Find My

Один из самых интересных для меня анонсов на WWDC 2019 – это функция мониторинга устройств Apple пользователями, которую Apple назвала Find My. Общая идея возможности пользователю видеть свои устройства сама по себе не нова и присутствовала у Apple под названием Find My iPhone много лет (и со временем стала позволять обнаруживать не только iPhone, но и другие устройства Apple, в том числе Маки). Историй о том, как пользователи находили свои потерянные и украденные устройства, включая истории про погони по городам за ворами, достаточно много. В этом году Apple, объединив два приложения Find My iPhone и Find My Friends, представила новый сервис Find My, который должен стать единым местом для просмотра информации о местоположении людей и техники. С людьми и социальным аспектом в целом понятно, а вот мониторинг устройств приобрёл очень интересную функцию. Речь идёт о возможности пользователю видеть местоположение устройства, которое не подключено к интернету.


Continue reading

“Для чего нужен новый iPod?”

Вчера одно издание обратилось ко мне за комментарием с вопросом, вынесенным в заголовок, и я решил, что можно его опубликовать и в блоге, тем более, что этот вопрос достаточно популярен и встречается часто. Моя первая реакция в Твиттере после вчерашнего анонса была такая:

Хорошие новости:
– там теперь процессор от iPhone 7
– есть 256ГБ
– дешево
– миниджек!

Плохие новости:
– ни FaceID, ни TouchID
– 4” экран, который придется поддерживать в приложениях
– гигантские рамки

Но возвращаясь к вопросу. У меня сформулировался на него следующий ответ:

iPod Touch, на первый взгляд, может показаться странным продуктом, который мало кому нужен. Действительно, зачем нужен, по сути, смартфон, но без возможности подключения к сотовой сети? Есть же iPhone, он решает все вопросы, которые может решить iPod Touch. Однако, iPod touch обладает гораздо большей популярностью, чем может показаться со стороны. Это недорогое устройство на базе iOS, что обеспечивает возможность использования экосистемы приложений и получения всех преимуществ iOS в виде безопасности, фокуса Apple на конфиденциальности данных, своевременных обновлений и возможностей по управлению корпоративными системами. Благодаря этим факторам, iPod Touch активно приобретают и используют в бизнес-среде, в качестве устройств для приема заказов и оплаты, устройств для сканирования товаров на полках магазинов и складов, и тд. Небольшая стоимость устройства, по сравнению с даже самым дешевым iPhone, добавляет привлекательности iPod Touch.
Continue reading

ZombieLoad

Обнаружен новый набор уязвимостей в процессорах Intel (вплоть до 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.

Ссылки по теме:
Информация об атаке

Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
Continue reading

Cybersecus дайджест #81

Сразу две хорошие новости, я отлучился на небольшой отпуск, и за это время ничего катастрофического не произошло! Если, например, не считать того, что из-за проблем с сертификатом у Firefox, что привело к тому, что уже установленные расширения не запускались, а новые не устанавливались. Те 2,5 пользователя Firefox, которые пострадали, уже знают, что проблема была исправлена:
https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/

А вот в китайском аналоге AWS — на облачной платформе Alibaba Cloud — обнаружилась база данных жителей из нескольких районов Пекина, которую собрали власти города с помощью системы распознавания лиц. “Умный город”, говорили они, “общественный транспорт вовремя”, говорили они, устанавливая камеры наблюдения. Только базу забыли закрыть паролем, и она лежала доступной для кого угодно в интернете. Elasticsearch, гигабайты данных, включая данные о распознавании сотен лиц за несколько месяцев. Базу обнаружил эксперт по кибербезопасности Джон Ветингтон, рассказавший об этом изданию TechCrunch.
https://techcrunch.com/2019/05/03/china-smart-city-exposed/

Компания 1Password, разработчик одноименного менеджера паролей, предлагает бесплатную версию своего приложения для журналистов. Нужно зарегистрироваться на странице, компания проверит статус зарегистрировавшегося как журналиста, и после этого зарегистрировавшийся получит бесплатную версию приложения.
https://blog.1password.com/world-press-freedom-day-1password-journalism/
Continue reading

Cybersecus дайджест #80

1. Bloomberg, издание, которое в свое время опубликовало материал о наличии китайских “жучков” в серверах Apple и Amazon, теперь публикует статью об обнаруженных в сети Vodafone Italy бэкдорах в оборудовании Huawei. Уязвимости были обнаружены в период с 2009 по 2011 год в роутерах для домашнего интернета, а также в инфраструктурном оборудовании оператора. В статье также говорится, что уязвимости существовали и после 2012 года, и присутствовали в сетях компании в Великобритании, Германии, Испании и Португалии.

В отличии от истории про сервера Apple и Amazon, где обе компании активно опровергали информацию Bloomberg, в этом случае Vodafone подтвердил, что уязвимости действительно были обнаружены, но проблема была решена в 2011-2012 годах. Huawei со своей стороны утверждает, что это не намеренное включение бэкдоров в оборудование, а “технические ошибки, которые были обнаружены и исправлены”.
Материал Bloomberg https://www.bloomberg.com/news/articles/2019-04-30/vodafone-found-hidden-backdoors-in-huawei-equipment-jv3fmbrc
Дополнительный материал в ZDNet https://www.zdnet.com/article/huawei-denies-existence-of-backdoors-in-vodafone-networking-equipment-brands-them-technical-flaws/
Continue reading

Cybersecus дайджест #79

После небольшого затишья редакция возвращается в строй с коллекцией интересных ссылок из мира информационных опасностей.

