Лаборатория Касперского, расследование ФАС, Apple и персональная информация

Вчера в новостях прошла информация о том, что Федеральная Антимонопольная Служба (ФАС) России возбудила дело в отношении Apple Inc. “в связи с действиями корпорации на рынке распространения приложений для iOS”. Дело возбуждено по заявлению Лаборатории Касперского (ЛК), и речь идет о том, что Apple отклоняла версии приложения ЛК для родительского контроля при просмотре в App Store, чем нанесла глубокую душевную травму компании. О подаче этой жалобы я писал еще в марте этого года, и вот наконец-то жернова госоргана провернулись. Честно говоря, я думал, что в рамках июньских изменений, которые внедрила Apple, ЛК могла уже и удовлетвориться, но, похоже, ЛК этого не достаточно.

Немного предистории. У ЛК и ряда других компаний есть приложения для родительского контроля, которые позволяют контролировать местоположение детей, запуск и время работы приложений, а также просмотр сайтов в браузере и активность в социальных сетях. На iOS подобные приложения требуют установки профиля по технологии Mobile Device Management, что до июня этого года означало нарушение условий соглашения разработчика для платформы Apple, а также правил для приложений, подаваемых в App Store. В конце прошлого и начале этого года Apple стала планомерно выпиливать подобные приложения с профилями MDM из App Store, так как само наличие профиля MDM означало контроль владельца этого профиля над устройством, на котором оно установлено. Пострадавшие возмутились (кто-то жаловался в прессу, кто-то, как ЛК, жаловался в госорганы), и в итоге Apple в июне внесла изменения в правила для приложений в App Store, разъяснив ситуацию:

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.

Continue reading

WWDC 2019 — безопасность и конфиденциальность

Для меня показателем того, насколько интересной была в этом году конференция WWDC, является тот факт, что я до сих пор продолжаю публиковать свои заметки о том, что на ней показали. (да, уже прошел целый месяц после WWDC, просто я медленно пишу). К счастью, это последний материал, который я хотел написать по следам конференции.

Кроме всех новинок операционных систем, Mac Pro с новым монитором, и проч., я бы хотел отдельно выделить улучшения в продуктах, которые касаются безопасности и конфиденциальности пользовательской информации. О некоторых, как, например, Sign In with Apple или Find My я уже писал, а до остального руки дошли только сейчас. Хотя там тоже хватает интересного.


Список security-изменений в новых версиях iOS/macOS
Continue reading

Find My

Один из самых интересных для меня анонсов на WWDC 2019 – это функция мониторинга устройств Apple пользователями, которую Apple назвала Find My. Общая идея возможности пользователю видеть свои устройства сама по себе не нова и присутствовала у Apple под названием Find My iPhone много лет (и со временем стала позволять обнаруживать не только iPhone, но и другие устройства Apple, в том числе Маки). Историй о том, как пользователи находили свои потерянные и украденные устройства, включая истории про погони по городам за ворами, достаточно много. В этом году Apple, объединив два приложения Find My iPhone и Find My Friends, представила новый сервис Find My, который должен стать единым местом для просмотра информации о местоположении людей и техники. С людьми и социальным аспектом в целом понятно, а вот мониторинг устройств приобрёл очень интересную функцию. Речь идёт о возможности пользователю видеть местоположение устройства, которое не подключено к интернету.


Continue reading

“Для чего нужен новый iPod?”

Вчера одно издание обратилось ко мне за комментарием с вопросом, вынесенным в заголовок, и я решил, что можно его опубликовать и в блоге, тем более, что этот вопрос достаточно популярен и встречается часто. Моя первая реакция в Твиттере после вчерашнего анонса была такая:

Хорошие новости:
– там теперь процессор от iPhone 7
– есть 256ГБ
– дешево
– миниджек!

Плохие новости:
– ни FaceID, ни TouchID
– 4” экран, который придется поддерживать в приложениях
– гигантские рамки

Но возвращаясь к вопросу. У меня сформулировался на него следующий ответ:

iPod Touch, на первый взгляд, может показаться странным продуктом, который мало кому нужен. Действительно, зачем нужен, по сути, смартфон, но без возможности подключения к сотовой сети? Есть же iPhone, он решает все вопросы, которые может решить iPod Touch. Однако, iPod touch обладает гораздо большей популярностью, чем может показаться со стороны. Это недорогое устройство на базе iOS, что обеспечивает возможность использования экосистемы приложений и получения всех преимуществ iOS в виде безопасности, фокуса Apple на конфиденциальности данных, своевременных обновлений и возможностей по управлению корпоративными системами. Благодаря этим факторам, iPod Touch активно приобретают и используют в бизнес-среде, в качестве устройств для приема заказов и оплаты, устройств для сканирования товаров на полках магазинов и складов, и тд. Небольшая стоимость устройства, по сравнению с даже самым дешевым iPhone, добавляет привлекательности iPod Touch.
Continue reading

ZombieLoad

Обнаружен новый набор уязвимостей в процессорах Intel (вплоть до 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.

