Cybersecus дайжест #66

Кроме Facebook, новостями нас радуют многие другие компании и продукты.

Microsoft выпустила для macOS Microsoft Defender Advanced Threat Protection (ATP). Раньше он назывался Windows Defender ATP, но с выходом версии для Маков сделали более универсальное название. Продукт на данный момент предназначен для корпоративных пользователей Office 365.
Подавать заявки на участие в испытаниях можно сюда
https://www.microsoft.com/en-us/wdsi/support/macpreviewsignup
https://www.theverge.com/2019/3/21/18275443/microsoft-defender-atp-mac-support

Creepy история из Кореи, где арестовали двух перцев, установивших втихаря камеры в гостиницах, и организовавших стриминг видео из номеров. Пострадали, по некоторым оценкам, 1600 человек, которые попали в стримы. Стримы смотрели на сайте, у которого около 4 тысяч подписчиков, плативших 45 долларов в месяц за возможность доступа к контенту.
http://www.koreaherald.com/view.php?ud=20190320000610

Уязвимости:
– Критичная уязвимость в Chromium, позволяющая воровать конфиденциальные персональные данные (исправлена)
https://www.ptsecurity.com/ww-en/about/news/high-risk-vulnerability-in-android-devices-discovered-by-positive-technologies/

– На Pwn2Own показали две уязвимости в Safari, включая такую, которая позволяет получить полный контроль над компьютером (там же по ссылке – дыры в VirtualBox, VMware Workstation)
https://www.thezdi.com/blog/2019/3/20/pwn2own-vancouver-2019-day-one-results

– Уязвимости нулевого дня в WordPress
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

Многолетняя уязвимость в Android и проблемы фрагментации платформы
https://www.wired.com/story/android-vulnerability-five-years-fragmentation/

Уязвимости в популярном SSH клиенте PuTTY
https://www.theregister.co.uk/2019/03/19/putty_patched_rsa_key_exchange_vuln/

Еще ссылка от читателя про интересную “пасхалку” в Android
https://m.habr.com/ru/post/442872/

Facebook и пароли в plain-text

С новостями из мира Facebook очень сложно фейспалмами не разбить лицо. Последняя новость из мира социальной сети, о которой рассказала сама компания — во время внутреннего аудита обнаружилось, что пароли “некоторых пользователей” хранились в открытом виде во внутренней системе, и были доступны для просмотра сотрудниками компании. Несмотря на то, что аудит показал, что вроде как к данным никто (кроме 2 тысяч сотрудников) доступа не имел, в предупредительных целях компания напишет затронутым пользователям о том, что неплохо бы изменить пароль.

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

А теперь разберемся с термином “некоторые пользователи”. Туда входят:
– сотни миллионов пользователей Facebook Lite
– десятки миллионов пользователей Facebook
– десятки тысяч пользователей Instagram.

примерно как “во время Второй мировой войны некоторые участники боевых действий и некоторые гражданские лица погибли”. Пора заводить хэштэг #facebookкаквсегда

Дополнительные материалы по теме:
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

Cybersecus дайджест #65

Привет, новости из мира инфосека одной (ну почти) строкой.

Производитель алюминия Norsk Hydro оказался жертвой атаки вредоносного ПО-вымогателя LockerGoga
https://newsweb.oslobors.no/message/472389
https://www.facebook.com/norskhydroasa/posts/2214813535207638
https://www.zdnet.com/article/aluminium-producer-switches-to-manual-operations-after-extensive-cyber-attack/

Помните Ghidra (тоже Гидра, но другая)? Тот самый инструмент NSA для reverse engineering и уязвимость в нем? Теперь есть proof-of-concept, показывающий, как эту уязвимость можно эксплуатировать:
https://threatpost.com/nsa-ghidra-bug-rce/142937/

Прекрасная история о том, что вся музыка, залитая на Myspace в период с 2003 по 2015 год, была утеряна.
https://www.reddit.com/r/technology/comments/b2381s/myspace_lost_all_music_uploaded_from_2003_to_2015/
Continue reading

