Немецкая утечка – апдейт

На прошлой неделе я писал о том, как в Германии сотни известных людей обнаружили, что их личные данные оказались публично доступны в интернете. Журналисты успели понаписывать версии о том, как за этими взломами и утечкой могут стоять хакеры какой-нибудь страны, но все может оказаться проще (по крайней мере, на сегодня кажется так). Полиция в воскресенье арестовала 20-летнего молодого человека, который признался в том, что он действовал сам. Это, по его словам, касалось как добычи данных, так и последующей их публикации.
Continue reading

Апдейт об утечке Starwood/Marriott

В ноябре я писал про Marriott, отельной сети, которая раскрыла информацию о том, что на протяжении 4 лет кто-то сифонил из сети Starwood данные. Злоумышленники получили доступ к базе данных резервирования и скачали персональные данные на 500 миллионов постояльцев отелей, как было озвучено 30 ноября.

Есть дополнительные новости, которые сегодня опубликовала компания в апдейте к расследованию:

Во-первых, как оказалось, что затронутыми оказалось максимум 383 миллиона записей постояльцев отелей. Речь не идет о 383 млн человек, потому что во многих случаях информация дублируется, но вообще компания также говорит, что не может с уверенностью сказать, сколько же именно человек было затронуто этой утечкой.

Во вторых, стало известно, что около 5,25млн номеров паспортов тоже находились среди информации, доступ к которой был получен злоумышленниками, а также 20,3 млн зашифрованных номеров паспортов.

В третьих, около 8,6 млн зашифрованных данных о платежных картах были “вовлечены в инцидент”, как пишет компания. На сентябрь 2018 года около 354 тыс этих карт обладали актуальным сроком действия.

В четвертых, базу данных Starwood для резервирования вообще вывели из оборота, и все резервирования теперь идут через систему Marriott (не знаю, действительно ли это хорошие новости).

Такие дела.

Германия опасносте

Журнал Bild опубликовал сегодня (статья на немецком) материал о взломе, который затрагивает различных публичных людей в Германии. Частная переписка, адреса электронной почты, контрактная информация, включая мобильные номера телефонов, а также финансовая информация на сотни политиков была опубликована в Твиттере (еще в декабре, но обратили на нее внимание только сейчас). Среди жертв утечки — канцлер Германии Ангела Меркель и президент республики Франк-Вальтер Штайнмайер. Также, кроме политиков, в материалы попала информация о журналистах, и даже популярных исполнителях.

Какой-либо системы в материалах не видно, поэтому не очень понятно, откуда появились эти данные. Объем материалов намекает на то, данные могли собираться на протяжении длительного времени, и там было потрачено немало усилий на их сбор. Кроме источника утечки (хотя главное подозрение падает на фишинг и последующую добычу информации из других онлайн-учеток), непонятна и цель публикации этих материалов, среди которых могут оказаться и вброшенные ненастоящие данные.

Вот еще материал на английском, если по немецки вы не verstehen.
https://www.theregister.co.uk/2019/01/04/germany_mass_hack_merkel/

Cybersecus дайджест

Небольшая коллекция ссылок, накопившаяся за последние пару дней. Часть из ссылок прислана читателями, за что им спасибо!

1. Взлом и последующая утечка пользовательских данных компании BlankMediaGames, около 8,4 млн записей, включая адреса электронной почты и платежную информацию
https://blog.dehashed.com/town-of-salem-blankmediagames-hacked/

2. Хакер, рассылавший приветы от Pewdiepie на принтеры и Chromecast-устройства, срочно выпилился из интернета. Потому что после своих приколов он решил собрать денег на Patreon, что оказалось опасным для потенциального деанона
https://pastebin.com/pfX5p4ze

3. Новая израильская компания, специализирующаяся на киберопасности (фокус компании — продажа инструментов для агрессивного внедрения в компьютерные системы), называется Candiru (рыба-паразит, проникающая в тело человека через доступные отверстия, включая анус или пенис. брррррр)
https://www.haaretz.com/israel-news/business/.premium-top-secret-israeli-cyberattack-firm-revealed-1.6805950

4. Полезные советы, почему очень важно оберегать свой номер телефона (в штатах, например, перевод номера на другого оператора или другую СИМ-карту методом социальной инжинирии со службой поддержки — популярная тема, благодаря этому было украдено немало криптовалюты в прошлом году). Статья актуальна для США в первую очередь, но я рекомендую изучить со своими операторами возможность дополнительной защиты вашего номера от мошенничества.
https://techcrunch.com/2018/12/25/cybersecurity-101-guide-protect-phone-number/

