Cybersecus дайджест

Привет,

Сегодня нет времени объяснять, поэтому коллекция ссылок (зато большая) по теме:

1. Ошибка в Facebook, позволявшая сайтам видеть лайки пользователей и их друзей
https://techcrunch.com/2018/11/13/facebook-bug-website-leak-likes-interests-profile/

2. Женщина, арестованная за участие в перестрелке, удаленно очистила iPhone X, который у нее изъяла полиция
https://dailygazette.com/article/2018/11/08/police-woman-remotely-wipes-phone-in-evidence-after-shooting

3. Исследователь обнаружил уязвимость в Steam, позволявшую ему получать лицензии на любые игры, и награда нашла героя!
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

4. Уязвимость в VirtualBox, дающая выход из виртуальной машины (много интересных деталей)
https://www.voidsecurity.in/2018/11/virtualbox-vmsvga-vm-escape.html

5. странная история с тем, что некоторые владельцы учетных записей Apple ID обнаружили их заблокированными “по соображениям безопасности” (возможно, какой-то массовый брут-форс)
https://9to5mac.com/2018/11/13/some-iphone-users-finding-their-apple-id-accounts-have-been-inexplicably-locked-requiring-password-resets/

6. проект по разработке безопасных аппаратных хранилищ
https://keystone-enclave.org

7. Раздел на GitHub касательно уязвимости в Safari/macOS 10.13.3 c Pwn2Own2018, приводящей к удаленному исполнению кода
https://github.com/saelo/pwn2own2018

И Фреймворк с ней для metasploit
https://github.com/rapid7/metasploit-framework/pull/10944

CloudFlare 1.1.1.1 для iOS и Android

Быстрый и безопасный DNS 1.1.1.1 теперь доступен на мобильных платформах в виде удобного и простого приложения:

Для Android
https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone

Для iOS
https://itunes.apple.com/us/app/1-1-1-1-faster-internet/id1423538627?mt=8

Больше здесь:
https://blog.cloudflare.com/1-thing-you-can-do-to-make-your-internet-safer-and-faster/

Cybersecus дайджест

Сегодня опять коллекция, и к тому же очень интересных.

1. Помните, несколько дней назад я писал про целый набор всяких лаж разной степени лажовости в аппаратном шифровании данных внешних дисков? Там еще возникала дополнительная коллизия в случае с программным шифрованием с помощью BitLocker, где BitLocker, обнаружив аппаратное шифрование на диске, говорил “ну, мне тут делать больше нечего”.

Так вот, Microsoft выпустила рекомендации по поводу того, как правильно сконфигурировать BitLocker, чтобы шифрование BitLocker применялось даже в случае обнаружения аппаратного шифрования на дисках:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028

2. Полиция расшифровала 258 тысяч сообщений после взлома шифрования приложения IronChat, которое продвигало себя как приложение для безопасного чата. Интересная статья о том, почему это шифрование вообще могли взломать (потому что самопальное шифрование – это очень сильный риск, кгхм… Телеграм… кгхм…)
https://arstechnica.com/information-technology/2018/11/police-decrypt-258000-messages-after-breaking-pricey-ironchat-crypto-app/
Continue reading

Cybersecus дайджест

Еще несколько интересных ссылок на тему инфобезопасности:

1. Кстати, о Facebook. На прошлой неделе встретил информацию о том, что в интернете появились на продажу 81 тысяча учетных записей пользователей социальной сети.
https://www.digitalshadows.com/blog-and-research/81000-hacked-facebook-accounts-for-sale-5-things-to-know/
Тут есть дополнительная информация от компании, которая помогала BBC с оригинальной статьей:
– 81 тысяча аккаунтов — это только те, для которых в архиве есть личная переписка (и другие данные). Данные профиля включают в себя имена, адреса. контактную информацию, список друзей и переписку. Фотографий в профилях нет. Общее количество профилей в архиве — 257 256. Большинство этих аккаунтов (30%) — пользователи ФБ из Украины, еще 9% – пользователи из России. Продавец также утверждает, что у него есть 120 млн аккаунтов. Метод, которым получены эти данные, неизвестен, хотя есть подозрение на какое-то расширение в браузере.

2. Обнаружена еще одна side-channel уязвимость в процессорах Intel, позволяющая злоумышленникам получить доступ к криптографическим ключам и другой конфиденциальной информации. Встречайте PortSmash!
Дополнительная информация тут: https://seclists.org/oss-sec/2018/q4/123. Во всем виноват Hyper-Threading, когда, грубо говоря, одно приложение из своего треда на процессоре может, по сути, заглянуть в другой тред — изучив доступ к кэшам и тайминг выполнения операций. Выход один — отключать HT, хотя Intel считает, что проблемы нет, и нужно просто писать такой код, который будет устойчив к атакам подобного рода. Эта история не имеет отношения к Spectre и проч. уязвимостям спекулятивного исполнения.
Continue reading

рекламная крипота

DuckDuckGo тут напомнили, что можно заглянуть в рекламные настройки Facebook, чтобы увидеть список рекламодателей, которые загрузили вашу контактную информацию в ФБ для показа рекламы. То есть не просто таргетирование “белый мужчина такого-то возраста в таком-то городе с интересом к автомобилям”, а именно конкретно вашу информацию – имейл или номер телефона.

Settings > Ad preferences > Advertisers you’ve interacted with > Advertisers who uploaded a contact list with your info > See all

(Эту функциональность Facebook никогда и не скрывал — если вы оставляете свою информацию в какой-то компании, и она потом хочет показать вам рекламу, то она может загрузить свой контактный список в Фейсбук и показывать рекламу совершенно конкретным людям).

