Cybersecus дайджест #73

1. Наверно, новость дня — это утечка базы данных пациентов подмосковной скорой помощи
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f

И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474

2. Я уже как-то писал про шпионское ПО Exodus, которое обнаружили в приложениях, находящихся в Google. Интересно, что эксперты обнаружили подобное приложение и для iOS — приложение прикидывалось приложением для поддержки мобильных операторов Италии и Туркменистана, и распространялось с корпоративным сертификатом разработчика для iOS (ранее было много новостей о том, как Google, Facebook и другие разработчики тоже распространяли в обход App Store приложения, подписанные корпоративным сертификатом). С точки зрения функциональности приложение могло украсть данные адресной книги пользователя, видео, фотографии, а также сгрузить информацию о местоположении пользователей. Apple уже отозвала сертификат разработчика, так что приложение невозможно больше установить. Есть подозрение, что разработчиком приложения является компания Connexxa, которая разрабатывает приложения для госорганов Италии с целью слежки.
https://blog.lookout.com/esurv-research

3. Очередная прекрасная история про AirBnB и то, как туристы из Новой Зеландии обнаружили в в доме скрытую камеру, которая транслировала картинку из гостиной. Камеру обнаружил один из гостей, просканировав сеть и обнаружив трансляцию. Камера была спрятана во что-то, замаскированное под датчик дыма. Там еще длинная история о том, как хозяин отмазывался, да и AirBnB не то, чтобы демонстрировало чудеса поддержки гостям. Так что если вы вдруг останавливаетесь в чьем-то AirBnB, первое, что нужно там сделать — это найти роутер от интернета и отключить его нафиг.
https://www.facebook.com/photo.php?fbid=10156325018207239&set=a.440220892238&type=3&theater

4. А помните историю с китайской шпионкой, пойманной на курорте, принадлежащем президенту Дональду Трампу? У истории есть и продолжение о расследовании, и, в частности, рассказ о том, как анализировали её флешку:

Secret Service agent Samuel Ivanovich, who interviewed Zhang on the day of her arrest, testified at the hearing. He stated that when another agent put Zhang’s thumb drive into his computer, it immediately began to install files, a “very out-of-the-ordinary” event that he had never seen happen before during this kind of analysis. The agent had to immediately stop the analysis to halt any further corruption of his computer, Ivanovich testified. The analysis is ongoing but still inconclusive, he said.

Вот так вставил флешку, и понеслась! Забавно про срочную остановку с выключением компьютера, хотя, как потом пояснили, речь шла о том, что а) это был специальный компьютер для подобных исследований, а выключение было произведено с целью фиксации действий вредоносного ПО на компьютере. Такие дела.

https://www.miamiherald.com/news/politics-government/article228963409.html

Cybersecus дайджест #72

Очень ироничная новость про компанию Xiaomi. У той на телефоне предустановлено неудаляемое приложение Guard Provider, которое должно обнаруживать вредоносное ПО. Вместо этого приложение ходило на свой сервер по незащищенному подключению, что, как известно, может окончиться не очень хорошо. Например, это могло позволить злоумышленникам, находясь в той же сети WiFi, создать атаку MITM (Man-in-the-middle), отключить защиту и делать дальше что угодно с телефоном: устанавливать вредоносное ПО, инструменты слежки и тд. Компания Check Point, обнаружившая эту уязвимость, сообщила о ней в Xiaomi, и компания выпустила обновление, исправляющее эту проблему.
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/

Говоря об исправленных уязвимостях. Тут вот Huawei тоже выкатил апдейт для своих ноутбуков MateBook, где исправлен драйвер, позволяющий создавать бесправным пользователям создавать процессы с правами суперпользователей.
Информация о том, как была обнаружена проблема, от Microsoft: https://www.microsoft.com/security/blog/2019/03/25/from-alert-to-driver-vulnerability-microsoft-defender-atp-investigation-unearths-privilege-escalation-flaw/
Описание проблемы у Ars https://arstechnica.com/gadgets/2019/03/how-microsoft-found-a-huawei-driver-that-opened-systems-up-to-attack/

