Cybersecus дайжест #66

Кроме Facebook, новостями нас радуют многие другие компании и продукты.

Microsoft выпустила для macOS Microsoft Defender Advanced Threat Protection (ATP). Раньше он назывался Windows Defender ATP, но с выходом версии для Маков сделали более универсальное название. Продукт на данный момент предназначен для корпоративных пользователей Office 365.
Подавать заявки на участие в испытаниях можно сюда
https://www.microsoft.com/en-us/wdsi/support/macpreviewsignup
https://www.theverge.com/2019/3/21/18275443/microsoft-defender-atp-mac-support

Creepy история из Кореи, где арестовали двух перцев, установивших втихаря камеры в гостиницах, и организовавших стриминг видео из номеров. Пострадали, по некоторым оценкам, 1600 человек, которые попали в стримы. Стримы смотрели на сайте, у которого около 4 тысяч подписчиков, плативших 45 долларов в месяц за возможность доступа к контенту.
http://www.koreaherald.com/view.php?ud=20190320000610

Уязвимости:
– Критичная уязвимость в Chromium, позволяющая воровать конфиденциальные персональные данные (исправлена)
https://www.ptsecurity.com/ww-en/about/news/high-risk-vulnerability-in-android-devices-discovered-by-positive-technologies/

– На Pwn2Own показали две уязвимости в Safari, включая такую, которая позволяет получить полный контроль над компьютером (там же по ссылке – дыры в VirtualBox, VMware Workstation)
https://www.thezdi.com/blog/2019/3/20/pwn2own-vancouver-2019-day-one-results

– Уязвимости нулевого дня в WordPress
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

Многолетняя уязвимость в Android и проблемы фрагментации платформы
https://www.wired.com/story/android-vulnerability-five-years-fragmentation/

Уязвимости в популярном SSH клиенте PuTTY
https://www.theregister.co.uk/2019/03/19/putty_patched_rsa_key_exchange_vuln/

Еще ссылка от читателя про интересную “пасхалку” в Android
https://m.habr.com/ru/post/442872/

Лаборатория К как Спотифай — тоже против Apple

Вчера Лаборатория Касперского опубликовала пост в блоге, рассказав о том, что компания подала против Apple жалобу в Федеральную Антимонопольную Службу (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:
– у ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
– С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
– В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
– ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что — я так и не уловил четко это из статьи в блоге. В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать “вырванные из текста и контекста” утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.
Continue reading

Cybersecus дайджест #61

Вчера Google выпустила небольшое обновление к Chrome для всех платформ с совершенно простым и легко запоминающимся номером версии 72.0.3626.121. Оказалось, что апдейт был выпущен для исправления уязвимости нулевого дня CVE-2019-5786, позволявшей сайтам, эксплуатируя FileReader API, читать файлы на компьютере и исполнять вредоносный код. Браузер крайне рекомендуется к апдейту, если он у вас почему-то автоматически не обновился.
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Spoiler alert! Тут новую уязвимость в процессорах Intel завезли, называется Spoiler. Очередная эксплуатация спекулятивного исполнения в в процессорах, позволяющая воровать различные секреты из памяти компьютера. Уязвимость, похоже, не может быть легко исправлена, и даже минимизация её эффекта представляется сложной без существенной переделки на уровне самого процессора. Процессоры ARM и AMD не затронуты, пишут исследователи. Никогда такого не было, и вот опять!
https://arxiv.org/pdf/1903.00446.pdf

90% взломанных в 2018 сайтов были на WordPress (написал я в посте блога на WordPress). Проблемы в первую очередь возникают у тех, кто забывает апдейтить сайт (движок, плагины и темы).
https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

