabl.es/2019/01/15/voipo-data-leak/

3. Система бронировки авиабилетов Amadeus, которую используюсь многие крупные авиакомпании мира, позволяла изменить чужое резервирование, зная только номер бронировки человека — путем подстановки кода бронировки в веб-адрес израильской авиакомпании El Al.

https://www.safetydetective.com/blog/major-security-breach-discovered-affecting-nearly-half-of-all-airline-travelers-worldwide/

4. Очередной незащищенный инстанс MongoDB на 854ГБ данных содержал более 200 млн резюме, включая различную персональную информацию, такую как номера телефонов, рост-вес, и тд. Судя по скриншотам, речь идет о китайских пользователях, информация о которых собиралась с различных сайтов на протяжении многих лет.
https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

5. Исследователь по безопасности обнаружил ряд уязвимостей в программном обеспечении популярных хостинговых сайтов (Bluehost, DreamHost, Hostgator, OVH, iPage), которые позволяли захват пользовательских учетных записей.
https://www.websiteplanet.com/blog/report-popular-hosting-hacked

6. На Филиппинах субподрядчик по выдаче гражданских паспортов после разрыва контракта “ушел” со всеми данными, и теперь тем гражданам страны, которым нужно обновить паспорт, часто приходится приносить свидетельства о рождении. Какой-то WTF! (тоже своего рода утечка)
https://www.philstar.com/headlines/2019/01/12/1884444/dfa-passport-maker-runs-all-data

Cybersecus дайджест

Привет! Сегодня отличные ссылки!

1. У Лаборатории Касперского в прошлом году были определенные трудности в США: обыски ФБР у сотрудников американского офиса, запрет на покупку лицензий в госорганах, отказ основного розничного партнера от продажи продуктов компании, и тд. Это связано с различными обвинениями в сторону компании, и в том числе и о причастности компании к утечке материалов NSA (что потом было опровергнуто). На Politico вышла вчера статья о том, как та же ЛК сдала NSA их подрядчика, который “вынес” с работы 50ТБ (терабайт) данных, и почему-то пытался связаться с Евгением Касперском. Поскольку сотрудникам ЛК этот Мартин показался связанным с Shadow Brokers, они сообщили о нем в NSA.

2. Google решила ограничить для многих приложений доступ к SMS и истории звонков, если это не является основной или необходимой функциональностью приложения.
https://support.google.com/googleplay/android-developer/answer/9047303?hl=ru

3. Хотите заработать 2млн долларов? Все, что вам нужно — это обнаружить уязвимость нулевого дня, обеспечивающую удаленный джейлбрейк iOS. Там есть и выплаты за другие операционные системы, но больше всего денег дают все-таки на обнаруженные уязвимости в iOS.
https://zerodium.com/program.html

4. Невероятной интересности тред в Твиттере про поимку El Chapo. Там все, что автор писал в последние несколько дней, выглядит как сериал Narcos в текстовом режиме, но этот тред особенно интересен. Мне особенно понравилось, что El Chapo попросил своего IT-шника установить на телефон жены программное обеспечение для слежения за ней (Flexi-Spy). Затем этот IT-шник начал сотрудничать с ФБР, рассказал им об этом факте, ФБР пришла с ордером к разработчику этого ПО, и получила доступ к переписке El Chapo с женой. (та же история с двумя его любовницами). Неожиданный вектор атаки.
https://twitter.com/alanfeuer/status/1083033189956964353

5. Бага в выдаче результатов поиска Google, позволяющая с помощью пары символов в адресной строке выдавать какие угодно результаты в knowledge graph
https://wietzebeukema.nl/blog/spoofing-google-search-results

PS редакция на несколько дней уйдет в себяоффлайн, поэтому обновления канала возобновлятся на где-то на следующей неделе. Не сломайте тут интернет, пока меня не будет.