Cybersecus дайджест #64

Компания GearBest, китайский онлайн-ритейлер, как оказалось, хранит данные своих клиентов совсем не так, как обещает. Исследователи компании vpnMentor опубликовали материал расследования, в котором обнаружилось, что:
– политика компании о конфиденциальности пользовательских данных не соответствует действительности
– в базе хранятся личные данные покупателей, включая имейл и пароли, которые никак не шифруются. Кроме этого, магазин хранит информацию, которая необязательна для хранения, как, например, IP-адрес
– в базе также хранятся платежные данные, в том числе и о виртуальных картах платежной системы из Бразилии, а также банковские данные пользователей.
Как это часто бывает, сервер Elasticsearch без пароля.
https://www.vpnmentor.com/blog/gearbest-hack/
https://techcrunch.com/2019/03/14/gearbest-orders-exposed/
https://vc.ru/trade/61307-hakery-nashli-uyazvimost-na-serverah-gearbest-vse-dannye-klientov-onlayn-magazina-hranyatsya-v-otkrytom-vide
PS Спасибо всем читателям, которые прислали мне ссылки на эту историю

2/3 антивирусных приложений для Android — обман
https://www.zdnet.com/article/two-thirds-of-all-android-antivirus-apps-are-frauds/

Adware (рекламное ПО) в сотнях приложений для Android, с общей суммой установок более 150 млн. Там все хорошо: вредоносное ПО, маскирующееся под рекламную сеть, закачивало через бэкдор дополнительный модуль, который прятал свою иконку и работал в фоне, загружаясь на старте приложения. А дальше показ рекламы в фоне с целью генерации фейковых просмотров.
https://www.documentcloud.org/documents/5766854-SimBad-AppList-Package.html

Я писал ранее на этой неделе о том, как недавно обнаружилась неприятная лажа с плохо настроенным сервером Box для общего доступа к файлам, из-за чего некоторые компании случайно сделали доступными свои файлы, в том числе и конфиденциальные. Так вот, Box выкатил тут полезные изменения, которые должны будут в будущем предотвратить подобные лажи:
https://blog.box.com/blog/improvements-sharing-securely-box

Cybersecus дайджест #63

После небольшого затишья редакция снова выходит на связь с очередной коллекцией того, как в мире все плохо.

• Apple
• Amadeus
• Discovery
• Edelman
• Herbalife
• Schneider Electric
• PointCare
• Opportunity International
• Box
Что объединяет эти компании? Все они настроили свои корпоративные папки на файловом сервисе несколько неудачно, что позволило исследователям обнаружить внутренние файлы компаний, включая даже критические корпоративные данные.
https://www.adversis.io/research/pandorasbox

В России продолжается борьба с почтой ProtonMail, по ссылкам, присланным читателями, хорошее резюме ситуации
https://roskomsvoboda.org/45632/
https://habr.com/ru/company/tm/blog/443222/
Continue reading

Cybersecus дайджест, #62

как это иногда бывает, некогда объяснять, сегодня ссылки, зато много и интересных!

800 миллионов адресов электронной почты в 150ГБ незащищенной MongoDB. Часть записей также содержала дополнительную персональную информацию, включая адреса и номера телефонов, а также пол, дату рождения, привязанные аккаунты социальных сетей, и проч. Компания Verifications.io, молодцы какие.
https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/

Программа NSA, в рамках которой организация следила за звонками и текстовыми сообщениями американцев, кажется, закрывается:
https://www.nytimes.com/2019/03/04/us/politics/nsa-phone-records-program-shut-down.html

Очень интересная статья о том, как хакеры добывают прототипы iPhone (у которых некоторые средства безопасности отключены), для дальнейшего исследования на предмет поиска уязвимостей:
https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days

Кстати, о 0-day. Комбинация все еще неисправленной уязвимости в Windows и уязвимости в Chrome, которую Google исправила на прошлой неделе, позволяет злоумышленникам выйти из песочницы браузера.
https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html

Crowdfense, компания, которая скупает уязвимости нулевого дня и продает их правительственным организациям, объявила о том, что в 2019 году выделила общий фонд на покупку уязвимостей в размере 15 млн долларов. Интересно то, что в этом году, кроме телефонов и компьютеров, Crowdfense покупает эксплойты для роутеров и прочих сетевых устройств.
https://www.crowdfense.com/bug-bounty-program.html

Баг в Facebook Messenger, позволявший видеть веб-сайтам информацию о том, с кем переписывался пользователь (уже исправлена). Вроде как затрагивает только Windows 7.
https://www.imperva.com/blog/mapping-communication-between-facebook-accounts-using-a-browser-based-side-channel-attack/

История о двух популярных производителях автосигнализаций — Pandora и Viper, уязвимости в которых позволяли с помощью манипуляций в серверных API, следить за перемещением автомобилей, а также удаленно управлять сигнализациями, установленными на автомобилях (включая удаленную блокировку двигателя)
https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms/