Вдогонку о вчерашней новости о том, как ЛК начала определять своим ПО инструменты шпионажа:
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

А еще про полумиллиардные утечки. Исследователи обнаружили за первые три месяца этого года около 590 миллионов резюме, утекших через незащищенные базы MongDB и ElasticSearch:
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/

И немного крипоты на закуску. Сюжет о компании, которая разработала бейдж сотрудника, который может мониторить разговоры сотрудников, движения и перемещение по офису. Информация, собираемая бейджем, интегрируется с календарями и почтой сотрудников. Компания, разрабатывающая эти бейджи, рассказывает, что это для “улучшения производительности сотрудников”, но наверняка какие-то работодатели захотят использовать это и для более тщательного наблюдения за сотрудниками. Где заканчиваются права работодателя, который платит зарплату за работу, и начинается прайваси сотрудника, сказать сложно.

Про вчерашнюю новость об утекших аккаунтах Facebook

Когда я вчера написал про очередную утечку учетных записей пользователей Facebook, у меня не было возможности внимательно изучить детали утечки. Там, напомню, шла речь о том, что на сервере AWS обнаружили базу на 540 миллионов записей с данными пользователей Facebook, но в реальности все оказалось не так плохо и не так трагично.

а) это не очередная лажа Facebook, в данном случае данные, лежащие на открытом бакете S3, принадлежали сторонней компании, приложения которой интегрировались с Facebook.

б) компания — Cultura Colectiva, медиа-компания из Мексики.

в) данные, которые входили в набор, содержали в себе имена пользователей Facebook, их комментарии, лайки и информацию об отношениях. Эти данные о пользователях формально являются публичными, и доступны всем пользователям, у которых есть доступ к Facebook.
Continue reading

Cybersecus дайджест #71

Я неоднократно писал тут про различные сервисы слежки за партнерами, и о том, как эти сервисы, с одной стороны, в целом нарушают приватность людей, а в добавок к этому еще и зачастую оставляют свои сервера совершенно незащищенными. Это приводит к тому, что частная информация — переписка, фотографии, и тд — оказываются полностью доступными в интернете. Лаборатория Касперского опубликовала большой и интересный материал о подобных приложениях и сервисах, и о том, какую угрозу они таят для пользователей. Так что начиная с 3 апреля, мобильные продукты «Лаборатории Касперского» для Android будут оповещать пользователей о присутствии таких программ в системе при помощи специальной функции. Это очень здорово.
https://securelist.ru/beware-of-stalkerware/93771/

Пять VPN-сервисов из десяти отказались блокировать доступ к запрещённым в России сайтам по требованию Роскомнадзора
https://vc.ru/services/62917-pyat-vpn-servisov-iz-desyati-otkazalis-blokirovat-dostup-k-zapreshchennym-v-rossii-saytam-po-trebovaniyu-roskomnadzora

Странная и подозрительная история о том, как в курортном отеле Mar-a-Lago, принадлежащем президенту США Трампу, в котором он сам часто бывает, задержали жительницу Китая. В маленькой женской сумочке (которые, как известно, гораздо больше внутри, чем выглядят снаружи), были обнаружены портсигар золотой, три штуки 4 смартфона, внешний жесткий диск, ноутбук, и флешка с вредоносным ПО. Женщина утверждала, что прилетела на несуществующее мероприятие, и настаивала, что пришла к бассейну, хотя и купальника у нее с собой не было. Кто из нас, идя к бассейну, не берет с собой несколько смартфонов, ноутбуков и жестких дисков?
https://www.nytimes.com/2019/04/02/us/mar-a-lago-zhang-chinese-secret-service.html

Не менее странная история с Facebook, который как всегда! Ладно уж все многочисленные утечки, и обнаруженные завалы из паролей 600 млн пользователей. Тут обнаружилось, что при создании новых аккаунтов Facebook требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса — “мы сделаем за вас проверку автоматической”. Отличный шаг, вполне в духе move fast and break things, как любил говорить Цукерберг.
https://www.thedailybeast.com/beyond-sketchy-facebook-demanding-some-new-users-email-passwords

С момента выхода статьи Facebook уже успели сказать, что они отменят эту порочную практику, но на этом этапе хочется только спросить WTF? (F, разумеется, означает Facebook).

