Cybersecus дайджест #55

На 55 пятом выпуске коллекции мне пришла в голову мысль, что неплохо бы ввести для выпусков нумерацию, с чем я себя и поздравляю!

1. Кто-то из Твиттера обнаружил в мультимедия-системе Сингапурских Авиалиний встроенную камеру:
https://twitter.com/vkamluk/status/1097008518685573120
Авиакомпания ответила, что камера есть в некоторых устройствах, но она отключена:
https://twitter.com/SingaporeAir/status/1097124432848527361
https://twitter.com/SingaporeAir/status/1097124503178616832
Подозреваю, компания закупала какие-то планшеты для использования в системе, а практически все планшеты сегодня сразу идут со встроенными камерами. Но осадочек остался, конечно. Столько вариантов можно нагенерить по использованию камер. например, если не смотришь инструкцию по безопасности, на обед не получишь десерт.

Еще интересная статья о том, как мультимедийная система в самолетах может следить за пользователями
https://paxex.aero/2017/10/ife-system-biometrics-panasonic-tascent/

2. Исследование надежности менеджеров паролей в ситуации, если компьютер попал в руки злоумышленников. Изучались 5 популярных менеджеров паролей на платформе Windows: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Из выводов:
– если менеджеры паролей не запущены, практически любой из них будет крайне сложно взломать Брут-форсом.
– Не все менеджеры паролей хорошо подчищают за собой содержимое в памяти, но это можно улучшить.
Важно не воспринимать это исследование как призыв не использовать менеджеры паролей, для большинства обычных пользователей подобные атаки не характерны.
https://www.securityevaluators.com/casestudies/password-manager-hacking/

3. Австралийское правительство, активно внедряющее у себя в стране тему с бэкдорами в программном обеспечении и устройствах, оказалось жертвой компьютерного взлома. Пострадали сервера не только самого правительства, но и политических партий, а в качестве основного подозреваемого фигурирует Китай. К сожалению, дополнительных данных о взломе нет пока что.
https://www.bbc.com/news/world-australia-47274663

4. Статья для общего развития о том, зачем различные приложения, позволяющие следить за здоровьем, собирают себе вашу информацию о здоровье (спойлер-алерт: совсем необязательно, чтобы улучшать ваше здоровье). На самом деле никаких пруфов в статье нет, но говорится о том, что данные о здоровье в целом стоят больше, чем просто обычные персональные данные. Взломы и утечка, и плюс, конечно, потенциально продажа данных страховым компаниям, что может иметь неприятные последствия для уровня страховых премиумов в будущем.
https://theoutline.com/post/7039/there-is-a-reason-apps-make-it-so-fun-to-track-your-health

Cybersecus дайджест

1. Сначала была коллекция на 620 млн пользовательских записей… Потом появились еще 127 млн записей. Теперь появились еще 91 млн записей, что в сумме дает нам… (считает, загибая пальцы) почти 840 млн пользовательских записей, которые включают в себя логины и хешированные пароли.

В списке малознакомые мне Legendas.tv, OneBip, Storybird, Jobandtalent (какой-какой талант???), Gfycat, ClassPass, Pizap и StreetEasy. Не используйте повторные пароли, хотя бы в самых критичных местах типа вашей основной почты, на которую завязаны остальные аккаунты.

https://techcrunch.com/2019/02/16/classpass-gfycat-streeteasy-hacks/

2. Большая утечка данных в Швеции — записи звонков 2,7млн шведов на линию медицинской поддержки оказались доступными в интернете без какой-либо защиты и шифрования. 170 тысяч часов записей с весьма конфиденциальными данными, включая информацию для многих файлов о номере телефона, с которого осуществлялся звонок
https://computersweden.idg.se/2.2683/1.714790/117

3. Twitter сохранял переписку пользователей не только в том случае, если пользователи удаляли эту переписку, но и даже для тех пользователей, учетные записи которых были удалены.
https://techcrunch.com/2019/02/15/twitter-direct-messages/

Cybersecus дайджест

1. Совсем недавно выходил пост про набор из 620 млн паролей, в котором некоторые компании обнаружили для себя новость, что, оказывается, они стали жертвами взлома. Так вот, тот же хакер объявил, что у него “завалялось” еще 127 миллионов пользовательских записей, включая:

18 млн с сайта Ixigo
40 млн с видео-стримингового сервиса YouNow
57 с сайта Houzz
1,8млн с Ge.tt
4 млн с Roll20
5 млн с Stronghold Kingdoms
1 млн с PetFlow
450 тыс с Coinmama