Обещанный в свое время релиз Ghidra случился! (напомню, это ПО от NSA по анализу и reverse engineering программного обеспечения — организация выложила проект в открытых исходных кодах). Правда, насколько вообще безопасно устанавливать себе ПО от NSA — это на ваше усмотрение. Там уже вроде как даже обнаружили то ли практически бэкдор в JDWP, то ли неудачную настройку, которая открывает порты и дает возможность удаленного исполнения кода. Впрочем, это же NSA, от них можно ожидать чего угодно.
https://www.ghidra-sre.org (этот URL из России у многих пользователей выдает ошибку 403)
https://github.com/NationalSecurityAgency/ghidra

Кстати, Microsoft не стала сидеть, сложа руки, и тоже выпустила в открытом исходном коде один свой важнейший продукт:
https://blogs.windows.com/buildingapps/2019/03/06/announcing-the-open-sourcing-of-windows-calculator/

YAPAF (Yet Another Post About Facebook)

Помните историю с приложением Facebook research, которое компания распространяла среди пользователей в обход App Store? Когда скандал был в активной фазе, представители ФБ утверждали, что “да там совсем немного подростков было среди пользователей этого приложения, меньше 5%”. Уже потом “оказалось“, что среди пользователей приложения было около 18% подростков. Какая неожиданность. Это у FB такой modus operandi, во время скандала все отрицать или преуменьшать масштабы проблемы, чтобы потом потихоньку, постепенно раскрывать, что же было на самом деле.

Но, кажется, лед тронулся! Тут Марк Цукерберг внезапно объявил о том, что политика партии меняется, и теперь Facebook будет за конфиденциальность! Внезапно Facebook, после всех своих факапов со взломами, утечками данных, раздачей пользовательских данных направо и налево, обнаружил, что пользователи почему-то ценят конфиденциальность своих данных. Интересно, что же повлияло на это решение Цукерберга? Может, 15 млн пользователей социальной сети в США, решившие больше не пользоваться ею? Или то, что Конгресс США вплотную подбирается к Facebook с запросами о том, как работает компания и как там принимаются решения?

То, что предлагает Цукерберг — фокус на безопасных коммуникациях, личном общении, и тд — это, безусловно, очень хорошо и полезно. Уход от публичных постов и перефокусировка на шифрованные сообщения, а также автоматически исчезающие сообщения между троицей сервисов, принадлежащих компании — это все, к чему будет стремиться компания. Более того, Facebook якобы даже готов быть забаненным в странах, которые будут настаивать на раскрытии данных коммуникаций (Надеюсь, РосКомНадзор принял вызов?). Будет очень здорово, если у Цукерберга получится развернуть такую махину с 2 млрд пользователей в этом направлении. По сути, это практически разворот на 180 градусов от того успешного и денежного рекламного бизнеса, которым сейчас является Facebook.

“I believe the future of communication will increasingly shift to private, encrypted services where people can be confident what they say to each other stays secure and their messages and content won’t stick around forever. This is the future I hope we will help bring about.“

Но есть парочка небольших вопросов, которые возникают после прочтения поста Цукерберга:
1. Сможет ли действительно Facebook, после всех скандалов, только подчеркивавших полное неуважение к персональным и конфиденциальным пользовательским данным, полностью изменить свою бизнес-модель? Ведь, по сути, компании придется отказаться от ленты новостей, основного продукта Facebook, в котором пользователи проводят огромное количество времени.

2. Как Facebook планирует монетизировать такую новую “сеть”, если идет речь об отказе от публичных постов и фокусе на приватных, шифрованных сообщениях? Если все равно в чатах надо будет показывать рекламу, даже, допустим, не читая шифрованные сообщения, то значит ли это, что Facebook продолжит практику сбора и анализа всевозможной информации о пользователях? Тогда разговоры о конфиденциальности — это пустая болтовня.

