Результаты четвертого квартала Apple

Вчера компания Apple объявила финансовые результаты четвёртого квартала 2018 финансового года, завершившийся 29 сентября 2018 г. Выручка компании за квартал составила 62,9 млрд долларов США, что на 20% больше по сравнению с годом ранее. Международные продажи составили 61 процент от квартального дохода, что тоже очень круто.

Сначала, как водится, самые главные показатели:
– Выручка, как я уже писал выше, составила 62,9 млрд долл (рост 20%)
– Продано 46,889 млн iPhone (рост 0%)
– Продано 9,699 млн iPad (снижение на 6%)
– Продано 5,299 млн Маков (снижение на 2%)
– Выручка по сервисам составила 9,981 млрд долл (рост на 17%)
– По другим продуктам выручка составила 4,234 млрд долл (рост на 31%)

На следующий квартал Apple прогнозирует выручку в пределах от 89 млрд до 93 млрд долларов, что тут же вызвало панику у инвесторов, потому что они почему-то считали, что должно получиться больше, вплоть до 100 млрд долл за квартал. Акции Apple в after-hours торгах просели на 6,6% (самое время покупать!). На самом деле просели акции в том числе и из-за другого анонса, об этом ниже.
Continue reading

Cybersecus дайджест

Еще несколько интересных ссылок на тему:

1. iRobot — производитель известных роботов-пылесосов — договорился с Google о том, что будет делиться с последней данными о картах помещений, в которых убирают роботы. Последние модели пылесосов научились делать карты помещений с помощью данных одометрии и изображений с низким разрешением. Google считает, что может улучшить работу своих умных гаджетов для дома с помощью этих данных. Казалось бы, что может пойти не так? (Google утверждает, что эти данные не будут использоваться для рекламы, но кто из нас, положа руку на сердце, реально поверит сейчас в этом Google?)

https://www.theverge.com/2018/10/31/18041876/google-irobot-smart-home-spatial-data-mapping-collaboration

2. Уязвимость для устройств Cisco, которые работают с ПО Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos
Успешная эксплуатация уязвимости приводит к крешам и перезагрузке устройств. Патча пока что еще нет, но по ссылке есть рекомендации о том, как уменьшить вероятность пострадать от этой уязвимости.

3. Красивая коллекция устройств для подслушивания, подсматривания и слежки
https://comsecllc.com/spy-gadgets

Апдейты по безопасности Apple

За последние пару дней накопилось сразу несколько интересных заметок про всякие вещи, связанные с информационной безопасностью и Apple одновременно, поэтому я собрал их все в одном посте.

Вчера Apple наконец-то выложила обновленные статьи о различных улучшениях безопасности (читай — исправленных уязвимостях) в последних версиях операционных систем. Ссылки на содержимое апдейтов в каждой операционной системе, а также в других продуктах компании, можно найти тут:
https://support.apple.com/en-us/HT201222. Я думаю, что тут достаточно упомянуть, что термин “arbitrary code” встречается в статье о содержимом апдейтов macOS 10.14 Mojave двадцать один раз.

Там же и такая прекрасная уязвимость под номером CVE-2018-4407 в обработке получения ICMP пакетов, позволяющая “завалить” работающие в той же сети Мак с High Sierra и ios-устройства с iOS 11, как продемонстрировано на этом видео в твите:


Continue reading

Cybersecus дайджест

несколько полезных и интересных ссылок на почитать:

– статья у ЛК на тему различных методов двухфакторной аутентификации (ура, я наконец-то написал это с первого раза, а не “авторизации”)
https://www.kaspersky.ru/blog/2fa-practical-guide/21495/?es_p=7871008

– интересная уязвимость в Android (исправлена еще в июльском апдейте, а затем доисправлена в сентябрьском), позволяющая повышать права в системе приложениям, которым это не положено. Очень много технической информации:
https://blog.zimperium.com/cve-2018-9411-new-critical-vulnerability-multiple-high-privileged-android-services/

– недокументированные API в Google Home, позволяющие простым запросом перегружать устройства, получать списки будильников, отключать уведомления и заставлять забывать их о беспроводной сети:
https://jerrygamblin.com/2018/10/29/google-home-insecurity/

Про процессор T2

Apple вчера опубликовала интересный документ про процессор T2, который в современных Маках обеспечивает довольно много функциональности:
– безопасную загрузку компьютера
– работу файловой системы APFS
– работу Touch ID на Маке