Cybersecus дайджест #70

1. Автомобили, как и многое другое, становятся все более компьютеризированными. Электрические автомобили так вообще, по сути, один большой компьютер с колесами, а если добавить туда весь софт и железо для автономного вождения, то тем более. А компьютеризация в данном случае означает данные — их сбор, обработку и хранение. На прошлой неделе было очень интересно почитать про то, как исследователи взяли разбитую Tesla Model 3, и изучили, какая там информация хранится. Фишка в том, что когда машина разбита, данные с нее не удаляются, и все, что машина собирала за время её использования, может храниться в ней. В случае с GreenTheOnly (никнейм исследователя), на компьютере машины обнаружилась информация о местоположении, маршрутах, информация о владельце, информация с мобильных устройств, которые были связаны с автомобилем (включая адресные книги, календари, адреса электронной почты участников встреч), а также видео самой аварии. (Интересно, что за секунду до аварии в машину позвонил родственник водителя, что, видимо, и привело к аварии).

В статье еще говорится интересное о том, Tesla в целом довольно скрытно относится к информации о том, что, как и когда записывают камеры автомобиля. При этом отказ от сбора информации автоматически приводит к отказу от получения обновлений ПО (“а если откажутся, отключим газ”). Такие дела.
https://www.cnbc.com/2019/03/29/tesla-model-3-keeps-data-like-crash-videos-location-phone-contacts.html

2. CloudFlare, разработчик безопасного DNS 1.1.1.1, также анонсировал бесплатный VPN-сервис Warp. Пока что на него можно подписаться через приложение 1.1.1.1 для Android и iOS, и ожидать официального запуска.
https://blog.cloudflare.com/1111-warp-better-vpn/
Continue reading

Cybersecus дайджест #69

Ограничение работы VPN в России — немного апдейтов
https://mbk-news.appspot.com/news/hhennyx-sajtov/
ответ про уход TorGuard https://torguard.net/blog/why-torguard-has-removed-all-russian-servers/
ответ Vypr VPN https://www.goldenfrog.com/blog/russia-demands-vpn-providers-to-comply-with-censorship-vyprvpn-refuses

Еще парочка новостей, которые могут быть интересны читателям из России:
– Пользователи обнаружили, что при поиске по документам в соцсети «ВКонтакте» можно получить доступ к архивам аудиосообщений.
https://meduza.io/news/2019/04/01/v-poiske-po-dokumentam-vkontakte-nashli-tysyachi-audiosoobscheniy-sotsset-otklyuchila-vozmozhnost-poiska-po-nim

Про утечку данных о покупках — о том, как кассовая техника была перенастроена на передачу данных третьим лицам. Первоисточник так себе, но вообще, когда ваш банк присылает вам письмо “в этом году вы потратили больше всего денег на пиво”, помните, что хотя банк и знает о транзакциях по карте, он не должен знать, что именно вы покупали.
https://iz.ru/862205/dmitrii-grinkevich/chek-trustcoi-pochemu-i-kuda-utekaiut-personalnye-dannye-pokupatelei
Continue reading

Cybersecus дайджест #68

Много новостей одной строкой (вот что бывает, когда пропускаешь день апдейтов, а опасносте не ждут).