Россиянам на заметку: материал от BBC о том, как продают ваши данные и доступ к ним.
“В России расцвел нелегальный рынок “онлайн-пробива”, на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу.”
https://www.bbc.com/russian/features-48037582

Полезные советы от ЛК по хоть каким-то усилиям, которые могут предпринять пользователи по улучшению безопасности своих данных.
“Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.”
https://www.kaspersky.ru/blog/privacy-ten-tips-2018/

В пятницу Docker Hub объявил о взломе и утечке данных на 190 тыс пользовательских записей (менее 5% от общего количества пользователей), включая логины, хешированные пароли, и токены доступа к GitHub и Bitbucket. Пользователям рекомендуется сменить пароли в Docker Hub, и переподключить их к репозитория, так как токены были отозваны. Также стоит проверить логи в Github и Bitbucket на предмет несанционированного доступа.
https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/
Continue reading

Cybersecus дайджест #78

1. Прекрасная по своей трагичности история про студента, который использовал устройство USB killer (флешка, которая вставляется в USB-порт, и приводит к преждевременной смерти компьютера) для того, чтобы нанести вред колледже, в котором он учился. Он воткнул флешку в 66 компьютеров на кампусе, и наверняка получил от этого какое-то удовлетворение. Вреда на 58 тыс долларов, а штраф светит до 250 тыс долларов, плюс еще до 10 лет тюрьмы. Мотивация такого поступка что-то не очень ясна.
Тут можно почитать больше про эти самые USB Killer
https://arstechnica.com/information-technology/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
О признании вины студента
https://www.justice.gov/usao-ndny/pr/former-student-pleads-guilty-destroying-computers-college-st-rose

2.Помните WannaCry? ((если не помните, то можно освежить память поиском по каналу запросами WCry, WannaCry, WannaCrypt, ETERNALBLUE). Короче, страшный вирус-вымогатель, эпидемию которого удалось остановить только благодаря тому, что в коде нашли незарегистрированный домен для kill-switch.

Герой, который остановил эту эпидемию — Marcus Hutchins, британский исследователь, которого потом неожиданно арестовали в Лас Вегасе на конференции Def Con в 2017 году. В итоге оказалось, что он в свое время написал ПО для воровства данных к банковским учетным записям. На прошлой неделе он признал свою вину по двум инцидентам, и теперь ему светит до 5 лет тюрьмы за каждый инцидент, и до 250 тыс долларов штрафа. Забавно, что после этого в infosec-сообществе развернулось бурное обсуждение на тему “кто из нас в детстве не был хакером, взламывающим банки”, но, кажется, все остались при своем мнении (и со своими скелетами в шкафах).
https://www.malwaretech.com/public-statement

Continue reading

Cybersecus дайджест #77, Facebook edition

Свежие апдейты про Facebook

Я несколько дней назад писал о том, как Facebook при создании новой учетной записи в социальной сети требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса, чтобы провести некую автоматическую проверку. У меня было тогда подозрение, что этим все не ограничится, и действительно, оказалось, что пароль это было только начало. Потому что дальше Facebook без запроса разрешения пользователя загружал адресную книгу пользователей себе на сервер. Business Insider запросили подтверждение у Facebook, и компания признала, что действительно “случайно” загрузила данные адресных книг 1,5 млн пользователей, и теперь собирается удалить эти данные.
https://www.businessinsider.in/Facebook-says-it-unintentionally-uploaded-1-5-million-peoples-email-contacts-without-their-consent/articleshow/68930320.cms

Еще один follow-up к истории про Facebook из марта, когда компания обнаружила в служебных файлах данные 600 млн паролей пользователей. Тогда шла речь о том, что среди этих паролей также “завалялись” пароли десятков тысяч пользователей Instagram. Сегодня у поста появилось обновление:
Continue reading

Cybersecus дайджест #76

Пользователям Evernote для Мак рекомендуется убедиться, что их приложение обновилось до последней версии. В приложении была исправлена уязвимость, позволявшая исполнение вредоносного кода на компьютере жертвы:
https://www.inputzero.io/2019/04/evernote-cve-2019-10038.html

У систем удаленного управления некоторыми функциями автомобилей (обогрев салона, открытие-закрытие дверей, контроль сигнализации, и тд) MyCar обнаружили лажу — в мобильном приложении были прошиты логин-пароль для работы с системой. Они могли быть использованы вместо пользовательских логина и пароля для подключения к автомобилю и активации вышеуказанных функций кем-то вместо владельца автомобиля. Удобно!
https://kb.cert.org/vuls/id/174715/

Покупаете детям умные часы для мониторинга детей? Будьте готовы к тому, что кроме вас, их могут мониторить и другие люди, в том числе получать информацию об их местоположении и даже подслушивать их разговоры. Об этом узнала компания Tic Toc Track, продающая подобные часы под своим брендом. А на самом деле они продавали чужие часы Gator Kids GPS watch с незащищенной системой, позволявшей злоумышленникам наблюдать за чужими детьми.
https://www.pentestpartners.com/security-blog/tic-toc-pwned/
https://www.pentestpartners.com/security-blog/tracking-and-snooping-on-a-million-kids/

Взлом крупного аутсорсера Wipro, через сеть которого впоследствии были организованы атаки на клиентов компании
https://krebsonsecurity.com/2019/04/experts-breach-at-it-outsourcing-giant-wipro/