Cybersecus дайджест

1. История, заслуживающая внимания — как журналисты издания Motherboard за 300 долларов смогли получить данные о местоположении iPhone на основе данных, продаваемых операторами мобильной связи в США. Данные, продаваемые операторами, оказываются доступными на сайтах, которые используют bounty hunters (пытался понять, как правильно перевести bounty hunters на русский. есть типа термин “охотник за головами”, но он не совсем правильно описывает современных bounty hunters, которые ловят тех, кто сбежал из-под залога. Наверно, все-таки пусть будет “охотник за головами”). Пора заводить отдельный канал “информация о местоположении опасносте”.
https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile

2. Yubico анонсировали ключи с портом Lightning для iOS-устройств (а также с USB-C)
https://www.yubico.com/2019/01/yubico-launches-the-security-key-nfc-and-a-private-preview-of-the-yubikey-for-lightning-at-ces-2019/

3. Интересно, что немецкого хакера, слившего информацию о публичных личностях, вычислили по аккаунту в Telegram, который был зарегистрирован на настоящий номер телефона. Он общался с каким-то корешем, который много хвастался в интернете таким контактом, кореша арестовали как свидетеля, и все.
https://twitter.com/i0n1c/status/1082612305391730688

4. Некоторые пользователи смартфонов Samsung обнаружили, что они не могут удалить приложение Facebook со своих телефонов. Таковым было условие сделки между Samsung и Facebook. Пользователи могут “отключить” приложение, но при этом опасаются, что приложение все равно собирать и отправлять данные в Facebook (FB говорит, что это не так, но кто же им поверит?)
https://www.bloomberg.com/news/articles/2019-01-08/samsung-phone-users-get-a-shock-they-can-t-delete-facebook

5. 85 приложений в Google Play с миллионами закачек, маскирующиеся под игры и другие приложения, на самом деле работали в фоне, показывали рекламу втихаря и всячески накручивали деньги своим разработчикам
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-disguised-as-game-tv-remote-control-apps-infect-9-million-google-play-users/

Кризис, шмизис

Прошло несколько дней с того момента, как Apple объявила, что прогнозированные ранее результаты квартала придется немного “пересмотреть”. Можете почитать об этом по ссылке выше, если вы вдруг пропустили, а также здесь есть перевод письма Тима Кука акционерам на русском языке. Напомню вкратце: компания объявила, что прогнозируемая ранее выручка в квартале на уровне 89-93 млрд долларов не будет достигнута, а выручка составит примерно 84 млрд долл (не дотянули примерно 5% от минимального прогноза и около 9% от максимального).

Даже несмотря на то, что Тим Кук несколько раз упомянул рынок Китая как один из основных составляющих компонентов падения, аналитики всех мастей завели волынку о самых разных проблемах с продуктами компании и о проблемах внутри самой компании. Вот заголовки статей только с одного сайта за сутки(!):

Continue reading

Cybersecus дайджест

коллекция интересных ссылок:

1. Голландская компания Consumentenbond протестировала 110 смартфонов на Android на предмет работы функции распознавания по лицу владельца. 42 телефона были разблокированы с помощью фотографий.

Полный список протестированных телефонов по ссылке
https://www.consumentenbond.nl/veilig-internetten/gezichtsherkenning-te-hacken

2. Исследование о том, как UEFI rootkit от группировки Fancy Bear проникает в Windows PCs
https://www.theregister.co.uk/2019/01/02/lojax_uefi_rootkit/

3. Исследование о подозрительных приложениях в App Store, которые скрытно коммуницируют с серверами известного вредоносного ПО для Android Golduck. Вроде бы пока что ничего вредоносного на iOS-приложения не передается, но потенциально такой бэкдор содержит в себе некий риск. Вот эти приложения:
Commando Metal: Classic Contra, Super Pentron Adventure: Super Hard, Classic Tank vs Super Bomber, Super Adventure of Maritron, Roy Adventure Troll Game, Trap Dungeons: Super Adventure, Bounce Classic Legend, Block Game, Classic Bomber: Super Legend, Brain It On: Stickman Physics, Bomber Game: Classic Bomberman, Classic Brick – Retro Block, The Climber Brick, Chicken Shoot Galaxy Invaders.
https://www.wandera.com/risky-apps/

4. Репозиторий Modlishka, тулзы для фишинга. С поддержкой 2FA и много всего полезного. Do no evil!
https://github.com/drk1wi/Modlishka

5. Исследование MIT, из которого следует, что если скомбинировать достаточное количество наборов анонимных данных, то вполне на выходе можно получить деанонимизированные данные
http://news.mit.edu/2018/privacy-risks-mobility-data-1207