Исследователи обнаружили уязвимость в драйвере Huawei для компьютеров Windows, дающую возможность злоумышленникам получить полный контроль над компьютером (исправлена в январе)
https://www.zdnet.com/article/microsoft-windows-10-devices-open-to-full-compromise-from-huawei-pc-driver/

Кстати, о Huawei. Большой отчет британского государственного агентства по кибербезопасности, исследовавшей риски в случае применения оборудования Huawei в критических компонентах национальной инфраструктуры. Прямых доказательств шпионажа в пользу другого государства в результате исследований обнаружено не было, но были обнаружены другие серьезные уязвимости, которые могут дать возможность злоумышленникам получить доступ к пользовательским данным или изменить конфигурацию сетевых компонентов.
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf
Тут статья с разбором одной такой уязвимости:
https://www.theregister.co.uk/2019/03/28/huawei_mirai_router_vulnerability/

В Израиле, кажется, взялись за технологические компании, занимающиеся ПО для различных видов “цифровой разведки”. В частности, одна из компаний, у которой отозвали лицензию на экспорт ПО, Ability, известна тем, что продает решения для эксплуатации уязвимостей в системе SS7, позволяющей перехватывать телефоны в мобильных сетях, не взламывая их.
https://www.timesofisrael.com/defense-ministry-rebukes-israeli-spy-tech-company-for-unlawful-exports/
В то же время другая израильская компания, NSO, продававшая свое вредоносное ПО различным диктаторским режимам, активно занялась отмыванием своего имиджа
https://motherboard.vice.com/en_us/article/qvy97x/israeli-nso-group-marketing-pr-push

Китайская сеть Rela — популярное приложение для знакомств лесбиянок — раскрыло данные на 5 миллионов пользователей, потому что у сервера не было защиты паролем.
https://techcrunch.com/2019/03/27/rela-data-exposed/

В какой-то мере новость на близкую тему. Популярная сеть для знакомств геев Grindr в свое время была продана китайским владельцам (компании Beijing Kunlun Tech Co Ltd). Теперь Комитет по зарубежным инвестициям в США (CFIUS) требует от китайских владельцев продать приложение, потому что “китайское владение этим сервисом представляет собой риск для национальной безопасности”. ШТОВООБЩЕ? (к сожалению, каким именно образом это риск для национальной безопасности, в статье не раскрывается).
https://www.reuters.com/article/us-grindr-m-a-exclusive/exclusive-us-pushes-chinese-owner-of-grindr-to-divest-the-dating-app-sources-idUSKCN1R809L

Apple недавно выпустила обновления для своих операционных систем, и, как обычно, опубликовала информацию о содержимом исправлений безопасности в этих обновлениях. В iOS 12.2 более 50 различных фиксов!
iOS 12.2 https://support.apple.com/en-us/HT209599
tvOS 12.2 https://support.apple.com/kb/HT209601
macOS 10.14.4 (и апдейты для High Sierra и Sierra) https://support.apple.com/kb/HT209600
watchOS 5.2 https://support.apple.com/en-us/HT209602

Cybersecus новости из России

Кажется, в России пришли за VPN. Роскомнадзор направил требования о необходимости подключения к государственной информационной системе (ФГИС) владельцам 10 VPN-сервисов.

Соответствующие уведомления были направлены в адрес сервисов NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. Согласно Федеральному закону «Об информации..» указанные сервисы обязаны подключиться к ФГИС Роскомнадзора в течение 30 рабочих дней с момента направления требований.

https://rkn.gov.ru/news/rsoc/news66248.htm

В России еще и IoT не дает покоя властям. Минкомсвязь планирует одобрить концепцию развития в России интернета вещей (IoT). Она предусматривает, что правоохранительные органы смогут получать доступ к информации, хранящейся на IoT-платформах, а для защиты российского сегмента интернета вещей на территории страны будет создана его замкнутая сеть. У участников рынка остались вопросы к концепции: помимо подключения к СОРМ, их беспокоят перспективы импортозамещения в условиях нехватки отечественного оборудования.

https://www.kommersant.ru/doc/3924324

Cybersecus дайджест #67

Апдейт про ASUS
Еще 9 месяцев назад кто-то озадачился странным апдейтом с сервера компании, но тогда этому не придали особого значения.
ASUS подтвердили историю в пресс-релизе, сказав, что целями атаки было небольшое количество определенных пользователей.