Весь пост Цукерберга, к сожалению, читается больше как пародия на него самого же, в котором он, по сути, рассказывает, как он внезапно для себя открыл концепцию конфиденциальности персональных пользовательских данных и желание людей минимизировать видимость своих личных данных для кого попало в интернете. Но если он действительно серьезно меняет свой подход от “коммуникации между людьми всего мира” (как будто кто-то об этом просил) к тому, что компании все-таки придется занять определенную позицию касательно конфиденциальности, это очень здорово. Жаль, что такой переход, если он на самом деле случится, займет очень много времени (годы, как пишет сам Цукерберг), и все это время компания будет продолжать заниматься тем, что у нее получается лучше всего — зарабатывать на персональных данных пользователей.

Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com

Расплата Facebook

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в “исследовании” пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:
“We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.”

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что “мы там всех предупреждали и запрашивали разрешения”.

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:
– публикуется новость
– фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
– затем наступает фаза “Мы ничего не нарушали, но мы прекращаем эту практику”
– затем фаза дополнительных оправданий и опровержений
(вы находитесь здесь)
– затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
– Затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что “фейсбук как всегда” не так уж далека от правды.

Supermicro и Bloomberg

Помните историю года про чипы в серверах Supermicro, собранных для Apple и Amazon, опубликованную в издании Bloomberg? (что я спрашиваю, конечно, помните). У той новости было много дополнений, в основном в виде опровержений от Apple, от Amazon, от разведывательных ведомств разных стран, и даже от Supermicro. Издание Bloomberg продолжает хранить гордое молчание, не предоставив никаких дополнительных доказательств к этому материалу, ни отозвав материал, как призывали представители Apple и Amazon. Подозреваю, что Bloomberg пытается собрать дополнительные материалы, чтобы доказать, что они все-таки опубликовали не полный bullshit, но пока что эта статья является темным пятном на репутации вполне уважаемого издания.

Но вспомнил я об этой истории сегодня, потому что именно сегодня компания Supermicro разослала своим клиентам письмо о том, что компания закончила расследование по материалам, озвученным в статье Bloomberg. Компания пишет, что во время расследования она не обнаружила никаких доказательств вредоносного аппаратного внедрения ни в текущих, ни в старых моделях материнских плат в серверах компании. Расследование было проведено компанией Nardello & Co, которая тестировала в том числе и материнские платы, проданные в Apple и Amazon. Supermicro все еще рассматривает различные юридические опции касательно этого материала. Хотя, конечно, негативный эффект распространяется и на Amazon/Apple, но, скорей всего, эти компании не будут подавать на Bloomberg в суд — это плохо с точки зрения PR, когда огромные корпорации судятся с журналистами.

АПД Письмо CEO Supermicro

Австралия такая Австралия

Новость дня (нетерпеливые читатели прислали мне примерно 100500 миллионов ссылок на эту тему) — поправка к закону 1997 года Telecommunications Act, принятая вчера парламентом Австралии в виде дополнительного законопроекта Telecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018.

Согласно этому законопроекту, принятому в весьма сложных условиях, технологические компании должны предоставлять всевозможную помощь австралийским правоохранительным органам по запросу. Компании должны будут помогать расшифровывать сообщения (например, WhatsApp, Telegram или Signal), или даже внедрять код в свои приложения и сервисы для перехвата данных. От технологических компаний также могут потребовать разработки новых инструментов для обхода установленных методов безопасности или для взлома паролей, если возникнет такая необходимость. По сути, речь идет в том числе и о разработке бэкдоров в сервисах и устройствах, что может иметь очень далеко идущие последствия. С этим в свое время боролась Apple, сопротивляясь запросу ФБР о написании ПО для разблокировки защищенного паролем iPhone террориста. Штрафы за отказ от сотрудничества для организаций могут достигать до 10 млн австралийских долларов (7,3 млн долл США), а также тюремные сроки для физических лиц, отказывающихся передать данные, которые могут иметь отношение к незаконной деятельности.
Continue reading

Окопавшееся издание Bloomberg и сервера с китайскими чипами

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it.”

Continue reading

Китайские чипы где?

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те “десятки” других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.
Continue reading