5. First-Ever UEFI Rootkit Tied to Sednit APT
https://threatpost.com/uefi-rootkit-sednit/140420/

6. Biological One‐Way Functions for Secure Key Generation
https://onlinelibrary.wiley.com/doi/full/10.1002/adts.201800154

Обращение Тима Кука к акционерам Apple

Сегодня Apple сделала несколько неожиданный шаг — компания опубликовала письмо генерального директора компании Тима Кука к акционерам, рассказав немного о предстоящей публикации финансовых результатов квартала, который только что закончился (версия на русском языке). Это достаточно необычно, потому что компании пришлось рассказать о том, что её прогноз на выручку этого квартала, данный около 2 месяцев назад, не оправдался. Компания ожидала выручку в пределах между 89 и 93 млрд долл. Однако, в только что закончившемся квартале выручка составила примерно 84 млрд. долларов (это ниже, чем в квартале год назад, когда выручка составила 88.3 млрд долл). Скорей всего, такой анонс вызван юридическими требованиями, регулирующими деятельность публичных компаний; сидеть еще месяц на информации, что компания не добрала 5-9 млрд долларов выручки, чревато исками о сокрытии информации от акционеров, любящих подавать иски.


(уже не получится)

Новости, безусловно, для компании плохие – тут нечего отрицать. Тим Кук в своем письме по ссылке выше пытается пояснить, почему так произошло. Письмо, как мне показалось, достаточно сложное, и поэтому, допущу, ситуация может оказаться (или показаться) хуже, чем на самом деле. Покажет будущее, но в этом квартале хор слухов о снижении заказов на производство таки оказался верным; их было достаточно много, чтобы просто игнорировать как неполную или некорректную информацию. Правда, для Apple этот квартал все равно станет вторым по объемам выручки квартал за истории компании (“жалкие 84 млрд!”), но это уже не так важно для критиков, потому что “Акелла промахнулся!”.

Я собрал здесь основные пункты из письма Кука, которые мне показались интересными, плюс разбавил это своими комментариями, чтобы было веселее.
Continue reading

Chromecast-устройства опасносте

Тут развивается интересная и в чем-то даже забавная история с устройствами с поддержкой технологии трансляций видео-контента Chromecast. В декабре я рассказывал про то, как кто-то рассылает на доступные в интернете принтеры с призывом подписываться на канал видеоблоггера в YouTube. Так вот, сейчас происходит нечто подобное, но теперь с медиаплеером Google Chromecast. Хакер Жираф, который уже рассылал приветы на принтеры, поделился новой находкой. Обычно устройства Chromecast, Smart ТВ, и устройства Google Home используют порты 8008, 8009 и 8443 для функций по их управлению, и по умолчанию это работает внутри локальной сети. Некоторые неправильно настроенные роутеры с включенным UPnP делают эти порты доступными в интернете, а дальше дело техники: скрипт ищет такие устройства с портами в интернете, а, обнаружив такое устройство, второй скрипт пытается заставить устройство проиграть определенное видео с YouTube. В видео говорится о том, что “ваше устройство раскрывает вашу информацию”, а также призывает подписаться на видеоблогера Pewdiepie на YouTube. В целом ничего нового они не придумали — об этом было известно еще в 2014 году, но тем не менее. Сам факт, что устройство с Chromecast можно такой командой заставить проиграть произвольное видео, должен как минимум у Google вызвать жжение в определенной точке.

Страничка проекта со статистикой и FAQ здесь https://casthack.thehackergiraffe.com

Видео также призывает посмотреть вот эту инструкцию о том, как исправить проблему. Хотя проще всего, конечно, либо отключить UPnP на роутере, или убедиться, что роутер не прокидывает порты 8008, 8009 и 8443 в интернет. Кто-то уже предположил, например, что атаку можно сделать еще более “веселой”: можно заставить телевизор проиграть видео, в котором голос даст команду колонке Amazon Echo купить какой-нибудь товар на Amazon, или установить будильник на 3 часа утра, или отключить систему сигнализации в доме. Будущее со всеми его подключенными к интернету устройствами будет, безусловно, прекрасным!