Citrix сообщает о том, что компания расследует неавторизованный доступ к внутренней сети компании (о котором компании сообщили в ФБР). Вроде как злоумышленники получили доступ к бизнес-документам компании, но деталей пока нет.
https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/

Cybersecus дайджест #61

Вчера Google выпустила небольшое обновление к Chrome для всех платформ с совершенно простым и легко запоминающимся номером версии 72.0.3626.121. Оказалось, что апдейт был выпущен для исправления уязвимости нулевого дня CVE-2019-5786, позволявшей сайтам, эксплуатируя FileReader API, читать файлы на компьютере и исполнять вредоносный код. Браузер крайне рекомендуется к апдейту, если он у вас почему-то автоматически не обновился.
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Spoiler alert! Тут новую уязвимость в процессорах Intel завезли, называется Spoiler. Очередная эксплуатация спекулятивного исполнения в в процессорах, позволяющая воровать различные секреты из памяти компьютера. Уязвимость, похоже, не может быть легко исправлена, и даже минимизация её эффекта представляется сложной без существенной переделки на уровне самого процессора. Процессоры ARM и AMD не затронуты, пишут исследователи. Никогда такого не было, и вот опять!
https://arxiv.org/pdf/1903.00446.pdf

90% взломанных в 2018 сайтов были на WordPress (написал я в посте блога на WordPress). Проблемы в первую очередь возникают у тех, кто забывает апдейтить сайт (движок, плагины и темы).
https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

Обещанный в свое время релиз Ghidra случился! (напомню, это ПО от NSA по анализу и reverse engineering программного обеспечения — организация выложила проект в открытых исходных кодах). Правда, насколько вообще безопасно устанавливать себе ПО от NSA — это на ваше усмотрение. Там уже вроде как даже обнаружили то ли практически бэкдор в JDWP, то ли неудачную настройку, которая открывает порты и дает возможность удаленного исполнения кода. Впрочем, это же NSA, от них можно ожидать чего угодно.
https://www.ghidra-sre.org (этот URL из России у многих пользователей выдает ошибку 403)
https://github.com/NationalSecurityAgency/ghidra

Кстати, Microsoft не стала сидеть, сложа руки, и тоже выпустила в открытом исходном коде один свой важнейший продукт:
https://blogs.windows.com/buildingapps/2019/03/06/announcing-the-open-sourcing-of-windows-calculator/

YAPAF (Yet Another Post About Facebook)

Помните историю с приложением Facebook research, которое компания распространяла среди пользователей в обход App Store? Когда скандал был в активной фазе, представители ФБ утверждали, что “да там совсем немного подростков было среди пользователей этого приложения, меньше 5%”. Уже потом “оказалось“, что среди пользователей приложения было около 18% подростков. Какая неожиданность. Это у FB такой modus operandi, во время скандала все отрицать или преуменьшать масштабы проблемы, чтобы потом потихоньку, постепенно раскрывать, что же было на самом деле.

Но, кажется, лед тронулся! Тут Марк Цукерберг внезапно объявил о том, что политика партии меняется, и теперь Facebook будет за конфиденциальность! Внезапно Facebook, после всех своих факапов со взломами, утечками данных, раздачей пользовательских данных направо и налево, обнаружил, что пользователи почему-то ценят конфиденциальность своих данных. Интересно, что же повлияло на это решение Цукерберга? Может, 15 млн пользователей социальной сети в США, решившие больше не пользоваться ею? Или то, что Конгресс США вплотную подбирается к Facebook с запросами о том, как работает компания и как там принимаются решения?

То, что предлагает Цукерберг — фокус на безопасных коммуникациях, личном общении, и тд — это, безусловно, очень хорошо и полезно. Уход от публичных постов и перефокусировка на шифрованные сообщения, а также автоматически исчезающие сообщения между троицей сервисов, принадлежащих компании — это все, к чему будет стремиться компания. Более того, Facebook якобы даже готов быть забаненным в странах, которые будут настаивать на раскрытии данных коммуникаций (Надеюсь, РосКомНадзор принял вызов?). Будет очень здорово, если у Цукерберга получится развернуть такую махину с 2 млрд пользователей в этом направлении. По сути, это практически разворот на 180 градусов от того успешного и денежного рекламного бизнеса, которым сейчас является Facebook.