Кстати, интересный твит про таргетинг этой атаки:

Также ASUS выпустила инструмент для проверки (хотя с ними теперь никогда не знаешь, а вдруг это опять враги?)

Проверка от ЛК на предмет того, был ли ваш MAC-адрес целью этой атаки (скорей всего, нет, но можно и провериться).

И еще немного разнообразия:
– Уволенный сотрудник компании, недовольный увольнением (после 4 недель работы в компании), снес 23 сервера компании на AWS. Теперь посидит, подумает.
https://nakedsecurity.sophos.com/2019/03/22/sacked-it-guy-annihilates-23-of-his-ex-employers-aws-servers/

– Тут оказалось, что вживленные дефибрилляторы компании Medtronic подвержены хакерской атаке, в результате которой злоумышленник может получить полный контроль над устройством (ой). Никакого шифрования, никакой аутентификации, и другие неприятные мелочи. Но риски жизни без устройства еще выше, поэтому госорганы рекомендуют продолжать использовать их, и ждать исправления.
https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01

– Обнаружилась очередная компания с программным продуктом для слежки мониторинга детей и супругов, которая умудрилась тысячи изображений и записей аудио выложить на доступный всем сервер в интернете. Компания Mobiispy.com так и не ответила на письма экспертов, обнаруживших проблему, поэтому все закончилось тем, что хостинговая компания, на сервере которой хранились эти данные, была вынуждена погасить сервер, чтобы убрать данные из доступности. Помните о том, что за последние пару лет огромное количество этих “мониторинговых” сервисов продемонстрировали полное наплевательство по отношению к пользовательским данным, когда решите чем-то таким воспользоваться
https://motherboard.vice.com/en_us/article/j573k3/spyware-data-leak-pictures-audio-recordings
https://motherboard.vice.com/en_us/article/7xnybe/hosting-provider-takes-down-spyware-mobiispy

– Помните хакера с почти миллиардом свежих записей с логинами и паролями? В очередном (четвертом) раунде раздачи данных он предложил еще 26 миллионов пользовательских записей, куда вошли уже менее известные сервисы, такие как GameSalad, Estante Virtual, Coubic, LifeBear, Bukalapak, YouthManual (часть из Бразилии, часть из Индонезии).
https://www.zdnet.com/article/round-4-hacker-returns-and-puts-26mil-user-records-for-sale-on-the-dark-web/

О сервисах, которые анонсировала Apple

Вчера было очень необычное мероприятие Apple, и когда я говорю “необычное”, я скорее имею в виду “странное”, чем “волнующее”. С одной стороны, совершенно очевидно, что в эпоху закончившегося безумного роста продаж iPhone “сервисы всякие нужны, сервисы разные нужны”. С другой стороны, вчерашний анонс был в основном именно анонсом (а не релизом), и большинство анонсированных сервисов не будут доступны в ближайшее время. На многие вопросы, возникшие еще до мероприятия (машина Apple по раскрутке хайпа и наличие сторонних партнеров позволило утечь большей части информации о том, что анонсировали), остались без ответа. Да и вообще как-то все то действо, происходившее на сцене, сильно выбивалось из духа обычных презентаций Apple.

Интересно еще и то, что часть сервисов, анонсированных вчера, либо актуальны только для пользователей в США, либо какое-то еще время будут доступны только в США и паре других стран. Что объясняет разочарование некоторых: “Вроде бы ничего не показали”. Зато это дает возможность другим компаниям попробовать скопировать и запустить что-то подобное на локальных рынках, куда Apple пока не дотянулась. В любом случае, пройдемся по тому, что же вчера показала Apple, и как это вписывается в то, что уже есть на рынке США. В данном случае моя перспектива с взглядом отсюда может оказаться полезной.
Continue reading