Cybersecus дайжест

Последний выпуск в этом году, но в следующем году мы обязательно продолжим, потому что, как известно, информация опасносте!

Несколько ссылок на почитать в новом году (а то у вас поди уже оливье, вот это все):

1. Вирусная атака на издательские системы компании Tribune System, которая издает и распространяет на западном побережье США сразу нескольких крупных газет в США — LA Times, WSJ, NYT. Технические детали атаки неизвестны, но представители уже заявили, что “атака из-за рубежа”. Я не удивлюсь, если окажется, как с московской канатной дорогой, что кто-то не поставил важный апдейт, и какой-то очередной WannaCry пробрался в сеть
https://www.latimes.com/local/lanow/la-me-ln-times-delivery-disruption-20181229-story.html

2. Когда-то в прошлом, когда смартфоны были маленькими… В смысле, когда они были не сильно распространены, у Twitter была фича “отправить твит по SMS”. Если отправить твит с номера телефона, привязанного к аккаунту, то твит опубликуется в ленте. Компания INSINIA SECURITY продемонстрировала, что уязвимость в Twitter, позволяющая публиковать твиты в чужих аккаунтах с помощью спуфинга номера телефона, по-прежнему существует, несмотря на утверждения Twitter, что уязвимость была исправлена. Спорный момент в том, что компания решила продемонстрировать это, опубликовав твиты в аккаунтах различных известных личностей.
Пост компании
О постах в аккаунтах селебритис (и рассуждения о том, нарушает ли это закон)

3. Презентация с проходившей в Германии конференции 35c3 об истории джейлбрейка iOS. Очень познавательно и будет интересно тем, кто пользуется айфоном с самого начала, когда без джейлбрейка вообще мало что можно было сделать
https://api.tihmstar.net/35c3slides.pdf

4. Европейский Союз объявил о том, что будет выплачивать премию за обнаружение уяюзвимостей в популярных проектах с открытым исходным кодом, включая KeePass, 7-zip, VLC, Drupal и FileZilla
https://juliareda.eu/2018/12/eu-fossa-bug-bounties/

Cybersecus дайжест

Для тех, кто не сильно занят покупкой подарков и нарезанием оливье, очередная подборка актуальных новостей и интересных статей на тему информации, которая опасносте.

1. В Китае, который, как знают читатели канала, пытаются наблюдать за всеми и везде, школьники не остаются без внимания и школьники. В одной из провинций страны для школьников ввели “умную” форму, которая включает в себя трекинг местоположения школьников по GPS. Если школьник прогуливает школу без разрешения, то родители об этом немедленно узнают (система работает только на территории школы). Распознавание лиц дополняет информацию о пребывании и поведении школьников. Правильно, население должно с малых лет знать, что все под контролем.

https://www.abc.net.au/news/2018-12-28/microchipped-school-uniforms-monitor-students-in-china/10671604

2. На проходящей в Германии конференции Chaos Communication Congress исследователи продемонстрировали обход системы аутентификации по венам под кожей с помощью руки из воска.
https://motherboard.vice.com/en_us/article/59v8dk/hackers-fake-hand-vein-authentication-biometrics-chaos-communication-congress

3. Уязвимости в камерах наблюдения компании Guardzilla позволяют злоумышленникам получить доступ к хранилищу записей с камер. Потому что захардкоженные ключи позволили получить доступ к AWS-серверам компании.

https://www.0dayallday.org/guardzilla-video-camera-hard-coded-aws-credentials/

4. Статья в NYT под говорящим названием “Our Cellphones Aren’t Safe”. Притворяющиеся настоящими базовые станции Stingray, и уязвимости в SS7, вот это все.
https://www.nytimes.com/2018/12/26/opinion/cellphones-security-spying.html

Прозрачность

На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:

– Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
– Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
– Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
– Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
– Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
– Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
– Вопросы, касающиеся национальной безопасности США.
– Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.
Continue reading

Cybersecus дайджест

И снова здравствуйте! Нет времени объяснять, поэтому ссылки!

1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны “предоставить все возможности и помощь учреждениям”. За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/

2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

3. О программе “Hemisphere”, в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea

4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью “Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook”.
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and

5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/

6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/

7. Статья в NY Post, из которой я приведу одну цитату:

But Huawei is much more than an innocent manufacturer of smartphones.

It is a spy agency of the Chinese Communist Party.

https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/