“I believe the future of communication will increasingly shift to private, encrypted services where people can be confident what they say to each other stays secure and their messages and content won’t stick around forever. This is the future I hope we will help bring about.“

Но есть парочка небольших вопросов, которые возникают после прочтения поста Цукерберга:
1. Сможет ли действительно Facebook, после всех скандалов, только подчеркивавших полное неуважение к персональным и конфиденциальным пользовательским данным, полностью изменить свою бизнес-модель? Ведь, по сути, компании придется отказаться от ленты новостей, основного продукта Facebook, в котором пользователи проводят огромное количество времени.

2. Как Facebook планирует монетизировать такую новую “сеть”, если идет речь об отказе от публичных постов и фокусе на приватных, шифрованных сообщениях? Если все равно в чатах надо будет показывать рекламу, даже, допустим, не читая шифрованные сообщения, то значит ли это, что Facebook продолжит практику сбора и анализа всевозможной информации о пользователях? Тогда разговоры о конфиденциальности — это пустая болтовня.

Весь пост Цукерберга, к сожалению, читается больше как пародия на него самого же, в котором он, по сути, рассказывает, как он внезапно для себя открыл концепцию конфиденциальности персональных пользовательских данных и желание людей минимизировать видимость своих личных данных для кого попало в интернете. Но если он действительно серьезно меняет свой подход от “коммуникации между людьми всего мира” (как будто кто-то об этом просил) к тому, что компании все-таки придется занять определенную позицию касательно конфиденциальности, это очень здорово. Жаль, что такой переход, если он на самом деле случится, займет очень много времени (годы, как пишет сам Цукерберг), и все это время компания будет продолжать заниматься тем, что у нее получается лучше всего — зарабатывать на персональных данных пользователей.

ДВЕСТИ ШЕСТЬДЕСЯТ ДВЕ ТЫСЯЧИ СЕМЬСОТ СЕМЬДЕСЯТ ЧЕТЫРЕ

Шикарная ссылка, которую прислал читатель канала. Вполне приличный и безопасный на вид пароль ji32k7au4a83 оказывается на поверку, если я правильно понял, транслитом с китайского по системе Чжуинь фухао, переводится как “my password”, и встречается в различных утечках аж 141 раз.
https://gizmodo.com/why-ji32k7au4a83-is-a-remarkably-common-password-1833045282

И тут с подачи читателя, в кои-то веки пришла в голову идея. Наберем в https://haveibeenpwned.com/Passwords “мойпароль” в латинской раскладке — vjqgfhjkm, и получим 9635 использований в различных взломах. Неплохо, да.

Еще больше упростим задачу, и наберем слово “пароль” — gfhjkm.

Oh no — pwned!
This password has been seen 262,774 times before
This password has previously appeared in a data breach and should never be used. If you’ve ever used it anywhere before, change it!

ДВЕСТИ ШЕСТЬДЕСЯТ ДВЕ ТЫСЯЧИ СЕМЬСОТ СЕМЬДЕСЯТ ЧЕТЫРЕ ИСПОЛЬЗОВАНИЯ

ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА

Facebook и номер телефона

Честно говоря, я уже сбился со счета по поводу историй про лажи Facebook, касающиеся частной информации пользователей, которые бы хотелось начать словами “Никогда такого не было, и вот опять”. Кажется, прослеживается тренд!

В этот раз в новости попала история о том, что делает Facebook с номером телефона пользователя, который тот добавляет для двухфакторной аутентификации. В частности, проблема заключается в том, что если добавить номер телефона для активации функции аутентификации путем получения дополнительных кодов по SMS на номер телефона, то потом другие пользователи Facebook смогут найти вас по этому номеру в поиске. Сюрприз! (Правда, меня преследует стойкое ощущение дежавю, что я уже это когда-то читал, и это было одной из причин отказаться от 2FA на Facebook через SMS и завести TOTP-аутентификацию вторым фактором, как только Facebook добавил такую возможность). А в прошлом году еще была новость о том, что номер телефона, используемый для 2FA, может также использоваться для таргетирования пользователя рекламой. Сплошное удобство и комфорт! А они еще и базы между сервисами (FB, IG, WA) как просинхронизируют, так еще удобней будет.

В любом случае, журналисты это раскопали сейчас и развели шум. Facebook на запросы о том, не хотят ли они в своей корпорации добра отключить от греха подальше эту фичу, что-то там промямлил, что про будущие планы не комментирует. Но фича совершенно идиотская и вообще непонятно, почему она даже вообще оказалась включена.
Вот еще интересный материал о том, почему это плохо:
https://prestonbyrne.com/2019/03/03/facebooks-new-10-digit-security-hole/