Но я решил ради интереса заглянуть в свой список, что там у меня, и увидел ТАКОЕ… Кликай скорей, чтобы узнать!
Continue reading

Идентификация пользователей мессенджеров

В России происходит какое-то веселье с проверкой пользователей мессенджеров. Теперь, я так понимаю, компания, оперирующая тем или иным мессенджером, должна будет вместе с операторами связи обеспечивать идентификацию пользователя по номеру его мобильного телефона. Видимо, нужно будет проверить, что человек, регистрирующийся в мессенджере, и человек, пользующийся этим номером телефона ( владелец SIM-карты) – это одно и то же лицо.

Изначально материал об этом появился в газете Известия:
https://iz.ru/808022/inna-grigoreva/polzovatelskoe-oglashenie-messendzhery-berut-pod-totalnyi-kontrol

Постановление об этом уже опубликовано на правительственном портале:
http://publication.pravo.gov.ru/Document/View/0001201811060001

Разбираться с этой историей пытаются в TJournal:
Раз https://tjournal.ru/79496-medvedev-podpisal-novye-pravila-identifikacii-polzovateley-messendzherov
Два https://tjournal.ru/79507-pravitelstvo-rossii-zapretilo-anonimnoe-ispolzovanie-messedzherov-eto-budet-rabotat-est-mnogo-voprosov

Главное — теперь надо помнить, что при авторизации в некоторых мессенджерах после 5 мая 2019 года информация об аккаунтах может передаваться операторам связи, а значит властям. Вместе с законом Яровой, обязывающим хранить и выдавать недавнюю переписку пользователя, власти будут не только знать, кому, когда и что писал пользователь, но и кто этот пользователь по паспорту. В остальном, судя по всему, почти ничего не изменится.

Статья Саши Плющева https://www.dw.com/ru/комментарий-власти-целились-в-мессенджеры-а-попали-во-в-контакте/a-46172226

Шифрование SSD-дисков

Очередная “история дня”, связанная с фейлом в шифровании, в этот раз — в SSD-дисках. Исследователи университета Radboud в Нидерландах сообщили об обнаруженных уязвимостях в некоторых дисках SSD, которые позволяют обойти функцию шифрования диска и получилось доступ к данным на диске без использования пароля для расшифровки данных. Уязвимость затрагивает только те SSD-модели, поддерживающие аппаратное шифрование, где функции шифрования перенесены в отдельный встроенный чип, отдельный от главного процессора (модели Samsung, Crucial). Проблема заключается в кривой реализации спецификаций ATA Security и TCG Opal по внедрению аппаратного шифрования в самошифрующихся дисках.

Полный отчет можно получить тут (PDF), но вот из него сразу список некоторых затронутых моделей дисков:

(это только те, что были протестированы в рамках исследования)
Continue reading

Акадо и конфиденциальные данные клиентов

За выходные мне примерно миллион раз прислали ссылку на историю о том, как оператор «Комкор» (оперирующий под торговой маркой «АКАДО Телеком») в течение длительного времени размещал персональную информацию о клиентах в открытом доступе. Эту утечку данных из базы RIPE обнаружил основатель сервиса TgVPN Владислав Здольников, о чем он рассказал в своем посте:

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.

После обращения оператор убрал данные по IP-адресам в блоке person базы данных RIPE в двух приведенных примерах, при этом они отказались скрыть информацию из блока inetnum, где указывается ФИО (или название компании) пользователей.

Собственно, чем это плохо:

Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.

Рекомендую почитать весь пост для ознакомления с деталями.

Cybersecus дайджест

Еще несколько интересных ссылок на тему:

1. iRobot — производитель известных роботов-пылесосов — договорился с Google о том, что будет делиться с последней данными о картах помещений, в которых убирают роботы. Последние модели пылесосов научились делать карты помещений с помощью данных одометрии и изображений с низким разрешением. Google считает, что может улучшить работу своих умных гаджетов для дома с помощью этих данных. Казалось бы, что может пойти не так? (Google утверждает, что эти данные не будут использоваться для рекламы, но кто из нас, положа руку на сердце, реально поверит сейчас в этом Google?)

https://www.theverge.com/2018/10/31/18041876/google-irobot-smart-home-spatial-data-mapping-collaboration

2. Уязвимость для устройств Cisco, которые работают с ПО Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos
Успешная эксплуатация уязвимости приводит к крешам и перезагрузке устройств. Патча пока что еще нет, но по ссылке есть рекомендации о том, как уменьшить вероятность пострадать от этой уязвимости.

3. Красивая коллекция устройств для подслушивания, подсматривания и слежки
https://comsecllc.com/spy-gadgets

Апдейты по безопасности Apple

За последние пару дней накопилось сразу несколько интересных заметок про всякие вещи, связанные с информационной безопасностью и Apple одновременно, поэтому я собрал их все в одном посте.

Вчера Apple наконец-то выложила обновленные статьи о различных улучшениях безопасности (читай — исправленных уязвимостях) в последних версиях операционных систем. Ссылки на содержимое апдейтов в каждой операционной системе, а также в других продуктах компании, можно найти тут:
https://support.apple.com/en-us/HT201222. Я думаю, что тут достаточно упомянуть, что термин “arbitrary code” встречается в статье о содержимом апдейтов macOS 10.14 Mojave двадцать один раз.

Там же и такая прекрасная уязвимость под номером CVE-2018-4407 в обработке получения ICMP пакетов, позволяющая “завалить” работающие в той же сети Мак с High Sierra и ios-устройства с iOS 11, как продемонстрировано на этом видео в твите:


Continue reading