Весь PDF (15 страниц) сам по себе представляет интересный и познавательный материал, рекомендую почитать. Иногда пишут, что Apple сознательно блокирует ремонт компьютеров “на стороне”, потому что хочет сама ремонтировать компьютеры и брать за это много денег. Не без этого, конечно, но вообще надо понимать, что компьютеры – это очень хороший и мощный вектор атаки на пользователя, и проверять целостность этого вектора это хорошая практика. Именно это и делает процессор T2 при загрузке компьютера, а сторонний ремонт и замена каких-то комплектующих может нарушать этот процесс.
Continue reading

Про Signal и Telegram

Сразу два небольших апдейта о двух популярных мессенджерах, которые оба много говорят о своей безопасности. Действительно, и Telegram, и Signal позиционируют себя как мессенджеры с шифрованием, и предназначенные для общения таким образом, чтобы коммуникации пользователей не попадались на глаза кому попало. Компании используют разный подход, в частности, сообщения у Telegram по умолчанию не шифруются оконечным шифрованием — для этого нужно запускать специальные secret chats, в то время как у Signal все коммуникации по умолчанию зашифрованы. Но периодически и тот, и другой мессенджер попадают в новости с очередным ляпом в безопасности, поэтому сложно рекомендовать тот или иной. В интернете можно найти не одно исследование безопасности этих мессенджеров (вот, например, навскидку нагугленное исследование Telegram студентами MIT)

Например, в свое время у Signal оказалась лажа с сохранением истории чатов на Маке в открытом текстовом виде (к нему потом вышел апдейт). А тут прошла новость о том, что десктопный вариант Telegram к хранимым на компьютере данным с недостаточной защитой – база данных не шифруется, и поэтому даже контент секретных чатов можно прочитать, получив доступ к компьютеру пользователя. В целом, надо бы сказать, что, на мой взгляд, это не так ужасно, как могут попытаться подать некоторые СМИ.
Continue reading

Мероприятие Apple по анонсу новых Маков и iPad Pro

Вчера Apple провела в театре в Бруклине презентацию новых MacBook Air и новых iPad Pro. Почему Бруклин и театр? Задумка Apple заключалась в том, что происходит презентация продуктов для креативных пользователей, а Нью-Йорк — один из центров в том числе творческой жизни. По крайней мере, такая была официальная версия. Её подчеркивали также и примерно 100500 миллионов необычных логотипов Apple, выполненных в стилях различной степени расширения сознания.

Начал Тим Кук, как обычно, со статистики, из которой мы узнали, что в мире 100 миллионов активных Мак-пользователей, и на протяжении последних 25 кварталов Apple в среднем прирастала около 1,4 млн новых пользователей каждый квартал. А в Китае вообще 76% покупателей Маков только открывают для себя эти компьютеры (правда, обычно, насколько я слышал, они после этого устанавливают на Маки Windows). MacBook Air, по словам Тима Кука, оказался самым популярным Маком (еще бы, полноценный, легкий ноутбук за тысячу долларов), поэтому эта модель наконец-то получила обновление.
Continue reading

Cybersecus digest

Сегодня у нас коллекция ссылок на тему.

1. Хакеры, в свое время взломавшие Uber и получившие доступ к миллионам пользовательских записей (а затем вынудили компанию заплатить выкуп, и замаскировать это под bug bounty), попались на другом взломе и были арестованы ФБР
https://techcrunch.com/2018/10/25/uber-hackers-indicted-lynda-breach/

2. База данных сотрудников Сбербанка утекла в сеть. Об этом стало известно еще на прошлой неделе (ссылку на базу прислал один из читателей), но теперь появилось и почти официальное подтверждение.

“О проблеме доложили Герману Грефу, который уже выразил свое недовольство, отметил один из собеседников “Ъ” в банке.”

https://www.kommersant.ru/doc/3785052

3. Google теперь требует от официально лицензирующих Android компаний обязательно два года выпускать обновления безопасности для смартфонов под управлением этой операционной системы
https://www.theverge.com/2018/10/24/18019356/android-security-update-mandate-google-contract

Я уже выразил свое недовольство небольшим количеством ссылок сегодня.

X.org CVE-2018-14665

Обнаруженная уязвимость CVE-2018-14665 затрагивает OpenBSD и большинство дистрибутивов Linux (включая Debian, Ubuntu, Red Hat, Fedora), и выглядит так:

cd /etc; Xorg -fp “root::16431:0:99999:7:::” -logfile shadow :1;su

Эта уязвимость позволяет злоумышленникам с ограниченным доступом к системе (Например, через сессию SSH) повысить свои привилегии до уровня root.

