Cybersecus ссылки

– Пентагон заявил о взломе информационной системы, вследствие чего, похоже, утекли данные на 30 тысяч сотрудников военного ведомства, включая имена и данные кредитных карт военного и гражданского персонала:

http://apnews.com/7f6f4db35b0041bdbc5467848225e67d

— Европейское расследование Твиттера по сбору информации через ссылки для сокращения адресов (GDPR такой GDPR)
http://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/

– Устанавливаете дома камеры наблюдения для собственной безопасности? Учтите, что правоохранительные органы могут запросить у разработчика камер данные, хранящиеся в облаке, так что лучше вам под камерами не заниматься ничем предосудительным или нарушающим закон. Первый такой случай, когда данные были переданы (камера Nest, данные, соответственно, у Google), появился в США. А вообще Nest получила уже более 300 подобных запросов, так что практика вполне жива.

– много интересной информации о черве CRASHOVERRIDE, он же известен как “Industroyer”. Отчет Dragos об угрозе и возможных путях защиты от вредоносного ПО, направленного на нанесение ущерба электросети.
https://dragos.com/blog/crashoverride/

Про Apple Watch пропавшего журналиста

В интернете нарезает круги история про Apple Watch журналиста Washington Post, пропавшего после визита в консульство Саудовской Аравии (и, возможно, убитого там). Сама по себе история c его пропажей и возможным убийством ужасна, но я хотел поговорить именно о технологическом аспекте той части истории, где фигурирует Apple Watch. Если вкратце, то пишут, что журналист смог записать аудио своего убийства на Apple Watch, после чего это аудио то ли было передано в облако, то ли на телефон, и таким образом стало известно, что именно произошло с ним после того, как он зашел в здание посольства.

Если честно, то у меня есть большие сомнения в правдивости этой истории. Ноги у этой новости растут из статьи турецкой газеты Sabah, и изобилуют странными деталями, вроде той, что когда убийцы журналиста заметили, что часы ведут запись, они пытались разблокировать часы, прикладывая палец к экрану часов. Но в часах, как известно, нет сканера распознавания отпечатков пальцев.

На первоисточник ссылается Washington Post:

The newspaper also alleged Saudi officials tried to delete the recordings first by incorrectly guessing Khashoggi’s PIN on the watch, then later using the journalist’s finger.

Continue reading

Cybersecus ссылки

несколько интересных ссылок по теме канала на почитать:

1. [Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей
https://habr.com/post/416835/
(спасибо читателю канала)

2. Отчет агентства по ответственности правительства (US Government Accountability Office) о состоянии цифровой безопасности Министерства обороны США (по результатам “учений”, в которых специально отобранные хакеры пытались взламывать – вполне успешно – различные системы министерства). Публичная версия отчета не содержит в себе конкретных технических деталей, но все равно интересно почитать:
https://www.gao.gov/products/GAO-19-128

3. Еще одна фитнес-компания не уберегла данные своих пользователей, оставив базу открытой на AWS:
https://www.infosecurity-magazine.com/news/fitmetrix-exposes-millions-of/

4. Украденные Apple ID используются для воровства денег у пользователей Alipay и WeChat (я так понимаю, там все завязано на том, что Apple ID требует в Китае номера телефона, а потом получается привязка к реальным аккаунтам платежных систем. Как-то сложно, но, видимо, работает):
https://www.reuters.com/article/us-china-alipay-apple/chinas-alipay-says-stolen-apple-ids-behind-thefts-of-users-money-idUSKCN1ML0QO

5. Про пароль Kanye West
https://motherboard.vice.com/en_us/article/j53n87/kanye-west-worst-iphone-passcode

Дополнение о взломе Facebook

Неделю назад стало известно о том, что социальную сеть Facebook взломали и злоумышленники получили доступ к примерно 50 млн пользовательских записей. Сегодня Facebook опубликовал дополнительную информацию об этом взломе, из которой можно узнать:

– расследование показало, что из первоначальной оценки 50 млн пользовательских записей, которые могли быть затронуты, реально украдены токены были у 30 млн пользователей.
– из этих 30 млн пользователей у 15 млн пользователей хакеры получили доступ к базовой контактной информации (адрес электронной почты и/или номер телефона)
– у 14 млн пользователей хакеры получили доступ к гораздо большему набору информации: всё та же контактная информация, плюс никнейм, пол, язык, статус отношений, религия, город рождения, текущий город, указанный в профиле, дату рождения, типы устройств, используемые для доступа к Facebook, информацию об образовании, работе, последние 10 мест чекина или отмеченных, адрес сайта, список людей или страниц, которые пользователи фолловят, а также 15 последних поисковых запросов.
– у 1 млн человек нападавшие не получили никакой информации.
Continue reading

Коллекция ссылок

Несколько интересных и полезных ссылок, накопившихся за последнее время:

Встроенная защита от фейковых клавиатур в Safari на iOS 12
https://www.reddit.com/r/apple/comments/9m94qg/til_safari_on_ios_12_has_builtin_protection/

Introducing Intra: A New App to Stop DNS Manipulation
https://medium.com/@JigsawTeam/introducing-intra-a-new-app-to-stop-dns-manipulation-f76de3f5d01

Use YubiKey security key to sign into AWS Management Console with YubiKey for multi-factor authentication
https://aws.amazon.com/blogs/security/use-yubikey-security-key-sign-into-aws-management-console/

Обновите WhatsApp

Обнаруженная в августе уязвимость в WhatsApp (для iOS и Android) была исправлена в последнем апдейте, так что обновление не помешает. Уязвимость позволяла при поступлении звонка от злоумышленника закрешить клиент (и, видимо, потенциально сделать что-то еще, о чем исследователь из Google не говорит, но называет эту проблему big deal).

Кстати, комментарий к багу там интересный:

Китайские чипы везде

Между тем, так и не предоставив никаких доказательств истории с китайскими чипами в серверах Apple и Amazon, Bloomberg продолжает педалировать тему, публикуя новую статью на эту тему. Теперь, если верить статье, крупная телекоммуникационная компания в США обнаружила у себя в сети сервер Supermicro, с критическим технологическим компонентом, над которым были проведены некие манипуляции. Якобы был обнаружен имплант, встроенный в Ethernet-порт сервера, который, видимо, должен был служить бэкдором в сервер (но из статьи не очень понятно, делал ли он это).

Важно отметить также, что все крупнейшие телекоммуникационные компании США заявили о том, что эта история не о них (компания в статье не называется).

Я уже не знаю, что об этом думать (к счастью, я не один такой). Все требуют доказательств, но Bloomberg хранит молчание.
Continue reading

MikroTik как всегда

Из рубрики «никогда такого не было, и вот опять» – исследователи Tenable обнаружили несколько уязвимостей в RouterOS, используемой в роутерах MikroTik. И все, как уже было неоднократно: параметры входа по умолчанию, и уязвимости, приводящие к полному контролю над роутером. Для разных роутеров вышли обновления RouterOS версий 6.40.9, 6.42.7 и 6.43 – вы знаете, что делать.

https://www.tenable.com/blog/tenable-research-advisory-multiple-vulnerabilities-discovered-in-mikrotiks-routeros

Privacy is dead, baby

Я много пишу про доступность любой информации в интернете (и в блоге, и в Телеграм-канале). А ведь дальше будет только хуже. Просто почитайте эту статью (в отрыве от ее политического аспекта), чтобы в очередной раз убедиться, что сохранности частных данных просто не существует. То кто-то чужое водительское удостоверение пришлёт, то читатели по базам данных страховых компаний, куда у них есть доступ, ищут информацию и присылают её исследователям:

Наши читатели, используя базу данных страховых полисов ОСАГО и реквизиты водительского удостоверения, выяснили, что данные права действительно зарегистрированы на имя

Ну и дальше там полный список различных сервисов, по которым проводится полный деанон человека. Только подтверждаются тезисы из этой статьи. Не новость, конечно, но каждый раз хочется уехать куда-то в лес без электричества.