Некоторые сайты использовали для хранения паролей алгоритм хеширования MD5, что чревато расшифровкой. 6 из 16 сайтов, попавших в эту утечку, использовали базу PostgreSQL, которую никто не патчил от известных уязвимостей.
https://techcrunch.com/2019/02/14/hacker-strikes-again/

2. Утилитка HashCat теперь умеет достаточно быстро взламывать восьмизначные хеши Windows NTLM

3. Статья о том, как компания Ring (принадлежит Amazon), производящая “умные” звонки с камерами для дома, предоставила доступ к порталу с видео со звонков для полиции, без всяких ордеров суда.
https://theintercept.com/2019/02/14/amazon-ring-police-surveillance/

Cybersecus дайджест

Подборка новых материалов и ссылок, а также несколько таких, которые по случайности не попали во вчерашний выпуск.

Электрические скутеры — это хорошо? Ну, в целом, да, для города это вполне удобный способ передвижения. Многие сервисы по предоставлению скутеров используют скутеры Xiaomi M365. Так вот, эксперты компании Zimperium продемонстрировали концепцию ПО, которое позволяет злоумышленнику подключиться по Bluetooth к скутеру, и без использования пароля отправлять на скутер различные команды, в том числе для того, чтобы резко ускорить или остановить определенный скутер, на котором в данный момент едет человек. Xiaomi подтвердила, что такая проблема в скутерах действительно присутствует, но пока что исправленной прошивки для скутеров нет. Осторожней там!
https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

Ссылка от читателя на статью с хорошим списком замечаний о законопроекте об автономности российской части интернета. И правильно, потому что “все корневые… вот это всё корневое, не знаю, как это называется… ”
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii

Смешная история о том, как у журналистки украли iPhone, а затем она подружилась по переписке с подростком, которому в итоге достался этот айфон (журналистка в Лондоне, подросток в Индии).
https://thenextweb.com/syndication/2019/02/14/how-i-became-pen-pals-with-the-kid-whole-stole-my-iphone/

Не менее смешная история о том, как ямайский телефонный мошенник позвонил человеку в США и, пытаясь развести его на деньги, рассказывал о том, что жертва выиграла 72 млн долларов в лотерею, но чтобы получить деньги, ему надо перевести 50 тыс долл. Схема, я так понимаю, даже иногда работает, раз ею продолжают промышлять. Только в этом случае мошенник попал на человека, который в прошлом был директором ЦРУ и ФБР (Уильям Вебстер, единственный человек в истории США, занимавший эти две должности). В общем, закончилось все плохо для мошенника.
https://www.washingtonpost.com/crime-law/2019/02/12/william-webster-ex-fbi-cia-director-helps-feds-nab-jamaican-phone-scammer/

Я как-то писал об истории, из которой было понятно только то, что правоохранительные органы США склоняют Facebook к раскрытию шифрования Messenger для записи переговоров кого-то из подозреваемых в рамках какого-то определенного расследования. Тогда у правительства США не получилось заставить Facebook это сделать. Интересно, что правоохранительная организация ACLU пытались через суд получить детали этого расследования, но судья, как пишет Reuters, отказала, потому что “рассекречивание таких документов скомпроментировало методы правоохранительных органов”. Так что все продолжают оставаться в неведении, что и как хотели сделать правоохранительные органы, но это может служить очередным напоминанием о том, что им очень не нравятся механизмы шифрования и они будут продолжать пытаться обойти их или избавиться от них.
https://www.gizmodo.com.au/2019/02/you-dont-get-to-learn-how-the-fbi-tried-to-crack-facebook-messenger-encryption-judge-rules/

А тем временем в Великобритании вроде как предложили принять закон, по которому даже за случайный клик на материалы с пропагандой терроризма можно получить до 15 лет тюрьмы.
https://www.independent.co.uk/news/uk/crime/terrorist-propaganda-website-online-prison-sentence-uk-isis-a8776226.html

Cybersecus дайджест

1. Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

2. А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

3. Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

4. Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

5. Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

6. Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Про уязвимости Adobe, Apple, Microsoft

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

620 млн паролей

В интернете появился очередной новый архив с паролями на продажу, в котором 617 млн записей, включая имена учетных записей, адреса электронной почты, и пароли в хеше. Некоторые пароли были захешированы с использованием MD5, что чревато.

В архив входят утечки со следующих сайтов:
Dubsmash (162 млн)
MyFitnessPal (151 млн)
MyHeritage (92 млн)
ShareThis (41 млн)
HauteLook (28 млн)
Animoto (25 млн)
EyeEm (22 млн)
8fit (20 млн)
Whitepages (18 млн)
Fotolog (16 млн)
500px (15 млн)
Armor Games (11 млн)
BookMate (8 млн)
CoffeeMeetsBagel (6 млн)
Artsy (1 млн)
DataCamp (700 тыс).