Ссылки по теме:
Информация об атаке

Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
Continue reading

Cybersecus дайджест #81

Сразу две хорошие новости, я отлучился на небольшой отпуск, и за это время ничего катастрофического не произошло! Если, например, не считать того, что из-за проблем с сертификатом у Firefox, что привело к тому, что уже установленные расширения не запускались, а новые не устанавливались. Те 2,5 пользователя Firefox, которые пострадали, уже знают, что проблема была исправлена:
https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/

А вот в китайском аналоге AWS — на облачной платформе Alibaba Cloud — обнаружилась база данных жителей из нескольких районов Пекина, которую собрали власти города с помощью системы распознавания лиц. “Умный город”, говорили они, “общественный транспорт вовремя”, говорили они, устанавливая камеры наблюдения. Только базу забыли закрыть паролем, и она лежала доступной для кого угодно в интернете. Elasticsearch, гигабайты данных, включая данные о распознавании сотен лиц за несколько месяцев. Базу обнаружил эксперт по кибербезопасности Джон Ветингтон, рассказавший об этом изданию TechCrunch.
https://techcrunch.com/2019/05/03/china-smart-city-exposed/

Компания 1Password, разработчик одноименного менеджера паролей, предлагает бесплатную версию своего приложения для журналистов. Нужно зарегистрироваться на странице, компания проверит статус зарегистрировавшегося как журналиста, и после этого зарегистрировавшийся получит бесплатную версию приложения.
https://blog.1password.com/world-press-freedom-day-1password-journalism/
Continue reading

Cybersecus дайджест #80

1. Bloomberg, издание, которое в свое время опубликовало материал о наличии китайских “жучков” в серверах Apple и Amazon, теперь публикует статью об обнаруженных в сети Vodafone Italy бэкдорах в оборудовании Huawei. Уязвимости были обнаружены в период с 2009 по 2011 год в роутерах для домашнего интернета, а также в инфраструктурном оборудовании оператора. В статье также говорится, что уязвимости существовали и после 2012 года, и присутствовали в сетях компании в Великобритании, Германии, Испании и Португалии.

В отличии от истории про сервера Apple и Amazon, где обе компании активно опровергали информацию Bloomberg, в этом случае Vodafone подтвердил, что уязвимости действительно были обнаружены, но проблема была решена в 2011-2012 годах. Huawei со своей стороны утверждает, что это не намеренное включение бэкдоров в оборудование, а “технические ошибки, которые были обнаружены и исправлены”.
Материал Bloomberg https://www.bloomberg.com/news/articles/2019-04-30/vodafone-found-hidden-backdoors-in-huawei-equipment-jv3fmbrc
Дополнительный материал в ZDNet https://www.zdnet.com/article/huawei-denies-existence-of-backdoors-in-vodafone-networking-equipment-brands-them-technical-flaws/
Continue reading

Cybersecus дайджест #79

После небольшого затишья редакция возвращается в строй с коллекцией интересных ссылок из мира информационных опасностей.

Россиянам на заметку: материал от BBC о том, как продают ваши данные и доступ к ним.
“В России расцвел нелегальный рынок “онлайн-пробива”, на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу.”
https://www.bbc.com/russian/features-48037582

Полезные советы от ЛК по хоть каким-то усилиям, которые могут предпринять пользователи по улучшению безопасности своих данных.
“Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.”
https://www.kaspersky.ru/blog/privacy-ten-tips-2018/

В пятницу Docker Hub объявил о взломе и утечке данных на 190 тыс пользовательских записей (менее 5% от общего количества пользователей), включая логины, хешированные пароли, и токены доступа к GitHub и Bitbucket. Пользователям рекомендуется сменить пароли в Docker Hub, и переподключить их к репозитория, так как токены были отозваны. Также стоит проверить логи в Github и Bitbucket на предмет несанционированного доступа.
https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/
Continue reading

Cybersecus дайджест #78

1. Прекрасная по своей трагичности история про студента, который использовал устройство USB killer (флешка, которая вставляется в USB-порт, и приводит к преждевременной смерти компьютера) для того, чтобы нанести вред колледже, в котором он учился. Он воткнул флешку в 66 компьютеров на кампусе, и наверняка получил от этого какое-то удовлетворение. Вреда на 58 тыс долларов, а штраф светит до 250 тыс долларов, плюс еще до 10 лет тюрьмы. Мотивация такого поступка что-то не очень ясна.
Тут можно почитать больше про эти самые USB Killer
https://arstechnica.com/information-technology/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
О признании вины студента
https://www.justice.gov/usao-ndny/pr/former-student-pleads-guilty-destroying-computers-college-st-rose

2.Помните WannaCry? ((если не помните, то можно освежить память поиском по каналу запросами WCry, WannaCry, WannaCrypt, ETERNALBLUE). Короче, страшный вирус-вымогатель, эпидемию которого удалось остановить только благодаря тому, что в коде нашли незарегистрированный домен для kill-switch.

Герой, который остановил эту эпидемию — Marcus Hutchins, британский исследователь, которого потом неожиданно арестовали в Лас Вегасе на конференции Def Con в 2017 году. В итоге оказалось, что он в свое время написал ПО для воровства данных к банковским учетным записям. На прошлой неделе он признал свою вину по двум инцидентам, и теперь ему светит до 5 лет тюрьмы за каждый инцидент, и до 250 тыс долларов штрафа. Забавно, что после этого в infosec-сообществе развернулось бурное обсуждение на тему “кто из нас в детстве не был хакером, взламывающим банки”, но, кажется, все остались при своем мнении (и со своими скелетами в шкафах).
https://www.malwaretech.com/public-statement

Continue reading