Больше информации об уязвимости тут:
https://www.securepatterns.com/2018/10/cve-2018-14665-xorg-x-server.html
и тут
https://lists.x.org/archives/xorg-announce/2018-October/002927.html

У OpenBSD уже есть фикс, для ваших любимых дистрибутивов линуксов следите за апдейтами у вендоров.

Выступление Тима Кука о конфиденциальности персональных данных

На фоне новостей о слежке за пользователями со стороны WiFi-провайдера в Москве, выступление Тима Кука в Брюсселе вчера смотрится особенно актуально. Выступая на конференции, посвященной конфиденциальности данных (Conference of Data Protection and Privacy Commissioners (ICDPPC)), Тим Кук в достаточно жестких выражениях озвучил то, что происходит сегодня с пользовательскими данными:

“Наша личная информация — от ежедневных событий до глубоко личной информации — используется в качестве оружия против нас с армейской эффективностью. Эти кусочки данных, каждый безвредный сам по себе, аккуратно собираются, синтезируются, обмениваются и продаются. В экстремальных кейсах этот процесс создает живучий цифровой профиль и позволяет компаниям узнавать вас лучше, чем вы знаете себя. Ваш профиль — это куча алгоритмов, которые выдают вам все более экстремальный контент, превращая наши безвредные предпочтения во вред”.

(сравните это с тем, что делает с вашими данными та же максима телеком в предыдущем посте)

Кук не указывал прямо на рекламно-технологических конкурентов вроде Google, Facebook и другие компании, занимающиеся сбором и обработкой пользовательских данных, но было совершенно очевидно, о ком он говорил. Кроме этого, в своем выступлении Тим Кук похвалил принятие и внедрение европейского законодательства по охране пользовательских данных General Data Protection Regulation (GDPR), и призвал американских законодателей на федеральном уровне принять подобный закон. GDPR принуждает компании, хранящие пользовательские данные, обеспечивать максимальную безопасность этим данным (а также обеспечивает право пользователей узнавать, какую информацию хранит компания о нем, и требовать удаления этой информации). Работает ли GDPR на самом деле — это другой вопрос: спама больше не стало, а кто и как там хранит мою информацию на самом деле узнать все еще не просто. (Зато удалось почитать политики конфиденциальности многих сервисов и сайтов и ужаснуться количеству всяких сторонних сервисов, с которыми эти сайты могут делиться теми или иными пользовательскими данными).

Дальше в Твиттере Тим Кук продублировал озвученные во время выступления четыре основных принципа защиты права на сохранность частной информации, которые во многом перекликаются с тем, о чем говорится в акте GDPR:
1. Компании должны либо применять усилия по деперсонализации пользовательских данных, либо не собирать эти данные вообще.
2. Пользователи должны знать, какая информация о них собирается и с какой целью.
3. Компании должны понимать, что данные принадлежат пользователям и должны обеспечивать возможность пользователям получить эту информацию, изменить или удалить.
4. У всех есть право на безопасность своих данных. Безопасность лежит в основе всех прав конфиденциальности данных.

Если есть время, посмотрите видео выступления целиком:

Можно любить или ненавидеть Apple, можно относиться к ней индифферентно, но Apple, по сути, практически единственная из крупных технологических компаний, которая занимает четкую позицию по отношению к конфиденциальным пользовательским данным и их безопасности, в том числе и в переговорах с правительствами разных стран. Да, иногда эта позиция бывает “гибкой” и ей приходится соответствовать законодательству этих стран (например, история с Китаем и VPN-клиентами в App Store, когда пришлось удалить несертифицированные правительством Китая приложения из магазина). Возможно, это счастливое совпадение, что позиция также хорошо вписывается в бизнес-модель Apple, когда нет необходимости эксплуатировать пользовательские данные для того, чтобы демонстрировать финансовую состоятельность.

Кто-то может называть это “маркетингом” (как будто это что-то плохое). Важно, что за маркетингом озвученной позиции и подобных выступлений есть масса различных действий Apple в разработке устройств и операционных систем, которые подтверждают, что все эти заявления и выступления — это не пустые слова, а реально позиция компании. Если это помогает Apple продавать больше iPhone — отлично, потому что в результате покупатели получают более безопасные устройства, обеспечивающие сохранность пользовательских данных.