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

Некоторые сайты из этого списка ранее озвучивали уже тот факт, что они были взломаны, для некоторых это оказалось, похоже, новостью. В частности, сегодня сайт 500px рассылал пользователям уведомление о том, что их команда узнала о проблеме безопасности и заодно сбросила пароли всем пользователям. Взлом 500px произошел 5 июля 2018 года. Свидетельств несанкционированного доступа к пользовательским аккаунтам с использованием украденных данных пока что зафиксировано не было, пишет компания в письме пользователям.

PS полезная статья о хешировании паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

Cybersecus дайджест

Очередная подборка новостей на тему информационной безопасности.

1. Читатели прислали мне примерно 100500 миллионов раз ссылку на статью про “странности в алгоритмах ГОСТ Кузнечик и Стрибог”, из которой можно сделать выводы про возможное наличие бекдоров в российских алгоритмах шифрования.
https://m.habr.com/ru/company/virgilsecurity/blog/439788/

2. Криптографическая атака на зашифрованный трафик, которая актуальна даже против TLS 1.3
https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

3. Помните историю с австралийским законом, по которому технологические компании должны предоставлять помощь правоохранительным органам в доступе к зашифрованной информации? (вплоть до скрытого рекрутинга сотрудников компаний с последующим встраиваением бекдоров). В статье сообщается, что уже пошла активная эксплуатация норм закона для доступа куда потребуется.
https://www.innovationaus.com/2019/02/AA-bill-notices-already-issued

4. Статья о том, как Google и Apple размещают в своих магазинах приложение Absher, используемое мужчинами в Саудовской Аравии для контроля за перемещением своих жен (предупреждения о приближении к аэропортам, пересечении границ, и тд). Формально приложение отвечает требованиям правительства СА, но представители правоохранительных органов утверждают, что это приложение нарушает и притесняет права женщин, и поэтому приложение должно быть удалено из App Store/Google Play.
https://www.businessinsider.com/apple-google-criticised-for-saudi-government-app-activists-say-fuel-discrimination-2019-2

5. Amazon покупает компанию Eero, разработчика mesh-роутеров для домашнего WiFi, и что это может означать для конфиденциальности данных пользователей роутеров.
https://techcrunch.com/2019/02/12/amazon-eero-privacy/

6. Компания VFEmail, провайдер почты для компаний и индивидуальных лиц, подверглась атаке, в результате которой все данные (включая резервные копии) были удалены. Все, все что нажито непосильным трудом за 18 лет существования компании. Хакер просто отформатировал все сервера компании, включая те, на которых хранились бекапные данные.
https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/

Cybersecus дайджест

1. По следам истории с приложениями, скрытно записывающими действия пользователей с помощью стороннего SDK Glassbox, Apple отреагировала оперативно и заявила следующее:

“Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity. We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary”

Таким образом, разработчики должны прямо запросить разрешения пользователя на запись активности в приложении, а также предоставить четкий визуальный индикатор записи действий пользователя. В противном случае приложениям грозит удаление из App Store.
https://techcrunch.com/2019/02/07/apple-glassbox-apps/

2. Комментарий: Google начал цензурировать поисковую выдачу в России?
https://www.dw.com/ru/комментарий-google-начал-цензурировать-поисковую-выдачу-в-россии/a-47427466

3. Целая пачка ссылок на тему превращения рунета в суверенный чебурнет (прислали несколько читателей, и я так понимаю, в России эта тема сейчас очень актуальна)
Атака изнутри: операторы протестируют закон об устойчивости Рунета
https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927
Эксперты: Для устойчивости Рунета необходима полная карта электросвязи
https://vz.ru/news/2019/2/7/963164.html
Правительство РФ намерено поддержать законопроект о защите российского сегмента интернета и его устойчивой работы, однако авторам предложено доработать документ ко второму чтению.
http://sozd.duma.gov.ru/bill/608767-7

4. Все мобильные устройства зарегистрируют в базе данных Россвязи
Любой новый телефон или планшет при ввозе в Россию будет проходить проверку на подлинность по международному идентификатору мобильного оборудования (IMEI, включает данные о происхождении, модели и серийном номере). Аппараты, не прошедшие проверку и не включенные в специальную российскую базу данных (ее оператором может стать Россвязь), просто не смогут подключаться к сетям операторов мобильной связи.
(то ли у меня дежавю, то ли такое уже было?)
https://rg.ru/2019/02/07/vse-mobilnye-ustrojstva-zaregistriruiut-v-baze-dannyh-rossviazi.html

Про содержимое апдейта iOS 12.1.4

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

Так что обновление iOS до последней версии лучше не затягивать.